- Remove From My Forums
Ошибка при обработке групповой политики
-
Вопрос
-
Здравствуйте!
Имеются два DC. На второстепенном контроллере с периодичностью 5мин появляется ошибка:(второй день повторяющаяся)
Ошибка при обработке групповой политики. Попытка чтения файла «\ххххххххSysVolхххххххPolicies{F5306EB8-7B8E-49E0-83BD-75D92F72441D}gpt.ini» с контроллера домена была неудачной. Параметры групповой политики не могут быть применены,
пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Репликация между DC проходит успешно(судя по утилите AD Replication Status Tool 1.0)
И вроде ошибка стала появляться после попытки установки службы RDS
Эта же ошибка 1058 появляется и на сервере где WSUS, но с периодичностью гораздо реже через 1ч иногда 2ч
-
Изменено
10 июня 2013 г. 5:23
-
Изменено
Ответы
-
Ошибка исчезла после удаления групповых политик WSUS
-
Предложено в качестве ответа
lokise
12 июня 2013 г. 4:12 -
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
13 июня 2013 г. 12:47
-
Предложено в качестве ответа
-
Добрый день.
Не думаю что ошибка была вызвана групповой политикой WSUS скорее проблемами с репликацией и настройками безопастности. В любом случае хорошо что разобрались, думаю тему можно закрывать.
Печенкин Николай
Обновлено 30.07.2021
Всем привет сегодня разберем как решается ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2. Симптомы у данного сообщения, не обрабатываются групповые политики и не правильно могут разрешаться имена.
Вот как более детально выглядит ошибка при обработке групповой политики. Событие с кодом ID 1054: Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Проверка разрешения имен
Первым делом нужно проверить может ли наш сервер правильно разрешать внутренние доменные имена. Для этого воспользуемся утилитой nslookup. Выберите любое доменное имя сервера или лучше контроллера домена. Открываем командную строку и пишем
dc1 это мой контроллер домена. Как видите у меня локальные DNS имена разрешал, внешний DNS сервер, так как на сервере стоит два сетевых интерфейса и один со внешним ip адресом.
выполнение nslookup
причину мы выяснили, из за чего выскакивает ошибка.
Приоритетность контроллеров домена
Давайте теперь посмотрим, какой из контроллеров домена является для вашего сервера самым авторитетным, ранее я уже рассказывал как определить какой domain controller вас авторизовал, но нам нужен авторитет в вашем домене и возможность обращение к нему по LDAP. Делается это командой
nltest /dnsgetdc:ваше имя домена
Я вижу что у меня это dc2, его ip адрес мне и понадобится.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Так же нужно проверить доступность DC по протоколу RPC, с помощью команды
nltest /dsgetdc:ваше имя домена
доступность DC по протоколу RPC
В данном случае проблем я не обнаружил. Пилим дальше.
Настройка DNS на внешнем сетевом интерфейсе
Так как мы выяснили ip адрес контроллера домена, что нас авторизовывал, его мы и пропишем в качестве DNS сервера на внешнем сетевом интерфейсе. В свойствах ipv4 прописываем его как основной DNS сервер. Напомню, что для разрешения внешних имен у вас должна быть настроена рекурсия на ДНС сервере.
настройка dns сервера
Теперь снова выполним команду nslookup и видим, что теперь внутренние имена разрешаются внутренним DNS сервером.
выполнение nslookup
Выполним теперь обновление групповой политики с помощью данной команды
Видим, что все обновилось корректно и проблема при обработке групповой политики, об этом сообщает событие с кодом ID 1502. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2 ушла.
обновление GP
Из скрина выше видно что прилетели 24 политики. На этом все. Материал сайта pyatilistnik.org
29.12.201402:1329.12.2014 02:13:03
На одном из доменных компьютеров с Windows 7 столкнулся с проблемой — не применялась групповая политика компьютера, при этом в системном журнале компьютера регистрировалось событие с номером 1055:
Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: a) Ошибка разрешения имен на текущем контроллере домена. b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).
При этом в Подробностях можно было видеть следующий дополнительный код ошибки:
ErrorCode 1331 ErrorDescription Вход в систему не произведен: учетная запись в настоящее время отключена.
На Технете существует
статья
по событию 1055, однако по ErrorCode 1331 там нет никакой информации.
Имена на контроллере домена разрешались нормально, dcdiag никаких ошибок не показывал, с репликацией проблем не было, sysvol была доступна с проблемного компа, учетная запись компьютера конечно же была включена.
При генерации Результирующей политики (RSoP) выдавалась следующая ошибка:
Инфраструктура групповой политики не удалось выполнить из-за указанной ниже ошибки. Вход в систему не произведен: учетная запись в настоящее время отключена. Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.
В результате долгих раздумий и исканий выяснилось следующее — на компьютере под аккаунтом Локальная система (Local System аccount) были закэшированы реквизиты сторонней учетки для доступа к контроллеру домена. А именно от имени этого аккаунта идет обращение к КД для получения групповых политик компьютера. Т.е. при попытке получить групповые политики с контроллера домена обращение к нему шло от этой закэшированной учетки, которая действительно была отключена. Проблема решилась после удаления этой учетки из кэша, сделать это можно следующим образом:
1) С Технета качаем всем известный пакет Sysinternals
PSTools
, из него нам потребуется утилита PsExec
2) Запускаем командную строку от имени администратора и выполняем в ней PsExec.exe -i -s cmd.exe, в результате запустится командная строка под системной учетной записью
3) В этой командной строке запускаем rundll32.exe keymgr.dll, KRShowKeyMgr, в результате откроется окно «Сохранение имен пользователей и паролей», в котором можно увидеть все закэшированные учетки под системной учетной записью:
4) Удаляем ненужные учетки. Прежде всего нужно обратить внимание на те, которые используются для авторизации на КД. В моем случае тут была только одна учетка.
5) Перезагружаем компьютер, проверяем, как отработалась политика компьютера, и наслаждаемся жизнью 
Дополнение:
ErrorCode 5 — решилась аналогичным образом.
Полезная ссылка: список кодов системных ошибок Windows
I manage a Windows enviroment that has two domains, ad.admin and ad.datatelpoc. A one way external non-transtitve trust is setup from ad.datatelpoc to ad.admin to allow user accounts in ad.admin to login to member servers in ad.datatelpoc. The logins are
successful but slow. When I checked the system log on one of the member servers in ad.datatelpoc that was logged into with an ad.admin account there was an error message from Microsoft-Window-GroupPolicy Event ID 1053 that states:
The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).
Upon further examination under the detail section I found:
|
ErrorDescription |
The specified domain either does not exist or could not be contacted. |
After looking it up I found this on the Microsoft Technet web site
http://technet.microsoft.com/en-us/library/cc727337(WS.10).aspx
Resolve
Determine user name
The Group Policy service logs the name of the domain controller and the error code. This information appears on the Details tab of the
error message in Event Viewer. The error code (displayed as a decimal) and error description fields further identify the reason for the failure. Evaluate the error code with the list below:
- Error code 5
- Error code 14
- Error code 525
- Error code 1355
- Error code 1727
Error code 1355 (The specified domain either does not exist or could not be contacted)
This error code might indicate a fault or improper configuration with name resolution (DNS). Use nslookup to confirm you can resolve
addresses of the domain controllers in the user domain. Use Networking troubleshooting procedures to further diagnose the problem (http://go.microsoft.com/fwlink/?LinkId=92706 ).
I was able to do an nslookup successfully from one of the ad.datatelpoc member servers to the domain controllers for ad.admin
What could be causing this problem and more importantly what would the solution be?
-
Moved by
Monday, February 13, 2012 7:25 AM
(From:Directory Services)
29.12.201402:1329.12.2014 02:13:03
На одном из доменных компьютеров с Windows 7 столкнулся с проблемой — не применялась групповая политика компьютера, при этом в системном журнале компьютера регистрировалось событие с номером 1055:
Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: a) Ошибка разрешения имен на текущем контроллере домена. b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).
При этом в Подробностях можно было видеть следующий дополнительный код ошибки:
ErrorCode 1331 ErrorDescription Вход в систему не произведен: учетная запись в настоящее время отключена.
На Технете существует
статья
по событию 1055, однако по ErrorCode 1331 там нет никакой информации.
Имена на контроллере домена разрешались нормально, dcdiag никаких ошибок не показывал, с репликацией проблем не было, sysvol была доступна с проблемного компа, учетная запись компьютера конечно же была включена.
При генерации Результирующей политики (RSoP) выдавалась следующая ошибка:
Инфраструктура групповой политики не удалось выполнить из-за указанной ниже ошибки. Вход в систему не произведен: учетная запись в настоящее время отключена. Примечание: из-за ошибки ядра групповой политики никакие другие компоненты групповой политики не выполнили обработку своей политики. Тем самым, информация о состоянии других компонентов недоступна.
В результате долгих раздумий и исканий выяснилось следующее — на компьютере под аккаунтом Локальная система (Local System аccount) были закэшированы реквизиты сторонней учетки для доступа к контроллеру домена. А именно от имени этого аккаунта идет обращение к КД для получения групповых политик компьютера. Т.е. при попытке получить групповые политики с контроллера домена обращение к нему шло от этой закэшированной учетки, которая действительно была отключена. Проблема решилась после удаления этой учетки из кэша, сделать это можно следующим образом:
1) С Технета качаем всем известный пакет Sysinternals
PSTools
, из него нам потребуется утилита PsExec
2) Запускаем командную строку от имени администратора и выполняем в ней PsExec.exe -i -s cmd.exe, в результате запустится командная строка под системной учетной записью
3) В этой командной строке запускаем rundll32.exe keymgr.dll, KRShowKeyMgr, в результате откроется окно «Сохранение имен пользователей и паролей», в котором можно увидеть все закэшированные учетки под системной учетной записью:
4) Удаляем ненужные учетки. Прежде всего нужно обратить внимание на те, которые используются для авторизации на КД. В моем случае тут была только одна учетка.
5) Перезагружаем компьютер, проверяем, как отработалась политика компьютера, и наслаждаемся жизнью
Дополнение:
ErrorCode 5 — решилась аналогичным образом.
Полезная ссылка: список кодов системных ошибок Windows
- Remove From My Forums
-
Общие обсуждения
-
Добрый день!
Предыстория: был DC c именем server-gerceno.local, его переименовали как обычный комп в gerceno.local. DNS весь пересмотрел на счет старых записей и все записи исправил. Из ошибок осталась одна. Групповые политики пытаются применяться
с сервера со старым именем server-gerceno.local.Как вылечить сию ошибку:
Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 15.10.2013 8:37:06
Код события: 1055
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: система
Компьютер: gerceno.Gerceno.local
Описание:
Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины:
a) Ошибка разрешения имен на текущем контроллере домена.
b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-GroupPolicy» Guid=»{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}» />
<EventID>1055</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2013-10-15T04:37:06.082107000Z» />
<EventRecordID>9889</EventRecordID>
<Correlation ActivityID=»{72747930-A034-4FCB-B9BC-48CC8C527E55}» />
<Execution ProcessID=»1004″ ThreadID=»4984″ />
<Channel>System</Channel>
<Computer>gerceno.Gerceno.local</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData>
<Data Name=»SupportInfo1″>1</Data>
<Data Name=»SupportInfo2″>1632</Data>
<Data Name=»ProcessingMode»>0</Data>
<Data Name=»ProcessingTimeInMilliseconds»>0</Data>
<Data Name=»ErrorCode»>1332</Data>
<Data Name=»ErrorDescription»>Сопоставление между именами пользователей и идентификаторами безопасности не было произведено. </Data>
</EventData>
</Event>- Изменен тип
21 октября 2013 г. 6:48
нет действий
- Изменен тип
Обновлено 30.07.2021
Всем привет сегодня разберем как решается ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2. Симптомы у данного сообщения, не обрабатываются групповые политики и не правильно могут разрешаться имена.
Вот как более детально выглядит ошибка при обработке групповой политики. Событие с кодом ID 1054: Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Проверка разрешения имен
Первым делом нужно проверить может ли наш сервер правильно разрешать внутренние доменные имена. Для этого воспользуемся утилитой nslookup. Выберите любое доменное имя сервера или лучше контроллера домена. Открываем командную строку и пишем
dc1 это мой контроллер домена. Как видите у меня локальные DNS имена разрешал, внешний DNS сервер, так как на сервере стоит два сетевых интерфейса и один со внешним ip адресом.
выполнение nslookup
причину мы выяснили, из за чего выскакивает ошибка.
Приоритетность контроллеров домена
Давайте теперь посмотрим, какой из контроллеров домена является для вашего сервера самым авторитетным, ранее я уже рассказывал как определить какой domain controller вас авторизовал, но нам нужен авторитет в вашем домене и возможность обращение к нему по LDAP. Делается это командой
nltest /dnsgetdc:ваше имя домена
Я вижу что у меня это dc2, его ip адрес мне и понадобится.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Так же нужно проверить доступность DC по протоколу RPC, с помощью команды
nltest /dsgetdc:ваше имя домена
доступность DC по протоколу RPC
В данном случае проблем я не обнаружил. Пилим дальше.
Настройка DNS на внешнем сетевом интерфейсе
Так как мы выяснили ip адрес контроллера домена, что нас авторизовывал, его мы и пропишем в качестве DNS сервера на внешнем сетевом интерфейсе. В свойствах ipv4 прописываем его как основной DNS сервер. Напомню, что для разрешения внешних имен у вас должна быть настроена рекурсия на ДНС сервере.
настройка dns сервера
Теперь снова выполним команду nslookup и видим, что теперь внутренние имена разрешаются внутренним DNS сервером.
выполнение nslookup
Выполним теперь обновление групповой политики с помощью данной команды
Видим, что все обновилось корректно и проблема при обработке групповой политики, об этом сообщает событие с кодом ID 1502. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2 ушла.
обновление GP
Из скрина выше видно что прилетели 24 политики. На этом все. Материал сайта pyatilistnik.org
- Remove From My Forums
-
Question
-
Hi,
I am getting intermittent issues with Windows 10 where the computer policies do not apply at startup and Group Policy 1055 error is logged in the system log along with Netlogon 5719 which having read online I didn’t think this was meant to be logged on Windows
10.I have tried the startup wait time but this has had no effect.
Please help.
All replies
-
Every time this happens their seems to be the following error starting it all off
The nsi service was unable to log on as NT AuthorityLocalService with the currently configured password due to the following error:
A specified logon session does not exist. It may already have been terminated.
To ensure that the service is configured properly, use the Services snap-in in Microsoft Management Console (MMC).
By the time I am able to login it is all started. I currently have this on 2 machines. I had it on another until I rebuilt it. Don’t know what to do just keep rebuilding them until they work. No problems like this until windows 10. Drivers are for Windows 10.
-
- Edited by
Tuesday, May 31, 2016 6:53 AM
- Edited by
-
No have reset computer account, completely deleted…. Thinking of trying putting in a dedicated NIC Card.
-
I have tried a new network card and it makes no difference.. It seems to be a race condition where the nsi service doesn’t start until a bit later followed by DHCP etc…presumably as long as nothing has changed the computer has the group policies anyway?
I’m more worried about the loopback policy working as printers are deployed via the user policies on the computer policy…I haven’t actually had any complaints about things not working from users, I just feel I shouldn’t be receiving these errors? They are very intermittent, 1 in 10 startups I would say…
Should I just not worry? I have rebuilt the machine, tried various registry keys and startup policy time policies, a new nic card…..
-
Any ideas this is still a problem just on a certain type of PC, have tried different drivers etc, is it possible to set group policy to reapply is it fails?
-
Hi John555444,
«Group Policy 1055 error is logged in the system log along with Netlogon 5719 «
I found a article that indicates this behavior is caused by a race condition between network initialization, locating a Domain Controller and processing Group Policy. To workaround the issue, you can set a registry value to delay the application of Group Policy.Please check the following link for detailed information. Hope it is helpful.
https://support.microsoft.com/en-sg/kb/2421599Best regards
Please
mark the reply as an answer if you find it is helpful.
If you have feedback for TechNet Support, contact
tnmff@microsoft.com
- Remove From My Forums
-
Question
-
Hi,
I am getting intermittent issues with Windows 10 where the computer policies do not apply at startup and Group Policy 1055 error is logged in the system log along with Netlogon 5719 which having read online I didn’t think this was meant to be logged on Windows
10.I have tried the startup wait time but this has had no effect.
Please help.
All replies
-
Every time this happens their seems to be the following error starting it all off
The nsi service was unable to log on as NT AuthorityLocalService with the currently configured password due to the following error:
A specified logon session does not exist. It may already have been terminated.
To ensure that the service is configured properly, use the Services snap-in in Microsoft Management Console (MMC).
By the time I am able to login it is all started. I currently have this on 2 machines. I had it on another until I rebuilt it. Don’t know what to do just keep rebuilding them until they work. No problems like this until windows 10. Drivers are for Windows 10.
-
- Edited by
Tuesday, May 31, 2016 6:53 AM
- Edited by
-
No have reset computer account, completely deleted…. Thinking of trying putting in a dedicated NIC Card.
-
I have tried a new network card and it makes no difference.. It seems to be a race condition where the nsi service doesn’t start until a bit later followed by DHCP etc…presumably as long as nothing has changed the computer has the group policies anyway?
I’m more worried about the loopback policy working as printers are deployed via the user policies on the computer policy…I haven’t actually had any complaints about things not working from users, I just feel I shouldn’t be receiving these errors? They are very intermittent, 1 in 10 startups I would say…
Should I just not worry? I have rebuilt the machine, tried various registry keys and startup policy time policies, a new nic card…..
-
Any ideas this is still a problem just on a certain type of PC, have tried different drivers etc, is it possible to set group policy to reapply is it fails?
-
Hi John555444,
«Group Policy 1055 error is logged in the system log along with Netlogon 5719 «
I found a article that indicates this behavior is caused by a race condition between network initialization, locating a Domain Controller and processing Group Policy. To workaround the issue, you can set a registry value to delay the application of Group Policy.Please check the following link for detailed information. Hope it is helpful.
https://support.microsoft.com/en-sg/kb/2421599Best regards
Please
mark the reply as an answer if you find it is helpful.If you have feedback for TechNet Support, contact
tnmff@microsoft.com
На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды
gpupdate /force
и увидел такую ошибку в консоли:
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.
Computer policy could not be updated successfully. The following errors were encountered: The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.
При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):
Log Name: System Source: Microsoft-Windows-GroupPolicy Event ID: 1096 Level: Error User: SYSTEM
Если попробовать выполнить диагностику применения GPO с помощью команды gpresult (
gpresult.exe /h c:temptgpresultreport.html
), видно что не применяется только настройки из раздела Group Policy Registry —
Failed
:
Registry failed due to the following error listed below. Additional information may have been logged. Review the Policy Events tab in the console or the application event log.
Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.
Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:WindowsSystem32GroupPolicyMachine и переименуйте его в registry.bak.
Можно переименовать файл из командой строки:
cd "C:WindowsSystem32GroupPolicyMachine"
ren registry.pol registry.bak
Обновите настройки групповых политик командой:
gpupdate /force
Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.
Если в журнале вы видите событие Event ID 1096 (
The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://
) c ErrorCode 13 и описанием “
The data is invalid
”, значит проблема связана с доменной GPO, указанной в ошибке.
Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:
Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7
- Запустите консоль управления доменными GPO (gpmc.msc) и проверьте, что политика существует;
- Проверьте, что в каталоге SYSVOL политики есть файлы registry.pol и gpt.ini и они доступны на чтение (проверьте NTFS права);
- Проверьте, что версия политики на разных контроллерах домена одинакова (проверьте корректность работы домена и репликации в AD);
- Удалите файлы GPO в SYSVOL на контроллере домена, с которого получает политику клиент (
$env:LOGONSERVER
), и дождитесь ее репликации с соседнего DC - Если предыдущие способы не помогут, пересоздайте GPO или восстановите ее из бэкапа.