Så här felsöker du fel vid bearbetning av grupprinciper i en Active Directory-domän

Medlemmar i en Active Directory-domän (AD) kan få problem med att använda grupprinciper av flera skäl. I den här artikeln beskrivs några av de vanligaste skälen och riktlinjer för felsökning av underliggande problem.
 
Allmän felsökning
Det första steget i felsökningen av dessa problem bör vara att fastställa deras omfattning. Om bara en dator inte kan bearbeta grupprincip beror problemet troligen på ett fel eller en felaktig konfiguration av den datorn. Om problemet är mer utbrett kan problemet finnas på en domänkontrollant (DC) eller i själva AD.

Om endast en dator påverkas kör du gpupdate /force på den berörda maskinen innan du felsöker ytterligare. Detta säkerställer att felet inte orsakades av ett tillfälligt nätverksproblem som sedan dess har lösts.

När en dator inte kan bearbeta grupprinciper genererar den vanligtvis ett eller flera Userenv-fel i programloggen. Vanliga händelse-id-nummer är bland annat 1030, 1053, 1054 och 1058. Beskrivningarna av de specifika felen på en påverkad dator bör ge en uppfattning om det underliggande problemet.

DNS-problem
Den kanske vanligaste orsaken till grupprincipfel - och många andra AD-problem - är ett namnmatchningsproblem. Om Userenv-felen på en dator innehåller frasen ”Nätverkssökvägen kan inte hittas” eller ”Det går inte att hitta en domänkontrollant” kan det bero på DNS. Här följer några tips för felsökning av den här typen av problem:

• Öppna en kommandotolk på en berörd dator och kör nslookup domän (nslookup mydomain.local, till exempel). Det här kommandot bör returnera IP-adresserna till alla domänkontrollanter i domänen. Om några andra adresser returneras finns det troligen ogiltiga poster i DNS. Kommandot nslookup kan också användas för att matcha namnen på enskilda domänkontrollanter med deras IP-adresser.
• Kör ipconfig /all på en berörd dator och kontrollera att den är konfigurerad för att endast använda interna DNS-servrar. Att använda fel DNS-servrar är den vanligaste orsaken till DNS-problem i en domän, och det är lätt att lösa. Alla domänanslutna datorer får endast använda interna DNS-servrar, som vanligtvis är domänkontrollanter.
• Om datorn som har problem verkar använda rätt DNS-servrar kontrollerar du DNS-konsolen på en domänkontrollant för att se att rätt poster finns. Kontrollera att varje domänkontrollant har två värdposter (A) i domänzonen för vanlig sökning: en med domänkontrollantens värdnamn och en med samma namn som den överordnade mappen. Båda posterna ska innehålla IP-adressen till domänkontrollanten.
• När ett DNS-problem har lösts kör du ipconfig /flushdns på alla berörda datorer. Detta rensar alla ogiltiga data från matcharcachen på dessa datorer.

Problem med
säkra kanalerDen här typen av problem uppstår när lösenordet för en domänansluten dators lokalt lagrade datorkonto inte matchar lösenordet i AD. Ett problem med säker kanal hindrar en dator från att autentisera med en domänkontrollant. Det visar sig ofta som ett "Åtkomst nekad"-fel när datorn försöker komma åt domänresurser, inklusive grupprincip uppdateringar. Naturligtvis beror inte alla förekomster av ”åtkomst nekas” på problem med säkra kanaler, men om en dator har Userenv-fel i programloggen med ”åtkomst nekas” i beskrivningen är det värt att testa den säkra kanalen.

• Kommandot nltest kan användas för att testa (och vid behov återställa) den säkra kanalen på en domänmedlem.
• Informationen netdom kan även testa och återställa den säkra kanalen.
• PowerShell-cmdleten Test-ComputerSecureChannel är ett annat sätt att testa eller återställa den säkra kanalen.
• Om du tar bort den berörda datorn från domänen, återställer dess AD-datorkonto och återansluter den till domänen återställs dess säkra kanal. Detta är dock inte alltid genomförbart.

Problem med SYSVOL
Grupprincipmallfiler lagras i SYSVOL-resursen på alla domänkontrollanter i domänen. SYSVOL-data replikeras mellan domänkontrollanter med hjälp av antingen FRS (File Replication System) eller DFSR (Distributed File System Replication). Om SYSVOL-resursen inte finns på en domänkontrollant indikerar detta vanligtvis ett problem med SYSVOL-replikeringen.

Klocka skev
Som standard kräver Kerberos-autentisering att domänanslutna datorers klockor är inom fem minuter från varandra. Om det här tröskelvärdet överskrids uppstår autentiseringsfel, vilket i sin tur förhindrar bearbetning av grupprincip. Allt i domänen ska konfigureras för att synkronisera klockan med AD, med ett undantag. Domänkontrollanten som innehåller FSMO-rollen PDC Emulator är den auktoritativa tidskällan för domänen. Därför är det den enda maskinen i en domän som ska synkronisera med en extern källa, till exempel en offentlig NTP-server.

Mer information om hur du konfigurerar tidstjänsten finns här.

Grupprincipfiler
saknasEn eller flera grupprincipfiler kan ha tagits bort från lagringsplatsen i SYSVOL. Kontrollera detta genom att bläddra till SYSVOL\domain\Policies i Utforskaren och leta efter specifika filer som nämns i Userenv-fel. Filerna för varje grupprincipobjekt finns i en undermapp till mappen Policies . Varje undermapp namnges efter den hexadecimala globalt unika identifieraren (GUID) för grupprincipobjektet vars filer den innehåller.

Om principfiler saknas på alla domänkontrollanter kan de återställas från en säkerhetskopia. Om filerna Default Domain Policy eller Default Domain Controller Policy saknas och det inte finns någon säkerhetskopia dcgpofix kan du återställa båda policyerna till standardinställningarna.

Mer information om dcgpofix hittar du här.