组策略错误 1006,错误代码为 49

组策略错误 1006,错误代码为 49

情况如下:

存在单个域控制器,即具有 2008 功能级别的 Windows 2008 SBS 服务器。大约 3-4 年前,整个域已成功转移到 2016 服务器(作为辅助服务器添加,所有角色都已转移到该服务器),并且 SBS 服务器已降级并被删除。但域仍处于 2008 功能级别。

大约一周前,域策略发生了一些变化。旧 SBS 域的所有策略都被删除,并创建了新策略。从那时起,所有客户端(Win 10)都能够执行 gpupdate 并接收新策略,但有一个除外。这个客户端在 gpupdate 上产生以下错误(在计算机和用户部分):

组策略处理失败。Windows 无法对域控制器上的 Active Directory 服务进行身份验证。(LDAP 绑定函数调用失败)。查看详细信息选项卡中的错误代码和说明。

在 EventLog 中,存在错误 1006,错误代码为 49(无效凭据)。我尝试使用 2 个不同的域帐户(1 个域管理员和 1 个域用户,但都是本地管理员)从特定 PC 执行 gpupdate,但没有任何效果。这台计算机似乎仍然遵循旧策略。它已从域中删除并重新添加,名称相同或不同,但没有任何变化。我还注意到,在以太网卡状态中,报告它已连接到域,但该域是“未经验证的”,并且连接是“公共的”。

我还尝试了在互联网上找到的其他几种方法,比如检查 DNS 记录(IP 是否正确以及反向查找是否有记录)、执行“GPRESULT /H GPReport.html”或通过更改 DBFlags 注册表值来启用 netlogon 调试,但遗憾的是我无法理解问题所在。经过几天的搜索,我仍然没有弄清楚问题出在服务器还是客户端,或者两者兼而有之。

为了更好地了解错误的性质并最终解决它,应该检查什么以及在哪里检查?

EDIT1:今天,启动电脑、登录并手动执行 gpupdate /force 后,我注意到第一次运行时需要相当长的时间(将近 5 分钟)。随后的几次运行,10 秒后才返回错误。

EDIT2:也许我还应该提到这是一台开发电脑,上面有几张虚拟网卡(包括virtualbox和几个vpn软件)。

答案1

供以后参考,我终于能够解决这个问题。经过 3 天多的时间尝试了几种方法后,我在 Arena Joe 的帖子(2017 年 8 月 25 日 20:52 UTC)中发现了隐藏的答案。

https://community.spiceworks.com/topic/1721773-group-policy-update-fails-with-event-1006-error-49

DC 的 IP 被放置在 hosts 文件中。我不明白为什么这可能会导致问题,但我将其删除后,计算机可以正常执行 gpupdate!

相关内容