Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Problemen met de verwerking van groepsbeleid in een Active Directory-domein oplossen

Summary: Dit artikel bevat informatie over het oplossen van fouten bij het verwerken van groepsbeleid op Windows-machines in een Active Directory-domein.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Leden van een Active Directory (AD)-domein kunnen om verschillende redenen problemen ondervinden bij het toepassen van Groepsbeleid. In dit artikel vindt u een aantal van de meest voorkomende problemen en worden richtlijnen geboden voor het oplossen van de onderliggende problemen.
 
Algemene probleemoplossing
De eerste stap bij het oplossen van deze problemen zou moeten zijn om de omvang ervan te bepalen. Als slechts één computer geen groepsbeleid kan verwerken, is het probleem waarschijnlijk het gevolg van een storing of verkeerde configuratie van die computer. Als het probleem vaker voorkomt, kan het probleem zich voordoen op een domeincontroller (DC) of in AD zelf.

Als dit slechts om één computer gaat, voert u gpupdate /force op de betreffende computer voordat u verder gaat met de probleemoplossing. Dit zorgt ervoor dat de fout niet werd veroorzaakt door een tijdelijk netwerkprobleem dat inmiddels is opgelost.

Wanneer een computer geen groepsbeleid kan verwerken, genereert deze meestal een of meer Userenv-fouten in het applicatielogboek. Veelvoorkomende gebeurtenis-ID's zijn onder meer 1030, 1053, 1054 en 1058. De beschrijvingen van de specifieke fouten op een getroffen computer zouden een idee moeten geven van het onderliggende probleem.

DNS-problemen
Misschien wel de meest voorkomende oorzaak van het mislukken van groepsbeleid - en tal van andere AD-problemen - is een probleem met het oplossen van namen. Als de Userenv-fouten op een getroffen computer het volgende bevatten: "Network path not found" of "Cannot locate a domain controller", ligt de oorzaak van het probleem waarschijnlijk bij DNS. Hier volgen enkele tips voor het oplossen van dit type probleem:

  • Open een opdrachtprompt op een getroffen computer en voer het volgende uit: nslookup domein (nslookup mydomain.local, bijvoorbeeld). Met deze opdracht worden de IP-adressen van alle DC's in het domein geretourneerd. Als er andere adressen worden geretourneerd, zijn er waarschijnlijk ongeldige records in DNS. De opdracht nslookup kan ook worden gebruikt om de namen van afzonderlijke DC's op te lossen in hun IP-adressen.
  • Voer ipconfig /all op een getroffen computer en controleer of deze is geconfigureerd om alleen interne DNS-servers te gebruiken. Het gebruik van de onjuiste DNS-servers is de belangrijkste oorzaak van DNS-problemen in een domein en is eenvoudig te verhelpen. Alle computers die lid zijn van het domein, moeten alleen gebruik maken van interne DNS-servers, die doorgaans DC’s zijn.
  • Als de betroffen computer de juiste DNS-servers lijkt te gebruiken, controleert u de DNS-console op een DC om te controleren of de juiste records aanwezig zijn. Controleer of elke DC twee host (A)-records heeft in de zone voor forward lookup van het domein: één met de hostname van de DC en één met de naam "(zelfde als bovenliggende map)". Beide records moeten het IP-adres van de DC bevatten.
  • Zodra een DNS-probleem is opgelost, voert u het volgende uit: ipconfig /flushdns op alle getroffen machines. Hierdoor worden alle ongeldige gegevens uit de resolvercache op die machines verwijderd.
Problemen met
beveiligde kanalenDit type probleem doet zich voor wanneer het wachtwoord van het lokaal opgeslagen computeraccount van een computer dat lid is van een domein, niet overeenkomt met het wachtwoord in AD. Een probleem met een beveiligd kanaal voorkomt dat een computer zich met een DC verifieert. Het manifesteert zich vaak als een "Access denied"-fout wanneer die machine toegang probeert te krijgen tot domeinbronnen, inclusief updates van groepsbeleid. Natuurlijk zijn niet alle gevallen van "Access denied" te wijten aan problemen met een beveiligd kanaal maar als een getroffen computer Userenv-fouten in het applicatielogboek bevat met "Access denied" in de beschrijving, is het de moeite waard de mogelijkheid van een beveiligd kanaal te testen.
  • De opdracht nltest kan worden gebruikt om het beveiligde kanaal te testen (en opnieuw in te stellen, indien nodig) op een domeinlid.
  • De netdom Command kan ook het Secure Channel testen en resetten.
  • De PowerShell-cmdlet Test-ComputerSecureChannel biedt een andere manier om het beveiligde kanaal te testen of opnieuw in te stellen.
  • Als u de betreffende computer uit het domein verwijdert, het AD-computeraccount opnieuw instelt en opnieuw aan het domein koppelt, wordt het beveiligde kanaal opnieuw ingesteld. Dit is echter niet altijd haalbaar.
Problemen met SYSVOL
Groepsbeleidsjabloonbestanden worden opgeslagen in de SYSVOL-share op alle DC's in het domein. De SYSVOL-data worden gerepliceerd tussen DC's met behulp van het File Replication System (FRS) of Distributed File System Replication (DFSR). Als de SYSVOL-share niet aanwezig is op een DC, duidt dit meestal op een probleem met de SYSVOL-replicatie.

Klok scheef
Standaard vereist Kerberos-authenticatie dat de klokken van machines die lid zijn van een domein zich binnen vijf minuten van elkaar bevinden. Overschrijding van deze drempelwaarde leidt tot een mislukte verificatie, waardoor de groepspolicy niet kan worden verwerkt. Alles in het domein moet worden geconfigureerd om de klok te synchroniseren met AD, met één uitzondering. De DC met de PDC Emulator FSMO-rol is de bindende tijdbron voor het domein. Daarom is het de enige machine in een domein die moet synchroniseren met een externe bron, zoals een openbare NTP-server.

Meer informatie over het configureren van de Windows Time-service vindt u hier.


Ontbrekende groepsbeleidsbestanden
Een of meer groepsbeleidsbestanden zijn mogelijk verwijderd van hun opslaglocatie in SYSVOL. Controleer dit door naar SYSVOL\domain\Policies te gaan in de Verkenner en te zoeken naar specifieke bestanden die worden genoemd in Userenv-fouten. De bestanden voor elk GPO bevinden zich in een submap van de map Policy. Elke submap is vernoemd naar de hexadecimale GUID (Globally Unique Identifier) van het GPO waarvan de map de bestanden bevat.

Als blijkt dat beleidsbestanden ontbreken in alle DC's, kunnen ze worden hersteld vanaf een back-up. Als de bestanden Standaarddomeinbeleid of Standaard Domeincontrollerbeleid ontbreken en er geen back-up beschikbaar is, wordt het dcgpofix De opdracht kan beide beleidsregels herstellen naar de standaardinstellingen.

Meer informatie over dcgpofix vind je hier.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2
Article Properties
Article Number: 000135060
Article Type: How To
Last Modified: 14 Apr 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.