none
求助,2003R2域内的win7客户端(D016)不能执行组策略,但是2008r2(FSA)可以,详细看图 RRS feed

  • 问题

  • 发图片还要等账号验证= =

    SA操作系统是winserver2008r2,没装任何应用,D016操作系统是win7PROX86

    FSA的组策略建模和组策略结果全部正常

    D016的组策略建模正常,但是组策略结果如下:

    组策略结果--计算机配置摘要--组件状态

    组件名称 状态 上一次处理时间
    组策略基础结构 失败 2015-11-25 14:15:48
    由于下面列出的错误,组策略基础结构 失败。

    指定的服务器无法运行请求的操作。 

    注意: 由于 GP Core 失败,其它组策略组件没有一个处理了它们的策略。因此,其它组件的状态信息不可用。

    可能已经记录了额外信息。请审阅控制台中的“策略事件”选项卡或 2015-11-25 14:15:12 和 2015-11-25 14:15:48 之间的事件的应用程序事件日志。
    2015年11月25日 7:53

答案

  • Hi 大猫你好,

    请问除了以上的日志还有其他的事件记录吗? 通常event 27 表示客户端请求密钥的 ID 是 8票据凭证,在windows server 2003不支持, 但是在windows server 2008R2 上支持,如果Kerberos验证正常工作,这个信息可以忽略。这个只是通知客户端支持什么样的密钥。

    你可以看一下以下的文档。

    The security principals and the services that use only DES encryption for Kerberos authentication are incompatible with the default settings on a computer that is running Windows 7 or Windows Server 2008 R2

    http://support.microsoft.com/kb/977321

    Event ID 27 — KDC Encryption Type Configuration

    http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx

    另外,在server 2003 的机器可以用gpotool.exe 看到详细的情况。

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 大猫zwx 2015年11月27日 8:23
    2015年11月27日 1:56
    版主

全部回复

  • 新装5台虚拟机加WINSERVER2003R2域测试组策略,发现如下:

    XP:组策略基础结构失败。指定的服务器无法运行请求的操作。

    WIN7:组策略基础结构失败。指定的服务器无法运行请求的操作。

    WINSERVER 2003R2:组策略基础结构失败。指定的服务器无法运行请求的操作。

    WINSERVER2008R2:成功

    WINSERVER2012R2:成功

    2015年11月26日 6:52
  • Hi 大猫 你好,

    根据error “组策略基础结构失败”,可能会存在很多种原因, DNS的配置,AD复制问题,用户权限问题, 等等。

    请问你的客户端和服务器中对应的事应用程序事件日志中都是记录的什么样的log?

    可以从客户端上去ping 通服务器吗?

    另外先验证一下你对应DNS的配置是否正确,客户端和服务器之间的时间保持同步。

    你还可以用 gpotool.exe 来看一下具体的错误描述情况。

    http://www.microsoft.com/en-us/download/details.aspx?id=17657#Instructions

    此外,microsoft 已经停止对 windows server 2003 和 windows xp 的支持,建议你可以将你旧版本的机器升级。

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2015年11月26日 7:44
    版主
  • 谢谢版主!

    刚才我在2008R2用Hyper-V创新了一台win7虚拟机进行测试,发现可以运用域组策略。我在AD上看了下时间日志,发现有以下错误提示的都是正常运用组策略的,没有错误提示的反而不行。

    事件类型: 错误
    事件来源: KDC
    事件种类:
    事件 ID: 27
    日期: 2015-11-26
    事件: 15:50:09
    用户: N/A
    计算机: *****21
    描述:
    在处理目标服务器 krbtgt/***.***.*** 的 TGS 请求时,帐户 testxp1@***.***.*** 没有适用的 密钥以生成 Kerberos 票证(丢失的密钥的 ID 是 8)。 请求的 etype 是 18。帐户可用的 etype 是 23  -133  -128  3  1。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    2015年11月26日 8:04
  • Hi 大猫你好,

    请问除了以上的日志还有其他的事件记录吗? 通常event 27 表示客户端请求密钥的 ID 是 8票据凭证,在windows server 2003不支持, 但是在windows server 2008R2 上支持,如果Kerberos验证正常工作,这个信息可以忽略。这个只是通知客户端支持什么样的密钥。

    你可以看一下以下的文档。

    The security principals and the services that use only DES encryption for Kerberos authentication are incompatible with the default settings on a computer that is running Windows 7 or Windows Server 2008 R2

    http://support.microsoft.com/kb/977321

    Event ID 27 — KDC Encryption Type Configuration

    http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx

    另外,在server 2003 的机器可以用gpotool.exe 看到详细的情况。

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 大猫zwx 2015年11月27日 8:23
    2015年11月27日 1:56
    版主