Anleitungen zur Fehlerbehebung für Gruppenrichtlinien anwenden

Testen Sie unseren virtuellen Agent: Er kann Ihnen dabei helfen, häufige Probleme bei der Active Directory-Replikation schnell zu erkennen und zu beheben

Dieses Handbuch enthält die grundlegenden Konzepte, die zur Problembehandlung von Gruppenrichtlinien verwendet werden. Sie lernen Folgendes:

• So finden Sie neue Informationen zur Problembehandlung.
• Verwenden der Ereignisanzeige zum Filtern bestimmter Gruppenrichtlinieninformationen
• Lesen und Interpretieren von Ereignisdaten
• Richtige Methoden zum Auffinden des Fehlerpunkts.

Checkliste zur Problembehandlung

1. Beginnen Sie mit dem Lesen der im Systemereignisprotokoll aufgezeichneten Gruppenrichtlinienereignisse.

   • Warnmeldungen enthalten weitere Informationen, die Sie befolgen sollten, um sicherzustellen, dass der Gruppenrichtliniendienst fehlerfrei bleibt.
   • Fehlerereignisse liefern Ihnen Informationen, die den Fehler und die wahrscheinlichen Ursachen beschreiben.
   • Verwenden Sie den Link "Weitere Informationen ", der in der Ereignisnachricht enthalten ist.
   • Verwenden Sie die Registerkarte "Details ", um Fehlercodes und Beschreibungen anzuzeigen.

2. Verwenden Sie das Gruppenrichtlinien-Betriebsprotokoll.

   • Ermitteln Sie die Aktivitäts-ID der Instanz der Verarbeitung der Gruppenrichtlinie, bei der Sie eine Problembehandlung durchführen.
   • Erstellen Sie eine benutzerdefinierte Ansicht des Betriebsprotokolls.
   • Teilen Sie das Protokoll in Phasen auf: Vorverarbeitung, Verarbeitung und Nachbearbeitung.
   • Konsolidieren Sie jedes Startereignis mit dem entsprechenden Endereignis. Untersuchen Sie alle Warnungs- und Fehlerereignisse.
   • Isolieren und beheben Sie die abhängige Komponente.
   • Verwenden Sie den Gruppenrichtlinien-Aktualisierungsbefehl (GROUPDATE), um Gruppenrichtlinien zu aktualisieren. Wiederholen Sie diese Schritte, um festzustellen, ob die Warnung oder der Fehler noch vorhanden ist.

Wichtig

Durch das Aktualisieren von Gruppenrichtlinien wird die Aktivitäts-ID in Ihrer benutzerdefinierten Ansicht geändert. Stellen Sie sicher, dass Sie Ihre benutzerdefinierte Ansicht bei der Problembehandlung mit der aktuellsten Aktivitäts-ID aktualisieren.

Ermitteln der Instanz der Gruppenrichtlinien-Vverarbeitung

Bevor Sie das Gruppenrichtlinien-Betriebsprotokoll anzeigen, müssen Sie zuerst die Instanz der fehlgeschlagenen Gruppenrichtlinienverarbeitung ermitteln.

Führen Sie die folgenden Schritte aus, um eine Instanz der Gruppenrichtlinienverarbeitung zu ermitteln:

1. Öffnen Sie den Ereignis-Viewer.
2. Wählen Sie unter Ereignisanzeige (lokal) das Windows-Protokollsystem> aus.
3. Doppelklicken Sie auf die Gruppenrichtlinien-Warnung oder das Fehlerereignis, das Sie beheben möchten.
4. Wählen Sie die Registerkarte "Details " aus, und überprüfen Sie dann die Anzeigeansicht. Wählen Sie "System " aus, um den Systemknoten zu erweitern.
5. Suchen Sie die ActivityID in den Systemknotendetails . Sie verwenden diesen Wert (ohne die öffnenden und schließenden Klammern) in Ihrer Abfrage. Kopieren Sie diesen Wert in Editor, damit er später für Sie verfügbar ist, und wählen Sie "Schließen" aus.

Erstellen einer benutzerdefinierten Ansicht einer Gruppenrichtlinieninstanz

Ein Computer verfügt häufig über mehrere Instanzen der Gruppenrichtlinienverarbeitung. Computer, die für die Ausführung von Terminaldiensten vorgesehen sind, weisen in der Regel mehr als eine Instanz der Gruppenrichtlinienverarbeitung auf und funktionieren gleichzeitig. Daher ist es wichtig, das Betriebsereignisprotokoll für Gruppenrichtlinien zu filtern, um nur Ereignisse für die Instanz anzuzeigen, die Sie behandeln.

Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte Ansicht einer Gruppenrichtlinieninstanz zu erstellen. Dazu verwenden Sie eine Ereignisanzeige Abfrage. Diese Abfrage erstellt eine gefilterte Ansicht des Gruppenrichtlinien-Betriebsprotokolls für eine bestimmte Instanz der Gruppenrichtlinienverarbeitung.

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Ansicht einer Gruppenrichtlinieninstanz zu erstellen:

1. Öffnen Sie den Ereignis-Viewer.

2. Klicken Sie mit der rechten Maustaste auf "Benutzerdefinierte Ansichten", und wählen Sie dann "Benutzerdefinierte Ansicht erstellen" aus.

3. Wählen Sie die Registerkarte "XML " aus, und aktivieren Sie dann das Kontrollkästchen "Abfrage manuell bearbeiten". Die Ereignisanzeige zeigt ein Dialogfeld an, in dem erläutert wird, dass das manuelle Bearbeiten einer Abfrage verhindert, dass Sie die Abfrage mithilfe der Registerkarte "Filter" ändern können. Wählen Sie "Ja" aus.

4. Kopieren Sie die Ereignisanzeige Abfrage (am Ende dieses Schritts angegeben) in die Zwischenablage. Fügen Sie die Abfrage in das Abfragefeld ein.

   <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

5. Kopieren Sie die Aktivitäts-ID, die Sie zuvor aus dem Abschnitt "Bestimmen der Instanz der Gruppenrichtlinienverarbeitung" in die Zwischenablage gespeichert haben. Markieren Sie im Abfragefeld "AKTIVITÄTS-ID HIER EINFÜGEN" und drücken Sie DANN STRG+V, um die Aktivitäts-ID über den Text einzufügen.

   Notiz

   Achten Sie darauf, die führenden und nachgestellten geschweiften Klammern ({ }) nicht einzufügen. Sie müssen diese geschweiften Klammern einschließen, damit Ihre Abfrage ordnungsgemäß funktioniert.

6. Geben Sie im Dialogfeld "Filter in benutzerdefinierte Ansicht speichern" einen Namen und eine Beschreibung ein, die für die von Ihnen erstellte Ansicht aussagekräftig ist. Klicken Sie auf OK.

7. Der Name der gespeicherten Ansicht wird unter "Benutzerdefinierte Ansichten" angezeigt. Wählen Sie den Namen der gespeicherten Ansicht aus, um die zugehörigen Ereignisse im Ereignisanzeige anzuzeigen.

Wichtig

Der Gruppenrichtliniendienst weist jeder Instanz der Richtlinienverarbeitung eine eindeutige ActivityID zu. Beispielsweise weist der Gruppenrichtliniendienst eine eindeutige Aktivitäts-ID zu, wenn die Benutzerrichtlinienverarbeitung während der Benutzeranmeldung erfolgt. Wenn Die Gruppenrichtlinie aktualisiert wird, weist der Gruppenrichtliniendienst der Instanz der Gruppenrichtlinie, die für die Aktualisierung der Benutzerrichtlinie verantwortlich ist, eine weitere eindeutige Aktivitäts-ID zu.

Stellen Sie sicher, dass die Gruppenrichtlinie über alle gewünschten Einstellungen verfügt und ordnungsgemäß verknüpft ist. Unten sind die Registerkarten aufgeführt, die Sie durchlaufen müssen. Wenn alle gut aussehen, wechseln Sie zum problematischen Clientcomputer.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus.

   gpresult /h gp.html
   

2. Überprüfen Sie die gpresult erfasste Ausgabe, und suchen Sie nach dem GPO, mit dem Sie Probleme haben. Es wird ein Fehler angezeigt, warum das Gruppenrichtlinienobjekt nicht angewendet wird.

3. Wenn sie einen Fehler in der gpresult Ausgabe haben, können wir das Problem basierend darauf beheben. Andernfalls fahren Sie mit dem nächsten Schritt fort.

4. Öffnen Sie die Ereignisanzeige, und navigieren Sie zu Anwendungs- und Systemereignisprotokollen. Das Anwendungsereignisprotokoll enthält die Details dazu, warum die Gruppenrichtlinienaktualisierung positiv fehlschlägt.

5. Öffnen Sie das Betriebsereignisprotokoll, um ausführlichere Informationen zu finden. Es gibt Ereignisse mit der Liste der angewendeten GPOs und eine Liste der verweigerten GPOs mit dem Grund.

Die meisten GPO-Probleme können mithilfe dieser grundlegenden Protokolle behoben werden.

Gruppenrichtlinienprotokolldateien

Sie können ausführliche Protokollierung aktivieren und die resultierenden Protokolldateien untersuchen. Die ausführliche Protokollierung kann die Leistung verringern und erheblichen Speicherplatz verbrauchen, um eine ausführliche Protokollierung nur bei Bedarf zu ermöglichen.

Aktivieren der Gruppenrichtliniendienstprotokollierung (GPSvc)

Führen Sie auf dem Client, auf dem das GPO-Problem auftritt, die folgenden Schritte aus, um die Debugprotokollierung des Gruppenrichtliniendiensts zu aktivieren.

1. Öffnen Sie den Registrierungs-Editor.

2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

3. Wählen Sie im Menü "Bearbeiten" die Option "Neuer Schlüssel">aus.

4. Geben Sie "Diagnose" ein, und drücken Sie dann die EINGABETASTE.

5. Klicken Sie mit der rechten Maustaste auf den Diagnoseunterschlüssel, wählen Sie den neuen>DWORD-Wert (32-Bit) aus.

6. Geben Sie GPSvcDebugLevel ein, und drücken Sie dann die EINGABETASTE.

7. Klicken Sie mit der rechten Maustaste auf GPSvcDebugLevel, und wählen Sie dann "Ändern" aus.

8. Geben Sie im Feld "Wert" 30002 (Hexadezimal) ein, und wählen Sie dann "OK" aus.

9. Beenden Sie den Registrierungs-Editor.

10. Führen Sie in einem Eingabeaufforderungsfenster den gpupdate /force Befehl aus, und drücken Sie dann die EINGABETASTE.

Zeigen Sie dann die Gpsvc.log Datei im folgenden Ordner an: %windir%\debug\usermode

Notiz

Wenn der Ordner " usermode " nicht vorhanden ist, erstellen Sie ihn unter %windir%\debug. Wenn der Ordner " usermode " unter "%WINDIR%\debug\" nicht vorhanden ist, wird die gpsvc.log Datei nicht erstellt.

Bekannte Probleme und Lösungen

Ereignis-ID 1129

Die Event-ID 1129 wird protokolliert, wenn die Gruppenrichtlinie aufgrund von Netzwerk-Verbindungsproblemen nicht angewendet werden kann.

In diesem Fall wird die Verbindung mit dem LDAP-Port (Lightweight Directory Access Protocol) auf DC blockiert. Der gpupdate Befehl schlägt mit dem folgenden Fehler fehl:

Beim Überprüfen des Ereignisprotokolls finden Sie möglicherweise die folgende Ereignisbeschreibung:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

Aktivieren Sie in diesem Fall das gpsvc-Debugprotokoll. Im gpsvc-Protokoll finden Sie möglicherweise die Ausgabe "GetLdapHandle: Fehler beim Verbinden von <DC> mit 81".

Aktivieren Sie eine Netzwerkablaufverfolgung, um Folgendes zu überprüfen:

• Es gibt eine LDAP-Abfrage, die auf Websiteebene durchgeführt wird.
• Die Abfrage gibt zwei Einträge für diese Website zurück, die die Ldap-Dienstrolle enthalten.
• Für eine davon können wir sehen, dass eine Namensauflösung erfolgt.
• Da die Namensauflösung erfolgreich ist, versucht sie, eine LDAP-Bindung zu erstellen, schlägt jedoch bei TCP-Handshake fehl, da Port 389 blockiert wird.
• Wenn es keine Antwort vom DC für unseren TCP-Handshake an Port 389 gibt, sind die nächsten Schritte die Einbeziehung des Kundennetzwerkteams und die Bereitstellung dieser Informationen.
• Stellen Sie sicher, dass Sie in solchen Szenarien alle protokolle verwenden, die im oben genannten Aktionsplan angegeben sind, korrelieren und sie zu der Ursache führen oder zumindest das Problem einschränken.

Ereignis-ID 1002

Hier ist die Beschreibung der Ereignis-ID 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

Dieses Fehlerereignis wird in der Regel behoben, wenn der Computer aus einem Zustand mit niedriger Ressource zurückgibt. Mögliche Auflösungen sind:

1. Stellen Sie sicher, dass der Computer nicht genügend Arbeitsspeicher oder verfügbaren Speicherplatz hat.
2. Starten Sie den Computer neu, wenn er für einen längeren Zeitraum ausgeführt wurde.

Ereignis-ID 1006

Hier ist die Beschreibung der Ereignis-ID 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

Dieses Fehlerereignis wird in der Regel behoben, nachdem die Bindung an das Verzeichnis korrigiert wurde. Der Gruppenrichtliniendienst protokolliert einen Fehlercode, der auf der Registerkarte "Details" der Fehlermeldung in Ereignisanzeige angezeigt wird. Der Fehlercode (als Dezimalzahl angezeigt) und die Fehlerbeschreibungsfelder identifizieren den Grund für den Fehler weiter. Bewerten Sie den Fehlercode mit der folgenden Liste:

• Fehlercode 5 (Access wird verweigert)

  Dieser Fehlercode kann darauf hinweisen, dass der Benutzer nicht über die Berechtigung für den Zugriff auf Active Directory verfügt.

• Fehlercode 49 (Ungültige Anmeldeinformationen)

  Dieser Fehlercode kann darauf hinweisen, dass das Kennwort des Benutzers abgelaufen ist, während der Benutzer noch auf dem Computer angemeldet ist. So korrigieren Sie ungültige Anmeldeinformationen:

  1. Ändern Sie das Kennwort des Benutzers.
  2. Sperren/Entsperren sie die Arbeitsstation.
  3. Überprüfen Sie, ob Systemdienste als Benutzerkonto ausgeführt werden.
  4. Überprüfen Sie, ob das Kennwort in der Dienstkonfiguration für das Benutzerkonto korrekt ist.

• Fehlercode ist 258 (Timeout)

  Dieser Fehlercode kann darauf hinweisen, dass die DNS-Konfiguration falsch ist. Um Timeoutprobleme zu beheben, verwenden Sie das nslookup Tool, um _ldap._tcp zu bestätigen.<Dns-Dns-Nameneinträge> werden registriert und verweisen auf die richtigen Server (wobei <domänen-dns-name> der vollqualifizierte Domänenname Ihrer Active Directory-Domäne ist).

  Notiz

  Diese Schritte können unterschiedliche Ergebnisse haben, wenn Ihr Netzwerk Pakete im Internet Control Message Protocol (ICMP) einschränkt oder blockiert.

Ereignis-ID 1030

Hier ist die Beschreibung der Ereignis-ID 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Überprüfen Sie, ob die LDAP-Ports geöffnet sind. Wenn dies nicht der Fall ist, stellen Sie sicher, dass die Ports in der Firewall und lokal auf dem Client und dem Domänencontroller geöffnet sind.

Ermitteln des Portblocks

• Verwenden Sie das PortqueryUI-Tool, um zu bestimmen, welche Ports blockiert sind. Weitere Informationen finden Sie unter Verwenden von PortQry zur Behandlung von Active Directory-Konnektivitätsproblemen.
• Verwenden Sie Telnet für Port 389, um die Konnektivität am LDAP-Port zu überprüfen.
• Konfigurieren von Domänen- und Vertrauensports
• Konfigurieren des standardmäßigen ausgehenden Firewallverhaltens.
• Konfigurieren der Firewallportanforderungen für Gruppenrichtlinien.

Stellen Sie sicher, dass die DNS-Namensauflösung, bei der der Client keinen Hostnamen auflösen kann

• Wenn ein Client einen Hostnamen nicht auflösen kann, empfiehlt es sich, die oben aufgeführte Reihenfolge der Hostnamenauflösung zu überprüfen, die der Client verwenden sollte. Wenn der Name in keiner der ressourcen vorhanden ist, die der Client verwendet, müssen Sie entscheiden, welche Ressource hinzugefügt werden soll. Wenn der Name in einer der Ressourcen vorhanden ist, z. B. einen DNS-Server oder einen WINS-Server (Windows Internet Name Service), und der Client den Namen nicht richtig auflösen kann, konzentrieren Sie sich auf die Problembehandlung für diese bestimmte Ressource.
• Vergewissern Sie sich außerdem, dass der Client versucht, einen Hostnamen und keinen NetBIOS-Namen aufzulösen. Viele Anwendungen verfügen über mehrere Methoden, die sie zum Auflösen von Namen verwenden können. Dies gilt insbesondere für Mail- und Datenbankanwendungen. Die Anwendung kann für die Verbindung mit Ressourcen mithilfe von NetBIOS konfiguriert werden. Abhängig von der Clientkonfiguration kann der Client die Hostnamenauflösung umgehen. Von dort aus ist es erforderlich, entweder den Verbindungstyp in TCP/IP-Sockets zu ändern oder das Problem als NetBIOS-Problem zu beheben.

Gruppenrichtliniencontainerberechtigung

Verwenden Sie das folgende PowerShell-Cmdlet "Get-GPPermission", um die Berechtigungsstufe für alle Sicherheitsprinzipale für das angegebene Gruppenrichtlinienobjekt abzurufen:

Get-GPPermission -Name "TestGPO" -All

Ereignis-ID 1058

Hier ist die Beschreibung der Ereignis-ID 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Korrigieren der Verbindung mit der Gruppenrichtlinienvorlage. Der Gruppenrichtliniendienst protokolliert den Namen des Domänencontrollers und den Fehlercode, der auf der Registerkarte "Details" der Fehlermeldung in Ereignisanzeige angezeigt wird. Der Fehlercode (als Dezimalzahl angezeigt) und die Fehlerbeschreibungsfelder identifizieren den Grund für den Fehler weiter. Bewerten Sie den Fehlercode mit der folgenden Liste:

• Fehlercode 3 (Das System kann den angegebenen Pfad nicht finden)

  Dieser Fehlercode weist in der Regel darauf hin, dass der Clientcomputer den im Ereignis angegebenen Pfad nicht finden kann. So testen Sie die Clientkonnektivität mit dem Sysvol des Domänencontrollers:

  1. Identifizieren Sie den vom Computer verwendeten Domänencontroller. Der Domänencontrollername wird in den Details des Fehlerereignisses protokolliert.

  2. Ermitteln Sie, ob der Fehler während der Benutzer- oder Computerverarbeitung auftritt. Für die Benutzerrichtlinienverarbeitung zeigt das Feld "Benutzer" des Ereignisses einen gültigen Benutzernamen an. Für die Verarbeitung von Computerrichtlinien wird im Feld "Benutzer" "SYSTEM" angezeigt.

  3. Verfassen Sie den vollständigen Netzwerkpfad zum gpt.ini als \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini wobei <dcName> der Name des Domänencontrollers ist, <domäne> der Name der Domäne ist und <guid> die GUID des Richtlinienordners ist. Alle Informationen werden im Ereignis angezeigt.

  4. Stellen Sie sicher, dass Sie gpt.ini lesen können, indem Sie den vollständigen Netzwerkpfad verwenden, der im vorherigen Schritt abgerufen wurde. Öffnen Sie dazu ein Eingabeaufforderungsfenster, und geben Sie <file_path> ein, wobei <file_path> der im vorherigen Schritt erstellte Pfad ist, und drücken Sie die EINGABETASTE.

     Notiz

     Sie müssen diesen Befehl als Benutzer oder Computer ausführen, deren Anmeldeinformationen zuvor fehlgeschlagen sind.

• Fehlercode 5 (Access wird verweigert)

  Dieser Fehlercode weist in der Regel darauf hin, dass der Benutzer oder Computer nicht über die entsprechenden Berechtigungen für den Zugriff auf den im Ereignis angegebenen Pfad verfügt. Stellen Sie auf dem Domänencontroller sicher, dass der Benutzer und der Computer über die entsprechende Berechtigung zum Lesen des im Ereignis angegebenen Pfads verfügen. So testen Sie Computer- und Benutzeranmeldeinformationen:

  1. Melden Sie sich ab, und starten Sie den Computer neu.
  2. Melden Sie sich auf dem Computer mit den zuvor verwendeten Domänenanmeldeinformationen an.

• Fehlercode 53 (Der Netzwerkpfad wurde nicht gefunden)

  Dieser Fehlercode weist in der Regel darauf hin, dass der Computer den Namen im angegebenen Netzwerkpfad nicht auflösen kann. So testen Sie die Namensauflösung des Netzwerkpfads:

  1. Identifizieren Sie den vom Computer verwendeten Domänencontroller. Der Name des Domänencontrollers wird in den Details des Fehlerereignisses protokolliert.
  2. Versuchen Sie, eine Verbindung mit der Netlogon-Freigabe auf dem Domänencontroller herzustellen, indem Sie den Pfad \\<dcName>\netlogon verwenden, wobei <dcName> der Name des Domänencontrollers im Fehlerereignis ist.

Ereignis-ID 1053

Hier ist die Beschreibung der Ereignis-ID 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Der Gruppenrichtliniendienst protokolliert den Namen des Domänencontrollers und den Fehlercode. Diese Informationen werden auf der Registerkarte "Details" der Fehlermeldung in Ereignisanzeige angezeigt. Der Fehlercode (als Dezimalzahl angezeigt) und die Fehlerbeschreibungsfelder identifizieren den Grund für den Fehler weiter. Bewerten Sie den Fehlercode mit der folgenden Liste:

• Fehlercode 5 (Access ist verweigert): Dieser Fehlercode kann darauf hinweisen, dass das Kennwort des Benutzers abgelaufen ist, während der Benutzer noch auf dem Computer angemeldet war. Wenn der Benutzer kürzlich sein Kennwort geändert hat, wird das Problem möglicherweise nicht mehr angezeigt, nachdem die Active Directory-Replikation erfolgreich war.

  1. Ändern Sie das Benutzerkennwort.
  2. Sperren/Entsperren sie die Arbeitsstation.
  3. Überprüfen Sie, ob Systemdienste als Benutzerkonto ausgeführt werden.
  4. Stellen Sie sicher, dass das Kennwort in der Dienstkonfiguration für das Benutzerkonto korrekt ist.

• Fehlercode 14 (Nicht genügend Speicher ist verfügbar, um diesen Vorgang abzuschließen)

  Dieser Fehlercode weist möglicherweise darauf hin, dass Windows nicht über genügend Arbeitsspeicher verfügt, um die Aufgabe abzuschließen. Untersuchen Sie das Systemereignisprotokoll auf alle anderen speicherspezifischen Probleme.

• Fehlercode 525 (Der angegebene Benutzer ist nicht vorhanden)

  Dieser Fehlercode weist möglicherweise auf falsche Berechtigungen für die Organisationseinheit hin. Der Benutzer benötigt Lesezugriff auf die Organisationseinheit, die das Benutzerobjekt enthält. Ebenso benötigen Computer Lesezugriff auf die Organisationseinheit, die das Computerobjekt enthält.

• Fehlercode 1355 (Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden)

  Dieser Fehlercode kann auf einen Fehler oder eine fehlerhafte Konfiguration mit Namensauflösung (DNS) hinweisen. Hiermit nslookup können Sie die Adressen der Domänencontroller in der Benutzerdomäne auflösen.

• Fehlercode 1727 (Fehler beim Remoteprozeduraufruf und nicht ausgeführt)

  Dieser Fehlercode kann darauf hinweisen, dass Firewallregeln die Kommunikation mit einem Domänencontroller verhindern. Wenn Sie Firewallsoftware von Drittanbietern installiert haben, überprüfen Sie die Konfiguration der Firewall, oder versuchen Sie, sie vorübergehend zu deaktivieren und zu überprüfen, ob gruppenrichtlinien erfolgreich verarbeitet werden.

Ereignis-ID 1097

Hier ist die Beschreibung der Ereignis-ID 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

Domänencomputer authentifizieren sich wie Domänenbenutzer bei der Domäne. Windows erfordert, dass sich der Computer anmeldet, bevor er Gruppenrichtlinien auf den Computer anwenden kann. Mögliche Auflösungen sind:

• Überprüfen Sie, ob die Zeit auf dem Computer mit der Zeit auf dem Domänencontroller synchronisiert wird.
• Berücksichtigen Sie falsch konfigurierte Zeitzonen, wenn der Computer in einer Zeitzone konfiguriert ist, die sich von dem Domänencontroller unterscheidet.
• Ein Zeitunterschied, der größer als fünf Minuten zwischen dem Computer und dem Domänencontroller ist, kann dazu führen, dass der Computer nicht bei der Domäne authentifiziert wird. Erzwingen der Zeitsynchronisierung mit dem Zeitdienst mithilfe des w32tm /resync Befehls.
• Starten Sie den Computer neu.

Ereignis-ID 4016 und Ereignis-ID 5016

Während der regelmäßigen Gruppenrichtlinienaktualisierung verwendet der Dienst die informationen, die er in der Vorverarbeitungsphase gesammelt hat, um jede Richtlinieneinstellung anzuwenden. Der Dienst erfüllt dies, indem die zuvor gesammelten Informationen an die einzelnen clientseitigen Erweiterungen des Systems und nichtsystemseitige Erweiterungen übergeben werden. Diese Phase beginnt mit der Aufzeichnung eines clientseitigen Erweiterungsverarbeitungsereignisses (CSE).

Ereignis-ID	Ereignistyp	Erklärung
4016	Informational	Der Gruppenrichtliniendienst protokolliert dieses Ereignis jedes Mal, wenn eine clientseitige Gruppenrichtlinienerweiterung mit der Verarbeitung beginnt.
5016	Erfolgreich	Der Gruppenrichtliniendienst protokolliert dieses Ereignis, wenn eine clientseitige Gruppenrichtlinienerweiterung die Verarbeitung erfolgreich abgeschlossen hat.

Wenn Sie zur Registerkarte "Details" unter "Ereignis-ID 5016" wechseln, finden Sie möglicherweise den folgenden Rückgabestatus:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Notiz

Der Rückgabewert "-2147483638 (E_PENDING)" wird erwartet und wird während der clientseitigen Erweiterungsverarbeitung der Überwachung designiert. Es gibt an, dass ein asynchroner Thread erfolgreich vom Gruppenrichtlinienmodul gestartet wurde, um die Überwachungserweiterungsinformationen zu verarbeiten. Dies bedeutet auch, dass der Rückgabewert protokolliert wird, auch wenn die neuen Überwachungseinstellungen wirksam oder auf die Clients angewendet werden.

Ermitteln der verarbeitung der erweiterten clientseitigen Überwachungserweiterung (AuditCSE)

Nachdem Sie den Rückgabewert 2147483658 aus der Ereignis-ID 5016 erhalten haben, können Sie die ausführlichen Ereignisse der AuditCSE-Verarbeitung im Ereignisprotokoll "Security-Audit-Configuration-Client>Operational " untersuchen. Diese Informationen sind nützlich, um die Verarbeitung von Gruppenrichtlinieneinstellungen für erweiterte Überwachung zu beobachten und somit Fehler/Fehler zu erkennen.

1. Die clientseitige Überwachungserweiterung (Auditcse.dll) verarbeitet die clientseitigen Überwachungserweiterungen.
2. Sie verfügt über eine eigene Protokollierung unter "Security-Audit-Configuration-Client>Operational log".

Führen Sie die folgenden Schritte aus, um das Ereignisprotokoll "Security-Audit-Configuration-Client>Operational" für die Problembehandlung bei den Richtlinieneinstellungen für Überwachungsgruppen zu überprüfen:

1. Öffnen Sie die Ereignisanzeige.
2. Wählen Sie unter Ereignisanzeige (lokal) die Option "Anwendungen und Dienste protokolliert>Microsoft>Windows>Security-Audit-Configuration-Client>Operational" aus.
3. Doppelklicken Sie auf die Warnungs - oder Fehlerereignisse , um probleme zu beheben. Überprüfen Sie auch die Registerkarte "Details " für diese Ereignisse für einen beliebigen Fehlerwert .
4. Überprüfen Sie andernfalls das Informationsereignis , um die vollständige Verarbeitung der Überwachungserweiterung zu erfassen.

Sammeln sie wichtige Informationen, bevor Sie sich an Microsoft-Support wenden

Bevor Sie Ihre Supportanfrage abschließen, empfehlen wir, dass Sie die Windows Live Dump-Funktion verwenden, um eine Momentaufnahme des Kernelspeichers auf dem betroffenen Computer zu speichern. Gehen Sie dazu wie folgt vor:

1. Erfassen Sie die ausführliche Protokollierung des Gruppenrichtliniendiensts, indem Sie die folgenden Befehle ausführen:

   md %windir%\debug\usermode
   
   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"
   

2. Aktualisieren Sie lokale und AD-basierte Gruppenrichtlinieneinstellungen mithilfe des gpupdate /force Befehls.

   Tipp

   Verwenden Sie einen der folgenden Befehle, wenn Sie Probleme mit fehlenden Einstellungen eines bestimmten Benutzers oder Computers beheben:

   • Gpupdate /force /target:computer
   • Gpupdate /force /target:user

3. Speichern Sie den Resultsant Set of Policy (RSoP)-Bericht in einer HTML-Datei, indem Sie den folgenden Befehl ausführen:

   gpresult /h %Temp%\GPResult.htm
   

4. Speichern Sie die RSoP-Zusammenfassungsdaten in einer TXT-Datei, indem Sie den folgenden Befehl ausführen:

   gpresult /r >%Temp%\GPResult.txt
   

5. Exportieren Sie die GPExtensions-Registrierungsschlüssel, indem Sie den folgenden Befehl ausführen:

   reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg
   

6. Exportieren Sie die Betriebsereignisanzeigeprotokolle des Systems, der Anwendung und der Gruppenrichtlinie, indem Sie die folgenden Befehle ausführen:

   wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true
   
   wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true
   
   wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true
   

7. Erfassen Sie die folgenden Dateien:

   • %Temp%\Application.evtx
   • %Temp%\System.evtx
   • %Temp%\GroupPolicy.evtx
   • %Temp%\GPExtensions.reg
   • %Temp%\GPResult.txt
   • %Temp%\GPResult.html
   • %windir%\debug\usermode\gpsvc.log

8. Wenn Sie fertig sind, können Sie die Gruppenrichtliniendienstprotokollierung beenden, indem Sie den folgenden Befehl ausführen:

   reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f
   

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte unter Verwendung von TSS für Gruppenrichtlinienprobleme ausführen.