更新:尚未解决...
问题仍然存在,我也尝试了强化的 UNC 路径方法,仍然没有运气。如果我遇到新情况,我会继续更新此帖子。
更新并解决(希望如此)
问题似乎是由 Windows 10(和 8.1)中的“快速启动”选项引发的。甚至有一个TechNet 文章描述类似的东西。我通过注册表 GPO 停用了所有客户端的快速启动 ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled, REG_DWORD 0x0 (0))
目前,网络共享在启动和重启时映射。我希望它能保持这种状态。
在我的环境中(Server 2012 R2 域,有三个 DC,所有 GC),通过 GPP 映射驱动器存在一些问题,但是仅有的使用 Windows 8.1 和 Windows 10 客户端(安装了所有更新)。
GPP 映射 7 个驱动器,其中 4 个位于主 DC 和文件服务器上,另外 3 个位于 DFS 共享上。
如果 Win8.1 / Win10 客户端连接,有时驱动器出现了,但大多数时候都没有。如果我gpupdate /force通过命令行运行,它们都会连接。当用户在空闲一段时间后想要浏览共享(无论是 DFS 还是文件服务器)时,会弹出一个错误:
错误 0x80090006:签名无效
但如果他们再次单击驱动器,一切就都好了。我尝试了所有我能想到的可能的修复方法,将 GPP 设置为在启动前等待网络,通过 将服务器上的自动断开连接时间设置为无限net config server /autodisconnect:-1,删除 GPP 并从头开始,检查并重新检查 sysvol 权限,但都无济于事。
客户还有时在事件日志中显示无法访问 DC 的错误,这是无稽之谈,因为每次都会处理所有其他 GPO 和 GPP(例如打印机),只有映射驱动器有故障。
有人也遇到过类似的事情吗?任何建议都将不胜感激。
更新
启动客户端后,有时此错误也会出现在事件日志(在客户端上)中:
事件 ID 1058,组策略 (Microsoft-Windows-GroupPolicy)
组策略处理失败。Windows 尝试从域控制器读取文件 \domain.local\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini,但未成功。在解决此事件之前,可能无法应用组策略设置。此问题可能是暂时的,可能由以下一个或多个原因导致:a) 当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。
我会尝试看一下。
答案1
经过大量测试并等待用户反馈后,我尝试了上述强化的 UNC 方法,但这次不是通过 GPO 本身,而是通过 GPP 直接设置相应的注册表项 ( HKLM\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths\\\*\NETLOGON || SYSVOL - RequireMutualAuthentication=0, RequireIntegrity=0)。瞧!它起作用了……但我不知道为什么实施的 GPO 选项不起作用。也许我做错了什么,但此时我真的不在乎了,只要它能起作用就行。无论如何,微软可能很快就会发布一个(新的)修补程序。
编辑:请记住,强化的 UNC 路径是为了修复“严重”的 Windows 安全问题,其历史可以追溯到 2000 年。通过停用强化的 UNC 路径,您可以再次主动打开该漏洞,是否值得取决于您的拓扑和/或所需的基础设施安全性。
答案2
在我的环境中,该问题仅出现在 DFS 地图中,并且从 8 和 8.1 开始有时会出现,但在 10 周年纪念版中是系统性的。
这是我的个人解决方法:在 GPO 中,我创建一个计划任务,每次用户登录时都会运行该计划任务并启动登录脚本
效果非常好...
答案3
尝试关闭客户端上的 UAC,这对我们有帮助。