Cómo solucionar problemas de errores de procesamiento de objetos de directiva de grupo que se producen en varios bosques

Se aplica a: Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)

INTRODUCCIÓN


En este artículo se describe cómo solucionar los errores que se producen en varios bosques de procesamiento del objeto directiva de grupo (GPO). En concreto, este artículo trata las tres situaciones siguientes:

  • Un GPO no se aplica cuando un usuario inicia sesión en un dominio de confianza.
  • Se produce un error en una aplicación de GPO entre bosques si Internet Control Message Protocol (ICMP) no está habilitado.
  • No se admite el modo de planeamiento de conjunto de directivas (RSoP) resultante en un escenario de varios bosques.

Más información


Escenario 1: Un GPO no se aplica cuando un usuario inicia sesión en un dominio de confianza

Síntomas

Este problema se produce aunque esté habilitada la opción de directiva de grupo Permitir directiva de usuarios entre bosques y perfiles móviles de usuario . Existe una confianza externa entre el dominio en el que el usuario inicia sesión y el dominio del usuario.



Por ejemplo, este problema se produce en la situación siguiente:

  • Microsoft Windows Server 2003 Terminal Server pertenece a la unidad organizativa de Terminal Server (OU) en un dominio basado en Windows Server 2003.
  • Un usuario que pertenece a un Microsoft Windows 2000 Server Service Pack 4 (SP4)-basado en dominio inicia sesión en Terminal Server de Windows Server 2003.
  • El dominio basado en Windows Server 2003 y el dominio basado en Windows 2000 están en bosques independientes.
  • Dos confianzas externas existen entre el dominio basado en Windows Server 2000 SP4 en el bosque 1 y el dominio basado en Windows Server 2003 en el bosque 2.
  • Un GPO que esté vinculado a la unidad organizativa servidores de Terminal tiene la siguiente configuración:

    • Permitir directiva de usuarios entre bosques y perfiles móviles de usuario directiva está habilitada. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      823862 no se aplican las directivas de usuario al iniciar sesión en un equipo que ejecuta Windows 2000 SP4

    • La directiva de modo de procesamiento de bucle invertido de directiva de grupo de usuario se establece en El modo de mezcla.
    • Configuración de directiva de usuario se configura para ocultar los comandos de búsqueda, Ejecutary Ayuda en el menú Inicio .
Nota: Este escenario es específico a las confianzas externas entre los dominios en bosques independientes. Esta situación no se aplica a las confianzas de bosque. Las confianzas externas y confianzas de bosque difiere como sigue:
  • Las confianzas externas se utilizan en Windows 2000 para habilitar las relaciones de confianza entre dos dominios que se encuentran en bosques diferentes.
  • Confianzas de bosque son similares a las confianzas externas entre los dominios raíz de dos bosques. Sin embargo, una confianza de bosque engloba todos los dominios de cada bosque. Confianzas de bosque requieren que todos los controladores de dominio de ambos bosques se ejecuta Windows Server 2003.

Causa

El problema se produce porque se utiliza el contexto de seguridad de la cuenta de equipo. Por lo tanto, no se puede utilizar NTLM. Se requiere autenticación de Kerberos.

Pasos para solucionar problemas

Para solucionar este problema, siga estos pasos:
  1. Utilice a Monitor de red para tomar trazas simultáneas desde el equipo cliente del bosque 1 y desde el controlador de dominio de inicio de sesión en el bosque 2.
  2. Habilitar el registro de USERENV. Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    221833 Cómo habilitar el registro en el mercado minorista de depuración de entorno de usuario versiones de Windows
La traza de Monitor de red muestra que se produce un error en la autenticación Kerberos y no se utiliza la autenticación de NTLM.

La siguiente información se registra en el archivo Userenv.log:



USERENV(ec0.86c) 13:36:18:156 ProcessGPO: Deferring search for <LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nils,DC=com>
USERENV(ec0.86c) 13:36:18:484 GetMachineDomainDS: ldap_bind_s failed with 82
USERENV(ec0.86c) 13:36:18:500 GetGPOInfo: Leaving with 0

Solución

Para resolver este problema, aplique la revisión que se describe en el siguiente artículo de Microsoft Knowledge Base en el controlador de dominio basado en Windows Server 2003 en el bosque 2:


896683
Un usuario en un dominio externo de confianza no puede iniciar sesión en un dominio basado en Windows Server 2003 aunque esté habilitada la opción de directiva de grupo "Permitir entre bosques usuario directivas y perfiles móviles de usuario"

Esta revisión permite el GPO sin necesidad de autenticación de Kerberos.



Nota: Este problema no se aplica a las confianzas de bosque entre dos bosques basados en Windows 2003 que proporcionan compatibilidad total con Kerberos. Para obtener más información acerca de cómo planear y cómo implementar bosques federados en Windows Server 2003, visite la siguiente página Web de Microsoft:

Escenario 2: Se produce un error en una aplicación de GPO entre bosques si ICMP no está habilitado

Síntomas

No se aplican los GPO entre bosques si ICMP no está habilitado. Paradas de procesamiento de directiva del grupo si grandes paquetes ICMP fragmentados no se permiten en la red debido a la detección de vínculo lento. Cuando esto ocurre, Microsoft Windows XP no detecta un vínculo rápido o un vínculo lento. En su lugar Windows XP se produce un error de procesamiento de directiva de grupo. Sólo un suceso USERENV 1054 genérico se registra en el registro de sucesos de aplicación. Este problema afecta a las directivas de equipo y usuario.

En este escenario, la siguiente información se registra en el archivo Userenv.log:

USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:322 ProcessGPOs:
USERENV(22c.91c) 15:58:22:332 ProcessGPOs: Starting user Group Policy (Background) processing...
USERENV(22c.91c) 15:58:22:332 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 ProcessGPOs:
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(22c.91c) 15:58:22:341 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0x734
USERENV(22c.91c) 15:58:22:351 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(22c.91c) 15:58:22:351 ProcessGPOs: Machine role is 2.
USERENV(22c.91c) 15:58:22:370 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:22:446 PingComputer: First time: 76
USERENV(22c.91c) 15:58:27:247 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:27:314 PingComputer: First time: 73
USERENV(22c.91c) 15:58:32:496 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:32:563 PingComputer: First time: 73
USERENV(22c.91c) 15:58:37:745 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:37:745 PingComputer: No data available
USERENV(22c.91c) 15:58:37:926 PingComputer: Adapter speed 10000000 bps
USERENV(22c.91c) 15:58:38:003 PingComputer: First time: 75
USERENV(958.95c) 15:58:42:517 LibMain: Process Name: C:\WINDOWS\system32\userinit.exe
USERENV(22c.91c) 15:58:42:994 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:43:070 PingComputer: First time: 77
USERENV(22c.91c) 15:58:48:243 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:48:396 PingComputer: First time: 159
USERENV(22c.91c) 15:58:53:492 PingComputer: Second send failed with 11010
USERENV(22c.91c) 15:58:53:492 PingComputer: No data available
USERENV(22c.91c) 15:58:53:492 ProcessGPOs: DSGetDCName failed with 59.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: No WMI logging done in this policy cycle.
USERENV(22c.91c) 15:58:53:502 ProcessGPOs: Processing failed with error 59.
USERENV(22c.91c) 15:58:53:502 LeaveCriticalPolicySection: Critical section 0x734 has been released.
USERENV(22c.91c) 15:58:53:512 ProcessGPOs: User Group Policy has been applied.

Causa

Este problema puede producirse cuando los clientes autenticarán y tire de la configuración de directiva de grupo a través de un vínculo de área extensa (WAN). El proceso que se utiliza para detectar la velocidad de enlace implica el envío de una solicitud de ping ICMP grande. Por ejemplo, se envía una solicitud de ping que es mayor de 2 KB. La solicitud de eco ICMP está fragmentada en paquetes IP separados por la interfaz de red del cliente, por un enrutador WAN o por la interfaz y el enrutador. Dado que algunos ataques IP implican paquetes ICMP mal formados, muchos enrutadores están configurados para descartar los paquetes ICMP fragmentados. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

227260 cómo detecta un vínculo lento es para procesar perfiles de usuario y directiva de grupo

Solución

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Para deshabilitar la detección de vínculos lentos en el equipo cliente de Windows XP, establezca los siguientes valores del registro:

Subclave del registro: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Nombre de valor: GroupPolicyMinTransferRate
Tipo de valor: DWORD
Datos del valor: 0

Subclave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
Nombre de valor: GroupPolicyMinTransferRate
Tipo de valor: DWORD
Datos del valor: 0

Estos valores del registro deben configurarse manualmente porque no se aplica la directiva de grupo en esta situación. En caso contrario se establecen estos valores del registro mediante la configuración de directiva de grupo siguiente:



Ubicación de la directiva: configuración del equipo\Plantillas Administrativas\sistema\directiva de equipo
Nombre de la directiva: detección de vínculo lento de directiva de grupo
Configuración de directiva: habilitada con un valor de 0

Ubicación de la directiva: configuración de usuario\Plantillas Administrativas\sistema\directiva
Nombre de la directiva: detección de vínculo lento de directiva de grupo
Configuración de directiva: habilitada con un valor de 0

Notas:
  • Estos cambios en el registro pueden ser secuencias de comandos con el archivo Reg.ini si debe aplicar los cambios en muchos equipos. A continuación, puede crear un GPO que se aplica esta configuración para asegurarse de que la configuración se conserva después de que se resuelve este problema.
  • También puede modificar el perfil de usuario predeterminado para que contenga la configuración del lado del usuario. Por lo tanto, todos los perfiles nuevos aplicarán correctamente la configuración de directiva de grupo.
Después de implementar estas opciones, el archivo Userenv.log muestra correcto procesamiento de directiva de grupo. La siguiente información se registra en el archivo Userenv.log:


USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs:
USERENV(21c.6f4) 17:09:54:872 ProcessGPOs: Starting computer Group Policy (Background) processing...
USERENV(21c.944) 17:09:54:872 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 ProcessGPOs:
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.944) 17:09:54:882 EnterCriticalPolicySectionEx: User critical section has been claimed. Handle = 0xa4c
USERENV(21c.6f4) 17:09:54:882 EnterCriticalPolicySectionEx: Entering with timeout 600000 and flags 0x0
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Machine critical section has been claimed. Handle = 0xa44
USERENV(21c.944) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.944) 17:09:54:902 ProcessGPOs: Machine role is 2.
USERENV(21c.6f4) 17:09:54:892 EnterCriticalPolicySectionEx: Leaving successfully.
USERENV(21c.6f4) 17:09:54:912 ProcessGPOs: Machine role is 2.
USERENV(21c.944) 17:09:54:902 IsSlowLink: Slow link transfer rate is 0. Always download policy.

Escenario 3: No se admite el modo de planeamiento de conjunto de directivas (RSoP) resultante en un escenario de varios bosques

Síntomas

Los administradores no pueden utilizar el modo de planeamiento RSoP para planear escenarios que abarquen bosques en Windows Server 2003. Por ejemplo, no puede prever un escenario donde un usuario inicia sesión en una estación de trabajo del bosque 1 desde el bosque 2. Cuando intenta ejecutar el modo de planeamiento RSoP en un entorno de varios bosques, puede recibir el siguiente mensaje de error de directiva de grupo:



Entre bosques no son actualmente compatibles escenarios del modo de planeamiento

Causa

Este problema se produce porque el modo de planeamiento RSoP no admite escenarios de varios bosques. En muchos escenarios, RSoP no puede validar la información que se devuelve desde un controlador de dominio que se encuentra en otro bosque. El grupo Usuarios autenticados debe tener permisos de lectura para las políticas relevantes leer correctamente una directiva concreta en un entorno de varios bosques. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
312373 Modo de planeamiento de conjunto de directivas resultante no es compatible en escenarios de varios bosques en Windows Server 2003

Referencias


896683
Un usuario en un dominio externo de confianza no puede iniciar sesión en un dominio basado en Windows Server 2003 aunque esté habilitada la opción de directiva de grupo "Permitir entre bosques usuario directivas y perfiles móviles de usuario"
823862
No se aplican las directivas de usuario al iniciar sesión en un equipo que ejecuta Windows 2000 SP4