为什么GPO工具报告GPO版本不匹配，而GPO版本#'s匹配？

Question

如果版本号匹配，组策略诊断实用程序GPOTool为什么会报告两个域控制器之间的GPO版本不匹配？

Policy {GUID} 
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details: 
------------------------------------------------------------
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
------------------------------------------------------------
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Answer 1

您的问题是由默认域控制器策略DS和Sysvol部分之间的版本不匹配引起的，而不是两个DC部分之间的差异。您的DC之间是同步的，但是它们同步的数据与其本身不同步。您要做的是将DS和Sysvol版本设置为相同的值。为了安全起见，和1(user) 45(machine)一起去吧。您需要输入的值是65581 (1 * 65536 + 45 = 65581)。在记事本中打开\\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini并设置Version=65581。现在使用ADSIEdit、ADExplorer、adfind等，浏览到CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname，并将versionnumber设置为65581。现在去吃午饭，当你回来的时候，再运行GPOTool。所有版本号都应该报告为65581和/或1(user) 45(machine)。

注意:默认的域控制器策略GUID总是6AC1786C-016F-11D2-945F-945F-00C04F984F9，但如果有人重命名它并创建同名的另一个GPO，请验证它实际上就是GUID。

有关如何计算和使用GPO版本号的更详细说明，请参见以下页面：

• http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true
• https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Answer 2

这并不是说你的DC版本不匹配，而是说你的一个GPO是错的。

您需要跟踪违规策略("Policy {GUID}")并在DC上的sysvol文件夹下导航到其文件夹(\DC\sysvol\ policy {GUID})并检查两个DC上的GPT.INI文件。它将有一个版本号，版本号在不同的DC上会有所不同--这就是它抱怨的版本错配。

纠正错误取决于导致不匹配的确切原因--您可以通过在GPT.ini中编辑版本号来纠正它，或者它可能是一些更大问题的结果，例如错误的FRS副本集、特定GPO上的ACL设置等等。没有足够的信息来确定根本原因是什么。

Answer 3

我想看看您的AD环境是否处于日记包装状态。我们遇到了同样的问题，必须执行D2恢复，才能使所有GPO恢复到一致状态。