我们使用 Active Directory,但其中一台计算机出现了一个小问题。当您登录域时(无论使用哪个用户帐户),第一次登录时它都不会起作用。Windows 会说它无法在域中找到用户,事件日志只有以下内容(包装在代码块中以便于查看):
The processing of Group Policy failed. Windows attempted to read the file
\\xxxx.local\SysVol\xxxxx.local\Policies\{448DC634-5296-4D65-BA4A-8D2BF90380C2}\gpt.ini from a domain controller and was not successful.
Group Policy settings may not be applied until this event is resolved.
This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
如果您注销,然后重新登录,它将正常运行。
有人遇到过类似的事情吗?我原本以为可能是某些 Windows 服务没有启动,但这似乎不是问题所在。
答案1
天哪,我太喜欢这样的错误了。我不知道这个错误的原因,但应该可以在一两天内确定原因。
首先,错误信息最可能出现的原因就列在那里。
当前域控制器的名称解析/网络连接。
域控制器是否位于本地子网上?您是否通过 VPN 连接到 DC?您是否通过 WAN 连接到 DC?您的网络是否可能存在有缺陷的 DNS 服务器(即速度很慢或出现其他故障)?
所有这些都可能导致您的客户端暂时无法从 DC 检索组策略对象。除非可以排除这些情况,否则无需进一步查找。
文件复制服务延迟
下一点将展示,Windows 域中的域控制器在分布式文件存储系统中共享文件。这意味着存储在其中的实际文件被复制到所有 DC。因此,某个文件可能在目标 DC 上尚不可用。
我认为这不太可能,因为这个问题似乎是可重现的。
分布式文件系统 (DFS) 客户端
处理 DFS 的客户端还在运行吗?考虑到登录在几秒钟内有效,不太可能。
要找到这个问题的核心,重要的是要了解到底是什么不起作用。最有可能的是,Windows 尝试访问CreateFile()错误消息中指定的文件。此调用失败。(您可以使用以下方法验证这一点进程监控.)
为什么会失败?为什么第二次登录不会失败?
给出的第一个可能原因(网络连接)在我看来是最合理的。可能是由于应用了另一个组策略而重置了与 DC 的连接,而该组策略不会在第二次登录时再次应用。或者反过来,只有在应用了某个组策略后,才能从 DC 读取另一个组策略。
我很好奇。如果您尝试直接在 DC 上登录出现此问题的用户帐户,会发生什么情况?