Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Fejlfinding af fejl ved behandling af gruppepolitik i et Active Directory-domæne

Summary: Sådan foretager du fejlfinding af problemer med behandling af gruppepolitik på Windows-computere i et Active Directory-domæne.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Artikeloversigt: Denne artikel indeholder oplysninger om fejlfinding af fejl ved behandling af gruppepolitik på Windows-maskiner i et Active Directory-domæne.


 

Medlemmer af et Active Directory-domæne (AD) kan opleve problemer med at anvende gruppepolitik af flere forskellige årsager. Denne artikel omhandler nogle af de mest almindelige problemer og giver vejledning til fejlfinding af de underliggende problemer.
 
General fejlfinding
Det første trin i fejlfindingen af disse problemer bør være at bestemme deres omfang. Hvis det kun er én computer, der ikke kan behandle en gruppepolitik, skyldes problemet sandsynligvis en fejlfunktion eller en forkert konfiguration af den pågældende computer og ikke et problem med en domænecontroller (DC) eller selve AD. I tilfælde af et computerspecifikt problem kan det være nyttigt at køre gpupdate /force på den berørte computer inden yderligere fejlfinding for at sikre, at fejlen ikke blev forårsaget af et midlertidigt netværksproblem, som siden er blevet løst.

Når en computer ikke kan behandle en gruppepolitik, vil den typisk generere en eller flere Userenv-fejl i sin programlog. Typiske hændelses-id-numre omfatter 1030, 1053, 1054 og 1058. Beskrivelserne af de specifikke fejl på en berørt computer bør give en idé om det underliggende problem.
 
DNS-problemer
Den måske mest almindelige årsag til gruppepolitikfejl (og mange andre problemer i AD) er et navnefortolkningsproblem: En klient forsøger at opdatere sine gruppepolitikindstillinger, men kan ikke bestemme navnet på en DC i domænet, kan ikke fortolke en DC's navn til en IP-adresse eller fortolker dette navn til adressen på en computer, der ikke er en DC og som måske ikke engang eksisterer. Hvis Userenv-fejlene på en berørt computer inkluderer udtrykket "Network path not found" eller "Cannot locate a domain controller", er DNS muligvis skyld i problemet. Følgende er et par tip til fejlfinding af denne type problem:

  • Åbn en kommandoprompt på en berørt computer, og kør nslookup domæne_navn (f.eks. nslookup mydomain.local). Denne kommando bør returnere IP-adresserne for alle domænecontrollere i domænet. Hvis der returneres andre adresser, er der sandsynligvis ugyldige poster i DNS. Kommandoen nslookup kan også bruges til at fortolke navnene på individuelle DC'er til deres IP-adresser (f.eks. nslookup dc1.mydomain.local).
  • Kør ipconfig /all på en berørt computer, og bekræft, at den er konfigureret til kun at bruge interne DNS-servere. Brug af forkerte DNS-servere er hovedårsagen til DNS-problemer i et domæne, og det er nemt at løse problemet. Alle domænetilsluttede computere må kun bruge interne DNS-servere, som typisk er domænecontrollere.
  • Hvis den berørte computer tilsyneladende bruger de korrekte DNS-servere, skal du kontrollere DNS-konsollen på en DC for at kontrollere, at de rigtige poster er til stede. Bekræft, at hver DC har to værtsposter (A) i domænets fremsøgezone: en med DC'ens værtsnavn og en med navnet "(samme som overordnet mappe)". Begge poster skal inkludere domænecontrollerens IP-adresse.
  • Når DNS-problemet er blevet løst, må du ikke glemme at køre ipconfig /flushdns på alle berørte computere for at rydde alle ugyldige data fra Resolver Cache på disse computere.
 

Problemer med den sikre kanal
Denne type problem opstår normalt, når en computer, der er tilsluttet et domæne, har været offline i så lang tid, at adgangskoden for dens computerkonto i Active Directory ikke længere svarer til computerens lokale cache-kopi af den pågældende adgangskode, men problemet kan også opstå i andre situationer. Et problem med den sikre kanal vil forhindre en computer i at blive godkendt af en DC og vil typisk manifestere sig som en "Access denied"-fejl, når denne computer forsøger at få adgang til domæneressourcer, herunder gruppepolitikopdateringer. Selvfølgelig er det ikke alle "Access denied"-hændelser, der skyldes problemer med den sikre kanal, men hvis en berørt computer har Userenv-fejl i sin programlog med "Access denied" i deres beskrivelse, er det forsøget værd at teste den sikre kanal.

  • Kommandoen nltest kan bruges til at teste (og nulstille, om nødvendigt) den sikre kanal på et domænemedlem.
  • Kommandoen netdom kan også teste og nulstille den sikre kanal.
  • Hvis Active Directory PowerShell-modulet er installeret, giver Test-ComputerSecureChannel PowerShell-cmdlet en anden mulighed for at teste og/eller nulstille den sikre kanal.
  • I nogle tilfælde kan det være nødvendigt at fjerne den berørte computer fra domænet, nulstille dens AD-computerkonto og tilslutte den til domænet igen for at nulstille dens sikre kanal.
 

Problemer med SYSVOL
Gruppepolitikfiler lagres i SYSVOL-sharet på alle DC'er i domænet – specifikt i undermapper i mappen SYSVOL\domain\Policies. Hvis SYSVOL-sharet ikke findes på en DC, indikerer det typisk et problem med enten FRS (File Replication Service) eller DFS-R (Distributed File System Replication), alt efter hvilken der bruges til at replikere SYSVOL.

Denne artikel kan ikke levere en udtømmende vejledning til fejlfinding af FRS eller DFS-R, men følgende links kan være nyttige:

 

Tidsforvridning
Hvis tiden på en berørt computer afviger mere end fem minutter fra tiden på en DC, når der er korrigeret for tidszoneforskelle, vil computeren som standard ikke kunne godkendes af domænecontrolleren og vil derfor ikke kunne behandle gruppepolitik. Domænemedlemmer skal konfigureres til at synkronisere deres ure med en DC, og DC'er skal synkronisere deres ure med den DC, der har rollen som PDC-emulator. Af denne grund skal PDC-emulatoren være den eneste computer i et domæne, der er konfigureret til at synkronisere med en ekstern kilde, f.eks. en offentlig NTP-server.

Du kan finde flere oplysninger om konfiguration af Windows Time-tjenesten her.
 
Manglende gruppepolitikfiler
En eller flere gruppepolitikfiler kan være blevet slettet fra deres lagerplacering i SYSVOL. Den nemmeste metode til at kontrollere dette er at åbne SYSVOL\domain\Policies i Windows Stifinder og søge efter de specifikke filer, der er nævnt i de Userenv-fejl, som vises på berørte computere. Filerne til hvert GPO er placeret i en undermappe i mappen Policies. Hver undermappe navngives efter GUID for det GPO, hvis filer den indeholder.

Hvis der er politikfiler, der mangler i alle DC'er, kan de gendannes fra en sikkerhedskopi. Hvis filer for standarddomænepolitik eller standarddomænecontrollerpolitik mangler, og der ikke er nogen tilgængelig sikkerhedskopi, kan kommandoen dcgpofix gendanne begge politikker til deres standardindstillinger. Du kan finde flere oplysninger om dcgpofix i denne artikel

Affected Products

Servers
Article Properties
Article Number: 000135060
Article Type: Solution
Last Modified: 08 Nov 2023
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.