Article Number: 000135060
因為多種原因,Active Directory (AD) 網域的成員在套用群組原則時可能會遇到問題。本文探討一些較常見的問題,並提供針對根本問題的故障診斷指導方針。
一般故障診斷
針對這些問題進行故障診斷的第一步,應該是判斷其範圍。如果只有一台機器無法處理群組原則,問題很可能源自該機器的故障或組態錯誤。如果問題影響範圍較大,則問題可能存在於網域控制站 (DC) 或 AD 本身。
如果只有一台機器受到影響,請在受影響的機器上執行 gpupdate /force
,再進一步進行故障診斷。如此可確保故障的原因並非由已修復的暫時性網路問題所造成。
當機器無法處理群組原則時,通常會在其應用程式記錄中產生一或多個 Userenv 錯誤。常見的事件 ID 編號包括 1030、1053、1054 和 1058。受影響機器上對特定錯誤的說明,應能提供一些關於問題的基本概念。
DNS 問題
最常見的群組原則故障 (及其他許多 AD 問題) 的原因,可能就是名稱解析問題。如果受影響機器上的 Userenv 錯誤包含「找不到網路路徑」或「找不到網域控制站」等內容,原因便可能是 DNS。以下是針對這類問題進行故障診斷的幾個秘訣:
nslookup
網域 (nslookup mydomain.local
例如)。此命令應會傳回網域中所有 DC 的 IP 位址。如果傳回任何其他位址,便代表 DNS 中可能有不正確的記錄。也可使用「nslookup」命令將個別 DC 的名稱解析至其 IP 位址。ipconfig /all
在受影響的機器上,確認其已設定為僅使用內部 DNS 伺服器。使用錯誤的 DNS 伺服器是造成網域中發生 DNS 問題的主要原因,而且很容易進行補救。所有加入網域的機器都必須僅使用內部 DNS 伺服器,通常便是 DC。ipconfig /flushdns
。這可清除機器上解析器快取中的所有無效資料。netdom
命令測試和重設安全通道。
遺失群組原則檔案
可能已經從 SYSVOL 的儲存位置刪除一個或多個群組原則檔案。若要檢查此問題,請使用檔案總管瀏覽至 SYSVOL\domain\Policies,並查詢 Userenv 錯誤中所提到的特定檔案。每個 GPO 的檔案都位於 Policies 資料夾的子資料夾中。每個子資料夾都是以其中檔案的 GPO 十六進位 globally unique identifiers (GUID) 命名。
如果發現有任何 DC 的原則檔案遺失,可從備份還原。如果預設網域原則或預設網域控制站原則檔案遺失,且沒有可用的備份,可使用 dcgpofix
命令將兩個原則還原至其預設設定。
如需關於 dcgpofix
的更多資訊,請參閱這裡。
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2
08 Nov 2023
7
How To