Долгий вход в систему (применение личных параметров, AD)
  | Список форумов SYSAdmins.RU -> WINDOWS | На страницу 1, 2 След. |
| Автор | |||||
|---|---|---|---|---|---|
| EAX Новичок Зарегистрирован: 05.08.2013
|
| ||||
| Вернуться к началу |
| ||||
 | |||||
| Зарегистрируйтесь и реклама исчезнет! | |||||
| |||||
| Smileakafray Новичок Зарегистрирован: 28.07.2011
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| EAX Новичок Зарегистрирован: 05.08.2013
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| EAX Новичок Зарегистрирован: 05.08.2013
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| Smileakafray Новичок Зарегистрирован: 28.07.2011
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| EAX Новичок Зарегистрирован: 05.08.2013
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| devi1 Новичок
Зарегистрирован: 05.03.2011
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| EAX Новичок Зарегистрирован: 05.08.2013
|
| ||||
| Вернуться к началу |
| ||||
| |||||
| The_Dmitry Старожил форума
Зарегистрирован: 19.05.2003 |
| ||||
| Вернуться к началу |
| ||||
| |||||
| EAX Новичок Зарегистрирован: 05.08.2013 Разбираемся, почему могут медленно применяться групповые политики в WindowsМедленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе « Применение параметров компьютера / пользователя ». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена. На самом деле причин, из-за которых на компьютере долго применяются групповые политики может быть множество: это и проблемы с DNS, доступностью и скоростью подключения к DC, неправильной настройкой сайтов AD или проблемы с репликацией, неверно настроенные групповых политики и кривые скрипты и т.п. Проблематично описать универсальный алгоритм по диагностике всех этих проблем. При решении таких проблем, как правило, большую роль имеет опыт и навыки специалиста, производящего диагностику. В этой статье мы остановимся только на диагностики проблем, связанных с самими механизмами работы GPO и клиента GPClient. Блокирование наследования групповой политикЧтобы убедиться, что проблема связана именно с доменными GPO, создайте в домене отдельную OU, перенесите в нее проблемный компьютер и с помощью консоли Group Policy Management Console (GPMC.msc) включите блокирование наследование политик для данного контейнера ( Block Inheritance ). Таким образом на компьютер перестанут действовать все доменные политики (исключение — политики, для которых включен режим Enforced) . Перезагрузите компьютер и проверьте, сохранилась ли проблема с долгим применением GPO. Если сохранилась, вероятнее всего проблема с самим компьютером или локальными политиками (попробуйте их сбросить на дефолтные). Вывод подробных сообщений на экране загрузкиВ Windows на экране загрузки системы можно включить отображение расширенной статусной информации, позволяющей пользователям и администратору визуально понять на каком этапе загрузки компьютера наблюдается наибольшая задержка. При включении данной политики, в том числе, начинает отображаться информация о применяемых компонентах GPO.
Этот же параметр можно активировать через реестр, создав в ветке HKEY_LOCAL_MACHINE\SOFTWARE Microsoft \Windows \CurrentVersion\ Policies\System параметр типа DWORD с именем verbosestatus и значением 1. В результате на экране в процессе загрузки будут отображаться такие сообщения: Отчет GPResultРезультирующую политику, которая была применена к компьютеру, стоит проанализировать с помощью HTML отчета gpresult , создать который можно такой командой, запущенной с правами администратора: gpresult /h c:\ps\gpreport.html Этот отчет достаточно удобен для анализа и может содержать ссылки на различные ошибки при применении GPO. Кроме того, в разделе отчета Computer Details -> Component Status присутствуют полезные данные о времени (в мс) применения различных компонентов GPO в виде: Group Policy Files (N/A) 453 Millisecond(s) 18.01.2017 14:10:01 View Log Анализ событий от Group Policy в системных журналах WindowsВ журнале приложений о медленном применении политик может свидетельствовать событие с EventID 6006 от источника Winlogon с текстом: Подписчик уведомлений winlogon потратил 3594 сек. на обработку события уведомления (CreateSession).The winlogon notification subscriber took 3594 seconds to handle the notification event (CreateSession). Судя по данному событию, пользователю пришлось ждать применения групповых политик при загрузке компьютера в течении почти часа… В Windows 7 / Windows 2008 R2 и выше все события, касающиеся процесса применения групповых политик на клиенте доступны в журнале событий Event Viewer (eventvwr.msc) в разделе Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy -> Operational . Примечание. В журнале System остались только события, относящиеся к функционирования самой службы Group Policy Client (gpsvc) . Для анализа времени применения политик будут полезны следующие EventID: События 4016 и 5016 показывают время начала и завышения процесса обработки расширений применения GPO, причем в последнем указано общую длительность обработки расширения.К примеру, на скриншоте ниже был включен фильтр журнала Group Policy -> Operational по событиям 4016 и 5016. По тексту события 5016 можно увидеть время обработки этого компонента GPOЗавершена обработка расширения Group Policy Local Users and Groups за 1357 мс.
В событиях 8000 и 8001 содержится, соответственно, время обработки политик компьютера и пользователя при загрузке компьютера. А в событиях 8006 и 8007 есть данные о времени применения политик при периодическом обновлении.Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 с. При анализе журнала стоит также обращать на время, прошедшее между двумя соседними событиями, это может помочь обнаружить проблемный компонент. Отладочный журнал службы GPSVCВ некоторых ситуациях бывает полезным включить ведение отладочного журнала обработки GPO — gpsvc.log . С помощью временных меток в файле gpsvc.log можно найти компоненты GPO, которые долго отрабатывали. Отладочные журналы Group Policy PreferencesРасширения Group Policy Preferences также могут вести подробные лог загрузки каждого компоненте CSE (Client-Side Extensions). Отладочные журналы CSE можно включить в разделе GPO: Computer Configuration -> Policies -> Administrative Templates->System->Group Policy -> Logging and tracing Как вы видите, доступные индивидуальные настройки для каждого CSE. В настройках политики можно указать тип событий, записываемых в журнал (Informational, Errors, Warnings или все), максимальный размер журнала и местоположение лога:
Совет . В том случае, если у вас в консоли gpedit/ GPMC в разделе Group Policy отсутствует подраздел Logging and Tracing, нужно будет скачать и установить шаблоны Group Policy Preferences ADMX и скопировать GroupPolicyPreferences.admx из %PROGRAMFILES%\Microsoft Group Policy в локальный каталог PolicyDefinitions либо в централизованный каталог PolicyDefinitions на SYSVOL . После сбора логов нужно проанализировать их на ошибки, а также попытаться найти соседние события, время между которыми отличается на несколько минут. Итак, в этой статье мы рассмотрели основные способы диагностики проблем долгого применения групповых политик на компьютерах домена. Надеюсь, статья будет полезной | |||||
