Rozwiązywanie problemów z błędami przetwarzania zasad grupy w domenie Active Directory

Elementy członkowskie domeny Active Directory (AD) mogą z wielu powodów doświadczyć problemów ze stosowaniem zasad grupy. W tym artykule omówiono niektóre z najczęstszych przyczyn i zamieszczono wskazówki dotyczące rozwiązywania problemów, które leżą u ich podstaw.
 
Ogólne czynności rozwiązywania problemów
Pierwszym krokiem w rozwiązywaniu tych problemów będzie określenie ich zakresu. Jeśli tylko jeden komputer nie może przetworzyć zasad grupy, może to oznaczać, że problem prawdopodobnie jest związany z awarią lub nieprawidłową konfiguracją tego komputera. Jeśli problem jest bardziej rozpowszechniony, może on występować na kontrolerze domeny (DC) lub w samej usłudze Active Directory.

Jeśli problem dotyczy tylko jednego komputera, uruchom gpupdate /force na komputerze, którego dotyczy problem, przed rozpoczęciem rozwiązywania problemów. Gwarantuje to, że awaria nie została spowodowana przez tymczasowy problem z siecią, który został rozwiązany.

Kiedy komputer nie może przetworzyć zasad grupy, zazwyczaj generuje jeden lub więcej błędów Userenv w dzienniku aplikacji. Typowe numery identyfikatorów zdarzeń to 1030, 1053, 1054 i 1058. Opisy poszczególnych błędów w komputerze, którego dotyczy problem, powinny umożliwić wyizolowanie potencjalnych przyczyn.

Problemy z DNS
Być może najczęstszą przyczyną awarii zasad grupy i wielu innych problemów z AD jest problem z rozpoznawaniem nazw. Jeśli błędy Userenv na komputerze, którego dotyczy problem, zawierają komunikat „Network path not found” lub „Cannot locate a domain controller”, przyczyną problemów może być system DNS. Poniżej przedstawiono kilka porad dotyczących rozwiązywania problemów tego rodzaju:

• Otwórz wiersz polecenia na komputerze, którego dotyczy problem i uruchom nslookup domenę (nslookup mydomain.localna przykład). To polecenie powinno zwrócić adresy IP wszystkich kontrolerów domeny w danej domenie. Jeśli zostaną zwrócone jakiekolwiek inne adresy, prawdopodobnie oznacza to nieprawidłowe rekordy w DNS. Polecenie nslookup może również służyć do tłumaczenia na adresy IP nazw poszczególnych kontrolerów domen.
• Uruchom ipconfig /all na komputerze dotkniętym problemem i sprawdź, czy jest skonfigurowany do korzystania tylko z wewnętrznych serwerów DNS. Główną przyczyną problemów z DNS w domenie jest korzystanie z niewłaściwych serwerów DNS; łatwo temu zaradzić. Wszystkie komputery przyłączone do domeny muszą korzystać wyłącznie z wewnętrznych serwerów DNS, które zazwyczaj są kontrolerami domen.
• Jeśli komputer, którego dotyczy ten problem, używa prawidłowego serwera DNS, sprawdź w konsoli DNS na kontrolerze domeny, czy istnieją odpowiednie rekordy. Sprawdź, czy każdy kontroler domeny ma dwa rekordy hosta (A) w strefie wyszukiwania do przodu domeny: jeden z nazwą hosta kontrolera, a drugi z nazwą „taką samą jak folder nadrzędny”. Oba rekordy powinny zawierać adres IP kontrolera domeny.
• Po rozwiązaniu problemu z DNS uruchom ipconfig /flushdns na wszystkich komputerach, których dotyczy problem. Spowoduje to usunięcie wszelkich nieprawidłowych danych z pamięci podręcznej programu rozpoznawania nazw na tych komputerach.

Problemy z bezpiecznym kanałem
Ten typ problemu występuje, gdy hasło konta lokalnego komputera przyłączonego do domeny jest niezgodne z hasłem w usłudze Active Directory. Problem z bezpiecznym kanałem uniemożliwia uwierzytelnienie komputera przy użyciu kontrolera domeny. Często objawia się błędem odmowy dostępu, gdy komputer próbuje uzyskać dostęp do zasobów domeny, w tym aktualizacji Zasad grupy. Oczywiście nie wszystkie przypadki wystąpienia na komputerze błędu odmowy dostępu wynikają z problemów z bezpiecznym kanałem, ale jeśli w dzienniku aplikacji takiego komputera znajdą się błędy Userenv, w których występuje komunikat „Access denied”, warto przetestować bezpieczny kanał.

• Za pomocą polecenia nltest można przetestować (a w razie potrzeby również resetować) bezpieczne kanały na elementach członkowskich domeny.
• Polecenie netdom również pozwala przetestować i zresetować bezpieczny kanał.
• Polecenie cmdlet Test-ComputerSecureChannel PowerShell zapewnia inny sposób testowania lub resetowania bezpiecznego kanału.
• Usunięcie komputera z domeny, zresetowanie konta komputera w usłudze Active Directory i ponowne dołączenie go do domeny zresetuje bezpieczny kanał. Nie zawsze jest to jednak możliwe.

​​​​Problemy z SYSVOL
Pliki szablonów zasad grupy są przechowywane w udziale SYSVOL na wszystkich kontrolerach domeny w domenie. Dane SYSVOL są replikowane między kontrolerami domeny przy użyciu systemu replikacji plików (FRS) lub replikacji rozproszonego systemu plików (DFSR). Jeśli udział SYSVOL nie jest obecny na kontrolerze domeny, zwykle oznacza to problem z replikacją SYSVOL.

Różnica w godzinie
Domyślnie uwierzytelnianie Kerberos wymaga, aby różnica między zegarami komputerów przyłączonych do domeny mieściła się w granicach pięciu minut. Przekroczenie tego progu powoduje błąd uwierzytelniania, co z kolei uniemożliwia przetwarzanie zasad grupy. Wszystkie elementy domeny powinny być skonfigurowane tak, aby synchronizować zegar z usługą Active Directory, z jednym wyjątkiem. Kontroler domeny pełniący rolę FSMO emulatora kontrolera PDC jest autorytatywnym źródłem czasu dla domeny. W związku z tym jest to jedyny komputer w domenie, który powinien synchronizować się z zewnętrznym źródłem, takim jak publiczny serwer NTP.

Więcej informacji na temat konfigurowania usługi czasu systemu Windows można znaleźć tutaj.

Brak plików zasad grupy
Jeden lub więcej plików zasad grupy mógł zostać usunięty z lokalizacji przechowywania w folderze SYSVOL. Sprawdź to, przechodząc do folderu SYSVOL\domain\Policies w Eksploratorze plików i wyszukując określone pliki wymienione w błędach Userenv. Pliki każdego obiektu GPO znajdują się w podfolderze folderu Policies. Każdy podfolder nosi nazwę szesnastkowego, unikatowego identyfikatora globalnego (GUID) obiektu GPO, którego pliki zawiera.

Jeśli na wszystkich kontrolerach domeny brakuje plików zasad, można je przywrócić z kopii zapasowej. Jeśli brakuje plików domyślnych zasad domeny lub domyślnych zasad kontrolera domeny i kopia zapasowa nie jest dostępna, dcgpofix polecenie umożliwia przywrócenie domyślnych ustawień obu zasad.

Więcej informacji na temat dcgpofix można znaleźć tutaj.