GPO 不仅适用于成员服务器 - 发布彻底的故障排除

GPO 不仅适用于成员服务器 - 发布彻底的故障排除

之前已经多次出现过的 GPO 未应用问题.....

自 4 月 29 日起,我的成员服务器均未处理任何 GPO。

我在管理 AD 和 GPO 方面拥有丰富的经验,因此在进行了许多明显的检查后,我在此发布。这个问题对我来说似乎有点奇怪:

已进行的检查:

  • GPO 停止处理时配置未发生任何变化
  • 所有 GPO 在 DC 上的处理均正常(GPO 未损坏)
  • 所有 GPO 均已启用正确的状态,以应用于相关的计算机/用户配置
  • 所有 GPO 均具有相关的安全会员资格以供应用(经过身份验证的用户)。
  • 域复制工作正常,没有错误(dcdiag、repadmin /replsum)。
  • 我甚至可以通过 telnet 访问域通信所需的所有目录服务端口。
  • 所有相关服务均在成员和 DC DNS、计算机浏览器、服务器、TCP/IP NETBIOS 助手等上运行。
  • DFS-R 服务在两个 DC 上都在运行。
  • FRS 未使用且服务已被禁用,但在出现此问题之前已被禁用。
  • DNS 工作正常,可以从成员服务器解析 DC 名称。
  • NIC 有两个 DC 作为 DNS 服务器,并且存在 DNS 后缀。
  • 我可以使用 FQDN 浏览域中 sysvol 共享中的 gtp.ini 文件,但无法打开该文件。这表明存在 NTFS 权限问题,但该文件对经过身份验证的用户具有读取和执行权限。
  • 服务器上的 Gpudate /force 显示与以下相同的错误(EventID:1058)。
  • Gpresult /r 没有显示任何问题,并且所有应应用的内容都存在。
  • 任何试图访问的位置都不会被拒绝访问。
  • 身份验证工作正常。
  • 任何成员服务器上的时间/日期均同步。

尽管可以浏览 \domain.local\sysvol\domain.local\policies\,但最初的响应速度非常慢。第一次枚举后,这种情况有所改善。

事实上,他们在 DC 上处理得很好,这表明存在防火墙问题,目前正在与数据中心的托管支持团队交谈,以查明那里是否缺少了什么。

成员服务器应用程序事件日志组策略驱动器映射中出现的错误:4098

“驱动器映射 {FF057D4C-4453-4B05-9617-28DA586479B1}”组策略对象中的用户“G:”首选项未应用,因为它失败,错误代码为“0x80070005 访问被拒绝”。此错误已被抑制。

系统事件日志 Microsoft-Windows-GroupPolicy EventID:1058

组策略处理失败。Windows 尝试从域控制器读取文件 \domain.local\SysVol\domain.local\Policies{FF057D4C-4453-4B05-9617-28DA586479B1}\gpt.ini,但未成功。在此事件解决之前,可能无法应用组策略设置。此问题可能是暂时的,可能由以下一个或多个原因导致:a) 当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。

Microsoft-Windows-GroupPolicy 事件 ID:1085

Windows 无法应用组策略计划任务设置。组策略计划任务设置可能有自己的日志文件。请单击“更多信息”链接。

GroupPolicy 操作日志 Microsoft-Windows-GroupPolicy 事件 ID:7017

访问指定文件的系统调用已完成。\domain.local\SysVol\domain.local\Policies{42A99E50-622B-4CCA-B7AF-30F44916599D}\gpt.ini 调用在 113782 毫秒后失败。

在本地服务器上的 GroupPolicy 跟踪日志中,我反复看到以下错误:

0x80070040“指定的网络名称不再可用

所有服务器上唯一一次软件更改是在 4 月 28 日,当时我删除了 McAfee VSE 并安装了 TrenMicro 的 OfficeScan 11 客户端,但没有看到与 McAfee 残留相关的任何事件。此后,我还删除了 OfficeScan 11 进行测试,以确保这不是原因。老实说,我认为这只是巧合,但我会继续寻找。

系统事件日志错误开始于 29 日 09:09,而 AV 删除和安装发生在前一天 16:46。

无论如何,有人能看到我在故障排除过程中遗漏的任何内容吗?

相关内容