- Remove From My Forums
-
Вопрос
-
Добрый день! Не отрабатываются групповые политики на клиентах. Код ошибки 1058 В логах сообщение:
Имя журнала: System Источник: Microsoft-Windows-GroupPolicy Дата: 22.03.2015 23:03:36 Код события: 1058 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова: Пользователь: система Компьютер: PC-30.intranet.qbf Описание: Ошибка при обработке групповой политики. Попытка чтения файла "\intranet.qbfSysVolintranet.qbfPolicies{0EC1F189-ADE9-4D97-82D8-CDAAADADF24A}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). c) Отключен клиент распределенной файловой системы (DFS).НО! Каталога «\intranet.qbfSysVolintranet.qbfPolicies{0EC1F189-ADE9-4D97-82D8-CDAAADADF24A}gpt.ini» нет ни на корне DFS \intranet.qbf ни на каждом контроллерах домена. Синхронизация контроллеров работает. На самих контроллерах
команда gpupdate /force проходит успешно.Помогите решить проблему, пожалуйста
-
Изменено
22 марта 2015 г. 20:32
-
Изменено
Ответы
-
1. Политика эта не входит в число стандартных (у них другие GUID). Так что dcgpofix вы делали зря.
2. Скорее всего, от этой политики осталась та часть (Group Policy Container), которая хранится в AD, её различающееся имя — CN=0EC1F189-ADE9-4D97-82D8-CDAAADADF24A},CN=Policies,CN=System,DC=intranet,DC=qbf. Посмотреть имя этой политики
можно командойdsquery * CN=0EC1F189-ADE9-4D97-82D8-CDAAADADF24A},CN=Policies,CN=System,DC=intranet,DC=qbf -scope base -attr displayName
Поскольку все установки этой политики (они хранатся в папке на SYSVOL), очевидно, утеряны, можете попробовать просто удалить её в консоли управления групповой политикой — если это получится, вы ничего не потеряете.
Слава России!
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
26 марта 2015 г. 10:30
-
Помечено в качестве ответа
-
Да! Спасибо большое все получилось! Удалила через ADSI edit политику (потом, правда нашла, что на вкладке Детали(Details) оснаски GPO Management можно посмотреть этот самый Unique ID: {0EC1F189-ADE9-4D97-82D8-CDAAADADF24A})
и все стало хорошо и все заработало. Еще раз всем спасибо!-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
26 марта 2015 г. 10:30
-
Помечено в качестве ответа
Сообщение об ошибке Ошибка обработки групповой политики, идентификатор события 1058. происходит в Windows Server, когда ОС не может прочитать файл с контроллера домена. Служба групповой политики считывает информацию из Active Directory и sysvol общий ресурс, расположенный на контроллере домена. Однако отсутствие подключения к сети или проблема с разрешениями не позволяют применить групповую политику к пользователю или компьютеру.
Сообщение об ошибке могло выглядеть так:
Тип события: ошибка
Источник события: Усеренв
Категория события: Нет
ID события: 1058
Дата:
Время:
Пользователь: NT AUTHORITY SYSTEM
Компьютер: TWC-ASH-Post01
Описание:
Windows не может получить доступ к файлу gpt.ini для GPO cn = {18C553C9-0D15-4A3A-9C68-60DCD8CA1538}, cn = policy, cn = system, DC = LBR, DC = CO, DC = ZA. Файл должен находиться в папке . (Доступ запрещен.). Обработка групповой политики прервана.
Если вы прочитаете журнал событий, станет очевидно, что, поскольку служба не смогла прочитать политику, она не может быть применена. Хорошая новость в том, что это временная проблема. Помимо проблемы с сетью, это также может быть связано с задержкой службы разрешения файлов и отключением клиента DSF.
При проверке журналов, если вы отметите вкладку «Подробности» сообщения об ошибке в средстве просмотра событий, может присутствовать любой из этих кодов ошибок — код ошибки 3, код ошибки 5 и код ошибки 53. Следуйте этим советам, чтобы решить проблему.
- Система не может найти указанный путь — код ошибки 3
- Отказано в доступе — код ошибки 5.
- Сетевой путь не найден — код ошибки 53.
После любого из этих методов, если вам нужно устранить неполадки в сети, ознакомьтесь с нашим руководством по устранению неполадок в сети.
1]Система не может найти указанный путь — Код ошибки 3
Это происходит, когда клиент DFS не запущен на клиентском компьютере, потому что он не может найти путь, указанный в событии. Чтобы проверить подключение клиента к sysvol контроллера домена:
- Найдите имя контроллера домена, доступное в сведениях об ошибке.
- Проверьте, не произошел ли сбой во время пользовательской или компьютерной обработки
- Обработка политики пользователя: Пользователь поле события покажет действительное имя пользователя
- Обработка компьютерной политики: Пользователь в поле отобразится «СИСТЕМА».
- Далее вам нужно составить полный сетевой путь к gpt.ini. Формат должен быть как SYSVOL <домен> Политики <гид> gpt.ini. Все это будет доступно в журнале событий.
- <dcName>: Имя контроллера домена
- <домен>: Это имя домена,
- <гид>: Это GUID папки политики.
Сделав это, убедитесь, что вы можете читать gpt.ini, используя полный сетевой путь, который вы создали на предыдущем шаге. Вы можете сделать это из командной строки или в запущенной Windows. Обязательно попробуйте это с пользователем или компьютером, учетные данные которого ранее не удалось.
2]Доступ запрещен — код ошибки 5
Если код ошибки 5, то это проблема с разрешением. Когда у пользователя или компьютера нет соответствующих разрешений на доступ к пути, указанному в событии. Разрешение простое, убедитесь, что у пользователя или компьютера есть разрешение.
Выйдите из системы и перезагрузите компьютер, а затем войдите в систему, используя ранее использованные учетные данные домена. Если это не сработает, обязательно назначьте разрешение от контроллера домена.
3]Сетевой путь не найден — код ошибки 53
Код ошибки 53 означает, что компьютер не может разрешить имя в указанном сетевом пути. Вам нужно будет использовать тот же компьютер или пользователя, чтобы проверить, можете ли вы вручную получить доступ к сетевому пути.
- Определите контроллер домена, используемый компьютером, доступным в событии ошибки.
- Затем подключитесь к общему ресурсу netlogon в домене, т.е. попробуйте получить доступ к пути напрямую <dcName> netlogon. где <dcName> — это имя контроллера домена в событии ошибки.
- Если путь не разрешается, значит, существует проблема с путем, которую необходимо исправить. Если вы уверены, что путь правильный, то проверьте с разрешения.
Опубликуйте это; вам нужно проверить, все ли в порядке. Лучший способ — запустить gpudate в строке «Выполнить». Когда команда gpupdate завершится, откройте средство просмотра событий, чтобы проверить, сохраняется ли ошибка.
(Sorry for the markdown, I’m on a phone)
The issue is one of the following three things:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.
That’s the easy bit, as that’s Microsoft’s documentation), now for more detail:
Option A:
This is almost certainly your issue; if you are turning off a Domain Controller (what you refer to as a backup domain controller) and losing access to your PDCe role holder (what you refer to as your PDC), then a misconfigured DNS is almost certainly at play, even if it’s not the root cause.
If all your DCs are also DNS server please ensure the following DNS client settings are true (if a DC is not a DNS server also, replace 127.0.0.1 with another DC IP address):
For DC1:
Primary DNS Server: IP Address of DC2
Alternative DNS Server: 127.0.0.1
For DC2:
Primary DNS Server: IP Address of DC1
Alternative DNS Server: 127.0.0.1
For all other DCs:
Primary DNS Server: IP Address of DC1 OR DC2
Alternative DNS Server: 127.0.0.1
For clients and member servers ensure that two valid, internal DNS server addresses are listed in the DNS client settings, based on proximity/ network speed to the DNS Server.
Do not have more than two DNS servers listed for any domain member.
If it a network connectivity issue I would suggest you use Microsoft Port Query. Run it on the client, point it towards the DC in the 1058 event, use the Domains and Trusts option. Look for error code 1.
Option B:
This is most probably caused by the same problems as above.
From an elevated cmd perform:
DCDIAG /c /v /e
repadmin /replsum
ipconfig /all
Post these to a receive help, but a break down is;
DCDIAG: identifies the issue, look at all failures apart from event viewer
Repadmin: shows which DC(s) are having the issue
ipconfig: ensure you haven’t cocked up you DNS settings
Option C:
check the service.
Download PC Repair Tool to quickly find & fix Windows errors automatically
Error message The processing of Group Policy failed, Event ID 1058 occurs in Windows Server, when the OS is not able to read the file from a domain controller. The Group Policy service reads the information from Active Directory and the sysvol share located on a domain controller. However, the absence of network connectivity or permission issue prevents Group Policy from applying to the user or computer.
The error message could look like
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1058
Date:
Time:
User: NT AUTHORITYSYSTEM
Computer: TWC-ASH-Post01
Description:
Windows cannot access the file gpt.ini for GPO cn={18C553C9-0D15-4A3A-9C68-60DCD8CA1538},cn=policies,cn=system,DC=LBR,DC=CO,DC=ZA. The file must be present at the location <PATH>. (Access is denied.). Group Policy processing aborted.
If you read the Event log, it will be apparent that since the service was not able to read the policy, it wasn’t able to apply. The good news is that its only a temporary issue. Apart from the network issue, it can also because of file resolution service latency and DSF client being disabled.
When checking the logs, if you check under Details tab of the error message in Event Viewer, any of these error codes could be present – Error code 3, Error code 5 and Error code 53. Follow these suggestionso resolve the problem.
- The system cannot find the path specified—Error code 3
- Access is denied—Error code 5
- The network path was not found—Error code 53
After any of these methods, if you need to troubleshoot network, check out our Network troubleshooting guide.
1] The system cannot find the path specified – Error code 3
It occurs when the DFS client is not running on the client computer because it cannot find the path specified in the event. To test client connectivity to the domain controller’s sysvol:
- Find the domain controller name available in the details of the error event.
- Check if the failure happened during user or computer processing
- User policy processing: The User field of the event will show a valid user name
- Computer policy processing: the User field will show “SYSTEM.”
- Next, you need to compose a full network path to the gpt.ini. The format should be as \<dcName>SYSVOL<domain>Policies<guid>gpt.ini. All this will be available in the event log.
- <dcName> : Name of the domain controller
- <domain> : It’s the name of the domain,
- <guid>: It’s the GUID of the policy folder.
Done that, verify you can read gpt.ini using the full network path which you constructed in the above step. You can do it from the Command Prompt or the run Windows. Make sure to try it with the user or computer whose credentials previously failed.
2] Access is denied – Error code 5
If the error code is 5, then its a permission issue. When the user or computer does not have the appropriate permissions to access the path specified in the event. The resolution is simple, ensure the user or computer has the permission.
Log off and reboot the computer, and then Log on the computer with the domain credentials previously used. If it doesn’t work, make sure to assign the permission from the domain controller.
3] The network path was not found – Error code 53
Error Code 53 means that the computer is not able to resolve the name in the provided network path. You will need to use the same computer or user to check if you can manually access the network path.
- Identify the domain controller used by the computer available in the Error event
- Next,connect to netlogon share on the domain i.e. try to access the path directly \<dcName>netlogon. where <dcName> is the name of the domain controller in the error event.
- If the path doesn’t resolve, then there is an issue with the path which needs correction. If you are sure that the path is correct, then check with permission.
Post this; you need to verify if everything is fine. The best way is to run the gpudate command in the Run prompt. When the gpupdate command completes, open the Event Viewer to check if the error still exists.
Similar reads:
- Computer policy could not be updated successfully, The processing of Group Policy failed
- The processing of Group Policy failed because of lack of network connectivity to a domain controller.
Ashish holds a Bachelor’s in Computer Engineering and is a veteran Windows and Xbox user. He has work experience as a Database and Microsoft.NET Developer. He has been a Microsoft MVP (2008-2010) and excels in writing tutorials to improve the day-to-day experience with your devices.
After a Windows Server 2003 Standard R2 to 2012 Standard R2 migration, I ran into some Group Policy issues.
This site only one one policy, which was a Group Policy Preference for mapped network drives.
Windows 7 machines worked fine. The 2012 R2 servers and Windows 10 workstations on the domain were not working.
Performing gpupdate /force on the affected workstations returned the following.
Similarily, the error returning in the System Event log was identical.
It turns out there was a few non-confirming changes made to the default domain policy, when the 2003 was the PDC. I had to reset the default domain policy to default, with the following tool dcgpofix on the new PDC. After a reboot of the workstations, everything was functioning well.