Durante l'aggiunta di un nuovo domain controller in AD ho riscontrato uno strano errore con la replica delle GPO, nonostante event viewer, dcdiag, replmon non segnalassero errori.
Dalla console delle GPO due policy non erano replicate. Altre policy che, solo dopo, mi sono reso conto di aver creato dal nuovo DC, invece funzionavano senza problemi.
L'errore era il seguente:
the sysvol permission for one or more GPOs on this domain controller are not in sync with the permissions for the GPOs on the baseline domain controller
ed era visibile da gpmc.msc
selezionare il dominio e premere detect now in basso a dx per verificare eventuali errori.
Controllando i permessi delle cartelle da explorer non emerge nulla di strano.
Verificando le ACL delle con icacls, invece...
ES:
icacls C:\Windows\SYSVOL_DFSR\sysvol\nomedominio.local\Policies\{95B665A7-ABBC-4519-B9D7-529100908048}
si nota che l'account domain admin e' ripetuto 2 volte
NOMEDOMINIO\Domain Admins:(OI)(CI)(F)
NOMEDOMINIO\Enterprise Admins:(OI)(CI)(F)
NOMEDOMINIO\Domain Admins:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(RX)
NT AUTHORITY\CONTROLLER DI DOMINIO ORGANIZZAZIONE:(OI)(CI)(RX)
per risolvere e' sufficiente togliere e riaggiungere l'account domain admin, forzare la replica ed andare a verificare nuovamente in gpmc.msc.
icacls "{GPO UID}" /remove:g "DOMINIO\Domain Admins"
icacls "{GPO UID}" /grant "DOMINIO\Domain Admins":(OI)(CI)(F)
repadmin /syncall
repadmin /syncall /AdePq
Da ora in poi create le policy sul domain controller piu recente per verificare che l'errore si ripresenti. Da Windows server 2012 ci sono delle patch che risolvono il problema, ma non su 2008/2008R2
REFERENCE
https://social.technet.microsoft.com/Forums/en-US/f16b0af1-8772-4f96-a9ac-fac47943e8e9/sysvol-permissions-for-one-or-more-gpo-are-not-in-sync?forum=ws2016
