На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды
gpupdate /force
и увидел такую ошибку в консоли:
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.
Computer policy could not be updated successfully. The following errors were encountered: The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.
При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):
Log Name: System Source: Microsoft-Windows-GroupPolicy Event ID: 1096 Level: Error User: SYSTEM
Если попробовать выполнить диагностику применения GPO с помощью команды gpresult (
gpresult.exe /h c:\tempt\gpresultreport.html
), видно что не применяется только настройки из раздела Group Policy Registry —
Failed
:
Registry failed due to the following error listed below. Additional information may have been logged. Review the Policy Events tab in the console or the application event log.
Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.
Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:\Windows\System32\GroupPolicy\Machine и переименуйте его в registry.bak.
Можно переименовать файл из командой строки:
cd "C:\Windows\System32\GroupPolicy\Machine"
ren registry.pol registry.bak
Обновите настройки групповых политик командой:
gpupdate /force
Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.
Если в журнале вы видите событие Event ID 1096 (
The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://
) c ErrorCode 13 и описанием “
The data is invalid
”, значит проблема связана с доменной GPO, указанной в ошибке.
Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:
Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7
- Запустите консоль управления доменными GPO (gpmc.msc) и проверьте, что политика существует;
- Проверьте, что в каталоге SYSVOL политики есть файлы registry.pol и gpt.ini и они доступны на чтение (проверьте NTFS права);
- Проверьте, что версия политики на разных контроллерах домена одинакова (проверьте корректность работы домена и репликации в AD);
- Удалите файлы GPO в SYSVOL на контроллере домена, с которого получает политику клиент (
$env:LOGONSERVER
), и дождитесь ее репликации с соседнего DC - Если предыдущие способы не помогут, пересоздайте GPO или восстановите ее из бэкапа.
- Remove From My Forums
Ошибка при обработке групповой политики.
-
Вопрос
-
Всем доброго времени суток. Возникла следующая проблема : я создал групповую политику, через gpupdate /force попытался применить ее для компа в подразделении, но возникла ошибка. Политика применяется на компы, используется
для вывода сообщения при входе в систему.Ошибка при обработке групповой политики. Попытка чтения файла «\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены,
пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Доменный сервак версии 2003 SP2, ошибка выдается одинаковая на всех компьютерах в группе(тестил на Win 7 и 10). В пути по \\domain\sysvol\domain\Policies\ существует необходимая для применения политика, но название ее фолдера
— {179B6764-E757-4343-A26D-E0DFC2B2A21B}.Буду признателен для подсказки в решении проблемы.
Добрый день.
Имеется проблема с применением ГП на некоторых компьютерах.
При вводе gpupdate /force —
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:
Ошибка при обработке групповой политики. Попытка чтения файла «\\Имя_домени\SysVol\Имя_домени\Policies\{53733511-0850-4424-B6A4-50A4FCE279D2}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.
GPRESULT /H GPReport.html — делал, результате скриншоте
Этот политика в другом компьютере работает.
Уважаемые, подскажите какую сторону копать?
- Remove From My Forums
Не обновляется групповая политика на клиентах — ошибка доступа к файлу gpt.ini на контроллере домена
-
Question
-
Добрый вечер, коллеги! Запутался я что-то с групповой политикой
Контроллер домена собран на Windows Server 2008 R2, клиенты — под Windows 7. Включил 2 параметра в политике по умолчанию — включать хранитель экрана через 600 сек и требовать пароля при
выходе из заставки. Сделал gpupdate /force на контроллере домена, проверил тут же при помощи rsop.msc — все верно. На рабочих станциях тоже все применилось — после их включения. Но вот попробовал я изменить значение таймаута и.. все. Пробую обновить политику
на клиентах:gpupdate
Выдается вот такое:
C:\Users\Administrator>gpupdate
Обновление политики…Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:
Ошибка при обработке групповой политики. Попытка чтения файла «\\domainname.com\SysVol\domainname.com\Policies\{CC7899DB-290F-42BD9966-EED7108075BF}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не
будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /HGPReport.html из командной строки для просмотра сведений о результатах групповой политики.
Пробовал все это как под учетками юзеров, так и под админской — результат тот же. Проверил путь:
\\dcmain\Sysvol — могу зайти в каталог (dcmain — это имя контроллера домена). Но если вот так — \\domainname.com\Sysvol — не пускает. Пишет, что нет прав. Хотя я админ как бы
Подозреваю, что проблема именно в правах, с DNS все в норме, nslookup на клиентах
ведет именно к DNS контроллера домена. Что подкрутить нужно? Спасибо
Контроллер домена собран на Windows Server 2008 R2, клиенты — под Windows 7. Включил 2 параметра в политике по умолчанию — включать хранитель экрана через 600 сек и требовать пароля при
Подозреваю, что проблема именно в правах, с DNS все в норме, nslookup на клиентах
Answers
-
Вроде разобрался
Последовал совету с этого же форума (англоязычная часть) —I had this problem with a single 2008r2 domain controller, while all other DCs were fine. The problem had started when an old DC was retired and its ip address transferred to the new 2008r2 DC. I first tried demoting the DC, planning to re-promote it. After
demoting I noticed its ip address was still turning up in a «nslookup domain». It turned out there was a static A record to the DC’s ip address in the DNS. After deleting the static record, and re-promoting the DC, everything was fine.Имя dcmain ссылалось на 2 IP-адреса — локальный и реальный (на контроллере еще и шлюз реализован). Выключил вторую сетевую, убрал ее упоминания из DNS — работает. То есть — получается нельзя совмещать роль шлюза и контроллера домена на одном сервере?
-
Marked as answer by
Tuesday, March 20, 2012 12:48 PM
-
Marked as answer by
Создал новую GPO, которая отказывалась применяться на клиентской машине. Команда gpupdate /force вылетала с ошибкой. В результате поиска описания ошибки, выяснилось что у меня на одном из контроллеров домена перестала работать репликация DFSR.
Ошибка:
Ошибка при обработке групповой политики. Попытка чтения файла «\\domain\SysVol\domain\Policies\{76896C7D-6AE7-4FC5-A8A8-5ABFAB16ED42}\gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Теперь осталось выяснить какой именно контроллер, и по какой причине. Для начала необходимо запустить на каждом контроллере домена под пользователем Администратор, cmd консоль и выполнить в ней dcdiag /q (выводит только ошибки). Если все хорошо, то тогда необходимо смотреть журнал DFS Replication, предварительно перезапустив службу DFSR на контроллерах домена.
Еще один метод выявления неработающего КД: необходимо зайти на каждом контроллере домена
C:\Windows\SYSVOL\sysvol\domain.ru\Policies
На контроллере домена, с неработающей службой DFS будет не хватать нужной нам или даже более групповых политик.
Шаги по устранению:
1) Бекап актуальной папки SYSVOL.
2) Если репликация не работает больше 60 дней, то необходимо в командной строке выполнить:wmic /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxofflineTimeInDays=100. Число 100 — это количество дней, должно быть больше чем в ошибке.
3)wmic /namespace:\\root\microsoftdfs path DfsrVolumeConfig where volumeGuid=»» call resumeReplication.
VolumeGuid указан в ошибке DFSR.
После данных манипуляций репликация восстанавливается.