Applying computer settings windows 2008 r2 висит
Вопрос
Hello, I have a Windows 2008R2 server (not a domain controller) running on VMware ESXi. The server had no issues up until now. The server was rebooted this morning and since then has been stuck on Applying Computer Settings screen, attempted few restarts but no improvement. Took it out of the OU and moved to an OU without any group policy, restarted the server and still stuck on the same screen. Can login to safe mode though so enabled GP diagnostic and the gpsvc.log has these lines, over and over again. I looked around but couldn’t find anything useful.
GPSVC(39c.3fc) 14:43:41:049 Could not find user by sid, finding user by session id
GPSVC(39c.3fc) 14:43:41:049 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:41:049 Target = S-1-5-18, ChangeNumber 0
GPSVC(39c.974) 14:43:41:049 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:41:049 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:48:265 Target = Machine
GPSVC(39c.3fc) 14:43:48:265 Target = Machine, ChangeNumber 0
GPSVC(39c.974) 14:43:48:265 Target = S-1-5-18
GPSVC(39c.974) 14:43:48:265 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:48:265 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:48:281 Target = S-1-5-18, ChangeNumber 0
GPSVC(39c.974) 14:43:48:281 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:48:281 Caller requesting for user notification/lock is from session 0
I have got this update downloaded but can’t apply as the server is stuck on that applying computer settings screen. Can someone please help with this?
UPDATE: Finally, after couple of hours, now I see the login screen. Enter credentials, hit enter and now the server is sitting on Applying User Settings. What is going wrong? How can I get to the bottom of it without restarting because I know if I reboot it again, I will be waiting for hours for it to come back.
Applying computer settings windows 2008 r2 висит
The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
Visit Microsoft Q&A to post new questions.
Asked by:
Question
Hello, I have a Windows 2008R2 server (not a domain controller) running on VMware ESXi. The server had no issues up until now. The server was rebooted this morning and since then has been stuck on Applying Computer Settings screen, attempted few restarts but no improvement. Took it out of the OU and moved to an OU without any group policy, restarted the server and still stuck on the same screen. Can login to safe mode though so enabled GP diagnostic and the gpsvc.log has these lines, over and over again. I looked around but couldn’t find anything useful.
GPSVC(39c.3fc) 14:43:41:049 Could not find user by sid, finding user by session id
GPSVC(39c.3fc) 14:43:41:049 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:41:049 Target = S-1-5-18, ChangeNumber 0
GPSVC(39c.974) 14:43:41:049 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:41:049 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:48:265 Target = Machine
GPSVC(39c.3fc) 14:43:48:265 Target = Machine, ChangeNumber 0
GPSVC(39c.974) 14:43:48:265 Target = S-1-5-18
GPSVC(39c.974) 14:43:48:265 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:48:265 Caller requesting for user notification/lock is from session 0
GPSVC(39c.974) 14:43:48:281 Target = S-1-5-18, ChangeNumber 0
GPSVC(39c.974) 14:43:48:281 Could not find user by sid, finding user by session id
GPSVC(39c.974) 14:43:48:281 Caller requesting for user notification/lock is from session 0
I have got this update downloaded but can’t apply as the server is stuck on that applying computer settings screen. Can someone please help with this?
UPDATE: Finally, after couple of hours, now I see the login screen. Enter credentials, hit enter and now the server is sitting on Applying User Settings. What is going wrong? How can I get to the bottom of it without restarting because I know if I reboot it again, I will be waiting for hours for it to come back.
Разбираемся, почему могут медленно применяться групповые политики в Windows
Медленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе « Применение параметров компьютера / пользователя ». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена.
На самом деле причин, из-за которых на компьютере долго применяются групповые политики может быть множество: это и проблемы с DNS, доступностью и скоростью подключения к DC, неправильной настройкой сайтов AD или проблемы с репликацией, неверно настроенные групповых политики и кривые скрипты и т.п. Проблематично описать универсальный алгоритм по диагностике всех этих проблем. При решении таких проблем, как правило, большую роль имеет опыт и навыки специалиста, производящего диагностику. В этой статье мы остановимся только на диагностики проблем, связанных с самими механизмами работы GPO и клиента GPClient.
Блокирование наследования групповой политик
Чтобы убедиться, что проблема связана именно с доменными GPO, создайте в домене отдельную OU, перенесите в нее проблемный компьютер и с помощью консоли Group Policy Management Console (GPMC.msc) включите блокирование наследование политик для данного контейнера ( Block Inheritance ). Таким образом на компьютер перестанут действовать все доменные политики (исключение — политики, для которых включен режим Enforced) .
Перезагрузите компьютер и проверьте, сохранилась ли проблема с долгим применением GPO. Если сохранилась, вероятнее всего проблема с самим компьютером или локальными политиками (попробуйте их сбросить на дефолтные).
Вывод подробных сообщений на экране загрузки
В Windows на экране загрузки системы можно включить отображение расширенной статусной информации, позволяющей пользователям и администратору визуально понять на каком этапе загрузки компьютера наблюдается наибольшая задержка. При включении данной политики, в том числе, начинает отображаться информация о применяемых компонентах GPO.
Включить эту политику можно в следующем разделе GPO:
- в Windows 7 / Vista : Computer Configuration -> Policies -> System ->Verbose vs normal status messages = Enabled
- в Windows 8/10 : Computer Configuration -> Policies -> System ->Display highly detailed status messages = Enabled
Этот же параметр можно активировать через реестр, создав в ветке HKEY_LOCAL_MACHINE\SOFTWARE Microsoft \Windows \CurrentVersion\ Policies\System параметр типа DWORD с именем verbosestatus и значением 1.
В результате на экране в процессе загрузки будут отображаться такие сообщения:
Отчет GPResult
Результирующую политику, которая была применена к компьютеру, стоит проанализировать с помощью HTML отчета gpresult , создать который можно такой командой, запущенной с правами администратора:
gpresult /h c:\ps\gpreport.html
Этот отчет достаточно удобен для анализа и может содержать ссылки на различные ошибки при применении GPO.
Кроме того, в разделе отчета Computer Details -> Component Status присутствуют полезные данные о времени (в мс) применения различных компонентов GPO в виде:
Group Policy Files (N/A) 453 Millisecond(s) 18.01.2017 14:10:01 View Log
Group Policy Folders (N/A) 188 Millisecond(s) 18.01.2017 14:10:00 View Log
Group Policy Local Users and Groups (N/A) 328 Millisecond(s) 18.01.2017 14:10:00 View Log
Group Policy Registry (N/A) 171 Millisecond(s) 18.01.2017 14:10:01 View Log
Group Policy Scheduled Tasks (N/A) 343 Millisecond(s) 18.01.2017 14:10:01 View Log
Scripts (N/A) 156 Millisecond(s) 18.01.2017 14:09:04 View Log
Security (N/A) 3 Second(s) 495 Millisecond(s) 18.01.2017 14:09:08 View Log
Реестр (N/A) 18 Second(s) 814 Millisecond(s) 18.01.2017 14:10:00 View Log
Анализ событий от Group Policy в системных журналах Windows
В журнале приложений о медленном применении политик может свидетельствовать событие с EventID 6006 от источника Winlogon с текстом:
Подписчик уведомлений winlogon потратил 3594 сек. на обработку события уведомления (CreateSession).The winlogon notification subscriber took 3594 seconds to handle the notification event (CreateSession).
Судя по данному событию, пользователю пришлось ждать применения групповых политик при загрузке компьютера в течении почти часа…
В Windows 7 / Windows 2008 R2 и выше все события, касающиеся процесса применения групповых политик на клиенте доступны в журнале событий Event Viewer (eventvwr.msc) в разделе Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy -> Operational .
Примечание. В журнале System остались только события, относящиеся к функционирования самой службы Group Policy Client (gpsvc) .
Для анализа времени применения политик будут полезны следующие EventID:
События 4016 и 5016 показывают время начала и завышения процесса обработки расширений применения GPO, причем в последнем указано общую длительность обработки расширения.К примеру, на скриншоте ниже был включен фильтр журнала Group Policy -> Operational по событиям 4016 и 5016. По тексту события 5016 можно увидеть время обработки этого компонента GPOЗавершена обработка расширения Group Policy Local Users and Groups за 1357 мс.
- Событие 5312 содержит список применённых политик, а в событии 5317 есть список отфильтрованных GPO.
В событиях 8000 и 8001 содержится, соответственно, время обработки политик компьютера и пользователя при загрузке компьютера. А в событиях 8006 и 8007 есть данные о времени применения политик при периодическом обновлении.Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 с.
При анализе журнала стоит также обращать на время, прошедшее между двумя соседними событиями, это может помочь обнаружить проблемный компонент.
Отладочный журнал службы GPSVC
В некоторых ситуациях бывает полезным включить ведение отладочного журнала обработки GPO — gpsvc.log . С помощью временных меток в файле gpsvc.log можно найти компоненты GPO, которые долго отрабатывали.
Отладочные журналы Group Policy Preferences
Расширения Group Policy Preferences также могут вести подробные лог загрузки каждого компоненте CSE (Client-Side Extensions). Отладочные журналы CSE можно включить в разделе GPO: Computer Configuration -> Policies -> Administrative Templates->System->Group Policy -> Logging and tracing
Как вы видите, доступные индивидуальные настройки для каждого CSE. В настройках политики можно указать тип событий, записываемых в журнал (Informational, Errors, Warnings или все), максимальный размер журнала и местоположение лога:
- Трейс файл пользовательских политик %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\User.log
- Трейс файл политик компьютера %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\Computer.log
Совет . В том случае, если у вас в консоли gpedit/ GPMC в разделе Group Policy отсутствует подраздел Logging and Tracing, нужно будет скачать и установить шаблоны Group Policy Preferences ADMX и скопировать GroupPolicyPreferences.admx из %PROGRAMFILES%\Microsoft Group Policy в локальный каталог PolicyDefinitions либо в централизованный каталог PolicyDefinitions на SYSVOL .
После сбора логов нужно проанализировать их на ошибки, а также попытаться найти соседние события, время между которыми отличается на несколько минут.
Итак, в этой статье мы рассмотрели основные способы диагностики проблем долгого применения групповых политик на компьютерах домена. Надеюсь, статья будет полезной