- Remove From My Forums
Ошибка при обработке групповой политики
-
Вопрос
-
Здравствуйте!
Имеются два DC. На второстепенном контроллере с периодичностью 5мин появляется ошибка:(второй день повторяющаяся)
Ошибка при обработке групповой политики. Попытка чтения файла «\ххххххххSysVolхххххххPolicies{F5306EB8-7B8E-49E0-83BD-75D92F72441D}gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены,
пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Репликация между DC проходит успешно(судя по утилите AD Replication Status Tool 1.0)
И вроде ошибка стала появляться после попытки установки службы RDS
Эта же ошибка 1058 появляется и на сервере где WSUS, но с периодичностью гораздо реже через 1ч иногда 2ч
-
Изменено
10 июня 2013 г. 5:23
-
Изменено
Ответы
-
Ошибка исчезла после удаления групповых политик WSUS
-
Предложено в качестве ответа
lokise
12 июня 2013 г. 4:12 -
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
13 июня 2013 г. 12:47
-
Предложено в качестве ответа
-
Добрый день.
Не думаю что ошибка была вызвана групповой политикой WSUS скорее проблемами с репликацией и настройками безопастности. В любом случае хорошо что разобрались, думаю тему можно закрывать.
Печенкин Николай
Обновлено 30.07.2021
Всем привет сегодня разберем как решается ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2. Симптомы у данного сообщения, не обрабатываются групповые политики и не правильно могут разрешаться имена.
Вот как более детально выглядит ошибка при обработке групповой политики. Событие с кодом ID 1054: Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Проверка разрешения имен
Первым делом нужно проверить может ли наш сервер правильно разрешать внутренние доменные имена. Для этого воспользуемся утилитой nslookup. Выберите любое доменное имя сервера или лучше контроллера домена. Открываем командную строку и пишем
dc1 это мой контроллер домена. Как видите у меня локальные DNS имена разрешал, внешний DNS сервер, так как на сервере стоит два сетевых интерфейса и один со внешним ip адресом.
выполнение nslookup
причину мы выяснили, из за чего выскакивает ошибка.
Приоритетность контроллеров домена
Давайте теперь посмотрим, какой из контроллеров домена является для вашего сервера самым авторитетным, ранее я уже рассказывал как определить какой domain controller вас авторизовал, но нам нужен авторитет в вашем домене и возможность обращение к нему по LDAP. Делается это командой
nltest /dnsgetdc:ваше имя домена
Я вижу что у меня это dc2, его ip адрес мне и понадобится.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Так же нужно проверить доступность DC по протоколу RPC, с помощью команды
nltest /dsgetdc:ваше имя домена
доступность DC по протоколу RPC
В данном случае проблем я не обнаружил. Пилим дальше.
Настройка DNS на внешнем сетевом интерфейсе
Так как мы выяснили ip адрес контроллера домена, что нас авторизовывал, его мы и пропишем в качестве DNS сервера на внешнем сетевом интерфейсе. В свойствах ipv4 прописываем его как основной DNS сервер. Напомню, что для разрешения внешних имен у вас должна быть настроена рекурсия на ДНС сервере.
настройка dns сервера
Теперь снова выполним команду nslookup и видим, что теперь внутренние имена разрешаются внутренним DNS сервером.
выполнение nslookup
Выполним теперь обновление групповой политики с помощью данной команды
Видим, что все обновилось корректно и проблема при обработке групповой политики, об этом сообщает событие с кодом ID 1502. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2 ушла.
обновление GP
Из скрина выше видно что прилетели 24 политики. На этом все. Материал сайта pyatilistnik.org
29.12.201402:1329.12.2014 02:13:03
На одном из доменных компьютеров с Windows 7 столкнулся с проблемой — не применялась групповая политика компьютера, при этом в системном журнале компьютера регистрировалось событие с номером 1055:
Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: a) Ошибка разрешения имен на текущем контроллере домена. b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).
При этом в Подробностях можно было видеть следующий дополнительный код ошибки:
ErrorCode 1331 ErrorDescription Вход в систему не произведен: учетная запись в настоящее время отключена.
На Технете существует
статья
по событию 1055, однако по ErrorCode 1331 там нет никакой информации.
Имена на контроллере домена разрешались нормально, dcdiag никаких ошибок не показывал, с репликацией проблем не было, sysvol была доступна с проблемного компа, учетная запись компьютера конечно же была включена.
При генерации Результирующей политики (RSoP) выдавалась следующая ошибка:
Инфраструктура групповой политики не удалось выполнить из-за указанной ниже ошибки. Вход в систему не произведен: учетная запись в настоящее время отключена. Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.
В результате долгих раздумий и исканий выяснилось следующее — на компьютере под аккаунтом Локальная система (Local System аccount) были закэшированы реквизиты сторонней учетки для доступа к контроллеру домена. А именно от имени этого аккаунта идет обращение к КД для получения групповых политик компьютера. Т.е. при попытке получить групповые политики с контроллера домена обращение к нему шло от этой закэшированной учетки, которая действительно была отключена. Проблема решилась после удаления этой учетки из кэша, сделать это можно следующим образом:
1) С Технета качаем всем известный пакет Sysinternals
PSTools
, из него нам потребуется утилита PsExec
2) Запускаем командную строку от имени администратора и выполняем в ней PsExec.exe -i -s cmd.exe, в результате запустится командная строка под системной учетной записью
3) В этой командной строке запускаем rundll32.exe keymgr.dll, KRShowKeyMgr, в результате откроется окно «Сохранение имен пользователей и паролей», в котором можно увидеть все закэшированные учетки под системной учетной записью:
4) Удаляем ненужные учетки. Прежде всего нужно обратить внимание на те, которые используются для авторизации на КД. В моем случае тут была только одна учетка.
5) Перезагружаем компьютер, проверяем, как отработалась политика компьютера, и наслаждаемся жизнью
Дополнение:
ErrorCode 5 — решилась аналогичным образом.
Полезная ссылка: список кодов системных ошибок Windows
- Remove From My Forums
-
Question
-
I just added a Windows 2012 domain controller to my Windows 2003 domain. I’m getting a lot of errors about Group Policy and also NETLOGON dynamic registration of DNS records on the Windows 2012 server. I have DNS running on each server and it
seems to be working for queries.Help!
Log Name: System
Source: Microsoft-Windows-GroupPolicy
Date: 2/27/2014 5:17:13 PM
Event ID: 1055
Task Category: None
Level: Error
User: SYSTEM
Description:
The processing of Group Policy failed. Windows could not resolve the computer name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).-
Edited by
Friday, February 28, 2014 1:11 AM
-
Edited by
Answers
-
I made two changes that seemed to fix this:
1. I made sure the DHCP Client service was running. I had it disabled for the Windows 2003 domain controllers, but it seems to be required in Windows 2012.
2. I installed a second root Certification Authority because the Windows 2012 DC wasn’t picking up a domain controller certificate. I have two different root CAs now. I hope that doesn’t cause other problems, but at least Group Policy seems to
be up and running now.-
Marked as answer by
Frank Shen5
Monday, March 3, 2014 2:50 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
I just added a Windows 2012 domain controller to my Windows 2003 domain. I’m getting a lot of errors about Group Policy and also NETLOGON dynamic registration of DNS records on the Windows 2012 server. I have DNS running on each server and it
seems to be working for queries.Help!
Log Name: System
Source: Microsoft-Windows-GroupPolicy
Date: 2/27/2014 5:17:13 PM
Event ID: 1055
Task Category: None
Level: Error
User: SYSTEM
Description:
The processing of Group Policy failed. Windows could not resolve the computer name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).-
Edited by
Friday, February 28, 2014 1:11 AM
-
Edited by
Answers
-
I made two changes that seemed to fix this:
1. I made sure the DHCP Client service was running. I had it disabled for the Windows 2003 domain controllers, but it seems to be required in Windows 2012.
2. I installed a second root Certification Authority because the Windows 2012 DC wasn’t picking up a domain controller certificate. I have two different root CAs now. I hope that doesn’t cause other problems, but at least Group Policy seems to
be up and running now.-
Marked as answer by
Frank Shen5
Monday, March 3, 2014 2:50 AM
-
Marked as answer by