none
组策略下发服务,客户端出现问题 RRS feed

  • 问题

  • 场景:

    域控:windows server 2016

    客户端:windows server 2016

    在域控的组策略内下发服务自动启动,以保证客户端指定服务开启,但是没想到,从此客户端的指定的服务就开始重复的运行、关闭、再运行、再关闭。

    1.分别指定windows update、windows installer、windows time,指定服务自动运行(刚开始设置时并未编辑安全设置),应用后,客户端就开始收到大量的报警信息(客户端也是服务器,由zabbix监控)

    2.考虑到可能是组策略配置问题,查看刚刚指定的服务,权限那项为空,没有指定用户,添加administrator、domain admin、domain user权限(domain user允许启动、停止和暂停,其他用户完全控制),再次下发策略,几个小时后仍然报警(组策略改为了10分钟下发一次)

    3.取消域控组策略的相关配置,将之前指定的服务全部恢复默认,但是依然无效

    查看过事件查看器,但是只看到相关服务名的运行、停止信息,并未找到相关问题原因。

    其实之前并不止这次服务重复报错问题,之前我们也曾指定了BITS服务,同样也是重复的运行、停止报错,请问这些服务到底该如何查找,相关流程和原因又应该如何判断,感谢!!

    2018年10月15日 3:10

全部回复

  • 您好,


    1. 首先,请核实这个GPO链接到了哪个OU,OU中的客户端是否都受到了影响,出现相应的windows update等服务的反复stop/start并且收到大量警报。如果只是一部分,这一部分机器的环境是否和其他机器有差别?

    2. 其次,请确认在DC上组策略的配置是否正确,如下图所示:

    3. 如果组策略配置正确,并且相应的security setting中的权限也正确的话,请在受影响的机器上运行gpresult /h gp1.html命令,这回在C盘根目录下生成一个gp1的HTML文件。

    4. 打开这个gp1.html文件,查看安全设置/系统服务中相关组策略在客户端的应用结果,并把结果截图给我们。

    更多信息:

    How to use Group Policy to control Services

    http://www.grouppolicy.biz/2010/08/how-to-use-group-policy-to-control-services/


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月16日 7:15
  • 您好,


    1. 首先,请核实这个GPO链接到了哪个OU,OU中的客户端是否都受到了影响,出现相应的windows update等服务的反复stop/start并且收到大量警报。如果只是一部分,这一部分机器的环境是否和其他机器有差别?

    2. 其次,请确认在DC上组策略的配置是否正确,如下图所示:

    3. 如果组策略配置正确,并且相应的security setting中的权限也正确的话,请在受影响的机器上运行gpresult /h gp1.html命令,这回在C盘根目录下生成一个gp1的HTML文件。

    4. 打开这个gp1.html文件,查看安全设置/系统服务中相关组策略在客户端的应用结果,并把结果截图给我们。

    更多信息:

    How to use Group Policy to control Services

    http://www.grouppolicy.biz/2010/08/how-to-use-group-policy-to-control-services/


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    你好,正如之前想到的权限问题,我重新开启了组策略内启动服务,发现默认就是这三个权限,保存后下发更新策略,几分钟后收到全部服务恢复报警,非常高兴!

    但是,还没等高兴完,十分钟后,再次陆续收到服务停止报警。。。。。。无语了,已经导出gp1.html,并将相关截图附上,另外,报警的恢复和再次故障截图也一并附上,由于是全部,就只发个例子吧

    还有一点是不是有可能有问题,我们这是三台域控,我是在第二台内做的策略,问题出现那天,也曾经开启过windows time客户端的策略,也就是,现在的2浩和1、3号域控的时间是不一样的,2号标准,1/3号慢2分钟,之前曾经问过现场工程师,表示经过下发时间策略后,客户端部分时间是准确的,但是有部分客户端的时间仍是慢2分钟,不知道这个情况是不是和服务的重复stop/start问题有影响??

    2018年10月16日 8:55
  • 你好,

    1. 首先,域环境中时间同步主要是用来进行client/serverKerberos认证的,只要保证客户端和服务器之间的时间偏移不超过五分钟就不会对域环境正常使用造成影响。
    2. “由于是全部,就只发个例子吧”是指“限制BITS与远程”这个GPO链接OU中的所有机器的windows updatewindows installerwindows time三个服务都会在十分钟时候自动stop吗?还是只是其中一部分机器的这三个服务会自动停止?
    3. 环境中的2号域控制器是PDC吗?因为更改组策略其实是在PDC上更改的(即使我们当时编辑组策略是在一台普通的域控制器上,其实后台这台域控制器也会RPCPDC,然后进行更改组策略)。
    4. 请检查域环境中三台域控制器是否存在SYSVOL复制问题。如果只是OU中部分机器收到影响,可能是这些机器在拿GPO时定位到了有SYSVOL复制问题的域控制器上。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月17日 6:30
  • 你好,

    1. 首先,域环境中时间同步主要是用来进行client/serverKerberos认证的,只要保证客户端和服务器之间的时间偏移不超过五分钟就不会对域环境正常使用造成影响。
    2. “由于是全部,就只发个例子吧”是指“限制BITS与远程”这个GPO链接OU中的所有机器的windows updatewindows installerwindows time三个服务都会在十分钟时候自动stop吗?还是只是其中一部分机器的这三个服务会自动停止?
    3. 环境中的2号域控制器是PDC吗?因为更改组策略其实是在PDC上更改的(即使我们当时编辑组策略是在一台普通的域控制器上,其实后台这台域控制器也会RPCPDC,然后进行更改组策略)。
    4. 请检查域环境中三台域控制器是否存在SYSVOL复制问题。如果只是OU中部分机器收到影响,可能是这些机器在拿GPO时定位到了有SYSVOL复制问题的域控制器上。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    你好

    1.之前三台域控时间相差2分钟,倒是不影响域使用,只是有同事反应日志时间不对,才进行的时间下发;

    2.对,那OU里一共18台服务器,全部都是在报警,不过服务只是那个windows update服务,其他windows time、windows installers并没出现报警;

    3.对,是PDC,而且我一直都是只在2上操作策略下发,刚才看到,1/3上的策略都已经是和2同步的;

    4.SYSVOL这个。。。。应该怎么查看呢?

    2018年10月17日 8:31