Como solucionar problemas de erros de processamento da política de grupo em um domínio do Active Directory

Os membros de um domínio do Active Directory (AD) podem enfrentar problemas ao aplicar a política de grupo por vários motivos. Este artigo discute alguns dos problemas mais comuns e oferece diretrizes para solucionar os problemas subjacentes.
 
Solução de problemas gerais
A primeira etapa para fazer a solução desses problemas deve ser determinar a extensão deles. Se apenas um computador não conseguir acessar a política de grupo, provavelmente o problema se deve a um mau funcionamento ou uma configuração incorreta desse computador. Se a questão for mais generalizada, o problema pode existir em um controlador de domínio (DC) ou no próprio AD.

Se apenas um computador for afetado, execute gpupdate /force no computador afetado antes de prosseguir com a solução de problemas. Isso garantirá que a falha não tenha sido causada por um problema temporário de rede que já foi resolvido.

Quando um computador não consegue processar a política de grupo, ele normalmente gera um ou mais erros Userenv no log de aplicativos. Alguns números de ID de evento comuns são 1030, 1053, 1054 e 1058. As descrições dos erros específicos em um computador afetado devem dar alguma ideia do problema subjacente.

Problemas de DNS
Talvez a causa mais comum de falhas na política de grupo (e vários outros problemas do AD) seja um problema de resolução de nomes. Se os erros Userenv em um computador afetado incluírem a frase "Network path not found" ou "Cannot locate a domain controller", o problema pode estar no DNS. Veja a seguir algumas dicas para a solução desse tipo de problema:

• Abra um prompt de comando em um computador afetado e execute nslookup domain (nslookup mydomain.local, por exemplo). Esse comando retornará os endereços IP de todos os controladores de domínio no domínio. Se qualquer outro endereço for retornado, provavelmente há registros inválidos no DNS. Também é possível usar o comando nslookup para resolver os nomes dos DCs individuais para os endereços IP.
• Executar ipconfig /all em um computador afetado e verifique se ele está configurado para usar somente servidores DNS internos. O uso de servidores DNS incorretos é a principal causa de problemas do DNS em um domínio, e isso é facilmente corrigido. Todos os computadores associados a domínios devem usar somente servidores DNS internos, que normalmente são DCs.
• Se o computador afetado parecer usar os servidores DNS corretos, analise o console do DNS em um controlador de domínio para verificar se os registros adequados existem. Verifique se cada DC tem dois registros de host (A) na zona de pesquisa direta do domínio: um com o hostname do DC e um com o nome "(igual à pasta principal)". Ambos os registros devem incluir o endereço IP do DC.
• Depois de resolver um problema de DNS, execute ipconfig /flushdns em todos os computadores afetados. Isso descartará todos os dados inválidos do cache do solucionador nessas máquinas.

Problemas de canal seguro
Esse tipo de problema ocorre quando a senha da conta do computador armazenada localmente em um computador ingressado em um domínio não corresponde à senha do AD. Um problema de canal seguro impede que um computador se autentique em um DC. Muitas vezes, ele se manifesta como um erro "Access denied" sempre que esse computador tenta acessar recursos de domínio, inclusive atualizações da política de grupo. Obviamente, nem todos os eventos de "acesso negado" são decorrentes de problemas de canal seguro, mas se um computador afetado tiver erros Userenv no registro do aplicativo com "acesso negado" em sua descrição, vale a pena testar o canal seguro.

• O comando nltest pode ser usado para testar (e redefinir, se necessário) o canal seguro em um membro do domínio.
• O switch netdom comando também pode testar e redefinir o canal seguro.
• O cmdlet Test-ComputerSecureChannel do PowerShell oferece outro meio de testar ou redefinir o canal seguro.
• Remover o computador afetado do domínio, redefinir a conta do computador no AD e reingressá-lo no domínio redefinirá o canal seguro. No entanto, isso nem sempre é viável.

Problemas com o SYSVOL
Os arquivos de modelo da política de grupo são armazenados no compartilhamento SYSVOL em todos os DCs do domínio. Os dados do SYSVOL são replicados entre os DCs usando o Sistema de Replicação de Arquivos (FRS) ou a Replicação Distribuída de File System (DFSR). Se o compartilhamento SYSVOL não estiver presente em um DC, isso normalmente indicará um problema com a replicação de SYSVOL.

Skew do relógio
Por padrão, a autenticação Kerberos exige que os relógios dos computadores ingressados no domínio tenham uma diferença de até cinco minutos entre si. Exceder esse limite causará falha de autenticação, o que, por sua vez, impedirá o processamento da política de grupo. É necessário configurar todos os elementos do domínio para sincronizar o relógio com o AD, com uma exceção. O DC que detém a função FSMO do Emulador do PDC é a origem de horário autorizada para o domínio. Portanto, é o único computador de um domínio que deve ser sincronizado com uma origem externa, como um servidor NTP público.

Mais informações sobre como configurar o serviço de horário do Windows estão disponíveis aqui.

Arquivos ausentes da política de grupo
Um ou mais arquivos da política de grupo podem ter sido excluídos da localização de armazenamento no SYSVOL. Verifique isso navegando até SYSVOL\domain\Policies no Explorador de Arquivos e procurando arquivos específicos mencionados nos erros Userenv. Os arquivos de cada GPO estão localizados em uma subpasta da pasta Policies. Cada subpasta é nomeada conforme o identificador globalmente exclusivo (GUID) hexadecimal do GPO cujos arquivos ela contém.

Se forem encontrados arquivos de política ausentes de todos os DCs, será possível restaurá-los de um backup. Se os arquivos da Política padrão de domínio ou da Política padrão do controlador de domínio estiverem ausentes e não houver um backup estiver disponível, o comando dcgpofix poderá restaurar as duas políticas às configurações padrão.

Mais informações sobre dcgpofix podem ser encontradas aqui.