希望有人能帮助,因为我用头撞砖墙。
问题
组策略计算机configuration不适用于除DC之外的任何计算机,用户策略正在应用。
历史
有人build立这个领域,它可能是这样一段时间,但考虑到他们不使用许多GPO和用户权利等似乎不受影响,他们似乎没有注意到。 在本周早些时候,我不得不手动重新创build已经被删除(或者可能从来不存在)的_msdcs域名,以使域名连接正常工作,这个问题很可能是这个问题的后遗症,或者这个域名存在其他严重缺陷,我只是无法弄清楚他们可能是什么或如何解决这些问题。
初始错误细节
gpupdate在针对用户(/ TARGET:用户)时处理得很好,但在针对计算机时不会处理,它会生成一个通用错误,并指向详细信息部分以获取更多信息:
一般错误
组策略的处理失败。 Windows试图为此用户或计算机检索新的组策略设置。 查看错误代码和描述的详细信息选项卡。 Windows将在下一个刷新周期自动重试此操作。 join域的计算机必须具有适当的名称parsing和networking连接到域控制器才能发现新的组策略对象和设置。 组策略成功时将logging一个事件。
详细的错误
ErrorCode 8341
ErrorDescription发生目录服务错误。
DCName \ SERVER01.domain.local
我所试过的
我一直在理解,这个错误是由计算机没有通过身份validation与DC作为计算机帐户访问GPO所造成的。 所以我试过了:
我也看过域名的健康,因为这是以前的问题(见历史),但我没有得到很大的修复问题,公元最佳实践分析师注意到在域中的一些错误,我正在计划服务器重启一夜之间希望能够解决这些问题,这里有太多无法轻松发布的地方,但是它们都与DNSlogging没有正确注册,以便将DC标识为主目录,kerberos服务器和其他域function。
潜在的想法
我目前的想法是,修复域名(考虑到它的一个活跃的领域,我们不能绕过太多激烈的事情,特别是在工作时间)以某种方式将解决这个问题,但我已经超出了我的深度需要修理或如何去做。
任何build议,将不胜感激,对不起这么长的一个post!
这个问题(如评论者所build议的那样)与最佳实践分析器中的错误有关。
domain.local域不是AD集成的,因此DC没有设法使logging成为允许域计算机find相关服务的必要条件。
我将域更改为Active Directory Integrated,然后运行“ipconfig / flushdns”和“ipconfig / registerdns”并重新启动DC上的netlogon服务。
这解决了GPO问题和Active Directory最佳实践错误