none
[已解决]关于XP与2012AD中组策略不生效的问题(VPN) RRS feed

  • 问题

  • 解决方案:把VPN的方式更换了,由原来的PPTP+MPPE加密换成了L2TP+IPSEC加密,然后一切就正常了。

    问题:

    客户端为XP系统,域控为2012.

    XP与2012不在同一子网下,且用VPN路由器连接。

    XP中已经登录过的用户AAA是可以正常应用组策略的,但任何新用户BBB或CCC等都不行,运行gpresult时会提示:信息: 策略对象不存在。

    注:AAA是在之前同一子网下添加并登录成功过的用户。

    但新用户BBB却又能应用成功一小部分组策略,例如登录提示,请问原因在哪?如何解决?

    以下是C:\WINDOWS\Debug\UserMode\userenv.log的日志结尾:

    USERENV(2dc.9d4) 18:17:06:557 ProcessGPOs: The DC for domain LSAD is not available. aborting
    USERENV(2d4.2d8) 18:27:46:109 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(2d4.2d8) 18:27:46:109 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(2d4.2d8) 18:27:46:109 CUserProfile::CleanupUserProfile: Ref Count is not 0
    USERENV(2d4.494) 18:28:34:640 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(2d4.350) 18:32:01:140 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(2d4.284) 18:34:39:640 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(2d4.3d8) 18:34:56:140 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(2d4.284) 18:35:45:640 ProcessGPOs: DSGetDCName failed with 59.
    USERENV(2d4.3d8) 18:36:02:140 ProcessGPOs: DSGetDCName failed with 59.

    按此方案未解决:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/6a0c9a0e-3dee-4b00-8ad7-45f5f9b9ce76/event-id-1054-group-policy-processing-aborted-windows-xp-sp3-clients-windows-2003-std-server?forum=winserverGP


    BMW.CTO




    • 已编辑 BMWCTO 2018年11月20日 13:10
    2018年10月31日 10:41

答案

  • 解决方案:把VPN的方式更换了,由原来的PPTP+MPPE加密换成了L2TP+IPSEC加密,然后一切就正常了。

    BMW.CTO


    • 已标记为答案 BMWCTO 2018年11月20日 3:36
    • 已编辑 BMWCTO 2018年11月20日 13:11
    2018年11月20日 3:36

全部回复

  • 建议检查:1、新用户是否在策略范围的OU内;2、Server2012有些策略是否在XP下已变更,所以应用不到了;
    2018年11月1日 2:10
  • 建议检查:1、新用户是否在策略范围的OU内;2、Server2012有些策略是否在XP下已变更,所以应用不到了;
    AAA、BBB、CCC都是一模一样的权限。

    BMW.CTO

    2018年11月1日 2:23
  • 尊敬的客户,您好!
    请尝试以下方法:检查客户端Net logon服务和WorkStation服务是否被停止或禁用。
    我们需要把他们的服务状态设置为运行的状态,并且启动类型选择为自动,如果不是,把他们设置一下。
    1. 开始->运行,在弹出的对话框中输入“services.msc”打开服务列表界面。
    2. 在弹出的服务设置界面中,找到这两个服务, 如果已经被停止或禁用,单击“启动”按钮,将该服务重新启动,同时在“启动类型”下拉列表中,选中“自动”选项,最后单击“应用”按钮,再单击“确定”按钮。 
    3. 用户重新登录客户端检查组策略是否生效。

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月1日 2:59
    版主
  • 如果这两个服务被停用或禁用的话,用户AAA执行gpresult就不会有结果了吧?

    所以这两个服务是正常的。

    经过确认,也的确是正常的。


    BMW.CTO


    • 已编辑 BMWCTO 2018年11月1日 3:42
    2018年11月1日 3:14
  • 尊敬的客户,您好
    尝试直接使用gpupdate /force强制更新组策略试试,看有什么提示或者报错?
    或者关机重启,使用BBB用户重新登录看问题是否依然存在?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月1日 9:18
    版主
  • 尊敬的客户,您好
    尝试直接使用gpupdate /force强制更新组策略试试,看有什么提示或者报错?
    或者关机重启,使用BBB用户重新登录看问题是否依然存在?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    多次gpupdate /force都提示刷新完成,没有任何报错。

    也关机重启多次,效果一致,甚至换电脑,换用户CCC结果都一样。


    C:\>gpupdate /force 正在刷新策略... User 策略刷新完成。 Computer 策略刷新完成。 C:\>gpresult 信息: 用户 "LSAD\BBB" 没有 RSOP 数据。

    或 C:\>gpresult 信息: 策略对象不存在。


    事件会出现:

    ID:1054
    Windows 不能获得您的计算机网络的域控制器名称。(出现了意外的网络错误。 )。组策略处理被放弃。
    
    ID:1000
    不能执行下面的脚本 windowsxp-kb4012598-x86.exe。 系统找不到指定的文件。
    。
    



    BMW.CTO

    2018年11月1日 9:44
  • 尊敬的客户,您好
    尝试直接使用gpupdate /force强制更新组策略试试,看有什么提示或者报错?
    或者关机重启,使用BBB用户重新登录看问题是否依然存在?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    如果执行Rsop.msc
    则会提示:

    组策略错误
    RSoP数据无效。引起的原因可能是数据损坏、数据被删除或数据从未创建。
    
    详细信息:
    无效名称空间

    DFS路径是可以正常访问的,里面的文件是正常的

    \\Domain\SYSVOL\Domain\Policies


    BMW.CTO


    • 已编辑 BMWCTO 2018年11月1日 9:56
    2018年11月1日 9:52
  • 尊敬的客户,您好!
    1. 尝试使用命令gpresult /h C:\report.html,看是否有什么报错?
    2. 重新新建一个GPO,设置一个简单的用户策略或者计算见策略,链接到用户所在的域或者OU,看是否生效?
    3. 根据您的描述,更换客户端登录也有同样的问题,检查您所应用的组策略对象是否设置过安全过滤或者WMI过滤?


    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2018年11月2日 5:23
    版主
  • 尊敬的客户,您好!
    1. 尝试使用命令gpresult /h C:\report.html,看是否有什么报错?
    2. 重新新建一个GPO,设置一个简单的用户策略或者计算见策略,链接到用户所在的域或者OU,看是否生效?
    3. 根据您的描述,更换客户端登录也有同样的问题,检查您所应用的组策略对象是否设置过安全过滤或者WMI过滤?


    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    C:\>gpresult /h C:\report.html
    错误: 无效参数/选项 - '/h'。
    键入 "GPRESULT /?" 以了解用法。

    BMW.CTO

    2018年11月2日 7:37
  • 尊敬的客户,您好!
    1. 以前那个用户使用这个命令会生成一个报告,没有问题对吗?
    2. 请问上面的那个问题2和3方便测试和检查一下吗?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月2日 9:13
    版主
  • 尊敬的客户,您好!
    1. 尝试使用命令gpresult /h C:\report.html,看是否有什么报错?
    2. 重新新建一个GPO,设置一个简单的用户策略或者计算见策略,链接到用户所在的域或者OU,看是否生效?
    3. 根据您的描述,更换客户端登录也有同样的问题,检查您所应用的组策略对象是否设置过安全过滤或者WMI过滤?


    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    为了测试您说的第2和第3个疑问,我把用户BBB和CCC在本地(同一子网,非VPN路由环境下)进行了测试,一切安好,组策略应用成功,gpresult输出正常。

    那么,我现在开始怀疑VPN导致的问题,如果是VPN导致的问题,那么用户AAA的正常应用又作如何解释呢?他们同属一个OU一个安全组,除了用户名和密码,其它属性一致。

    VPN另一端的确存在一个疑问,那就是ping -l 1455以上 AD的IP或Domain都会出现time out,想必这个就是分包的问题了吧?那为什么用户AAA却不受此影响呢?

    AAA与BBB的唯一区别就是AAA曾经在本地登录过,然后这台物理机搬到了外地VPN环境下,我想此故障也是因此造成的。

    VPN使用的是PPTP的站点to站点的模式,而且另外两台Win7在VPN路由器环境下使用也是正常的。


    BMW.CTO


    • 已编辑 BMWCTO 2018年11月2日 12:15
    2018年11月2日 12:12
  • 尊敬的客户,您好!
    根据您的描述,我们尝试把新用户BBB或者CCC也在本地登录登录一下,看是否能够解决您的问题呢?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月5日 1:47
    版主
  • 尊敬的客户,您好!
    根据您的描述,我们尝试把新用户BBB或者CCC也在本地登录登录一下,看是否能够解决您的问题呢?

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    现在无法满足测试条件。

    就是需要在VPN远端登录,上千公里,机器不能搬回来了。


    BMW.CTO

    2018年11月5日 2:14
  • 尊敬的客户,您好!
    我能够理解您,如果方便的话,把账号和密码告诉您那边的同事或者用户,让他们帮忙登录一下,然后再更改新的密码(为了安全更改密码),这边再看一下问题是否还存在。如果不方便告诉账号和密码的话,那这个方法就无法测试。

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月5日 9:09
    版主
  • 尊敬的客户,您好!
    我能够理解您,如果方便的话,把账号和密码告诉您那边的同事或者用户,让他们帮忙登录一下,然后再更改新的密码(为了安全更改密码),这边再看一下问题是否还存在。如果不方便告诉账号和密码的话,那这个方法就无法测试。

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    可能是我表达失误。

    我暂时把VPN的两端称为S(服务端)和C(客户端),把BBB需要登录的这台机器称为BC,把S端的任意机器称为XS;

    把在这BBB在S端的XS上登录过,没有问题,但在C端环境下用BC登录就不行。

    以前AAA在S端(对,以前BC在S端,现在搬到了C端那边)在BC上登录过,现在是在C端的BC上登录,没有问题。

    所以现在无法用BBB在BC上做本地测试,明白了我的意思了吗?


    BMW.CTO



    • 已编辑 BMWCTO 2018年11月5日 9:33
    2018年11月5日 9:31
  • 尊敬的客户,您好!
    根据您的描述,AAA用户因为本地登录过,所以可以正常应用这些策略。BBB通过VPN连接无法应用这些策略,可能是有一些端口没有限制了一些策略的应用。我们在那台客户端上,登录BBB账号,检查一下文档中的这些端口是否开启,是否可以访问(也可能不止这些端口,方便的话多开一些端口来检查问题)。

    通过这个命令检查端口是否开启:netstat -an
    通过这个命令检查端口是否可以被正常访问:telnet+服务器的IP地址+端口号

    同时检查这个端口:873 tcp

    Active Directory and Active Directory Domain Services Port Requirements
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)

    Best Regards,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月6日 23:52
    版主
  • 尊敬的客户,您好!
    根据您的描述,AAA用户因为本地登录过,所以可以正常应用这些策略。BBB通过VPN连接无法应用这些策略,可能是有一些端口没有限制了一些策略的应用。我们在那台客户端上,登录BBB账号,检查一下文档中的这些端口是否开启,是否可以访问(也可能不止这些端口,方便的话多开一些端口来检查问题)。

    通过这个命令检查端口是否开启:netstat -an
    通过这个命令检查端口是否可以被正常访问:telnet+服务器的IP地址+端口号

    同时检查这个端口:873 tcp

    Active Directory and Active Directory Domain Services Port Requirements
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)

    Best Regards,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    873 tcp的确不通,但这个在本地环境中测试也是不通的。其它端口也都和本地测试一样的结果。

    通过netstat -an 检查后发现AD上根本就没开873端口。


    BMW.CTO

    2018年11月7日 2:37
  • 我在VPN的C端用WIN7尝试用BBB用户登录后发现组策略应用成功的。这证明网络配置没有问题的。

    那么这个问题就出在XP系统上面了,XP系统上面到底有什么需要设置的呢?

    我现在更晕乎了。


    BMW.CTO


    • 已编辑 BMWCTO 2018年11月7日 3:33
    2018年11月7日 3:32
  • 尊敬的客户,您好!
    很抱歉因为XP电脑已经超过了服务周期,很难预测到它的潜在问题,也没有相关的环境,所以很难给您排查有关XP电脑的问题。感谢您的理解和支持!

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月7日 12:02
    版主
  • 解决方案:把VPN的方式更换了,由原来的PPTP+MPPE加密换成了L2TP+IPSEC加密,然后一切就正常了。

    BMW.CTO


    • 已标记为答案 BMWCTO 2018年11月20日 3:36
    • 已编辑 BMWCTO 2018年11月20日 13:11
    2018年11月20日 3:36
  • 尊敬的客户,您好!
    很高兴您的问题解决了。感谢您的分享,祝您工作顺利,生活愉快!

    Best Regards,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月27日 5:24
    版主