» нет синхронизации групповых политик между контроллерами

Имеется 2 контроллера домена. Стоит win2003 ee r2 sp2.
При редактировании политик на одном контроллере (например, добавляется группа в Restricted Group), изменения не переходят на другой контроллер. Почему? Как енто исправить?

ЗЫ. Ошибок в логах контроллеров не замечено

Какой интервал репликации? Вручную проводил?
Другие изменения реплицируются?
Что говорит Replmon?

Infected Switch
Какой интервал репликации я не знаю. Но вот пользователи, к примеру, добавляются и удаляются моментально. Т.е. их создание и удаление успешно отражается на контроллерах. Ручную репликацию через оснастку Active Directory Sites and Services проводил. Ошибок никаких не выдало. В Replmon -> Show Group Policy Object Status в столбце "Sync Status" имеются несколько крестиков у одного и у другого контроллера.

Цитата:

Но вот пользователи, к примеру, добавляются и удаляются моментально

Это говорит о том, что у тебя контроллеры находятся в одном сайте.

Цитата:

По умолчанию контроллер домена ожидает 15 с после того, как изменение было сделано, а затем начинает копировать это изменение на другие контроллеры домена в сайте.

Прогони на контроллерах dcdiag и netdiag на предмет fail

Infected Switch
Если бы 15 минут... Уже несколько часов изменения не копируются.
Прогнал dcdiag и netdiag, нигде нет fail. Чё делать?

Цитата:

Если бы 15 минут

15 сек должно быть
попробуй редактировать на другом контроллере

Infected Switch
на обоих пробовал редактировать. изменения остаются исключительно локально.

А ты какую политику вообще правишь?

Цитата:

Существует два типа групповых политик. Первый тип — это локальная групповая политика на компьютере с системами Windows 2000, Windows XP и Windows Server 2003. Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Она применяется также на всех компьютерах, которые являются частью домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, групповые политики Active Directory часто отменяют многие параметры ее настройки.
Примечание. Локальный объект групповой политики (GPO -Group Policy Object) хранится на локальном компьютере в папке %systemroot%\System32\GroupPolicy.
Второй тип групповой политики - э|го групповая политика Active Directory. Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server 2003, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена). Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в организационных единицах (OU) контроллеров домена и используется для усиления некоторых параметров настройки защиты для контроллеров домена. В дополнение к этой политике можно создавать столько групповых политик, сколько потребуется, и связывать их с различными местами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU вашей организации.

Infected Switch

Цитата:

А ты какую политику вообще правишь?

Есть OU "Организационная единица 1". Для этой организационной единицы создана групповая политика. Вот эту политику я и правлю.

Добавлено:
на контроллере у которого все роли + GC появились ошибки:

Код: Event Type:    Error
Event Source:    NTDS Replication
Event Category:    DS RPC Client
Event ID:    1411
Date:        06.06.2007
Time:        15:51:38
User:        NT AUTHORITY\ANONYMOUS LOGON
Computer:    Computer
Description:
Active Directory failed to construct a mutual authentication service principal name (SPN) for the following domain controller.

Domain controller:
e07f0dcc-93be-4a52-9034-ab77da6bac7d._msdcs.domain.local

The call was denied. Communication with this domain controller might be affected.

Additional Data
Error value:
8589 The DS cannot derive a service principal name (SPN) with which to mutually authenticate the target server because the corresponding server object in the local DS database has no serverReference attribute.

Прошёл год, проблема была решена давно, и я решил-таки написать в чём может быть причина таких неполадок.
У меня все эти проблемы были связаны с тем, что была повреждена структура папок SYSVOL на одном контроллере домена. А если точнее, то были повреждены линки, где-то их не было, а восстановить не получалось почему-то. В таком случае поможет снятие роли контроллера домена и потом опять её присвоение. Тогда пересоздаётся вся структура папок SYSVOL. Главное, чтобы хоть на одном контроллере была папка SYSVOL в порядке.