Diagnostika príčin dlhodobého používania GPO v systéme Windows

Pomalé načítanie počítača spôsobené dlhou aplikáciou skupinových politík je jedným z bežných problémov v doméne, na ktorú sa používatelia sťažujú. Z pohľadu užívateľa sa počítač topánky spúšťajú veľmi dlho a zdá sa, že na niekoľkých minútach zamrznú.Aplikácia nastavení počítača / používateľaV tomto článku sa pokúsim zhromaždiť užitočné diagnostické nástroje a techniky, ktoré správcovi umožnia zistiť dôvody pomalého používania GPO v počítačoch s doménami..

V skutočnosti môže existovať veľa dôvodov, prečo počítač používa skupinové politiky už dlhší čas: sú to problémy s DNS, dostupnosťou a rýchlosťou pripojenia k DC, nesprávna konfigurácia AD serverov alebo problémy s replikáciou, nesprávne nakonfigurované skupinové politiky a skrivené skripty atď. n. Je problematické opísať univerzálny algoritmus na diagnostiku všetkých týchto problémov. Pri riešení týchto problémov spravidla hrajú veľkú úlohu skúsenosti a zručnosti odborníka na diagnostiku. V tomto článku sa zameriame iba na diagnostiku problémov spojených so samotnými mechanizmami klienta GPO a GPClient..

obsah:

  • Blokovanie dedičstva skupinovej politiky
  • Zobraziť podrobné správy na zavádzacej obrazovke
  • Správa o výsledku GPR
  • Analýza udalostí skupinovej politiky vo Windows Syslogs
  • Protokol ladenia služby GPSVC
  • Protokoly ladenia denníkov predvolieb skupinovej politiky

Blokovanie dedičstva skupinovej politiky

Ak sa chcete ubezpečiť, že problém súvisí konkrétne s doménami GPO, vytvorte v doméne samostatnú organizačnú jednotku, preneste do nej problémový počítač a pomocou konzoly riadenia politiky skupiny (GPMC.msc) zablokujte zdedenie politík pre tento kontajner (blok dedičstvo). Všetky zásady domény tak prestanú fungovať v počítači (výnimkou sú politiky, pre ktoré je povolený vynútený režim) .

Reštartujte počítač a skontrolujte, či pretrváva problém s dlhodobým používaním GPO. Ak je zachovaný, pravdepodobne ide o problém so samotným počítačom alebo s miestnymi politikami (skúste ich resetovať na predvolené)..

Zobraziť podrobné správy na zavádzacej obrazovke

V systéme Windows na zavádzacej obrazovke systému môžete povoliť zobrazenie rozšírených informácií o stave, čo používateľom a správcovi umožní vizuálne pochopiť, v ktorej fáze sa počítač začne stretávať s najväčším oneskorením. Keď povolíte túto politiku, vrátane informácií o použitých komponentoch GPO sa začnú zobrazovať..
Túto politiku môžete povoliť v nasledujúcej časti GPO:

  • v systéme Windows 7 / Vista: Konfigurácia počítača -> Zásady -> Systém -> Prehľadné verzus normálne správy o stave = Povolené
  • v systéme Windows 8/10: Konfigurácia počítača -> Zásady -> Systém -> Zobraziť vysoko podrobné správy o stave = Povolené

Rovnaký parameter je možné aktivovať prostredníctvom registra vytvorením parametra DWORD s názvom HORD v vetve HKEY_LOCAL_MACHINE \ SOFTWARE Microsoft \ Windows \ CurrentVersion \ Policies \ System s názvom verbosestatus a hodnota 1.

V dôsledku toho sa počas procesu sťahovania zobrazia na obrazovke nasledujúce správy:

Správa o výsledku GPR

Výsledná politika, ktorá bola použitá v počítači, by sa mala analyzovať pomocou správy gpresult HTML, ktorú je možné vytvoriť pomocou príkazu spusteného s právami správcu:

gpresult / h c: \ ps \ gpreport.html

Táto správa je dostatočne pohodlná na analýzu a pri používaní GPO môže obsahovať odkazy na rôzne chyby.

Tiež v sekcii správy počítačový Podrobnosti -> komponentov postavenie K dispozícii sú užitočné údaje o čase (v ms) aplikácie rôznych zložiek GPO vo forme:

Súbory zásad skupiny (N / A) 453 milisekúnd 18/18/2017 14:10:01 Zobraziť denník
Zložky skupinovej politiky (N / A) 188 milisekúnd 18.01.2017 14:10:00 Zobraziť denník
Skupinová politika Miestni používatelia a skupiny (N / A) 328 milisekúnd 18/18/2017 14:10:00 Zobraziť denník
Register zásad skupiny (N / A) 171 milisekúnd 18.01.2017 14:10:01 Zobraziť denník
Úlohy naplánované v rámci skupinovej politiky (N / A) 343 milisekúnd 01/18/2017 14:10:01 Zobraziť denník
Skripty (N / A) 156 milisekúnd 1/18/2017 14:09:04 Zobraziť denník
Zabezpečenie (N / A) 3 sekundy 495 milisekúnd 1/18/2017 14:09:08 Zobraziť denník
Register (N / A) 18 sekúnd 814 milisekúnd 18.01.2017 14:10:00 Zobraziť denník

Analýza udalostí skupinovej politiky vo Windows Syslogs

Protokol udalostí s identifikátorom udalosti v protokole udalostí pomalých politík 6006 zo zdroja Winlogon s textom:

Predplatiteľ upozornenia na Winlogon strávil 3594 sekúnd. Odberateľ upozornenia na Winlogon trvalo 3594 sekúnd, aby zvládol udalosť oznámenia (CreateSession)..

Podľa tejto udalosti musel používateľ čakať na uplatňovanie skupinových pravidiel pri načítaní počítača takmer hodinu ...

Vo Windows 7 / Windows 2008 R2 a novších sú všetky udalosti súvisiace s procesom uplatňovania skupinových politík na klientovi dostupné v denníku udalostí Event Viewer (eventvwr.msc) v sekcii  Protokoly aplikácií a služieb -> Microsoft -> Windows -> Protokoly aplikácií a služieb -> Zásady skupiny -> Prevádzkové.

poznámka. V systémovom protokole zostali iba udalosti týkajúce sa fungovania klientskej služby skupinovej politiky (gpsvc).

Nasledujúce analyzátory udalostí budú užitočné pri analýze časov na presadzovanie pravidiel:

  • diania 4016 a 5016 ukazujú čas začiatku a nadhodnotenia procesu spracovania rozšírení aplikácie GPO, pričom druhá ukazuje celkovú dĺžku spracovania rozšírenia. Napríklad na obrázku nižšie bol pre udalosti 4016 a 5016 povolený filter skupinovej politiky -> Prevádzkový denník. Čas spracovania môžete vidieť z udalosti 5016. Rozšírenie lokálnych používateľov a skupín o komponente GPO bolo dokončené o 1357 ms.

  • udalosť 5312 obsahuje zoznam uplatňovaných politík av prípade potreby 5317 existuje zoznam filtrovaných objektov GPO.
  • V prípade udalostí 8000 a 8001 obsahuje čas spracovania počítača a užívateľské politiky, keď sa počítač zavedie. A v udalostiach 8006 a 8007 existujú údaje o tom, kedy sa uplatňujú pravidlá počas pravidelných aktualizácií. Spracovanie politiky spúšťania počítača pre CORP \ pc212333 $ po dobu 28 s bolo dokončené.

Pri analýze protokolu je tiež užitočné pozrieť sa na čas uplynutý medzi dvoma susednými udalosťami, čo môže pomôcť odhaliť problémovú zložku.

Protokol ladenia služby GPSVC

V niektorých situáciách môže byť užitočné povoliť ladenie protokolovania spracovania GPO - gpsvc.log. Používanie časových pečiatok v súbore gpsvc.log nájdete komponenty GPO, ktoré fungujú už dlhú dobu.

Protokoly ladenia denníkov predvolieb skupinovej politiky

Rozšírenia predvolieb skupinovej politiky môžu tiež protokolovať podrobné protokoly sťahovania pre každú súčasť CSE (rozšírenia na strane klienta). Protokoly ladenia CSE možno povoliť v sekcii GPO: Konfigurácia počítača -> Zásady -> Šablóny pre správu-> Systém-> Zásady skupiny -> Protokolovanie a sledovanie

Ako vidíte, pre každý VVN sú k dispozícii individuálne nastavenia. V nastaveniach politiky môžete určiť typ udalostí zapísaných do denníka (informačné, chyby, upozornenia alebo všetky), maximálnu veľkosť denníka a umiestnenie denníka:

  • Súbor politiky sledovania používateľa% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ User.log
  • Sledovanie súboru počítačových politík% SYSTEMDRIVE% \ ProgramData \ GroupPolicy \ Preference \ Trace \ Computer.log

rada. V prípade, že nemáte podsekciu Protokolovanie a sledovanie v sekcii Zásady skupiny konzoly gpedit / GPMC, budete si musieť stiahnuť a nainštalovať šablóny ADMX Preferences Group Policy Preferences a skopírovať GroupPolicyPreferences.admx z% PROGRAMFILES% \ Microsoft Group Policy do miestneho adresára PolicyDefinitions alebo do centrálneho adresára PolicyDefinitions na SYSVOL.

Po zhromaždení protokolov ich musíte analyzovať na chyby a tiež sa snažiť nájsť susedné udalosti, ktorých doba sa líši o niekoľko minút..

V tomto článku sme preto skúmali hlavné spôsoby diagnostikovania problémov dlhodobého používania skupinových politík v počítačoch s doménami. Dúfam, že tento článok bude užitočný.