Бавното зареждане на компютър, причинено от дългото прилагане на груповите правила, е един от често срещаните проблеми в домейна, от който потребителите се оплакват. От гледна точка на потребителя, компютърът се стартира много дълго време и изглежда, че замръзва за няколко минути приПрилагане на компютърни / потребителски настройкиВ тази статия ще се опитам да събера полезни диагностични инструменти и техники, които позволяват на администратора да идентифицира причините за бавното използване на GPO на компютри с домейни..
Всъщност може да има много причини, поради които компютърът използва групови политики от дълго време: това са проблеми с DNS, наличност и бързина на връзка с DC, неправилна конфигурация на AD сайтове или проблеми с репликацията, неправилно конфигурирани групови политики и криви скриптове и т.н. п. Проблемно е да се опише универсален алгоритъм за диагностициране на всички тези проблеми. При решаването на подобни проблеми като правило опитът и уменията на специалист по диагностика играят голяма роля. В тази статия ще се съсредоточим само върху диагностицирането на проблеми, свързани със самите механизми за GPO и GPClient..
Съдържание:
- Блокиране на наследството на групови политики
- Показвайте подробни съобщения на екрана за зареждане
- GPResult Report
- Анализ на групови политики на събития в Syslogs на Windows
- Регистрация на грешки в GPSVC услуга
- Предпочитания за групови правила
Блокиране на наследството на групови политики
За да сте сигурни, че проблемът е свързан конкретно с GPO на домейна, създайте отделен OU в домейна, прехвърлете проблемния компютър към него и използвайте конзолата за управление на групови политики (GPMC.msc), за да активирате блокиране на наследяване на политики за този контейнер (блок наследяване). По този начин всички политики за домейни ще престанат да действат на компютъра (изключение са политиките, за които е активиран Enforced mode) .
Рестартирайте компютъра и проверете дали проблемът с продължителната употреба на GPO продължава. Ако се запази, най-вероятно е проблем със самия компютър или с локалните правила (опитайте да ги нулирате по подразбиране).
Показвайте подробни съобщения на екрана за зареждане
В Windows, на екрана за зареждане на системата, можете да активирате показването на разширена информация за състоянието, което позволява на потребителите и администратора да разберат визуално на кой етап компютърът започва да изпитва най-голямо закъснение. Когато активирате тази политика, включително, започва да се показва информация за използваните компоненти на GPO..
Можете да активирате тази политика в следния раздел на GPO:
- на Windows 7 / Vista: Конфигурация на компютъра -> Политики -> Система -> Вербоза срещу нормални съобщения за състоянието = Разрешено
- в Windows 8/10: Конфигурация на компютъра -> Политики -> Система -> Показвайте много подробни съобщения за състоянието = Разрешено
Същият параметър може да се активира чрез системния регистър чрез създаване на параметър DWORD, наречен HORD в HKEY_LOCAL_MACHINE \ SOFTWARE Microsoft \ Windows \ CurrentVersion \ Policies \ Системен клон с името verbosestatus и стойност 1.
В резултат на това по време на процеса на изтегляне на екрана ще се появят следните съобщения:
GPResult Report
Получената политика, приложена към компютъра, трябва да се анализира с помощта на gpresult HTML отчет, който може да бъде създаден с командата, стартирана с права на администратор:
gpresult / h c: \ ps \ gpreport.html
Този отчет е достатъчно удобен за анализ и може да съдържа връзки към различни грешки при използване на GPO.
Също така в секцията с докладите компютър Подробности -> компонент Статус Има полезни данни за времето (в ms) на приложението на различни компоненти на GPO под формата на:
Файлове за групови правила (N / A) 453 Millisecond (s) 18.01.2017 14:10:01 View Log
Папки за групови правила (N / A) 188 Millisecond (s) 18.01.2017 14:10:00 Преглед на дневника
Групова политика Местни потребители и групи (N / A) 328 Милисекунда (и) 01/18/2017 14:10:00 Вижте дневника
Регистър на груповата политика (N / A) 171 Millisecond (s) 18.01.2017 14:10:01 View Log
Планирани задачи за групови политики (N / A) 343 Millisecond (s) 01/18/2017 14:10:01 Вижте дневника
Сценарии (N / A) 156 Millisecond (s) 18.01.2017 14:09:04 PM Преглед на дневника
Сигурност (N / A) 3 Втора (и) 495 Millisecond (s) 18.01.2017 14:09:08 PM Преглед на дневника
Регистър (N / A) 18 Втора (и) 814 Милисекунда (и) 01/18/2017 14:10:00 Вижте дневника
Анализ на групови политики на събития в Syslogs на Windows
Дневник на събитията с EventID в дневника на събитията на бавните политики 6006 от източник на Winlogon с текст:
Абонатът за известие за winlogon прекара 3594 секунди. На абонатите за известия в Winlogon са необходими 3594 секунди, за да се справи със събитието за известяване (CreateSession).
Съдейки по това събитие, потребителят трябваше да изчака прилагането на груповите правила при зареждане на компютъра почти час ...
В Windows 7 / Windows 2008 R2 и по-нови версии всички събития, свързани с процеса на прилагане на групови политики към клиента, са достъпни в дневника на събитията на Viewer (eventvwr.msc) в раздела Журнали за приложения и услуги -> Microsoft -> Windows -> Журнали за приложения и услуги -> Групова политика -> Оперативни.
забележка. В системния дневник останаха само събития, свързани с функционирането на услугата за групови клиенти (gpsvc).Следните EventID ще бъдат полезни за анализиране на времената за прилагане на политиката:
- събития 4016 и 5016 покажете времето на началото и надценяването на процеса на обработка на разширения на GPO приложението, като последното показва общата продължителност на обработката на разширения.Например, на екрана под Груповата политика -> Операционният филтър за журнали е активиран за събития 4016 и 5016. От текста на събитие 5016 можете да видите времето за обработка за това GPO компонент Обработка на групови политики Разширение за местни потребители и групи завършен за 1357 ms.
- събитие 5312 съдържа списък с приложени политики и в случай 5317 има списък с филтрирани GPO.
- В събития 8000 и 8001 съдържа съответно времето за обработка на компютъра и потребителските политики, когато компютърът се зарежда. И в събитията 8006 и 8007 има данни за времето, в което се прилагат политики по време на периодични актуализации. Обработката на политиката за зареждане на компютъра за CORP \ pc212333 $ за 28 s е завършена.
Когато анализирате дневника, също си струва да разгледате времето, изминало между две съседни събития, това може да помогне за откриване на проблемния компонент.
Регистрация на грешки в GPSVC услуга
В някои ситуации може да бъде полезно да се активира регистрирането на грешки при обработка на GPO - gpsvc.log. Използване на времеви отметки във файл gpsvc.log можете да намерите GPO компоненти, които са работили дълго време.
Предпочитания за групови правила
Разширенията за предпочитания за групови правила също могат да регистрират подробни дневници за изтегляне за всеки компонент на CSE (разширения от страна на клиента). CSE грешки за отстраняване на грешки могат да бъдат активирани в секцията за GPO: Компютърна конфигурация -> Политики -> Административни шаблони-> Система-> Групова политика -> Записване и проследяване
Както можете да видите, за всяка CSE са достъпни индивидуални настройки. В настройките на правилата можете да укажете типа събития, записани в дневника (информационни, грешки, предупреждения или всички), максималния размер на дневника и местоположението на дневника:
- Проследяване на файл на политиката на потребител% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Предпочитания \ Trace \ User.log
- Проследяване на компютърен политически файл% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Предпочитания \ Trace \ Computer.log
След като съберете журналите, трябва да ги анализирате за грешки, а също и да опитате да намерите съседни събития, времето между които се различава с няколко минути.
И така, в тази статия разгледахме основните начини за диагностициране на проблемите с дългосрочната употреба на груповите политики на компютрите с домейни. Надявам се статията да е полезна.
