关于win2003域控制器应用程序日志中组策略出现ID为1058、1030纪录的解决方法
症状:现公司域为windows2003域,共有两台DC (同时这两台DC 也是DNS 服务器),一直工作正常在两个月之前第一台DC (暂时称之为DC1)因为主板出现故障无法启动,故由第二台DC (暂时
症状:
现公司域为windows2003域,共有两台DC (同时这两台DC 也是DNS 服务器),一直工作正常
在两个月之前第一台DC (暂时称之为DC1)因为主板出现故障无法启动,故由第二台DC (暂时称之为DC2)
夺取FSMO 角色,等DC1恢复工作之后,再让DC1获取FSMO 角色,恢复原工作环境
但在恢复正常工作之后的一个月以后,不知何故,在DC2的事件日志中,应用程序纪录中开始出现大量的ID 1030、1058的错误信息,二十天后DC1上面也开始出现这两个错误信息,平均每隔5分钟纪录一次
错误信息:
类型: 错误
来源: Userenv
类别: 无
事件 ID: 1058
描述:Windows 无法访问 GPO
cn={0D16F706-E6F8-41E8-BBDB-4A5C4952F024},cn=policies,cn=system,DC=quande,DC=qd 的文件 gpt.ini。此文件必须在
类型: 错误
来源: Userenv
类别: 无
事件 ID:1030
描述:Windows 不能查询组策略对象列表。请查看事件日志,从中寻找策略引擎以前可能记录的描述此原因的消息。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
处理过程:
解决方法一:
* 按照Microsoft 的客服支持网页http://support.microsoft.com/kb/290647/zh-cn上的思路
认为主要是由于将不适当的权限分配给 SystemRootWinntSysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights
Assignment (跳过遍历检查用户权利指派),可能会发生此问题。另外,如果 sysvol 共享权限限制过多,也可能会发生此问题
提供的解决方案:(适用Windows Server 2003)
1. 设置文件夹安全权限。为此,请按照下列步骤操作:
,a. 在 Windows 资源管理器中,右键单击
“SystemRootWindowsSysvol”文件夹,然后单击“属性”。
b. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”
复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
管理员: 完全控制
经身份验证的用户: 读取、读取和执行、列出文件夹内容
创建者所有者: 没有选中项
服务器操作员: 读取、读取和执行、列出文件夹内容 系统:完全控制
c. 右键单击“SystemRootWindowsSysvolSysvol”文件夹,然后单击“属性”。
d. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”
复选框,然后单击“确定”两次。
e. 右键单击“SystemRootWinntSysvolSysvoldomain”文件夹,然后单击“属性”。
f. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”
复选框,然后单击“确定”两次。
g. 右键单击
“SystemRootWinntSysvolSysvoldomainPolicies”文件夹,然后单击“属性”。
h. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”
复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
管理员:完全控制
经身份验证的用户:读取、读取和执行、列出文件夹内容 创建者所有者:没有选中项
组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
服务器操作员:读取、读取和执行、列出文件夹内容 系统:完全控制
i. 对于位于 SystemRootWinntSysvolSysvoldomainPolicies 文件夹中的文件或文件夹,
分别右键单击这些文件或文件夹,然后单击“属性”。
j. 在“安全性”选项卡上,单击“高级”,单击以选择“允许从父系来的继承权限传播到这个对象”
复选框,然后单击“确定”两次。
2. 展开“Active Directory 用户和计算机”。为此,单击“开始”,单
,击“所有程序”,然后单击
“管理工具”。
3. 展开“Active Directory 用户和计算机”,展开域名,右键单击“域控制器”,然后单击“属性”。
4. 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。
注意:如果安装了组策略管理控制台,则“编辑”按钮不可用。在这种情况下,单击“打开”以启动组策略管理控制台,展开“domain name”,展开“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。
5. 展开下面的文件夹:
计算机配置
Windows 设置
安全设置
本地策略
6. 单击“用户权限分配”,然后双击“跳过遍历检查”。应该出现下列默认设置:
经身份验证的用户
所有人
管理员
如果没有出现,而您又需要添加这些组,请单击“添加用户或组”,然后单击“浏览”。
7. 单击“开始”,单击“运行”,键入 gpupdate,然后单击“确定”。
8. 请验证 sysvol 共享权限设置是否正确,如下所示:
管理员 = 完全控制
经身份验证的用户 = 完全控制
所有人 = 读取
注意:如果此过程不能解决问题,或者您在访问组策略时遇到问题,请检查服务器上的绑定顺序,以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序,请按照下列步骤操作:
1. 右键单击“网上邻居”,然后单击“属性”。
2. 在“高级”菜单上,单击“高级设置”。
3. 在“连接”框内,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。
照此文中所写,逐步检查并更正两台DC 之后之后,状况照旧,并无解决
其次在网上搜索相关信息,得到的结论也基本都是围绕着检查SYSVOL 的共享权限的设置
解决方法二:
* 按照Microsoft 的客服支持网页http://support.microsoft.com/kb/842804/zh-cn上的说法:
,无法执行组策略处理,事件 1030 和 1058 被记录到域控制器的应用程序日志中
原因:
如果 winlogon 进程试图在其他组件运行前处理组策略,则可能发生此问题。本文介绍的此修补程序添加了更多的逻辑,以增强 winlogon 和工作站服务的默认行为。
但是,其他一些情况也可能导致此问题。应用此修补程序前,请确保已启动并正确配置了下列组件:
• Netlogon 和 DFS 服务已启动。
• 域控制器具有读取和应用域控制器策略的权限。
• 在 Sysvol 共享上正确设置了 NTFS 文件系统权限和共享权限。 • DNS 项对于域控制器正确。
解决方案:
Windows Server 2003 Service Pack 信息
要解决此问题,请获取 Windows Server 2003 的最新 Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
[url=http://support.microsoft.com/kb/889100/]889100[/url]如何获取 Windows Server 2003 的最新 Service Pack
注意:安装 Service Pack 后,您仍然必须按照“注册表信息”一节中所述的过程操作。
注册表信息:
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。
注意:在 Windows Server 2003 中请按照下列步骤操作。
应用此修补程序后,请按照下列步骤操作:
1. 依次单击“开始”、“运行”,在“打开”框中键入 regedit,然后单击“确定”。
2. 在注册表编辑器中,找到下面的注册表子项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon
3. 如果缺少“WaitForNetwork”项,则必须添加此项。为此,请按照下列步骤操作:
a. 右键单击“Winlogon”子项,单击“新建”,然后单击“DWORD 值”。 b. 在“数值名称”框中,键入 WaitForNetwork。
4. 右键单击“WaitForNetwork”,然后单击“修改”。
,5. 在“编辑 DWORD 值”对话框的“数值数据”框中键入 1,然后单击“确定”。
6. 退出注册表编辑器。
注册表内做如上添加之后,重启DC1和DC2,
执行GPUPDATE /FORCE命令强制刷新组策略
事件日志中出现ID1704,提示说组策略被成功应用
解决方法三:
* 在一本书中发现AD 在应用组策略时在基于Distribute File System(DFS )服务进行查找的,并且相关的一些数据被保存在AD 数据库当中。当即查看server 上的DFS 服务,是启动的,做如下操作:
1. 安装windows 2003 的tool 工具,通过运行dfsutil 命令来清除dfs 缓存;
2. 运行dfsutil /pktinfo、dfsutil /spcinfo 查看dfs 相关信息;
3. 分别运行以下命令:dfsutil /pktflush
dfsutil /spcflush
dfsutil /purgemupcache 执行GPUPDATE /FORCE命令强制刷新组策略
事件日志中出现ID1704,提示说组策略被成功应用