癥狀:現(xiàn)公司域為windows2003域，共有兩臺DC （同時這兩臺DC 也是DNS 服務器），一直工作正常在兩個月之前第一臺DC （暫時稱之為DC1）因為主板出現(xiàn)故障無法啟動，故由第二臺DC （暫時

癥狀:

現(xiàn)公司域為windows2003域，共有兩臺DC （同時這兩臺DC 也是DNS 服務器），一直工作正常

在兩個月之前第一臺DC （暫時稱之為DC1）因為主板出現(xiàn)故障無法啟動，故由第二臺DC （暫時稱之為DC2）

奪取FSMO 角色，等DC1恢復工作之后，再讓DC1獲取FSMO 角色，恢復原工作環(huán)境

但在恢復正常工作之后的一個月以后，不知何故，在DC2的事件日志中，應用程序紀錄中開始出現(xiàn)大量的ID 1030、1058的錯誤信息，二十天后DC1上面也開始出現(xiàn)這兩個錯誤信息，平均每隔5分鐘紀錄一次

錯誤信息：

類型: 錯誤

來源: Userenv

類別: 無

事件 ID: 1058

描述:Windows 無法訪問 GPO

cn={0D16F706-E6F8-41E8-BBDB-4A5C4952F024},cn=policies,cn=system,DC=quande,DC=qd 的文件 gpt.ini。此文件必須在

。(拒絕訪問。（最早是找不到網(wǎng)絡路徑） )。組策略處理中止。 有關更多信息，請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。

類型: 錯誤

來源: Userenv

類別: 無

事件 ID:1030

描述:Windows 不能查詢組策略對象列表。請查看事件日志，從中尋找策略引擎以前可能記錄的描述此原因的消息。

有關更多信息，請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。

處理過程：

解決方法一：

* 按照Microsoft 的客服支持網(wǎng)頁http://support.microsoft.com/kb/290647/zh-cn上的思路

認為主要是由于將不適當?shù)臋嘞薹峙浣o SystemRootWinntSysvol 文件夾或?qū)⒉贿m當?shù)慕M分配給 Bypass Traverse Checking User Rights

Assignment （跳過遍歷檢查用戶權利指派），可能會發(fā)生此問題。另外，如果 sysvol 共享權限限制過多，也可能會發(fā)生此問題

提供的解決方案：（適用Windows Server 2003）

1. 設置文件夾安全權限。為此，請按照下列步驟操作：

a. 在 Windows 資源管理器中，右鍵單擊

“SystemRootWindowsSysvol”文件夾，然后單擊“屬性”。

b. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象”

復選框，然后單擊“確定”。確保安全設置與以下設置相匹配，然后單擊“確定”：

管理員： 完全控制

經(jīng)身份驗證的用戶： 讀取、讀取和執(zhí)行、列出文件夾內(nèi)容

創(chuàng)建者所有者： 沒有選中項

服務器操作員： 讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 系統(tǒng)：完全控制

c. 右鍵單擊“SystemRootWindowsSysvolSysvol”文件夾，然后單擊“屬性”。

d. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象”

復選框，然后單擊“確定”兩次。

e. 右鍵單擊“SystemRootWinntSysvolSysvoldomain”文件夾，然后單擊“屬性”。

f. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象”

復選框，然后單擊“確定”兩次。

g. 右鍵單擊

“SystemRootWinntSysvolSysvoldomainPolicies”文件夾，然后單擊“屬性”。

h. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象”

復選框，然后單擊“確定”。確保安全設置與以下設置相匹配，然后單擊“確定”：

管理員：完全控制

經(jīng)身份驗證的用戶：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 創(chuàng)建者所有者：沒有選中項

組策略創(chuàng)建者所有者：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容、修改、寫入

服務器操作員：讀取、讀取和執(zhí)行、列出文件夾內(nèi)容 系統(tǒng)：完全控制

i. 對于位于 SystemRootWinntSysvolSysvoldomainPolicies 文件夾中的文件或文件夾，

分別右鍵單擊這些文件或文件夾，然后單擊“屬性”。

j. 在“安全性”選項卡上，單擊“高級”，單擊以選擇“允許從父系來的繼承權限傳播到這個對象”

復選框，然后單擊“確定”兩次。

2. 展開“Active Directory 用戶和計算機”。為此，單擊“開始”，單

擊“所有程序”，然后單擊

“管理工具”。

3. 展開“Active Directory 用戶和計算機”，展開域名，右鍵單擊“域控制器”，然后單擊“屬性”。

4. 在“組策略”選項卡上，單擊“默認域控制器策略”，然后單擊“編輯”。

注意：如果安裝了組策略管理控制臺，則“編輯”按鈕不可用。在這種情況下，單擊“打開”以啟動組策略管理控制臺，展開“domain name”，展開“域控制器”，右鍵單擊“默認域控制器策略”，然后單擊“編輯”。

5. 展開下面的文件夾：

計算機配置

Windows 設置

安全設置

本地策略

6. 單擊“用戶權限分配”，然后雙擊“跳過遍歷檢查”。應該出現(xiàn)下列默認設置：

經(jīng)身份驗證的用戶

所有人

管理員

如果沒有出現(xiàn)，而您又需要添加這些組，請單擊“添加用戶或組”，然后單擊“瀏覽”。

7. 單擊“開始”，單擊“運行”，鍵入 gpupdate，然后單擊“確定”。

8. 請驗證 sysvol 共享權限設置是否正確，如下所示：

管理員 = 完全控制

經(jīng)身份驗證的用戶 = 完全控制

所有人 = 讀取

注意：如果此過程不能解決問題，或者您在訪問組策略時遇到問題，請檢查服務器上的綁定順序，以確保內(nèi)部網(wǎng)絡適配器在綁定順序列表中排在第一位。要檢查綁定順序，請按照下列步驟操作：

1. 右鍵單擊“網(wǎng)上鄰居”，然后單擊“屬性”。

2. 在“高級”菜單上，單擊“高級設置”。

3. 在“連接”框內(nèi)，確保內(nèi)部網(wǎng)絡適配器第一個列出。如果不是第一個，使用箭頭將其移到列表頂部。

照此文中所寫，逐步檢查并更正兩臺DC 之后之后，狀況照舊，并無解決

其次在網(wǎng)上搜索相關信息，得到的結論也基本都是圍繞著檢查SYSVOL 的共享權限的設置

解決方法二：

* 按照Microsoft 的客服支持網(wǎng)頁http://support.microsoft.com/kb/842804/zh-cn上的說法：

無法執(zhí)行組策略處理，事件 1030 和 1058 被記錄到域控制器的應用程序日志中

原因:

如果 winlogon 進程試圖在其他組件運行前處理組策略，則可能發(fā)生此問題。本文介紹的此修補程序添加了更多的邏輯，以增強 winlogon 和工作站服務的默認行為。

但是，其他一些情況也可能導致此問題。應用此修補程序前，請確保已啟動并正確配置了下列組件：

? Netlogon 和 DFS 服務已啟動。

? 域控制器具有讀取和應用域控制器策略的權限。

? 在 Sysvol 共享上正確設置了 NTFS 文件系統(tǒng)權限和共享權限。 ? DNS 項對于域控制器正確。

解決方案:

Windows Server 2003 Service Pack 信息

要解決此問題，請獲取 Windows Server 2003 的最新 Service Pack。有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

[url=http://support.microsoft.com/kb/889100/]889100[/url]如何獲取 Windows Server 2003 的最新 Service Pack

注意：安裝 Service Pack 后，您仍然必須按照“注冊表信息”一節(jié)中所述的過程操作。

注冊表信息:

警告：如果使用注冊表編輯器或其他方法錯誤地修改了注冊表，則可能會出現(xiàn)嚴重問題。這些問題可能需要重新安裝操作系統(tǒng)才能解決。Microsoft 不能保證可以解決這些問題。修改注冊表需要您自擔風險。

注意：在 Windows Server 2003 中請按照下列步驟操作。

應用此修補程序后，請按照下列步驟操作：

1. 依次單擊“開始”、“運行”，在“打開”框中鍵入 regedit，然后單擊“確定”。

2. 在注冊表編輯器中，找到下面的注冊表子項：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogon

3. 如果缺少“WaitForNetwork”項，則必須添加此項。為此，請按照下列步驟操作：

a. 右鍵單擊“Winlogon”子項，單擊“新建”，然后單擊“DWORD 值”。 b. 在“數(shù)值名稱”框中，鍵入 WaitForNetwork。

4. 右鍵單擊“WaitForNetwork”，然后單擊“修改”。

5. 在“編輯 DWORD 值”對話框的“數(shù)值數(shù)據(jù)”框中鍵入 1，然后單擊“確定”。

6. 退出注冊表編輯器。

注冊表內(nèi)做如上添加之后，重啟DC1和DC2，

執(zhí)行GPUPDATE /FORCE命令強制刷新組策略

事件日志中出現(xiàn)ID1704，提示說組策略被成功應用

解決方法三：

* 在一本書中發(fā)現(xiàn)AD 在應用組策略時在基于Distribute File System（DFS ）服務進行查找的，并且相關的一些數(shù)據(jù)被保存在AD 數(shù)據(jù)庫當中。當即查看server 上的DFS 服務，是啟動的，做如下操作：

1. 安裝windows 2003 的tool 工具，通過運行dfsutil 命令來清除dfs 緩存；

2. 運行dfsutil /pktinfo、dfsutil /spcinfo 查看dfs 相關信息；

3. 分別運行以下命令：dfsutil /pktflush

dfsutil /spcflush

dfsutil /purgemupcache 執(zhí)行GPUPDATE /FORCE命令強制刷新組策略

事件日志中出現(xiàn)ID1704，提示說組策略被成功應用