none
客户端无法更新组策略 RRS feed

  • 问题

  • 你好,客户端windows 7,服务器windows server 2008.该域部署了多个站点,某些站点部署的是只读域控制器。

    客户反馈客户端无法更新组策略,执行gpupdate /force,报错:

    正在更新策略...
    
    无法成功更新用户策略。遇到下列错误:
    
    处理组策略失败。Windows 无法解析用户名。这可能是由下列一个或多个原因引起:
    a) 当前域控制器上的名称解析失败。
    b) Active Directory 复制延迟(在另一域控制器上创建的帐户尚未复制到当前域控制器)。
    
    无法成功更新计算机策略。遇到下列错误:
    
    处理组策略失败。Windows 无法解析该计算机名称。这可能由下列一个或多个原因引起:
    a) 当前域控制器上的名称解析失败。
    b) Active Directory 复制延迟(在另一域控制器上创建的帐户尚未复制到当前域控制器)。
    
    
    若要诊断故障,请查看事件日志或从命令行运行 GPRESULT /H GPReport.html 来访问有关
    组策略结果的信息。
    

    用户能够正常登陆。执行set命令,通过LogonServer发现用户登陆的服务器并非当前站点的域控:

    C:\Users\00703962>set
    ALLUSERSPROFILE=C:\ProgramData
    APPDATA=C:\Users\00703962\AppData\Roaming
    CLIENTNAME=DC2
    CommonProgramFiles=C:\Program Files\Common Files
    CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
    CommonProgramW6432=C:\Program Files\Common Files
    COMPUTERNAME=Z-00703962-00
    ComSpec=C:\Windows\system32\cmd.exe
    FP_NO_HOST_CHECK=NO
    HOMEDRIVE=C:
    HOMEPATH=\Users\00703962
    LOCALAPPDATA=C:\Users\00703962\AppData\Local
    LOGONSERVER=\\WN-DC1
    NUMBER_OF_PROCESSORS=8
    OS=Windows_NT
    Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System
    \WindowsPowerShell\v1.0\
    PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    PROCESSOR_ARCHITECTURE=AMD64
    PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 26 Stepping 5, GenuineIntel
    PROCESSOR_LEVEL=6
    PROCESSOR_REVISION=1a05
    ProgramData=C:\ProgramData
    ProgramFiles=C:\Program Files
    ProgramFiles(x86)=C:\Program Files (x86)
    ProgramW6432=C:\Program Files
    PROMPT=$P$G
    PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\

    用户当前客户端站点部署了一个只读域控制器。


    ...

    2018年9月19日 8:15

全部回复

  • 您好,

     

    感谢您的发帖。

     

    根据您提供的信息,我们认为是access/permission问题。

    不知能否麻烦您通过以下方式核实一些信息:

    1. 运行nslookup以核实是否能解析DCs地址。
    2. 运行ipconfig /all以确保访问了正确的DNS服务器。

    假设以上没有问题,我们怀疑DC上有一些必要的端口没有打开:

         UDP 88 - Kerberos Authentication

    UDP and TCP 135 - Client to domain controller operations (RPC)

    UDP 389 - LDAP queries

    TCP and UDP 464 - Kerberos Password Change

    TCP 3268 and 3269 - Global Catalog client to domain controller

    TCP and UDP 53 - DNS (如果您的DC不是DNS server, 您需要打开您的DNS server并指向它)

    希望以上的信息能够对您有所帮助。

    Best regards,

    Lavilian


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月20日 6:07
    版主
  • 您好

    请问您的问题解决了吗?

    如果您使用我们的解决方案解决了问题,请“标记为答案”以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

    Best regards,

    Lavilian



    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月25日 1:57
    版主
  • 您好,

    不知以上信息是否对您有所帮助。

    如果您需要我们的继续协助,您可以随时在该帖下回复。

     

    Best Regards,

    Lavilian



    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月27日 1:39
    版主
  • 您好,

    只是来确认您目前的情况。

    如果需要任何帮助,请随时在该帖下回复。

    Best regards,

    Lavilian


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年10月18日 9:27
    版主