Riepilogo: Procedura per la risoluzione degli errori di elaborazione di Criteri di gruppo nei computer Windows in un dominio Active Directory.
Sintomi
Riepilogo dell’articolo: in questo articolo vengono fornite informazioni sulla risoluzione dei problemi relativi agli errori di elaborazione dei Criteri di gruppo nei computer Windows in un dominio Active Directory.
I membri di un dominio Active Directory (AD) possono riscontrare problemi durante l’applicazione dei Criteri di gruppo per diversi motivi. Questo articolo discute alcune delle cause più comuni e fornisce linee guida per la risoluzione dei problemi sottostanti.
Procedure generali di risoluzione dei problemi
Il primo passo nella risoluzione del problema consiste nel determinarne la dimensione. Se solo un computer non è in grado di elaborare Criteri di gruppo, il problema probabilmente deriva da un malfunzionamento o un’errata configurazione di questo computer, piuttosto che da un controller di dominio o da AD stesso. In caso di problemi specifici di un computer, potrebbe essere utile eseguire gpupdate /force sul computer interessato prima di effettuare ulteriori operazioni di risoluzione dei problemi, per assicurarsi che il guasto non sia stato causato da un problema di rete temporaneo già risolto.
Quando un computer non è in grado di elaborare Criteri di gruppo, solitamente genera uno o più errori Userenv nel registro applicazioni. Numeri di ID evento comuni includono 1030, 1053, 1054 e 1058. Le descrizioni degli errori specifici in un computer interessato devono fornire un’idea del problema sottostante.
Problemi DNS
Probabilmente la causa più comune degli errori dei Criteri di gruppo (e di numerosi altri problemi in AD) è un problema di risoluzione dei nomi: un client tenta di aggiornare le impostazioni dei Criteri di gruppo ma non è in grado di determinare il nome di un controller di dominio nel dominio, non può risolvere il nome di un controller di dominio in un indirizzo IP oppure risolve il nome nell’indirizzo di un computer che non è realmente un controller di stato e potrebbe non esistere. Se gli errori Userenv su un computer interessato indicano che non è stato trovato il percorso o che non è possibile individuare un controller di dominio, la causa potrebbe essere riconducibile a DNS. Di seguito sono riportati alcuni suggerimenti per la risoluzione di questo tipo di problema:
- Aprire un prompt dei comandi su un computer interessato ed eseguire nslookup domain_name (ad esempio, nslookup mydomain.local). Questo comando deve restituire gli indirizzi IP di tutti i controller di dominio nel dominio. Se vengono restituiti altri indirizzi, si tratta probabilmente di record non validi in DNS. Il comando nslookup può anche essere utilizzato per risolvere i nomi dei singoli controller di dominio nei rispettivi indirizzi IP (ad esempio, nslookup dc1.mydomain.local).
- Eseguire ipconfig /all su un computer interessato e verificare che sia configurato per l’utilizzo di soli server DNS interni. L’utilizzo di server DNS errati è la causa principale dei problemi di DNS in un dominio ed è facilmente risolvibile. Tutti i computer aggiunti a un dominio devono utilizzare solo server DNS interni, in genere controller di dominio.
- Se apparentemente il computer interessato utilizza i server DNS corretti, controllare la console DNS su un controller di dominio per verificare che esistano i record appropriati. Verificare che ogni controller di dominio disponga di due record host (A) nell’area di ricerca diretta del dominio: uno con il nome host del controller di dominio e uno con il nome “(uguale alla cartella padre)”. Entrambi i record devono includere l’indirizzo IP del controller di dominio.
- Una volta risolto il problema di DNS, non dimenticare di eseguire ipconfig /flushdns su qualsiasi computer interessato per rimuovere i dati non validi dalla cache del resolver in quei computer.
Problemi relativi al canale sicuro
Questo tipo di problema si verifica in genere quando un computer aggiunto a un dominio è rimasto in modalità offline per un periodo di tempo tale che la password dell’account del computer in AD non corrisponde più alla copia della password memorizzata nella cache locale del computer, ma può verificarsi anche in altre situazioni. Un problema di canale sicuro impedisce l’autenticazione di un computer con un controller di dominio e si manifesta in genere come errore di accesso negato ogni volta che il computer tenta di accedere alle risorse del dominio, inclusi gli aggiornamenti dei Criteri di gruppo. Ovviamente, non tutti gli eventi di accesso negato sono dovuti a problemi di canale sicuro, ma se un computer interessato include errori Userenv nel registro applicazioni con accesso negato nella descrizione, può essere opportuno testare il canale sicuro.
- È possibile utilizzare il comando nltest per eseguire il test (e la reimpostazione, se necessario) del canale sicuro su un membro del dominio.
- Anche il comando netdom può eseguire il test e la reimpostazione del canale sicuro.
- Se è installato il modulo Active Directory PowerShell, il cmdlet Test-ComputerSecureChannel di PowerShell fornisce un altro strumento per eseguire il test e/o la reimpostazione del canale sicuro.
- In alcuni casi, potrebbe essere necessario rimuovere il computer interessato dal dominio, reimpostarne l’account AD e riaggiungerlo al dominio al fine di reimpostarne il canale sicuro.
Problemi con SYSVOL
I file dei Criteri di gruppo vengono archiviati nella condivisione SYSVOL su tutti i controller di dominio nel dominio, in particolare nelle sottocartelle della cartella SYSVOL\domain\Policies. Se la condivisione SYSVOL non è presente in un controller di dominio, ciò in genere indica un problema con il servizio Replica file o Replica DFS, a seconda di quale viene utilizzato per replicare SYSVOL.
Questo articolo non può fornire una guida esaustiva per la risoluzione dei problemi relativi al servizio Replica file o Replica DFS, ma possono essere utili i seguenti link:
Sfasamento dell’orario
Per impostazione predefinita, se l’orario su un computer interessato è diverso da quello del controller di dominio per più di cinque minuti in caso di correzione per le differenze di fuso orario, il computer non sarà in grado di eseguire l’autenticazione con il controller di dominio e non potrà quindi elaborare Criteri di gruppo. È opportuno configurare membri di dominio per sincronizzarne gli orari con un controller di dominio e questi ultimi, a loro volta, dovranno sincronizzare i rispettivi orari con il controller di dominio che contiene il ruolo di emulatore PDC. Per questo motivo, l’emulatore PDC deve essere l’unico computer in un dominio configurato per la sincronizzazione con un’origine esterna, ad esempio un server NTP pubblico.
File di Criteri di gruppo mancanti
Uno o più file di Criteri di gruppo potrebbero essere stati eliminati dal percorso di archiviazione in SYSVOL. Il modo più semplice per verificare questa situazione consiste nell’aprire SYSVOL\domain\Policies in Windows Explorer e verificare la presenza dei file specifici menzionati negli errori Userenv visualizzati nei computer interessati. I file per ciascun oggetto Criteri di gruppo si trovano in una sottocartella della cartella Policies. Ciascuna sottocartella viene denominata in base al GUID dell’oggetto Criteri di gruppo di cui contiene i file.
Se i file dei criteri risultano mancanti da tutti i controller di dominio, possono essere ripristinati da un backup. Se i file di Criterio dominio predefinito o Criterio controller di dominio predefinito sono mancanti e non è disponibile alcun backup, il comando dcgpofix consente di ripristinare le impostazioni predefinite di entrambi i criteri. Ulteriori informazioni su dcgpofix sono disponibili in questo articolo.
