Solucionar los errores de procesamiento de objetos de directiva de grupo que se producen en varios bosques

En este artículo se describe cómo solucionar problemas de errores de procesamiento de objetos de directiva de grupo (GPO) que se producen en varios bosques.

Versión del producto original:   Windows 10: todas las ediciones, Windows Server 2012 R2
Número de KB original:   910206

Resumen

En este artículo se describen los tres escenarios siguientes:

Síntomas para el escenario 1

Este problema se produce aunque esté habilitada la opción permitir la Directiva de usuario entre bosques y la Directiva de grupo de perfiles móviles de usuario. Existe una confianza externa entre el dominio en el que el usuario inicia sesión y el dominio del usuario.

Por ejemplo, este problema se produce en el siguiente escenario:

  • Un servidor Terminal Server de Microsoft Windows Server 2003 pertenece a la unidad organizativa (OU) de Terminal Server en un dominio basado en Windows Server 2003.

  • Un usuario que pertenece a un dominio basado en Microsoft Windows 2000 Server Service Pack 4 (SP4) inicia sesión en el servidor Terminal Server de Windows Server 2003.

  • El dominio basado en Windows Server 2003 y el dominio basado en Windows 2000 están en bosques independientes.

  • Existen dos confianzas externas entre el dominio basado en Windows Server 2000 SP4 del bosque 1 y el dominio basado en Windows Server 2003 del bosque 2.

  • Un GPO vinculado a la UO de Terminal Server tiene la siguiente configuración:

    • La Directiva permitir la Directiva de usuario entre bosques y la Directiva de perfiles móviles de usuario está habilitada. Para obtener más información, consulte las directivas de usuario no se aplican cuando inicia sesión en un equipo que ejecuta Windows 2000 SP4.
    • La Directiva de modo de procesamiento de bucle invertido de la Directiva de grupo de usuario se establece en modo de combinación.
    • La configuración de la directiva basada en el usuario está configurada para ocultar los comandos Buscar, Ejecutary ayuda en el menú Inicio .

Este escenario es específico de las confianzas externas entre dominios de bosques independientes. Este escenario no se aplica a las confianzas de bosque. Las confianzas de bosque y las confianzas externas difieren de la siguiente manera:

  • Las confianzas externas se usan en Windows 2000 para habilitar relaciones de confianza entre dos dominios que se encuentran en bosques diferentes.

  • Las confianzas de bosque son similares a las confianzas externas entre los dominios raíz de dos bosques. Sin embargo, una confianza de bosque engloba todos los dominios de cada bosque. Las confianzas de bosque requieren que todos los controladores de dominio de ambos bosques ejecuten Windows Server 2003.

Causa del escenario 1

El problema se produce porque se está usando el contexto de seguridad de la cuenta de equipo. Por lo tanto, no se puede usar NTLM. Se requiere la autenticación Kerberos.

Pasos para la solución de problemas del escenario 1

Para resolver este problema, siga estos pasos:

  1. Use monitor de red para realizar seguimientos simultáneos desde el equipo cliente en el bosque 1 y desde el controlador de dominio de inicio de sesión en el bosque 2.
  2. Habilite el registro de USERENV. Para obtener más información acerca de cómo hacerlo, vea Cómo habilitar el registro de depuración del entorno del usuario en las compilaciones comerciales de Windows.

La traza del monitor de red muestra que la autenticación Kerberos produce un error y que no se usa la autenticación NTLM.

La siguiente información se registra en el archivo userenv. log:

USERENV (CE 0.86 c) 13:36:18:156 ProcessGPO: aplazar la búsqueda <LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=nils,DC=com>
USERENV (CE 0.86 c) 13:36:18:484 GetMachineDomainDS: error de ldap_bind_s con 82
USERENV (CE 0.86 c) 13:36:18:500 GetGPOInfo: dejando con 0

Solución para el escenario 1

Para resolver este problema, aplique la revisión 896683 al controlador de dominio basado en Windows Server 2003 del bosque 2.

Un usuario de un dominio externo de confianza no puede iniciar sesión en un dominio basado en Windows Server 2003 aunque la configuración de directiva de grupo permitir la Directiva de usuario entre bosques y los perfiles de usuario móviles está habilitada

Esta revisión habilita el GPO sin requerir la autenticación Kerberos.

Nota

Este problema no se aplica a las confianzas de bosque entre dos bosques basados en Windows 2003 que proporcionan compatibilidad total con Kerberos.

Síntomas para el escenario 2

Los GPO entre bosques no se aplican si ICMP no está habilitado. El procesamiento de la Directiva de grupo se detiene si no se permiten los paquetes ICMP fragmentados grandes en la red debido a la detección de vínculos lentos. Cuando esto ocurre, Microsoft Windows XP no detecta un vínculo rápido o lento. En su lugar, Windows XP no supera el procesamiento de la Directiva de grupo. Solo se registra un evento USERENV 1054 genérico en el registro de eventos de la aplicación. Este problema afecta a las directivas de equipo y de usuario.

En este escenario, se registra la siguiente información en el archivo userenv. log:

USERENV (22C. 91c) 15:58:22:322 ProcessGPOs:
USERENV (22C. 91c) 15:58:22:322 ProcessGPOs:
USERENV (22C. 91c) 15:58:22:332 ProcessGPOs: iniciando el procesamiento de la Directiva de grupo de usuario (segundo plano)...
USERENV (22C. 91c) 15:58:22:332 ProcessGPOs:
USERENV (22C. 91c) 15:58:22:341 ProcessGPOs:
USERENV (22C. 91c) 15:58:22:341 EnterCriticalPolicySectionEx: escribir con timeout 600000 y Flags 0X0
USERENV (22C. 91c) 15:58:22:341 EnterCriticalPolicySectionEx: se ha reclamado la sección crítica del usuario. Handle = 0x734
USERENV (22C. 91c) 15:58:22:351 EnterCriticalPolicySectionEx: se ha salido correctamente.
USERENV (22C. 91c) 15:58:22:351 ProcessGPOs: el rol de máquina es 2.
USERENV (22C. 91c) 15:58:22:370 PingComputer: adaptador velocidad 10 millones bps
USERENV (22C. 91c) 15:58:22:446 PingComputer: primera hora: 76
USERENV (22C. 91c) 15:58:27:247 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:27:314 PingComputer: primera hora: 73
USERENV (22C. 91c) 15:58:32:496 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:32:563 PingComputer: primera hora: 73
USERENV (22C. 91c) 15:58:37:745 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:37:745 PingComputer: no hay datos disponibles
USERENV (22C. 91c) 15:58:37:926 PingComputer: adaptador velocidad 10 millones bps
USERENV (22C. 91c) 15:58:38:003 PingComputer: primera hora: 75
USERENV (958.95 c) 15:58:42:517 LibMain: nombre del proceso: C:\WINDOWS\system32\userinit.exe
USERENV (22C. 91c) 15:58:42:994 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:43:070 PingComputer: primera hora: 77
USERENV (22C. 91c) 15:58:48:243 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:48:396 PingComputer: primera hora: 159
USERENV (22C. 91c) 15:58:53:492 PingComputer: error en el envío del segundo con 11010
USERENV (22C. 91c) 15:58:53:492 PingComputer: no hay datos disponibles
USERENV (22C. 91c) 15:58:53:492 ProcessGPOs: error de DSGetDCName con 59.
USERENV (22C. 91c) 15:58:53:502 ProcessGPOs: no se ha realizado ningún registro de WMI en este ciclo de directivas.
USERENV (22C. 91c) 15:58:53:502 ProcessGPOs: error de procesamiento con el error 59.
USERENV (22C. 91c) 15:58:53:502 LeaveCriticalPolicySection: se ha lanzado una sección crítica 0x734.
USERENV (22C. 91c) 15:58:53:512 ProcessGPOs: se ha aplicado la Directiva de grupo de usuarios.

Causa del escenario 2

Este problema puede producirse cuando los clientes se autentican y extraen la configuración de directiva de grupo en un vínculo de red de área extensa (WAN). El proceso que se usa para detectar la velocidad del vínculo implica el envío de una solicitud de ping ICMP grande. Por ejemplo, se envía una solicitud de ping que tiene un tamaño superior a 2 KB. La solicitud de eco ICMP se fragmenta en paquetes IP independientes por la interfaz de red propia del cliente, por un enrutador WAN o tanto por la interfaz como por el enrutador. Debido a que algunos ataques IP incluyen paquetes ICMP con formato incorrecto, muchos enrutadores están configurados para descartar paquetes ICMP fragmentados.

Solución para el escenario 2

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, vea Cómo realizar una copia de seguridad y restaurar el registro en Windows.

Para deshabilitar la detección de vínculos de baja velocidad en el equipo cliente de Windows XP, establezca los siguientes valores del registro:

  • Registro 1:

    • Subclave del registro: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
    • Nombre del valor: GroupPolicyMinTransferRate
    • Tipo de valor: DWORD
    • Datos del valor: 0
  • Registro 2:

    • Subclave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
    • Nombre del valor: GroupPolicyMinTransferRate
    • Tipo de valor: DWORD
    • Datos del valor: 0

Esta configuración del registro debe configurarse manualmente porque la Directiva de grupo no se aplica en este escenario. De lo contrario, esta configuración del registro se establece en la siguiente configuración de directiva de Grupo:

  • Configuración de directiva de grupo 1:

    • Ubicación de la Directiva: configuración del Equipo\plantillas Administrativas\sistema\directiva de equipo
    • Nombre de directiva: detección de vínculo de baja velocidad de la Directiva de grupo
    • Configuración de directiva: habilitada con un valor de 0
  • Opción de directiva de grupo 2:

    • Ubicación de la Directiva: configuración de la Directiva de Administrativas\sistema\directiva de usuario
    • Nombre de directiva: detección de vínculo de baja velocidad de la Directiva de grupo
    • Configuración de directiva: habilitada con un valor de 0

Estos cambios del registro se pueden incluir en scripts con el archivo Reg.ini si debe aplicar los cambios a muchos equipos. A continuación, puede crear un GPO que aplique esta configuración para asegurarse de que la configuración se retiene después de resolver este problema.

Es posible que también desee modificar el perfil de usuario predeterminado para que contenga la configuración del lado del usuario. Por lo tanto, todos los perfiles nuevos aplicarán correctamente la configuración de directivas de grupo. Después de implementar esta configuración, el archivo userenv. log muestra el procesamiento correcto de la Directiva de grupo. La siguiente información se registra en el archivo userenv. log:

USERENV (21c. 6f4) 17:09:54:872 ProcessGPOs:
USERENV (21c. 6f4) 17:09:54:872 ProcessGPOs:
USERENV (21c. 6f4) 17:09:54:872 ProcessGPOs: iniciar el procesamiento de la Directiva de grupo del equipo (segundo plano)...
USERENV (21c. 944) 17:09:54:872 ProcessGPOs:
USERENV (21c. 944) 17:09:54:882 ProcessGPOs:
USERENV (21c. 944) 17:09:54:882 EnterCriticalPolicySectionEx: especificar con timeout 600000 y Flags 0X0
USERENV (21c. 944) 17:09:54:882 EnterCriticalPolicySectionEx: se ha reclamado la sección crítica del usuario. Handle = 0xa4c
USERENV (21c. 6f4) 17:09:54:882 EnterCriticalPolicySectionEx: escribir con timeout 600000 y Flags 0X0
USERENV (21c. 6f4) 17:09:54:892 EnterCriticalPolicySectionEx: se ha reclamado la sección crítica del equipo. Handle = 0xa44
USERENV (21c. 944) 17:09:54:892 EnterCriticalPolicySectionEx: se ha salido correctamente.
USERENV (21c. 944) 17:09:54:902 ProcessGPOs: el rol de máquina es 2.
USERENV (21c. 6f4) 17:09:54:892 EnterCriticalPolicySectionEx: se ha salido correctamente.
USERENV (21c. 6f4) 17:09:54:912 ProcessGPOs: el rol de máquina es 2.
USERENV (21c. 944) 17:09:54:902 IsSlowLink: la velocidad de transferencia de vínculos lentas es 0. La Directiva de descarga siempre.

Síntomas para el escenario 3

Los administradores no pueden usar el modo de planeamiento de RSoP para planear escenarios que abarquen bosques en Windows Server 2003. Por ejemplo, no puede planear un escenario en el que un usuario inicie sesión en una estación de trabajo del bosque 1 desde el bosque 2. Cuando intenta ejecutar el modo de planeación de RSoP en un entorno entre bosques, puede recibir el siguiente mensaje de error de la Directiva de Grupo:

Actualmente no se admiten escenarios de modo de planeación entre bosques.

Causa del escenario 3

Este problema se produce porque el modo de planeamiento RSoP no admite escenarios entre bosques. En muchos escenarios, RSoP no puede validar la información que se devuelve de un controlador de dominio que se encuentra en otro bosque. El grupo usuarios autenticados debe tener permisos de lectura para las directivas relevantes para poder leer correctamente una directiva determinada en un entorno entre bosques.