web-dev-qa-db-ja.com

Windows 10:起動直後にグループポリシーが適用されず、後で成功する

私の問題は、クライアントを新たに起動したときにグループポリシーが適用されないことです。ブート直後に、クライアントはイベントログにエラーメッセージをソース「GroupPolicy(Microsoft-Windows-GroupPolicy)」とイベントID 1058とともに投稿します:「グループポリシーの処理に失敗しました。[...]」 [詳細]タブのErrorCodeは50で、これはERROR_NOT_SUPPORTEDを表します。これは単なる表面的な問題ではありません。たとえば、ポリシーが実際に適切に適用されていません。たとえば、マップされたネットワークドライブがそこにありません。しばらく待った後、「gpupdate」を実行すると、ポリシーが正常に適用され、マップされたネットワークドライブが表示されます。

私が問題を再現できた最も単純なシナリオ:新しくインストールされたWindows Server 2012R2で新しく作成されたドメイン、クライアントは新しくインストールされたWindows 10 64ビットマシンです。ドメインは1つのドメインコントローラーのみで構成され、他のドメインとの関係はありません。

エラーメッセージには、WindowsがドメインのSysvol-shareから.GPTファイルを読み取れないことが示されているため、コマンドプロンプトから同じファイルにアクセスしようとしました。実際、ブート直後にコマンドプロンプトを開くと、次のようになります。

C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.

1〜2分待ってから同じコマンドを実行すると、ディレクトリリストが表示されます。この時点でgpupdateを実行すると問題なく動作します。

グループポリシー設定[コンピューターの起動時およびログオン時に常にネットワークを待つ]を[有効]に設定しましたが、このポリシーが適用されていることがわかります。同じポリシーオブジェクトでレジストリ設定が指定されており、レジストリを確認するとクライアントには、指定された設定があります。

関連する可能性があるその他の要因:

  • NTLMはドメインで制限されていますが、これは問題ではないようです。有効にしてポリシーを更新し、すべてのマシンを再起動した後でも、症状は同じです。
  • サーバーがDHCPを使用して構成されているか、静的構成で構成されているかは関係ありません。
  • ドメインのDNSサーバーは動的更新をサポートしていません。必要なレコードが手動で追加された(C:\ Windows\System32\config\netlogon.dnsから)
  • クライアントでハイバネーションが無効になっている(powercfg /h offを使用)ため、各ブートは完全ブートであり、高速ブートではありません
  • ポリシーの起動ポリシー処理待機時間は120秒に設定されています
  • DCへの接続は正常に機能します。pingは機能します。クライアントをオフにし、ADでアカウントを無効にし、クライアントをオンにすると、クライアントがログインしなくなります。アカウントが無効になっています。
  • この問題は別として、私は異常なことに気づきません。

これは、グループポリシーの問題よりもSMB問題のようです。サーバー側の接続をスニッフィングすると、興味深いことがわかります。初めてコマンドdir \\domain.example.com\sysvolを実行すると、次のようになります。 DC上のMicrosoft Message Analyzerに表示されます。

  1. クライアントがTCP DCのポート445への接続をセットアップし、ComNegotiationが正常に実行されます(DialectRevision:0x02FF))。
  2. その直後、交渉が成功する。 DialectRevisionは0x0302です。
  3. その直後、クライアントはTCPとの接続をTCP RST(??)

次のコマンドを発行してエラーが発生するたびに、手順2と3が発生します。

コマンドが機能し始めると、ステップ1と2が発生しますが、クライアントがTCP RSTを送信する代わりに、SessionSetupが実行され、次にTreeConnectが実行されます。 SMBおしゃべりが発生します。

したがって、クライアントはどういうわけか、SMBとDCは起動後1〜2分まで話しません。これにより、グループポリシーの処理が失敗します。 。

この問題をデバッグして解決する方法を誰かが知っていますか?

8
Jurjen

私はこの問題を自分で解決することができました。 参照 の場合、これが私の問題を解決したものです:

まず、NTLMのすべてのブロックを無効にすると同じ症状が発生するという点で、私は間違っていました。 異なる症状が発生し、たまたま同じ効果がありました。 NTLMブロッキングポリシーが有効になっていない場合、dirコマンドはアクセス拒否エラーを引き起こしました。グループポリシーはまだ適用されません。これは理にかなっています。SYSVOLにはまだアクセスできませんでした。

少しウェブ検索をしたところ、もっと一般的な問題があることがわかりました。でも。どうやら、Windows 10クライアントは、ドメインコントローラーのSYSVOL共有(およびおそらくNETLOGON共有)にアクセスするときに問題が発生する可能性があります。おそらく、Windows 10がこれらの共有へのアクセス方法を変更したため、問題が発生する可能性があります。回避策は、次のようにWindows 10クライアントに「ハード化されたUNCパス」グループポリシーを設定して、これらの共有のクライアントでUNCパスの強化を無効にすることです。

\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

(Windows 10クライアントからNetlogon共有にアクセスする際に問題が発生している場合は、その共有の3つのパラメーターすべてをゼロに設定することも役立ちます。)

詳細については、 MS15-011に関するMicrosoftの記事 を参照してください。この設定を変更することによるセキュリティへの影響の適切な説明と、ポリシーを変更する方法の詳細な手順が含まれています。

警告:上記の設定disable保護の一部またはすべてに注意してくださいセキュリティ問題に対してMS15-011が作成されました! しないでくださいそれらを盲目的にコピー/貼り付けしますが、関連するリスクに基づいて情報に基づいた決定を行います。また、この問題は将来解決される可能性があります。その場合は、MS15-011で説明されているように、このポリシーを推奨値に設定することを忘れないでください。

7
Jurjen

Windows 8以降、Microsoftはこの「高速ブート」の概念を導入しました。OSをシャットダウンすると、通常のハイバネーションシナリオでHibernateが機能するのと同じように、OSのメモリフットプリントがハイバネートされます。これにより、OSの起動が速くなりますが、起動時にコンピュータごとのGP処理が無効になるという副作用もあります。それはおそらくあなたが見ているものであり、これはコンピュータの構成\ポリシー\管理用テンプレート\システム\シャットダウン\高速起動の使用を要求するでポリシーを無効にすることで無効にできます

それでも問題が解決しない場合は、ネットワークスタックのタイミングの問題である可能性が高く、ネットワークスタックが完全に初期化される前に、コンピューターのGP処理が開始されます。これは、XP=から存在し、Windows 7以降では、コンピューターの構成\ポリシー\管理用テンプレート\システム\グループポリシー\スタートアップポリシーの処理待機時間の下にポリシーを追加して、時間を増やすことができますGPは開始する前に待機します。60秒に設定して、それが役立つかどうかを確認してください。

ダレン

8
Darren Mar-Elia

レジストリの変更やローカルグループポリシーの変更など、いくつかの提案を試しましたが、どれも問題を解決できませんでした。マップされたドライブは、起動時にXアウトされました。 gpupdateは毎回それを修正しますが、それはユーザーにとって追加のステップでした。

最終的にそれを修正したのは、手動でネットワークドライブをマッピングし、GPOエントリをそれぞれ置き換えました。切断して交換する必要はありません。手動でマッピングしたのと同じようにマッピングしました。

0
Cory

このスレッドを見つけた他の人のための参考までに、相互認証を0に設定してUNC強化をオフにすると、セキュリティの一部が無効になります。私たちはwin7クライアントでも同じ問題を抱えており、Microsoftと協力して取り組んでいました。彼らはそれがバグだと私に言ったが、今のところ、バグがいつ対処されるかを追跡する方法を私は与えていない。

詳細については、この別のスレッドを参照してください https://social.technet.Microsoft.com/Forums/en-US/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpos-do-not-apply-on-windows -10-enterprise-x64

0
sally5432