Compartilhar via

Guia de cenário: o GPO de papel de parede não se aplica a alguns computadores cliente

Este guia de cenário explica como usar o TSS (TroubleShootingScript) para coletar dados para solucionar um problema no qual o GPO (Objeto de Política de Grupo) de papel de parede não se aplica a alguns computadores cliente.

Como a Diretiva de Grupo é aplicada em computadores cliente

  1. O serviço de Diretiva de Grupo no computador cliente enumera o nome distinto (DN) da conta de usuário.
  2. O serviço de Diretiva de Grupo enumera os atributos GPLINK e GPOptions da conta de usuário na ordem de GPO local, GPO de site, domínio e unidade organizacional (UO).
  3. O serviço de Diretiva de Grupo faz uma lista de GPOs a serem aplicados ou negados.

Para obter mais informações, consulte Aplicando Diretiva de Grupo e Filtrando o Escopo de um GPO.

Guia de Solução de Problemas

Antes de continuar, consulte as diretrizes de solução de problemas de Aplicação da Diretiva de Grupo.

Ambiente

  • Nome de domínio: contoso.com
  • Sites do Active Directory: quatro sites (dois controladores de domínio por site) (Phoenix, Londres, Tóquio e Mumbai)
  • Número de controladores de domínio: oito
  • Sistema operacional do controlador de domínio: Windows Server 2019
  • Sistema operacional do computador cliente: Windows 11, versão 22H2

Diagrama da topologia do ambiente.

Neste cenário

Antes de começarmos a solucionar problemas, aqui estão algumas perguntas de escopo que podem nos ajudar a entender a situação e restringir a causa do problema:

  1. Quais são os sistemas operacionais cliente e servidor?
    Resposta: controladores de domínio do Windows Server 2019 e computadores cliente do Windows 11, versão 22H2.

  2. Todos os usuários estão enfrentando o problema ou apenas alguns usuários?
    Resposta: O problema ocorre quando um usuário entra em um computador cliente no site de Tóquio. No entanto, se o mesmo usuário entrar em um computador cliente no site do Phoenix, a política de papel de parede se aplicará corretamente.

  3. Quais configurações são definidas usando o GPO Wallpaper-GPO-Tokyo ?
    Resposta: Existem algumas configurações, e a mais importante é uma configuração do lado do usuário com a seguinte configuração:

    • Caminho: Configuração do usuário\Modelos administrativos\Área de trabalho\Área de trabalho\Papel de parede da área de trabalho
    • Configuração de GPO: Habilitado
    • Localização do papel de parede: \contoso.com\netlogon\home.jpg
    • Estilo do papel de parede: Fit

    Captura de tela das configurações de GPO.

  4. O GPO Wallpaper-GPO-Tokyo é um GPO novo ou um GPO antigo no escopo da UO de Tóquio?
    Resposta: Este é um novo GPO que configuramos no site do Phoenix e foi criado há alguns dias.

  5. Quando você executa gpupdate /force /target:usero , você observa alguma mensagem de erro nos computadores que estão funcionando e com falha?
    Resposta: Nenhum erro ocorre quando executamos gpupdate /force no computador cliente em funcionamento ou com falha.

  6. Os GPOs antigos são aplicados e apenas este GPO não é?
    Resposta: Observamos que os GPOs antigos são aplicados e somente esse novo GPO de papel de parede não é aplicado.

  7. Você observa que todos os usuários sob o escopo deste GPO de Tóquio não são aplicados ou esse problema é observado apenas para algum subconjunto de usuários?
    Resposta: Todos os usuários no escopo deste GPO do site de Tóquio estão enfrentando esse problema, mas os mesmos usuários, se entrarem de um computador cliente no site de Phoenix, não terão o problema.

Solução de problemas

Primeiro, precisamos coletar dados em um computador cliente em Phoenix e em um computador cliente em Tóquio. Siga estas etapas em cada computador:

  1. Baixe o TSS e extraia o arquivo ZIP para a pasta C:\temp . Crie a pasta se ela não existir.

  2. Entre com a conta de usuário que está enfrentando o problema.

  3. Abra um comando do PowerShell com privilégios elevados e execute o comando:

    Set-ExecutionPolicy unrestricted

    A captura de tela do resultado do comando Set-ExecutionPolicy.

  4. Vá para c:\temp\TSS, onde você extraiu o arquivo TSS Zip.

  5. Execute .\TSS.ps1 -Start -Scenario ADS_GPOEx. Aceite o contrato e aguarde até que o TSS comece a coletar dados.

    Captura de tela da ferramenta TSS.

  6. Abra um prompt de comando normal como usuário e execute gpupdate /force /target:user

  7. Quando o processamento estiver concluído, pressione Y no comando do PowerShell em que você está executando o TSS.

    Captura de tela do resultado da ferramenta TSS.

  8. O TSS interromperá a coleta de dados e os dados coletados estarão localizados na pasta C:\MSDATA como um arquivo Zip ou uma pasta chamada TSS_<Machinename>_<Time>_ADS_GPOEx.

Para obter mais informações sobre o TSS, consulte Introdução ao conjunto de ferramentas TroubleShootingScript (TSS).

Comparar GPResult

Em ambos os computadores, vá para a pasta c:\msdata onde o TSS salvou todos os relatórios e extraia o conteúdo do arquivo ZIP. Examine o arquivo chamado <Clientmachinename>_<Time>GPResult-H_Stop.html.

Vá para a seção Detalhes do usuário. O GPO em questão, Wallpaper-GPO-Tokyo, está na lista aplicada na máquina em funcionamento e não está presente na máquina quebrada.

Observação

Existem outros GPOs como Mapped-Drive e Phoenix-SiteGPO nas máquinas aplicadas. No entanto, esses dois GPOs são GPOs no nível do site e só se aplicam quando o cliente de Diretiva de Grupo detecta que o computador cliente está no site do Phoenix. Portanto, eles não são relevantes para nosso escopo de solução de problemas.

Captura de tela dos resultados do comando gpresult.

Comparar logs de eventos

Os logs operacionais da Diretiva de Grupo fornecem mais informações sobre o processamento. Abra os dois logs operacionais do GPO para comparar o <arquivo Machinename-Microsoft-Windows-GroupPolicy-Operational.evtx> da saída do TSS.

Dica

A ID do evento inicial da Política de Grupo é 4116 e o evento final da Política de Grupo é 8005.

Classifique os logs de eventos em ordem cronológica. Procure o evento 4116 e caminhe alguns eventos importantes na direção ascendente. Ao examinar os clientes em funcionamento e com falha, a única diferença é que a máquina cliente com falha obtém sua Política de Grupo de DC6.contoso.com no site de Tóquio.

Captura de tela dos logs de eventos operacionais.

A ID do Evento 5312 indica que o serviço de Diretiva de Grupo detectou que precisa processar cinco GPOs no computador em funcionamento e três GPOs no computador com falha. Como já discutimos, os GPOs Phoenix-SiteGPO e Mapped-Drive são GPOs no nível do site, e a única diferença é que o GPO Wallpaper-GPO-Tokyo não é aplicado.

Resumo

Quando comparamos a ID de evento 5312 do computador de trabalho com o computador com falha, observamos que o serviço cliente de Diretiva de Grupo não enumerou o Wallpaper-GPO-Tokyo quando se conectou ao DC6. Também confirmamos que o escopo do GPO está correto. Portanto, a causa do cenário acima pode ser um problema com a replicação do Active Directory (AD).

O mecanismo de Replicação do Sistema de Arquivos Distribuído (DFSR) depende da replicação do AD. Se a replicação do AD for interrompida, a replicação DFSR também será interrompida. Isso pode levar ao problema em nosso cenário em que o GPO não está na lista "Aplicado" ou "Negado".

Observação

Se a replicação do AD funcionar bem e o DFSR for interrompido, poderemos encontrar outro problema em que o GPO esteja na lista de negações.

Para solucionar o problema de replicação do AD, consulte Erro de replicação do Active Directory 1722: o servidor RPC não está disponível. Neste guia de cenário, descobrimos um roteador inválido que bloqueia a porta RPC para o site de Tóquio, o que causou um problema de replicação do AD.