Wie Gruppenrichtlinien Objekt Verarbeitungsfehler bei der Problembehandlung in mehreren Gesamtstrukturen

Microsoft-interne Support-Informationen

Fehler #: 45688 (Content Maintenance)

Einführung

Dieser Artikel beschreibt die Behandlung von Gruppenrichtlinienobjekt (GPO) Verarbeitungsfehler, die über mehrere Gesamtstrukturen hinweg auftreten. Dieser Artikel beschreibt speziell die folgenden Szenarien:

  • Ein Gruppenrichtlinienobjekt gilt nicht, wenn ein Benutzer in einer vertrauenswürdigen Domäne anmeldet.

  • Schlägt eine gesamtstrukturübergreifende Gruppenrichtlinienobjekten Internet Control Message Protocol (ICMP) nicht aktiviert ist.

  • Planungsmodus resultierende of Policy (RSoP) wird in einem gesamtstrukturübergreifenden Szenario nicht unterstützt.

Weitere Informationen

Szenario 1: Ein Gruppenrichtlinienobjekt gilt nicht, wenn ein Benutzer in einer vertrauenswürdigen Domäne angemeldet

Problembeschreibung

Dieses Problem tritt auf, obwohl die Gruppenrichtlinie ermöglichen Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile aktiviert ist. Eine externe Vertrauensstellung zwischen der Domäne, in der der Benutzer angemeldet ist, und die Domäne des Benutzers vorhanden ist.



Dieses Problem tritt beispielsweise im folgenden Szenario:

  • Ein Microsoft Windows Server 2003-Terminalserver gehört der Terminal Server-Organisationseinheit (OU) in einer Windows Server 2003-Domäne.

  • Ein Benutzer zu einem Microsoft Windows 2000 Server Service Pack 4 (SP4 gehört)-basierten Domäne auf Windows Server 2003-Terminalserver anmeldet.

  • Windows Server 2003-Domäne und der Windows 2000-Domäne sind in getrennten Gesamtstrukturen.

  • Zwei externe Vertrauensstellungen vorhanden zwischen Windows Server 2000 SP4-basierten Domäne in Gesamtstruktur 1 und der Windows Server 2003-Domäne in Gesamtstruktur 2.

  • Ein Terminal Server Organisationseinheit verknüpftes Gruppenrichtlinienobjekt enthält Folgendes:

    • Ermöglichen Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile Richtlinie aktiviert ist. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

      Benutzerrichtlinien werden nicht angewendet, wenn Anmelden an einem Computer, auf dem Windows 2000 SP4 ausgeführt wird

    • Zusammenführen-Modusist die Richtlinie Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie fest.

    • Benutzerbasierte Richtlinien konfiguriert die Suche, Ausführenund Befehle im Startmenü ausblenden.

Hinweis Dieses Szenario ist für externe Vertrauensstellungen zwischen Domänen in verschiedenen Gesamtstrukturen. Dieses Szenario gilt nicht für Gesamtstrukturvertrauensstellungen. Gesamtstrukturvertrauensstellungen und externe Vertrauensstellungen unterscheidet sich wie folgt:

  • Externe Vertrauensstellungen sind in Windows 2000 ermöglichen in unterschiedlichen Gesamtstrukturen Vertrauensstellungen zwischen zwei Domänen verwendet.

  • Gesamtstrukturvertrauensstellungen ähneln externe Vertrauensstellungen zwischen den Stammdomänen der beiden Gesamtstrukturen. Eine Gesamtstruktur-Vertrauensstellung umfasst jedoch alle Domänen in jeder Gesamtstruktur. Gesamtstrukturvertrauensstellungen erfordern, dass alle Domänencontroller in beiden Gesamtstrukturen Windows Server 2003 ausgeführt werden.

Ursache

Das Problem tritt auf, weil der Sicherheitskontext des Computerkontos verwendet wird. NTLM kann daher nicht verwendet werden. Kerberos-Authentifizierung ist erforderlich.

Schritte zur Fehlerbehebung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Verwenden Sie den Netzwerkmonitor, gleichzeitige Spuren vom Clientcomputer in Gesamtstruktur 1 und von dem Domänencontroller anmelden in Gesamtstruktur 2.

  2. Aktivieren Sie USERENV-Protokollierung. Weitere Informationen, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    Aktivieren der Benutzer Umgebung Debugprotokollierung in Retail-builds von Windows

Der Netzwerkmonitor Trace zeigt, dass Kerberos-Authentifizierung fehlschlägt und die NTLM-Authentifizierung nicht verwendet.

Folgende Informationen werden in der Datei "Userenv.log" protokolliert:



USERENV(ec0.86c) 13:36:18:156 ProcessGPO: Deferring search for <LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nils,DC=com>
USERENV(ec0.86c) 13:36:18:484 GetMachineDomainDS: ldap_bind_s failed with 82
USERENV(ec0.86c) 13:36:18:500 GetGPOInfo: Leaving with 0

Problemlösung

Um dieses Problem zu beheben, gelten Sie in folgenden Microsoft Knowledge Base-Artikel zu Windows Server 2003-Domänencontroller in der Gesamtstruktur 2 beschriebenen Hotfix:



Ein Benutzer in einer vertrauenswürdigen externen Domäne kann nicht auf Windows Server 2003-Domäne anmelden, obwohl die Einstellung "Zulassen Cross-Forest User Policy und servergespeicherte Benutzerprofile" aktiviert ist

Dieser Hotfix ermöglicht das Gruppenrichtlinienobjekt ohne Kerberos-Authentifizierung.



Hinweis Dieses Problem gilt nicht für Gesamtstrukturvertrauensstellungen zwischen zwei Windows 2003-, die Kerberos unterstützen. Weitere Informationen zum Planen und implementieren zusammengeschlossenen Gesamtstrukturen in Windows Server 2003 finden Sie auf der folgenden Microsoft-Webseite:

Szenario 2: Eine gesamtstrukturübergreifende Gruppenrichtlinienobjekten schlägt ICMP nicht aktiviert ist

Problembeschreibung

Gesamtstrukturübergreifende Gruppenrichtlinienobjekte werden nicht angewendet, wenn ICMP nicht aktiviert ist. Gruppieren Sie Gruppenrichtlinien Verarbeitung beendet, wenn große fragmentierter ICMP-Pakete im Netzwerk durch langsame Erkennung dürfen. In diesem Fall wird Microsoft Windows XP keine schnelle Verbindung oder eine langsame Verbindung erkannt. Stattdessen kann Windows XP Gruppenrichtlinien Verarbeitung. Ein allgemeines 1054 USERENV Ereignis wird im Ereignisprotokoll Anwendung protokolliert. Dieses Problem betrifft die Computer- und Benutzerrichtlinien.

In diesem Szenario wird die folgende Informationen in der Datei "Userenv.log" protokolliert:

USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:332 ProcessGPOs: Starting user Group Policy (Background) processing...
USERENV(22c.91c) 15:58:22:332 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x734
USERENV(22c.91c) 15:58:22:351 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(22c.91c) 15:58:22:351 ProcessGPOs: Machine role is 2.
USERENV(22c.91c) 15:58:22:370 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:22:446 PingComputer: First time: 76
USERENV(22c.91c) 15:58:27:247 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:27:314 PingComputer: First time: 73
USERENV(22c.91c) 15:58:32:496 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:32:563 PingComputer: First time: 73
USERENV(22c.91c) 15:58:37:745 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:37:745 PingComputer: No data available
USERENV(22c.91c) 15:58:37:926 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:38:003 PingComputer: First time: 75
USERENV(958.95c) 15:58:42:517 LibMain: Process Name: C:\WINDOWS\system32\userinit.exe
USERENV(22c.91c) 15:58:42:994 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:43:070 PingComputer: First time: 77
USERENV(22c.91c) 15:58:48:243 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:48:396 PingComputer: First time: 159
USERENV(22c.91c) 15:58:53:492 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:53:492 PingComputer: No data available
USERENV(22c.91c) 15:58:53:492 ProcessGPOs: DSGetDCName failed with 59.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: No WMI logging done in this policy cycle.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: Processing failed with error 59.
USERENV(22c.91c) 15:58:53:502 LeaveCriticalPolicySection: Critical section 0x734 has been released.
USERENV(22c.91c) 15:58:53:512 ProcessGPOs: User Group Policy has been applied.

Ursache

Dieses Problem kann auftreten, wenn Clients authentifizieren und ziehen Sie die Gruppenrichtlinien über Verbindung ein wide Area Network (WAN). Mit der Übertragungsrate erkennen, umfasst eine große ICMP-Ping-Anforderung senden. Beispielsweise wird eine Ping-Anforderung gesendet, die größer als 2 KB ist. Die ICMP-Echoanfrage ist in separate IP-Pakete die Netzwerkschnittstelle des Clients WAN-Router oder die Schnittstelle und den Router fragmentiert. Da einige IP-Angriffe ungültige ICMP-Pakete umfassen, sind viele Router konfiguriert fragmentierter ICMP-Pakete verwerfen. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

wie eine langsame Verbindung erkannt wird, für die Verarbeitung von Benutzerprofilen und Gruppenrichtlinien

Problemlösung

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

zum Sichern und Wiederherstellen der Registrierung in Windows

Um Erkennung einer langsamen Verbindung auf dem Windows XP-Clientcomputer zu deaktivieren, legen Sie die folgenden Werte:

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Wert: GroupPolicyMinTransferRate
Typ: DWORD
Wert: 0

Registrierungsunterschlüssel: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
Wert: GroupPolicyMinTransferRate
Typ: DWORD
Wert: 0

Diese Registrierungseinträge müssen manuell konfiguriert werden, da Gruppenrichtlinien nicht in diesem Szenario angewendet wird. Diese Registrierungseinträge werden durch die folgenden Gruppenrichtlinien festgelegt:



Richtlinienspeicherort: Computerkonfiguration\Administrative Vorlagen\system\gruppenrichtlinie
Richtlinienname: langsame Erkennung von Gruppenrichtlinien
Einstellung: mit dem Wert 0 aktiviert

Richtlinienspeicherort: Benutzerkonfiguration\Administrative Vorlagen\system\gruppenrichtlinie
Richtlinienname: langsame Erkennung von Gruppenrichtlinien
Einstellung: mit dem Wert 0 aktiviert

Hinweise

  • Diese Registrierungseinträge können mit der Datei Reg.ini Skripts verwendet werden, wenn Sie viele Computer Änderungen zu müssen. Sie können dann ein Gruppenrichtlinienobjekt erstellen, gilt diese Einstellungen, um sicherzustellen, dass die Einstellungen beibehalten werden, nachdem das Problem behoben ist.

  • Sie sollten auch das Standardbenutzerprofil zu ändern, sodass Benutzer Einstellungen enthält. Daher gelten alle neuen Profile von Gruppenrichtlinien erfolgreich.

Nach dem Implementieren dieser Einstellung wird die Datei Userenv.log korrekten Verarbeitung von Gruppenrichtlinien. Folgende Informationen werden in der Datei "Userenv.log" protokolliert:


USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs: Starting computer Group Policy (Background) processing...
USERENV(21c.944) 17:09:54:872 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0xa4c
USERENV(21c.6f4) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Machine critical section has been claimed. Handle = 0xa44
USERENV(21c.944) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.944) 17:09:54:902 ProcessGPOs: Machine role is 2.
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.6f4) 17:09:54:912 ProcessGPOs: Machine role is 2.
USERENV(21c.944) 17:09:54:902 IsSlowLink: Slow link transfer rate is 0. Always download policy.

Szenario 3: Resultant Set of Policy (RSoP) Planungsmodus ist in einem gesamtstrukturübergreifenden Szenario nicht unterstützt.

Problembeschreibung

Administratoren können der RSoP Planning Mode Szenarien planen, die Windows Server 2003-Gesamtstrukturen umfassen. Beispielsweise können nicht planen Sie für ein Szenario, in dem ein Benutzer an einer Arbeitsstation in Gesamtstruktur 1 in Gesamtstruktur 2 anmeldet. Beim RSoP Planning Mode in einer gesamtstrukturübergreifenden Umgebung ausführen, erhalten Sie folgende Fehlermeldung von Gruppenrichtlinien:



Gesamtstrukturübergreifende Szenarios Modus derzeit nicht unterstützt

Ursache

Dieses Problem tritt auf, weil der RSoP Planning Mode, gesamtstrukturübergreifenden Szenarien nicht unterstützt. In vielen Szenarios kann Richtlinienergebnissatz nicht die Informationen überprüfen, die von einem Domänencontroller zurückgegeben wird, die in einer anderen Gesamtstruktur befindet. Die Gruppe Authentifizierte Benutzer müssen Leseberechtigungen für die jeweiligen Richtlinien eine bestimmte Richtlinie in einer gesamtstrukturübergreifenden Umgebung erfolgreich gelesen. Weitere Informationen, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Resultierende Planungsmodus von Richtlinien wird in gesamtstrukturübergreifenden Szenarien in Windows Server 2003 nicht unterstützt.

Referenzen


Ein Benutzer in einer vertrauenswürdigen externen Domäne kann nicht auf Windows Server 2003-Domäne anmelden, obwohl die Einstellung "Zulassen Cross-Forest User Policy und servergespeicherte Benutzerprofile" aktiviert ist


Benutzerrichtlinien werden nicht angewendet, wenn Anmelden an einem Computer, auf dem Windows 2000 SP4 ausgeführt wird

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×