Odstraňování problémů s chybami zpracování zásad skupiny v doméně služby Active Directory

Členové domény Active Directory (AD) se mohou setkat s problémy při zavádění zásad skupiny, které mohou mít nejrůznější důvody. Tento článek popisuje některé běžnější příčiny a poskytuje pokyny k odstraňování těchto základních problémů.
 
Obecné kroky pro odstraňování problémů
Prvním krokem odstraňování těchto problémů by mělo být určení jejich rozsahu. Pokud zásady skupiny nezpracuje pouze jeden počítač, problém pravděpodobně spočívá ve vadě nebo špatné konfiguraci tohoto počítače. Pokud je problém rozšířenější, může se týkat řadiče domény (DC) nebo samotné služby AD.

Pokud je dotčen pouze jeden počítač, spusťte příkaz gpupdate /force na dotčeném počítači před dalším odstraňováním problémů. Tím zajistíte, že selhání nezpůsobila dočasná chyba sítě, která byla mezitím vyřešena.

Když počítač nemůže zpracovat zásady skupiny, obvykle vygeneruje jednu nebo více chyb Userenv v protokolu aplikací. Běžná jsou např. ID událostí 1030, 1053, 1054 a 1058. Popisy konkrétních chyb na příslušném počítači by vám měly dát představu o problému, který je způsobuje.

Problémy se serverem DNS
Asi nejčastější příčinou selhání zásad skupiny a řady dalších problémů se službou AD je problém s překladem názvů. Pokud chyby Userenv na dotčených počítačích obsahují frázi „Network path not found“ nebo „Cannot locate a domain controller“, může být příčinou server DNS. Při odstraňování tohoto typu problému můžete využít několik tipů:

• Otevřete příkazový řádek na dotčeném počítači a spusťte příkaz nslookup doména (nslookup mydomain.localnapříklad). Tento příkaz by měl zobrazit IP adresy všech řadičů DC v doméně. Pokud se zobrazí jiné adresy, jde zpravidla o neplatné záznamy na serveru DNS. Příkaz nslookup je rovněž možné použít k překladu názvů jednotlivých řadičů DC na jejich IP adresy.
• Spusťte příkaz ipconfig /all na příslušném počítači a ověřte, že je nakonfigurovaný, aby používal pouze interní servery DNS. Používání nesprávných serverů DNS je hlavní příčinou problémů se serverem DNS v doméně a dá se snadno řešit. Všechny počítače připojené k doméně musí používat pouze interní servery DNS, což jsou zpravidla řadiče domény.
• Pokud se zdá, že dotčený počítač používá správné servery DNS, zkontrolujte konzoli DNS na řadiči domény a ověřte, jestli existují správné záznamy. Zkontrolujte, jestli má každý řadič domény dva záznamy hostitele (A) v zóně dopředného vyhledávání domény: jeden s názvem hostitele řadiče domény a jeden se stejným názvem jako nadřazená složka. Oba záznamy by měly obsahovat IP adresu řadiče domény.
• Po vyřešení problému se serverem DNS spusťte příkaz ipconfig /flushdns na všech dotčených počítačích. Tím se odstraní veškerá neplatná data z cache překladače na těchto počítačích.

Problémy se zabezpečeným kanálem
K tomuto typu problému dochází, když heslo místně uloženého počítačového účtu počítače připojeného k doméně neodpovídá jeho heslu ve službě AD. Problém se zabezpečeným kanálem brání počítači v ověření pomocí řadiče domény. Při každém pokusu o přístup k prostředkům domény, včetně aktualizací zásad skupiny, se často projeví jako chyba „Access denied“. Všechny zprávy „Access denied“ samozřejmě nejsou způsobené problémy s bezpečným kanálem, ale pokud se na dotčeném počítači nachází chyby Userenv v protokolu Application s popisem „Access denied“, je vhodné zabezpečený kanál otestovat.

• Příkaz nltest je možné použít k testování (a případně také resetování) zabezpečeného kanálu na členu domény.
• Příkaz netdom může také testovat a resetovat zabezpečený kanál.
• Zabezpečený kanál lze také otestovat nebo resetovat pomocí rutiny Test-ComputerSecureChannel prostředí PowerShell.
• Zabezpečený kanál resetujete odebráním dotčeného počítače z domény, resetováním účtu počítače v doméně AD a jeho opětovným připojením do domény. To však není vždy možné.

Problémy se složkou SYSVOL
Soubory šablony zásad skupiny jsou uloženy ve sdílené složce SYSVOL na všech řadičích domény v doméně. Data SYSVOL se replikují mezi řadiče domény pomocí služby File Replication System (FRS) nebo Distributed File System Replication (DFSR). Pokud není sdílená složka SYSVOL přítomna na řadiči domény, obvykle to signalizuje problém s replikací složky SYSVOL.

Rozdíl hodin
Ve výchozím nastavení ověřování Kerberos vyžaduje, aby hodiny počítačů připojených k doméně nelišily o více než 5 minut. Překročení této prahové hodnoty způsobuje selhání ověřování, které následně brání zpracování zásad skupiny. Vše v doméně by mělo být nakonfigurováno tak, aby se hodiny synchronizovaly se službou AD, s jednou výjimkou. Řadič domény, který má roli FSMO emulátoru PDC, je autoritativní zdroj času pro celou doménu. Proto se jedná o jediný počítač v doméně, který by se měl synchronizovat s externím zdrojem, například s veřejným serverem NTP.

Další informace o konfiguraci služby Systémový čas jsou k dispozici zde.

Chybějící soubory zásad skupiny
Jeden nebo více souborů zásad skupiny mohlo být smazáno z umístění úložiště ve složce SYSVOL. Zkontrolujte to tak, že v Průzkumníkovi souborů přejdete do složky SYSVOL\domain\Policies a vyhledáte konkrétní soubory uvedené v chybách Userenv. Soubory každého objektu zásad skupiny (GPO) jsou umístěné v podsložce složky Policies. Každá podsložka je pojmenována po šestnáctkovém identifikátoru GUID (Globally Unique Identifier) objektu GPO, jehož soubory obsahuje.

Pokud zjistíte, že soubory zásad chybí ve všech řadičích domény, lze je obnovit ze zálohy. Pokud chybí soubory výchozí zásady domény nebo výchozí zásady řadiče domény a není k dispozici záloha, můžete příkazem dcgpofix obnovit obě zásady do výchozího nastavení.

Další informace o příkazu dcgpofix naleznete zde.