设为首页收藏本站
开启辅助访问

应用组策略故障排除指南

 您所在的位置:网站首页 事件id131 应用组策略故障排除指南

应用组策略故障排除指南

2023-09-07 17:32| 来源: 网络整理| 查看: 265

应用组策略故障排除指南 项目 07/12/2023

试用我们的虚拟代理 - 它可以帮助你快速识别和修复常见的 Active Directory 复制问题

本指南提供用于排查组策略问题的基本概念。 你将了解:

如何查找新的故障排除信息。 如何使用事件查看器筛选特定组策略信息。 如何读取和解释事件数据。 用于定位故障点的正确方法。 故障排除清单

首先读取系统事件日志中记录组策略事件。

警告事件提供了进一步的信息供你遵循,以确保组策略服务保持正常运行。 错误事件提供描述失败和可能原因的信息。 使用事件消息中包含的 “更多信息” 链接。 使用“ 详细信息 ”选项卡可以查看错误代码和说明。

使用组策略操作日志。

标识要进行故障排除的组策略处理实例的活动 ID。 创建操作日志的自定义视图。 将日志划分为多个阶段:预处理、处理和后处理。 将每个起始事件与其相应的结束事件合并。 调查所有警告和错误事件。 隔离依赖组件并对其进行故障排除。 (GPUPDATE) 使用 组策略 update 命令刷新组策略。 重复这些步骤以确定警告或错误是否仍然存在。

重要

刷新组策略更改自定义视图中的活动 ID。 故障排除时,请确保使用最新的活动 ID 更新自定义视图。

确定组策略处理的实例

在查看组策略操作日志之前,必须先确定失败的组策略处理实例。

若要确定组策略处理的实例,请执行以下步骤:

打开事件查看器。 在“事件查看器 (本地) ”下,选择“Windows 日志>系统”。 双击要排查组策略警告或错误事件。 选择“详细信息”选项卡,然后检查“友好”视图。 选择“ 系统 ”以展开“ 系统 ”节点。 在系统节点详细信息中查找 ActivityID。 使用此值 (查询中没有左大括号和右大括号) 。 将此值复制到记事本,以便稍后可供使用,然后选择“ 关闭”。 创建组策略实例的自定义视图

计算机通常有多个组策略处理实例。 专用于运行终端服务的计算机通常有多个组策略处理实例,并同时运行。 因此,请务必筛选组策略操作事件日志,以便仅显示要进行故障排除的实例的事件。

使用以下过程创建组策略实例的自定义视图。 通过使用事件查看器查询执行此操作。 此查询为特定组策略处理实例创建组策略操作日志的筛选视图。

若要创建组策略实例的自定义视图,请执行以下步骤:

打开事件查看器。

右键单击“ 自定义视图”,然后选择“ 创建自定义视图”。

选择“XML”选项卡,然后检查“手动编辑查询检查”框。 事件查看器将显示一个对话框,其中说明手动编辑查询会阻止您使用“筛选”选项卡修改查询。选择“是”。

将此步骤结束时提供的事件查看器查询 (复制到剪贴板) 。 将查询粘贴到“ 查询 ”框中。

*[System/Correlation/@ActivityID='{INSERT ACTIVITY ID HERE}']

将之前从确定组策略处理实例部分保存的 ActivityID 复制到剪贴板。 在“ 查询 ”框中,突出显示“在此处插入活动 ID”,然后按 Ctrl+V 将 ActivityID 粘贴到文本上。

注意

请确保不要粘贴前导大括号和尾随大括号 ({ }) 。 必须包括这些大括号才能使查询正常工作。

在“ 将筛选器保存到自定义视图 ”对话框中,键入对创建的视图有意义的名称和说明。 选择“确定”。

保存的视图的名称显示在 “自定义视图”下。 选择已保存视图的名称,以在事件查看器中显示其事件。

重要

组策略服务为每个策略处理实例分配唯一的 ActivityID。 例如,在用户登录期间进行用户策略处理时,组策略服务分配唯一的 ActivityID。 刷新组策略时,组策略服务将另一个唯一 ActivityID 分配给负责刷新用户策略组策略实例。

确保组策略具有要查找的所有设置,并且已正确链接。 下面是必须经历的选项卡。 如果它们看起来都不错,请转到有问题的客户端计算机。

打开提升的命令提示符并运行以下命令。

gpresult /h gp.html

验证捕获的 gpresult 输出,并查找遇到问题的 GPO。 它将提供一个错误,说明为何未应用 GPO。

如果输出中 gpresult 存在错误,我们可以基于该错误对问题进行故障排除。 否则,转到下一步。

打开事件查看器并浏览到应用程序和系统事件日志。 应用程序事件日志将提供组策略更新失败原因的详细信息。

打开操作事件日志以获取更多详细信息。 有一些事件具有应用的 GPO 列表和拒绝的 GPO 列表以及原因。

可以使用这些基本日志解决大多数 GPO 问题。

组策略日志文件

可以启用详细日志记录并检查生成的日志文件。 详细日志记录可能会降低性能并消耗大量磁盘空间,因此最佳做法是仅在必要时启用详细日志记录。

启用 组策略 服务 (GPSvc) 日志记录

在发生 GPO 问题的客户端上,按照以下步骤启用组策略服务调试日志记录。

打开注册表编辑器。

找到并选择以下注册表子项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

在 “编辑 ”菜单上,选择“ 新建>密钥”。

键入 “诊断”,然后按 Enter。

右键单击“ 诊断 ”子项,选择“ 新建>DWORD (32 位) 值”。

键入 GPSvcDebugLevel,然后按 Enter。

右键单击“ GPSvcDebugLevel”,然后选择“ 修改”。

在“ 值数据 ”框中,键入 30002 (十六进制) ,然后选择“ 确定”。

退出注册表编辑器。

在命令提示符窗口中,运行 gpupdate /force 命令,然后按 Enter。

然后,查看以下文件夹中的 Gpsvc.log 文件: %windir%\debug\usermode

注意

如果 usermode 文件夹不存在,请在 %windir%\debug 下创建它。 如果 %WINDIR%\debug\下不存在 usermode 文件夹,则不会创建 gpsvc.log 文件。

常见问题和解决方案 事件 ID 1129

当由于网络连接问题而无法应用组策略时,会记录事件 ID 1129。

在这种情况下,DC 上会阻止与轻型目录访问协议 (LDAP) 端口 389 的连接。 命令 gpupdate 失败,出现以下错误:

检查事件日志时,可能会发现以下事件说明:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator.

在这种情况下,请启用 gpsvc 调试日志。 在 gpsvc 日志中,你可能会发现输出“GetLdapHandle: 无法将 DC> 与 81 连接Operational 事件日志下检查 AuditCSE 处理的详细级别事件。 此信息可用于观察高级审核组策略设置的处理情况,从而检测任何故障/错误。

审核客户端扩展 (Auditcse.dll) 将处理审核客户端扩展。 它在 “安全-审核-配置-客户端>操作日志”下有自己的日志记录。

按照以下步骤查看 Security-Audit-Configuration-Client>Operational 事件日志,以便对审核组策略设置进行故障排除:

打开 事件查看器。 在“事件查看器 (本地) ”下,选择“应用程序和服务日志>Microsoft>Windows>安全性-审核-配置-客户端>操作”。 双击“ 警告 ”或 “错误” 事件进行故障排除。 此外,请查看这些事件的 “详细信息 ”选项卡,了解任何 “错误” 值。 否则,请查看 Informational 事件以捕获审核扩展的完整处理。 在联系Microsoft 支持部门之前收集关键信息

在完成支持请求之前,建议使用 Windows Live 转储功能在受影响的计算机上保存内核内存快照。 为此,请按照下列步骤操作:

通过运行以下命令捕获组策略服务详细日志记录:

md %windir%\debug\usermode reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002"

使用 gpupdate /force 命令刷新本地和基于 AD 的组策略设置。

提示

如果排查特定用户或计算机缺少设置的问题,请使用以下命令之一:

Gpupdate /force /target:computer Gpupdate /force /target:user

运行以下命令,将策略的结果集 (RSoP) 报告保存到 HTML 文件:

gpresult /h %Temp%\GPResult.htm

运行以下命令,将 RSoP 摘要数据保存到 txt 文件:

gpresult /r >%Temp%\GPResult.txt

通过运行以下命令导出 GPExtensions 注册表项:

reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg

通过运行以下命令导出系统、应用程序和组策略操作事件查看器日志:

wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true

捕获以下文件:

%Temp%\Application.evtx %Temp%\System.evtx %Temp%\GroupPolicy.evtx %Temp%\GPExtensions.reg %Temp%\GPResult.txt %Temp%\GPResult.html %windir%\debug\usermode\gpsvc.log

完成后,可以通过运行以下命令来停止组策略服务日志记录:

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f 数据收集

如果需要 Microsoft 支持方面的帮助,我们建议按照使用 TSS 收集信息中提到的步骤收集信息,解决组策略问题。



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3