web-dev-qa-db-ja.com

gpupdateが失敗するのはなぜですか?

したがって、2つのドメインコントローラーDC1DC2を備えたWindowsActive Directoryドメインがあり、どちらもWindows Server 2008R2を実行しています。 DC1はプライマリDCすべてのFSMOの役割を保持します。特定のユーザーに特定のユーザーに何らかの理由でマシンの日時を変更します。特定のユーザー(OU1およびOU2)にグループポリシーオブジェクトを設定して、システム時刻を変更できるようにしました。

Computer Configurations
    -> Windows Settings
        -> Security Settings
            -> Local Policies
                -> User Rights Assignment
                    -> Change the system time

そして、この権利を割り当てたいグループを追加しました。ただし、この設定をDC1で設定した後、gpupdateを実行すると、エラーが返されました。

C:\Users\myuser>gpupdate
Updating Policy...

User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

イベントビューアを確認したところ、エラー、EventID 1006、ErrorCode 49、ErrorDescription:無効な資格情報が表示されました。

この記事 このエラーは、一部のシステムサービスが、資格情報が変更されたユーザーアカウントとして実行されているために発生したことを示しています。サービスを確認したところ、いずれもユーザーとして実行されていないことが判明しました(すべてがローカルシステム、ローカルサービス、またはネットワークサービスとして実行されており、システムユーザーとしてログに表示されます。

このポリシーはユーザーには適用されず、緊急の場合には手動で回避策を講じる必要がありました。 DC2gpupdateを実行してもエラーは発生しないため、FSMOの役割をDC2に転送し、DC1を削除して再フォーマットすることを検討しました(または最近の絶望的な管理者が行うことは何でも:D )最後の手段として。現在、ロールを転送しましたが、gpupdate(およびgpupdate /force)を実行すると、DC1でも同じエラーが発生しますが、DC2ではスムーズに実行されます。ただし、ポリシーは適用されませんでした。問題は何ですか?どこが間違っていますか?そして、どうすればそれを修正できますか?

P.S.また、DNSを再確認し、Active Directoryの役割のベストプラクティスアナライザーを使用しましたが、バックアップしないことに関する警告と、時刻同期の設定に関するエラーがいくつか表示されました。

[〜#〜] update [〜#〜]:誰かが同じ問題を抱えているという回答(直後に削除)を投稿しました。解決策を見つけました..いいえ、しませんでした。そのグループポリシーを必要とするお粗末なアプリを置き換えただけです。

active-directorygroup-policyldapdomain-controller
1
amyassin

マシンにキャッシュされた資格情報をクリアする

rundll32.exe keymgr.dll,KRShowKeyMgr

ドメイン資格情報をクリアする

  • psexecをダウンロード

  • システムとしてcmdを実行します

    c:\PSTools>psexec -i -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

システムレベルの権限でWindowsレジストリを起動し、「HKEY_LOCAL_MACHINE\SECURITY\CACHE」を参照すると、NL1からNL10までの合計10個のエントリが見つかります。これらのバイナリエントリには、ドメインレベルでユーザーがキャッシュした資格情報が含まれています。デフォルトでは、Windowsでは合計10個の資格情報をキャッシュできます。10個のエントリすべてがいっぱいになると、キャッシュされる新しい資格情報は、最も古いNLエントリの起算日で上書きされます。また、空きエントリがいくつ残っているかを知るには、バイナリ値データが「0」でいっぱいのエントリの数を数えるだけです。

1
anonyms