Powolne ładowanie komputera, spowodowane długim stosowaniem zasad grupy, jest jednym z typowych problemów w domenie, na które narzekają użytkownicy. Z punktu widzenia użytkownika komputer uruchamia się bardzo długo i wydaje się, że zawiesza się na kilka minutStosowanie ustawień komputera / użytkownika". W tym artykule postaram się zebrać przydatne narzędzia i techniki diagnostyczne, które pozwalają administratorowi zidentyfikować przyczyny powolnego używania GPO na komputerach domeny.
W rzeczywistości może istnieć wiele powodów, dla których komputer od dłuższego czasu używa zasad grupy: są to problemy z DNS, dostępność i szybkość połączenia z DC, niewłaściwa konfiguracja witryn AD lub problemy z replikacją, niepoprawnie skonfigurowane zasady grupy i krzywe skrypty itp. .p. Problematyczne jest opisanie uniwersalnego algorytmu diagnozowania wszystkich tych problemów. W rozwiązywaniu takich problemów z reguły dużą rolę odgrywa doświadczenie i umiejętności specjalisty w dziedzinie diagnostyki. W tym artykule skupimy się wyłącznie na diagnozowaniu problemów związanych z samymi mechanizmami klienta GPO i GPClient..
Treść
- Blokowanie dziedziczenia zasad grupy
- Wyświetlaj szczegółowe komunikaty na ekranie startowym
- Raport GPResult
- Analiza zdarzeń zasad grupy w syslogach systemu Windows
- Dziennik debugowania usługi GPSVC
- Preferencje zasad grupy Dzienniki debugowania
Blokowanie dziedziczenia zasad grupy
Aby upewnić się, że problem dotyczy konkretnie obiektów zasad grupy w domenie, utwórz oddzielną jednostkę organizacyjną w domenie, przenieś do niej problematyczny komputer i użyj konsoli zarządzania zasadami grupy (GPMC.msc), aby umożliwić blokowanie dziedziczenia zasad dla tego kontenera (Blokuj Dziedziczenie) W ten sposób wszystkie zasady domeny przestaną działać na komputerze (wyjątkiem są zasady, dla których włączony jest tryb wymuszony) .
Uruchom ponownie komputer i sprawdź, czy problem z długim użytkowaniem obiektu zasad grupy nadal występuje. Jeśli zostanie zachowany, najprawdopodobniej problem dotyczy samego komputera lub lokalnych zasad (spróbuj zresetować je do wartości domyślnych).
Wyświetlaj szczegółowe komunikaty na ekranie startowym
W systemie Windows na ekranie rozruchowym systemu można włączyć wyświetlanie rozszerzonych informacji o stanie, co pozwala użytkownikom i administratorowi wizualnie zrozumieć, na którym etapie komputer zaczyna odczuwać największe opóźnienie. Po włączeniu tej zasady, w tym informacje o używanych składnikach obiektu zasad grupy zaczynają być wyświetlane..
Możesz włączyć tę zasadę w następującej sekcji obiektu zasad grupy:
- w systemie Windows 7 / Vista: Konfiguracja komputera -> Zasady -> System -> Pełne i normalne komunikaty o stanie = Włączone
- w systemie Windows 8/10: Konfiguracja komputera -> Zasady -> System -> Wyświetlaj bardzo szczegółowe komunikaty o stanie = Włączone
Ten sam parametr można aktywować przez rejestr, tworząc parametr DWORD o nazwie HORD w gałęzi HKEY_LOCAL_MACHINE \ SOFTWARE Microsoft \ Windows \ CurrentVersion \ Policies \ System o nazwie verbosestatus i wartość 1.
W rezultacie podczas pobierania na ekranie będą wyświetlane następujące komunikaty:
Raport GPResult
Wynikową zasadę zastosowaną na komputerze należy przeanalizować za pomocą raportu HTML gpresult, który można utworzyć za pomocą polecenia uruchomionego z uprawnieniami administratora:
gpresult / h c: \ ps \ gpreport.html
Ten raport jest wystarczająco wygodny do analizy i może zawierać łącza do różnych błędów podczas korzystania z obiektu zasad grupy.
Również w sekcji raportu Komputer Szczegóły -> Komponent Status Przydatne są dane dotyczące czasu (w ms) zastosowania różnych składników GPO w postaci:
Pliki zasad grupy (nie dotyczy) 453 milisekund (y) 01/18/2017 14:10:01 Wyświetl dziennik
Foldery zasad grupy (nie dotyczy) 188 milisekund (y) 18.01.2017 14:10:00 Wyświetl dziennik
Zasady grupy Lokalni użytkownicy i grupy (nie dotyczy) 328 milisekund (y) 18.01.2017 14:10:00 Wyświetl dziennik
Rejestr zasad grupy (nie dotyczy) 171 milisekund (y) 18.01.2017 14:10:01 Wyświetl dziennik
Zaplanowane zadania zasad grupy (nie dotyczy) 343 milisekund (y) 01/18/2017 14:10:01 Wyświetl dziennik
Skrypty (nie dotyczy) 156 milisekund (y) 18.01.2017 14:09:04 Wyświetl dziennik
Bezpieczeństwo (nie dotyczy) 3 sekund (y) 495 Milisekund (y) 18.01.2017 14:09:08 Wyświetl dziennik
Rejestr (nie dotyczy) 18 sekund (y) 814 milisekund (y) 01/18/2017 14:10:00 Zobacz dziennik
Analiza zdarzeń zasad grupy w syslogach systemu Windows
Dziennik zdarzeń z EventID w Dzienniku zdarzeń wolnych zasad 6006 ze źródła Winlogon z tekstem:
Subskrybent powiadomienia winlogon spędził 3594 sekundy. Subskrybent powiadomienia winlogon zajął 3594 sekund, aby obsłużyć zdarzenie powiadomienia (CreateSession).
Sądząc po tym zdarzeniu, użytkownik musiał czekać na zastosowanie zasad grupy podczas ładowania komputera przez prawie godzinę ...
W systemie Windows 7 / Windows 2008 R2 i nowszych wszystkie zdarzenia związane z procesem stosowania zasad grupy na kliencie są dostępne w dzienniku zdarzeń Podglądu zdarzeń (eventvwr.msc) w sekcji Dzienniki aplikacji i usług -> Microsoft -> Windows -> Dzienniki aplikacji i usług -> Zasady grupy -> Operacyjne.
Uwaga. W dzienniku systemu pozostały tylko zdarzenia związane z funkcjonowaniem usługi klienta zasad grupy (gpsvc).Następujące identyfikatory zdarzeń będą przydatne do analizy czasów egzekwowania zasad:
- Wydarzenia 4016 i 5016 pokaż czas rozpoczęcia i przeszacowania procesu przetwarzania rozszerzeń aplikacji GPO, przy czym ten ostatni pokazuje całkowity czas przetwarzania rozszerzenia. Na przykład na poniższym zrzucie ekranu filtr zasad grupy -> Dziennik operacyjny został włączony dla zdarzeń 4016 i 5016. Możesz zobaczyć czas przetwarzania dla tego zdarzenia ze zdarzenia 5016 Komponent GPO Przetwarzanie zasad grupy Rozszerzenie Lokalni użytkownicy i grupy zakończone w 1357 ms.
- Wydarzenie 5312 zawiera listę zastosowanych zasad oraz w przypadku 5317 istnieje lista odfiltrowanych obiektów GPO.
- W wydarzeniach 8000 i 8001 zawiera odpowiednio czas przetwarzania komputera i zasady użytkownika podczas uruchamiania komputera. I w wydarzeniach 8006 i 8007 istnieją dane dotyczące czasu stosowania zasad podczas okresowych aktualizacji. Przetwarzanie zasad rozruchu komputera dla CORP \ pc212333 $ przez 28 s zostało zakończone.
Analizując dziennik, warto również spojrzeć na czas, jaki upłynął między dwoma sąsiadującymi zdarzeniami, może to pomóc w wykryciu komponentu problemowego.
Dziennik debugowania usługi GPSVC
W niektórych sytuacjach przydatne może być włączenie rejestrowania debugowania przetwarzania GPO - gpsvc.log. Korzystanie ze znaczników czasu w pliku gpsvc.log można znaleźć składniki GPO, które działały przez długi czas.
Preferencje zasad grupy Dzienniki debugowania
Rozszerzenia Preferencji zasad grupy mogą także rejestrować szczegółowe dzienniki pobierania dla każdego komponentu CSE (Rozszerzenia po stronie klienta). Dzienniki debugowania CSE można włączyć w sekcji GPO: Konfiguracja komputera -> Zasady -> Szablony administracyjne-> System-> Zasady grupy -> Rejestrowanie i śledzenie
Jak widać, dla każdego CSE dostępne są indywidualne ustawienia. W ustawieniach zasad można określić typ zdarzeń zapisywanych w dzienniku (informacyjne, błędy, ostrzeżenia lub wszystkie), maksymalny rozmiar dziennika i lokalizację dziennika:
- Śledź plik zasad użytkownika% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ User.log
- Śledź plik zasad komputera% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ Computer.log
Po zebraniu dzienników musisz je przeanalizować pod kątem błędów, a także spróbować znaleźć sąsiednie zdarzenia, których czas różni się o kilka minut.
Dlatego w tym artykule przeanalizowaliśmy główne sposoby diagnozowania problemów związanych z długoterminowym stosowaniem zasad grupy na komputerach domeny. Mam nadzieję, że artykuł się przyda.
