Freigeben über


Anwenden Gruppenrichtlinie Leitfaden zur Problembehandlung

Probieren Sie unseren virtuellen Agent aus : Er kann Ihnen helfen, häufige Probleme bei der Active Directory-Replikation schnell zu identifizieren und zu beheben.

In diesem Leitfaden werden die grundlegenden Konzepte für die Problembehandlung von Gruppenrichtlinie erläutert. Sie erfahren:

  • So finden Sie neue Informationen zur Problembehandlung.
  • Verwenden des Ereignisanzeige zum Filtern bestimmter Gruppenrichtlinie Informationen.
  • Lesen und Interpretieren von Ereignisdaten.
  • Richtige Methoden zum Ermitteln des Fehlerpunkts.

Checkliste zur Problembehandlung

  1. Lesen Sie zunächst Gruppenrichtlinie Ereignisse, die im Systemereignisprotokoll aufgezeichnet wurden.

    • Warnereignisse bieten weitere Informationen, die Sie befolgen müssen, um sicherzustellen, dass der Gruppenrichtlinie Dienst fehlerfrei bleibt.
    • Fehlerereignisse stellen Informationen bereit, die den Fehler und die wahrscheinlichen Ursachen beschreiben.
    • Verwenden Sie den Link Weitere Informationen , der in der Ereignismeldung enthalten ist.
    • Verwenden Sie die Registerkarte Details , um Fehlercodes und Beschreibungen anzuzeigen.
  2. Verwenden Sie das Gruppenrichtlinie Betriebsprotokoll.

    • Identifizieren Sie die Aktivitäts-ID der instance Gruppenrichtlinie Verarbeitung, die Sie behandeln.
    • Erstellen Sie eine benutzerdefinierte Ansicht des Betriebsprotokolls.
    • Unterteilen Sie das Protokoll in Phasen: Vorverarbeitung, Verarbeitung und Nachbearbeitung.
    • Konsolidieren Sie jedes Startereignis mit dem entsprechenden Endereignis. Untersuchen Sie alle Warnungs- und Fehlerereignisse.
    • Isolieren und Behandeln von Problemen mit der abhängigen Komponente.
    • Verwenden Sie den Befehl Gruppenrichtlinie update (GPUPDATE), um Gruppenrichtlinie zu aktualisieren. Wiederholen Sie diese Schritte, um zu ermitteln, ob die Warnung oder der Fehler noch vorhanden ist.

Wichtig

Durch aktualisieren Gruppenrichtlinie ändert sich die Aktivitäts-ID in Ihrer benutzerdefinierten Ansicht. Stellen Sie sicher, dass Sie Ihre benutzerdefinierte Ansicht bei der Problembehandlung mit der aktuellsten Aktivitäts-ID aktualisieren.

Bestimmen der instance der Gruppenrichtlinie Verarbeitung

Bevor Sie das Gruppenrichtlinie Betriebsprotokoll anzeigen, müssen Sie zunächst die instance Gruppenrichtlinie Verarbeitung ermitteln, bei der ein Fehler aufgetreten ist.

Führen Sie die folgenden Schritte aus, um eine instance Gruppenrichtlinie Verarbeitung zu ermitteln:

  1. Öffnen Sie die Ereignisanzeige.
  2. Wählen Sie unter Ereignisanzeige (Lokal)die Option Windows-Protokollsystem> aus.
  3. Doppelklicken Sie auf das Gruppenrichtlinie Warnungs- oder Fehlerereignis, das Sie behandeln möchten.
  4. Wählen Sie die Registerkarte Details aus, und aktivieren Sie dann Benutzerfreundliche Ansicht. Wählen Sie System aus, um den Knoten System zu erweitern.
  5. Suchen Sie die ActivityID in den Systemknotendetails . Sie verwenden diesen Wert (ohne öffnende und schließende Klammern) in Ihrer Abfrage. Kopieren Sie diesen Wert in editor, damit er ihnen später zur Verfügung steht, und wählen Sie Schließen aus.

Erstellen einer benutzerdefinierten Ansicht eines Gruppenrichtlinie instance

Ein Computer verfügt häufig über mehr als eine instance Gruppenrichtlinie Verarbeitung. Computer, die für die Ausführung von Terminaldiensten vorgesehen sind, verfügen in der Regel über mehr als eine instance Gruppenrichtlinie Verarbeitung und arbeiten gleichzeitig. Daher ist es wichtig, das Gruppenrichtlinie Betriebsereignisprotokoll so zu filtern, dass nur Ereignisse für die instance, die Sie behandeln, angezeigt werden.

Gehen Sie wie folgt vor, um eine benutzerdefinierte Ansicht eines Gruppenrichtlinie instance zu erstellen. Dazu verwenden Sie eine Ereignisanzeige Abfrage. Mit dieser Abfrage wird eine gefilterte Ansicht des Gruppenrichtlinie Betriebsprotokolls für eine bestimmte instance Gruppenrichtlinie Verarbeitung erstellt.

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Ansicht eines Gruppenrichtlinie instance zu erstellen:

  1. Öffnen Sie die Ereignisanzeige.

  2. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Ansichten, und wählen Sie dann Benutzerdefinierte Ansicht erstellen aus.

  3. Aktivieren Sie die Registerkarte XML , und aktivieren Sie dann das Kontrollkästchen Abfrage manuell bearbeiten . Die Ereignisanzeige zeigt ein Dialogfeld an, in dem erläutert wird, dass das manuelle Bearbeiten einer Abfrage verhindert, dass Sie die Abfrage über die Registerkarte Filter ändern können. Wählen Sie Ja aus.

  4. Kopieren Sie die Ereignisanzeige Abfrage (die am Ende dieses Schritts bereitgestellt wird) in die Zwischenablage. Fügen Sie die Abfrage in das Feld Abfrage ein.

    <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

  5. Kopieren Sie die Zuvor gespeicherte ActivityID aus dem Abschnitt Bestimmen der instance der Verarbeitung Gruppenrichtlinie in die Zwischenablage. Markieren Sie im Feld Abfrage "AKTIVITÄTS-ID HIER EINFÜGEN", und drücken Sie dann STRG+V, um die ActivityID über dem Text einzufügen.

    Hinweis

    Achten Sie darauf, nicht über die führenden und nachgestellten Klammern ({ }) einzufügen. Sie müssen diese geschweiften Klammern einschließen, damit Ihre Abfrage ordnungsgemäß funktioniert.

  6. Geben Sie im Dialogfeld Filter in benutzerdefinierter Ansicht speichern einen Namen und eine Beschreibung ein, die für die erstellte Ansicht von Bedeutung ist. Wählen Sie OK aus.

  7. Der Name der gespeicherten Ansicht wird unter Benutzerdefinierte Ansichten angezeigt. Wählen Sie den Namen der gespeicherten Ansicht aus, um deren Ereignisse im Ereignisanzeige anzuzeigen.

Wichtig

Der Gruppenrichtlinie-Dienst weist jeder instance der Richtlinienverarbeitung eine eindeutige ActivityID zu. Der Gruppenrichtlinie-Dienst weist beispielsweise eine eindeutige ActivityID zu, wenn die Benutzerrichtlinienverarbeitung während der Benutzeranmeldung erfolgt. Wenn Gruppenrichtlinie aktualisiert wird, weist der Gruppenrichtlinie-Dienst dem instance der Gruppenrichtlinie, die für die Aktualisierung der Benutzerrichtlinie verantwortlich ist, eine weitere eindeutige ActivityID zu.

Stellen Sie sicher, dass die Gruppenrichtlinie über alle gewünschten Einstellungen verfügt und ordnungsgemäß verknüpft ist. Im Folgenden finden Sie die Registerkarten, die Sie durchlaufen müssen. Wenn alle gut aussehen, wechseln Sie zum problematischen Clientcomputer.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus.

    gpresult /h gp.html
    
  2. Überprüfen Sie die gpresult erfasste Ausgabe, und suchen Sie nach dem Gruppenrichtlinienobjekt, mit dem Probleme auftreten. Es wird ein Fehler ausgegeben, warum das Gruppenrichtlinienobjekt nicht angewendet wird.

  3. Wenn in der gpresult Ausgabe ein Fehler auftritt, können wir das Problem basierend darauf beheben. Führen Sie andernfalls die nächste Aktion aus.

  4. Öffnen Sie die Ereignisanzeige, und navigieren Sie zu Anwendungs- und Systemereignisprotokollen. Das Anwendungsereignisprotokoll enthält Die Details dazu, warum die Gruppenrichtlinienaktualisierung positiv fehlschlägt.

  5. Öffnen Sie das Betriebsereignisprotokoll, um ausführlichere Informationen zu finden. Es gibt Ereignisse mit der Liste der angewendeten Gruppenrichtlinienobjekte und eine Liste der verweigerten GPOs mit dem Grund.

Die meisten GPO-Probleme können mithilfe dieser grundlegenden Protokolle behoben werden.

Gruppenrichtlinie Protokolldateien

Sie können die ausführliche Protokollierung aktivieren und die resultierenden Protokolldateien untersuchen. Die ausführliche Protokollierung kann die Leistung verringern und erheblichen Speicherplatz beanspruchen. Als bewährte Methode sollten Sie daher die ausführliche Protokollierung nur bei Bedarf aktivieren.

Aktivieren der GPSvc-Protokollierung (Gruppenrichtlinie Service)

Führen Sie auf dem Client, auf dem das GPO-Problem auftritt, die folgenden Schritte aus, um die Debugprotokollierung Gruppenrichtlinie-Diensts zu aktivieren.

  1. Öffnen Sie den Registrierungs-Editor.

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

  3. Wählen Sie im Menü Bearbeiten die Option Neuer>Schlüssel aus.

  4. Geben Sie Diagnose ein, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf den Unterschlüssel Diagnose , und wählen Sie Neuer>DWORD-Wert (32-Bit) aus.

  6. Geben Sie GPSvcDebugLevel ein, und drücken Sie dann die EINGABETASTE.

  7. Klicken Sie mit der rechten Maustaste auf GPSvcDebugLevel, und wählen Sie dann Ändern aus.

  8. Geben Sie im Feld Wert den Wert30002 (Hexadezimal) ein, und wählen Sie dann OK aus.

  9. Beenden Sie den Registrierungs-Editor.

  10. Führen Sie in einem Eingabeaufforderungsfenster den gpupdate /force Befehl aus, und drücken Sie dann die EINGABETASTE.

Zeigen Sie dann die Gpsvc.log-Datei im folgenden Ordner an: %windir%\debug\usermode

Hinweis

Wenn der Ordner usermode nicht vorhanden ist, erstellen Sie ihn unter %windir%\debug. Wenn der Benutzermodusordner unter %WINDIR%\debug\ nicht vorhanden ist, wird die gpsvc.log Datei nicht erstellt.

Häufige Probleme und Lösungen

Ereignis-ID 1129

Die Ereignis-ID 1129 wird protokolliert, wenn die Gruppenrichtlinie aufgrund von Netzwerkkonnektivitätsproblemen nicht angewendet werden kann.

In diesem Fall wird die Konnektivität mit LDAP-Port 389 (Lightweight Directory Access Protocol) auf dem DC blockiert. Der gpupdate Befehl schlägt mit dem folgenden Fehler fehl:

Beim Überprüfen des Ereignisprotokolls finden Sie möglicherweise die folgende Ereignisbeschreibung:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

Aktivieren Sie in diesem Fall das gpsvc-Debugprotokoll. Im gpsvc-Protokoll finden Sie möglicherweise die Ausgabe "GetLdapHandle: Fehler beim Verbinden <von DC> mit 81".

Aktivieren Sie eine Netzwerkablaufverfolgung, um Folgendes zu überprüfen:

  • Es wird eine LDAP-Abfrage auf Standortebene durchgeführt.
  • Die Abfrage gibt zwei Einträge für diese Website zurück, die die Ldap-Dienstrolle enthalten.
  • Für eine davon können wir sehen, dass eine Namensauflösung durchgeführt wird.
  • Da die Namensauflösung erfolgreich ist, wird versucht, eine LDAP-Bindung auszuführen, schlägt aber beim TCP-Handshake fehl, da Port 389 blockiert wird.
  • Wenn es keine Antwort vom Domänencontroller für unseren TCP-Handshake an Port 389 gibt, sind die nächsten Schritte die Einbindung des Kundennetzwerkteams und die Bereitstellung dieser Informationen.
  • Stellen Sie sicher, dass Sie in solchen Szenarien alle protokolle verwenden, die im oben genannten Aktionsplan angegeben sind, korrelieren und sie zur Grundursache führen oder zumindest das Problem eingrenzen.

Ereignis-ID 1002

Hier ist die Beschreibung der Ereignis-ID 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

Dieses Fehlerereignis wird in der Regel behoben, wenn der Computer aus einem Zustand mit niedriger Ressource zurückkehrt. Mögliche Lösungen:

  1. Stellen Sie sicher, dass auf dem Computer nicht genügend Arbeitsspeicher oder verfügbarer Speicherplatz zur Verfügung steht.
  2. Starten Sie den Computer neu, wenn er über einen längeren Zeitraum in Betrieb ist.

Ereignis-ID 1006

Hier ist die Beschreibung der Ereignis-ID 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

Dieses Fehlerereignis wird in der Regel behoben, nachdem die Bindung an das Verzeichnis korrigiert wurde. Der Gruppenrichtlinie-Dienst protokolliert einen Fehlercode, der auf der Registerkarte Details der Fehlermeldung in Ereignisanzeige angezeigt wird. Die Felder Fehlercode (als Dezimalcode angezeigt) und Fehlerbeschreibung geben den Grund für den Fehler weiter an. Werten Sie den Fehlercode mit der folgenden Liste aus:

  • Fehlercode 5 (Zugriff verweigert)

    Dieser Fehlercode weist möglicherweise darauf hin, dass der Benutzer nicht über die Berechtigung für den Zugriff auf Active Directory verfügt.

  • Fehlercode 49 (Ungültige Anmeldeinformationen)

    Dieser Fehlercode kann darauf hinweisen, dass das Kennwort des Benutzers abgelaufen ist, während der Benutzer noch auf dem Computer angemeldet ist. So korrigieren Sie ungültige Anmeldeinformationen:

    1. Ändern Sie das Kennwort des Benutzers.
    2. Sperren/Entsperren Sie die Arbeitsstation.
    3. Überprüfen Sie, ob Systemdienste als Benutzerkonto ausgeführt werden.
    4. Überprüfen Sie, ob das Kennwort in der Dienstkonfiguration für das Benutzerkonto korrekt ist.
  • Fehlercode: 258 (Timeout)

    Dieser Fehlercode weist möglicherweise darauf hin, dass die DNS-Konfiguration falsch ist. Um Timeoutprobleme zu beheben, verwenden Sie das nslookup Tool, um _ldap._tcp zu bestätigen.<domain-dns-name-Einträge> werden registriert und verweisen auf die richtigen Server (wobei <domain-dns-name> der vollqualifizierte Domänenname Ihrer Active Directory-Domäne ist).

    Hinweis

    Diese Schritte können unterschiedliche Ergebnisse haben, wenn Ihr Netzwerk ICMP-Pakete (Internet Control Message Protocol) einschränkt oder blockiert.

Ereignis-ID 1030

Hier ist die Beschreibung der Ereignis-ID 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Überprüfen Sie, ob die LDAP-Ports geöffnet sind. Wenn dies nicht der Fall ist, stellen Sie sicher, dass die Ports in der Firewall und lokal auf dem Client und dem Domänencontroller geöffnet sind.

Ermitteln des Portblocks

Stellen Sie sicher, dass die DNS-Namensauflösung, bei der der Client einen Hostnamen nicht auflösen kann

  • Wenn ein Client einen Hostnamen nicht auflösen kann, empfiehlt es sich, die oben aufgeführte Sequenz der Hostnamenauflösung zu überprüfen, die der Client verwenden sollte. Wenn der Name in keiner der Vom Client verwendeten Ressourcen vorhanden ist, müssen Sie entscheiden, welche Ressource hinzugefügt werden soll. Wenn der Name in einer der Ressourcen vorhanden ist, z. B. auf einem DNS-Server oder einem WINS-Server (Windows Internet Name Service), und der Client den Namen nicht richtig auflöst, konzentrieren Sie sich auf die Problembehandlung für diese bestimmte Ressource.
  • Vergewissern Sie sich außerdem, dass der Client versucht, einen Hostnamen und keinen NetBIOS-Namen aufzulösen. Viele Anwendungen verfügen über mehrere Methoden, die sie zum Auflösen von Namen verwenden können. Dies gilt insbesondere für E-Mail- und Datenbankanwendungen. Die Anwendung kann so konfiguriert werden, dass sie über NetBIOS eine Verbindung mit Ressourcen herstellt. Abhängig von der Clientkonfiguration kann der Client die Hostnamenauflösung umgehen. Von dort aus ist es erforderlich, entweder den Verbindungstyp in TCP/IP-Sockets zu ändern oder das Problem als NetBIOS-Problem zu beheben.

Gruppenrichtlinie Container-Berechtigung

Verwenden Sie das folgende PowerShell-Cmdlet Get-GPPermission , um die Berechtigungsstufe für alle Sicherheitsprinzipale für das angegebene Gruppenrichtlinienobjekt abzurufen:

Get-GPPermission -Name "TestGPO" -All

Ereignis-ID 1058

Hier ist die Beschreibung der Ereignis-ID 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Richtige Konnektivität mit der Gruppenrichtlinie Vorlage. Der Gruppenrichtlinie-Dienst protokolliert den Namen des Domänencontrollers und den Fehlercode, der auf der Registerkarte Details der Fehlermeldung in Ereignisanzeige angezeigt wird. Die Felder Fehlercode (als Dezimalcode angezeigt) und Fehlerbeschreibung geben den Grund für den Fehler weiter an. Werten Sie den Fehlercode mit der folgenden Liste aus:

  • Fehlercode 3 (Das System kann den angegebenen Pfad nicht finden)

    Dieser Fehlercode gibt in der Regel an, dass der Clientcomputer den im Ereignis angegebenen Pfad nicht finden kann. So testen Sie die Clientkonnektivität mit dem Sysvol des Domänencontrollers:

    1. Identifizieren Sie den vom Computer verwendeten Domänencontroller. Der Domänencontrollername wird in den Details des Fehlerereignisses protokolliert.

    2. Ermitteln Sie, ob der Fehler während der Benutzer- oder Computerverarbeitung auftritt. Für die Verarbeitung von Benutzerrichtlinien zeigt das Feld Benutzer des Ereignisses einen gültigen Benutzernamen an. für die Verarbeitung von Computerrichtlinien wird im Feld Benutzer "SYSTEM" angezeigt.

    3. Erstellen Sie den vollständigen Netzwerkpfad zum gpt.ini als \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini wobei <dcName> der Name des Domänencontrollers, <Domäne> der Name der Domäne und <GUID> die GUID des Richtlinienordners ist. Alle Informationen werden im -Ereignis angezeigt.

    4. Vergewissern Sie sich, dass Sie gpt.ini lesen können, indem Sie den vollständigen Netzwerkpfad verwenden, den Sie im vorherigen Schritt abgerufen haben. Öffnen Sie hierzu ein Eingabeaufforderungsfenster, geben Sie< file_path> ein, wobei <file_path> der im vorherigen Schritt erstellte Pfad ist, und drücken Sie die EINGABETASTE.

      Hinweis

      Sie müssen diesen Befehl als benutzer oder computer ausführen, dessen Anmeldeinformationen zuvor fehlgeschlagen sind.

  • Fehlercode 5 (Zugriff verweigert)

    Dieser Fehlercode gibt in der Regel an, dass der Benutzer oder Computer nicht über die entsprechenden Berechtigungen für den Zugriff auf den im Ereignis angegebenen Pfad verfügt. Stellen Sie auf dem Domänencontroller sicher, dass der Benutzer und der Computer über die entsprechende Berechtigung zum Lesen des im Ereignis angegebenen Pfads verfügen. So testen Sie Computer- und Benutzeranmeldeinformationen:

    1. Melden Sie sich ab, und starten Sie den Computer neu.
    2. Melden Sie sich mit den zuvor verwendeten Domänenanmeldeinformationen auf dem Computer an.
  • Fehlercode 53 (Der Netzwerkpfad wurde nicht gefunden)

    Dieser Fehlercode gibt in der Regel an, dass der Computer den Namen im angegebenen Netzwerkpfad nicht auflösen kann. So testen Sie die Netzwerkpfadnamensauflösung:

    1. Identifizieren Sie den vom Computer verwendeten Domänencontroller. Der Name des Domänencontrollers wird in den Details des Fehlerereignisses protokolliert.
    2. Versuchen Sie, eine Verbindung mit der netlogon-Freigabe auf dem Domänencontroller herzustellen, indem Sie den Pfad \\<dcName>\netlogon verwenden, wobei <dcName> der Name des Domänencontrollers im Fehlerereignis ist.

Ereignis-ID 1053

Hier ist die Beschreibung der Ereignis-ID 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Der Gruppenrichtlinie Dienst protokolliert den Namen des Domänencontrollers und den Fehlercode. Diese Informationen werden auf der Registerkarte Details der Fehlermeldung in Ereignisanzeige angezeigt. Die Felder Fehlercode (als Dezimalcode angezeigt) und Fehlerbeschreibung geben den Grund für den Fehler weiter an. Werten Sie den Fehlercode mit der folgenden Liste aus:

  • Fehlercode 5 (Zugriff verweigert): Dieser Fehlercode kann darauf hinweisen, dass das Kennwort des Benutzers abgelaufen ist, während der Benutzer noch auf dem Computer angemeldet war. Wenn der Benutzer kürzlich sein Kennwort geändert hat, verschwindet das Problem möglicherweise, nachdem die Active Directory-Replikation erfolgreich war.

    1. Ändern Sie das Benutzerkennwort.
    2. Sperren/Entsperren Sie die Arbeitsstation.
    3. Überprüfen Sie, ob Systemdienste als Benutzerkonto ausgeführt werden.
    4. Vergewissern Sie sich, dass das Kennwort in der Dienstkonfiguration für das Benutzerkonto korrekt ist.
  • Fehlercode 14 (Nicht genügend Speicher verfügbar, um diesen Vorgang abzuschließen)

    Dieser Fehlercode weist möglicherweise darauf hin, dass Windows nicht über genügend Arbeitsspeicher verfügt, um die Aufgabe abzuschließen. Untersuchen Sie das Systemereignisprotokoll auf andere speicherspezifische Probleme.

  • Fehlercode 525 (Der angegebene Benutzer ist nicht vorhanden)

    Dieser Fehlercode kann auf falsche Berechtigungen für die Organisationseinheit hinweisen. Der Benutzer benötigt Lesezugriff auf die Organisationseinheit, die das Benutzerobjekt enthält. Ebenso benötigen Computer Lesezugriff auf die Organisationseinheit, die das Computerobjekt enthält.

  • Fehlercode 1355 (Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden)

    Dieser Fehlercode kann auf einen Fehler oder eine fehlerhafte Konfiguration mit Namensauflösung (DNS) hinweisen. Verwenden Sie nslookup , um zu bestätigen, dass Sie die Adressen der Domänencontroller in der Benutzerdomäne auflösen können.

  • Fehlercode 1727 (Fehler beim Remoteprozeduraufruf und Nichtausführung)

    Dieser Fehlercode kann darauf hinweisen, dass Firewallregeln die Kommunikation mit einem Domänencontroller verhindern. Wenn Sie Firewallsoftware von Drittanbietern installiert haben, überprüfen Sie die Konfiguration der Firewall, oder versuchen Sie, sie vorübergehend zu deaktivieren und sicherzustellen, dass Gruppenrichtlinie erfolgreich verarbeitet werden.

Ereignis-ID 1097

Hier ist die Beschreibung der Ereignis-ID 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

Domänencomputer authentifizieren sich bei der Domäne, ebenso wie Domänenbenutzer. Windows erfordert, dass sich der Computer anmeldet, bevor er Gruppenrichtlinie auf den Computer anwenden kann. Mögliche Lösungen:

  • Überprüfen Sie, ob die Zeit auf dem Computer mit der Zeit auf dem Domänencontroller synchronisiert ist.
  • Berücksichtigen Sie Zeitzonenfehlkonfigurationen, wenn der Computer in einer anderen Zeitzone als der Domänencontroller konfiguriert ist.
  • Ein Zeitunterschied von mehr als fünf Minuten zwischen dem Computer und dem Domänencontroller kann dazu führen, dass sich der Computer nicht bei der Domäne authentifizieren kann. Erzwingen der Zeitsynchronisierung für den Zeitdienst mithilfe des w32tm /resync Befehls.
  • Starten Sie den Computer neu.

Ereignis-ID 4016 und Ereignis-ID 5016

Während der regelmäßigen Gruppenrichtlinie Aktualisierung verwendet der Dienst die in der Vorverarbeitungsphase gesammelten Informationen, um jede Richtlinieneinstellung anzuwenden. Der Dienst erreicht dies, indem die zuvor gesammelten Informationen an jede der system- und nicht systemseitigen clientseitigen Erweiterungen übergeben werden. Diese Phase beginnt mit der Aufzeichnung eines CSE-Verarbeitungsereignisses (Client-Side Extension).

Ereignis-ID Ereignistyp Erklärung
4016 Zur Information Der Gruppenrichtlinie-Dienst protokolliert dieses Ereignis jedes Mal, wenn eine Gruppenrichtlinie clientseitige Erweiterung mit der Verarbeitung beginnt.
5016 Erfolgreich Der Gruppenrichtlinie-Dienst protokolliert dieses Ereignis, wenn eine Gruppenrichtlinie clientseitige Erweiterung die Verarbeitung erfolgreich abgeschlossen hat.

Wenn Sie unter Ereignis-ID 5016 zur Registerkarte Details wechseln, finden Sie möglicherweise die folgende Rückgabe status:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Hinweis

Der Rückgabewert "-2147483638 (E_PENDING)" wird während der clientseitigen Erweiterungsverarbeitung erwartet. Es gibt an, dass ein asynchroner Thread erfolgreich von der Gruppenrichtlinie-Engine gestartet wurde, um die Überwachungserweiterungsinformationen zu verarbeiten. Dies bedeutet auch, dass der Rückgabewert protokolliert wird, auch wenn die neuen Überwachungseinstellungen wirksam sind oder auf die Clients angewendet werden.

Bestimmen der verarbeitung der erweiterten clientseitigen Erweiterung (AuditCSE)

Nachdem Sie den Rückgabewert 2147483658 aus der Ereignis-ID 5016 erhalten haben, können Sie die ausführlichen Ereignisse der AuditCSE-Verarbeitung imEreignisprotokollSecurity-Audit-Configuration-Client> Operational untersuchen. Diese Informationen sind nützlich, um die Verarbeitung von Gruppenrichtlinieneinstellungen für erweiterte Überwachung zu beobachten und somit Fehler/Fehler zu erkennen.

  1. Audit Client Side Extension (Auditcse.dll) verarbeitet die clientseitigen Erweiterungen überwachen.
  2. Es verfügt über eine eigene Protokollierung unter Security-Audit-Configuration-ClientOperational log.It has its own logging under Security-Audit-Configuration-Client> Operational log.

Führen Sie die folgenden Schritte aus, um das Security-Audit-Configuration-Client>Operational-Ereignisprotokoll zur Problembehandlung für Überwachungsgruppenrichtlinieneinstellungen zu überprüfen:

  1. Öffnen Sie die Ereignisanzeige.
  2. Wählen Sie unter Ereignisanzeige (lokal)die Option Anwendungs- und Dienstprotokolle>Microsoft>Windows>Security-Audit-Configuration-Client>Operational aus.
  3. Doppelklicken Sie auf die Ereignisse Warnung oder Fehler , um die Problembehandlung durchzuführen. Überprüfen Sie auch die Registerkarte Details für diese Ereignisse auf fehlerwert .
  4. Überprüfen Sie andernfalls das Informationsereignis , um die vollständige Verarbeitung der Überwachungserweiterung zu erfassen.

Sammeln Sie wichtige Informationen, bevor Sie Microsoft-Support kontaktieren

Bevor Sie Ihre Supportanfrage abschließen, empfehlen wir Ihnen, das Windows Live Dump-Feature zu verwenden, um eine Momentaufnahme Kernelspeicher auf dem betroffenen Computer zu speichern. Gehen Sie dazu wie folgt vor:

  1. Erfassen Sie die ausführliche Protokollierung Gruppenrichtlinie Diensts, indem Sie die folgenden Befehle ausführen:

    md %windir%\debug\usermode
    
    reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"
    
  2. Aktualisieren Sie lokale und AD-basierte Gruppenrichtlinie Einstellungen mithilfe des gpupdate /force Befehls.

    Tipp

    Verwenden Sie einen der folgenden Befehle, wenn Sie Probleme mit fehlenden Einstellungen für einen bestimmten Benutzer oder Computer beheben:

    • Gpupdate /force /target:computer
    • Gpupdate /force /target:user
  3. Speichern Sie den Bericht Resultsant Set of Policy (RSoP) in einer HTML-Datei, indem Sie den folgenden Befehl ausführen:

    gpresult /h %Temp%\GPResult.htm
    
  4. Speichern Sie die RSoP-Zusammenfassungsdaten in einer TXT-Datei, indem Sie den folgenden Befehl ausführen:

    gpresult /r >%Temp%\GPResult.txt
    
  5. Exportieren Sie die GPExtensions-Registrierungsschlüssel, indem Sie den folgenden Befehl ausführen:

    reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg
    
  6. Exportieren Sie die Protokolle der System-, Anwendungs- und Gruppenrichtlinie Betriebsereignisanzeige, indem Sie die folgenden Befehle ausführen:

    wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true
    
    wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true
    
    wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true
    
  7. Erfassen Sie die folgenden Dateien:

    • %Temp%\Application.evtx
    • %Temp%\System.evtx
    • %Temp%\GroupPolicy.evtx
    • %Temp%\GPExtensions.reg
    • %Temp%\GPResult.txt
    • %Temp%\GPResult.html
    • %windir%\debug\usermode\gpsvc.log
  8. Wenn Sie fertig sind, können Sie Gruppenrichtlinie-Dienstprotokollierung beenden, indem Sie den folgenden Befehl ausführen:

    reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f
    

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, sollten Sie die Informationen sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Gruppenrichtlinie Probleme beschriebenen Schritte ausführen.