Ereignis 1055 GroupPolicy kann die Computerkonfiguration nicht auf den Mitgliedscomputer anwenden - Wie Man

Ereignis 1055 GroupPolicy kann die Computerkonfiguration nicht auf den Mitgliedscomputer anwenden

Neulich kam ein Ingenieur zu mir mit einem besonderen Problem, bei dem sie die Gruppenrichtlinien auf einigen ihrer neuen Server durchführten. Die Server liefen 2008 R2 und wurden für SCSM konfiguriert. Der Techniker konnte die Benutzerrichtlinien problemlos ziehen, die Computerrichtlinie schlug jedoch jedes Mal mit demselben Fehler fehl: Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen. Windows konnte den Computernamen nicht auflösen. Dies kann durch eine oder mehrere der folgenden Ursachen verursacht werden: a) Fehler bei der Namensauflösung auf dem aktuellen Domänencontroller. b) Active Directory-Replikationswartezeit (ein Konto, das auf einem anderen Domänencontroller erstellt wurde, wurde nicht auf den aktuellen Domänencontroller repliziert).

4 Schritte insgesamt

Schritt 1: Sammeln von Protokollen und Fehlercodes

Als Erstes habe ich angefangen, alle anwendbaren Fehlercodes zu überprüfen (diese wurden von meinen Umgebungsdaten bereinigt und um Platz zu sparen):

1055
0
2
0
1
26054
System
computer.contoso.local

1
1632
0
1653
1317
Das angegebene Konto ist nicht vorhanden.
EventID 1055
Version 0
Level 2
Aufgabe 0
Opcode 1
EventRecordID 26054
Kanalsystem
Computer computer.contoso.local
- Sicherheit
[UserID] S-1-5-18
- EventData
SupportInfo1 1
SupportInfo2 1632
Verarbeitungsmodus 0
ProcessingTimeInMilliseconds 1653
Fehlercode 1317
ErrorDescription Das angegebene Konto ist nicht vorhanden.

=========================

EventID 7017
- Sicherheit
[UserID] S-1-5-18
- EventData
OperationElaspedTimeInMilliSeconds 0
Fehlercode 1317
OperationDescription %% 4118
Parameter

Der Systemaufruf, um die Kontoinformationen abzuschließen.

Der Anruf ist nach 0 Millisekunden fehlgeschlagen.

========================

- System
EventID 7320
EventRecordID 54569
- Sicherheit
[UserID] S-1-5-18
- EventData
Fehlerbeschreibung %% 4115
Fehlercode 1317

Fehler: Abgerufene Kontoinformationen. Fehlercode 0x525.

=================================

- System
EventID 7320
EventRecordID 54570
- Sicherheit
[UserID] S-1-5-18
- EventData
Fehlerbeschreibung %% 4125
Fehlercode 1230

Fehler: Registrierung für Konnektivitätsbenachrichtigung fehlgeschlagen. Fehlercode 0x4CE.

============================

- System
EventID 7006
EventRecordID 54571
- Sicherheit
[UserID] S-1-5-18
- EventData
PolicyElaspedTimeInSeconds 1
Fehlercode 1317
PrincipalSamName contoso computer $
IsMachine 1
IsConnectivityFailure true

Die periodische Richtlinienverarbeitung für den Computer contoso computer $ ist in 1 Sekunde fehlgeschlagen.

======================================

Schritt 2: In den Kampf

Wenn ich mir die Protokolle anschaue, sehe ich immer den gleichen Fehlercode, 1317. Nach dem Nachschlagen sehe ich, dass es bedeutet: 1317; 0x525; ERROR_NO_SUCH_USER; Das angegebene Konto ist nicht vorhanden. Dieser Fehler wird ständig in Threads über die LDAP-Authentifizierung angezeigt. Daher frage ich mich, ob es sich um ein LDAP-Suchproblem handelt. Bei der Überprüfung finde ich keine Probleme, weder mit DNS noch mit WINS. Alle auschecken. Ich sehe, dass es "keinen solchen Benutzer" gibt. Ich frage mich, ob es ein Problem mit dem Computerkonto in der Domäne gibt. Beim Abfragen mit dem Techniker finde ich heraus, dass es nicht möglich ist, den Computer in die Domäne zu entleeren / einzufügen. Daher muss ich einen anderen Weg finden, um das Problem zu beheben.

Schritt 3: Ein Schwung und ein Fehlschlag

Ich fand ein Blog mit vielen ähnlichen Fehlern, die auf ein Problem mit der Sicherheit der RPC-Einstellungen hinweisen, die zu streng sind. Meine Gruppenrichtlinie legt diese Einstellungen auf eine sicherere Einstellung fest, jedoch nicht auf den Punkt "Authentifizierung ohne Ausnahmen", aber ich setze sie vorübergehend herab und teste. Kein Würfel.

Schritt 4: Beende ihn!

Ich habe also nach einem Tipp eines Kollegen gesucht, um die Sicherheitseinstellungen für das Computerobjekt in AD zu überprüfen (er hat versucht, das Computerkonto mit seinem Standardbenutzerkonto zu suchen und konnte es nicht finden, während ich mit meinem Administrator kam.) Konto, könnte (klingt nach einem Berechtigungsproblem). In diesem Fall hat jemand alle Berechtigungen für authentifizierte Benutzer und Netzwerkdienste aus dem Objekt entfernt, um das Objekt zu schützen. Nach dem Wiederherstellen der Leseberechtigungen für diese beiden Objekte funktioniert die Gruppenrichtlinie erneut.