为什么 gpupdate 失败?

为什么 gpupdate 失败?

因此,我有一个 Windows Active Directory 域,其中有两个域控制器DC1DC2,都运行 Windows Server 2008 R2。DC1是拥有所有 FSMO 角色的主要 DC。它一直按预期运行,直到有一天,我们要求某些(糟糕的)应用程序让某些用户能够出于某种原因更改其计算机上的时间和日期。我们为特定用户(OU1OU2)设置了一个组策略对象,允许他们更改系统时间:

Computer Configurations
    -> Windows Settings
        -> Security Settings
            -> Local Policies
                -> User Rights Assignment
                    -> Change the system time

并添加了我想向其分配此权限的组。但是,在 上设置此设置后DC1,我执行了gpupdate并返回了错误:

C:\Users\myuser>gpupdate
Updating Policy...

User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

我检查了事件查看器,它显示一个错误,EventID 1006,ErrorCode 49,ErrorDescription:无效凭据。

本文表明此错误是由于某些系统服务以凭据已更改的用户帐户运行而引起的,检查服务后发现,它们都没有以用户身份运行(所有服务都以本地系统、本地服务或网络服务身份运行,并在日志中显示为 SYSTEM 用户)。

该策略未应用于用户,我们不得不针对某些紧急情况采取一些手动解决方法。gpupdate在 上运行DC2没有错误,因此我们考虑将 FSMO 角色转移到DC2并删除DC1并重新格式化它(或者现在绝望的管理员会做的任何事 :D)作为最后的手段。现在我们转移了角色,并且仍在运行gpupdate(和gpupdate /force)会导致相同的错误,DC1但在 中运行顺利DC2。但是,该策略未应用。问题是什么?我们哪里出错了?我们该如何解决?

PS 我还仔细检查了 DNS,并使用了 Active Directory 角色最佳实践分析器,但它只给了我几个关于不备份的警告,以及一个关于设置时间同步的错误。

更新:有人发布了一个答案(不久后被删除),说他/她遇到了同样的问题,并询问我们是否找到了解决方案。没有,我们只是替换了需要该组策略的糟糕应用程序。

答案1

清除计算机上缓存的凭据

rundll32.exe keymgr.dll,KRShowKeyMgr

清除域凭据

  • 下载 psexec
  • 以系统身份运行cmd

    c:\PSTools>psexec -i -s cmd.exe
    
    PsExec v2.2 - Execute processes remotely
    Copyright (C) 2001-2016 Mark Russinovich
    Sysinternals - www.sysinternals.com
    
    Microsoft Windows [Version 10.0.14393]
    (c) 2016 Microsoft Corporation. All rights reserved.
    
    C:\Windows\system32>whoami
    nt authority\system
    

如果您以 SYSTEM 级别权限启动 Windows 注册表并浏览到“HKEY_LOCAL_MACHINE\SECURITY\CACHE”,您将找到从 NL1 到 NL10 总共 10 个条目。这些二进制条目包含域级别的用户缓存凭据。默认情况下,Windows 允许缓存总共 10 个凭据,如果所有 10 个条目都已满,则任何要缓存的新凭据都将被最旧 NL 条目中的值日期覆盖。此外,要知道还剩下多少个可用条目,只需计算二进制值数据充满“0”的条目数即可。

相关内容