Ошибка обработки окон групповой политики, не удалось применить из-за данных реестра

Обновлено: 21.11.2024

Это мой технический блог, основанный на некоторых решенных проблемах из моей повседневной деятельности.

Не удалось применить групповую политику домена компьютера

В этом случае присоединенная к домену рабочая станция с операционной системой Windows 7 не смогла зарегистрироваться на новом сервере WSUS. Настройки для нового сервера WSUS были введены в GPO домена. Я попытался обновить настройки с помощью gpupdate /force. Но команде не удалось применить параметры компьютера из домена GPO со следующим сообщением об ошибке:

Не удалось обновить политику компьютера. Возникли следующие ошибки: Ошибка обработки групповой политики. Windows не удалось применить параметры политики на основе реестра для объекта групповой политики LocalGPO. Параметры групповой политики не будут разрешены, пока это событие не будет разрешено. Просмотрите сведения о событии, чтобы получить дополнительные сведения об имени файла и пути, вызвавшем сбой.

Вывод Gpresult /h gpresult.html показывал статус ошибки для реестра в статусе компонента:

Событие ошибки было зарегистрировано в журнале системных событий с идентификатором 1096 и тем же описанием:

Ошибка обработки групповой политики. Windows не удалось применить параметры политики на основе реестра для объекта групповой политики LocalGPO. Параметры групповой политики не будут разрешены, пока это событие не будет разрешено. Просмотрите сведения о событии, чтобы получить дополнительные сведения об имени файла и пути, вызвавшем сбой.

Итак, все ошибки указывали на повреждение локальной политики.
Переход к папке c:\windows\system32\GroupPolicy\Machine и переименование файла Registration.pol в Registration-pol.bakup (например) и повторный запуск gpupdate /force привели к успешному завершению команды. и примените параметры политики компьютера и пользователя. Рабочая станция получила новые настройки для сервера WSUS и успешно зарегистрировалась на этом новом сервере WSUS.

Я использовал тот же метод для решения проблемы в своей статье "Сбой обработки групповой политики". Идентификатор события 1096, и причина неприменения объектов групповой политики домена снова заключалась в повреждении локальной политики.

Windows не удалось применить параметры папки групповой политики, параметры сценария, параметры запланированного задания групповой политики, параметры группового реестра.

Может ли кто-нибудь помочь мне с моей проблемой ниже? Первое, что я внес в восстановление GPT.ini для каждой папки политики в sysvol. потому что у них есть ошибка, которую Windows не удалось прочитать (GUID), поэтому я восстанавливаю ее из резервной копии, копируя вручную в каждую папку политики, и ошибка внезапно исчезла, но после запуска GPupdate /force, чтобы убедиться, что ошибка все еще возникает, у меня было новые ошибки ниже.

Windows не удалось применить параметры папок групповой политики. Папка групповой политики может иметь собственный файл журнала.
Windows не удалось применить настройки сценариев. Настройки скриптов могут иметь собственный файл журнала.
Системе Windows не удалось применить параметры запланированной задачи групповой политики. Запланированная задача групповой политики может иметь собственный файл журнала.
Windows не удалось применить параметры реестра групповой политики. Параметры реестра групповой политики могут иметь собственный файл журнала.

Репликация Sysvol работает нормально
Репликация DC работает хорошо и реплицирует друг друга.
У меня есть 2 контроллера домена, один с сайта А и один с сайта Б.
Windows Server 2016 .
Результат DCIAG

Диагностика сервера каталогов

Выполнение первоначальной настройки:

Попытка найти домашний сервер.

Проверка того, что локальный компьютер petsvr1100 является сервером каталогов.
Домашний сервер = petsvr1100

Подключение к службе каталогов на сервере petsvr1100.

Идентифицированный лес AD.
Сбор глобальных данных AD

Сбор информации о сайте.

Вызов ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=petcad1100,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings).
Предыдущий вызов выполнен успешно. объект базового сайта: CN=NTDS Site Settings,CN=ILOILO,CN=Sites,CN=Configuration,DC=petcad1100
Получение ISTG и параметров для сайта
Просмотр объекта базового сайта: CN=NTDS Site Settings,CN=MANILA,CN=Sites,CN=Configuration,DC=petcad1100
Получение ISTG и параметров сайта
* Идентификация всех серверов.

Вызов ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=petcad1100,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa).
Предыдущий вызов выполнен успешно.
Предыдущий вызов выполнен успешно
Перебор списка серверов
Получение информации для сервера CN=NTDS Settings,CN=PETIADSVR,CN=Servers,CN=ILOILO,CN=Sites,CN= Configuration,DC=petcad1100
получен objectGuid
получен InvocationID
получен dnsHostname
получена информация о сайте
собрана вся информация для сервера
получена информация для сервера CN=NTDS Settings,CN=PETSVR1100,CN=Servers,CN=MANILA,CN=Sites,CN=Configuration,DC=petcad1100
objectGuid получен
InvocationID получен
dnsHostname получен
получена информация о сайте
Вся собрана информация о сервере
* Идентифицированы все перекрестные ссылки NC.

Найдено 2 DC. Тестирование 1 из них.

Завершен сбор исходной информации.

Выполнение первоначальных необходимых тестов

Тестовый сервер: MANILA\PETSVR1100

Выполнение первичных тестов

Тестовый сервер: MANILA\PETSVR1100

Выполнение тестов разделов: ForestDnsZones

Выполнение тестов разделов в: DomainDnsZones

Выполнение тестов разделов на схеме:

Выполнение тестов разделов: Конфигурация

Выполнение тестов разделов на: petcad1100

Выполнение корпоративных тестов на: petcad1100

Gpresult /r :
C:\Users\Administrator.PETCAD1100>gpresult /r

Инструмент результатов групповой политики операционной системы Microsoft (R) Windows (R) версии 2.0
© Корпорация Microsoft, 2016. Все права защищены.

Создано 29.07.2020 в 18:01:25

Данные RSOP для PETCAD1100\Администратор на PETSVR1100: Режим ведения журнала

Конфигурация ОС: Основной контроллер домена
Версия ОС: 10.0.14393
Имя сайта: MANILA
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\Administrator .PETCAD1100
Подключение по медленному каналу?: Нет

НАСТРОЙКИ КОМПЬЮТЕРА

ПОЛЬЗОВАТЕЛЬСКИЕ НАСТРОЙКИ

Repadmin /showrepl
epadmin: выполнение команды /showrepl для полного локального хоста DC

В записи идентификатора события указано
Общие
Ошибка обработки групповой политики. Windows не удалось применить параметры политики на основе реестра для объекта групповой политики LDAP://CN=User,cn=,cn=policies,cn=system,DC=testdomain,DC=local. Параметры групповой политики не будут разрешены, пока это событие не будет разрешено. Просмотрите сведения о событии, чтобы получить дополнительные сведения об имени файла и пути, вызвавшем сбой.

SupportInfo1 2 SupportInfo2 1254 ProcessingMode 1 ProcessingTimeInMilliseconds 1797 ErrorCode 2 ErrorDescription Система не может найти указанный файл. DCName \\SRV-30.testdomain.local GPOCNName LDAP://CN=User,cn=<37BB0DD1-3F72-410D-86FD-113150E96DF9>,cn=policies,cn=system,DC=testdomain,DC=local FilePath \ \testdomain.local\SysVol\testdomain.local\Policies\<37BB0DD1-3F72-410D-86FD-113150E96DF9>\User\registry.pol

Я уже пытался восстановить sysvol с ключами реестра burflags
Папка политик на серверах 1 и 2 содержит 633 файла и 491 папку, а на сервере 3 — 572 файла и 380 папок.

В журнале событий FRS указано следующее

Сервер 02.01.03 имеет идентификатор события 13516 в качестве последнего идентификатора после перезапуска службы ntfrs.

Вопрос
01. Почему я получаю идентификатор события 1096 в журнале событий сервера терминалов
02. Почему контент на DC03 отличается от контента 01 и 02

Защитите свои конечные точки от киберпреступников

2022-03-24 14:00:00 UTC Веб-семинар Веб-семинар: Cisco — защитите свои конечные точки от кибер-преступников Подробности о событии Просмотреть все события

xXGh057Xx

Дайте мне знать, если это поможет.

01. Почему я получаю идентификатор события 1096 в журнале событий сервера терминалов

Клиентскому расширению реестра не удалось прочитать файл реестра.pol из расположения шаблона групповой политики. Файл реестра.pol содержит параметры политики реестра. Этот файл может отсутствовать, быть недоступным или поврежденным. Терминальный сервер извлекает "вещи" из dc03.

02. Почему содержимое DC03 отличается от содержимого 01 и 02

DC03, вероятно, поврежден.

Убедитесь, что файл реестра.pol существует в этом расположении и имеет те же разрешения, что и файл gpt.ini в том же объекте групповой политики (GPO).
Убедитесь, что репликация Sysvol правильно работает на контроллерах домена.
Удалите объект групповой политики и создайте его заново.

8 ответов

xXGh057Xx

Дайте мне знать, если это поможет.

01. Почему я получаю идентификатор события 1096 в журнале событий сервера терминалов

Клиентскому расширению реестра не удалось прочитать файл реестра.pol из расположения шаблона групповой политики. Файл реестра.pol содержит параметры политики реестра. Этот файл может отсутствовать, быть недоступным или поврежденным. Терминальный сервер извлекает "вещи" из dc03.

02. Почему содержимое DC03 отличается от содержимого 01 и 02

DC03, вероятно, поврежден.

Убедитесь, что файл реестра.pol существует в этом расположении и имеет те же разрешения, что и файл gpt.ini в том же объекте групповой политики (GPO).
Убедитесь, что репликация Sysvol правильно работает на контроллерах домена.
Удалите объект групповой политики и создайте его заново.

Здравствуйте!
Мои политики хранятся по умолчанию \\testdomain.local\sysvol\testdomain.local\policies
Насколько я понимаю, Registration.pol должен находиться в папке c:\windows \system32\grouppolicy\machine
Эта папка отличается на каждом контроллере домена. Файл реестра.pol присутствует на обоих моих серверах приложений, но с другой датой.
Удаление файла и выполнение gpupdate /force не обновляет файл.

Я обнаружил отсутствующую групповую политику, просматривая управление групповыми политиками и просматривая уникальный идентификатор.
Инструмент управления групповыми политиками выдает ошибку "Система не может найти указанный файл"
Предположим, что файл отсутствует, он ничего не делает, и безопасно удалить объект GPO в инструменте управления правильно?
Надеюсь, это также устранит ошибку в журнале событий.

Так приятно получать вещи по наследству :(

xXGh057Xx

Да, вы должны иметь возможность удалить объект групповой политики с помощью инструмента управления.

Итак, я удалил объекты GPO из диспетчера групповой политики. Три из них выдали ошибку, что файл не существует. Поскольку я не доверяю своей репликации, я проверил содержимое папки политик на наличие уникального идентификатора, но его там не было. У меня также было 2 объекта групповой политики с неправильными разрешениями. Они были автоматически исправлены менеджером GPO

Поскольку содержимое моей папки \\DC\sysvol\testdomain.local\policies по-прежнему не было одинаковым на каждом сервере, я установил раздел реестра burflag на сервере с наибольшим количеством файлов на D4, а на двух других контроллерах домена к D2, чтобы посмотреть, что происходит. По-прежнему нет одинакового содержимого sysvol на каждом контроллере домена. Они должны быть равны, верно?

Только что попытался удалить роль AD с одного контроллера домена, чтобы посмотреть, поможет ли это. В итоге потребовалась переустановка контроллера домена, потому что роль AD не могла быть полностью удалена. Я надеюсь увидеть одинаковые размеры папок после установки. Обновление будет опубликовано позже.

xXGh057Xx

Можете ли вы проверить статус репликации с помощью этого?

repadmin /showrepl * /csv >showrepl.csv

Я выполнил команду, как вы предложили. Repadmin не показывает никаких проблем. Смотрите журнал ниже

showrepl_COLUMNS,Целевой DSA-сайт,Целевой DSA,Контекст именования,Исходный DSA-сайт,Исходный DSA,Тип транспорта,Количество сбоев,Время последнего сбоя,Время последнего успеха,Статус последнего сбоя

showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"DC=TESTDOMAIN,DC=local",Arendonk,SRV-TESTDOMAIN-01BE,RPC,0,0,2017-04-10 10:51:49,0< br />showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-30,RPC,0,0,2017-04-10 10:51:49,0< br />showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-30,RPC,0,0,2017-04-10 10:51: 49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"CN=Configuration,DC=TESTDOMAIN,DC=local",Arendonk,SRV-TESTDOMAIN-01BE,RPC,0,0,2017-04-10 10:51:49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-30,RPC,0 ,0,2017-04-10 10:51:49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local",Arendonk,SRV -TESTDOMAIN-01BE,RPC,0,0,2017-04-10 10:51:49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"DC=DomainDnsZones,DC=TESTDOMAIN,DC=local" ,Алмере,SRV-TESTDOMAIN-30,RPC,0,0,2017-04-10 10:51:49,0
showrepl_IN FO, Almere, SRV-TESTDOMAIN-40, "DC=DomainDnsZones,DC=TESTDOMAIN,DC=local", Arendonk,SRV-TESTDOMAIN-01BE,RPC,0,0,2017-04-10 10:51:49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"DC=ForestDnsZones,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-30,RPC,0,0,2017-04-10 10:51 :49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-40,"DC=ForestDnsZones,DC=TESTDOMAIN,DC=local",Arendonk,SRV-TESTDOMAIN-01BE,RPC,0,0,2017-04- 10 10:51:49,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-30,"DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0,0,2017-04- 10 10:52:45,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-30,"CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0,0, 2017-04-10 10:50:03,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-30,"CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN- 40,RPC,0,0,2017-04-10 10:50:03,0
showrepl_INFO,Almere,SRV-TESTDOMAIN-30,"DC=DomainDnsZones,DC=TESTDOMAIN,DC=local",Almere, SRV-TESTDOMAIN-40,RPC,0,0,2017-04-10 10:50:03,0
showrepl_INFO,Almer e, SRV-TESTDOMAIN-30, "DC=ForestDnsZones,DC=TESTDOMAIN,DC=local", Almere,SRV-TESTDOMAIN-40,RPC,0,0,2017-04-10 10:50:03,0
showrepl_INFO,Arendonk,SRV-TESTDOMAIN-01BE,"DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0,0,2017-04-10 10:45:47,0
showrepl_INFO,Arendonk,SRV-TESTDOMAIN-01BE,"CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0,0,2017-04-10 10:45:46 ,0
showrepl_INFO,Arendonk,SRV-TESTDOMAIN-01BE,"CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0,0,2017- 04-10 10:45:46,0
showrepl_INFO,Arendonk,SRV-TESTDOMAIN-01BE,"DC=DomainDnsZones,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40,RPC,0, 0,2017-04-10 10:45:47,0
showrepl_INFO,Arendonk,SRV-TESTDOMAIN-01BE,"DC=ForestDnsZones,DC=TESTDOMAIN,DC=local",Almere,SRV-TESTDOMAIN-40, RPC,0,0,2017-04-10 10:45:47,0

Ранее вы предположили, что мой контроллер домена может быть неисправен.
Поэтому я понизил роль и удалил роль. После перезагрузки я снова установил роль и сделал сервер контроллером домена.

Оба сервера (30 и 40) имеют одинаковое количество файлов и папок по пути c:\windows\sysvol\sysvol (этот путь равен общему имени хоста\sysvol)
При удаленном просмотре общего ресурса sysvol я получаю больше файлов и папок. Почему?
Могу ли я предположить, что FRS теперь работает нормально?

Прошлой ночью я перезагрузил оба контроллера домена. Я получаю 3 события в журнале событий

01 Не должно быть проблем
Служба репликации файлов запускается.

02. Приятно знать,
Служба репликации файлов обнаружила включенный кэш записи на диске, содержащем каталог c:\windows\ntfrs\jet на компьютере SRV-BORGH-40. Служба репликации файлов может не восстановиться при сбое питания диска и потере важных обновлений.

03. Приятно знать,
Служба репликации файлов больше не препятствует тому, чтобы компьютер SRV-BORGH-40 стал контроллером домена. Системный том был успешно инициализирован, и служба Netlogon получила уведомление о том, что теперь системный том готов к совместному использованию как SYSVOL.

Существует ряд причин, по которым может произойти ошибка обработки групповой политики. Наиболее распространенные идентификаторы событий, которые отображаются в средстве просмотра событий > Приложение со следующими ошибками: 1030, 1053, 1054 и 1058. В этой статье мы покажем вам, как устранить ошибки обработки GPO.

Ошибка обработки групповой политики, попытка Windows прочитать файл

При попытке обновить параметры групповой политики на компьютере с помощью команды gpupdate /force может появиться следующая ошибка:

Не удалось успешно обновить политику пользователя. Следующие ошибки были обнаружены.

Ошибка обработки групповой политики. Windows попыталась прочитать файл \\domain.local\SysVol\domain.local\Policies\\gpt.ini с контроллера домена, но безуспешно.Параметры групповой политики не могут быть применены, пока это событие не будет устранено.

Эта проблема может носить временный характер и может быть вызвана одной или несколькими из следующих причин:

  • Разрешение имени/сетевое подключение к текущему контроллеру домена;
  • Задержка службы репликации файлов (файл, созданный на другом контроллере домена, не был реплицирован на текущий контроллер домена);
  • Клиент распределенной файловой системы (DFS) отключен.

Вы можете столкнуться с такой ошибкой не только при ручном запуске команды gpupdate /force, но и после запуска инструментов DCDIAG или в средстве просмотра событий при входе пользователя в систему. В некоторых случаях при появлении этой ошибки вы выиграли не удается открыть общие сетевые папки или ресурсы домена DFS с ошибкой «Сетевой путь не найден».

Ошибка может возникать как на настольных компьютерах (Windows 10, 8.1, 7), так и на Windows Server 2016/2012 R2/2008 R2.

Во-первых, убедитесь, что на контроллере домена существует файл \\domain.local\SysVol\domain.local\Policies\\gpt.ini. Если файл gpt.ini отсутствует, то, скорее всего, объект групповой политики поврежден. Вы можете определить имя объекта групповой политики по его GUID с помощью следующей команды PowerShell из модуля GroupPolicy:

Создайте политику заново или скопируйте ее из другого контроллера домена.

Подсказка. Если файлы политики отсутствуют на всех контроллерах домена, вы можете восстановить файлы GPO из резервной копии. Если файлы политики домена по умолчанию или файлы политики контроллера домена по умолчанию отсутствуют, а резервная копия недоступна, вы можете восстановить оба параметра политики по умолчанию с помощью инструмента dcgpofix.

Вы можете использовать следующие команды dcgpofix, чтобы сбросить настройки политики домена по умолчанию и/или политики контроллеров домена по умолчанию до значений по умолчанию:

  • Сбросить объект групповой политики домена по умолчанию:
  • Сбросить объект групповой политики контроллеров домена по умолчанию:
  • Сбросьте как домен по умолчанию, так и объекты групповой политики DC:

Второе, что вам нужно сделать, это просмотреть журналы просмотра событий. Проверьте, есть ли какие-либо журналы событий, связанные с ошибкой переноса журнала, которая приводила к сбою служб репликации файлов на наших контроллерах домена.

Ошибка обычно выглядит следующим образом:

Служба репликации файлов обнаружила, что набор реплик «DOMAIN SYSTEM VOLUME (SYSVOL SHARE)» находится в состоянии JRNL_WRAP_ERROR

Эта ошибка может указывать на повреждение папки SYSVOL в доменах, где репликация основана на устаревшей репликации FRS, а не на более современной репликации DFS. Сравните содержимое папки на проблемном контроллере домена \\имя_DC\sysvol\domain.local\Policies с любым другим контроллером домена. Вы можете принудительно синхронизировать папку sysvol с другого контроллера домена.

В решении Microsoft говорится, что вы можете принудительно синхронизировать папку Sysvol в проблемном контроллере домена с другого контроллера домена:

  1. Откройте редактор реестра (regedit.exe);
  2. Перейдите в раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters;
  3. Измените (создайте) ключ реестра с именем «Включить автоматическое восстановление переноса журнала» и измените его значение на 1;
  4. Перезапустите службу NTFRS:
  5. Убедитесь, что в журнале службы репликации файлов последовательно отображаются следующие события:
    Идентификатор события 13553 — Служба репликации файлов успешно добавила этот компьютер в следующий набор реплик: «СИСТЕМНЫЙ ТОМ ДОМЕНА (SYSVOL SHARE)»;
    Идентификатор события 13554. Служба репликации файлов успешно добавила соединения, показанные ниже, в набор реплик: «DOMAIN SYSTEM VOLUME (SYSVOL SHARE)»;
  6. Подождите. После успешной репликации должно появиться следующее событие:
    Идентификатор события 13516 — Служба репликации файлов больше не препятствует тому, чтобы контроллер домена компьютера стал контроллером домена. Системный том был успешно инициализирован, и служба Netlogon получила уведомление о том, что системный том теперь готов к совместному использованию как SYSVOL;
  7. Теперь вам нужно изменить значение параметра "Включить автоматическое восстановление переноса журнала" на 0;
  8. Убедитесь, что общие папки Netlogon и Sysvol доступны на контроллере домена.

Если вы не обнаружили ошибку «Journal Wrapping» в средстве просмотра событий клиента, откройте консоль управления службами (services.msc) и проверьте, запущена ли служба «TCP/IP Netbios Helper» и тип ее запуска установить на автоматический.

Ошибка «Ошибка обработки групповой политики» может быть связана с проблемами с DNS или с самим контроллером домена. Используйте утилиту nslookup и ping, чтобы проверить, доступен ли и отвечает ли ваш DNS-сервер (обычно это контроллер домена). Узнать имя своего контроллера домена можно командой:

В этом примере имя вашего контроллера домена — xxx-dc01.

Если предыдущая команда вернула значение N/A, ваш контроллер домена недоступен.

Необходимо проверить доступность контроллера домена с помощью команд:

Убедитесь, что обе команды возвращают успешный ответ. Попробуйте сбросить кеш преобразователя DNS на затронутых компьютерах:

Проверить доступность DC по протоколу RPC можно командой:

Убедитесь, что ваш контроллер домена доступен по протоколу RPC:

Подсказка. Вы можете использовать следующие сообщения для устранения ошибок RPC в Windows:

Попробуйте открыть список сетевых папок на контроллере домена, нажав WIN+R > Выполнить > Введите \\xxx-dc01 > Enter.

Вы должны увидеть список папок на контроллере домена. Среди них вы должны увидеть папки NetLogon и Sysvol.

Проверьте синхронизацию времени между контроллером домена и клиентом (как настроить синхронизацию времени NTP в Active Directory?). Попробуйте выполнить синхронизацию времени вручную.

Если DC доступен:

  1. Проверьте, активна ли учетная запись компьютера в Active Directory;
  2. Удалите файл C:\Windows\System32\GroupPolicy\Machine\Registry.pol;
  3. Перезагрузите компьютер.

После этого попробуйте запустить gpupdate /force, и это должно привести к успеху!

Обновление пользовательской политики успешно завершено.

Обновление компьютерной политики успешно завершено.

Ошибка обработки групповой политики: отсутствие сетевого подключения к контроллеру домена

Еще одна распространенная ошибка при применении объекта групповой политики:

Не удалось обновить политику компьютера. Произошла следующая ошибка.

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временное состояние.

Сначала проверьте, есть ли подключение к контроллеру домена, как описано в предыдущем разделе.

Если ошибка «Обработка групповой политики не удалась из-за отсутствия сетевого подключения» появляется только при запуске Windows, то, скорее всего, это означает, что компьютер не успевает инициализировать сетевое подключение перед применением групповых политик Active Directory. . Есть несколько способов решить проблему:

  • Самый простой способ — включить режим PortFast на сетевом коммутаторе. При этом порт коммутатора, к которому подключен компьютер пользователя, сразу переходит в состояние пересылки, минуя стадию обучения;
  • Если первый метод невозможен, вы можете применить параметр групповой политики под названием «Всегда ждать подключения к сети при запуске компьютера и входе в систему» ​​к компьютерам домена (эта политика заставляет компьютер ждать полного подключения к сети перед входом в систему и применить объект групповой политики).
  1. Откройте консоль управления групповыми политиками (gpmc.msc), отредактируйте политику, связанную с OU с компьютерами, или создайте новую;
  2. Перейдите в раздел GPO: Конфигурация компьютера > Административные шаблоны > Система > Вход в систему;
  3. Включите политику Всегда ждать подключения к сети при запуске компьютера и настройке входа в систему.

Некоторые драйверы сетевых карт игнорируют эту политику. В этом случае рекомендуется установить в реестре следующий параметр:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"GpNetworkStartTimeoutPolicyValue"=dword:0000003c

Этот параметр позволяет установить постоянную задержку запуска в секундах (в нашем случае 60 секунд) перед применением групповых политик (общее время загрузки Windows увеличится). Вы можете развернуть этот параметр реестра на компьютерах в домене через GPP.

Если ошибка «Сбой обработки групповой политики…» с кодом 1129 сохраняется, увеличивайте значение параметра GpNetworkStartTimeoutPolicyValue до тех пор, пока проблема не исчезнет.

Идентификатор события 1055: Ошибка обработки групповой политики. Windows не удалось разрешить имя компьютера

Другой распространенной ошибкой при применении групповой политики является событие с кодом 1055:

Не удалось обработать групповую политику. Windows не удалось разрешить имя компьютера. Это может быть вызвано одной или несколькими из следующих причин:

a) Ошибка разрешения имен на текущем контроллере домена.

b) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).

Описание ошибки содержит следующую запись:

В этом случае проверьте, включена ли учетная запись вашего компьютера в Active Directory:

  1. Узнайте имя своего компьютера, выполнив команду:
    hostname
  2. Откройте консоль Active Directory Users and Computers (dsa.msc), найдите учетную запись своего компьютера. Убедитесь, что он включен. Если нет, щелкните его правой кнопкой мыши и выберите Включить учетную запись.

Проблема с безопасным каналом может препятствовать аутентификации компьютера на контроллере домена и обычно проявляется как ошибка «Отказано в доступе», когда компьютер пытается получить доступ к ресурсам домена, включая обновления групповой политики. Вы можете проверить и сбросить безопасный канал между вашим компьютером и контроллером домена Active Directory с помощью командлета Test-ComputerSecureChannel:

Если вы получаете сообщение об ошибке Event ID1058 с источником GroupPolicy (Microsoft-Windows-GroupPolicy), попробуйте просто перезапустить контроллер домена (содержится в переменной среды $env:LOGONSERVER).

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

Читайте также: