Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In

Article Number: 000135060

如何在 Active Directory 網域中針對群組原則處理錯誤進行故障診斷

Summary: 本文提供在 Active Directory 網域的 Windows 機器上,針對群組原則處理錯誤進行故障診斷的相關資訊。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

因為多種原因,Active Directory (AD) 網域的成員在套用群組原則時可能會遇到問題。本文探討一些較常見的問題,並提供針對根本問題的故障診斷指導方針。

一般故障診斷
針對這些問題進行故障診斷的第一步,應該是判斷其範圍。如果只有一台機器無法處理群組原則,問題很可能源自該機器的故障或組態錯誤。如果問題影響範圍較大,則問題可能存在於網域控制站 (DC) 或 AD 本身。

如果只有一台機器受到影響,請在受影響的機器上執行 gpupdate /force ,再進一步進行故障診斷。如此可確保故障的原因並非由已修復的暫時性網路問題所造成。

當機器無法處理群組原則時,通常會在其應用程式記錄中產生一或多個 Userenv 錯誤。常見的事件 ID 編號包括 1030、1053、1054 和 1058。受影響機器上對特定錯誤的說明,應能提供一些關於問題的基本概念。

DNS 問題
最常見的群組原則故障 (及其他許多 AD 問題) 的原因,可能就是名稱解析問題。如果受影響機器上的 Userenv 錯誤包含「找不到網路路徑」或「找不到網域控制站」等內容,原因便可能是 DNS。以下是針對這類問題進行故障診斷的幾個秘訣:

  • 在受影響的機器上開啟命令提示字元,並執行 nslookup 網域 (nslookup mydomain.local例如)。此命令應會傳回網域中所有 DC 的 IP 位址。如果傳回任何其他位址,便代表 DNS 中可能有不正確的記錄。也可使用「nslookup」命令將個別 DC 的名稱解析至其 IP 位址。
  • 執行 ipconfig /all 在受影響的機器上,確認其已設定為僅使用內部 DNS 伺服器。使用錯誤的 DNS 伺服器是造成網域中發生 DNS 問題的主要原因,而且很容易進行補救。所有加入網域的機器都必須僅使用內部 DNS 伺服器,通常便是 DC。
  • 如果受影響的機器都使用正確的 DNS 伺服器,請檢查 DC 上的 DNS 主控台,確認是否有正確的記錄。確認每個 DC 在轉送查閱區域都有兩個主機 (A) 記錄:一個具有 DC 的主機名稱,另一個具有「(與父資料夾相同)」的名稱。這兩項記錄應包含 DC 的 IP 位址。
  • 解決 DNS 問題後,請在所有受影響的機器上執行 ipconfig /flushdns 。這可清除機器上解析器快取中的所有無效資料。
安全通路問題
當加入網域之機器的本機儲存電腦帳戶密碼與 AD 中的密碼不符時,就會發生此類問題。安全通道問題會導致機器無法使用 DC 進行驗證。每當該機器嘗試存取網域資源 (包括群組原則更新) 時,通常就會出現「存取遭拒」錯誤。當然,並非所有「存取遭拒」事件都是因為安全通道問題所造成,但如果受影響的機器在其應用程式記錄中出現 Userenv 錯誤,且其說明中顯示「存取遭拒」,您便應該檢查安全通道。
  • 可使用 nltest 命令測試 (或在必要時重設) 網域成員的安全通道。
  • 可使用 netdom 命令測試重設安全通道。
  • Test-ComputerSecureChannel PowerShell cmdlet 提供另一種測試或重設安全通道的方法。
  • 從網域移除受影響的機器、重設 AD 電腦帳戶,然後將其重新加入網域,便可重設其安全通道。不過,這並非總是可行的。
SYSVOL 問題
群組原則範本檔案會儲存在網域中所有 DC 的 SYSVOL 共用中。SYSVOL 資料會使用檔案複寫系統 (FRS) 或分散式檔案系統複製 (DFSR) 複製到所有 DC 中。如果 SYSVOL 共用不在 DC 上,這通常表示 SYSVOL 複製出現問題。

時鐘誤差
根據預設,Kerberos 認證會要求加入網域之機器的時鐘彼此之間的誤差在五分鐘內。超過此閾值會使認證失敗,進而導致無法處理群組原則。網域中的一切裝置應將時鐘設定為與 AD 同步,但有一個例外。PDC 模擬器 FSMO 角色的 DC 是網域的授權時間來源。因此,它是網域中唯一應該與公用 NTP 伺服器等外部來源同步的機器。

有關配置 Windows 時間服務的詳細資訊,請參閱此處


遺失群組原則檔案
可能已經從 SYSVOL 的儲存位置刪除一個或多個群組原則檔案。若要檢查此問題,請使用檔案總管瀏覽至 SYSVOL\domain\Policies,並查詢 Userenv 錯誤中所提到的特定檔案。每個 GPO 的檔案都位於 Policies 資料夾的子資料夾中。每個子資料夾都是以其中檔案的 GPO 十六進位 globally unique identifiers (GUID) 命名。

如果發現有任何 DC 的原則檔案遺失,可從備份還原。如果預設網域原則或預設網域控制站原則檔案遺失,且沒有可用的備份,可使用 dcgpofix 命令將兩個原則還原至其預設設定。

如需關於 dcgpofix 的更多資訊,請參閱這裡

Article Properties

Affected Product

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2

Last Published Date

08 Nov 2023

Version

7

Article Type

How To

Back to Top