因為多種原因,Active Directory (AD) 網域的成員在套用群組原則時可能會遇到問題。本文探討一些較常見的問題,並提供針對根本問題的故障診斷指導方針。
一般故障診斷
針對這些問題進行故障診斷的第一步,應該是判斷其範圍。如果只有一台機器無法處理群組原則,問題很可能源自該機器的故障或組態錯誤。如果問題影響範圍較大,則問題可能存在於網域控制站 (DC) 或 AD 本身。
如果只有一台機器受到影響,請在受影響的機器上執行 gpupdate /force
,再進一步進行故障診斷。如此可確保故障的原因並非由已修復的暫時性網路問題所造成。
當機器無法處理群組原則時,通常會在其應用程式記錄中產生一或多個 Userenv 錯誤。常見的事件 ID 編號包括 1030、1053、1054 和 1058。受影響機器上對特定錯誤的說明,應能提供一些關於問題的基本概念。
DNS 問題
最常見的群組原則故障 (及其他許多 AD 問題) 的原因,可能就是名稱解析問題。如果受影響機器上的 Userenv 錯誤包含「找不到網路路徑」或「找不到網域控制站」等內容,原因便可能是 DNS。以下是針對這類問題進行故障診斷的幾個秘訣:
nslookup
網域 (nslookup mydomain.local
例如)。此命令應會傳回網域中所有 DC 的 IP 位址。如果傳回任何其他位址,便代表 DNS 中可能有不正確的記錄。也可使用「nslookup」命令將個別 DC 的名稱解析至其 IP 位址。ipconfig /all
在受影響的機器上,確認其已設定為僅使用內部 DNS 伺服器。使用錯誤的 DNS 伺服器是造成網域中發生 DNS 問題的主要原因,而且很容易進行補救。所有加入網域的機器都必須僅使用內部 DNS 伺服器,通常便是 DC。ipconfig /flushdns
。這可清除機器上解析器快取中的所有無效資料。netdom
命令測試和重設安全通道。
遺失群組原則檔案
可能已經從 SYSVOL 的儲存位置刪除一個或多個群組原則檔案。若要檢查此問題,請使用檔案總管瀏覽至 SYSVOL\domain\Policies,並查詢 Userenv 錯誤中所提到的特定檔案。每個 GPO 的檔案都位於 Policies 資料夾的子資料夾中。每個子資料夾都是以其中檔案的 GPO 十六進位 globally unique identifiers (GUID) 命名。
如果發現有任何 DC 的原則檔案遺失,可從備份還原。如果預設網域原則或預設網域控制站原則檔案遺失,且沒有可用的備份,可使用 dcgpofix
命令將兩個原則還原至其預設設定。
如需關於 dcgpofix
的更多資訊,請參閱這裡。