组策略计算机故障

组策略计算机故障

希望有人能帮助我解决这个问题,因为我正为此而苦苦挣扎。

问题

组策略计算机配置不适用于除 DC 之外的任何机器,用户策略正在应用。

历史

其他人设置了这个域,并且可能已经这样一段时间了,但考虑到他们没有使用很多 GPO,并且用户权限等似乎不受影响,他们似乎没有注意到。本周早些时候,我不得不手动重新创建已被删除(或可能从未存在过)的 _msdcs 域,以使域加入正常工作,这个问题很可能是遗留问题,或者这个域中存在其他严重缺陷,我只是无法弄清楚它们可能是什么或如何修复它们。

初始错误详细信息

gpupdate 在针对用户(/TARGET:User)时处理正常,但针对计算机时则不然,它会生成一般错误并指向详细信息部分以获取更多信息:

一般错误

组策略处理失败。Windows 尝试检索此用户或计算机的新组策略设置。在详细信息选项卡中查找错误代码和描述。Windows 将在下一个刷新周期自动重试此操作。加入域的计算机必须具有正确的名称解析和与域控制器的网络连接才能发现新的组策略对象和设置。组策略成功时将记录事件。

详细错误

错误代码 8341

错误描述 发生了目录服务错误。

DC 名称 \SERVER01.domain.local

我尝试过的方法

我一直在努力理解,此错误是由于计算机未通过 DC 进行身份验证以作为计算机帐户访问 GPO 而导致的。因此我尝试了:

  • 删除域名并重新添加
  • 设置全新的服务器并连接到域

鉴于这是以前的问题(请参阅历史记录),我还查看了域的运行状况,但我没有在修复问题方面取得很大进展,AD 最佳实践分析器注意到域中的一些错误,我计划在夜间重新启动服务器,希望它能够解决这些问题,问题太多,无法在这里轻松发布,但它们都与 DNS 记录未正确注册以将 DC 标识为主要目录、kerberos 服务器和其他域功能有关。

潜在的想法

我目前的想法是,修复域名(记住它是一个实时域名,我们不能做太多激烈的事情,特别是在工作时间)以某种方式解决这个问题,但我对需要修复什么或如何修复并不十分清楚。

任何建议都将不胜感激,抱歉这篇文章太长了!

答案1

该问题(正如评论者所说)与最佳实践分析器中的错误有关。

domain.local 域未集成 AD,因此 DC 无法创建所需的记录以允许域计算机找到相关服务。

我将域更改为 Active Directory Integrated,然后运行“ipconfig /flushdns”和“ipconfig /registerdns”并在 DC 上重新启动 netlogon 服务。

这解决了 GPO 问题和 Active Directory 最佳实践错误

相关内容