癥狀:現(xiàn)公司域?yàn)閣indows2003域，共有兩臺(tái)DC （同時(shí)這兩臺(tái)DC 也是DNS 服務(wù)器），一直工作正常在兩個(gè)月之前第一臺(tái)DC （暫時(shí)稱之為DC1）因?yàn)橹靼宄霈F(xiàn)故障無法啟動(dòng)，故由第二臺(tái)DC （暫時(shí)

癥狀:

現(xiàn)公司域?yàn)閣indows2003域，共有兩臺(tái)DC （同時(shí)這兩臺(tái)DC 也是DNS 服務(wù)器），一直工作正常

在兩個(gè)月之前第一臺(tái)DC （暫時(shí)稱之為DC1）因?yàn)橹靼宄霈F(xiàn)故障無法啟動(dòng)，故由第二臺(tái)DC （暫時(shí)稱之為DC2）

奪取FSMO 角色，等DC1恢復(fù)工作之后，再讓DC1獲取FSMO 角色，恢復(fù)原工作環(huán)境

但在恢復(fù)正常工作之后的一個(gè)月以后，不知何故，在DC2的事件日志中，應(yīng)用程序紀(jì)錄中開始出現(xiàn)大量的ID 1030、1058的錯(cuò)誤信息，二十天后DC1上面也開始出現(xiàn)這兩個(gè)錯(cuò)誤信息，平均每隔5分鐘紀(jì)錄一次

錯(cuò)誤信息：

類型: 錯(cuò)誤

來源: Userenv

類別: 無

事件 ID: 1058

描述:Windows 無法訪問 GPO

cn={0D16F706-E6F8-41E8-BBDB-4A5C4952F024},cn=policies,cn=system,DC=quande,DC=qd 的文件 gpt.ini。此文件必須在

。(拒絕訪問。（最早是找不到網(wǎng)絡(luò)路徑） )。組策略處理中止。 有關(guān)更多信息，請(qǐng)參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。

類型: 錯(cuò)誤

來源: Userenv

類別: 無

事件 ID:1030

描述:Windows 不能查詢組策略對(duì)象列表。請(qǐng)查看事件日志，從中尋找策略引擎以前可能記錄的描述此原因的消息。

有關(guān)更多信息，請(qǐng)參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。

處理過程：

解決方法一：

* 按照Microsoft 的客服支持網(wǎng)頁http://support.microsoft.com/kb/290647/zh-cn上的思路

認(rèn)為主要是由于將不適當(dāng)?shù)臋?quán)限分配給 SystemRootWinntSysvol 文件夾或?qū)⒉贿m當(dāng)?shù)慕M分配給 Bypass Traverse Checking User Rights

Assignment （跳過遍歷檢查用戶權(quán)利指派），可能會(huì)發(fā)生此問題。另外，如果 sysvol 共享權(quán)限限制過多，也可能會(huì)發(fā)生此問題

提供的解決方案：（適用Windows Server 2003）

1. 設(shè)置文件夾安全權(quán)限。為此，請(qǐng)按照下列步驟操作：

a. 在 Windows 資源管理器中，右鍵單擊

“SystemRootWindowsSysvol”文件夾，然后單擊“屬性”。

b. 在“安全性”選項(xiàng)卡上，單擊“高級(jí)”，單擊以清除“允許從父系來的繼承權(quán)限傳播到這個(gè)對(duì)象”

復(fù)選框，然后單擊“確定”。確保安全設(shè)置與以下設(shè)置相匹配，然后單擊“確定”：

管理員： 完全控制

經(jīng)身份驗(yàn)證的用戶： 讀取、讀取和執(zhí)行、列出文件夾內(nèi)容

創(chuàng)建者所有者： 沒有選中項(xiàng)

服務(wù)器操作員： 讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 系統(tǒng)：完全控制

c. 右鍵單擊“SystemRootWindowsSysvolSysvol”文件夾，然后單擊“屬性”。

d. 在“安全性”選項(xiàng)卡上，單擊“高級(jí)”，單擊以清除“允許從父系來的繼承權(quán)限傳播到這個(gè)對(duì)象”

復(fù)選框，然后單擊“確定”兩次。

e. 右鍵單擊“SystemRootWinntSysvolSysvoldomain”文件夾，然后單擊“屬性”。

f. 在“安全性”選項(xiàng)卡上，單擊“高級(jí)”，單擊以清除“允許從父系來的繼承權(quán)限傳播到這個(gè)對(duì)象”

復(fù)選框，然后單擊“確定”兩次。

g. 右鍵單擊

“SystemRootWinntSysvolSysvoldomainPolicies”文件夾，然后單擊“屬性”。

h. 在“安全性”選項(xiàng)卡上，單擊“高級(jí)”，單擊以清除“允許從父系來的繼承權(quán)限傳播到這個(gè)對(duì)象”

復(fù)選框，然后單擊“確定”。確保安全設(shè)置與以下設(shè)置相匹配，然后單擊“確定”：

管理員：完全控制

經(jīng)身份驗(yàn)證的用戶：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 創(chuàng)建者所有者：沒有選中項(xiàng)

組策略創(chuàng)建者所有者：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容、修改、寫入

服務(wù)器操作員：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 系統(tǒng)：完全控制

i. 對(duì)于位于 SystemRootWinntSysvolSysvoldomainPolicies 文件夾中的文件或文件夾，

分別右鍵單擊這些文件或文件夾，然后單擊“屬性”。

j. 在“安全性”選項(xiàng)卡上，單擊“高級(jí)”，單擊以選擇“允許從父系來的繼承權(quán)限傳播到這個(gè)對(duì)象”

復(fù)選框，然后單擊“確定”兩次。

2. 展開“Active Directory 用戶和計(jì)算機(jī)”。為此，單擊“開始”，單

擊“所有程序”，然后單擊

“管理工具”。

3. 展開“Active Directory 用戶和計(jì)算機(jī)”，展開域名，右鍵單擊“域控制器”，然后單擊“屬性”。

4. 在“組策略”選項(xiàng)卡上，單擊“默認(rèn)域控制器策略”，然后單擊“編輯”。

注意：如果安裝了組策略管理控制臺(tái)，則“編輯”按鈕不可用。在這種情況下，單擊“打開”以啟動(dòng)組策略管理控制臺(tái)，展開“domain name”，展開“域控制器”，右鍵單擊“默認(rèn)域控制器策略”，然后單擊“編輯”。

5. 展開下面的文件夾：

計(jì)算機(jī)配置

Windows 設(shè)置

安全設(shè)置

本地策略

6. 單擊“用戶權(quán)限分配”，然后雙擊“跳過遍歷檢查”。應(yīng)該出現(xiàn)下列默認(rèn)設(shè)置：

經(jīng)身份驗(yàn)證的用戶

所有人

管理員

如果沒有出現(xiàn)，而您又需要添加這些組，請(qǐng)單擊“添加用戶或組”，然后單擊“瀏覽”。

7. 單擊“開始”，單擊“運(yùn)行”，鍵入 gpupdate，然后單擊“確定”。

8. 請(qǐng)驗(yàn)證 sysvol 共享權(quán)限設(shè)置是否正確，如下所示：

管理員 = 完全控制

經(jīng)身份驗(yàn)證的用戶 = 完全控制

所有人 = 讀取

注意：如果此過程不能解決問題，或者您在訪問組策略時(shí)遇到問題，請(qǐng)檢查服務(wù)器上的綁定順序，以確保內(nèi)部網(wǎng)絡(luò)適配器在綁定順序列表中排在第一位。要檢查綁定順序，請(qǐng)按照下列步驟操作：

1. 右鍵單擊“網(wǎng)上鄰居”，然后單擊“屬性”。

2. 在“高級(jí)”菜單上，單擊“高級(jí)設(shè)置”。

3. 在“連接”框內(nèi)，確保內(nèi)部網(wǎng)絡(luò)適配器第一個(gè)列出。如果不是第一個(gè)，使用箭頭將其移到列表頂部。

照此文中所寫，逐步檢查并更正兩臺(tái)DC 之后之后，狀況照舊，并無解決

其次在網(wǎng)上搜索相關(guān)信息，得到的結(jié)論也基本都是圍繞著檢查SYSVOL 的共享權(quán)限的設(shè)置

解決方法二：

* 按照Microsoft 的客服支持網(wǎng)頁http://support.microsoft.com/kb/842804/zh-cn上的說法：

無法執(zhí)行組策略處理，事件 1030 和 1058 被記錄到域控制器的應(yīng)用程序日志中

原因:

如果 winlogon 進(jìn)程試圖在其他組件運(yùn)行前處理組策略，則可能發(fā)生此問題。本文介紹的此修補(bǔ)程序添加了更多的邏輯，以增強(qiáng) winlogon 和工作站服務(wù)的默認(rèn)行為。

但是，其他一些情況也可能導(dǎo)致此問題。應(yīng)用此修補(bǔ)程序前，請(qǐng)確保已啟動(dòng)并正確配置了下列組件：

? Netlogon 和 DFS 服務(wù)已啟動(dòng)。

? 域控制器具有讀取和應(yīng)用域控制器策略的權(quán)限。

? 在 Sysvol 共享上正確設(shè)置了 NTFS 文件系統(tǒng)權(quán)限和共享權(quán)限。 ? DNS 項(xiàng)對(duì)于域控制器正確。

解決方案:

Windows Server 2003 Service Pack 信息

要解決此問題，請(qǐng)獲取 Windows Server 2003 的最新 Service Pack。有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章：

[url=http://support.microsoft.com/kb/889100/]889100[/url]如何獲取 Windows Server 2003 的最新 Service Pack

注意：安裝 Service Pack 后，您仍然必須按照“注冊(cè)表信息”一節(jié)中所述的過程操作。

注冊(cè)表信息:

警告：如果使用注冊(cè)表編輯器或其他方法錯(cuò)誤地修改了注冊(cè)表，則可能會(huì)出現(xiàn)嚴(yán)重問題。這些問題可能需要重新安裝操作系統(tǒng)才能解決。Microsoft 不能保證可以解決這些問題。修改注冊(cè)表需要您自擔(dān)風(fēng)險(xiǎn)。

注意：在 Windows Server 2003 中請(qǐng)按照下列步驟操作。

應(yīng)用此修補(bǔ)程序后，請(qǐng)按照下列步驟操作：

1. 依次單擊“開始”、“運(yùn)行”，在“打開”框中鍵入 regedit，然后單擊“確定”。

2. 在注冊(cè)表編輯器中，找到下面的注冊(cè)表子項(xiàng)：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogon

3. 如果缺少“WaitForNetwork”項(xiàng)，則必須添加此項(xiàng)。為此，請(qǐng)按照下列步驟操作：

a. 右鍵單擊“Winlogon”子項(xiàng)，單擊“新建”，然后單擊“DWORD 值”。 b. 在“數(shù)值名稱”框中，鍵入 WaitForNetwork。

4. 右鍵單擊“WaitForNetwork”，然后單擊“修改”。

5. 在“編輯 DWORD 值”對(duì)話框的“數(shù)值數(shù)據(jù)”框中鍵入 1，然后單擊“確定”。

6. 退出注冊(cè)表編輯器。

注冊(cè)表內(nèi)做如上添加之后，重啟DC1和DC2，

執(zhí)行GPUPDATE /FORCE命令強(qiáng)制刷新組策略

事件日志中出現(xiàn)ID1704，提示說組策略被成功應(yīng)用

解決方法三：

* 在一本書中發(fā)現(xiàn)AD 在應(yīng)用組策略時(shí)在基于Distribute File System（DFS ）服務(wù)進(jìn)行查找的，并且相關(guān)的一些數(shù)據(jù)被保存在AD 數(shù)據(jù)庫(kù)當(dāng)中。當(dāng)即查看server 上的DFS 服務(wù)，是啟動(dòng)的，做如下操作：

1. 安裝windows 2003 的tool 工具，通過運(yùn)行dfsutil 命令來清除dfs 緩存；

2. 運(yùn)行dfsutil /pktinfo、dfsutil /spcinfo 查看dfs 相關(guān)信息；

3. 分別運(yùn)行以下命令：dfsutil /pktflush

dfsutil /spcflush

dfsutil /purgemupcache 執(zhí)行GPUPDATE /FORCE命令強(qiáng)制刷新組策略

事件日志中出現(xiàn)ID1704，提示說組策略被成功應(yīng)用