Udostępnij za pośrednictwem

Wskazówki dotyczące rozwiązywania problemów ze stosowaniem zasad grupy

  • Artykuł

Wypróbuj naszego agenta wirtualnego — może pomóc w szybkim zidentyfikowaniu i rozwiązaniu typowych problemów z replikacją usługi Active Directory

Ten przewodnik zawiera podstawowe pojęcia używane do rozwiązywania problemów z zasadami grupy. Dowiesz się:

  • Jak zlokalizować nowe informacje dotyczące rozwiązywania problemów.
  • Jak używać Podgląd zdarzeń do filtrowania określonych informacji zasad grupy.
  • Jak odczytywać i interpretować dane zdarzeń.
  • Poprawne metody lokalizowania punktu awarii.

Lista kontrolna rozwiązywania problemów

  1. Zacznij od odczytania zdarzeń zasad grupy zarejestrowanych w dzienniku zdarzeń systemu.

    • Zdarzenia ostrzegawcze zawierają dodatkowe informacje, które należy sprawdzić, aby upewnić się, że usługa zasad grupy pozostaje w dobrej kondycji.
    • Zdarzenia błędów zawierają informacje opisujące awarię i prawdopodobne przyczyny.
    • Użyj linku Więcej informacji zawartego w komunikacie o zdarzeniu.
    • Użyj karty Szczegóły, aby wyświetlić kody błędów i opisy.

  2. Użyj dziennika operacyjnego zasad grupy.

    • Zidentyfikuj identyfikator działania wystąpienia w odniesieniu do przetwarzania zasad grupy, które rozwiązujesz.
    • Utwórz niestandardowy widok dziennika operacyjnego.
    • Podziel dziennik na fazy: wstępne przetwarzanie, przetwarzanie i przetwarzanie końcowe.
    • Skonsoliduj każde zdarzenie początkowe z odpowiadającym mu zdarzeniem końcowym. Przenalizuj wszystkie zdarzenia ostrzegawcze i błędy.
    • Izolowanie i rozwiązywanie problemów ze składnikiem zależnym.
    • Użyj polecenia aktualizacji zasad grupy (GPUPDATE), aby odświeżyć zasady grupy. Powtórz te kroki, aby określić, czy ostrzeżenie lub błąd nadal istnieje.

Ważne

Odświeżanie zasad grupy zmienia identyfikator działania w widoku niestandardowym. Pamiętaj, aby zaktualizować widok niestandardowy przy użyciu najbardziej aktualnego identyfikatora działania podczas rozwiązywania problemów.

Określenie wystąpienia przetwarzania zasad grupy

Przed wyświetleniem dziennika operacyjnego zasad grupy należy najpierw określić wystąpienie przetwarzania zasad grupy, które zakończyło się niepowodzeniem.

Aby określić wystąpienie przetwarzania zasad grupy, wykonaj następujące kroki:

  1. Otwórz narzędzie Podgląd zdarzeń.
  2. W obszarze Podgląd zdarzeń (lokalny) wybierz pozycję System dzienników>systemu Windows.
  3. Kliknij dwukrotnie ostrzeżenie lub zdarzenie błędu dla zasad grupy, które chcesz rozwiązać.
  4. Wybierz kartę Szczegóły , a następnie zaznacz pozycję Przyjazny widok. Wybierz pozycję System, aby rozwinąć węzeł System .
  5. Znajdź identyfikator ActivityID w szczegółach węzła systemowego. Ta wartość jest używana (bez nawiasów klamrowych otwierających i zamykających) w zapytaniu. Skopiuj tę wartość do Notatnika, aby była dostępna później, a następnie wybierz pozycję Zamknij.

Tworzenie niestandardowego widoku wystąpienia zasad grupy

Komputer często ma więcej niż jedno wystąpienie przetwarzania zasad grupy. Komputery dedykowane do uruchamiania usług terminalowych zwykle mają więcej niż jedno wystąpienie przetwarzania zasad grupy i działają jednocześnie. Dlatego ważne jest, aby filtrować dziennik zdarzeń operacyjnych zasad grupy, aby wyświetlić tylko zdarzenia dla wystąpienia, które rozwiązujesz.

Poniższa procedura umożliwia utworzenie niestandardowego widoku wystąpienia zasad grupy. W tym celu należy użyć zapytania Podgląd zdarzeń. To zapytanie tworzy filtrowany widok dziennika operacyjnego zasad grupy dla określonego wystąpienia przetwarzania zasad grupy.

Aby utworzyć niestandardowy widok wystąpienia zasad grupy, wykonaj następujące kroki:

  1. Otwórz narzędzie Podgląd zdarzeń.

  2. Kliknij prawym przyciskiem myszy pozycję Widoki niestandardowe, a następnie wybierz polecenie Utwórz widok niestandardowy.

  3. Wybierz kartę XML , a następnie zaznacz pole wyboru Edytuj zapytanie ręcznie . W Podgląd zdarzeń zostanie wyświetlone okno dialogowe z wyjaśnieniem, że ręczne edytowanie zapytania uniemożliwia modyfikowanie zapytania przy użyciu karty Filtr. Wybierz przycisk Tak.

  4. Skopiuj zapytanie Podgląd zdarzeń (podane na końcu tego kroku) do schowka. Wklej zapytanie w polu Zapytanie .

    <QueryList><Query Id="0" Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']</Select></Query></QueryList>

  5. Skopiuj identyfikator ActivityID wcześniej zapisany w sekcji Określanie wystąpienia przetwarzania zasad grupy do schowka. W polu Zapytanie zaznacz pole "WSTAW IDENTYFIKATOR DZIAŁANIA TUTAJ", a następnie naciśnij Ctrl+V, aby wkleić identyfikator działania nad tekstem.

    Uwaga 16.

    Pamiętaj, aby nie wkleić nawiasów klamrowych wiodących i końcowych ({ }). Aby zapytanie działało prawidłowo, należy uwzględnić te nawiasy klamrowe.

  6. W oknie dialogowym Zapisz filtr do widoku niestandardowego wpisz nazwę i opis zrozumiały dla utworzonego widoku. Wybierz przycisk OK.

  7. Nazwa zapisanego widoku jest wyświetlana w obszarze Widoki niestandardowe. Wybierz nazwę zapisanego widoku, aby wyświetlić jego zdarzenia w Podgląd zdarzeń.

Ważne

Usługa Zasad grupy przypisuje unikatowy identyfikator ActivityID dla każdego wystąpienia przetwarzania zasad. Na przykład usługa zasad grupy przypisuje unikatowy identyfikator ActivityID podczas przetwarzania zasad użytkownika podczas logowania użytkownika. Po odświeżeniu zasad grupy usługa zasad grupy przypisuje inny unikatowy identyfikator działania do wystąpienia zasad grupy odpowiedzialnych za odświeżanie zasad użytkownika.

Upewnij się, że zasady grupy mają wszystkie ustawienia, których szukasz, i że są poprawnie połączone. Poniżej znajdują się karty, które należy przejrzeć. Jeśli wszystkie z nich wyglądają dobrze, przejdź do problematycznej maszyny klienckiej.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie.

    gpresult /h gp.html

  2. gpresult Sprawdź przechwycone dane wyjściowe i poszukaj obiektu zasad grupy, z którym masz problemy. Spowoduje to wyświetlenie błędu dotyczącego tego, dlaczego obiekt zasad grupy nie jest stosowany.

  3. Jeśli w danych wyjściowych gpresult wystąpi błąd, możemy rozwiązać problem na podstawie tego problemu. W przeciwnym razie przejdź do następnego kroku.

  4. Otwórz Podgląd zdarzeń i przejdź do dzienników zdarzeń aplikacji i systemu. Dziennik zdarzeń aplikacji zawiera szczegółowe informacje o tym, dlaczego aktualizacja zasad grupy nie powiedzie się pozytywnie.

  5. Otwórz dziennik zdarzeń operacyjnych, aby uzyskać bardziej szczegółowe informacje. Istnieją zdarzenia z listą zastosowanych obiektów zasad grupy i lista odrzuconych obiektów zasad grupy z przyczyną.

Większość problemów z obiektem zasad grupy można rozwiązać przy użyciu tych podstawowych dzienników.

Pliki dziennika zasad grupy

Możesz włączyć pełne rejestrowanie i zbadać wynikowe pliki dziennika. Pełne rejestrowanie może zmniejszyć wydajność i zużywać znaczną ilość miejsca na dysku, dlatego najlepszym rozwiązaniem jest włączenie pełnego rejestrowania tylko wtedy, gdy jest to konieczne.

Włączanie rejestrowania usługi zasad grupy (GPSvc)

Na kliencie, na którym występuje problem z obiektem zasad grupy, wykonaj następujące kroki, aby włączyć rejestrowanie debugowania usługi zasad grupy.

  1. Uruchom Edytor rejestru.

  2. Odszukaj i wybierz następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

  3. W menu Edycja wybierz pozycję Nowy>klucz.

  4. Wpisz diagnostykę, a następnie naciśnij Enter.

  5. Kliknij prawym przyciskiem myszy podklucz Diagnostyka, wybierz pozycję Nowa>wartość DWORD (32-bitowa).

  6. Wpisz GPSvcDebugLevel, a następnie naciśnij Enter.

  7. Kliknij prawym przyciskiem myszy gpSvcDebugLevel, a następnie wybierz polecenie Modyfikuj.

  8. W polu Dane wartości wpisz wartość 30002 (szesnastkowa), a następnie wybierz przycisk OK.

  9. Zamknij Edytor rejestru.

  10. W oknie wiersza polecenia uruchom gpupdate /force polecenie, a następnie naciśnij Enter.

Następnie wyświetl plik Gpsvc.log w następującym folderze: %windir%\debug\usermode

Uwaga 16.

Jeśli folder usermode nie istnieje, utwórz go w folderze %windir%\debug. Jeśli folder usermode nie istnieje w folderze %WINDIR%\debug\, nie zostanie utworzony plik gpsvc.log.

Typowe problemy i rozwiązania

Identyfikator zdarzenia 1129

Identyfikator zdarzenia 1129 jest rejestrowany, gdy nie można zastosować zasad grupy z powodu problemów z łącznością sieciową.

W takim przypadku łączność z portem 389 protokołu LDAP (Lightweight Directory Access Protocol) jest zablokowana na kontrolerze domeny. Polecenie gpupdate kończy się niepowodzeniem z powodu następującego błędu:

Podczas sprawdzania dziennika zdarzeń można znaleźć następujący opis zdarzenia:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

W tym przypadku włącz dziennik debugowania gpsvc. W dzienniku gpsvc można znaleźć dane wyjściowe "GetLdapHandle: Nie można nawiązać połączenia z <kontrolerem> domeny z 81".

Włącz śledzenie sieci w celu zweryfikowania:

  • Na poziomie lokacji jest wykonywane zapytanie ldap.
  • Zapytanie zwraca dwa wpisy dla tej witryny, które przechowują rolę usługi ldap.
  • W przypadku jednego z nich możemy zobaczyć, że trwa rozpoznawanie nazw.
  • Ponieważ rozpoznawanie nazw zakończyło się pomyślnie, próbuje wykonać powiązanie ldap, ale kończy się niepowodzeniem podczas uzgadniania protokołu TCP, ponieważ port 389 jest zablokowany.
  • Jeśli nie ma odpowiedzi od kontrolera domeny dla naszego uzgadniania TCP na porcie 389, następnym krokiem jest zaangażowanie zespołu ds. sieci klienta i podanie im tych informacji.
  • Upewnij się, że w takich scenariuszach użyjesz wszystkich dzienników określonych w powyższym planie działania, skorelujesz je i doprowadzisz do głównej przyczyny lub przynajmniej zawęzisz problem.

Identyfikator zdarzenia 1002

Oto opis zdarzenia o identyfikatorze 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle.

To zdarzenie błędu jest zwykle rozwiązywane, gdy komputer powraca ze stanu niskiego zasobu. Możliwe rozwiązania obejmują:

  1. Upewnij się, że komputer nie ma małej ilości pamięci ani dostępnego miejsca na dysku.
  2. Uruchom ponownie komputer, jeśli działa przez dłuższy czas.

Identyfikator zdarzenia 1006

Oto opis zdarzenia o identyfikatorze 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description.

To zdarzenie błędu jest zwykle rozwiązywane po skorygowaniu powiązania z katalogem. Usługa zasad grupy rejestruje kod błędu wyświetlany na karcie Szczegóły komunikatu o błędzie w Podgląd zdarzeń. Kod błędu (wyświetlany jako liczba dziesiętna) i pola opisu błędu dodatkowo identyfikują przyczynę błędu. Oceń kod błędu z poniższą listą:

  • Kod błędu 5 (odmowa dostępu)

    Ten kod błędu może wskazywać, że użytkownik nie ma uprawnień dostępu do usługi Active Directory.

  • Kod błędu 49 (nieprawidłowe poświadczenia)

    Ten kod błędu może wskazywać, że hasło użytkownika wygasło, gdy użytkownik jest nadal zalogowany na komputerze. Aby poprawić nieprawidłowe poświadczenia:

    1. Zmień hasło użytkownika.
    2. Zablokuj/odblokuj stację roboczą.
    3. Sprawdź, czy istnieją usługi systemowe uruchomione jako konto użytkownika.
    4. Sprawdź, czy hasło w konfiguracji usługi jest poprawne dla konta użytkownika.

  • Kod błędu to 258 (limit czasu)

    Ten kod błędu może wskazywać, że konfiguracja DNS jest niepoprawna. Aby rozwiązać problemy z limitem czasu, użyj nslookup narzędzia , aby potwierdzić _ldap._tcp.<Rekordy domeny-dns-name> są rejestrowane i wskazują poprawne serwery (gdzie <domena-dns-name> jest w pełni kwalifikowaną nazwą domeny domeny usługi Active Directory).

    Uwaga 16.

    Te kroki mogą mieć różne wyniki, jeśli ograniczenia sieci lub blokują pakiety protokołu ICMP (Internet Control Message Protocol).

Identyfikator zdarzenia 1030

Oto opis zdarzenia o identyfikatorze 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful.

Sprawdź, czy porty LDAP są otwarte. Jeśli nie, upewnij się, że porty są otwarte w zaporze i lokalnie na kliencie i kontrolerze domeny.

Jak określić blok portów

Upewnij się, że rozpoznawanie nazw DNS, w których klient nie może rozpoznać nazwy hosta

  • Jeśli klient nie może rozpoznać nazwy hosta, najlepiej sprawdzić sekwencję rozpoznawania nazw hostów wymienioną powyżej, że klient powinien używać. Jeśli nazwa nie istnieje w żadnym z zasobów używanych przez klienta, musisz zdecydować, który zasób ma zostać dodany. Jeśli nazwa istnieje w jednym z zasobów, takich jak serwer DNS lub serwer usługi nazw internetowych systemu Windows (WINS), a klient nie rozwiązuje nazwy poprawnie, skoncentruj się na rozwiązywaniu problemów z tym konkretnym zasobem.
  • Upewnij się również, że klient próbuje rozpoznać nazwę hosta, a nie nazwę NetBIOS. Wiele aplikacji ma wiele metod, których mogą używać do rozpoznawania nazw. Dotyczy to szczególnie aplikacji poczty i bazy danych. Aplikację można skonfigurować do łączenia się z zasobami przy użyciu rozwiązania NetBIOS. W zależności od konfiguracji klienta klient może pominąć rozpoznawanie nazw hosta. W tym miejscu konieczne będzie zmianę typu połączenia na gniazda TCP/IP lub rozwiązanie problemu jako problemu NetBIOS.

Uprawnienie kontenera zasad grupy

Użyj następującego polecenia cmdlet Get-GPPermission programu PowerShell, aby uzyskać poziom uprawnień dla wszystkich podmiotów zabezpieczeń w określonym obiekcie zasad grupy:

Get-GPPermission -Name "TestGPO" -All

Identyfikator zdarzenia 1058

Oto opis zdarzenia o identyfikatorze 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
1. Name Resolution/Network Connectivity to the current domain controller.
2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
3. The Distributed File System (DFS) client has been disabled.

Popraw łączność z szablonem zasad grupy. Usługa Zasad grupy rejestruje nazwę kontrolera domeny i kod błędu, który jest wyświetlany na karcie Szczegóły komunikatu o błędzie w Podgląd zdarzeń. Kod błędu (wyświetlany jako liczba dziesiętna) i pola opisu błędu dodatkowo identyfikują przyczynę błędu. Oceń kod błędu z poniższą listą:

  • Kod błędu 3 (system nie może odnaleźć określonej ścieżki)

    Ten kod błędu zwykle wskazuje, że komputer kliencki nie może odnaleźć ścieżki określonej w zdarzeniu. Aby przetestować łączność klienta z woluminem sysvol kontrolera domeny:

    1. Zidentyfikuj kontroler domeny używany przez komputer. Nazwa kontrolera domeny jest rejestrowana w szczegółach zdarzenia błędu.

    2. Zidentyfikuj, czy awaria wystąpi podczas przetwarzania użytkownika lub komputera. W przypadku przetwarzania zasad użytkownika pole Użytkownik zdarzenia będzie zawierać prawidłową nazwę użytkownika. W przypadku przetwarzania zasad komputera pole Użytkownik będzie zawierać wartość "SYSTEM".

    3. Utwórz pełną ścieżkę sieci do gpt.ini jako \\<dcName\SYSVOL\<domain>\Policies\<guid>\gpt.ini gdzie <dcName>> jest nazwą kontrolera domeny, <domena> jest nazwą domeny, a <identyfikator GUID> folderu zasad. Wszystkie informacje są wyświetlane w zdarzeniu.

    4. Sprawdź, czy możesz odczytać gpt.ini przy użyciu pełnej ścieżki sieciowej uzyskanej w poprzednim kroku. Aby to zrobić, otwórz okno wiersza polecenia i wpisz <file_path>, gdzie <file_path> jest ścieżką skonstruowaną w poprzednim kroku, a następnie naciśnij Enter.

      Uwaga 16.

      To polecenie należy uruchomić jako użytkownik lub komputer, którego poświadczenia wcześniej zakończyły się niepowodzeniem.

  • Kod błędu 5 (odmowa dostępu)

    Ten kod błędu zwykle wskazuje, że użytkownik lub komputer nie ma odpowiednich uprawnień dostępu do ścieżki określonej w zdarzeniu. Na kontrolerze domeny upewnij się, że użytkownik i komputer mają odpowiednie uprawnienia do odczytu ścieżki określonej w zdarzeniu. Aby przetestować poświadczenia komputera i użytkownika:

    1. Wyloguj się i uruchom ponownie komputer.
    2. Zaloguj się na komputerze przy użyciu wcześniej używanych poświadczeń domeny.

  • Kod błędu 53 (nie znaleziono ścieżki sieciowej)

    Ten kod błędu zwykle wskazuje, że komputer nie może rozpoznać nazwy w podanej ścieżce sieciowej. Aby przetestować rozpoznawanie nazw ścieżki sieciowej:

    1. Zidentyfikuj kontroler domeny używany przez komputer. Nazwa kontrolera domeny jest rejestrowana w szczegółach zdarzenia błędu.
    2. Spróbuj nawiązać połączenie z udziałem netlogon na kontrolerze domeny przy użyciu ścieżki \\<dcName\netlogon, gdzie <dcName>> jest nazwą kontrolera domeny w zdarzeniu błędu.

Identyfikator zdarzenia 1053

Oto opis zdarzenia o identyfikatorze 1053:

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following:
1. Name Resolution failure on the current domain controller.
2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

Usługa zasad grupy rejestruje nazwę kontrolera domeny i kod błędu. Te informacje są wyświetlane na karcie Szczegóły komunikatu o błędzie w Podgląd zdarzeń. Kod błędu (wyświetlany jako liczba dziesiętna) i pola opisu błędu dodatkowo identyfikują przyczynę błędu. Oceń kod błędu z poniższą listą:

  • Kod błędu 5 (Odmowa dostępu): ten kod błędu może wskazywać, że hasło użytkownika wygasło, gdy użytkownik był nadal zalogowany na komputerze. Jeśli użytkownik niedawno zmienił swoje hasło, problem może zniknąć po upływie czasu na pomyślne wykonanie replikacji usługi Active Directory.

    1. Zmień hasło użytkownika.
    2. Zablokuj/odblokuj stację roboczą.
    3. Sprawdź, czy istnieją usługi systemowe uruchomione jako konto użytkownika.
    4. Sprawdź, czy hasło w konfiguracji usługi jest poprawne dla konta użytkownika.

  • Kod błędu 14 (Za mało miejsca do magazynowania jest dostępna do ukończenia tej operacji)

    Ten kod błędu może wskazywać, że system Windows nie ma wystarczającej ilości pamięci do ukończenia zadania. Zbadaj dziennik zdarzeń systemu pod kątem innych problemów specyficznych dla pamięci.

  • Kod błędu 525 (określony użytkownik nie istnieje)

    Ten kod błędu może wskazywać nieprawidłowe uprawnienia w jednostce organizacyjnej. Użytkownik wymaga dostępu do odczytu do jednostki organizacyjnej zawierającej obiekt użytkownika. Podobnie komputery wymagają dostępu do odczytu do jednostki organizacyjnej zawierającej obiekt komputera.

  • Kod błędu 1355 (określona domena nie istnieje lub nie można się skontaktować)

    Ten kod błędu może wskazywać na błąd lub nieprawidłową konfigurację z rozpoznawaniem nazw (DNS). Użyj nslookup polecenia , aby potwierdzić, że możesz rozpoznać adresy kontrolerów domeny w domenie użytkownika.

  • Kod błędu 1727 (Zdalne wywołanie procedury nie powiodło się i nie zostało wykonane)

    Ten kod błędu może wskazywać, że reguły zapory uniemożliwiają komunikację z kontrolerem domeny. Jeśli masz zainstalowane oprogramowanie zapory innej firmy, sprawdź konfigurację zapory lub spróbuj tymczasowo ją wyłączyć i sprawdzić, czy zasady grupy zostały pomyślnie wykonane.

Identyfikator zdarzenia 1097

Oto opis zdarzenia o identyfikatorze 1097:

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.

Komputery domeny uwierzytelniają się w domenie, podobnie jak użytkownicy domeny. System Windows wymaga, aby komputer zalogował się, zanim będzie mógł zastosować zasady grupy do komputera. Możliwe rozwiązania obejmują:

  • Sprawdź, czy czas na komputerze jest synchronizowany z czasem na kontrolerze domeny.
  • Konto błędów konfiguracji strefy czasowej, jeśli komputer jest skonfigurowany w strefie czasowej innej niż kontroler domeny.
  • Różnica czasu większa niż pięć minut między komputerem a kontrolerem domeny może prowadzić do niepowodzenia uwierzytelniania komputera w domenie. Wymuś synchronizację czasu z usługą w32tm /resync time przy użyciu polecenia .
  • Uruchom ponownie komputer.

Identyfikator zdarzenia 4016 i identyfikator zdarzenia 5016

Podczas okresowego odświeżania zasad grupy usługa używa informacji zebranych w fazie przetwarzania wstępnego w celu zastosowania każdego ustawienia zasad. Usługa realizuje to przez przekazanie wcześniej zebranych informacji do każdego z rozszerzeń systemu i niesystemowych rozszerzeń po stronie klienta. Ta faza rozpoczyna się od zarejestrowania zdarzenia przetwarzania rozszerzenia po stronie klienta (CSE).

Identyfikator zdarzenia Typ zdarzenia Wyjaśnienie
4016 Informacyjny Usługa zasad grupy rejestruje to zdarzenie za każdym razem, gdy rozszerzenie po stronie klienta zasad grupy rozpoczyna przetwarzanie.
5016 Powodzenie Usługa zasad grupy rejestruje to zdarzenie, gdy rozszerzenie po stronie klienta zasad grupy zakończy przetwarzanie pomyślnie.

Po przejściu do karty Szczegóły w obszarze Identyfikator zdarzenia 5016 może zostać wyświetlony następujący stan powrotu:

ErrorCode 2147483658 <-> 0x8000000a       -2147483638               E_PENDING                    "The data necessary to complete this operation is not yet available"

Uwaga 16.

Wartość zwracana "-2147483638 (E_PENDING)" jest oczekiwana i zgodnie z projektem podczas inspekcji przetwarzania rozszerzenia po stronie klienta. Wskazuje, że wątek asynchroniczny został pomyślnie uruchomiony przez aparat zasad grupy w celu przetworzenia informacji o rozszerzeniu inspekcji. Oznacza to również, że wartość zwracana zostanie zarejestrowana, nawet jeśli nowe ustawienia inspekcji są skuteczne lub stosowane na klientach.

Określanie zaawansowanego przetwarzania inspekcji rozszerzenia po stronie klienta (AuditCSE)

Po otrzymaniu wartości zwracanej 2147483658 z identyfikatora zdarzenia 5016 można sprawdzić pełne zdarzenia dotyczące przetwarzania AuditCSE w dzienniku zdarzeń operacyjnych Security-Audit-Configuration-Client>. Te informacje są przydatne do obserwowania przetwarzania zaawansowanych ustawień zasad grupy inspekcji, a tym samym wykrywania błędów/błędów.

  1. Przeprowadź inspekcję rozszerzenia po stronie klienta (Auditcse.dll) będzie przetwarzać rozszerzenia po stronie klienta inspekcji.
  2. Ma on własne rejestrowanie w obszarze Security-Audit-Configuration-Client>Operational Log.

Wykonaj następujące kroki, aby przejrzeć dziennik zdarzeń operacyjnych Security-Audit-Configuration-Client>, aby rozwiązać problemy z ustawieniami zasad grupy inspekcji:

  1. Otwórz podgląd zdarzeń.
  2. W obszarze Podgląd zdarzeń (lokalna) wybierz pozycję Dzienniki aplikacji i usług Microsoft>>Windows>Security-Audit-Configuration-Client>Operational.
  3. Kliknij dwukrotnie zdarzenia Ostrzeżenie lub Błąd , aby rozwiązać problemy. Zapoznaj się również z kartą Szczegóły dla tych zdarzeń pod kątem dowolnej wartości błędu .
  4. W przeciwnym razie przejrzyj zdarzenie informacyjne , aby przechwycić pełne przetwarzanie rozszerzenia Inspekcja.

Zbieranie kluczowych informacji przed skontaktowanie się z pomoc techniczna firmy Microsoft

Przed ukończeniem wniosku o pomoc techniczną zalecamy zapisanie migawki pamięci jądra na komputerze, którego dotyczy problem, za pomocą funkcji zrzutu systemu Windows Live. W tym celu wykonaj następujące kroki:

  1. Przechwyć pełne rejestrowanie usługi zasad grupy, uruchamiając następujące polecenia:

    md %windir%\debug\usermode

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"

  2. Odśwież lokalne i oparte na usłudze AD ustawienia zasad grupy przy użyciu gpupdate /force polecenia .

    Napiwek

    Użyj jednego z poniższych poleceń, jeśli rozwiążesz problemy z brakującymi ustawieniami określonego użytkownika lub komputera:

    • Gpupdate /force /target:computer
    • Gpupdate /force /target:user

  3. Zapisz raport Wynikowy zestaw zasad (RSoP) w pliku HTML, uruchamiając następujące polecenie:

    gpresult /h %Temp%\GPResult.htm

  4. Zapisz dane podsumowania RSoP w pliku txt, uruchamiając następujące polecenie:

    gpresult /r >%Temp%\GPResult.txt

  5. Wyeksportuj klucze rejestru GPExtensions, uruchamiając następujące polecenie:

    reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg

  6. Wyeksportuj dzienniki podglądu zdarzeń operacyjnych systemu, aplikacji i zasad grupy, uruchamiając następujące polecenia:

    wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true

wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true

wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true

  7. Przechwyć następujące pliki:

    • %Temp%\Application.evtx
    • %Temp%\System.evtx
    • %Temp%\GroupPolicy.evtx
    • %Temp%\GPExtensions.reg
    • %Temp%\GPResult.txt
    • %Temp%\GPResult.html
    • %windir%\debug\usermode\gpsvc.log

  8. Po zakończeniu można zatrzymać rejestrowanie usługi zasad grupy, uruchamiając następujące polecenie:

    reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f

Zbieranie danych

Jeśli potrzebujesz pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki opisane w temacie Zbieranie informacji przy użyciu TSS w przypadku problemów z zasadami grupy.