[Michael]

artem_, gpupdate /force на клиенте и перезагрузка клиента не помогают. Логи клиента и обоих контроллеров домена ничего по этому поводу не содержат. С момента изменения Default Domain Policy прошло более суток - изменения вроде как уже должны были реплицироваться

[Michael]

Добавлю еще немного данных:
Group Policy Result для клиента показывает, что все в порядке:
вот секция Account Policies/Password Policy

Цитата:

Enforce password history 0 passwords remembered Default Domain Policy Maximum password age 999 days Default Domain Policy Minimum password age 0 days Default Domain Policy Minimum password length 0 characters Default Domain Policy Password must meet complexity requirements Disabled Default Domain Policy Store passwords using reversible encryption Disabled Default Domain Policy

Но Group Policy Modeling показывает 2 разных результата:
1. При моделировании с использованием любого доступного контроллера домена или с явно указанным сервером DC1 секция Account Policies/Password Policy соответствует этой же секции в Group Policy Result (собственно чего я и ожидаю)
2. При моделировании с явно указанным сервером DC2 секция Account Policies/Password Policy вообще отсутствует. Почему? Репликация не проходит? Тогда почему нет никаких ошибок в логах?
Есть правда 2 уведомления сразу после перезагрузки:

Цитата:

Служба репликации файлов больше не препятствует компьютеру DC2 стать контроллером домена. Системный том был успешно инициализирован и служба NetLogon была уведомлена о том, что системный том подготовлен и к нему может быть открыт общий доступ как к общему ресурсу SYSVOL. Введите команду "net share" чтобы проверить наличие общего ресурса SYSVOL.

- это на DC2
и

Цитата:

Все проблемы, мешавшие обновлению базы данных Active Directory, были устранены. Новые попытки обновления базы данных Active Directory успешно выполняются. Служба сетевого входа в систему вновь запущена.

- это на DC1

Подскажите - в какую сторону копать?

[artem_]

Тогда берите replmon из support tools и смотрите, что там с репликацией происходит.

и попробуйте еще вот эти значения не нулевыми поставить

Цитата Michael:

Minimum password age 0 days Default Domain Policy Minimum password length 0 characters Default Domain Policy »

[Michael]

Цитата artem_:

попробуйте еще вот эти значения не нулевыми поставить »

Так у меня как раз весь интерес - разобраться почему так происходит, почему при полном отсутствии ограничений ограничения на самом деле есть?

По поводу Replmon. Как им правильно пользоваться? Action->Domain->Search Domain Controllers For Replication Errors->Run Search никаких ошибок не выдает.

Запустил принудительную репликацию (Sinhronize Each Directory Partition with All Serwers) - эффекта никакого.

В свойствах всех Default-First-Site-Name данные о том, что последняя репликация была минут10-15 назад и закончилась она успешно.

Что еще посмотреть?

[Michael]

Непонятно почему, но сегодня клиенты могут менять свой пароль на любой (в т.ч. на пароль не удовлетворяющий требованиям сложности и повторяющийся), при этом ничего вроде сделано не было. Однако Group Policy Modeling по прежнему выдает 2 различных результата - при эмулировании на сервере DC2 отсутствуют секции Account Policies/Password Policy и Local Policies/Security Options. Почему и как это исправить?
P.S. DC1 несет на себе AD, DNS (интегрирован в AD), DHCP, все роли FSMO и глобальный каталог. DC2 несет на себе AD, DNS и глобальный каталог.