LDAPバインドの問題によりGPUpdateが失敗する
ワークステーションでgpupdateを実行すると、次のエラーが発生します。
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not resolve the computer name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).
User Policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the details tab for error code and description.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.
ランニング gpresult /hはThe user does not have RSoP data
イベントログを見ると、gpupdateに関連付けられているエラーコード49 Invalid Credentialsを確認できます。ただし、ldp.exeを使用してLDAPバインドをテストすると、資格情報は正常に機能します。
誰かがこのような問題を見ましたか?何が起こっているのか理解しようと、髪を引っ張っています。
私はこれを自分で修正することができました。ローカルマシンのアカウントに、(正しく)失敗していた不正な資格情報がキャッシュされていることがわかりました。私を正しい方向に向けてくれた@ greg-askewに感謝します。解決策を探してこれにつまずく人のために:
- PsExec(sysinternalsの一部)を https://technet.Microsoft.com/en-us/sysinternals/pxexec.aspx からダウンロードします
- 管理者特権のコマンドプロンプトから
PsExec.exe -i -s cmd.exeを実行します(これにより、ローカルマシンアカウントのコンテキストで別のコマンドウィンドウが開きます)。 - そのウィンドウから
rundll32.exe keymgr.dll, KRShowKeyMgrを実行します(これにより、キャッシュされた資格情報のリストを含むGUIが開きます)。 - そのGUIで、疑わしいと思われる資格情報をすべて削除します(私の場合、資格情報は私のPDCにちなんで名付けられました)。
キャッシュから資格情報を削除した後、すぐに再び機能し始めました。