似乎我们的域中没有应用任何计算机 OU 的 GPO。当我运行 gpresult 时,用户 GPO 可以毫无问题地应用,但对于计算机 GPO,它显示“无法获取域控制器的名称”。
这很奇怪,因为非本地用户 GPO 正在被应用并且运行没有问题。
我们的服务器是 2008 R2,并且我们有 2 个 Win7 桌面实验室。
我从事件查看器中收集了一些日志,这些日志应该是足够的桌面样本。机器上的几乎所有错误都是 GP 错误。以下错误经常重复出现,占所有错误的大部分(除非另有说明,否则来源是组策略):
- 1054:无法获取域控制器的名称
- 7006:定期策略处理失败
- 7017:xxx 毫秒后 LDAP 调用连接和绑定失败
- 7320:无法注册连接
- 7326:组策略未能在 xxx 毫秒内发现 DC
- 5719:计算机无法与 DC 建立安全会话(来源:NETLOGON)
最后,关于 1054,我检查了桌面的首选 DNS,它们指向我们的服务器。服务器或任何桌面上都没有 DNS 错误。
关于如何修复此问题或进一步排除故障,您有什么想法吗?
答案1
我以前见过类似的事情发生。最终,实验室映像上的 NetBIOS TCP/IP Helper 服务由于某种原因被禁用。这很难排除故障,因为:
- nslookup 成功找到该域名
- 我可以 ping 通域名
- 如果我使用 IP 地址,我可以连接到 GPO SYSVOL
- 我无法通过域 UNC 连接到 GPO SYSVOL,但可以直接从 DC 的 URL 连接
它是将“ad.example.com”转换为 Windows 可以解析的内容的辅助服务。在我们的案例中,我们仍然有一个 WINS 服务器,它设法掩盖了服务被禁用的一些其他副作用,但 WINS 无法处理带点的名称。
答案2
在全新虚拟安装(在 VirtualBox 上)中,我发现运行 gpupdate 时没有出现任何错误。这表明服务器、AD 或与 GPO 系统相关的任何其他内容都没有问题,而是本地计算机出了问题。另一位系统管理员尝试退出,然后重新加入域。我们在所有无法接收计算机 GPO 的计算机上都执行了此操作,现在一切正常。
我对虚拟化还很陌生,从来没有想过把它当作一种故障排除工具,但从现在开始我肯定会这么做。