Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

如何对 Active Directory 域中的组策略处理错误进行故障处理

Summary: 本文提供有关 Active Directory 域中 Windows 机器上的组策略处理错误的故障处理信息。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Active Directory (AD) 域的成员可能会出于多种原因在应用组策略时遇到问题。本文讨论了一些较常见的问题,并提供了解决底层问题的指导准则。

常规故障处理
解决这些问题的第一步应是确定其严重程度。如果只有一台机器无法处理组策略,问题可能源自该机器的故障或配置错误。如果问题的影响范围更大,则问题可能存在于域控制器 (DC) 或 AD 本身。

如果仅有一台机器受到影响,请在受影响的机器上运行 gpupdate /force ,然后再进行进一步的故障处理。这可确保故障不是由已解决的临时网络问题引起的。

当机器无法处理组策略时,它通常会在其应用程序日志中生成一个或多个 Userenv 错误。常见的事件 ID 编号包括 1030、1053、1054 和 1058。对受影响机器上特定错误的描述应该能让您了解底层问题。

DNS 问题
组策略失败以及许多其他 AD 问题的最常见原因可能是名称解析问题。如果受影响机器上的 Userenv 错误包括短语“Network path not found”或“Cannot locate a domain controller”,DNS 可能是出错的原因。以下是针对此类问题进行故障处理的几个提示:

  • 在受影响的计算机上打开命令提示符并运行 nslookup domainnslookup mydomain.local,例如)。此命令应返回域中所有 DC 的 IP 地址。如果返回任何其他地址,DNS 中可能存在无效的记录。Nslookup 命令还可用于将单个 DC 的名称解析为其 IP 地址。
  • 运行 ipconfig /all 并验证其是否配置为仅使用内部 DNS 服务器。在域中,使用错误的 DNS 服务器是 DNS 问题的主要原因,并且易于修复。所有加入域的机器都只能使用内部 DNS 服务器,通常为 DC。
  • 如果受影响的机器似乎使用正确的 DNS 服务器,请检查 DC 上的 DNS 控制台,以验证是否存在正确的记录。验证每个 DC 是否在域正向查找区域中包含两个主机 (A) 记录:一个包含 DC 的主机名,另一个包含名称“(same as parent folder)”。两个记录都应包含 DC 的 IP 地址。
  • DNS 问题解决后,在所有受影响的机器上运行 ipconfig /flushdns 。这将清除这些计算机上解析器缓存中的所有无效数据。
安全通道问题
当加入域的计算机本地存储的计算机账户密码与其在 AD 中的密码不匹配时,会出现此类问题。安全通道问题会阻止机器使用 DC 进行身份验证。每当机器尝试访问域资源(包括组策略更新)时,它通常会显示为“Access denied”(拒绝访问)错误。当然,并非所有“Access denied”事件都是由安全通道问题导致的,但是如果受影响的机器在其应用程序日志中具有 Userenv 错误且在说明中带有“Access denied”,则安全通道值得测试。
  • Nltest 命令可用于在域成员上测试(并根据需要重置)安全通道。
  • 该 netdom 命令还可以测试重置安全通道。
  • Test-ComputerSecureChannel PowerShell cmdlet 提供了另一种测试或重置安全通道的方法。
  • 从域中删除受影响的机器,重置其 AD 计算机帐户,然后将其重新加入域,以重置其安全通道。但是,这并不总是可行的。
SYSVOL 问题
组策略模板文件存储在域中所有 DC 上的 SYSVOL 共享中。系统使用文件复制系统 (FRS) 或分布式文件系统复制 (DFSR) 在 DC 之间复制 SYSVOL 数据。如果 DC 上不存在 SYSVOL 共享,这通常表示 SYSVOL 复制存在问题。

时钟偏差
默认情况下,Kerberos 身份验证要求加入域的机器的时钟相差在五分钟以内。超过此阈值会导致身份验证失败,进而会阻止组策略的处理。域中的所有内容都应配置为将其时钟与 AD 同步,但有一个例外。拥有 PDC Emulator FSMO 角色的 DC 是域的权威时间源。因此,它是域中唯一应与外部源(如公共 NTP 服务器)同步的机器。

有关配置 Windows 时间服务的更多信息,请参阅此处


缺少组策略文件
可能已从 SYSVOL 中的存储位置删除一个或多个组策略文件。要检查此问题,请浏览到文件资源管理器中的 SYSVOL\domain\Policies 并查找 Userenv 错误中提到的特定文件。每个 GPO 的文件位于策略文件夹的子文件夹中。每个子文件夹都以其所含文件的 GPO 的十六进制 Globally Unique Identifier (GUID) 命名。

如果发现所有 DC 中缺少策略文件,则可以从备份中恢复这些文件。如果默认域策略或默认域控制器策略文件缺失且没有可用的备份, dcgpofix 命令可以将这两个策略还原为默认设置。

有关 dcgpofix 的更多信息可以在此处找到。

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2
Article Properties
Article Number: 000135060
Article Type: How To
Last Modified: 08 Nov 2023
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.