Gpsvc что это за служба windows 10

групповая политика события ошибок, регистрируются при использовании неизвестной переменной среды

Эта статья поможет избежать групповая политика событий ошибок, которые регистрируются при использовании неизвестной переменной среды.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2003730

Симптомы

Если вы используете лес Active Directory и используете политику безопасности файловой системы, вы можете увидеть в журнале следующие события:

Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 занося это событие в операционный журнал групповая политика:

Имя журнала: Microsoft-Windows-GroupPolicy/Operational
Источник: Microsoft-Windows-GroupPolicy
Идентификатор события: 7016
Категория задачи: Нет
Уровень: ошибка
Ключевые слова:
Пользователь: SYSTEM
Описание:
Обработка расширений безопасности завершена за 20984 миллисекунда.
Xml события:
<Событие xmlns CSEElaspedTimeInMilliSeconds">20984
1252
Security

Идентификатор события: 1091
Категории: None (нет)
Источник: Userenv
Тип: Ошибка
Сообщение. Групповая политика безопасности расширения на стороне клиента не удалось записать в журнал данные RSOP (результирующий набор политики). Найдите ошибки, о которые сообщили ранее это расширение.

Идентификатор события: 1202
Категории: None (нет)
Источник: SceCli
Тип: Предупреждение
Сообщение. Политики безопасности были распространены с предупреждением. 0xd: недопустимые данные.
В зависимости от фактической конфигурации политики параметры в политиках безопасности могут присутствовать или не присутствовать. В разделе Дополнительные сведения описываются условия сбоя или успешного выполнения политики (несмотря на ошибки).

Причина

События регистрируются, так как параметры безопасности файловой системы одной политики содержат переменную среды, которая неизвестна на клиентском компьютере. Чтобы узнать больше о проблеме, включите ведение журнала клиентского расширения конфигурации безопасности:

В файле %windir%\security\logs\winlogon.log вы увидите следующую запись:

Обработка шаблона групповой политики gpt0000x.inf.

Ошибка 13. Недопустимые данные.
Ошибка при преобразовании %PROGRAMFILES(X86)%\MyApplication.

%PROGRAMFILES(X86)% — это только пример. Он используется, когда политика редактируется в 64-разрядной версии Windows, а параметры безопасности применяются для папки C:\PROGRAM FILES (X86) или одной из ее вложенных папок.

Текстовый файл gpt0000x.inf, содержащий параметры политики, можно найти в папке %windir%\security\templates\policies. Он также содержит расположение политики в Active Directory в строке, начинающейся с GPOPath, что позволяет определить, какая политика имеет неизвестная переменная среды.

Решение

Чтобы избежать проблемы, создайте новую политику на том же уровне, которая получает параметры, ссылающиеся на отсутствующие переменные среды. Затем используйте фильтр WMI, чтобы разрешить применение политики только к компьютерам, на которых определена переменная среды.

Например, фильтр WMI для %PROGRAMFILES(X86)% будет следующим:

Выберите * из Win32_Envrionment где Имя = ‘PROGRAMFILES(X86)’

Дополнительные сведения

В этом разделе объясняется, почему в некоторых случаях параметры политики применяются успешно, а в других — нет.

Политика группы безопасности определяется библиотекой Userenv.dll, запущенной в процессе Winlogon.exe или в Windows Vista и более поздних версиях, службой групповая политика (GPSvc). Это компонент, который получает список политик, назначенных компьютеру, и отфильтровывает те, которые не применяются. Их можно фильтровать на основе разрешений политики или фильтра WMI.

Затем Userenv/GPSvc сортирует политики по их приоритету. Первая примененная политика — это политика с наименьшим приоритетом, последняя — с наивысшим приоритетом. Для политики безопасности Userenv/GPSvc вызывает расширение политики безопасности на стороне клиента (SCECLI) с файлом параметров политики, скачанным из SYSVOL.

SCECLI состоит из двух этапов. На первом этапе он принимает переданные ему параметры и передает их в базу данных безопасности. На втором этапе эти параметры применяются к системе, например, задаются права пользователя, параметры безопасности или дескрипторы безопасности в реестре и файлах.

Первый этап активен до обработки последней политики. Вызов из Userenv/GPSvc в SCECLI для последней политики является особым случаем. При выполнении вызова первый этап по-прежнему активен, а параметры из последней политики считываются в базу данных безопасности, как и во всех остальных политиках. Но перед возвратом вызова SCECLI видит, что это последняя политика, и в рамках того же вызова выполняет второй этап.

Параметры политики реестра и файловой системы считаются дорогостоящими для фиксации. SCECLI не выполняет их в вызывающем потоке в режиме переднего плана. Для этих параметров Userenv/GPSvc создаст дополнительный поток, чтобы можно было завершить обработку, пока пользователь уже сможет выполнить вход. Контроллеры домена являются исключением из этого правила. Они всегда сначала завершают все приложения политики безопасности, прежде чем пользователь сможет выполнить вход.

Что касается отсутствующих переменных среды, SCECLI считывает параметры на первом этапе и обнаруживает ошибку при разрешении переменной среды по фактическому пути. SCECLI пропустит запись и продолжит добавлять параметры в базу данных безопасности, а затем вернет ошибку в Userenv/GPSVC.

Если проблема возникает в любой политике, кроме последней, Userenv/GPSVC рассматривает ошибку как неустранимую проблему и прерывает политику группы безопасности. Поэтому второй этап никогда не происходит. При возникновении проблемы в последней политике SCECLI игнорирует ошибку и выполняет второй этап. Userenv/GPSVC по-прежнему прерывает приложение политики с ошибкой, но фактически обработка политики была завершена к этому моменту.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, мы рекомендуем собирать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для групповая политика проблем.

Служба «Клиент групповой политики (GPSVC)» тормозит вход в систему

По умолчанию Windows не отображает список запускающихся при загрузке служб, и только когда в процессе запуска возникает проблема, система может вывести на экран сообщение о неполадке. Рассмотрим один из примеров такой неполадки – задержку загрузки службы клиента групповой политики, когда на экране появляется сообщение с просьбой подождать завершения процедуру запуска службы.

Проблема касается не только GPSVC , подобное может произойти и с другими службами, например, службой профиля пользователя, просто статистически чаще это происходит именно с GPSVC. Неполадка может быть вызвана изменением параметров локальных групповых политик, параметров службы, настройками производительности системы средствами сторонних программ, изменением прав доступа к файлам службы, а иногда и повреждением системных файлов.

Способ решения проблемы будет зависеть от того, сможет ли Windows в конечном итоге загрузиться или нет. Если вход после некоторого ожидания будет выполнен успешно, первым делом проверьте статус службы GPSVC.

Откройте оснастку управления службами командой services.msc , отыщите в списке службу «Клиент групповой политики»,

откройте ее свойства и убедитесь, что она имеет тип запуска «Автоматически».

В противном случае поменяйте настройки.

Сброс локальных политик

Сбросьте локальные групповые политики к исходным настройкам – это устранит все конфликты, которые теоретически могли возникнуть при изменении GPO вручную или средствами сторонних программ-твикеров.

Откройте редактор локальных групповых политик командой gpedit.msc и перейдите в раздел «Конфигурация компьютера» → «Административные шаблоны» → «Все параметры».

Отсортировав политики по столбцу «Состояние», посмотрите, имеются ли в списке политики со статусом «Включена» или «Отключена».

И, если имеются, задайте для них всех значение «Не задано».

То же самое проделайте в отношении политик раздела «Конфигурация пользователя».

Если зайти на рабочий стол не удается, загрузите ПК в среду восстановления и удалите папки GroupPolicy и GroupPolicyUsers в расположении %windir%\Windows\System32 .

Удобнее всего это делать из-под LiveCD с файловым менеджером на борту, но можно обойтись и командной строкой, запущенной в среде WinRE. Букву системного тома определяем с помощью Блокнота – запускаем его командой notepad и выбираем в меню «Файл» опцию «Сохранить как» → «Этот компьютер».

Для удаления папок используем команды, подставляя вместо E свою букву:

RD /S /Q E:\System32\GroupPolicy

RD /S /Q E:\System32\GroupPolicyUsers

Если это не поможет, откатите Windows к ближайшей точке восстановления, выбрав тут же в дополнительных параметрах среды WinRE пункт «Восстановление системы» и проследовав дальнейшим указаниям мастера.

Руководство по устранению неполадок с применением групповая политика

Попробуйте наш виртуальный агент . Он поможет вам быстро определить и устранить распространенные проблемы с репликацией Active Directory .

В этом руководстве представлены основные понятия, используемые для устранения неполадок групповая политика. Вы узнаете, как:

• Поиск новых сведений об устранении неполадок.
• Использование Просмотр событий для фильтрации определенных групповая политика сведений.
• Чтение и интерпретация данных о событиях.
• Правильные методы для поиска точки сбоя.

Контрольный список для устранения неполадок

1. Начните с чтения событий групповая политика, записанных в журнале системных событий.
   • События предупреждений предоставляют дополнительные сведения для отслеживания, чтобы обеспечить работоспособность службы групповая политика.
   • События ошибок предоставляют сведения, описывающие сбой и вероятные причины.
   • Используйте ссылку Дополнительные сведения , включенную в сообщение о событии.
   • Используйте вкладку Сведения для просмотра кодов ошибок и описаний.
2. Используйте операционный журнал групповая политика.
   • Определите идентификатор действия экземпляра групповая политика, который обрабатывается при устранении неполадок.
   • Создайте пользовательское представление операционного журнала.
   • Разделите журнал на этапы: предварительную обработку, обработку и постобработку.
   • Объедините каждое начальное событие с соответствующим конечным событием. Изучите все события предупреждений и ошибок.
   • Изоляция и устранение неполадок с зависимым компонентом.
   • Используйте команду обновления групповая политика (GPUPDATE), чтобы обновить групповая политика. Повторите эти действия, чтобы определить, существует ли предупреждение или ошибка.

Обновление групповая политика изменяет идентификатор действия в пользовательском представлении. При устранении неполадок обязательно обновите пользовательское представление, указав самый актуальный идентификатор действия.

Определение экземпляра обработки групповая политика

Перед просмотром журнала операций групповая политика необходимо сначала определить экземпляр групповая политика обработки, который завершился сбоем.

Чтобы определить экземпляр обработки групповая политика, выполните следующие действия.

1. Откройте Просмотр событий.
2. В разделе Просмотр событий (локальная) выберитеСистемажурналов> Windows.
3. Дважды щелкните групповая политика предупреждение или событие ошибки, которое требуется устранить.
4. Перейдите на вкладку Сведения, а затем проверка понятное представление. Выберите Система , чтобы развернуть узел Система .
5. Найдите Идентификатор активности в сведениях о системном узле. Это значение используется (без открывающих и закрывающих фигурных скобок) в запросе. Скопируйте это значение в Блокнот, чтобы оно было доступно позже, и нажмите кнопку Закрыть.

Создание пользовательского представления экземпляра групповая политика

Компьютер часто имеет несколько экземпляров обработки групповая политика. Компьютеры, предназначенные для запуска служб терминалов, обычно имеют несколько экземпляров групповая политика обработки и работы одновременно. Поэтому важно отфильтровать журнал групповая политика операционных событий, чтобы отображались только события для экземпляра, который вы устраняете неполадки.

Используйте следующую процедуру, чтобы создать пользовательское представление экземпляра групповая политика. Это можно сделать с помощью запроса Просмотр событий. Этот запрос создает отфильтрованное представление журнала операций групповая политика для определенного экземпляра обработки групповая политика.

Чтобы создать пользовательское представление экземпляра групповая политика, выполните следующие действия.

1. Откройте Просмотр событий.
2. Щелкните правой кнопкой мыши Настраиваемые представления и выберите Создать пользовательское представление.
3. Перейдите на вкладку XML и проверка поле Изменить запрос вручную проверка. В Просмотр событий отображается диалоговое окно с объяснением того, что редактирование запроса вручную не позволяет изменить запрос с помощью вкладки Фильтр. Выберите Да.
4. Скопируйте запрос Просмотр событий (указанный в конце этого шага) в буфер обмена. Вставьте запрос в поле Запрос . *[System/Correlation/@ActivityID=»]
5. Скопируйте идентификатор активности, сохраненный ранее из раздела Определение экземпляра обработки групповая политика, в буфер обмена. В поле Запрос выделите «INSERT ACTIVITY ID HERE» и нажмите клавиши CTRL+V, чтобы вставить ActivityID в текст.

Примечание. Не вставляйте в нее начальные и конечные фигурные скобки (< >). Для правильной работы запроса необходимо включить эти фигурные скобки.

Служба групповая политика назначает уникальный Идентификатор активности для каждого экземпляра обработки политики. Например, служба групповая политика назначает уникальный Идентификатор активности при обработке политики пользователя во время входа пользователя. При обновлении групповая политика служба групповая политика назначает другой уникальный идентификатор активности экземпляру групповая политика, ответственному за обновление политики пользователя.

Убедитесь, что в групповой политике есть все параметры, которые вы ищете, и они правильно связаны. Ниже приведены вкладки, которые необходимо пройти. Если все они выглядят хорошо, перейдите на проблемный клиентский компьютер.

Откройте командную строку с повышенными привилегиями и выполните следующую команду.

gpresult /h gp.html 

Большинство проблем с GPO можно устранить с помощью этих базовых журналов.

файлы журнала групповая политика

Вы можете включить подробное ведение журнала и просмотреть результирующие файлы журнала. Подробное ведение журнала может снизить производительность и потреблять значительное место на диске, поэтому рекомендуется включать подробное ведение журнала только при необходимости.

Включение ведения журнала службы групповая политика (GPSvc)

На клиенте, в котором возникает проблема объекта групповой политики, выполните следующие действия, чтобы включить ведение журнала отладки службы групповая политика.

1. Откройте редактор реестра.
2. Найдите и выделите следующий подраздел реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
3. В меню Правка выберите Создать>ключ.
4. Введите Diagnostics и нажмите клавишу ВВОД.
5. Щелкните правой кнопкой мыши подраздел Диагностика и выберите Новый>DWORD (32-разрядное) значение.
6. Введите GPSvcDebugLevel и нажмите клавишу ВВОД.
7. Щелкните правой кнопкой мыши GPSvcDebugLevel и выберите изменить.
8. В поле Данные значения введите 30002 (шестнадцатеричное) и нажмите кнопку ОК.
9. Закройте редактор реестра.
10. В окне командной строки выполните gpupdate /force команду и нажмите клавишу ВВОД.

Затем просмотрите файл Gpsvc.log в следующей папке: %windir%\debug\usermode

Если папка usermode не существует, создайте ее в папке %windir%\debug. Если папка usermode не существует в папке %WINDIR%\debug\, файл gpsvc.log не будет создан.

Распространенные проблемы и решения

Идентификатор события 1129

Событие с идентификатором 1129 регистрируется, когда групповая политика не удается применить из-за проблем с сетевым подключением.

В этом случае подключение к порту LDAP 389 блокируется на контроллере домена. Сбой gpupdate команды со следующей ошибкой:

При проверке журнала событий может отображаться следующее описание события:

The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success Message for several hours, then contact your administrator. 

В этом случае включите журнал отладки gpsvc. В журнале gpsvc можно найти выходные данные GetLdapHandle: Не удалось подключить с 81.

Включите трассировку сети для проверки:

• На уровне сайта выполняется запрос LDAP.
• Запрос возвращает две записи для этого сайта, которые содержат роль службы LDAP.
• Для одного из них мы видим, что разрешение имен выполняется.
• Так как разрешение имен выполнено успешно, он пытается выполнить привязку ldap, но завершается ошибкой при подтверждении TCP, так как порт 389 заблокирован.
• Если от контроллера домена нет ответа на подтверждение TCP через порт 389, необходимо привлечь группу клиентов и предоставить ей эту информацию.
• Убедитесь, что в таких сценариях вы используете все журналы, указанные в указанном выше плане действий, сопоставляете их, и они приведут к первопричине или, по крайней мере, сузят проблему.

Идентификатор события 1002

Ниже приведено описание события с идентификатором 1002:

The processing of Group Policy failed because of a system allocation failure. Please ensure the computer is not running low on resources (memory, available disk space). Group Policy processing will be attempted at the next refresh cycle. 

Это событие ошибки обычно разрешается, когда компьютер возвращается из состояния нехватки ресурсов. Возможные решения:

1. Убедитесь, что на компьютере не хватает памяти или свободного места на диске.
2. Перезагрузите компьютер, если он работал в течение длительного периода времени.

Идентификатор события 1006

Ниже приведено описание события с идентификатором 1006:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the Details tab for error code and description. 

Это событие ошибки обычно разрешается после исправления привязки к каталогу. Служба групповая политика регистрирует код ошибки, который отображается на вкладке Сведения сообщения об ошибке в Просмотр событий. Код ошибки (отображается в виде десятичного числа) и поля описания ошибки дополнительно указывают причину сбоя. Оцените код ошибки, используя приведенный ниже список:

• Код ошибки 5 (доступ запрещен) Этот код ошибки может указывать на то, что у пользователя нет разрешения на доступ к Active Directory.
• Код ошибки 49 (недопустимые учетные данные) Этот код ошибки может указывать на то, что срок действия пароля пользователя истек, пока пользователь все еще вошел в систему на компьютере. Чтобы исправить недопустимые учетные данные, выполните приведенные ниже действия.
  1. Измените пароль пользователя.
  2. Блокировка и разблокировка рабочей станции.
  3. Проверьте, есть ли какие-либо системные службы, запущенные в качестве учетной записи пользователя.
  4. Убедитесь, что пароль в конфигурации службы правильный для учетной записи пользователя.
• Код ошибки 258 (время ожидания) Этот код ошибки может указывать на то, что конфигурация DNS неверна. Чтобы устранить проблемы с временем ожидания, используйте nslookup средство для подтверждения _ldap._tcp. регистрируются и указывают на правильные серверы (где — это полное доменное имя вашего домена Active Directory).

Примечание. Эти действия могут иметь различные результаты, если сеть ограничивает или блокирует пакеты ICMP.

Идентификатор события 1030

Ниже приведено описание события с идентификатором 1030:

The processing of Group Policy failed. Windows attempted to retrieve new Group Policy settings for this user or computer. Look in the Details tab for error code and description. Windows will automatically retry this operation at the next refresh cycle. Computers joined to the domain must have proper name resolution and network connectivity to a domain controller for discovery of new Group Policy objects and settings. An event will be logged when Group Policy is successful. 

Проверьте, открыты ли порты LDAP. Если нет, убедитесь, что порты открыты в брандмауэре и локально на клиенте и контроллере домена.

Определение блока портов

• Используйте средство portqueryUI, чтобы определить, какие порты заблокированы. Дополнительные сведения см. в статье Использование PortQry для устранения неполадок с подключением Active Directory.
• Используйте telnet для порта 389, чтобы проверка подключение к порту LDAP.
• Настройка портов домена и доверия.
• Настройка поведения брандмауэра для исходящего трафика по умолчанию.
• Настройте требования к портам брандмауэра для групповая политика.

Убедитесь, что разрешение DNS-имен, когда клиенту не удается разрешить имя узла

• Если клиенту не удается разрешить имя узла, лучше проверить указанную выше последовательность разрешения имен узла, которую должен использовать клиент. Если имя не существует ни в одном из ресурсов, которые использует клиент, необходимо решить, к какому ресурсу его добавить. Если имя существует в одном из ресурсов, например DNS-сервере или сервере службы имен Интернета (WINS), и клиент не разрешает имя правильно, сосредоточьтесь на устранении неполадок с этим ресурсом.
• Кроме того, убедитесь, что клиент пытается разрешить имя узла, а не имя NetBIOS. Многие приложения имеют несколько методов, которые можно использовать для разрешения имен. Это особенно актуально для почтовых приложений и приложений базы данных. Приложение может быть настроено для подключения к ресурсам с помощью NetBIOS. В зависимости от конфигурации клиента клиент может обходить разрешение имен узлов. После этого необходимо либо изменить тип подключения на сокеты TCP/IP, либо устранить проблему как проблему NetBIOS.

Разрешение групповая политика контейнера

Используйте следующий командлет PowerShell Get-GPPermission , чтобы получить уровень разрешений для всех субъектов безопасности в указанном объекте групповой политики:

Get-GPPermission -Name "TestGPO" -All 

Идентификатор события 1058

Ниже приведено описание события с идентификатором 1058:

The processing of Group Policy failed. Windows attempted to read the file %9 from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: 1. Name Resolution/Network Connectivity to the current domain controller. 2. File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). 3. The Distributed File System (DFS) client has been disabled. 

Правильное подключение к шаблону групповая политика. Служба групповая политика регистрирует имя контроллера домена и код ошибки, который отображается на вкладке Сведения сообщения об ошибке в Просмотр событий. Код ошибки (отображается в виде десятичного числа) и поля описания ошибки дополнительно указывают причину сбоя. Оцените код ошибки, используя приведенный ниже список:

• Код ошибки 3 (система не может найти указанный путь) Этот код ошибки обычно указывает, что клиентский компьютер не может найти путь, указанный в событии. Чтобы проверить подключение клиента к sysvol контроллера домена, выполните следующие действия.
• Определите контроллер домена, используемый компьютером. Имя контроллера домена регистрируется в сведениях о событии ошибки.
• Определите, происходит ли сбой во время обработки пользователем или компьютером. Для обработки политики пользователя в поле Пользователь события будет отображаться допустимое имя пользователя; Для обработки политики компьютера в поле Пользователь будет отображаться «SYSTEM».
• Создайте полный сетевой путь к gpt.ini как \\\SYSVOL\\Policies\\gpt.ini где — это имя контроллера домена, — имя домена, а — это GUID папки политики. В событии отображаются все сведения.
• Убедитесь, что вы можете считывать gpt.ini , используя полный сетевой путь, полученный на предыдущем шаге. Для этого откройте окно командной строки и введите , где — это путь, созданный на предыдущем шаге, и нажмите клавишу ВВОД.

The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one or more of the following: 1. Name Resolution failure on the current domain controller. 2. Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller). 

The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer. 

ErrorCode 2147483658 0x8000000a -2147483638 E_PENDING "The data necessary to complete this operation is not yet available" 

md %windir%\debug\usermode reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002" 

gpresult /h %Temp%\GPResult.htm 

gpresult /r >%Temp%\GPResult.txt 

reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg 

wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true 

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f 

cmd /c reg add "HKLM\SYSTEM\CurrentControlSet\Services\gpsvc" /v Type /t REG_DWORD /d 0x10 /f