Windows 10: Chính sách nhóm không áp dụng trực tiếp sau khi khởi động, thành công sau

Vấn đề của tôi là Chính sách nhóm không được áp dụng khi máy khách mới khởi động. Ngay sau khi khởi động, máy khách đăng thông báo lỗi trong nhật ký sự kiện với nguồn "GroupPolicy (Microsoft-Windows-GroupPolicy)" và ID sự kiện 1058: "Việc xử lý Chính sách nhóm không thành công. [...]". Trong tab Chi tiết, ErrorCode là 50, viết tắt của ERROR_NOT_SUPPORTED. Đây không chỉ là vấn đề thẩm mỹ: các chính sách thực sự không được áp dụng đúng cách: ví dụ, các ổ đĩa mạng được ánh xạ không có ở đó. Sau khi chờ đợi một lúc, thực thi "gpupdate" hoạt động và các chính sách được áp dụng bình thường: các ổ đĩa mạng được ánh xạ xuất hiện.

Kịch bản đơn giản nhất mà tôi có thể tái tạo vấn đề: Miền mới được tạo trên Windows Server 2012R2 mới cài đặt, máy khách là máy Windows 10 64 bit mới cài đặt. Tên miền chỉ bao gồm một bộ điều khiển miền và không có bất kỳ mối quan hệ nào với các tên miền khác.

Vì thông báo lỗi nói rằng Windows không thể đọc tệp .GPT từ chia sẻ Sysvol của tên miền, tôi đã cố gắng truy cập cùng một tệp từ Dấu nhắc lệnh. Và thực sự, khi tôi mở Command Prompt ngay sau khi khởi động, tôi nhận được điều này:

C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.

Sau khi chờ một hoặc hai phút, thực hiện cùng một lệnh sẽ đưa ra một danh sách thư mục. Chạy gpupdate tại thời điểm này sẽ hoạt động tốt.

Tôi đã đặt cài đặt Chính sách nhóm "Luôn chờ mạng khi khởi động và đăng nhập máy tính" thành "Đã bật" và tôi biết rằng chính sách này được áp dụng: trong cùng một đối tượng chính sách, cài đặt Sổ đăng ký được chỉ định và khi tôi kiểm tra Sổ đăng ký trên máy khách cài đặt được chỉ định là có.

Các yếu tố khác có thể có liên quan:

• NTLM bị hạn chế trong miền, nhưng điều này dường như không quan trọng: ngay cả sau khi kích hoạt nó, cập nhật chính sách và khởi động lại tất cả các máy, các triệu chứng vẫn giống nhau.
• Việc máy chủ được cấu hình bằng DHCP hay cấu hình tĩnh không thành vấn đề.
• Máy chủ DNS cho miền không hỗ trợ Cập nhật động. Các hồ sơ cần thiết đã được thêm thủ công (từ C: \ Windows \ System32 \ config \ netlogon.dns)
• Chế độ ngủ đông bị vô hiệu hóa trên máy khách (đang sử dụng powercfg /h off) vì vậy mỗi lần khởi động là một lần khởi động đầy đủ, không phải là Khởi động nhanh
• Chính sách Thời gian chờ xử lý chính sách khởi động được đặt thành 120 giây
• Kết nối với DC hoạt động tốt. Ping sẽ hoạt động. Tắt máy khách, vô hiệu hóa tài khoản của tôi trong AD, bật máy khách sẽ dẫn đến việc máy khách không đăng nhập tôi: ngay lập tức thông báo rằng tài khoản bị vô hiệu hóa.
• Ngoài vấn đề này, tôi không nhận thấy bất cứ điều gì khác thường.

Đây dường như là vấn đề của SMB hơn là vấn đề Chính sách nhóm. Đánh hơi kết nối ở phía máy chủ cho thấy một điều thú vị: Lần đầu tiên tôi thực hiện lệnh dir \\domain.example.com\sysvol, các phần sau hiển thị trong Microsoft Message Analyzer trên DC:

1. Máy khách thiết lập kết nối TCP tới cổng 445 của DC và ComNegotiation được thực hiện thành công (DialectRevision: 0x02FF).
2. Ngay sau đó, một cuộc đàm phán được thực hiện thành công. DialectRevision là 0x0302.
3. Ngay sau đó, máy khách sẽ đóng kết nối TCP bằng TCP RST (??)

Mỗi lần tôi phát lệnh và nhận được lỗi, bước 2 và 3 xảy ra.

Khi lệnh bắt đầu hoạt động, các bước 1 và 2 xảy ra, nhưng thay vì ứng dụng khách gửi TCP RST, thì sessionsetup được thực hiện, sau đó là TreeConnect và sau đó xảy ra rất nhiều cuộc trò chuyện SMB (dường như bình thường).

Vì vậy, có vẻ như bằng cách nào đó, khách hàng sẽ không nói chuyện SMB với DC một cách chính xác cho đến một hoặc hai phút sau khi khởi động và điều này khiến cho việc xử lý Chính sách nhóm thất bại.

Bất cứ ai biết làm thế nào tôi có thể gỡ lỗi và giải quyết vấn đề này?

Bắt đầu với Windows 8, Microsoft đã đưa ra khái niệm "khởi động nhanh", trong đó, khi bạn tắt HĐH, chúng sẽ ngủ đông bộ nhớ của hệ điều hành giống như Hibernate hoạt động trong các tình huống ngủ đông thông thường. Điều này dẫn đến hệ điều hành sắp ra mắt nhanh hơn, nhưng nó cũng có tác dụng phụ là vô hiệu hóa xử lý GP trên mỗi máy tính khi khởi động. Đó có lẽ là những gì bạn đang thấy và điều này có thể bị vô hiệu hóa bằng cách vô hiệu hóa chính sách trong Cấu hình máy tính \ Chính sách \ Mẫu quản trị \ Hệ thống \ Tắt máy \ Yêu cầu sử dụng khởi động nhanh

Nếu điều đó không giải quyết được vấn đề thì rất có thể đó là vấn đề về thời gian của ngăn xếp mạng, trong đó quá trình xử lý GP cho máy tính được khởi động trước khi ngăn xếp mạng được khởi tạo hoàn toàn. Điều này đã xuất hiện từ XP và bắt đầu từ Windows 7, Microsoft đã thêm một chính sách trong Cấu hình máy tính \ Chính sách \ Mẫu quản trị \ Hệ thống \ Chính sách nhóm \ Chính sách khởi động Thời gian chờ trong đó bạn có thể tăng thời gian chờ GP trước khi bắt đầu. Hãy thử đặt nó thành 60 giây và xem nếu nó giúp.

Anh yêu

Tôi đã tự mình giải quyết vấn đề này. Để tham khảo ở đây những gì đã giải quyết vấn đề của tôi:

Đầu tiên, tôi đã sai khi vô hiệu hóa tất cả việc chặn NTLM dẫn đến các triệu chứng tương tự. Nó dẫn đến một triệu chứng khác nhau , xảy ra có cùng tác dụng. Không có bất kỳ chính sách chặn NTLM nào có hiệu lực, dirlệnh hiện dẫn đến lỗi từ chối truy cập. Chính sách nhóm vẫn không được áp dụng, điều này có nghĩa: SYSVOL vẫn không thể truy cập được.

Một chút tìm kiếm trên web nói với tôi rằng tôi biết có một vấn đề phổ biến hơn. Tuy nhiên. Rõ ràng, các máy khách Windows 10 có thể gặp sự cố khi truy cập vào phần chia sẻ của bộ điều khiển miền SYSVOL (và có lẽ cả chia sẻ NETLOGON). Giả sử Windows 10 đã thay đổi một cái gì đó theo cách nó truy cập vào các chia sẻ đó, điều này có thể dẫn đến các vấn đề. Giải pháp thay thế là vô hiệu hóa UNC Path Hardening trên máy khách cho các chia sẻ này, bằng cách đặt Chính sách nhóm "Đường dẫn UNC cứng" cho các máy khách Windows 10 như thế này:

\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

(Nếu bạn gặp vấn đề với việc truy cập chia sẻ Netlogon từ máy khách Windows 10, điều đó có thể giúp đặt cả ba tham số về 0 cho chia sẻ đó.)

Xem bài viết từ Microsoft về MS15-011 để biết thêm thông tin. Nó chứa một mô tả tốt về ý nghĩa bảo mật của việc thay đổi cài đặt này, cũng như các bước chi tiết về cách thay đổi chính sách.

Cảnh báo : Lưu ý rằng các cài đặt ở trên vô hiệu hóa một số hoặc tất cả các biện pháp bảo vệ chống lại vấn đề bảo mật MS15-011 đã được tạo cho! Đừng chỉ sao chép / dán chúng một cách mù quáng mà hãy đưa ra quyết định có căn cứ dựa trên những rủi ro liên quan. Ngoài ra, vấn đề này có thể sẽ được giải quyết đôi khi trong tương lai. Khi điều đó xảy ra, đừng quên đặt chính sách này thành các giá trị được đề xuất như được mô tả trong MS15-011.

Tôi đã thử một số đề xuất bao gồm thay đổi sổ đăng ký và thay đổi chính sách nhóm cục bộ, không có giải pháp nào trong số đó giải quyết được vấn đề - các ổ đĩa được ánh xạ vẫn bị xóa khi khởi động. Một gpupdate sẽ sửa nó mọi lúc, nhưng đó là một bước bổ sung cho người dùng.

Điều cuối cùng đã sửa nó là ánh xạ thủ công các ổ đĩa mạng, thay thế các mục GPO trên mỗi ổ đĩa đó. Không cần ngắt kết nối và thay thế, tôi đã ánh xạ chúng giống như chúng được ánh xạ, chỉ bằng tay.

Chỉ cần FYI cho bất kỳ ai khác tìm thấy chủ đề này, tắt UNC cứng lại thông qua cài đặt auth lẫn nhau thành 0 là vô hiệu hóa một số bảo mật của bạn. Chúng tôi đang gặp vấn đề tương tự với các khách hàng win7 và tôi đã cố gắng hợp tác với Microsoft trên đó. Họ nói với tôi đó là một lỗi, nhưng cho đến nay vẫn chưa cho tôi cách theo dõi khi nào lỗi sẽ được xử lý.

Xem chủ đề khác này để biết thêm thông tin https://social.technet.microsoft.com/Forums/en-US/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpose-do-not-apply-on-windows-10-enterprise -x64