Active Directory (AD) 域的成员可能会出于多种原因在应用组策略时遇到问题。本文讨论了一些较常见的问题,并提供了解决底层问题的指导准则。
常规故障处理
解决这些问题的第一步应是确定其严重程度。如果只有一台机器无法处理组策略,问题可能源自该机器的故障或配置错误。如果问题的影响范围更大,则问题可能存在于域控制器 (DC) 或 AD 本身。
如果仅有一台机器受到影响,请在受影响的机器上运行 gpupdate /force
,然后再进行进一步的故障处理。这可确保故障不是由已解决的临时网络问题引起的。
当机器无法处理组策略时,它通常会在其应用程序日志中生成一个或多个 Userenv 错误。常见的事件 ID 编号包括 1030、1053、1054 和 1058。对受影响机器上特定错误的描述应该能让您了解底层问题。
DNS 问题
组策略失败以及许多其他 AD 问题的最常见原因可能是名称解析问题。如果受影响机器上的 Userenv 错误包括短语“Network path not found”或“Cannot locate a domain controller”,DNS 可能是出错的原因。以下是针对此类问题进行故障处理的几个提示:
nslookup
domain(nslookup mydomain.local
,例如)。此命令应返回域中所有 DC 的 IP 地址。如果返回任何其他地址,DNS 中可能存在无效的记录。Nslookup 命令还可用于将单个 DC 的名称解析为其 IP 地址。ipconfig /all
并验证其是否配置为仅使用内部 DNS 服务器。在域中,使用错误的 DNS 服务器是 DNS 问题的主要原因,并且易于修复。所有加入域的机器都只能使用内部 DNS 服务器,通常为 DC。ipconfig /flushdns
。这将清除这些计算机上解析器缓存中的所有无效数据。netdom
命令还可以测试和重置安全通道。
缺少组策略文件
可能已从 SYSVOL 中的存储位置删除一个或多个组策略文件。要检查此问题,请浏览到文件资源管理器中的 SYSVOL\domain\Policies 并查找 Userenv 错误中提到的特定文件。每个 GPO 的文件位于策略文件夹的子文件夹中。每个子文件夹都以其所含文件的 GPO 的十六进制 Globally Unique Identifier (GUID) 命名。
如果发现所有 DC 中缺少策略文件,则可以从备份中恢复这些文件。如果默认域策略或默认域控制器策略文件缺失且没有可用的备份, dcgpofix
命令可以将这两个策略还原为默认设置。
有关 dcgpofix
的更多信息可以在此处找到。