Lors de l’application d’une stratégie de groupe, les membres d’un domaine Active Directory (AD) peuvent rencontrer des problèmes, pour diverses raisons. Cet article présente certaines des raisons les plus courantes et fournit des instructions pour le dépannage des problèmes sous-jacents.
Dépannage de base
La première étape pour résoudre ces problèmes est de déterminer leur étendue. S’il n’existe qu’une seule machine ne parvenant pas à traiter la stratégie de groupe, le problème provient probablement d’un dysfonctionnement ou d’une mauvaise configuration de cette machine. Si le problème est plus répandu, il se peut qu’il provienne d’un contrôleur de domaine (DC) ou d’AD lui-même.
Si une seule machine est touchée, exécutez gpupdate /force
sur la machine concernée avant de poursuivre le dépannage. Cela permet de vous assurer que la panne ne résulte pas d’un problème réseau temporaire qui aurait été résolu depuis.
Lorsqu’une machine ne parvient pas à traiter la stratégie de groupe, elle génère typiquement une ou plusieurs erreurs Userenv dans son journal d’application. Les numéros d’ID d’événement les plus courants sont les suivants : 1030, 1053, 1054 et 1058. Les descriptions des erreurs spécifiques se produisant sur une machine affectée donnent généralement une idée du problème sous-jacent.
Problèmes de DNS
La cause qui revient sans doute le plus souvent lors d’échecs des stratégies de groupe, comme dans nombre d’autres problèmes en lien avec AD, est liée à un problème de résolution de noms. Si les erreurs Userenv sur une machine affectée comprennent une expression telle que « chemin réseau introuvable » ou « impossible de trouver un contrôleur de domaine », le DNS peut être en cause. Voici quelques conseils pour résoudre ce type de problème :
nslookup
domain (nslookup mydomain.local
, par exemple). Cette commande doit renvoyer les adresses IP de tous les contrôleurs de domaine du domaine. Si d’autres adresses sont renvoyées, il y a probablement des enregistrements non valides dans le DNS. Vous pouvez également utiliser la commande nslookup pour convertir les noms de chaque contrôleur de domaine en adresses IP.ipconfig /all
sur une machine affectée et assurez-vous qu’elle est configurée pour utiliser uniquement des serveurs DNS internes. L’utilisation de serveurs DNS erronés est la cause principale de problèmes DNS dans un domaine, et elle peut être facilement résolue. Toutes les machines jointes au domaine doivent utiliser uniquement des serveurs DNS internes, qui servent généralement de contrôleurs de domaines.ipconfig /flushdns
sur toutes les machines affectées. Cela aura pour effet de purger toutes les données non valides du cache du résolveur sur ces machines.netdom
permet également de tester et de réinitialiser le canal sécurisé.
Fichiers de stratégie de groupe manquants
Un ou plusieurs fichiers de stratégie de groupe ont peut-être été supprimés de leur emplacement de stockage dans SYSVOL. Vous pouvez le vérifier en accédant à SYSVOL\domain\Policies dans l’Explorateur de fichiers et en recherchant les fichiers spécifiques mentionnés dans les erreurs Userenv. Les fichiers de chaque stratégie de groupe (GPO) se trouvent dans un sous-dossier du dossier Policies. Chaque sous-dossier est nommé d’après l’identificateur global unique (GUID) hexadécimal de la GPO dont il contient les fichiers.
Si des fichiers de stratégie sont manquants dans tous les contrôleurs de domaine, ils peuvent être restaurés grâce à une sauvegarde. Si la stratégie de domaine par défaut ou des fichiers de stratégie du contrôleur de domaine par défaut sont manquants et qu’aucune sauvegarde n’est disponible, la commande dcgpofix
permet de restaurer les paramètres par défaut de ces deux stratégies.
Plus d’informations sur dcgpofix
sont disponibles ici.