Active Directory(AD)ドメインのメンバーは、さまざまな理由でグループ ポリシーを適用する際に問題が発生する可能性があります。この文書では、いくつかの一般的な問題について説明し、基本的な問題をトラブルシューティングするためのガイドラインを提供します。
一般的なトラブルシューティング
これらの問題をトラブルシューティングする際の最初のステップとして、その範囲を把握します。グループ ポリシーを処理できないマシンが1台だけの場合は、そのマシンの誤動作や不適切な設定が原因で問題が発生している可能性が高くなります。問題がより広範囲に及ぶ場合は、ドメイン コントローラー(DC)またはAD自体に問題が存在する可能性があります。
影響を受けたマシンが1台のみである場合は、トラブルシューティングを行う前に、該当するマシンで「gpupdate /force
」を実行します。これにより、現在は解決されている一時的なネットワークの問題が原因ではないことを確認できます。
マシンがグループ ポリシーを処理できない場合、通常はアプリケーション ログに1つ以上の「Userenv」エラーが生成されます。一般的に表示されるイベントID番号は、1030、1053、1054、1058です。影響を受けたマシン上の特定エラーを確認すると、根底にある問題について何らかのアイデアを得ることができます。
DNSの問題
おそらく、グループ ポリシーの失敗とその他多くのADに関する問題を生じる最も一般的な原因は、名前解決の問題です。影響を受けたマシン上のUserenvエラーに「Network path not found」または「Cannot locate a domain controller」という語句が含まれている場合、DNSが原因である可能性があります。このタイプの問題をトラブルシューティングするためのいくつかのヒントを以下に示します。
nslookup
domain」(例:nslookup mydomain.local
)を実行します。このコマンドは、ドメイン内のすべてのDCのIPアドレスを返します。他のアドレスが返された場合、DNSに無効なレコードが存在する可能性があります。また、nslookupコマンドを使用して、個々のDC名をIPアドレスに解決することもできます。ipconfig /all
」を実行し、内部DNSサーバーのみを使用するように設定されていることを確認します。間違ったDNSサーバーの使用は、ドメイン内のDNS問題の主な原因であり、これは簡単に解決できます。ドメインに参加しているすべてのマシンは、内部のDNSサーバーのみを使用する必要があります。これは通常、DCです。ipconfig /flushdns
」を実行します。これにより、これらのマシン上のリゾルバー キャッシュから無効なデータが消去されます。netdom
」コマンドでセキュア チャネルをテストおよびリセットすることもできます。
不明なグループ ポリシー ファイル
1つまたは複数のグループ ポリシー ファイルが、SYSVOLの保存場所から削除されている可能性があります。これを確認するには、エクスプローラーでSYSVOL\domain\Policiesを参照し、「Userenv」エラーに記載されている特定のファイルを探します。各GPOのファイルは、「Policies」フォルダーのサブフォルダーにあります。各サブフォルダーには、ファイルが含まれているGPOの16進数のGlobally Unique Identifier (GUID)にちなんだ名前が付けられます。
ポリシー ファイルがすべてのDCに存在しない場合は、バックアップからリストアできます。デフォルトのドメイン ポリシーまたはデフォルトのドメイン コントローラー ポリシー ファイルが見つからず、使用可能なバックアップがない場合は、「dcgpofix
」コマンドを使用して、両方のポリシーをデフォルト設定にリストアできます。
「dcgpofix
」に関する詳細については、こちらを参照してください。