Delen via

Scenariohandleiding: Groepsbeleidsobject voor achtergrond is niet van toepassing op sommige clientcomputers

In deze scenariohandleiding wordt uitgelegd hoe u TroubleShootingScript (TSS) gebruikt om gegevens te verzamelen om een probleem op te lossen waarbij het groepsbeleidsobject (groepsbeleidsobject) niet van toepassing is op sommige clientcomputers.

Hoe groepsbeleid wordt toegepast op clientcomputers

  1. De service Groepsbeleid op de clientcomputer inventariseert de DN (DN) van het gebruikersaccount.
  2. De groepsbeleidsservice inventariseert de kenmerken GPLINK en GPOptions van het gebruikersaccount in de volgorde van lokaal groepsbeleidsobject, site-GPO, domein en organisatie-eenheid (OE).
  3. De groepsbeleidsservice maakt een lijst met groepsbeleidsobjecten om toe te passen of te weigeren.

Zie Groepsbeleid toepassen en het bereik van een groepsbeleidsobject filteren voor meer informatie.

Guide voor probleemoplossing

Raadpleeg de richtlijnen voor probleemoplossing voor groepsbeleid toepassen voordat u verdergaat.

Omgeving

  • Domeinnaam: contoso.com
  • Active Directory-sites: vier sites (twee domeincontrollers per site) (Phoenix, Londen, Tokio en Mumbai)
  • Aantal domeincontrollers: acht
  • Domeincontrollerbesturingssysteem: Windows Server 2019
  • Besturingssysteem van clientcomputer: Windows 11, versie 22H2

Diagram van de topologie van de omgeving.

In dit scenario

Voordat we beginnen met het oplossen van problemen, volgen hier enkele verkennende vragen die ons kunnen helpen de situatie te begrijpen en de oorzaak van het probleem te beperken:

  1. Wat zijn de client- en serverbesturingssystemen?
    Antwoord: Windows Server 2019-domeincontrollers en Windows 11 versie 22H2-clientcomputers.

  2. Ondervinden alle gebruikers het probleem of alleen sommige gebruikers?
    Antwoord: Het probleem treedt op wanneer een gebruiker zich aanmeldt bij een clientcomputer op de site van Tokio. Als dezelfde gebruiker zich echter aanmeldt vanaf een clientcomputer op de Phoenix-site, is het achtergrondbeleid prima van toepassing.

  3. Welke instellingen worden geconfigureerd met behulp van het groepsbeleidsobject Wallpaper-GPO-Tokyo ?
    Antwoord: Er zijn enkele instellingen en het belangrijkste is een instelling aan de gebruikerszijde met de volgende configuratie:

    • Pad: Gebruikersconfiguratie\Beheersjablonen\Desktop\Desktop\Bureaublad-achtergrond
    • Groepsbeleidsobjectinstelling: ingeschakeld
    • Achtergrondlocatie: \contoso.com\netlogon\home.jpg
    • Achtergrondstijl: Passend

    Schermopname van de groepsbeleidsobjectinstellingen.

  4. Is het groepsbeleidsobject Wallpaper-GPO-Tokyo een nieuw groepsbeleidsobject of een oud groepsbeleidsobject binnen het bereik van de Organisatie-Eenheid van Tokio?
    Antwoord: Dit is een nieuw groepsbeleidsobject dat we hebben geconfigureerd op de Phoenix-site en dit groepsbeleidsobject is een paar dagen geleden gemaakt.

  5. Wanneer u wordt uitgevoerd gpupdate /force /target:user, ziet u foutberichten op de werkende en mislukte computers?
    Antwoord: Er treedt geen fout op wanneer we worden uitgevoerd gpupdate /force op de werkende of mislukte clientcomputer.

  6. Worden de oude GPO's toegepast en is dit groepsbeleidsobject niet?
    Antwoord: We zien dat de oude GPO's worden toegepast en alleen dit nieuwe groepsbeleidsobject voor achtergrond wordt niet toegepast.

  7. Ziet u dat alle gebruikers onder het bereik van dit groepsbeleidsobject uit Tokio niet worden toegepast, of is dit probleem alleen waargenomen voor een deel van de gebruikers?
    Antwoord: Alle gebruikers binnen het bereik van dit groepsbeleidsobject van de Site van Tokio ondervinden dit probleem, maar dezelfde gebruikers, als ze zich aanmelden vanaf een clientcomputer op de Phoenix-site, ondervinden het probleem niet.

Probleemoplossing

Eerst moeten we gegevens verzamelen op zowel een clientcomputer op Phoenix als een clientcomputer in Tokio. Volg deze stappen op elke computer:

  1. Download TSS en pak het ZIP-bestand uit naar de map C:\temp . Maak de map als deze niet bestaat.

  2. Meld u aan met het gebruikersaccount dat het probleem ondervindt.

  3. Open een PowerShell-opdracht met verhoogde bevoegdheid en voer de opdracht uit:

    Set-ExecutionPolicy unrestricted

    De schermopname van het opdrachtresultaat Set-ExecutionPolicy.

  4. Ga naar c:\temp\TSS, waar u het TSS Zip-bestand hebt uitgepakt.

  5. Voer .\TSS.ps1 -Start -Scenario ADS_GPOEx uit. Accepteer de overeenkomst en wacht totdat de TSS begint met het verzamelen van gegevens.

    Schermopname van het hulpprogramma TSS.

  6. Open een normale opdrachtprompt als gebruiker en voer deze uit gpupdate /force /target:user

  7. Wanneer de verwerking is voltooid, drukt u op Y in de PowerShell-opdracht waarop u TSS uitvoert.

    Schermopname van het resultaat van het TSS-hulpprogramma.

  8. TSS stopt met het verzamelen van gegevens en de verzamelde gegevens bevinden zich in de map C:\MSDATA als zip-bestand of een map met de naam TSS_<Machinename>_<Time>_ADS_GPOEx.

Zie Introduction to TroubleShootingScript toolset (TSS) voor meer informatie over TSS.

GPResult vergelijken

Ga op beide computers naar de map c:\msdata waar TSS alle rapporten heeft opgeslagen en pak vervolgens de inhoud van het ZIP-bestand uit. Controleer het bestand met de naam <Clientmachinename>_<Time>GPResult-H_Stop.html.

Ga naar de sectie Gebruikersdetails . Het GPO in kwestie, Wallpaper-GPO-Tokyo, bevindt zich in de toegepaste lijst op de werkmachine en niet aanwezig in de kapotte machine.

Notitie

Er zijn andere GPO's zoals Mapped-Drive en Phoenix-SiteGPO op de toegepaste machines. Deze twee GPO's zijn echter GPO's op siteniveau en zijn alleen van toepassing wanneer de groepsbeleidsclient detecteert dat de clientcomputer zich op de Phoenix-site bevindt. Daarom zijn ze niet relevant voor ons probleemoplossingsbereik.

Schermopname van de resultaten van de gpresult-opdracht.

Gebeurtenislogboeken vergelijken

Operationele logboeken voor groepsbeleid bieden meer informatie over de verwerking. Open beide operationele logboeken van het groepsbeleidsobject om het <bestand Machinename-Microsoft-Windows-GroupPolicy-Operational.evtx> te vergelijken vanuit de TSS-uitvoer.

Tip

De gebeurtenis-id voor het starten van groepsbeleid is 4116 en de laatste gebeurtenis groepsbeleid is 8005.

Sorteer de gebeurtenislogboeken in chronologische volgorde. Zoek naar gebeurtenis 4116 en loop enkele belangrijke gebeurtenissen in de opwaartse richting. Wanneer u de werkende en mislukte clients controleert, is het enige verschil dat de mislukte clientcomputer het groepsbeleid ophaalt van DC6.contoso.com op de site van Tokio.

Schermopname van de operationele gebeurtenislogboeken.

Gebeurtenis-id 5312 geeft aan dat de groepsbeleidsservice heeft gedetecteerd dat het vijf GPO's op de werkende computer en drie GPO's op de mislukte computer moet verwerken. Zoals we al hebben besproken, zijn de Groepsbeleidsobjecten van Phoenix-SiteGPO en Mapped-Drive GPO's op siteniveau en het enige verschil is dat het groepsbeleidsobject Wallpaper-GPO-Tokyo niet wordt toegepast.

Samenvatting

Wanneer we gebeurtenis-id 5312 van de werkende computer vergelijken met de mislukte computer, zien we dat de clientservice groepsbeleid niet de Achtergrond-GPO-Tokio heeft opgesomd wanneer deze is verbonden met DC6. We bevestigen ook dat het groepsbeleidsobjectbereik juist is. Daarom kan de oorzaak van het bovenstaande scenario een probleem zijn met ad-replicatie (Active Directory).

De DFSR-engine (Distributed File System Replication) is afhankelijk van de AD-replicatie. Als ad-replicatie wordt onderbreekt, wordt de DFSR-replicatie ook verbroken. Dit kan leiden tot het probleem in ons scenario waarbij het groepsbeleidsobject zich niet in de lijst 'Toegepast' of 'Geweigerd' bevindt.

Notitie

Als AD-replicatie prima werkt en DFSR wordt verbroken, kunnen we een ander probleem tegenkomen waarbij het groepsbeleidsobject zich in de lijst Weigeren bevindt.

Zie Active Directory-replicatiefout 1722: De RPC-server is niet beschikbaar om het ad-replicatieprobleem op te lossen. In deze scenariogids hebben we een slechte router ontdekt die de RPC-poort blokkeert naar de Site van Tokio, waardoor een AD-replicatieprobleem is veroorzaakt.