따라서 두 개의 도메인 컨트롤러가 있는 Windows Active Directory 도메인이 있고 DC1둘 DC2다 Windows Server 2008 R2를 실행하고 있습니다. DC1모든 FSMO 역할을 담당하는 기본 DC입니다. 어느 날 특정 사용자에게 어떤 이유로든 자신의 컴퓨터에서 시간과 날짜를 변경할 수 있는 기능을 제공하기 위해 일부 ( 형편없는) 응용 프로그램에 대한 요구 사항이 있을 때까지는 예상대로 제대로 작동했습니다. 특정 사용자( OU1및 OU2)가 시스템 시간을 변경할 수 있도록 그룹 정책 개체를 설정했습니다.
Computer Configurations
-> Windows Settings
-> Security Settings
-> Local Policies
-> User Rights Assignment
-> Change the system time
그리고 이 권한을 할당하고 싶은 그룹을 추가했습니다. 그러나 이 설정을 on 으로 설정한 후 DC1다음을 수행했는데 gpupdate오류가 반환되었습니다.
C:\Users\myuser>gpupdate
Updating Policy...
User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.
이벤트 뷰어를 확인한 결과 EventID 1006, ErrorCode 49, ErrorDescription: Invalid Credentials라는 오류가 표시되었습니다.
이 기사이 오류는 일부 시스템 서비스가 자격 증명이 변경된 사용자 계정으로 실행되고 있으며 서비스를 확인한 결과 그 중 누구도 사용자로 실행되고 있지 않은 것으로 나타났습니다 (모두 로컬 시스템, 로컬 서비스로 실행 중임) 또는 네트워크 서비스이며 로그에 SYSTEM 사용자로 표시됩니다.
정책이 사용자에게 적용되지 않았으며 일부 긴급한 경우에는 수동으로 해결해야 했습니다. 실행 gpupdate하면 오류가 발생하지 않으므로 최후의 수단으로 FSMO 역할을 이전 하고 제거 하고 다시 포맷하는 DC2것을 고려했습니다 (또는 요즘 필사적인 관리자가 수행하는 모든 작업 :D). 지금은 역할을 이전했지만 계속 실행 중 (및 )으로 인해 에서는 동일한 오류가 발생 하지만 에서는 원활하게 실행됩니다 . 그러나 정책이 적용되지 않았습니다. 문제는 무엇이며 우리는 어디로 잘못 가고 있습니까? 어떻게 문제를 해결할 수 있나요?DC2DC1gpupdategpupdate /forceDC1DC2
추신: DNS도 다시 확인하고 Active Directory 역할 모범 사례 분석기를 사용했지만 백업하지 않는다는 경고와 시간 동기화 설정에 대한 오류만 표시되었습니다.
업데이트: 누군가가 같은 문제를 겪었고 해결책을 찾았는지에 대한 답변(곧 삭제됨)을 게시했습니다.. 아니요, 저희는 해당 그룹 정책이 필요한 형편없는 앱을 교체했을 뿐입니다..
답변1
머신에서 캐시된 자격 증명을 지웁니다.
rundll32.exe keymgr.dll,KRShowKeyMgr
도메인 자격 증명 지우기
- psexec 다운로드
cmd를 시스템으로 실행
c:\PSTools>psexec -i -s cmd.exe PsExec v2.2 - Execute processes remotely Copyright (C) 2001-2016 Mark Russinovich Sysinternals - www.sysinternals.com Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
SYSTEM 수준 권한으로 Windows 레지스트리를 실행하고 "HKEY_LOCAL_MACHINE\SECURITY\CACHE"로 이동하면 NL1부터 NL10까지 총 10개의 항목을 찾을 수 있습니다. 이러한 이진 항목에는 도메인 수준에서 사용자가 캐시한 자격 증명이 포함되어 있습니다. 기본적으로 Windows에서는 총 10개의 자격 증명을 캐시할 수 있으며, 10개 항목이 모두 가득 찬 경우 캐시할 새 자격 증명은 가장 오래된 NL 항목의 값 날짜로 덮어쓰여집니다. 또한 남은 여유 항목 수를 알려면 이진 값 데이터가 '0'으로 가득 찬 항목 수를 세면 됩니다.