Table of Contents
- Case
- Solution
- Option 1
- Option 2
Case #
You are running “Group Policy Update” on an OU inside the Group Policy Management Console in Active Directory but you are receiving RPC errors from your servers or domain-joined workstations, as shown in the example below.
After a Group Policy Update, you come across Group Policy error codes 8007071a and 800706ba.
This means that the local Windows Firewall is not configured properly to allow Group Policy (GPO) traffic. GPO traffic an be either remote GPO update or remote GP Resultant Set of Policy (RSOP) operations.
Solution #
Option 1 #
Run gpedit.msc and create a new local group policy object which implements the following policies under Local Computer Policy –> Computer Configuration –> Windows Settings –> Security Settings –> Windows Defender Firewall –> Inbound Rules :
The full configuration is shown below.
After the above local group policies are configured on each domain server and workstation, you can start applying group policy objects to the domain targets. To ensure that group policy update is working without issues, run a “Group Policy Update” force operation from within the gpmc.msc console by right clicking on the desired OU which contains AD computer objects to be tested.
Important note: If you already have custom Windows Firewall rules configured, the above local policy will override the existing custom rules and overwrite them with the local policy. In these cases, either amend your local policy to include your custom rules or manually edit the Windows Firewall rules via the WF.MSC console.
Option 2 #
Utilize the two starter GPOs available out of the box in all modern versions of Windows, as shown below.
Windows Server Group Policy offers new Starter GPOs called Group Policy Remote Update Firewall Ports and Group Policy Reporting Firewall Ports. These Starter GPO include policy settings to configure the firewall rules required for GPO operations. This enables inbound network traffic on the ports, which is necessary to allow the remote Group Policy refresh and RSOP to run. It is a best practice to create new GPOs from this Starter GPO, and then link the new GPOs to your domain with a higher precedence than the Default Domain GPO, so that you can configure all computers in the domain to enable a remote Group Policy refresh.
Group Policy Remote Update Firewall Ports Starter GPO
Group Policy Reporting Firewall Ports Starter GPO
How to change keyboard mappings in Linux and WindowsHow to perform whois on public IP addresses
В этой статье мы покажем, как актуализировать параметры групповой политики (GPO) на компьютерах Windows в домене Active Directory: как автоматически обновлять (актуализировать) групповые политики, как использовать команду GPUpdate, как обновлять их удалённо с помощью Group Policy Management Console, GPMC.msc (консоль Управления групповой политикой) или командлет PowerShell Invoke-GPUpdate.
Как изменить интервал актуализации групповой политики?
Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в настройки Windows. Этот процесс называется Group Policy Update (актуализация групповой политики). Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и автоматически обновляются в фоновом режиме каждые 90 минут + случайное смещение времени 0–30 минут (это означает, что параметры политики обязательно будут применены к клиентам через 90–120 минут после обновления файлов GPO на контроллере домена).
По умолчанию контроллеры домена обновляют настройки GPO чаще: каждые 5 минут.
Вы можете изменить интервал обновления GPO, используя параметр Set Group Policy refresh interval for computers («Установить интервал обновления групповой политики для компьютеров»). В редакторе управления групповыми политиками эта настройка находится поо пути Computer Configuration → Administrative Templates → System → Group Policy (в русскоязычной версии «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Групповая политика»).
Включите политику и установите время (в минутах) для следующих параметров:
- Первое значение позволяет настроить частоту применения групповой политики к компьютерам (от 0 до 44640 минут), как часто клиент должен обновлять параметры GPO в фоновом режиме. Если вы установите здесь 0, то политики будут обновляться каждые 7 секунд (делать этого не стоит);
- Второе значение — это случайная величина, добавляемая к интервалу времени обновления, во избежание одновременных запросов групповой политики всеми клиентами (от 0 до 1440 минут). Это максимальное значение случайного временного интервала, добавляемого в качестве смещения к предыдущему параметру (используется для уменьшения количество одновременных обращений клиентов к DC для загрузки файлов GPO).
Обратите внимание, что частое обновление GPO приводит к увеличению трафика на контроллеры домена и приводит к увеличению нагрузки на сеть.
Использование команды GPUpdate.exe для принудительного обновления настроек GPO
Все администраторы знают команду gpupdate.exe, которая позволяет обновлять параметры групповой политики на компьютере:
gpupdate /force
Эта команда заставляет ваш компьютер читать все объекты групповой политики с контроллера домена и повторно применять все настройки. Это означает, что когда используется ключ /force, клиент подключается к контроллеру домена, чтобы получить файлы для ВСЕХ политик, нацеленных на него. Это может привести к увеличению нагрузки на вашу сеть и контроллер домена.
Команда gpudate без каких-либо параметров применяет только новые и изменённые настройки GPO.
В случае успеха появится следующее сообщение:
Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
В русифицированной версии:
Выполняется обновление политики... Обновление политики для компьютера успешно завершено. Обновление политики пользователя завершено успешно.
Если некоторые политики или параметры не были применены, используйте команду GPResult для диагностики проблемы и следуйте инструкциям в статье «Устранение неполадок: групповая политика (GPO) не применяется».
Вы можете обновить только настройки GPO пользователя:
gpupdate /target:user
или только параметры политики компьютера:
gpupdate /target:computer /force
Если некоторые политики не могут быть обновлены в фоновом режиме, gpupdate может завершить сеанс текущего пользователя:
gpupdate /target:user /logoff
Или перезагрузить компьютер (если изменения GPO можно применить только при загрузке Windows):
gpupdate /Boot
Как принудительно обновить удалённый объект групповой политики из консоли управления групповой политикой (GPMC)?
В Windows Server 2012 и новее вы можете обновлять параметры групповой политики на компьютерах домена удалённо, используя GPMC.msc (консоль управления групповой политикой).
В Windows 10 вам нужно будет установить RSAT, чтобы использовать консоль GPMC:
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools
Затем после изменения каких-либо параметров или создания и сопряжения нового объекта групповой политики достаточно щёлкнуть правой кнопкой мыши нужное организационное подразделение (OU) в консоли управления групповыми политиками и выбрать в контекстном меню пункт Group Policy Update («Обновление групповой политики»). В новом окне вы увидите количество компьютеров, на которых будет обновлён GPO. Подтвердите принудительное обновление политик, нажав Yes («Да»).
Затем GPO будет удалённо обновляться на каждом компьютере в OU один за другим, и вы получите результат со статусом обновления групповой политики на компьютерах Succeeded/Failed («Успешно / Не удалось»).
Эта функция создаёт задачу в Планировщике задач с помощью команды «GPUpdate.exe /force» для каждого вошедшего в систему пользователя на удалённом компьютере. Задача запускается в произвольный период времени (до 10 минут), чтобы снизить нагрузку на сеть.
Чтобы функция обновления удалённого объекта групповой политики GPMC работала на клиенте, должны быть выполнены следующие условия:
- TCP-порт 135 должен быть открыт в правилах брандмауэра Защитника Windows;
- Должны быть включены службы Windows Management Instrumentation and Task Scheduler («Инструментария управления Windows и планировщика задач»).
Если компьютер выключен или брандмауэр блокирует к нему доступ, то рядом с именем компьютера появляется сообщение ‘The remote procedure call was canceled. Error Code 8007071a‘ («Удалённый вызов процедуры был отменен. Сообщение с кодом ошибки 8007071a»).
Фактически, эта функция работает так же, как если бы вы обновили настройки GPO вручную с помощью команды «GPUpdate /force» на каждом компьютере.
Invoke-GPUpdate: принудительное обновление удалённой групповой политики через PowerShell
Вы также можете вызвать удалённое обновление GPO на компьютерах с помощью командлета PowerShell Invoke-GPUpdate (являющегося частью RSAT). Например, чтобы удалённо обновить параметры политики пользователя на определённом компьютере, вы можете использовать следующую команду:
Invoke-GPUpdate -Computer "frparsrv12" -Target "User"
Если вы запустите командлет Invoke-GPUpdate без каких-либо параметров, он обновит настройки GPO на текущем компьютере (как и gpudate.exe).
Вместе с командлетом Get-ADComputer вы можете обновить объект групповой политики на всех компьютерах в определённом подразделении:
Get-ADComputer -filter * -Searchbase "OU=Computes,OU=Mun,OU=DE,dc=hackware,dc=ru" | foreach{ Invoke-GPUpdate -computer $_.name -force}
или на всех компьютерах, отвечающих определенным требованиям (например, на всех хостах Windows Server в домене):
Get-ADComputer -Filter {enabled -eq "true" -and OperatingSystem-Like '* Windows Server *'} | foreach {Invoke-GPUpdate -computer $ _. name -RandomDelayInMinutes 10 -force}
Вы можете установить случайное смещение для обновления GPO с помощью -RandomDelayInMinutes. Благодаря этой опции вы можете снизить нагрузку на сеть, если обновляете параметр групповой политики одновременно на нескольких компьютерах. Для немедленного применения параметров групповой политики на всех компьютерах используется параметр -RandomDelayInMinutes 0.
Команда Invoke-GPUpdate возвращает следующую ошибку для недоступных компьютеров:
Invoke-GPUpdate: Computer "frparsrv12" is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.
Если вы запустите командлет Invoke-GPUpdate удаленно или обновите объект групповой политики из консоли управления групповыми политиками, на рабочем столе пользователя на короткое время может появиться окно консоли с запущенной командой gpupdate.
Связанные статьи:
- Настройка политики паролей домена в Active Directory (86.4%)
- Использование инструмента GPResult для проверки того, какие объекты групповой политики применяются (72.8%)
- Устранение неполадок: групповая политика (GPO) не применяется (72.8%)
- Устранение неполадок, связанных с медленной обработкой GPO и снижением скорости входа в систему (72.8%)
- Fine-Grained Password Policy: Как создать детальную политику паролей в Active Directory (59.1%)
- Как добавить компьютер в рабочую группу и выйти из домена в PowerShell (RANDOM — 50%)
6 Replies
-
I would check the Windows Firewall settings and make sure Remote Scheduled Task Management (RPC), Remote Scheduled Task Management (RPC-EPMAP) and Windows Management Instrumentation (WMI-In) are allowed in Inbound Rules. It’s easiest to set this within Group Policy:
Also check that Symantec is not additionally blocking ports 135 and 445:
https://community.spiceworks.com/topic/919920-remote-group-policy-error-8007071a-the-remote-procedur…
nate
Was this post helpful?
thumb_up
thumb_down
-
It was in fact the Symantec that did not allow the connection. I saw in the console right away that it was blocking ports 445 and 135.
Although, one without the Symantec Endpoint Protection still fail despite opening the ports and allowing the services.
Was this post helpful?
thumb_up
thumb_down
-
Ya, one of the comments in the link I provided states:
»
Strange problem though, if I restart the computer the policies will not update until I turn the firewall on the client PC off (not through Symantec, through Windows), update GP, then turn it back on. Then I can continue to update the GP as normal through the firewalls.»
Personally, I’m not a fan of Windows’ firewall(s) and turn them off for Domain (via GP).
nate
Was this post helpful?
thumb_up
thumb_down
-
Pushing out the GPO with the firewall rules. Hopefully it goes in effect soon.
Now it’s the waiting game.
Was this post helpful?
thumb_up
thumb_down
-
Lol. It’s one thing after another.
After applying GPO for firewall, it’s giving me error for RDC Unavailable for all PCs.
Was this post helpful?
thumb_up
thumb_down
-
Got it resolved.
Not sure why but DNS server was pointing to quad 8 and 8.8.4.4 rather than itself (127.0.0.1 and DC IP).As soon as we did that, it was resolved quickly.
Thanks for the help.
Was this post helpful?
thumb_up
thumb_down
- Remove From My Forums
-
Question
-
Hi,
I have move that Computer to new OU which need to show the legal message and I have created GPO to enforced this GPO. When I push down the GPO update, I received error message below:
«error code 8007071a. the remote procedure call was cancelled»
According to the URL http://jaredheinrichs.com/how-to-fix-8007071a-the-remote-procedure-call-was-cancelled.html I
have allow related RPC services from firewall as well.Any others reason which cause the policy failed apply to that specific OU.
Regards,
Shiro
-
Edited by
Wednesday, February 12, 2020 2:50 AM
-
Edited by
- Remove From My Forums
-
General discussion
-
Hi, I have been messing with the Group Policy Management Editor this week. I have already set up the policy settings that I need for the clients to work on the domain. As you know, I am new to this — so I have made lots of mistakes so far, but I have managed
to fix a few!Although, this is a new domain — so everything is all set-up ready to update to the clients. But for some reason, that when I was trying to update the OU policies by pressing the
«Group Policy Update«, after the dialog box comes up. It shows the error.Below this image, it tells you that the client it was trying to update has failed with a error code (8007071a) and the description
«The remote procedure call was cancelled». So, is there a way to solve this problem?-
Edited by
Saturday, June 27, 2015 10:12 PM
Image Added
-
Edited by