首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > 组策略排错 你必须知道在什么地方查找问题 > 正文

组策略排错 你必须知道在什么地方查找问题

出处:WindowsITPro 作者:WindowsITPro 时间:2011-5-27 11:14:00

导读:只有知道在什么地方查找问题,知道如何启用组策略日志,并利用现有的管理工具,才能成功地排除组策略故障。

组策略是一项复杂的技术,它的正常运作靠的是多个随时可能会发生变化的部分之间的协同工作。通常来说,当你测试某个组策略时,与组策略有关的问题就会出现。很少的时候,这些问题之间看起来没有什么关联,也不容易发现组策略与这些问题有关。不管原因是什么,当组策略出问题时,你通常应该检查多个地方以找到解决方案。


要成功地解决组策略相关的问题,关键是知道去哪儿查找故障。组策略的执行包括两个阶段,因此要找出问题的所在,你可以从两个主要区域开始。第一阶段是核心执行阶段,Windows通过查询活动目录(AD)来找出需要将哪个组策略对象(GPO)应用到当前计算机或用户,哪个组策略区域(如,管理模板、软件安装)需要被执行,以及计算机或用户在上一次应用策略之后该组策略是否发生过改变。核心执行阶段需要基础结构中的几个部分协同工作,包括DNS、AD、文件复制服务(FRS)和网络。在核心执行阶段,任何一个部分如果出了问题,整个组策略的执行都会出现问题。


执行过程的第二阶段包括客户端扩展,像安全性设置、管理模板和文件夹重定向。客户端扩展通过执行和应用在核心执行阶段中找到的组策略中的设置来实现组策略。通常来说,如果问题发生在客户端扩展执行阶段,则问题可以限定在一个客户端扩展之中——甚至限定在通过客户端扩展来执行的组策略——以及计划在后面继续执行的其它组策略。要找出客户端扩展中存在的问题不是一件容易的事情,因为每一个实现组策略的扩展在实施任务时采用的方式都有些不同,生成日志的级别也不同。


要成功地排除故障,两个执行阶段中生成的日志非常关键。日志文件通常能够解释那些不太容易发现的问题。如果组策略组结果集(RSoP)报告和基础结构组件检查都不能给出解决方法,日志中有时会包含一些重要的错误信息,明确地指出问题的所在。


没有办法通过一项设置来启动所有的组策略日志。你可以通过修改注册表键值来手工启动每个日志。表1列出了用于组策略的日志和相应的注册表键值。另外,你也可以用我编写的工具(名为gpolog.adm的管理模板文件)来启动任何一个或者所有与组策略相关的日志,这个方便快捷的工具是免费的,你可以通过以下网址下载:

“http://www.gpoguy.com/tools.htm”。不管问题出现在核心执行阶段还是在客户端扩展阶段,按照我提供的步骤来操作都会有助于故障的排除。

表1:组策略日志

描述

注册表键值

在应用程序事件日志中记录详细的核心执行日志

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\RunDiagnosticLoggingGroupPolicy = REG_DWORD 0x1

在应用程序事件日志中记录详细的软件安装日志

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\RunDiagnosticLoggingAppDeploy = REG_DWORD 0x1

在应用程序事件日志中记录详细的Microsoft远程信息服务(RIS)选项日志

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\RunDiagnosticLoggingIntellimirror = REG_DWORD 0x1

详细的用户环境日志(写入%windir%\debug\usermode\userenv.log

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ UserEnvDebugLevel = REG_DWORD 0x10002

详细的文件夹重定向客户端扩展日志(写入 %windir%\Debug\UserMode\fdeploy.log

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\FDeployDebugLevel = REG_DWORD 0x0F

详细的软件安装客户端扩展日志(写入%windir%\Debug\UserMode\appmgmt.log

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics\ AppmgmtDebugLevel = REG_DWORD 0x9B

详细的安全性客户端扩展日志(写入%windir%\security\logs\winlogon.log) 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\ExtensionDebugLevel = REG_DWORD 0x02

步骤1:复查最近的执行周期
要判断一台工作站或服务器为什么存在组策略执行问题的第一步是找出最后一个组策略执行周期内都发生了什么事情。要完成这一任务,你需要在Windows Server 2003或Windows XP中安装使用组策略管理控制台(GPMC)或Windows 2000所带的gpresult.exe命令行工具。

组策略管理控制台提供了组策略结果向导,它可以查询Windows Server 2003和Windows XP系统并生成报告,指出在最后一个执行周期中在该系统中的指定用户身上都发生了什么事情。你也可以在命令行方式下运行gpresult.exe,得到的数据与组策略结果向导所提供的内容是相同的。如果你用的是Windows 2000系统且使用的是Microsoft Windows 2000资源包中的gpresult.exe,你只能得到Windows Server 2003和Windows XP所能提供的数据的一个子集。因为Windows 2000不包含组策略组结果集,它只存在于后续版本的操作系统。


要运行组策略结果向导,启动组策略管理控制台,右键点击组策略结果节点,然后运行向导。向导会问你在本地计算机还是远程计算机上收集信息。


指定了计算机之后,如果你想收集特定用户的策略设置,可以选择一个已经登录到该计算机的用户账户。向导会访问你选定的计算机,使用Windows管理规范(WMI)来收集最近的组策略执行数据,最后将报告显示在组策略管理控制台的结果面板中。


从排错的角度来看,结果中最值得关注的部分包含在摘要和策略事件标签页。摘要标签页提供了在最近一个执行周期中,在计算机和特定用户之上应用的策略执行动作的总览。看一看摘要标签页中的Component Status部分,就知道核心执行阶段或客户端扩展阶段中是否有失败的部分。如图1所示,如果Group Policy Infrastructure的执行状态显示为“Failed”,则表示核心执行阶段出了问题,如果Client-side Extension的执行状态显示为“Failed”,则表示客户端扩展执行阶段出了问题(如文件夹重定向)。


图1:表明客户端扩展阶段操作失败的错误消息

策略事件标签页为你的排错工作提供了更多的有用信息。通过对组策略结果向导所查询的计算机上的应用程序事件日志进行过滤,就得到了此标签页上的内容。过滤后的视图只显示与组策略有关的事件。在这里,你可以得到很多有价值的信息,知道哪个部分工作正常,哪个部分存在问题。我们来看一个例子,假设你的登录脚本没有运行,但是摘要标签页中的脚本客户端扩展组件状态却显示成功了。如果你检查策略事件标签页,就可以看到如图2所示的与脚本执行有关的错误,它会告诉你脚本文件找不到了。可能是服务器上的脚本文件丢失了,也可能是权限问题。不管怎样,你发现了可以追踪到问题根源的线索。在利用摘要和策略事件标签页中的信息缩小了问题范围之后,可以开始深入分析了。

图2:指明脚本丢失的策略事件

步骤2:通过检查基础结构来排除核心执行阶段中的问题
下面我们来谈谈组策略结果向导指示的核心执行阶段失败(即组策略基础结构组件状态显示为Failed)。这样的失败通常说明在基础架构中存在问题,这些问题与管理组策略信息的客户端或域控制器(DC)有关。需要注意的是,这里所说的客户端,既可以是服务器也可以是工作站。有些技术可以导致核心执行问题。我们可以按照下面的步骤进行检查:


  • TCP/IP NetBIOS Helper服务是否运行在客户机之上?要成功执行组策略,这个服务是必须的。要检查该服务,可以在命令行提示符打入net start命令,以获得当前正在运行服务的列表;也可以访问开始菜单中的管理工具程序组,再选择微软管理控制台(MMC)服务管理单元以验证该服务已经启动。

  • 客户机上的DNS是否采用了正确的配置以确保系统能够正确地解析DC的名称?
  • 网络是否启用了ICMP协议?在组策略执行之前,客户机和DC必须能够通过ICMP来完成低速链接检测。如果没有启用ICMP协议,所有的组策略执行都会失败。
  • 客户机能够与DC通讯吗?能够访问存储在DC的Sysvol中的组策略对象副本吗?如果不能,组策略执行将会失败。你可以使用gpotool.exe(微软Windows 2000资源包中的工具)来检索域中的所有DC,并可以确定与组策略存储相关的Sysvol复制是否同步。不同步的Sysvol复制通常说明系统中存在FRS复制问题。如果你想知道如何解决Windows Server 2003上的FRS问题,请参看微软的技术文档 “HOW TO:在Windows Server 2003中解决文件复制服务的问题”,网址是:“http://support.microsoft.com/kb/327341/zh-cn”。还有一个名为Ultrasound的FRS监视和排错工具可以帮助你识别及纠正FRS复制问题,你可以通过下面的地址下载这一工具:“http://www.microsoft.com/downloads/details.aspx?FamilyID=61acb9b9-c354-4f98-a823-24cc0da73b50&DisplayLang=en”。
    也可以查看客户机上的应用程序事件日志,寻找那些事件来源为Userenv的事件日志,你可以从这些日志中得到核心执行问题的线索。这些事件通常与核心执行相关,有时也包含在执行过程中所发生的某些错误的信息。在这种情况下,你最好借助gpolog.adm模板来启用详细的应用程序事件日志。

步骤3:通过应用程序事件日志解决客户端扩展问题
如果组策略结果向导显示问题与特定的客户端扩展有关,接下来就应该着重分析是什么原因致使扩展执行失败。从查看应用程序事件日志中的相关错误开始。对于特定的客户端扩展问题,你通常会看到下面这些内容:

  • Folder Redirection(用于文件夹重定向策略)
  • Userinit(用于脚本策略)
  • Scecli(用于安全性设置策略)
  • Application Management(用于软件安装策略)
  • Userenv(用于管理模板策略和核心处理)

光靠应用程序事件日志是不够的,你可能需要更深入地探索以发现特定的客户端扩展问题。

步骤4:为核心或客户端扩展执行启用日志
如果应用程序事件日志中的信息不够详细,你可能需要更深入地研究核心执行或客户端扩展阶段的问题。我前面提到的gpolog.adm模板可以打开各种日志。最好从Userenv日志(写入%windir%\debug\usermode)开始分析,该日志可以捕获核心及客户端扩展执行阶段中每个步骤的详细信息,也包括用户配置文件的活动。这个文件在每个组策略执行周期中都会被更新,通过它,你遍历每个客户端扩展的执行动作。可以看到一个客户端扩展是否真的被成功执行,如果没有的话,还可以看到原因。例如,日志文件可能显示客户端扩展没有运行,原因是它所处理的组策略对象从上个周期到目前为止并没有发生改变。


最后,你可以启用详细日志以帮助你排除特定客户端扩展中存在的错误。例如,你可以启用软件安装扩展的详细日志,从而判断一个安装包为什么不能够被正确安装,是客户端扩展的问题还是包本身的问题。如果问题与包有关,你可以启动管理模板策略(计算机配置\管理模板\Windows组件\Windows安装服务\日志)中的详细Windows安装日志来进一步跟踪问题。

要讲究方法
组策略排错必须采用系统的、循序渐进的方法,首先是缩小问题范围,然后再寻求解决方案。相信我前面谈到的工具和建议可以帮助你尽量地缩短排错的时间,轻松地找到解决方案。

解决方案快照:
问题:组策略执行失败
解决方案:启动组策略日志并实施排错
所需资源:Windows Server 2003Windows XP的组策略管理控制台;用于启动组策略日志的gpolog.adm工具(可选)
难度系数:3/5
解决步骤:

1. 使用组策略管理控制台组策略结果向导复查最近的处理周期。

2. 如果是核心执行阶段中的问题,检查相关的基础结构组件。

3. 如果是客户端扩展阶段中的问题,启用应用程序事件日志并查找错误。

4. 为了解决核心执行和(或)客户端扩展执行问题,深入研究与之有关的日志。

相关文章 热门文章
  • Windows Server 2008 R2和Windows 7的组策略
  • 我们如何才能防止用户对Web应用程序和共享文件夹使用保存密码的功能呢?
  • 组策略的烦恼
  • Windows Server 2008 组策略排错攻略
  • 使用组策略进行账户安全配置
  • 使用组策略中央存储管理 Office 2010 设置
  • 巧用组策略防止Conflicker蠕虫对Windows的攻击
  • 系统组策略中的软件限制策略概述
  • XP系统组策略中的软件限制策略概述
  • 系统管理员讲述组策略排错经验谈
  • 利用组策略禁止Outlook使用缓存Exchange模式
  • OCS 2007 客户端标签定制及组策略应用
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号