Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
  • Administre sus sitios, productos y contactos de nivel de producto de Dell EMC con Administración de la empresa.

Cómo solucionar problemas de errores de procesamiento de políticas de grupo en un dominio de Active Directory

Resumen: En este artículo, se ofrece información sobre la solución de problemas de errores de procesamiento de políticas de grupo en equipos Windows en un dominio de Active Directory.

Es posible que este artículo se traduzca automáticamente. Si tiene comentarios sobre su calidad, háganoslo saber mediante el formulario en la parte inferior de esta página.

Contenido del artículo


Instrucciones

Los miembros de un dominio de Active Directory (AD) pueden tener problemas con la aplicación de la política de grupo por diversos motivos. En este artículo, se analizan algunos de los problemas más comunes y se proporcionan directrices para solucionar los problemas subyacentes.
 
Solución de problemas general
El primer paso para solucionar estos problemas debe ser determinar su alcance. Si solo un equipo no es capaz procesar la política de grupo, es probable que el problema se deba a una falla o una configuración incorrecta de tal equipo. Si el problema es más generalizado, este puede encontrarse en una controladora de dominio (DC) o en el AD mismo.

Si solo se ve afectado un equipo, ejecute gpupdate /force en el equipo afectado antes de continuar con la solución de problemas. Esto permite garantizar que la falla no se provocó por un problema temporal de red resuelto desde entonces.

Cuando un equipo no puede procesar la política de grupo, normalmente genera uno o más errores Userenv en su registro de aplicaciones. Entre los números comunes de ID de eventos, se incluyen 1030, 1053, 1054 y 1058. Las descripciones de los errores específicos en un equipo afectado deberían brindar alguna noción del problema subyacente.

Problemas de DNS
Es posible que la causa más común de las fallas de políticas de grupo (y una serie de otros problemas en AD) sea un problema de resolución de nombres. Si los errores Userenv en un equipo afectado tienen la frase "No se encontró la ruta de red" o "No se puede ubicar una controladora de dominio", es posible que la causa sea DNS. A continuación, se presentan algunos consejos para solucionar problemas de este tipo:

  • Abra un símbolo del sistema en un equipo afectado y ejecute nslookup domain (nslookup mydomain.local, por ejemplo). Este comando debe arrojar las direcciones IP de todas las DC del dominio. Si arroja otras direcciones, es probable que existan registros no válidos en DNS. El comando nslookup también se puede utilizar para resolver los nombres de las DC individuales en sus direcciones IP.
  • Ejecutar ipconfig /all en un equipo afectado y verifique que esté configurado para utilizar solo servidores DNS internos. El uso de los servidores DNS incorrectos es la causa principal de los problemas de DNS de un dominio y se puede solucionar fácilmente. Todos los equipos conectados al dominio deben utilizar solo servidores DNS internos, los que generalmente corresponden a las DC.
  • Si, al parecer, el equipo afectado utiliza los servidores DNS correctos, verifique la consola de DNS de una DC con el fin de comprobar que existan los registros adecuados. Verifique que cada DC tenga dos registros de host (A) en la zona de búsqueda directa de dominio: uno con el nombre de host de la DC y otro con el nombre "(el mismo nombre de la carpeta primaria)". Ambos registros deben incluir la dirección IP de la DC.
  • Una vez que se haya resuelto un problema de DNS, ejecute ipconfig /flushdns en cualquier equipo afectado. Esto depurará los datos no válidos de la caché de resolución en esos equipos.
Problemas de canal seguro
Este tipo de problema se produce cuando la contraseña de la cuenta de la computadora almacenada de forma local de un equipo conectado al dominio no coincide con su contraseña en AD. Un problema de canal seguro impide que un equipo se autentique con una DC. Esto suele manifestarse como un error de “acceso denegado” cada vez que ese equipo intenta acceder a los recursos del dominio, incluidas las actualizaciones de la política de grupo. Por supuesto, no todos los eventos de “acceso denegado” se deben a problemas de canal seguro, pero si un equipo afectado presenta errores Userenv en el registro de aplicaciones con la descripción “Access denied”, se recomienda probar el canal seguro.
  • El comando nltest se puede utilizar para probar (y restablecer, si es necesario) el canal seguro de un miembro del dominio.
  • El netdom comando también permite probar y restablecer el canal seguro.
  • El cmdlet de PowerShell Test-ComputerSecureChannel proporciona otro medio para probar o restablecer el canal seguro.
  • La eliminación del equipo afectado del dominio, el restablecimiento de la cuenta de computadora de AD y su reconexión al dominio permitirán restablecer el canal seguro. No obstante, esto no siempre es factible.
​​​​Problemas con SYSVOL
Los archivos de plantilla de la política de grupo se almacenan en el recurso compartido SYSVOL en todas las DC del dominio. Los datos de SYSVOL se replican entre las DC mediante el sistema de replicación de archivos (FRS) o la replicación del sistema de archivos distribuidos (DFSR). Si el recurso compartido SYSVOL no está presente en una DC, por lo general, esto indica un problema con la replicación de SYSVOL.

Sesgo de reloj
De forma predeterminada, la autenticación de Kerberos requiere que los relojes de los equipos conectados al dominio tengan una diferencia de cinco minutos entre sí. Superar este umbral provoca una falla en la autenticación, lo que, a su vez, impide el procesamiento de la política de grupo. Todo en el dominio se debe configurar para sincronizar su reloj con AD, con una excepción. La DC que contiene la función PDC Emulator FSMO corresponde a la fuente de hora autorizada para el dominio. Por lo tanto, es el único equipo de un dominio que debe sincronizarse con una fuente externa, como un servidor NTP público.

Puede obtener más información sobre cómo configurar el servicio de hora de Windows aquí.


Falta de archivos de políticas de grupo
Es posible que uno o más archivos de la política de grupo se hayan eliminado de la ubicación de almacenamiento en SYSVOL. Para verificar esto, vaya a SYSVOL\domain\Policies en el explorador de archivos y busque archivos específicos mencionados en los errores Userenv. Los archivos de cada GPO se encuentran en una subcarpeta de la carpeta Policies. Cada subcarpeta recibe el nombre del identificador global único (GUID) hexadecimal del GPO cuyos archivos contiene.

Si los archivos de políticas no se encuentran en ninguna DC, se pueden restaurar a partir de un respaldo. Si faltan los archivos de la política de dominio predeterminada o la política de controladora de dominio predeterminada y no hay ningún respaldo disponible, el dcgpofix comando puede restaurar ambas políticas a su configuración predeterminada.

Puede encontrar más información sobre dcgpofix disponible aquí.

Propiedades del artículo


Producto comprometido

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2

Fecha de la última publicación

08 nov 2023

Versión

7

Tipo de artículo

How To