Active Directoryドメインにおけるグループ ポリシー処理エラーのトラブルシューティング方法

Active Directory（AD）ドメインのメンバーは、さまざまな理由でグループ ポリシーを適用する際に問題が発生する可能性があります。この文書では、いくつかの一般的な問題について説明し、基本的な問題をトラブルシューティングするためのガイドラインを提供します。

一般的なトラブルシューティング
これらの問題をトラブルシューティングする際の最初のステップとして、その範囲を把握します。グループ ポリシーを処理できないマシンが1台だけの場合は、そのマシンの誤動作や不適切な設定が原因で問題が発生している可能性が高くなります。問題がより広範囲に及ぶ場合は、ドメイン コントローラー(DC)またはAD自体に問題が存在する可能性があります。

影響を受けたマシンが1台のみである場合は、トラブルシューティングを行う前に、該当するマシンで「gpupdate /force」を実行します。これにより、現在は解決されている一時的なネットワークの問題が原因ではないことを確認できます。

マシンがグループ ポリシーを処理できない場合、通常はアプリケーション ログに1つ以上の「Userenv」エラーが生成されます。一般的に表示されるイベントID番号は、1030、1053、1054、1058です。影響を受けたマシン上の特定エラーを確認すると、根底にある問題について何らかのアイデアを得ることができます。

DNSの問題
おそらく、グループ ポリシーの失敗とその他多くのADに関する問題を生じる最も一般的な原因は、名前解決の問題です。影響を受けたマシン上のUserenvエラーに「Network path not found」または「Cannot locate a domain controller」という語句が含まれている場合、DNSが原因である可能性があります。このタイプの問題をトラブルシューティングするためのいくつかのヒントを以下に示します。

• 影響を受けたマシンでコマンド プロンプトを開き、「nslookup domain」（例：nslookup mydomain.local）を実行します。このコマンドは、ドメイン内のすべてのDCのIPアドレスを返します。他のアドレスが返された場合、DNSに無効なレコードが存在する可能性があります。また、nslookupコマンドを使用して、個々のDC名をIPアドレスに解決することもできます。
• 影響を受けたマシンで「ipconfig /all」を実行し、内部DNSサーバーのみを使用するように設定されていることを確認します。間違ったDNSサーバーの使用は、ドメイン内のDNS問題の主な原因であり、これは簡単に解決できます。ドメインに参加しているすべてのマシンは、内部のDNSサーバーのみを使用する必要があります。これは通常、DCです。
• 影響を受けたマシンが正しいDNSサーバーを使用しているように見える場合、DC上のDNSコンソールを確認して、適切なレコードが存在することを確認します。ドメイン前方参照ゾーンに、各DCにDCのホスト名および名前「（親フォルダーと同じ）」を持つホスト（A）レコードが2つあることを確認します。どちらのレコードにも、DCのIPアドレスが含まれる必要があります。
• DNSの問題が解決されたら、影響を受けたマシンで「ipconfig /flushdns」を実行します。これにより、これらのマシン上のリゾルバー キャッシュから無効なデータが消去されます。

セキュア チャネルの問題
このタイプの問題は、ドメインに参加しているマシンのローカルに保存されているコンピューター アカウントのパスワードがADのパスワードと一致しない場合に発生します。セキュア チャネルの問題により、マシンがDCで認証できなくなります。多くの場合、グループ ポリシーのアップデートなどでマシンがドメイン リソースにアクセスしようとすると、「Access denied」エラーが発生します。当然のことながら、「Access denied」イベントはすべてセキュア チャネルの問題に起因しているわけではありませんが、影響を受けたマシンのアプリケーション ログに「Access denied」と記載されたUserenvエラーがある場合、セキュア チャネルをテストすることをお勧めします。

• nltestコマンドを使用して、ドメイン メンバー上のセキュア チャネルをテスト（必要に応じてリセット）できます。
• また、「netdom」コマンドでセキュア チャネルをテストおよびリセットすることもできます。
• Test-ComputerSecureChannel PowerShellコマンドレットを使用して、セキュア チャネルをテストまたはリセットすることもできます。
• 影響を受けたマシンをドメインから削除し、そのADコンピューター アカウントをリセットして、ドメインに再度参加させると、そのセキュア チャネルをリセットできます。ただし、これは常に実行可能とは限りません。

SYSVOLの問題
グループ ポリシーのテンプレート ファイルは、ドメイン内のすべてのDC上のSYSVOL共有に格納されます。SYSVOLデータは、ファイル レプリケーション システム(FRS)または分散ファイル システム レプリケーション(DFSR)のいずれかを使用してDC間でレプリケートされます。SYSVOL共有がDCに存在しない場合、これは通常、SYSVOLレプリケーションに問題があることを示します。

クロック スキュー
デフォルトで、Kerberos認証では、ドメインに参加したマシンのクロックが互いに5分以内である必要があります。このしきい値を超えると認証が失敗し、グループ ポリシーの処理を妨げる原因となります。ドメイン内のすべてのマシンは、1つの例外を除き、クロックをADと同期するように構成する必要があります。PDCエミュレーターのFSMOの役割を持つDCは、ドメインの信頼できるタイム ソースです。そのため、ドメイン内でパブリックNTPサーバーなどの外部ソースと同期する必要がある唯一のマシンです。

Windowsタイム サービスの設定に関する詳細については、こちらを参照してください。

不明なグループ ポリシー ファイル
1つまたは複数のグループ ポリシー ファイルが、SYSVOLの保存場所から削除されている可能性があります。これを確認するには、エクスプローラーでSYSVOL\domain\Policiesを参照し、「Userenv」エラーに記載されている特定のファイルを探します。各GPOのファイルは、「Policies」フォルダーのサブフォルダーにあります。各サブフォルダーには、ファイルが含まれているGPOの16進数のGlobally Unique Identifier (GUID)にちなんだ名前が付けられます。

ポリシー ファイルがすべてのDCに存在しない場合は、バックアップからリストアできます。デフォルトのドメイン ポリシーまたはデフォルトのドメイン コントローラー ポリシー ファイルが見つからず、使用可能なバックアップがない場合は、「dcgpofix」コマンドを使用して、両方のポリシーをデフォルト設定にリストアできます。

「dcgpofix」に関する詳細については、こちらを参照してください。