Risoluzione degli errori di elaborazione di Group Policy in un dominio Active Directory

I membri di un dominio Active Directory (AD) possono riscontrare problemi durante l'applicazione dei Criteri di gruppo per diversi motivi. Questo articolo discute alcune delle cause più comuni e fornisce linee guida per la risoluzione dei problemi sottostanti.
 
Risoluzione generale dei problemi
Il primo passo nella risoluzione dei problemi consiste nel determinarne la dimensione. Se solo un computer non è in grado di elaborare Group Policy, il problema probabilmente deriva da un malfunzionamento o da un'errata configurazione di questo computer. Se il problema è più diffuso, potrebbe esistere su un controller di dominio o in AD stesso.

Se è interessato solo un computer, eseguire gpupdate /force sul computer interessato prima di eseguire ulteriori operazioni di risoluzione dei problemi. Ciò garantisce che l'errore non sia causato da un problema di rete temporaneo che è già stato risolto.

Quando un computer non è in grado di elaborare Group Policy, solitamente genera uno o più errori Userenv nel registro applicazioni. Numeri di ID evento comuni includono 1030, 1053, 1054 e 1058. Le descrizioni degli errori specifici su un computer interessato devono fornire un'idea del problema sottostante.

Problemi di DNS
La causa più comune degli errori di Group Policy, e di numerosi altri problemi di AD, è un problema di risoluzione dei nomi. Se gli errori Userenv su un computer interessato indicano che non è stato trovato il percorso o che non è possibile individuare un controller di dominio, la causa potrebbe essere riconducibile a DNS. Di seguito sono riportati alcuni suggerimenti per la risoluzione di questo tipo di problema:

• Aprire una finestra del prompt dei comandi su un computer interessato ed eseguire nslookup domain (nslookup mydomain.local, ad esempio). Questo comando deve restituire gli indirizzi IP di tutti i controller di dominio nel dominio. Se vengono restituiti altri indirizzi, si tratta probabilmente di record non validi in DNS. Il comando nslookup può anche essere utilizzato per risolvere i nomi dei singoli controller di dominio nei rispettivi indirizzi IP.
• Run ipconfig /all su un computer interessato e verificare che sia configurato per l'utilizzo di soli server DNS interni. L'utilizzo di server DNS errati è la causa principale dei problemi di DNS in un dominio ed è facilmente risolvibile. Tutti i computer aggiunti a un dominio devono utilizzare solo server DNS interni, in genere controller di dominio.
• Se apparentemente il computer interessato utilizza i server DNS corretti, controllare la console DNS su un controller di dominio per verificare che esistano i record appropriati. Verificare che ogni controller di dominio disponga di due record host (A) nell'area di ricerca diretta del dominio: uno con il nome host del controller di dominio e uno con il nome "(uguale alla cartella padre)". Entrambi i record devono includere l'indirizzo IP del controller di dominio.
• Una volta risolto un problema di DNS, eseguire ipconfig /flushdns su tutti i computer interessati. In questo modo, tutti i dati non validi verranno eliminati dalla cache del resolver su tali computer.

Problemi relativi al canale sicuro
Questo tipo di problema si verifica quando la password dell'account del computer archiviato in locale di un computer appartenente a un dominio non corrisponde alla password in AD. Un problema di canale sicuro impedisce a un computer di autenticarsi con un controller di dominio. Spesso si manifesta come un errore di accesso negato ogni volta che il computer tenta di accedere alle risorse del dominio, inclusi gli aggiornamenti di Group Policy. Ovviamente, non tutti gli eventi di accesso negato sono dovuti a problemi di canale sicuro, ma se un computer interessato include errori Userenv nel registro applicazioni con accesso negato nella descrizione, può essere opportuno testare il canale sicuro.

• È possibile utilizzare il comando nltest per eseguire il test (e la reimpostazione, se necessario) del canale sicuro su un membro del dominio.
• Il menu netdom comando può anche testare e reimpostare il canale sicuro.
• Il cmdlet di PowerShell Test-ComputerSecureChannel fornisce un altro modo per testare o reimpostare il canale sicuro.
• Rimuovere il computer interessato dal dominio, reimpostarne l'account AD e riaggiungerlo al dominio ne reimposterà il canale sicuro. Tuttavia, questo non è sempre fattibile.

Problemi relativi a SYSVOL
I file modello di Group Policy vengono archiviati nella condivisione SYSVOL su tutti i controller di dominio nel dominio. I dati SYSVOL vengono replicati tra controller di dominio utilizzando il sistema di replica dei file o Replica DFS. Se la condivisione SYSVOL non è presente in un controller di dominio, ciò indica in genere un problema con la replica SYSVOL.

Sfasamento dell'orario
Per impostazione predefinita, l'autenticazione Kerberos richiede che tra gli orologi dei computer aggiunti al dominio vi sia un massimo di cinque minuti di differenza. Il superamento di questa soglia causa un errore di autenticazione, che a sua volta impedisce l'elaborazione di Group Policy. Tutto ciò che è nel dominio deve essere configurato per sincronizzare l'orologio con AD, con una sola eccezione. Il controller di dominio che contiene il ruolo FSMO dell'emulatore PDC è l'origine di riferimento per l'orario del dominio. Pertanto, è l'unico computer in un dominio che deve essere sincronizzato con un'origine esterna, ad esempio un server NTP pubblico.

Ulteriori informazioni sulla configurazione del servizio Ora di Windows sono disponibili qui.

File di Group Policy mancanti
Uno o più file di Group Policy potrebbero essere stati eliminati dal percorso di archiviazione in SYSVOL. Verificare ciò individuando SYSVOL\domain\Policies in File Explorer e cercando i file specifici menzionati negli errori Userenv. I file per ciascun oggetto di Group Policy si trovano in una sottocartella della cartella Policies. Ogni sottocartella è denominata in base al GUID (Globally Unique Identifier) esadecimale dell'oggetto di Group Policy di cui contiene i file.

Se i file delle policy risultano mancanti in tutti i controller di dominio, possono essere ripristinati da un backup. Se mancano i file della policy del dominio predefinito o del controller di dominio predefinito e non è disponibile alcun backup, il comando dcgpofix può ripristinare le impostazioni predefinite di entrambe le policy.

Ulteriori informazioni su dcgpofix sono reperibili qui.