Поделиться через

Указания по устранению неполадок, связанных с применением групповой политики

Попробуйте наш виртуальный агент . Это поможет быстро определить и устранить распространенные проблемы с репликацией Active Directory

В этом руководстве приведены основные понятия, используемые для устранения неполадок групповой политики. Вы узнаете:

  • Как найти новые сведения об устранении неполадок.
  • Как использовать Просмотр событий для фильтрации определенных сведений о групповой политике.
  • Чтение и интерпретация данных событий.
  • Исправьте методы для определения точки сбоя.

Контрольный список по устранению неполадок

  1. Начните с чтения событий групповой политики, записанных в журнале системных событий.

    • Предупреждающие события предоставляют дополнительную информацию, которую вы можете использовать для обеспечения стабильной работы службы групповой политики.
    • События ошибок предоставляют сведения, описывающие сбой и возможные причины.
    • Используйте ссылку "Дополнительные сведения", включенную в сообщение о событии.
    • Используйте вкладку "Сведения" для просмотра кодов ошибок и описаний.

  2. Используйте операционный журнал групповой политики.

    • Определите идентификатор активности экземпляра обработки групповых политик, который вы устраняете.
    • Создайте пользовательское представление операционного журнала.
    • Разделите журнал на этапы: предварительная обработка, обработка и после обработки.
    • Консолидируйте каждое начальное событие с соответствующим конечным событием. Изучите все предупреждения и ошибки.
    • Изолируйте и устраните неполадки зависимого компонента.
    • Используйте команду обновления групповой политики (GPUPDATE) для обновления групповой политики. Повторите эти действия, чтобы определить, повторяется ли предупреждение или ошибка.

Внимание

Обновление групповой политики изменяет идентификатор действия в пользовательском представлении. При устранении неполадок обязательно обновите пользовательское представление с использованием самого текущего идентификатора действия.

Определите экземпляр обработки групповой политики

Прежде чем просматривать операционный журнал групповой политики, необходимо сначала определить экземпляр обработки групповой политики, которая завершилась сбоем.

Чтобы определить экземпляр обработки групповой политики, выполните следующие действия.

  1. Откройте Просмотр событий.
  2. В разделе Просмотр событий (локальный) выберите систему журналов>Windows.
  3. Дважды щелкните предупреждение групповой политики или ошибку, которую необходимо устранить.
  4. Перейдите на вкладку "Сведения" и установите флажок "Понятное представление". Выберите "Система", чтобы развернуть узел system .
  5. Найдите activityID в сведениях о системном узле. Используйте это значение (без открывающих и закрывающих фигурных скобок) в запросе. Скопируйте это значение в Блокнот, чтобы он был доступен вам позже, и нажмите кнопку "Закрыть".

Создание пользовательского представления экземпляра групповой политики

Компьютер часто имеет несколько экземпляров обработки групповой политики. Компьютеры, предназначенные для запуска служб терминалов, обычно имеют несколько экземпляров обработки групповой политики и одновременно работают. Поэтому важно отфильтровать журнал операционных событий групповой политики, чтобы отобразить только события для экземпляра, который вы устраняете.

Используйте следующую процедуру, чтобы создать пользовательское представление экземпляра групповой политики. Это можно сделать с помощью запроса Просмотр событий. Этот запрос создает отфильтрованное представление операционного журнала групповой политики для определенного экземпляра обработки групповой политики.

Чтобы создать пользовательское представление экземпляра групповой политики, выполните следующие действия.

  1. Откройте Просмотр событий.

  2. Щелкните правой кнопкой мыши настраиваемые представления и выберите "Создать пользовательское представление".

  3. Выберите вкладку XML и установите флажок "Изменить запрос вручную". В Просмотр событий отображается диалоговое окно, объясняющее, что редактирование запроса вручную запрещает изменение запроса с помощью вкладки "Фильтр". Нажмите кнопку "Да".

  4. Скопируйте запрос Просмотр событий (предоставленный в конце этого шага) в буфер обмена. Вставьте запрос в поле "Запрос ".

    <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

  5. Скопируйте идентификатор действия, сохраненный ранее из раздела "Определение экземпляра обработки групповой политики" в буфер обмена. В поле запроса выделите "INSERT ACTIVITY ID HERE", а затем нажмите клавиши CTRL+V, чтобы вставить ActivityID по тексту.

    Примечание.

    Не следует вставлять фигурные скобки в начале и конечные скобки ({ }). Для правильной работы запроса необходимо включить эти фигурные скобки.

  6. В диалоговом окне "Сохранить фильтр в пользовательское представление" введите имя и описание, понятное для созданного представления. Нажмите кнопку ОК.

  7. Имя сохраненного представления отображается в разделе "Пользовательские представления". Выберите имя сохраненного представления, чтобы отобразить его события в Просмотр событий.

Внимание

Служба групповой политики назначает уникальный идентификатор ActivityID для каждого экземпляра обработки политики. Например, служба групповой политики назначает уникальный идентификатор activityID при обработке политики пользователя во время входа пользователя. При обновлении групповой политики служба групповой политики назначает другому уникальному идентификатору ActivityID экземпляру групповой политики, ответственному за обновление политики пользователя.

Убедитесь, что в групповой политике есть все параметры, которые вы ищете, и он правильно связан. Ниже приведены вкладки, которые необходимо пройти. Если все они выглядят хорошо, перейдите на проблемный клиентский компьютер.

  1. Откройте командную строку с повышенными привилегиями и выполните следующую команду.

    gpresult /h gp.html

  2. Проверьте выходные gpresult данные, которые вы захватили, и найдите объект групповой политики, с которыми у вас возникли проблемы. Он даст ошибку о том, почему объект групповой политики не применяется.

  3. Если в выходных gpresult данных возникла ошибка, мы можем устранить проблему на ее основе. В противном случае переходите к следующему шагу.

  4. Откройте Просмотр событий и перейдите к журналам событий приложения и системы. Журнал событий приложения даст вам подробные сведения о том, почему обновление групповой политики завершается положительным сбоем.

  5. Откройте журнал операционных событий для получения более подробных сведений. Существуют события со списком примененных объектов групповой политики и списком запрещенных объектов групповой политики с причиной.

Большинство проблем групповой политики можно устранить с помощью этих базовых журналов.

Файлы журнала групповой политики

Вы можете включить подробное ведение журнала и проверить полученные файлы журналов. Подробное ведение журнала может снизить производительность и использовать значительное дисковое пространство, поэтому рекомендуется включить подробное ведение журнала только при необходимости.

Включение ведения журнала службы групповой политики (GPSvc)

На клиенте, на котором возникает проблема групповой политики, выполните следующие действия, чтобы включить ведение журнала отладки службы групповой политики.

  1. Откройте редактор реестра.

  2. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

  3. В меню "Изменить" выберите "Создать>ключ".

  4. Введите диагностику и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши подраздел "Диагностика", выберите "Создать>DWORD" (32-разрядное значение).

  6. Введите GPSvcDebugLevel и нажмите клавишу ВВОД.

  7. Щелкните правой кнопкой мыши GPSvcDebugLevel и выберите пункт "Изменить".

  8. В поле "Значение" введите 30002 (шестнадцатеричное), а затем нажмите кнопку "ОК".

  9. Закройте редактор реестра.

  10. В окне командной строки выполните gpupdate /force команду и нажмите клавишу ВВОД.

Затем просмотрите файл Gpsvc.log в следующей папке: %windir%\debug\usermode

Примечание.

Если папка usermode не существует, создайте ее в папке %windir%\debug. Если папка пользовательскогоmode не существует в папке %WINDIR%\debug\, файл gpsvc.log не будет создан.

Распространенные проблемы и решения

Идентификатор события 1129

Идентификатор события 1129 регистрируется, если групповая политика не применяется из-за проблем с сетевым подключением.

В этом случае подключение к порту LDAP для упрощенного доступа к каталогу блокируется на контроллере домена. Команда завершается сбоем со следующей gpupdate ошибкой:

При проверке журнала событий можно найти следующее описание события:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

В этом случае включите журнал отладки gpsvc. В журнале gpsvc вы можете найти выходные данные GetLdapHandle: Не удалось подключить <dc> с 81.

Включите трассировку сети для проверки:

  • На уровне сайта выполняется запрос ldap.
  • Запрос возвращает две записи для этого сайта, владеющего ролью службы ldap.
  • Для одного из них мы видим, что разрешение имен выполняется.
  • Так как разрешение имен успешно выполнено, он пытается выполнить привязку ldap, но завершается ошибкой подтверждения TCP, так как порт 389 заблокирован.
  • Если нет ответа от контроллера домена для подтверждения TCP через порт 389, следующие шаги необходимо включить в группу сети клиентов и предоставить им эти сведения.
  • Убедитесь, что в таких сценариях вы используете все журналы, указанные в приведенном выше плане действий, коррелируете их и приведет к первопричине или по крайней мере сузите проблему.

Идентификатор события 1002

Ниже приведено описание идентификатора события 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

Это событие ошибки обычно разрешается, когда компьютер возвращается из состояния низкого ресурса. Возможные разрешения:

  1. Убедитесь, что компьютер не хватает памяти или свободного места на диске.
  2. Перезапустите компьютер, если он работает в течение длительного периода.

Идентификатор события 1006

Ниже приведено описание идентификатора события 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

Это событие ошибки обычно разрешается после исправления привязки к каталогу. Служба групповой политики регистрирует код ошибки, который отображается на вкладке "Сведения" сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичный) и поля описания ошибок далее определяют причину сбоя. Оцените код ошибки со следующим списком:

  • Код ошибки 5 (доступ запрещен)

    Этот код ошибки может указывать на то, что у пользователя нет разрешения на доступ к Active Directory.

  • Код ошибки 49 (недопустимые учетные данные)

    Этот код ошибки может указывать на то, что срок действия пароля пользователя истек, пока пользователь по-прежнему зарегистрирован на компьютере. Чтобы исправить недопустимые учетные данные, выполните приведенные ниже действия.

    1. Измените пароль пользователя.
    2. Блокировка и разблокировка рабочей станции.
    3. Проверьте наличие системных служб, работающих в качестве учетной записи пользователя.
    4. Проверьте правильность пароля в конфигурации службы для учетной записи пользователя.

  • Код ошибки : 258 (время ожидания)

    Этот код ошибки может указывать на неправильность конфигурации DNS. Чтобы устранить проблемы с временем ожидания, используйте nslookup средство для подтверждения _ldap._tcp.<Записи домен-dns-name> регистрируются и указывают на правильные серверы (где <домен-dns-имя является полным доменным именем> домена Active Directory).

    Примечание.

    Эти действия могут иметь различные результаты, если сеть ограничивает или блокирует пакеты протокола ICMP.

Идентификатор события 1030

Ниже приведено описание идентификатора события 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Проверьте, открыты ли порты LDAP. Если нет, убедитесь, что порты открыты на брандмауэре и локально на клиенте и контроллере домена.

Определение блока портов

Убедитесь, что разрешение DNS-имен, в котором клиент не может разрешить имя узла.

  • Если клиент не может разрешить имя узла, рекомендуется проверить последовательность разрешения имен узла, указанную выше, что клиент должен использовать. Если имя не существует ни в одном из ресурсов, которые использует клиент, необходимо решить, какой ресурс нужно добавить. Если имя существует в одном из ресурсов, таких как DNS-сервер или сервер Службы доменных имен Windows (WINS), и клиент не разрешает имя правильно, обратите внимание на устранение неполадок с определенным ресурсом.
  • Кроме того, убедитесь, что клиент пытается разрешить имя узла, а не имя NetBIOS. Многие приложения имеют несколько методов, которые они могут использовать для разрешения имен. Это особенно верно для приложений почты и баз данных. Приложение может быть настроено для подключения к ресурсам с помощью NetBIOS. В зависимости от конфигурации клиента клиент может обойти разрешение имен узла. Оттуда необходимо либо изменить тип подключения на сокеты TCP/IP, либо устранить проблему в качестве проблемы NetBIOS.

Разрешение контейнера групповой политики

Используйте следующий командлет Get-GPPermission PowerShell, чтобы получить уровень разрешений для всех субъектов безопасности в указанном объекте групповой политики:

Get-GPPermission -Name "TestGPO" -All

Идентификатор события 1058

Ниже приведено описание идентификатора события 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Правильное подключение к шаблону групповой политики. Служба групповой политики записывает имя контроллера домена и код ошибки, который отображается на вкладке "Сведения" сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичный) и поля описания ошибок далее определяют причину сбоя. Оцените код ошибки со следующим списком:

  • Код ошибки 3 (система не может найти указанный путь)

    Этот код ошибки обычно указывает, что клиентский компьютер не может найти путь, указанный в событии. Чтобы проверить подключение клиента к sysvol контроллера домена, выполните следующие действия.

    1. Определите контроллер домена, используемый компьютером. Имя контроллера домена регистрируется в сведениях об ошибке.

    2. Определите, происходит ли сбой во время обработки пользователя или компьютера. Для обработки политики пользователя поле "Пользователь " события будет отображать допустимое имя пользователя; для обработки политики компьютера поле "Пользователь " будет отображаться "SYSTEM".

    3. Создайте полный сетевой путь к gpt.ini как \\<dcName\SYSVOL\<domain>\Policies\guid>\<gpt.ini где <dcName>> — имя контроллера домена, <домен> — имя домена, а <guid — guid> папки политики. Все сведения отображаются в событии.

    4. Убедитесь, что вы можете прочитать gpt.ini с помощью полного сетевого пути, полученного на предыдущем шаге. Для этого откройте окно командной строки и введите <file_path, где <file_path>> путь, созданный на предыдущем шаге, и нажмите клавишу ВВОД.

      Примечание.

      Эта команда должна выполняться как пользователь или компьютер, учетные данные которого ранее завершилось сбоем.

  • Код ошибки 5 (доступ запрещен)

    Этот код ошибки обычно указывает, что у пользователя или компьютера нет соответствующих разрешений для доступа к пути, указанному в событии. На контроллере домена убедитесь, что пользователь и компьютер имеют соответствующее разрешение на чтение пути, указанного в событии. Чтобы проверить учетные данные компьютера и пользователя, выполните следующие действия.

    1. Выйдите и перезагрузите компьютер.
    2. Войдите на компьютер с учетными данными домена, которые ранее использовались.

  • Код ошибки 53 (сетевой путь не найден)

    Этот код ошибки обычно указывает, что компьютер не может разрешить имя в предоставленном сетевом пути. Чтобы проверить разрешение имен сетевых путей, выполните следующие действия.

    1. Определите контроллер домена, используемый компьютером. Имя контроллера домена регистрируется в сведениях о событии ошибки.
    2. Попробуйте подключиться к общей папке netlogon на контроллере домена с помощью пути \\<dcName\netlogon, где <dcName>> — имя контроллера домена в событии ошибки.

Идентификатор события 1053

Ниже приведено описание идентификатора события 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Служба групповой политики регистрирует имя контроллера домена и код ошибки. Эта информация отображается на вкладке "Сведения" сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичный) и поля описания ошибок далее определяют причину сбоя. Оцените код ошибки со следующим списком:

  • Код ошибки 5 (доступ запрещен). Этот код ошибки может указать, что срок действия пароля пользователя истек, пока пользователь все еще был зарегистрирован на компьютере. Если пользователь недавно изменил пароль, проблема может исчезнуть после успешной репликации Active Directory.

    1. Измените пароль пользователя.
    2. Блокировка и разблокировка рабочей станции.
    3. Проверьте наличие системных служб, работающих в качестве учетной записи пользователя.
    4. Убедитесь, что пароль в конфигурации службы правильно подходит для учетной записи пользователя.

  • Код ошибки 14 (недостаточно хранилища доступно для выполнения этой операции)

    Этот код ошибки может указывать на то, что у Windows недостаточно памяти для выполнения задачи. Изучите журнал событий системы для любых других проблем, связанных с памятью.

  • Код ошибки 525 (указанный пользователь не существует)

    Этот код ошибки может указывать на неправильные разрешения в подразделении. Пользователю требуется доступ на чтение к подразделению, содержащую объект пользователя. Аналогичным образом компьютеры требуют доступа на чтение к подразделению, содержаму объект компьютера.

  • Код ошибки 1355 (указанный домен либо не существует, либо не удалось связаться)

    Этот код ошибки может указывать на ошибку или неправильную конфигурацию с разрешением имен (DNS). Используйте nslookup для подтверждения, чтобы разрешить адреса контроллеров домена в домене пользователя.

  • Код ошибки 1727 (сбой вызова удаленной процедуры и не выполнен)

    Этот код ошибки может указывать на то, что правила брандмауэра препятствуют обмену данными с контроллером домена. Если у вас установлено стороннее программное обеспечение брандмауэра, проверьте конфигурацию брандмауэра или попробуйте временно отключить его и убедиться, что процессы групповой политики успешно выполнены.

Идентификатор события 1097

Ниже приведено описание идентификатора события 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

Компьютеры домена проходят проверку подлинности в домене, как и пользователи домена. Windows требует, чтобы компьютер входить в систему, прежде чем он сможет применить групповую политику к компьютеру. Возможные разрешения:

  • Убедитесь, что время на компьютере синхронизировано с временем на контроллере домена.
  • Учетная запись неправильной настройки часового пояса, если компьютер настроен в часовом поясе, отличном от контроллера домена.
  • Разница во времени, превышающая пять минут между компьютером и контроллером домена, может привести к сбою проверки подлинности компьютера с доменом. Принудительное синхронизацию времени со службой w32tm /resync времени с помощью команды.
  • Перезагрузите компьютер.

Идентификатор события 4016 и идентификатор события 5016

Во время периодического обновления групповой политики служба использует сведения, собранные на этапе предварительной обработки, для применения каждого параметра политики. Служба выполняет это путем передачи ранее собранных сведений каждому из системных и несистемных расширений на стороне клиента. Этот этап начинается с записи события обработки расширения на стороне клиента (CSE).

ИД события Тип события Описание
4016 Информационный Служба групповой политики регистрирует это событие при каждом запуске клиентского расширения групповой политики.
5016 Удачное завершение Служба групповой политики регистрирует это событие, когда клиентское расширение групповой политики успешно завершает обработку.

При переходе на вкладку "Сведения" в разделе "Идентификатор события 5016" можно найти следующее состояние возврата:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Примечание.

Возвращаемое значение "-2147483638 (E_PENDING)" ожидается и по проектированию во время обработки расширения на стороне клиента. Он указывает, что асинхронный поток успешно запущен подсистемой групповой политики для обработки сведений о расширении аудита. Это также означает, что возвращаемое значение будет зарегистрировано, даже если новые параметры аудита эффективны или применены к клиентам.

Определение расширенного расширения клиента аудита (AuditCSE)

После получения возвращаемого значения 2147483658 из идентификатора события 5016 можно просмотреть подробные события уровня обработки AuditCSE в журнале событий Security-Audit-Configuration-Client>Operations. Эта информация полезна для наблюдения за обработкой параметров групповой политики расширенного аудита и таким образом обнаруживать ошибки или ошибки.

  1. Расширение на стороне клиента аудита (Auditcse.dll) обрабатывает расширения на стороне клиента аудита.
  2. Он имеет собственное ведение журнала в журнале security-Audit-Configuration-Client>Operations.

Выполните следующие действия, чтобы просмотреть журнал событий Security-Audit-Configuration-Client>Operations для устранения неполадок параметров групповой политики аудита:

  1. Откройте средство просмотра событий.
  2. В разделе Просмотр событий (локальный)выберите "Приложения и службы" журналы>Microsoft>Windows>Security-Audit-Configuration-Client>Operations.
  3. Дважды щелкните события предупреждения или ошибки , чтобы устранить неполадки. Также просмотрите вкладку "Сведения" для этих событий для любого значения ошибки .
  4. Кроме того, просмотрите информационное событие, чтобы записать полную обработку расширения audit.

Сбор сведений о ключе перед обращением к служба поддержки Майкрософт

Прежде чем завершить запрос на поддержку, рекомендуется использовать функцию дампа Windows Live для сохранения моментального снимка памяти ядра на затронутом компьютере. Для этого выполните следующие шаги.

  1. Подробное ведение журнала службы групповой политики, выполнив следующие команды:

    md %windir%\debug\usermode

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"

  2. Обновите параметры групповой политики на основе AD с помощью gpupdate /force команды.

    Совет

    Используйте одну из приведенных ниже команд, если устранить неполадки с определенным пользователем или компьютером, отсутствующими параметрами:

    • Gpupdate /force /target:computer
    • Gpupdate /force /target:user

  3. Сохраните отчет результирующий набор политик (RSoP) в HTML-файл, выполнив следующую команду:

    gpresult /h %Temp%\GPResult.htm

  4. Сохраните сводные данные RSoP в txt-файле, выполнив следующую команду:

    gpresult /r >%Temp%\GPResult.txt

  5. Экспортируйте разделы реестра GPExtensions, выполнив следующую команду:

    reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg

  6. Экспортируйте журналы средства просмотра операционных событий системы, приложения и групповой политики, выполнив следующие команды:

    wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true

wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true

wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true

  7. Захватить следующие файлы:

    • %Temp%\Application.evtx
    • %Temp%\System.evtx
    • %Temp%\GroupPolicy.evtx
    • %Temp%\GPExtensions.reg
    • %Temp%\GPResult.txt
    • %Temp%\GPResult.html
    • %windir%\debug\usermode\gpsvc.log

  8. По завершении можно остановить ведение журнала службы групповой политики, выполнив следующую команду:

    reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f

Сбор данных

Если вам нужна помощь от поддержки Майкрософт, рекомендуется собирать сведения, выполнив действия, описанные в статье "Сбор сведений" с помощью TSS для проблем групповой политики.