私は 2 つのドメイン コントローラと を持つ Windows Active Directory ドメインを持っており、DC1どちらDC2も Windows Server 2008 R2 を実行しています。DC1は、すべての FSMO ロールを保持するプライマリ DC です。 予想どおりに正常に機能していましたが、ある日、何らかの理由で、一部の (粗悪な) アプリケーションで特定のユーザーが自分のマシンの時刻と日付を変更できるようにする必要があるという要件が発生しました。 特定のユーザー (OU1とOU2) に対してグループ ポリシー オブジェクトを設定し、システム時刻を変更できるようにしました。
Computer Configurations
-> Windows Settings
-> Security Settings
-> Local Policies
-> User Rights Assignment
-> Change the system time
そして、この権限を割り当てたいグループを追加しました。しかし、この設定を に設定した後DC1、 を実行したgpupdateところ、エラーが返されました:
C:\Users\myuser>gpupdate
Updating Policy...
User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.
イベント ビューアーを確認すると、イベント ID 1006、エラー コード 49、エラーの説明: 資格情報が無効ですというエラーが表示されました。
この記事このエラーは、一部のシステム サービスが、資格情報が変更されたユーザー アカウントとして実行されており、サービスを確認した後、いずれもユーザーとして実行されていないことが判明した (すべてローカル システム、ローカル サービス、またはネットワーク サービスとして実行されており、ログには SYSTEM ユーザーとして表示される) ために発生したと考えられます。
ポリシーはユーザーに適用されず、緊急の場合は手動で回避策を講じる必要がありました。gpupdateで実行してもDC2エラーは発生しないため、最後の手段として、FSMO の役割を に転送し、 をDC2削除してDC1再フォーマットする (または最近の必死の管理者が行うあらゆること :D) ことを考えました。現在、役割を転送し、gpupdate(およびgpupdate /force) を実行すると、 では同じエラーが発生しますDC1が、 ではスムーズに動作しますDC2。ただし、ポリシーは適用されませんでした。何が問題で、どこが間違っているのでしょうか。また、これを修正するにはどうすればよいでしょうか。
PS: DNS も二重にチェックし、Active Directory ロールのベスト プラクティス アナライザーも使用しましたが、バックアップが行われていないことに関する警告がいくつか表示され、時刻同期の設定に関するエラーも表示されただけでした。
アップデート: 誰かが同じ問題に悩まされており、解決策を見つけたかどうかを尋ねる回答 (すぐに削除されました) を投稿しました。いいえ、見つかりませんでした。そのグループ ポリシーを必要とするひどいアプリを置き換えただけです。
答え1
マシンにキャッシュされた資格情報をクリアする
rundll32.exe keymgr.dll,KRShowKeyMgr
ドメイン資格情報をクリアする
- psexec をダウンロード
システムとしてcmdを実行する
c:\PSTools>psexec -i -s cmd.exe PsExec v2.2 - Execute processes remotely Copyright (C) 2001-2016 Mark Russinovich Sysinternals - www.sysinternals.com Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
SYSTEM レベルの権限で Windows レジストリを起動し、「HKEY_LOCAL_MACHINE\SECURITY\CACHE」を参照すると、NL1 から NL10 までの合計 10 個のエントリが見つかります。これらのバイナリ エントリには、ドメイン レベルでキャッシュされたユーザーの資格情報が含まれています。Windows では、デフォルトで合計 10 個の資格情報をキャッシュできます。10 個のエントリすべてがいっぱいになると、キャッシュされる新しい資格情報は、最も古い NL エントリの Value Date によって上書きされます。また、残っている空きエントリの数を知るには、バイナリ値データが '0' でいっぱいになっているエントリの数を数えるだけです。