none
域控制器下发的用户组策略在ou内的用户上没有应用 RRS feed

  • 问题

  • 域环境是2台DC,在一台域控制器上给ou链接的GPO设置了一些用户配置,客户端上登录ou内的用户,相应的用户组策略并没有应用,运行gpresult结果中也没有相应设置项。运行dcdiag出现了一个错误,不知道是否与这个有关。请工程师、高手指导一下怎么去找到问题所在,谢谢!

    错误:   开始测试: DFSREvent
             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。

    2019年8月24日 9:07

答案

  • 你好,

    如果D2不可以的话,你可以在PDC(确认没有问题)上进行权威还原(D4).

    之前的链接里有D4相关的内容。(英文,可进行谷歌翻译)

    在进行操作之前,为以防万一,请进行备份。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月12日 1:32

全部回复

  • 你好,

    为缩小问题范围,请确认以下问题:

    运行gpupdate /force有无错误信息出现.

    客户端登录OU内的用户,运行gpresult /h c:\gpreport.html,查看错误信息。

    另外可测试以下Sysvol复制有无问题,在一台DC的Sysvol 中创建文件,能否复制到另外一台DC.

    以上问题,如果方便的话,可以上传截图。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月26日 3:44
  • 这是在域控制器上运行组策略结果集的报告,也有报错,然后设置的用户配置项目也没有出来
    2019年8月26日 6:52
  • 你好,

    你是传的link,还是截图?好像没有上传成功。

    建议根据上面的提示,进行测试,如果没办法上传截图或者链接,可语言描述。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月26日 9:00
  • 我上传图片时提示:在账户经过验证之前,将不能上传链接和图片
    2019年8月26日 12:42
  • 你好,

    运行gpupdate /force有无错误信息出现.

    客户端登录OU内的用户,运行gpresult /h c:\gpreport.html,查看错误信息。

    另外可测试以下Sysvol复制有无问题,在一台DC的Sysvol 中创建文件,能否复制到另外一台DC.

    请问,以上问题有没有检查过,结果如何?

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月27日 1:48
  • 你好,

    请问您目前情况如何?

    是否是以为sysvol文件不复制导致的问题。

    如果是使用的DFSR复制,则需要在有问题的DC上进行一个D2或者D4操作,具体可以参考以下链接:https://support.microsoft.com/en-in/help/2218556.

    如果有问题,欢迎继续联系我们。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月29日 7:30
  • 您好,感谢您的回答,我现在回复内容不能插入图片,会提示账户未经认证之前,不能发图片或链接。这个问题您能帮我解决一下吗?
    2019年8月29日 11:38
  • 您好,我看了客户端组策略gpresult的应用结果,其计算机组策略对象以及用户组策略对象的版本与域控制器上面对应GPO的版本不一致,有些客户端是计算机策略的某些项目没有应用出来,用户策略正常;有些客户端是计算机和用户策略的某些项目都没有应用出来。另外,gpresult的结果中有报错信息:由于出现下面列出的错误,Group policy network shares失败。系统找不到指定的文件。最后我检测了一台域控制器组策略管理中域复制的状态详细信息,提示无法访问,无法在此域控制器上访问active directory 或sysvol或者缺少对象;检查另外一台域控制器时提示:此域控制器上的一个或多个GPO版本号与基线域控制器上的GPO版本不一致。

    请您指点一下,谢谢。

    2019年8月29日 15:45
  • 你好,

    非常抱歉,论坛这边只负责发帖内容的交流,关于上传图片及认证方面的内容,没办法帮您处理。

    从描述来看,应该是sysvol文件出了问题。

    首先建议对sysvol文件进行排错。首先建议在有问题的DC上对SYSVOL文件夹进行D2还原。(在两台DC上运行Dcdiag /v  >c:\dcdiag.log)确认哪一台是有问题的。必须有一台DC是正常运行的才可。

    https://support.microsoft.com/en-in/help/2218556.

    之后再一次查看结果,看还有无其他的问题,如果还不能正常运行,则再根据实际情况进行处理。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月30日 1:05
  • 这是其中一台dc的dcdiag的结果,请您看看有没有大的问题,谢谢。

    目录服务器诊断


    正在执行初始化设置:

       正在尝试查找主服务器...

       主服务器 = secondc

       * 已识别的 AD 林。
       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: Default-First-Site-Name\SECONDC

          开始测试: Connectivity

             ......................... SECONDC 已通过测试 Connectivity

    正在执行主要测试

      
       正在测试服务器: Default-First-Site-Name\SECONDC

          开始测试: Advertising

             ......................... SECONDC 已通过测试 Advertising

          开始测试: FrsEvent

             ......................... SECONDC 已通过测试 FrsEvent

          开始测试: DFSREvent

             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
             ......................... SECONDC 已通过测试 DFSREvent

          开始测试: SysVolCheck

             ......................... SECONDC 已通过测试 SysVolCheck

          开始测试: KccEvent

             ......................... SECONDC 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             ......................... SECONDC 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             ......................... SECONDC 已通过测试 MachineAccount

          开始测试: NCSecDesc

             ......................... SECONDC 已通过测试 NCSecDesc

          开始测试: NetLogons

             ......................... SECONDC 已通过测试 NetLogons

          开始测试: ObjectsReplicated

             ......................... SECONDC 已通过测试 ObjectsReplicated

          开始测试: Replications

             ......................... SECONDC 已通过测试 Replications

          开始测试: RidManager

             ......................... SECONDC 已通过测试 RidManager

          开始测试: Services

             ......................... SECONDC 已通过测试 Services

          开始测试: SystemLog

             发生了一个错误事件。EventID: 0xC0001B61

                生成时间: 09/02/2019   08:27:47

                事件字符串: 等待 DIGIQUCHVKHJRHKMUKVQ 服务的连接超时(30000 毫秒)。

             发生了一个错误事件。EventID: 0x0000271A

                生成时间: 09/02/2019   08:29:18

                事件字符串:

                服务器 {B91D5831-B1BD-4608-8198-D72E155020F7} 没有在要求的超时时间内向 DCOM 注册。

             ......................... SECONDC 没有通过测试 SystemLog

          开始测试: VerifyReferences

             ......................... SECONDC 已通过测试 VerifyReferences

      
      
       正在 ForestDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... ForestDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... ForestDnsZones 已通过测试 CrossRefValidation

      
       正在 DomainDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... DomainDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... DomainDnsZones 已通过测试 CrossRefValidation

      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 xnyy

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... xnyy 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... xnyy 已通过测试 CrossRefValidation

      
       正在 xnyy.yjs.analy

        上运行企业测试
          开始测试: LocatorCheck

             ......................... xnyy.yjs.analy 已通过测试 LocatorCheck

          开始测试: Intersite

             ......................... xnyy.yjs.analy 已通过测试 Intersite

    2019年9月2日 1:07
  • 你好,

    请问另一台DC是否是正常的?

    建议检查一下你的event log,看有没有警告或者错误事件发生。

    另外,建议在SYSVOL 文件夹内创建一个文件看是否能够复制到另一个DC。

    如果复制不成功可进行D2 还原。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月2日 2:29
  • 之前做过在一台dc的sysvol下域名的文件夹中建立一个文件夹,再打开活动目录和站点复制链接到另一台dc,结果另外一台上面的sysvol中没有改文件夹。这个是不是复制有问题。今天我在客户端发现组策略应用错误设置,如下图。

    怎么进行d2还原,您之前发的英文版的,我英文水平不高,没看懂应该怎么操作,请您再指点一下。谢谢了。

    2019年9月3日 6:23
  • 你好

    如何执行DFSR复制的SYSVOL的非权威同步(如FRS的“D2”)

    1. ADSIEDIT.MSC工具中,修改要使其成为非权威的每个域控制器上的以下可分辨名称(DN)值和属性:

      CN = SYSVOL订阅,CN =域系统卷,CN = DFSR-LocalSettings,CN = <服务器名称>,OU =域控制器,DC = <域>

      msDFSR-Enabled = FALSE

    2. 强制整个域中的Active Directory复制。

    3. 在您设置为非权威的服务器上运行以下命令:

      DFSRDIAG POLLAD

    4. 您将在DFSR事件日志中看到事件ID 4114,指示不再复制SYSVOL。

    5. 在步骤1中的相同DN上,设置:

      msDFSR-Enabled = TRUE

    6. 强制整个域中的Active Directory复制。

    7. 在您设置为非权威的服务器上运行以下命令:

      DFSRDIAG POLLAD

    8. 您将在DFSR事件日志中看到事件ID 4614和4604,指示SYSVOL已初始化。该域控制器现在已经完成了SYSVOL的“D2”。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月5日 9:26
  • 你好,我在windows server2016上面命令提示符窗口不能运行dfsrdiag pollad命令。另外非权威服务器是不是指的是除了pdc之外的域控制器?谢谢!
    2019年9月6日 6:22
  • 你好,

    这里是指进行非权威还原的DC。就是指这个操作是用来:使有问题的DC上的SYSVOL 复制其他DC的SYSVOL.

    所以这个操作是在Sysvol有问题的DC上进行的.

    建议按照整个过程走完,然后检查event log。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月6日 9:18
  • 强制域控制器之间的复制是在active directory站点和服务里面对每个dc都复制从其他dc来的链接吗?我是这样操作的,但是没有出现4604的事件日志。sysvol的复制还是有有问题,跟操作之前一样的。请您再指导一下,谢谢!
    2019年9月8日 9:15
  • 你好,

    建议尝试再DC上安装DFSR 服务,之后再尝试能否运行以上还原操作。

    非权威还原是指有问题的DC的从PDC复制SYSVOL文件。


    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月9日 1:38
  • 非常好,我收藏了!
    2019年9月9日 2:46
  • 我是安装了dfrs服务的,请看截图。还是有问题,不出现4604的日志,sysvol跟之前一样复制有问题。

    2019年9月9日 7:23
  • 你好,

    请你再查看一下Event Viewer 里的DFSR的相关的内容。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月9日 7:51
  • 您好!dfsr日志里面就是没有成功进行D2还原的记录。我不知道我在操作强制整个域active directory复制时正确与否,我是在活动目录和站点里面对每个dc都进行复制链接。
    2019年9月10日 0:56
  • 你好,

    在还原之前,event viewer 里面有没有相关的DFSR事件?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月10日 1:22
  • 在还原之前,是有的!
    2019年9月10日 3:18
  • 你好,

    能否告知是什么事件?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月10日 3:23
  • 我看了一下event日志,我没有手动运行d2还原时,它也会出现一些跟进行D2还原之后出现的日志,比如:

    1已禁用本地路径 C:\Windows\SYSVOL\domain 中的已复制文件夹。此已复制文件夹 在启用前不会参与复制。启用此已复制文件夹时, 此文件夹中的所有数据都被视为以前存在的数据。 
    2DFS 复制服务检测到已禁用或删除卷 C:  上的所有已复制文件夹。 

    在这些日志之前的日志:DFS 复制服务已成功联系域控制器 XNYY-研发QC域控.xnyy.yjs.analy  以访问配置信息。

    另外我设置了windows server backup每天13:00自动进行裸机备份,正在备份时,日志里面提示:由于另一个应用程序正在执行备份或还原操作, DFS 复制服务临时停止了复制。备份或还原操作 完成后,将恢复复制。这个应该没影响吧。请您再指导一下,谢谢。

    2019年9月11日 0:56
  • 你好,

    从报错来看确实很有可能是因为备份原因导致复制停止。

    如果备份完成后一段时间后DFS复制可自动回复,可忽略这个事件。

    如果没有自动恢复,则尝试手动在DFS控制台开启。

    建议把备份时间跟复制时间调整一下。比如把备份时间调整为晚上22pm-24pm,DFS 复制schedule 设置避开这个时间段即可。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月11日 1:50
  • 备份之后,有这个事件:DFS 复制服务已在备份或还原操作后 成功重新启动复制。应该没有冲突
    2019年9月11日 2:34
  • 你好,

    那就应该没有问题。

    如果没有其他的错误日志,建议再尝试更新一下组策略。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月11日 5:07
  • 我刷新组策略,然后又重新做了一次D2还原,结果跟以前一样,不出现D2成功还原的事件,只出现4614事件:DFS 复制服务在本地路径 C:\Windows\SYSVOL\domain 上启动了 SYSVOL,并且正在等待 执行初始复制。复制的文件夹在与其伙伴  进行复制之前, 将保持初始同步状态。如果服务器正在升级为域控制器, 则在解决该问题之前,域控制器将不会进行播发, 也不会发挥如同域控制器的功能。 如果指定的伙伴也处于此初始同步状态,或者如果此服务器或 同步伙伴遇到共享冲突,则可能发生这种情况。 如果在从文件复制服务(RFS)到 DFS 复制的 SYSVOL 迁移过程中 发生此事件,则在解决此问题之前,将不复制更改。 这可能导致该服务器上的 SYSVOL 文件夹与其他域控制器不同步。 
     
    其他信息: 
    已复制文件夹名: SYSVOL Share 
    已复制文件夹 ID: 60B0D3DD-DD8D-4BB1-9F0C-A75A656490C8 
    复制组名: Domain System Volume 
    复制组 ID: 4728B85C-DA4E-4488-B5AF-BA2CBBE62AD6 
    成员 ID: F3C33C67-03D2-4D3F-B16E-1A86EF4A6A8C 
    只读: 0
    2019年9月12日 1:01
  • 你好,

    如果D2不可以的话,你可以在PDC(确认没有问题)上进行权威还原(D4).

    之前的链接里有D4相关的内容。(英文,可进行谷歌翻译)

    在进行操作之前,为以防万一,请进行备份。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年9月12日 1:32
  • 谢谢,我通过D4成功进行了还原,我再观察一下有没有域策略其他问题。
    2019年9月16日 14:25