Устранение неполадок групповой политики с помощью журналов событий

Руководство по оперативному устранению неполадок групповой политики

1. Начните с просмотра событий групповой политики, зарегистрированных в журнале системных событий.

   • События со статусом Предупреждение предоставляют Вам информацию о дальнейших действиях, помогающих поддерживать работоспособность службы групповой политики.

   • События со статусом Ошибка содержат информацию, описывающую возникшую проблему и ее возможные причины.

   • Используйте ссылку Веб-справка журнала, которая имеется в каждом событии. По этой ссылке Вы перейдете в раздел поддержки на веб-узле Microsoft TechNet, где Вы сможете получить информацию об известных причинах возникшей ошибки, а также о необходимых действиях по ее устранению. Данный раздел обновляется корпорацией Microsoft по мере получения новой информации.

   • Используйте вкладку Подробности для просмотра кодов и описаний ошибок.

   • Используйте операционный журнал групповой политики.

2. Используйте операционный журнал групповой политики.

   • Определите код Activity ID экземпляра групповой политики, при обработке которого возникли неполадки.

   • Создайте настраиваемое представление для операционного журнала.

   • Разделите все события на три стадии: предварительная обработка, основная обработка и пост-обработка.

   • Надлежащим образом сгруппируйте каждое событие начала определенного процесса и соответствующее событие его завершения. Изучите все предупреждения и сообщения об ошибках.

   • Выделите все зависимые компоненты и произведите их диагностику.

   • Выполните обновление групповой политики, воспользовавшись командой GPUPDATE. Повторите перечисленные выше шаги и выясните, остались ли в операционном журнале предупреждения или сообщения об ошибках.

   Важно

   При обновлении групповой политики изменяется код Activity ID, поэтому не забудьте обновить Ваше пользовательское представление, изменив в нем код Activity ID на текущий.

Дополнительная информация по устранению неполадок групповой политики

Связь с контроллером домена

В процессе своей работы служба групповой политики взаимодействует с контроллером домена. Для обнаружения контроллера домена используется разрешение DNS-имен. Службой групповой политики регистрируется достаточное количество предупреждений и сообщений об ошибках, помогающих выявить проблемы связи с контроллерами домена. Используйте вкладку Подробности для просмотра кода и описания возникшей ошибки. Рассмотрим, например, сообщение об ошибке с кодом события 1030, зарегистрированное в журнале системных событий. Данное событие наступает в том случае, если не был получен ответ на запрос информации об объекте GPO, как правило, из-за того, что службе групповой политики не удалось установить связь с контроллером домена. Тем не менее, кодом ошибки, содержащимся в подробном описании этого сообщения, будет являться число 1335, что часто указывает на проблему с разрешением DNS-имен, а не с контроллером домена.

Также большинство событий содержат имя контроллера домена, к которому пытается обратиться служба групповой политики. Для выяснения имени контроллера домена прочтите описание события или раскройте узел DCname на вкладке Подробности. Эта информация поможет Вам определить, связана ли возникшая проблема с данным контроллером домена.

Временные задержки, предположительно связанные с групповой политикой

Групповая политика применяется к компьютеру вскоре после загрузки операционной системы, а к пользователю – после его входа в систему. Возникновение временных задержек при входе пользователя в систему часто можно связать с обработкой групповой политики. Операционный журнал групповой политики позволяет Вам точнее определить, является ли обработка групповой политики причиной возникающих задержек. Если Вы подозреваете, что причиной временных задержек при входе пользователя в систему является групповая политика, ознакомьтесь со следующей информацией.

• Служба групповой политики, работающая в режиме синхронной обработки, может вызывать задержки во время входа пользователя в систему. Такое поведение заложено в работу операционной системы, поскольку синхронная обработка не позволяет завершиться процессу входа пользователя в систему прежде, чем завершится обработка групповой политики. Просмотрите информацию на вкладке Подробности событий запуска групповой политики (коды событий 4000-4007). Информация, содержащаяся в узлах IsBackgroundProcessing и IsAsyncProcessing, может помочь Вам выяснить, в каком режиме происходит обработка групповой политики. Кроме этого, эта информация содержится в событиях о состоянии сетевого подключения (коды событий 5314, 6314) в узле PolicyApplicationMode на вкладке Подробности.

• Каждое событие завершения работы определенного процесса содержит информацию о времени выполнения, выраженное в миллисекундах. Эта же информация содержится в узле ProcessingTimeInMilliseconds на вкладке Подробности. С помощью этой информации Вы можете определить, сколько времени заняло выполнение каждого сценария или этапа обработки групповой политики.

• Для обработки некоторых параметров групповой политики требуется больше времени, чем для обработки других параметров. Обычно такие параметры обрабатываются в синхронном режиме. Например, если Вы проводите развертывание программного обеспечения на компьютерах пользователей, то с большой вероятностью Вы можете ожидать увеличения времени обработки групповой политики. Служба групповой политики ожидает завершения установки программного обеспечения и только после этого переходит к следующему сценарию или этапу обработки групповой политики.

Утилита GPLogView

Часто диагностировать работу групповой политики удобнее не с помощью программы просмотра событий, а с помощью обычного текстового файла. В действительности экспорт журналов в текстовые файлы может являться единственным способом диагностики удаленных компьютеров. GPLogView – это утилита, предназначенная для экспорта событий службы групповой политики из журнала системных событий и из операционного журнала групповой политики в текстовые файлы, а также в файлы формата *.HTML или *.XML. Вы можете загрузить утилиту GPLogView из центра загрузки Microsoft по следующей ссылке: http://go.microsoft.com/fwlink/?LinkId=75004. Ниже приведены примеры наиболее часто используемых параметров утилиты GPLogView и их синтаксис.

Пример 1. Экспорт всех событий групповой политики в текстовый файл

Вы можете использовать утилиту GPLogView для экспорта всех событий групповой политики из журнала системных событий, а также из операционного журнала групповой политики.

gplogview -o gpevents.txt

Пример 2. Экспорт событий групповой политики с определенным идентификатором операции Activity ID

Утилита GPLogView позволяет фильтровать события групповой политики на основе идентификатора операции Activity ID. Данная возможность полезна при диагностировании определенного экземпляра обработки групповой политики.

gplogview -a 8A7C7CE5-F7D0-4d32-8700-57C650A53839 -o gpevents.txt

Пример 3. Запуск монитора в режиме реального времени

С помощью утилиты GPLogView Вы можете отслеживать события групповой политики в реальном времени. В этом режиме все регистрируемые события групповой политики отображаются в окне командной строки. Для выхода из режима монитора нажмите комбинацию клавиш CTRL+C или нажмите клавишу Q, а затем клавишу ENTER.

gplogview -m

Увеличить рисунок

Рисунок 3 – Работа утилиты GPLogView в режиме монитора

Пример 4. Экспорт внешнего журнала событий в текстовый файл

По умолчанию утилита GPLogView считывает данные из журналов событий локального компьютера. Тем не менее, Вы можете экспортировать данные из журнала событий, полученного с другого компьютера под управлением Windows Vista. Это дает Вам возможность работать с несколькими представлениями журналов групповой политики, обработка которой выполнялась на другом компьютере.

gplogview -i savedevents.evtx -o gpevents.txt

Эти и другие параметры утилиты GPLogView Вы можете посмотреть, вызвав справку в командной строке.

gplogview -?