Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

Probleemoplossing bij fouten in de verwerking van Groepsbeleid in een Active Directory-domein

Samenvatting: Problemen oplossen met fouten bij de verwerking van Groepsbeleid op Windows-computers in een Active Directory-domein.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Symptomen


Samenvatting van het artikel: Dit artikel bevat informatie over probleemoplossing bij fouten in de verwerking van Groepsbeleid op Windows-computers in een Active Directory-domein.


 

Leden van een Active Directory (AD)-domein kunnen om verschillende redenen problemen ondervinden bij het toepassen van Groepsbeleid. In dit artikel vindt u een aantal van de meest voorkomende problemen en worden richtlijnen geboden voor het oplossen van de onderliggende problemen.
 
Algemene probleemoplossing
De eerste stap bij het oplossen van deze problemen is het bepalen van de omvang. Als slechts één computer Groepsbeleid niet kan verwerken, is het probleem waarschijnlijk het gevolg van een defect of verkeerde configuratie van de betreffende computer en gaat het waarschijnlijk niet om een probleem met een domeincontroller (DC) of AD zelf. In het geval van een computerspecifiek probleem kan het handig zijn om gpupdate/force op de getroffen computer uit te voeren voordat u verdergaat met de probleemoplossing, om er zeker van te zijn dat de fout niet werd veroorzaakt door een tijdelijk netwerkprobleem dat sindsdien is opgelost.

Wanneer een computer Groepsbeleid niet kan uitvoeren, genereert deze doorgaans een of meerdere Userenv-fouten in het applicatielogboek. Veelvoorkomende gebeurtenis-ID's zijn onder meer 1030, 1053, 1054 en 1058. De beschrijvingen van de specifieke fouten op een getroffen computer zouden een idee moeten geven van het onderliggende probleem.
 
Problemen met DNS
Misschien wel de meest voorkomende oorzaak van fouten met Groepsbeleid (en talloze andere problemen in AD) is een probleem met naamherleiding: een client probeert de Groepsbeleid-instellingen bij te werken, maar kan de naam van een DC in het domein niet vaststellen, kan de naam van een DC niet omzetten in een IP-adres of herleidt die naam naar het adres van een computer die niet echt een DC is en misschien niet eens bestaat. Als de Userenv-fouten op een getroffen computer het volgende bevatten: "Network path not found" of "Cannot locate a domain controller", ligt de oorzaak van het probleem waarschijnlijk bij DNS. Hier volgen enkele tips voor het oplossen van dit type probleem:

  • Open een opdrachtprompt op een getroffen computer en voer nslookup domeinnaam uit (bijvoorbeeld nslookup mydomain.local). Met deze opdracht worden de IP-adressen van alle DC's in het domein geretourneerd. Als er andere adressen worden geretourneerd, zijn er waarschijnlijk ongeldige records in DNS. De opdracht nslookup kan ook worden gebruikt om de namen van afzonderlijke DC's te herleiden tot hun IP-adressen (bijvoorbeeld nslookup dc1.mydomain.local).
  • Voer ipconfig /all uit op een getroffen computer en controleer of deze geconfigureerd is om alleen interne DNS-servers te gebruiken. Het gebruik van de onjuiste DNS-servers is de belangrijkste oorzaak van DNS-problemen in een domein en is eenvoudig te verhelpen. Alle computers die lid zijn van het domein, moeten alleen gebruik maken van interne DNS-servers, die doorgaans DC’s zijn.
  • Als de betroffen computer de juiste DNS-servers lijkt te gebruiken, controleert u de DNS-console op een DC om te controleren of de juiste records aanwezig zijn. Controleer of elke DC twee host (A)-records heeft in de zone voor forward lookup van het domein: één met de hostname van de DC en één met de naam "(zelfde als bovenliggende map)". Beide records moeten het IP-adres van de DC bevatten.
  • Als het DNS-probleem is opgelost, vergeet dan niet om ipconfig /flushdns op de betroffen computers uit te voeren om eventuele ongeldige data uit de resolver-cache van die computers te verwijderen.
 

Problemen met beveiligd kanaal
Dit type probleem doet zich meestal voor wanneer een computer die is toegevoegd aan een domein, lang genoeg offline is dat het wachtwoord van het computeraccount in AD niet meer overeenkomt met de kopie van dat wachtwoord dat in de lokale cache van de computer is opgeslagen. Het probleem kan echter ook in andere situaties ontstaan. Een probleem met een beveiligd kanaal verhindert de authenticatie van een computer bij een DC en manifesteert zichzelf doorgaans als een fout "Access denied" wanneer die computer toegang probeert te krijgen tot domeinbronnen, inclusief updates voor Groepsbeleid. Natuurlijk zijn niet alle gevallen van "Access denied" te wijten aan problemen met een beveiligd kanaal maar als een getroffen computer Userenv-fouten in het applicatielogboek bevat met "Access denied" in de beschrijving, is het de moeite waard de mogelijkheid van een beveiligd kanaal te testen.

  • De opdracht nltest kan worden gebruikt om het beveiligde kanaal te testen (en opnieuw in te stellen, indien nodig) op een domeinlid.
  • Ook met de opdracht netdom kunt u het beveiligde kanaal testen en resetten.
  • Als de Active Directory PowerShell-module is geïnstalleerd, biedt PowerShell-cmdlet Test-ComputerSecureChannel een andere manier om het beveiligde kanaal te testen en/of te resetten.
  • In sommige gevallen kan het nodig zijn om de getroffen computer uit het domein te verwijderen, het AD-computeraccount opnieuw in te stellen en de computer opnieuw toe te voegen aan het domein, zodat het beveiligde kanaal opnieuw kan worden ingesteld.
 

Problemen met SYSVOL
Groepsbeleid-bestanden worden opgeslagen in de SYSVOL-share op alle DC's in het domein - om precies te zijn, in submappen van de map SYSVOL\domain\Policies. Als de SYSVOL-share niet op een DC staat, duidt dit doorgaans op een probleem met de File Replication Service (FRS) of Distributed File System Replication (DFS-R), afhankelijk van welke wordt gebruikt voor het repliceren van SYSVOL.

Dit artikel biedt geen uitputtende handleiding voor het oplossen van problemen met de FRS of DFS-R. De volgende koppelingen kunnen in dit geval nuttig zijn:

 

Niet synchroon lopen van klok
Als de tijd op een getroffen computer niet dezelfde is als de tijd op een DC en het verschil meer dan vijf minuten bedraagt indien gecorrigeerd is voor verschillen in de tijdzone, kan er geen authenticatie van de computer bij de DC plaatsvinden en Groepsbeleid daardoor niet worden verwerkt. Domeinleden moeten zodanig worden geconfigureerd dat hun klok synchroon loopt met een DC, en de klok van elke DC moet weer synchroon lopen met de DC die de rol van PDC-emulator bezit. Daarom zou de PDC-emulator de enige computer in een domein moeten zijn die zodanig is geconfigureerd dat deze gesynchroniseerd is met een externe bron, zoals een openbare NTP-server.

Hier vindt u meer informatie over het configureren van de Windows Time-service.
 
Ontbrekende Groepsbeleid-bestanden
Een of meerdere Groepsbeleid-bestanden zijn mogelijk verwijderd uit de storagelocatie in SYSVOL. De makkelijkste manier om dit te controleren is door SYSVOL\domain\Policies te openen in Windows Verkenner en te controleren op de specifieke bestanden die worden vermeld in de Userenv-fouten die op de betroffen computers worden weergegeven. De bestanden voor elk groepsbeleidsobject (GPO) bevinden zich in een submap van de map Policies. Elke submap krijgt de naam van de GUID van het GPO waarvan het de bestanden bevat.

Als beleidsbestanden ontbreken in alle DC's, kunnen ze via een back-up worden hersteld. Als het standaarddomeinbeleid of de beleidsbestanden van de standaarddomeincontroller ontbreken en er geen back-up beschikbaar is, kan de opdracht dcgpofix beide beleidsregels terugzetten naar hun standaardinstellingen. Meer informatie over dcgpofix vindt u in dit artikel

Getroffen producten

Servers
Artikeleigenschappen
Artikelnummer: 000135060
Artikeltype: Solution
Laatst aangepast: 08 nov. 2023
Versie:  7
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.