GPO – Troubleshooting : erreurs ID 1129 – 1130 avec un script de démarrage

I. Présentation

Dernièrement j'ai rencontré une problématique liée aux GPO qui ne m'étais pas inconnue sur plusieurs postes de travail. Il me semblait intéressant de partager avec vous la solution à ce problème.

En fait, je voulais tester un nouveau script qui se lance par GPO au démarrage de la machine, sauf que rien ne se passait. J'ai donc commencé les investigations...

Pour rappel, ce type de script ce configure ici dans une GPO : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage/arrêt)

II. Erreur GroupPolicy 1129 - 1130

En regardant l'observateur d'événements d'une machine, je me suis aperçu qu'il y avait deux ID d'événements qui revenaient à chaque démarrage du PC :

  • Erreur 1129 : cette erreur indique un problème de connectivité entre le PC et le contrôleur de domaine
  • Erreur 1130 : cette erreur remonte un problème pour exécuter le script de la GPO

La première erreur est générée une fois, au moment du démarrage, alors que la seconde est générée pour chaque script à exécuter.

Aperçu de l'erreur #1129 :

Aperçu de l'erreur #1130 :

Ce problème se produit uniquement sur les postes connectés en Wi-Fi, si l'on connecte le PC sur le réseau en RJ45, les erreurs n'apparaissent plus. Le réseau Wi-Fi fonctionne parfaitement.

Ce qu'il se passe c'est que le PC met plus de temps à négocier une connexion lorsqu'il est connecté en sans-fil car la connexion est initiée seulement lorsque Windows démarre. En câble, le lien est déjà monté au niveau de la carte. Cette histoire de millisecondes pose problème... d'autant plus que dans mon cas l'accès sans-fil était couplé à une authentification 802.1X avec un serveur NPS (Radius).

III. Ajouter un délai pour le traitement des GPO de démarrage

Par l'intermédiaire des GPO, Microsoft vous permet de configurer les postes clients afin de modifier leur comportement lorsqu'il s'agit de traiter les stratégies de groupe.

Il y a notamment le paramètre suivant : Spécifier le temps d'attente de traitement de stratégie de démarrage.

Ce paramètre est très intéressant puisqu'il permet de repousser l'exécution des scripts de démarrage de X secondes. La valeur par défaut étant 30 secondes. Cela étant traité de façon asynchrone (sauf si vous avez configuré différemment), l'ajout d'un délai ne va pas ralentir le démarrage de votre machine, c'est jusque le travail en tâche de fond sera légèrement différé de quelques secondes.

On le retrouve à cet endroit lorsque l'on édite une GPO :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Stratégie de groupe

Pour le tester, il faut activer le paramètre et indiquer un temps d'attente. Pour ma part, en indiquant une valeur de 50 secondes ça fonctionnait bien, après vous pouvez monter jusque 60 secondes.

IV. Le résultat

Une fois le paramètre déployé sur un PC, j'ai pu constater que je n'avais plus les erreurs 1129 et 1130 dans l'observateur d'événements. La bonne nouvelle c'est que l'événement 1503 est apparu afin d'indiquer que de nouveaux paramètres de GPO sont désormais appliqués sur la machine. Une machine connectée en sans-fil, dans les mêmes conditions que lorsque le problème est apparu.

Avant d'appliquer ce paramètre, il me semble intéressant de vérifier de ne pas avoir de problèmes de :

  • Commutation au niveau du réseau
  • Communication avec le contrôleur de domaine ciblé par le poste client
  • Résolution DNS, notamment sur votre nom de domaine / nom FQDN du contrôleur de domaine
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2188 posts and counting.See all posts by florian

Une pensée sur “GPO – Troubleshooting : erreurs ID 1129 – 1130 avec un script de démarrage

  • Bonjour, c est une solution mais vous pouvez Aussie faire de l authentification 802.1x machine au lieu d utilisateurs et ainsi le pc portables sera connecté au wifi avant l ouverture de session .

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.