Cómo solucionar errores de procesamiento de objeto de directiva de grupo que se producen en varios bosques

Seleccione idioma Seleccione idioma
Id. de artículo: 910206 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En este artículo se describe cómo solucionar problemas de objeto de directiva de grupo (GPO) errores que se producen en varios bosques de procesamiento. Específicamente, este artículo trata los siguientes tres escenarios:
  • Un objeto de directiva de grupo no se aplica cuando un usuario inicia sesión en un dominio de confianza.
  • Una aplicación de GPO entre bosques falla si no está habilitado el mensaje de control de Internet (ICMP).
  • Conjunto resultante de modo de diseño de directivas (RSoP) no se admite en un escenario entre bosques.

Más información

Escenario 1: Un GPO no se aplica cuando un usuario inicia sesión en un dominio de confianza

Síntomas

Este problema se produce aunque esté habilitada la opción Permitir directiva de usuario de varios bosques y perfiles móviles de usuario de directiva de grupo. Una confianza externa existe entre el dominio en el que el usuario inicia sesión y el dominio del usuario.

Por ejemplo, este problema se produce en el siguiente escenario:
  • Microsoft Windows Server 2003 Terminal Server pertenece a la unidad organizativa (OU) Terminal Server en un dominio basado en Windows Server 2003.
  • Un usuario que pertenece a un Microsoft Windows 2000 Server Service Pack 4 (SP4) - basada en dominio inicia sesión en el servidor de Terminal Server de Windows Server 2003.
  • El dominio basado en Windows Server 2003 y el dominio basado en Windows 2000 están en bosques independientes.
  • Dos confianzas externas existen entre el dominio basado en Windows Server 2000 SP4 en el bosque 1 y el dominio basado en Windows Server 2003 en el bosque 2.
  • Un objeto que está vinculado a la unidad organizativa de Terminal Server tiene los siguientes valores:
    • El Permitir directiva de usuario entre bosques y perfiles móviles de usuario directiva está habilitada. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      823862Las directivas de usuario no se aplican al iniciar sesión en un equipo que ejecuta Windows 2000 SP4
    • La directiva de modo de procesamiento de bucle invertido de la directiva de grupo de usuario se establece en Modo de mezcla .
    • Configuración de directiva basada en el usuario se configura para ocultar los comandos Buscar , Ejecutar y Ayuda en el menú Inicio .
Nota Este escenario es específico de confianzas externas entre los dominios en bosques independientes. Este escenario no se aplica a las confianzas de bosque. Confianzas de bosque y las confianzas externas difiere como sigue:
  • Las confianzas externas se utilizan en Windows 2000 para habilitar relaciones de confianza entre dos dominios que están en bosques diferentes.
  • Confianzas de bosque son similares a confianzas externas entre los dominios raíz de dos bosques. Sin embargo, una confianza de bosque abarca todos los dominios de cada bosque. Confianzas de bosque requieren que los controladores de dominio ambos bosques se ejecuta Windows Server 2003.

Causa

El problema se produce porque se utiliza el contexto de seguridad de la cuenta de equipo. Por lo tanto, no se puede utilizar NTLM. Se requiere la autenticación Kerberos.

Pasos para solucionar el problema

Para solucionar este problema, siga estos pasos:
  1. Utilice a Monitor de red para tomar las trazas simultáneas desde el equipo cliente del bosque 1 y desde el controlador de dominio inicio de sesión en el bosque 2.
  2. Habilitar el registro de USERENV.Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    221833Cómo habilitar el registro de comercial de depuración del entorno de usuario versiones de Windows
La traza de Monitor de red muestra que la autenticación Kerberos no tiene éxito y que la autenticación NTLM no se utiliza.

La siguiente información se registra en el archivo Userenv.log:

USERENV(ec0.86c) 13:36:18:156 ProcessGPO: Deferring search for <LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nils,DC=com>
USERENV(ec0.86c) 13:36:18:484 GetMachineDomainDS: ldap_bind_s failed with 82
USERENV(ec0.86c) 13:36:18:500 GetGPOInfo: Leaving with 0

Resolución

Para resolver este problema, aplique la revisión descrita en el artículo de Microsoft Knowledge Base siguiente al controlador de dominio basado en Windows Server 2003 en el bosque 2:
896683 Un usuario en un dominio externo de confianza no puede iniciar sesión a un dominio basado en Windows Server 2003 aunque esté habilitada la configuración de directiva de grupo "Permitir entre bosques usuario directivas y perfiles móviles de usuario"

Esta revisión permite que el GPO sin requerir la autenticación Kerberos.

Nota Este problema no se aplica a las confianzas de bosque entre dos bosques basado en Windows 2003 que proporcionan compatibilidad completa de Kerberos. Para obtener más información acerca de cómo planear y cómo implementar bosques federados en Windows Server 2003, visite la siguiente página Web de Microsoft:
http://technet.microsoft.com/en-us/library/cc759619.aspx

Escenario 2: Produce un error una aplicación de GPO entre bosques si ICMP no está habilitado

Síntomas

No se aplican los GPO entre bosques si ICMP no está habilitada. Grupo Directiva de procesamiento se detiene si grandes paquetes fragmentados de ICMP no se permiten en la red debido de detección de vínculos lentos. Cuando esto ocurre, Microsoft Windows XP no detecta un vínculo rápido o un vínculo lento. En su lugar Windows XP producirá un error de procesamiento de directiva de grupo. Sólo un evento de USERENV 1054 genérico se registra en el registro de sucesos de aplicación. Este problema afecta a las directivas de equipo y usuario.

En este escenario, la siguiente información se registra en el archivo Userenv.log:
USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:332 ProcessGPOs: Starting user Group Policy (Background) processing...
USERENV(22c.91c) 15:58:22:332 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x734
USERENV(22c.91c) 15:58:22:351 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(22c.91c) 15:58:22:351 ProcessGPOs: Machine role is 2.
USERENV(22c.91c) 15:58:22:370 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:22:446 PingComputer: First time: 76
USERENV(22c.91c) 15:58:27:247 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:27:314 PingComputer: First time: 73
USERENV(22c.91c) 15:58:32:496 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:32:563 PingComputer: First time: 73
USERENV(22c.91c) 15:58:37:745 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:37:745 PingComputer: No data available
USERENV(22c.91c) 15:58:37:926 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:38:003 PingComputer: First time: 75
USERENV(958.95c) 15:58:42:517 LibMain: Process Name: C:\WINDOWS\system32\userinit.exe
USERENV(22c.91c) 15:58:42:994 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:43:070 PingComputer: First time: 77
USERENV(22c.91c) 15:58:48:243 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:48:396 PingComputer: First time: 159
USERENV(22c.91c) 15:58:53:492 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:53:492 PingComputer: No data available
USERENV(22c.91c) 15:58:53:492 ProcessGPOs: DSGetDCName failed with 59.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: No WMI logging done in this policy cycle.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: Processing failed with error 59.
USERENV(22c.91c) 15:58:53:502 LeaveCriticalPolicySection: Critical section 0x734 has been released.
USERENV(22c.91c) 15:58:53:512 ProcessGPOs: User Group Policy has been applied.

Causa

Este problema puede producirse cuando los clientes autentican y extraen la configuración de directiva de grupo a través de un vínculo de red (WAN) de área extensa. El proceso que sirve para detectar la velocidad del vínculo implica enviar una solicitud de ping ICMP gran. Por ejemplo, se envía una solicitud de ping que es mayor que 2 KB. Solicitud de eco ICMP está fragmentada en paquetes IP independientes por la interfaz de red del cliente, por un enrutador WAN o por la interfaz y el enrutador. Porque algunos ataques IP implican los paquetes ICMP mal formados, muchos enrutadores están configurados para descartar los paquetes fragmentados de ICMP. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
227260 Cómo se detecta un vínculo lento para procesar los perfiles de usuario y directiva de grupo

Resolución

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows


Para deshabilitar la detección de vínculos lentos en el equipo cliente con Windows XP, establezca los valores del Registro siguiente:

Subclave del registro: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Nombre del valor: GroupPolicyMinTransferRate
Tipo de valor: DWORD
Datos del valor: 0

Subclave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
Nombre del valor: GroupPolicyMinTransferRate
Tipo de valor: DWORD
Datos del valor: 0

Estos valores del registro deben configurarse manualmente porque no se aplica el GPO en este escenario. La siguiente configuración de directiva de grupo en caso contrario, se establecen estos valores del registro:

Ubicación de la directiva: Equipo\plantillas Administrativas\sistema\directiva
Nombre de la directiva: detección de vínculos lentos de GPO
Configuración de directiva: habilitado con un valor de 0

Ubicación de la directiva: Usuario\plantillas Administrativas\sistema\directiva
Nombre de la directiva: detección de vínculos lentos de GPO
Configuración de directiva: habilitado con un valor de 0

notas
  • Estos cambios del registro pueden se secuencias de comandos con el archivo Reg.ini si debe aplicar los cambios en muchos equipos. A continuación, puede crear un GPO aplica estos valores para asegurarse de que la configuración se conserva después de resolver este problema.
  • Es posible que también desea modificar el perfil de usuario predeterminado para que contenga la configuración de lado del usuario. Por tanto, todos los nuevos perfiles correctamente aplicarán la configuración de directiva de grupo.
Después de implementar estas opciones, el archivo Userenv.log muestra procesamiento correcto de directivas de grupo. La siguiente información se registra en el archivo Userenv.log:
 USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs: Starting computer Group Policy (Background) processing...
USERENV(21c.944) 17:09:54:872 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0xa4c
USERENV(21c.6f4) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Machine critical section has been claimed. Handle = 0xa44
USERENV(21c.944) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.944) 17:09:54:902 ProcessGPOs: Machine role is 2.
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.6f4) 17:09:54:912 ProcessGPOs: Machine role is 2.
USERENV(21c.944) 17:09:54:902 IsSlowLink: Slow link transfer rate is 0. Always download policy.

Escenario 3: Modo de planeamiento de conjunto de directivas (RSoP) resultante no es compatible en un escenario entre bosques

Síntomas

Los administradores no pueden utilizar el modo de planeamiento de RSoP para planear escenarios que abarquen bosques en Windows Server 2003. Por ejemplo, no se puede planear para un escenario donde un usuario inicia sesión en una estación de trabajo del bosque 1 desde el bosque 2. Cuando intenta ejecutar el modo de planeamiento de RSoP en un entorno de varios bosques, puede recibir el siguiente mensaje de error Group Policy:
Entre bosques escenarios del modo diseño no son compatibles actualmente

Causa

Este problema se produce porque el modo de planeamiento de RSoP no admite escenarios de varios bosques. En muchos escenarios, RSoP no puede validar la información que se devuelve desde un controlador de dominio que se encuentra en otro bosque. El grupo Usuarios autenticados debe tener permisos de lectura para las directivas relevantes leyó correctamente una directiva específica en un entorno cross-forest. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
312373 Modo de planeamiento de en directivas resultante no es compatible en escenarios de varios bosques de Windows Server 2003

Referencias

896683 Un usuario en un dominio externo de confianza no puede iniciar sesión a un dominio basado en Windows Server 2003 aunque esté habilitada la configuración de directiva de grupo "Permitir entre bosques usuario directivas y perfiles móviles de usuario"
823862Las directivas de usuario no se aplican al iniciar sesión en un equipo que ejecuta Windows 2000 SP4

Propiedades

Id. de artículo: 910206 - Última revisión: lunes, 30 de octubre de 2006 - Versión: 1.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Palabras clave: 
kbmt kbtshoot kbexpertiseadvanced KB910206 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 910206

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com