Article Number: 000135060
Elementy członkowskie domeny Active Directory (AD) mogą z wielu powodów doświadczyć problemów ze stosowaniem zasad grupy. W tym artykule omówiono niektóre z najczęstszych przyczyn i zamieszczono wskazówki dotyczące rozwiązywania problemów, które leżą u ich podstaw.
Ogólne czynności rozwiązywania problemów
Pierwszym krokiem w rozwiązywaniu tych problemów będzie określenie ich zakresu. Jeśli tylko jeden komputer nie może przetworzyć zasad grupy, może to oznaczać, że problem prawdopodobnie jest związany z awarią lub nieprawidłową konfiguracją tego komputera. Jeśli problem jest bardziej rozpowszechniony, może on występować na kontrolerze domeny (DC) lub w samej usłudze Active Directory.
Jeśli problem dotyczy tylko jednego komputera, uruchom gpupdate /force
na komputerze, którego dotyczy problem, przed rozpoczęciem rozwiązywania problemów. Gwarantuje to, że awaria nie została spowodowana przez tymczasowy problem z siecią, który został rozwiązany.
Kiedy komputer nie może przetworzyć zasad grupy, zazwyczaj generuje jeden lub więcej błędów Userenv w dzienniku aplikacji. Typowe numery identyfikatorów zdarzeń to 1030, 1053, 1054 i 1058. Opisy poszczególnych błędów w komputerze, którego dotyczy problem, powinny umożliwić wyizolowanie potencjalnych przyczyn.
Problemy z DNS
Być może najczęstszą przyczyną awarii zasad grupy i wielu innych problemów z AD jest problem z rozpoznawaniem nazw. Jeśli błędy Userenv na komputerze, którego dotyczy problem, zawierają komunikat „Network path not found” lub „Cannot locate a domain controller”, przyczyną problemów może być system DNS. Poniżej przedstawiono kilka porad dotyczących rozwiązywania problemów tego rodzaju:
nslookup
domenę (nslookup mydomain.local
na przykład). To polecenie powinno zwrócić adresy IP wszystkich kontrolerów domeny w danej domenie. Jeśli zostaną zwrócone jakiekolwiek inne adresy, prawdopodobnie oznacza to nieprawidłowe rekordy w DNS. Polecenie nslookup może również służyć do tłumaczenia na adresy IP nazw poszczególnych kontrolerów domen.ipconfig /all
na komputerze dotkniętym problemem i sprawdź, czy jest skonfigurowany do korzystania tylko z wewnętrznych serwerów DNS. Główną przyczyną problemów z DNS w domenie jest korzystanie z niewłaściwych serwerów DNS; łatwo temu zaradzić. Wszystkie komputery przyłączone do domeny muszą korzystać wyłącznie z wewnętrznych serwerów DNS, które zazwyczaj są kontrolerami domen.ipconfig /flushdns
na wszystkich komputerach, których dotyczy problem. Spowoduje to usunięcie wszelkich nieprawidłowych danych z pamięci podręcznej programu rozpoznawania nazw na tych komputerach.netdom
również pozwala przetestować i zresetować bezpieczny kanał.
Brak plików zasad grupy
Jeden lub więcej plików zasad grupy mógł zostać usunięty z lokalizacji przechowywania w folderze SYSVOL. Sprawdź to, przechodząc do folderu SYSVOL\domain\Policies w Eksploratorze plików i wyszukując określone pliki wymienione w błędach Userenv. Pliki każdego obiektu GPO znajdują się w podfolderze folderu Policies. Każdy podfolder nosi nazwę szesnastkowego, unikatowego identyfikatora globalnego (GUID) obiektu GPO, którego pliki zawiera.
Jeśli na wszystkich kontrolerach domeny brakuje plików zasad, można je przywrócić z kopii zapasowej. Jeśli brakuje plików domyślnych zasad domeny lub domyślnych zasad kontrolera domeny i kopia zapasowa nie jest dostępna, dcgpofix
polecenie umożliwia przywrócenie domyślnych ustawień obu zasad.
Więcej informacji na temat dcgpofix
można znaleźć tutaj.
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2
08 Nov 2023
7
How To