某局点虚拟机禁用network connections服务之后导致XP系统虚拟机无法正常登入

发布时间:  2016-04-13 浏览次数:  103 下载次数:  0
问题描述

禁用network connections服务之后导致XP系统虚拟机无法正常登入

告警信息

处理过程

1、使用Win7系统的虚拟机ping这台无法登入的XP系统的虚拟机,发现无法ping通。

2、使用VNC登入到XP系统的虚拟机,查看虚拟机可以正常ping通Win7的虚拟机,在控制面板打开防火墙发现有一个“错误1068:依存服务或组无法启动”。

3、确认是由于WinXP的依存关系(network connections被禁用)导致无法使用防火墙功能,导致防火墙默认开启。

4、由于客户还是需要禁止用户修改Win7系统的IP地址,在AD上的新建一个组织和组策略(不对network connections服务进行定义)专门给XP系统使用,而Win7系统采用系统本身的默认组策略并且还是禁用network connections服务。

具体步骤如下:

(1)在“Active Directory 用户和计算机”创建一个Win7和一个WinXP组织,之后在“开始”“管理工具”选择“组策略管理”,进入到“组策略管理”选择对应的林域,在域名称下找到对应的下Win7和一个WinXP组织。

(2)保持Win7的组织继承默认的组策略,右键点击“Win7”组织,选中“链接现有”,在弹出来的对话框中选择“Default Domain Policy”,点击确定完成设置。

(3)右键WinXP的组织,选择“在这个域中创建GPO并在此处链接”,在出现的框中填写相对应的名称,点击确认。选中新增的组策略(如WinXP_zhuangyong ),右键选择“编辑”,在弹出的“组策略管理编辑器”中选择“计算机配置”,打开“策略”之后再点开“Windows设置”,再打开下拉表中的“安全设置”,打开“系统服务”,确认“network connections”服务"没有定义"即可。

5、使用命令(gpupdate/force)更新AD是的组策略信息,之后在出现问题的XP系统虚拟机上进行了更新之后,可以正常ping通,也可以正常登入。

操作步骤如下:

(1)在AD服务器上使用“开始”“运行”输入cmd命令,在出现cmd框中输入gpupdate/force命令,确认组策略更新成功。

(2)同样的在WinXP系统的计算机上也执行该命令更新组策略,完成之后打开“服务”窗口确认“network connections”服务是否正常,如果未启动,就要在启动Windows Filewall之前启动该服务。然后再进行ping测试。

根因

XP系统的Network Connections和Windows Firewall具有依存关系,一个服务被禁用同时导致另外的服务也无法正常使用

解决方案

1、开启Network Connections服务;

2、在AD上新建组织和组策略专门给XP系统的虚拟机使用。

建议与总结

给XP系统的组策略要设置“阻止继承”和“强制”,以便策略能够生效,防止继承默认的组策略。

END