グループポリシー:マップされたドライブの読み込みに失敗、Windows Server 2012 Active DirectoryおよびWindows Pro 10
通信網:
- マルチサイトドメイン。
- 各サイトには2つのローカル(オンサイト、同じサブネット)Windows Server 2012 R2ドメインコントローラーがあります。
- サイトはWindowsサイトとサービスで正しく定義されています。
- 各サイトのDNSレコードには、2つのローカルDNSサーバーのみが定義されています。
- すべてのクライアントはWindows 10 Pro 64ビットで、すべてのアップデートが適用されています。
- どちらのネットワークも、認定済みのCAT6ケーブルを使用したシスコスイッチで実行される完全なギガビットです。
- 各サイトにはローカル(オンサイト、同じサブネット)Synologyストレージサーバーがあります。
- グループポリシーの一部として、2つのネットワークドライブがSynologyサーバーの共有にマップされます。
接続診断:
dcdiag /test:dns /v /c /eレポートPASSすべてのサーバーとすべてのテストecho %logonserver%alwaysはローカルDCを返しますnltest /dsgetdcalwaysは、ローカルDCおよび正しいローカルIPを示します- サイトAでは、両方のネットワークドライブが表示され、おそらく0.5%の失敗の可能性があります(ドライブが正しく表示されないいくつかのブートを経験しました)。
問題:
サイトBでは、ネットワークドライブが30%の確率で表示されません。両方のドライブの場合もあれば、どちらか一方の場合もあります。問題はほとんどランダムであり、特定のユーザーやワークステーションに続いているようには見えません。
症状:
問題が発生する時間の30%のうち:
- 5%の確率で
gpupdateまたはgpupdate /forceが問題を解決し、ドライブがすぐに表示されます。gpupdateが最初の試行で機能しない場合、それ以降は(ほとんどの場合)機能しません。 - 5%の時間で
gpupdateまたはgpupdate /forceを実行すると、ドライブが1つだけ表示されます - 20%の確率で、
gpupdateは問題を解決しませんが、次回の起動は問題ありません - 50%の確率で、
gpupdateは問題を解決しませんが、1回の起動との別のgpupdateを実行すると、ドライブが表示されます 20%の時間、ドライブが表示されるまでにmultipleの再起動(およびブートごとに
gpupdate)がかかります。場合によっては2ブートですが、ドライブが表示される前に、コンピュータを6または7回再起動する必要はほとんどありません。この最後の20%の時間、gpupdateプロセスからエラーが発生することがあります。
The processing of Group Policy failed. Windows attempted to read the file \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following: a) Name Resolution/Network Connectivity to the current domain controller. b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller). c) The Distributed File System (DFS) client has been disabled.このエラーは、実際には通常ですが、常にではありませんが、good記号です。通常、このエラーが発生した後、次の「gpupdate」または次の起動と「gpupdate」でドライブが再表示されます。
ドライブマップ診断:
gpresult /h gpresult.htmlは以下を示します:Drive Map (Drive: X) The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts. X: Winning GPO DriveMaps General Settings Result: Successグループポリシー環境のデバッグログを有効にしました( http://social.technet.Microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx 作成されたレジストリごとエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002)。c:\Windows\debug\UserMode\gpsvc.logのログファイルでは、明確なエラーは示されておらず、グーグルを通じて多くのヘルプを見つけることができませんでした。ここに私が受け取ったいくつかの興味深いメッセージがあります:GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier. GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.ドライブマップのグループポリシー設定のデバッグを有効にしました( http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-loggingに従って) -using-the-rsat.aspx
Drive Map Policy ProcessingをEnabledに設定し、Event Loggingのプロパティで\Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracingをオンにします)。C:\ProgramData\GroupPolicy\Preference\Trace\User.logのログファイルはエラーを返しませんでした。2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:. 2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP. 2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping. 2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token. 2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token). 2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2. 2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent. 2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled. 2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly. 2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.ドライブのロードに失敗したログインのnetmonキャプチャーもいくつかありますが、キャプチャーには非常に多くの情報があるため、どこから始めればよいかわかりません。
ログインに失敗した後、
\\SynologyServer\ShareName\を直接参照しようとすると、共有alwaysはエラーなしですぐにロードされます。接続または許可の問題の兆候はありません。
質問:
この問題が1つのサイトで頻繁に発生するのに、両方が同じドメインにあり、同じポリシーを持ち、同じソフトウェアを実行しているときに、他のサイトではほとんど発生しないのはなぜですか?
私が考えることができる唯一のソフトウェアの違いは、サイトAではすべてのコンピューターがWindows 8.1 Proを実行していてWindows 10 Proにアップグレードされていたのに対し、サイトBではすべてのコンピューターにWindows 10 Proの新規インストールがあることです。
私はこれを更新したいのですが、ある時点でWindows 10の主要なアップデートの1つがこの問題を修正したと言います。これは古い質問ですが、念のため、物事をぶら下げたままにしたくありません。
担当者がほとんどいないので、まだ質問はできないので、回答を投稿しながら質問してみます。 ;)
GPOこの部分の問題は問題ではないことを保証していると想定します。これは、GPO "別のWindowsシステムでのUNC共有。私の意見では、重要な欠落情報はSynologyデバイスがドメインに参加しているかどうかです。Linuxベースの多くのNAS Synology、QNAPのようなユニットなどには、Active Directoryドメインに参加できるソフトウェアコンポーネントが組み込まれています。このデバイスがドメインに参加しているかどうかは、ソリューションに影響します。
そうは言っても、T1回線で相互接続されたネットワーク内にリモート設備があります。システム要件により、すべてのシステムでAcronisイメージングバックアップを使用する必要があります。したがって、WindowsワークステーションのマルチGBイメージをT1経由でリモートバックアップすることは簡単ではありません。そこで、Drobo NASユニットを各ローカルセグメントに配置し、これを克服して少しのフォールトトレランスを提供しました。これらの特定のDroboはADドメインに参加することができません。
UNC共有を構成どおりに有効にするには、2つの主要なものを設定する必要がありました。最初に、適切な名前解決を可能にするために、DNSサーバーに静的DNSエントリを作成しました。次に、DISAが通常ほとんどのドメインメンバーに推奨する2つのポリシーを「緩める」必要がありました。これらのポリシーは、それぞれの共有にアクセスする必要がある唯一のシステムであるため、バックアップサーバーと「低速リンク」サイトでバックアップされるワークステーションでのみ緩めました。
- コンピューターの構成\ Windowsの設定\セキュリティの設定\セキュリティオプション:
- Microsoftネットワーククライアント:(常に)通信にデジタル署名=無効
- Microsoftネットワーククライアント:暗号化されていないパスワードをサードパーティに送信するSMBサーバー=有効
- Microsoftネットワークサーバー:通信にデジタル署名(常に)=無効
「ネゴシエートされた場合、通信にデジタル署名する」GPOは引き続き有効に設定されており、関連するセキュリティリスクを少し軽減します。これらの変更を有効にすると、UNCパスを介して共有にすぐにアクセスできましたが、以前は不可能でした。
これが、NASがドメインに参加できるかどうかに応じてソリューションのパスを決定することを先に述べた理由です。彼らが参加できる場合、DNSと「SMB」グループポリシーは問題にならないはずなので、解決策は別の場所にあります。彼らが参加できない場合(私のNASのように)、これがあなたのソリューションである可能性があります。
まあ、私はこれらのスレッドを見つけました、そしてそれは私のものとほとんど同じ状況のように聞こえます:
Windows 10:ブート直後にグループポリシーが適用されず、後で成功する
Windows 8.1/10 GPOマップされたドライブは接続されません
どうやらこの問題は、MicrosoftがデフォルトでWindows 10でUNC Hardeningを有効にしているために発生します。これはセキュリティ上の欠陥を修正するためのものですが、マップされたドライブが意図せずにマウントされ、信頼性が失われます。当然のことながら、Microsoftはまだこのバグに対処していないようです(またはそれらを持っていますか?)
これは、サイトAで問題がなかった理由も説明します。そこにあるすべてのコンピューターがWindows 8.1 ProからWindows 10にアップグレードされたので、UNC強化に関する設定がWindows 8から転送されて残ったと仮定しますoff、Windows 10を新規インストールしたコンピューターでは、デフォルトのUNC強化onを使用していました。
私は実際にはまだ解決策を試していませんが、私の症状への適合には完全すぎて関連がないようです。システムをより多くのセキュリティ脅威にさらすソリューションが心配なので、代替案を探しています。これをグループポリシーで設定するのは好きではありません。レジストリの手動編集のみでUNC強化をオフにできるかどうか疑問に思っています。次に何をするかを決める前に、まず数台のコンピュータで実験したいと思います。ただし、GPOまたはGPPを介して現在設定を変更するための手順のみを見つけることができます...
何かご意見は?
ダニエルの更新で提供したすべてを読んだ後、実際にはUNC強化が関連するもののここでの根本原因ではないこと、そしてそれが実際には「fastboot」オプションである可能性があることをお勧めします。 。 UNC強化に関するすべての情報は、SYSVOLおよびNETLOGON共有を参照しており、デフォルトで強化されています。この問題によりクライアントがGP更新を受信できなくなりますが、実際にはドライブマップGPOは問題のクライアントに少なくとも1回は適用されており、毎回再適用する必要はありませんマッピングを実行するために、再起動します(ただし、再起動します)。
当然、各オプションを個別にテストする必要がありますが、どのオプションが機能するかどうかにかかわらず、この推論の行は問題の根本原因に近いように見えます。