- Remove From My Forums
Проблема с обновлением групповой политики.
-
Вопрос
-
Ошибка при обработке групповой политики. Попытка чтения файла «\domain.ruSysvoldomain.ru{B80F8F9A-ADD2-4624-8C29-005FE004BEF7}gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены,
пока не будет исправлена эта ситуация. Это может быть временным явлением.Данная ошибка возникает при выполнении команды gpupdate /force на клиентской машине. На КД в логах никаких ошибок.
В сети 5 КД. В ЦО 3 КД, но они в разных сайтах. Основной в ЦО, два других в дефолтном. Остальные с своих сайтах в других городах. Репликация проходит штатно. Все изменения на в АД и днс реплицируются. В чем может быть проблема?
Ответы
-
Репликация DFS была отключена из-за некорректного завершения работы Windows.
Собственно, метод восстановления полностью описан в тексте события.
Только обязательно скопируйте в безопасное место, а потом, после возобновления репликации — верните на прежнее место содержимое папки SYSVOL. Её путь по умолчанию — C:windowsSYSVOLdomain по умолчанию, реальный путь
у вас можно посмотреть в выдаче команды dfsrdiag, выполненной на КД в разделе SYSVOL Subscription в Local Settings для указанного контроллера домена, параметр называется Root path. dfsrdiag входит в состав DFS Management
Tools, проще всего их установить из Powershell в режиме администратора: Install-WindowsFeature RSAT-DFS-Mgmt-Con.Потому что при восстановлении репликации все созданные и изменённые после прекращения репликации файлы и папки (то есть все созданные и изменённые с тех пор политики) будут удалены или заменены версиями, взятыми
с остальных КД (т.е. старыми).PS Более подробно про восстановление репликации SYSVOL можно прочитать в
статье 2958414 MS KB
Слава России!
-
Предложено в качестве ответа
13 мая 2015 г. 18:10
-
Помечено в качестве ответа
AndreySV
21 мая 2015 г. 6:28
-
Предложено в качестве ответа
На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды
gpupdate /force
и увидел такую ошибку в консоли:
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.
Computer policy could not be updated successfully. The following errors were encountered: The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.
При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):
Log Name: System Source: Microsoft-Windows-GroupPolicy Event ID: 1096 Level: Error User: SYSTEM
Если попробовать выполнить диагностику применения GPO с помощью команды gpresult (
gpresult.exe /h c:temptgpresultreport.html
), видно что не применяется только настройки из раздела Group Policy Registry —
Failed
:
Registry failed due to the following error listed below. Additional information may have been logged. Review the Policy Events tab in the console or the application event log.
Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.
Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:WindowsSystem32GroupPolicyMachine и переименуйте его в registry.bak.
Можно переименовать файл из командой строки:
cd "C:WindowsSystem32GroupPolicyMachine"
ren registry.pol registry.bak
Обновите настройки групповых политик командой:
gpupdate /force
Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.
Если в журнале вы видите событие Event ID 1096 (
The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://
) c ErrorCode 13 и описанием “
The data is invalid
”, значит проблема связана с доменной GPO, указанной в ошибке.
Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:
Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7
- Запустите консоль управления доменными GPO (gpmc.msc) и проверьте, что политика существует;
- Проверьте, что в каталоге SYSVOL политики есть файлы registry.pol и gpt.ini и они доступны на чтение (проверьте NTFS права);
- Проверьте, что версия политики на разных контроллерах домена одинакова (проверьте корректность работы домена и репликации в AD);
- Удалите файлы GPO в SYSVOL на контроллере домена, с которого получает политику клиент (
$env:LOGONSERVER
), и дождитесь ее репликации с соседнего DC - Если предыдущие способы не помогут, пересоздайте GPO или восстановите ее из бэкапа.
Сообщение об ошибке Ошибка обработки групповой политики, идентификатор события 1058. происходит в Windows Server, когда ОС не может прочитать файл с контроллера домена. Служба групповой политики считывает информацию из Active Directory и sysvol общий ресурс, расположенный на контроллере домена. Однако отсутствие подключения к сети или проблема с разрешениями не позволяют применить групповую политику к пользователю или компьютеру.
Сообщение об ошибке могло выглядеть так:
Тип события: ошибка
Источник события: Усеренв
Категория события: Нет
ID события: 1058
Дата:
Время:
Пользователь: NT AUTHORITY SYSTEM
Компьютер: TWC-ASH-Post01
Описание:
Windows не может получить доступ к файлу gpt.ini для GPO cn = {18C553C9-0D15-4A3A-9C68-60DCD8CA1538}, cn = policy, cn = system, DC = LBR, DC = CO, DC = ZA. Файл должен находиться в папке . (Доступ запрещен.). Обработка групповой политики прервана.
Если вы прочитаете журнал событий, станет очевидно, что, поскольку служба не смогла прочитать политику, она не может быть применена. Хорошая новость в том, что это временная проблема. Помимо проблемы с сетью, это также может быть связано с задержкой службы разрешения файлов и отключением клиента DSF.
При проверке журналов, если вы отметите вкладку «Подробности» сообщения об ошибке в средстве просмотра событий, может присутствовать любой из этих кодов ошибок — код ошибки 3, код ошибки 5 и код ошибки 53. Следуйте этим советам, чтобы решить проблему.
- Система не может найти указанный путь — код ошибки 3
- Отказано в доступе — код ошибки 5.
- Сетевой путь не найден — код ошибки 53.
После любого из этих методов, если вам нужно устранить неполадки в сети, ознакомьтесь с нашим руководством по устранению неполадок в сети.
1]Система не может найти указанный путь — Код ошибки 3
Это происходит, когда клиент DFS не запущен на клиентском компьютере, потому что он не может найти путь, указанный в событии. Чтобы проверить подключение клиента к sysvol контроллера домена:
- Найдите имя контроллера домена, доступное в сведениях об ошибке.
- Проверьте, не произошел ли сбой во время пользовательской или компьютерной обработки
- Обработка политики пользователя: Пользователь поле события покажет действительное имя пользователя
- Обработка компьютерной политики: Пользователь в поле отобразится «СИСТЕМА».
- Далее вам нужно составить полный сетевой путь к gpt.ini. Формат должен быть как SYSVOL <домен> Политики <гид> gpt.ini. Все это будет доступно в журнале событий.
- <dcName>: Имя контроллера домена
- <домен>: Это имя домена,
- <гид>: Это GUID папки политики.
Сделав это, убедитесь, что вы можете читать gpt.ini, используя полный сетевой путь, который вы создали на предыдущем шаге. Вы можете сделать это из командной строки или в запущенной Windows. Обязательно попробуйте это с пользователем или компьютером, учетные данные которого ранее не удалось.
2]Доступ запрещен — код ошибки 5
Если код ошибки 5, то это проблема с разрешением. Когда у пользователя или компьютера нет соответствующих разрешений на доступ к пути, указанному в событии. Разрешение простое, убедитесь, что у пользователя или компьютера есть разрешение.
Выйдите из системы и перезагрузите компьютер, а затем войдите в систему, используя ранее использованные учетные данные домена. Если это не сработает, обязательно назначьте разрешение от контроллера домена.
3]Сетевой путь не найден — код ошибки 53
Код ошибки 53 означает, что компьютер не может разрешить имя в указанном сетевом пути. Вам нужно будет использовать тот же компьютер или пользователя, чтобы проверить, можете ли вы вручную получить доступ к сетевому пути.
- Определите контроллер домена, используемый компьютером, доступным в событии ошибки.
- Затем подключитесь к общему ресурсу netlogon в домене, т.е. попробуйте получить доступ к пути напрямую <dcName> netlogon. где <dcName> — это имя контроллера домена в событии ошибки.
- Если путь не разрешается, значит, существует проблема с путем, которую необходимо исправить. Если вы уверены, что путь правильный, то проверьте с разрешения.
Опубликуйте это; вам нужно проверить, все ли в порядке. Лучший способ — запустить gpudate в строке «Выполнить». Когда команда gpupdate завершится, откройте средство просмотра событий, чтобы проверить, сохраняется ли ошибка.