Artikeloversigt: Denne artikel indeholder oplysninger om fejlfinding af fejl ved behandling af gruppepolitik på Windows-maskiner i et Active Directory-domæne.
Medlemmer af et Active Directory-domæne (AD) kan opleve problemer med at anvende gruppepolitik af flere forskellige årsager. Denne artikel omhandler nogle af de mest almindelige problemer og giver vejledning til fejlfinding af de underliggende problemer.
General fejlfinding
Det første trin i fejlfindingen af disse problemer bør være at bestemme deres omfang. Hvis det kun er én computer, der ikke kan behandle en gruppepolitik, skyldes problemet sandsynligvis en fejlfunktion eller en forkert konfiguration af den pågældende computer og ikke et problem med en domænecontroller (DC) eller selve AD. I tilfælde af et computerspecifikt problem kan det være nyttigt at køre gpupdate /force på den berørte computer inden yderligere fejlfinding for at sikre, at fejlen ikke blev forårsaget af et midlertidigt netværksproblem, som siden er blevet løst.
Når en computer ikke kan behandle en gruppepolitik, vil den typisk generere en eller flere Userenv-fejl i sin programlog. Typiske hændelses-id-numre omfatter 1030, 1053, 1054 og 1058. Beskrivelserne af de specifikke fejl på en berørt computer bør give en idé om det underliggende problem.
DNS-problemer
Den måske mest almindelige årsag til gruppepolitikfejl (og mange andre problemer i AD) er et navnefortolkningsproblem: En klient forsøger at opdatere sine gruppepolitikindstillinger, men kan ikke bestemme navnet på en DC i domænet, kan ikke fortolke en DC's navn til en IP-adresse eller fortolker dette navn til adressen på en computer, der ikke er en DC og som måske ikke engang eksisterer. Hvis Userenv-fejlene på en berørt computer inkluderer udtrykket "Network path not found" eller "Cannot locate a domain controller", er DNS muligvis skyld i problemet. Følgende er et par tip til fejlfinding af denne type problem:
Problemer med den sikre kanal
Denne type problem opstår normalt, når en computer, der er tilsluttet et domæne, har været offline i så lang tid, at adgangskoden for dens computerkonto i Active Directory ikke længere svarer til computerens lokale cache-kopi af den pågældende adgangskode, men problemet kan også opstå i andre situationer. Et problem med den sikre kanal vil forhindre en computer i at blive godkendt af en DC og vil typisk manifestere sig som en "Access denied"-fejl, når denne computer forsøger at få adgang til domæneressourcer, herunder gruppepolitikopdateringer. Selvfølgelig er det ikke alle "Access denied"-hændelser, der skyldes problemer med den sikre kanal, men hvis en berørt computer har Userenv-fejl i sin programlog med "Access denied" i deres beskrivelse, er det forsøget værd at teste den sikre kanal.
Problemer med SYSVOL
Gruppepolitikfiler lagres i SYSVOL-sharet på alle DC'er i domænet – specifikt i undermapper i mappen SYSVOL\domain\Policies. Hvis SYSVOL-sharet ikke findes på en DC, indikerer det typisk et problem med enten FRS (File Replication Service) eller DFS-R (Distributed File System Replication), alt efter hvilken der bruges til at replikere SYSVOL.
Denne artikel kan ikke levere en udtømmende vejledning til fejlfinding af FRS eller DFS-R, men følgende links kan være nyttige:
Tidsforvridning
Hvis tiden på en berørt computer afviger mere end fem minutter fra tiden på en DC, når der er korrigeret for tidszoneforskelle, vil computeren som standard ikke kunne godkendes af domænecontrolleren og vil derfor ikke kunne behandle gruppepolitik. Domænemedlemmer skal konfigureres til at synkronisere deres ure med en DC, og DC'er skal synkronisere deres ure med den DC, der har rollen som PDC-emulator. Af denne grund skal PDC-emulatoren være den eneste computer i et domæne, der er konfigureret til at synkronisere med en ekstern kilde, f.eks. en offentlig NTP-server.
Du kan finde flere oplysninger om konfiguration af Windows Time-tjenesten her.
Manglende gruppepolitikfiler
En eller flere gruppepolitikfiler kan være blevet slettet fra deres lagerplacering i SYSVOL. Den nemmeste metode til at kontrollere dette er at åbne SYSVOL\domain\Policies i Windows Stifinder og søge efter de specifikke filer, der er nævnt i de Userenv-fejl, som vises på berørte computere. Filerne til hvert GPO er placeret i en undermappe i mappen Policies. Hver undermappe navngives efter GUID for det GPO, hvis filer den indeholder.
Hvis der er politikfiler, der mangler i alle DC'er, kan de gendannes fra en sikkerhedskopi. Hvis filer for standarddomænepolitik eller standarddomænecontrollerpolitik mangler, og der ikke er nogen tilgængelig sikkerhedskopi, kan kommandoen dcgpofix gendanne begge politikker til deres standardindstillinger. Du kan finde flere oplysninger om dcgpofix i denne artikel.