none
再次求助:奇怪问题,2003R2域内的组策略有些IP正常,有些IP无法执行 RRS feed

  • 问题

  • 域服务器设定
    IP地址   :172.29.100.203  
    子网掩码 :255.255.0.0  
    默认网关 :172.29.0.1 
    DNS服务器:172.29.100.203

    客户端IP在172.29.100.1~172.29.100.254内的全部正常执行组策略,运行RSOP.MSC都是正常的。

    但是客户端在其他IP地址,比如IP地址172.29.4.16(或者172.29.2.5)子网掩码255.255.0.0就不能执行组策略,

    运行RSOP.MSC跳出:组策略基础结构失败。指定的服务器无法运行请求的操作。

    但是加域退域啊,文件服务器权限啊一切正常。可以互相PING通,互相查看共享,也可以打开SYSVOL内的Policies文件夹。

    把IP改成172.29.100.16后,组策略就会正常执行,运行RSOP也一切正常。

    子网掩码都是255.255.0.0

    请教一下到底是哪里出问题了?

    万分感谢!
    2015年11月28日 6:38

答案

全部回复

  • Hi,大猫你好,

    可以检查一下是否有一些 IP Filtered Group Policy Preferences 应用于客户端,请确认后再查看一下是否正常运行了。

    查看一下Item-level Targeting是否设置了IP Address 的范围。 

    http://blogs.technet.com/b/grouppolicy/archive/2009/07/30/security-filtering-wmi-filtering-and-item-level-targeting-in-group-policy-preferences.aspx

    同时查看一下禁用防火墙后是否能运行了。

    另外你出错时,对应客户端和域控制器里面的event log是怎么记录的?

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年11月30日 7:54
    版主
  • 防火墙已经禁用,WMI筛选器未设置。请帮我看一下Default Domain Policy设置正确否,万分感谢!!

    组策略管理
    body { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; } .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding- height:24px; } .path { margin- margin- margin-bottom:5px;width:100%; } .info { padding-width:100%; } table { font-size:100%; width:100%; border:1px solid #999999; } th { border-bottom:1px solid #999999; text-align:left; padding- height:24px; } td { background:#FFFFFF; padding- padding-bottom:10px; padding- } .btn { width:100%; text-align:right; margin- } .hdr { font-weight:bold; border:1px solid #999999; text-align:left; padding- padding- height:24px; margin-bottom:-1px; width:100%; } .bdy { width:100%; height:182px; display:block; background:#FFFFFF; padding- padding-bottom:10px; padding- border:1px solid #999999; } button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; } @media print { .bdy { display:block; } button { display:none; } .head { color:#000000; background:#FFFFFF; border:1px solid #000000; } }
    设置路径:
    解释
    <button accesskey="P" name="Print">打印P</button>
    <button accesskey="C" name="Close">关闭C</button>
    此设置没有解释。
    支持于:
    不可用
    Default Domain Policy
    数据收集时间: 2015-12-1 14:07:04
    常规
    详细信息
    ***********
    所有者 ****\Domain Admins
    创建时间 2012-5-11 9:25:32
    修改时间 2015-12-1 13:37:08
    用户修订 19 (AD),19 (sysvol)
    计算机修订 55 (AD),55 (sysvol)
    唯一 ID {****************}
    GPO 状态 已启用
    链接
    位置 强制 链接状态 路径
    **** 已启用 ***********
    此列表只包括 GPO 的域中的链接。
    安全筛选
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    ****\PC
    NT AUTHORITY\Authenticated Users
    WMI 筛选
    WMI 筛选器名称
    描述 不适用
    委派
    下列组和用户具有此 GPO 的选定权限。
    名称 允许的权限 已继承

    ****\Enterprise Admins 编辑设置,删除、修改安全
    ****\Domain Admins 编辑设置,删除、修改安全
    ****\PC 只读(来自安全筛选)
    NT AUTHORITY\Authenticated Users 只读(来自安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全
    计算机配置(已启用)
    Windows 设置
    安全设置
    帐户策略/密码策略
    策略 设置
    密码必须符合复杂性要求 已停用
    密码长度最小值 8 个字符
    密码最长使用期限 90 天
    密码最短使用期限 0 天
    强制密码历史 0 个记住的密码
    用可还原的加密来储存密码 已停用
    帐户策略/帐户锁定策略
    策略 设置
    帐户锁定阈值 0 次无效登录
    帐户策略/Kerberos 策略
    策略 设置
    服务票证最长寿命 600 分钟
    计算机时钟同步的最大容差 5 分钟
    强制用户登录限制 已启用
    用户票证续订最长寿命 7 天
    用户票证最长寿命 10 小时
    本地策略/安全选项
    网络安全
    策略 设置
    网络安全: 在超过登录时间后强制注销 已停用
    公钥策略/自动注册设置
    策略 设置
    自动注册证书 已启用
    续订过期证书、更新未决证书并删除吊销的证书 已停用
    更新使用证书模板的证书 已停用
    公钥策略/加密文件系统
    属性
    策略 设置
    允许用户用加密文件系统(EFS)来加密文件 已启用
    公钥策略/受信任的根证书颁发机构
    属性
    策略 设置
    允许用户选择新的根证书授权机构(CA)来信任 已启用
    客户端计算机可以信任下列证书存储 第三方根证书授权机构和企业根证书授权机构
    要根据证书验证用户和计算机,CA 必须符合下列条件 只在 Active Directory 中注册

    用户配置(已启用)

    Windows 设置
    远程安装服务
    客户端安装向导选项
    策略 设置
    工具 已停用
    重新启动安装程序 已停用
    自定义安装 已停用

    2015年12月1日 6:46
  • 服务器上没啥错误事件。

    客户端的错误事件ID:1030

    EventData
    SupportInfo1 1
    SupportInfo2 2070
    ProcessingMode 0
    ProcessingTimeInMilliseconds 36566
    ErrorCode 58
    ErrorDescription 指定的服务器无法运行请求的操作。
    DCName \\***********************

    2015年12月1日 7:19
  • Hi 大猫,

    通常这个事件表明可能存在网络连通性或者配置问题。
    在事件记录器里面,查看是否有和网络相关的信息,netlogon之类的。

    https://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=1030&EvtSrc=Userenv&LCID=1033

    gpo失败是由网络引起, 因此可以用 netmon 去查看是否存在网络问题,检查究竟网络哪里出问题。

    https://support.microsoft.com/en-us/kb/924037

    http://blogs.msdn.com/b/canberrapfe/archive/2012/03/31/capture-a-network-trace-without-installing-anything-works-for-shutdown-and-restart-too.aspx

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年12月2日 3:04
    版主