Pomalé načítání počítače způsobené dlouhou aplikací skupinových zásad je jedním z běžných problémů v doméně, na kterou si uživatelé stěžují. Z pohledu uživatele se počítač bootuje po velmi dlouhou dobu a zdá se, že na několika minutách zamrzne.Použití nastavení počítače / uživateleV tomto článku se pokusím shromáždit užitečné diagnostické nástroje a techniky, které správci umožní zjistit důvody pomalého používání GPO v počítačích domény..
Ve skutečnosti může existovat mnoho důvodů, proč počítač dlouhodobě používá skupinové zásady: jsou to problémy s DNS, dostupností a rychlostí připojení k DC, nesprávná konfigurace webů AD nebo problémy s replikací, nesprávně nakonfigurované skupinové zásady a křivé skripty atd. .p. Je problematické popsat univerzální algoritmus pro diagnostiku všech těchto problémů. Při řešení těchto problémů zpravidla hrají velkou roli zkušenosti a dovednosti specialisty v diagnostice. V tomto článku se zaměříme pouze na diagnostiku problémů souvisejících s klientskými mechanismy GPO a GPClient..
Obsah:
- Blokování dědičnosti zásad skupiny
- Zobrazení podrobných zpráv na spouštěcí obrazovce
- GPResult Report
- Analýza událostí zásad skupiny ve Windows Syslogs
- Protokol ladění služby GPSVC
- Protokoly ladění protokolu skupinových předvoleb
Blokování dědičnosti zásad skupiny
Chcete-li se ujistit, že problém souvisí konkrétně s doménami GPO, vytvořte v doméně samostatný OU, přeneste do něj problémový počítač a pomocí konzoly Správa zásad skupiny (GPMC.msc) povolte blokování dědičnosti zásad pro tento kontejner (Blok Dědičnost) Všechny zásady domény tak přestanou fungovat v počítači (výjimkou jsou zásady, u kterých je povolen režim Vynucený) .
Restartujte počítač a zkontrolujte, zda problém s dlouhým používáním GPO přetrvává. Pokud je zachován, nejpravděpodobnější je problém se samotným počítačem nebo s místními zásadami (zkuste je resetovat na výchozí).
Zobrazení podrobných zpráv na spouštěcí obrazovce
V systému Windows můžete na úvodní obrazovce systému povolit zobrazení rozšířených informací o stavu, které uživatelům a správci umožní vizuálně pochopit, v jaké fázi počítač začne zaznamenávat největší zpoždění. Pokud tuto zásadu povolíte, začnou se zobrazovat informace o použitých komponentách GPO..
Tuto zásadu můžete povolit v následující části GPO:
- v systému Windows 7 / Vista: Konfigurace počítače -> Zásady -> Systém -> Podrobná vs normální stavové zprávy = Povoleno
- v systému Windows 8/10: Konfigurace počítače -> Zásady -> Systém -> Zobrazit velmi podrobné zprávy o stavu = Povoleno
Stejný parametr lze aktivovat prostřednictvím registru vytvořením parametru DWORD s názvem HORD v větvi HKEY_LOCAL_MACHINE \ SOFTWARE Microsoft \ Windows \ CurrentVersion \ Policies \ System s názvem verbosestatus a hodnotu 1.
Výsledkem je, že během procesu stahování se na obrazovce zobrazí následující zprávy:
GPResult Report
Výsledná zásada, která byla použita v počítači, by měla být analyzována pomocí sestavy gpresult HTML, kterou lze vytvořit pomocí příkazu spuštěného s právy správce:
gpresult / h c: \ ps \ gpreport.html
Tato zpráva je dostatečně vhodná pro analýzu a může při použití GPO obsahovat odkazy na různé chyby.
Také v sekci zprávy Počítač Podrobnosti -> Komponenta Stav Existují užitečné údaje o době (v ms) aplikace různých složek GPO ve formě:
Soubory zásad skupiny (N / A) 453 milisekund (s) 01/18/2017 14:10:01 Zobrazit protokol
Složky zásad skupiny (N / A) 188 milisekund (s) 01/18/2017 14:10:00 Zobrazit protokol
Skupinová politika Místní uživatelé a skupiny (N / A) 328 milisekund (s) 01/18/2017 14:10:00 Zobrazit protokol
Registr zásad skupiny (N / A) 171 milisekund 01/18/2017 14:10:01 Zobrazit protokol
Úkoly naplánované v zásadách skupiny (N / A) 343 milisekund (s) 01/18/2017 14:10:01 Zobrazit protokol
Skripty (N / A) 156 milisekund 1/18/2017 14:09:04 Zobrazit protokol
Zabezpečení (N / A) 3 sekundy 495 milisekund 1/18/2017 14:09:08 Zobrazit protokol
Registr (N / A) 18 sekund 814 milisekund 01/18/2017 14:10:00 Zobrazit protokol
Analýza událostí zásad skupiny ve Windows Syslogs
Protokol událostí s EventID v protokolu událostí pomalých zásad 6006 ze zdroje Winlogon s textem:
Odběratel upozornění na winlogon strávil 3594 sekund. Odběratel upozornění na winlogon trvalo 3594 sekund, než vyřídil událost oznámení (CreateSession).Podle této události musel uživatel čekat na aplikaci skupinových zásad při načítání počítače téměř hodinu ...
Ve Windows 7 / Windows 2008 R2 a vyšších jsou všechny události související s procesem uplatňování skupinových zásad na klientovi k dispozici v protokolu událostí Prohlížeče událostí (eventvwr.msc) v sekci Protokoly aplikací a služeb -> Microsoft -> Windows -> Protokoly aplikací a služeb -> Zásady skupiny -> Provozní.
Poznámka:. V systémovém protokolu zůstaly pouze události související s fungováním služby Group Policy Client (gpsvc).Následující analyzátory EventID budou užitečné pro analýzu doby vynucení zásad:
- Události 4016 a 5016 ukazují čas začátku a nadhodnocení procesu zpracování rozšíření aplikace GPO, druhá ukazuje celkovou dobu zpracování rozšíření. Například na níže uvedeném snímku byl povolen filtr Zásady skupiny -> Provozní deník pro události 4016 a 5016. Komponenta GPO Zpracování zásad skupiny Rozšíření místních uživatelů a skupin dokončeno za 1357 ms.
- Událost 5312 obsahuje seznam použitých politik a v případě události 5317 existuje seznam filtrovaných objektů GPO.
- V událostech 8000 a 8001 obsahuje čas zpracování počítače a uživatelské zásady při spuštění počítače. A v událostech 8006 a 8007 Existují údaje o době, kdy jsou zásady aplikovány během periodických aktualizací. Zpracování spouštěcí zásady počítače pro CORP \ pc212333 $ po dobu 28 s bylo dokončeno.
Při analýze protokolu je také užitečné podívat se na čas uplynutý mezi dvěma sousedními událostmi, což může pomoci odhalit problémovou komponentu.
Protokol ladění služby GPSVC
V některých situacích může být užitečné povolit protokolování ladění zpracování GPO - gpsvc.log. Používání časových razítek v souboru gpsvc.log najdete komponenty GPO, které fungují již dlouhou dobu.
Protokoly ladění protokolu skupinových předvoleb
Rozšíření předvoleb zásad skupiny mohou také protokolovat podrobné protokoly stahování pro každou komponentu CSE (Client-Side Extensions). Protokoly ladění CSE lze povolit v sekci GPO: Konfigurace počítače -> Zásady -> Šablony pro správu-> Systém-> Zásady skupiny -> Protokolování a sledování
Jak vidíte, jednotlivá nastavení jsou dostupná pro každý VVN. V nastavení zásad můžete určit typ událostí zapsaných do protokolu (informační, chyby, varování nebo všechny), maximální velikost protokolu a umístění protokolu:
- Soubor zásad sledování uživatele% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ User.log
- Soubor zásad sledování počítače% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ Computer.log
Po shromáždění protokolů je musíte analyzovat na chyby a také se pokusit najít sousední události, jejichž doba se liší o několik minut.
V tomto článku jsme tedy zkoumali hlavní způsoby diagnostiky problémů dlouhodobého používání skupinových zásad v počítačích domény. Doufám, že tento článek bude užitečný.