Les clients Windows 7 ne parviennent pas à appliquer la stratégie de groupe au démarrage de manière intermittente

Cet article fournit une solution à un problème où les clients Windows 7 ne parviennent pas à appliquer la stratégie de groupe au démarrage de manière intermittente.

Version du produit d’origine :   Windows 7 Service Pack 1
Numéro de la base de connaissances initiale :   2421599

Symptômes

Les clients Windows 7 échouent par intermittence au traitement de la stratégie de groupe au démarrage ou au redémarrage. Les événements suivants sont consignés dans le journal des événements système :

Error 9/9/2010 2:43:29 PM NETLOGON 5719 Error 9/9/2010 2:43:31 PM GroupPolicy 1055

Cause

Le comportement est dû à une condition de concurrence entre l’initialisation du réseau, la localisation d’un contrôleur de domaine et le traitement de la stratégie de groupe. Si le réseau n’est pas disponible, cela indique qu’un contrôleur de domaine est introuvable et que le traitement de la stratégie de groupe échoue. Une fois que le système d’exploitation a été chargé et qu’une liaison réseau est négociée et établie, l’actualisation en arrière-plan de la stratégie de groupe réussit.

La séquence d’événements suivante reflète la condition :

Information 8/9/2010 2:42:11 PM EventLog 6006 indicates system shutdown
Information 8/9/2010 2:43:10 PM e1kexpress 33 indicates that your network connection link has been established with <speed/duplex>
Information 8/9/2010 2:43:20 PM EventLog 6005 indicates event log service has started 
Information 8/9/2010 2:43:25 PM Dhcp-Client 50036 indicates dhcp client service has started
Error 8/9/2010 2:43:29 PM NETLOGON 5719 indicates netlogon unable to reach any of the domain controllers
Error 8/9/2010 2:43:31 PM GroupPolicy 1055 indicates group policy processing failed 
Information 8/9/2010 2:59:07 PM GroupPolicy 1503 indicates group policy processing succeeded

Cela peut également être confirmé via les journaux Netlogon :

8/09 14:43:29 [SESSION] \Device\NetBT_Tcpip_{53267BA1-EB8C-4348-BD81-41C3FF162EE9}: Transport Added (169.254.214.170) 08/09 14:43:29 [SESSION] Winsock Addrs: 169.254.214.170 (1) Address changed. 8/09 14:43:29 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.dc._msdcs.contoso.com.: Cannot Query DNS. 1460 0x5b4 08/09 14:43:29 [CRITICAL] NetpDcGetNameIp: contoso.com.: No data returned from DnsQuery. 08/09 14:43:29 [CRITICAL] DBG: NlDiscoverDc: Cannot find DC. 08/09 14:43:29 [CRITICAL] DBG: NlSessionSetup: Session setup: cannot pick trusted DC 08/09 14:43:29 [SESSION] DBG: NlSetStatusClientSession: Set connection status to c000005e 08/09 14:43:29 [SESSION] DBG: NlSessionSetup: Session setup Failed

Résolution

Pour contourner ce problème, vous pouvez définir une valeur de Registre qui retarde l’application de la stratégie de groupe :

  1. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.

  2. Développez la sous-clé suivante : HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Cliquez avec le bouton droit sur Winlogon, pointez sur nouveau, puis cliquez sur valeur DWORD.

  4. Pour nommer la nouvelle entrée, tapez GpNetworkStartTimeoutPolicyValue, puis appuyez sur entrée.

  5. Cliquez avec le bouton droit sur GpNetworkStartTimeoutPolicyValue, puis cliquez sur modifier.

  6. Sous base, cliquez sur décimale.

  7. Dans la zone données de la valeur, tapez 60, puis cliquez sur OK.

  8. Quittez l’éditeur du Registre, puis redémarrez l’ordinateur.

  9. Si le script de démarrage de la stratégie de groupe ne s’exécute pas, augmentez la valeur de l’entrée de Registre GpNetworkStartTimeoutPolicyValue.

Informations supplémentaires

La valeur spécifiée doit être suffisamment longue pour garantir que la connexion est établie. Pendant le délai imparti, Windows vérifie l’état de la connexion toutes les deux secondes et continue de démarrer le système dès que la connexion est confirmée. Par conséquent, erring est recommandé. Toutefois, si le système est déconnecté de manière légitime (par exemple, câble réseau déconnecté, serveur hors ligne, etc.), Windows se bloque pendant toute la durée du délai d’attente.

Cela peut également être défini via une stratégie de groupe :

Emplacement de la stratégie : configuration de l’ordinateur > stratégies > modèles d’administration > système > nom du paramètre de la stratégie de groupe : temps d’attente de traitement de la stratégie de démarrage : HKLM\Software\Policies\Microsoft\Windows\System ! GpNetworkStartTimeoutPolicyValue

Si vous définissez le paramètre de stratégie de groupe, il remplace le paramètre manuel. Toutefois, si aucun des paramètres de stratégie manuelle ou de groupe n’a été défini, la valeur est prélevée à partir de l’emplacement de Registre suivant :

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History

Étant donné qu’il n’y a pas de délai d’expiration défini, le système utilise désormais son propre algorithme pour calculer et arriver à un délai d’expiration moyen et cette valeur est stockée dans l’emplacement du Registre ci-dessus. Cela peut varier selon les facteurs comme les tentatives de connexion précédentes.

(Remarque : la description de la stratégie de groupe pour le « temps d’attente de traitement des stratégies de démarrage » n’est pas détaillée et ne concerne pas tous les scénarios. Nous n’avons pas la stratégie actuellement configurée ne signifie pas que nous allons utiliser une valeur de délai d’expiration par défaut de 30 secondes.)