Guía del escenario: El GPO de fondo de pantalla no se aplica en algunos equipos cliente

En esta guía de escenario se explica cómo usar TroubleShootingScript (TSS) para recopilar datos para solucionar un problema en el que el objeto de directiva de grupo (GPO) de fondo de pantalla no se aplica en algunos equipos cliente.

Cómo se aplica la directiva de grupo en los equipos cliente

1. El servicio de directiva de grupo del equipo cliente enumera el nombre distintivo (DN) de la cuenta de usuario.
2. El servicio de directiva de grupo enumera los atributos GPLINK y GPOptions de la cuenta de usuario en el orden del GPO local, el GPO de sitio, el dominio y la unidad organizativa (OU).
3. El servicio de directiva de grupo hace una lista de GPO para aplicar o denegar.

Para obtener más información, consulte Aplicación de la directiva de grupo y Filtrado del ámbito de un GPO.

Guía de solución de problemas

Antes de continuar, consulte la guía de solución de problemas de aplicación de la directiva de grupo.

Entorno

• Nombre de dominio: contoso.com
• Sitios de Active Directory: cuatro sitios (dos controladores de dominio por sitio) (Phoenix, Londres, Tokio y Mumbai)
• Número de controladores de dominio: ocho
• Sistema operativo del controlador de dominio: Windows Server 2019
• Sistema operativo del equipo cliente: Windows 11, versión 22H2

En este escenario

Antes de empezar a solucionar problemas, estas son algunas preguntas para determinar el ámbito que pueden ayudarnos a comprender la situación y reducir la causa del problema:

1. ¿Cuáles son los sistemas operativos cliente y servidor?
   Respuesta: Controladores de dominio de Windows Server 2019 y equipos cliente de Windows 11, versión 22H2.

2. ¿Todos los usuarios están experimentando el problema o solo algunos usuarios?
   Respuesta: El problema se produce cuando un usuario inicia sesión en un equipo cliente en el sitio de Tokio. Sin embargo, si el mismo usuario inicia sesión desde un equipo cliente en el sitio de Phoenix, la directiva de fondo de pantalla se aplica bien.

3. ¿Qué opciones se configuran mediante el GPO Wallpaper-GPO-Tokyo ?
   Respuesta: Hay algunas opciones y la más importante es una configuración del lado usuario con la siguiente configuración:

   • Ruta de acceso: Configuración del usuario\Plantillas administrativas\Escritorio\Escritorio\Fondo de pantalla de escritorio
   • Configuración de GPO: Habilitado
   • Ubicación del fondo de pantalla: \contoso.com\netlogon\home.jpg
   • Estilo de fondo de pantalla: Ajustar

   

4. ¿El GPO Wallpaper-GPO-Tokyo es un GPO nuevo o un GPO antiguo en el ámbito de la UO de Tokio?
   Respuesta: Se trata de un nuevo GPO que hemos configurado en el sitio de Phoenix y este GPO se creó hace un par de días.

5. Al ejecutar gpupdate /force /target:user, ¿observa algún mensaje de error en los equipos en funcionamiento y con errores?
   Respuesta: No se produce ningún error cuando se ejecuta gpupdate /force en el equipo cliente en funcionamiento o en el equipo cliente con errores.

6. ¿Se aplican los GPO antiguos y solo este GPO no?
   Respuesta: Observamos que se aplican los GPO antiguos y solo se aplica este nuevo GPO de fondo de pantalla.

7. ¿Observa que no se aplican todos los usuarios bajo el ámbito de este GPO de Tokio o este problema se observa solo para algunos subconjuntos de usuarios?
   Respuesta: Todos los usuarios del ámbito de este GPO del sitio de Tokio están experimentando este problema, pero los mismos usuarios, si inician sesión desde un equipo cliente en el sitio de Phoenix, no experimenten el problema.

Solución de problemas

En primer lugar, necesitamos recopilar datos en un equipo cliente en Phoenix y en un equipo cliente en Tokio. Siga estos pasos en cada equipo:

1. Descargue TSS y extraiga el archivo ZIP en la carpeta C:\temp . Cree la carpeta si no existe.

2. Inicie sesión con la cuenta de usuario que está experimentando el problema.

3. Abra un comando de PowerShell con privilegios elevados y ejecute el comando :

   Set-ExecutionPolicy unrestricted
   

   

4. Vaya a c:\temp\TSS, donde ha extraído el archivo ZIP de TSS.

5. Ejecute .\TSS.ps1 -Start -Scenario ADS_GPOEx. Acepte el contrato y espere hasta que el TSS empiece a recopilar datos.

   

6. Abra un símbolo del sistema normal como usuario y ejecute gpupdate /force /target:user

7. Cuando se complete el procesamiento, presione Y en el comando de PowerShell donde se ejecuta TSS.

   

8. TSS dejará de recopilar datos y los datos recopilados se ubicarán en la carpeta C:\MSDATA como un archivo ZIP o una carpeta denominada TSS_<Machinename>_<Time>_ADS_GPOEx.

Para obtener más información sobre TSS, vea Introduction to TroubleShootingScript toolset (TSS) (Introducción al conjunto de herramientas de TroubleShootingScript [TSS]).

Comparación de GPResult

En ambos equipos, vaya a la carpeta c:\msdata donde TSS ha guardado todos los informes y, a continuación, extraiga el contenido del archivo ZIP. Revise el archivo denominado <Clientmachinename>_<Time>GPResult-H_Stop.html.

Vaya a la sección Detalles del usuario . El GPO en cuestión, Wallpaper-GPO-Tokyo, está en la lista aplicada en la máquina de trabajo y no está presente en la máquina rota.

Nota:

Hay otros GPO como Mapped-Drive y Phoenix-SiteGPO en las máquinas aplicadas. Sin embargo, estos dos GPO son GPO de nivel de sitio y solo se aplican cuando el cliente de directiva de grupo detecta que la máquina cliente está en el sitio de Phoenix. Por lo tanto, no son relevantes para nuestro ámbito de solución de problemas.

Comparación de registros de eventos

Los registros operativos de directiva de grupo proporcionan más información sobre el procesamiento. Abra los registros operativos del GPO para comparar el <archivo Machinename-Microsoft-Windows-GroupPolicy-Operational.evtx> de la salida de TSS.

Sugerencia

El identificador de evento de inicio de la directiva de grupo es 4116 y el evento final de la directiva de grupo es 8005.

Ordene los registros de eventos en orden cronológico. Busque el evento 4116 y recorda algunos eventos importantes en la dirección ascendente. Al revisar el trabajo y los clientes con errores, la única diferencia es que la máquina cliente con errores obtiene su directiva de grupo de DC6.contoso.com en el sitio de Tokio.

El identificador de evento 5312 indica que el servicio de directiva de grupo detectó que tiene que procesar cinco GPO en el equipo en funcionamiento y tres GPO en el equipo con errores. Como ya hemos analizado, los GPO Phoenix-SiteGPO y Mapped-Drive son GPO de nivel de sitio y la única diferencia es que no se aplica el GPO Wallpaper-GPO-Tokyo .

Resumen

Cuando comparamos el identificador de evento 5312 del equipo de trabajo con el equipo con errores, observamos que el servicio cliente de directiva de grupo no enumeraba el Wallpaper-GPO-Tokyo cuando se conectaba a DC6. También confirmamos que el ámbito de GPO es correcto. Por lo tanto, la causa del escenario anterior puede ser un problema con la replicación de Active Directory (AD).

El motor de replicación del sistema de archivos distribuido (DFSR) depende de la replicación de AD. Si se interrumpe la replicación de AD, la replicación DFSR también se interrumpe. Esto podría provocar el problema en nuestro escenario en el que el GPO no está en la lista "Aplicado" o "Denegado".

Nota:

Si la replicación de AD funciona correctamente y se interrumpe DFSR, podríamos encontrar otro problema en el que el GPO está en la lista De denegación.

Para solucionar el problema de replicación de AD, consulte Error de replicación de Active Directory 1722: El servidor RPC no está disponible. En esta guía de escenario, hemos descubierto un enrutador incorrecto que bloquea el puerto RPC al sitio de Tokio, lo que provocó un problema de replicación de AD.