因此,我有一個具有兩個網域控制站 和 的 Windows Active Directory 網域,DC1它們DC2都執行 Windows Server 2008 R2。DC1是擔任所有 FSMO 角色的主要 DC。它按照預期正常運行,直到有一天我們需要一些(糟糕的)應用程式來讓某些用戶能夠出於某種原因更改其電腦上的時間和日期。我們為特定使用者(OU1和OU2)設定了群組原則對象,讓他們可以更改系統時間:
Computer Configurations
-> Windows Settings
-> Security Settings
-> Local Policies
-> User Rights Assignment
-> Change the system time
並添加了我想要為其分配此權利的群組。但是,在 on 上設定此設定後DC1,我執行了操作gpupdate並返回了錯誤:
C:\Users\myuser>gpupdate
Updating Policy...
User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.
我檢查了事件檢視器,它顯示了一個錯誤,EventID 1006,ErrorCode 49,ErrorDescription:無效的憑證。
本文表明此錯誤是由於某些系統服務作為憑證已更改的用戶帳戶運行而引起的,在檢查服務後發現它們都不是作為用戶運行(全部都作為本地系統、本地服務運行)或網絡服務,並作為SYSTEM使用者出現在日誌中)。
此策略不適用於用戶,我們必須針對某些緊急情況進行一些手動解決方法。運行不會gpupdate產生DC2任何錯誤,因此我們考慮將 FSMO 角色轉移到DC2並刪除DC1並重新格式化它(或現在絕望的管理員所做的任何事情:D)作為最後的手段。現在我們轉移了角色,並且仍然運行gpupdate(和gpupdate /force)會導致相同的錯誤,DC1但在 中運行順利DC2。然而,該政策並未實施。問題出在哪裡?我們該如何解決這個問題?
PS 我還仔細檢查了 DNS,並使用了 Active Directory 角色最佳實踐分析器,但它只給了我一些關於不備份的警告,以及關於設定時間同步的錯誤。
更新:有人發布了一個答案(不久後刪除),說她/他遇到了同樣的問題,以及我們是否找到了解決方案。
答案1
清除電腦上快取的憑證
rundll32.exe keymgr.dll,KRShowKeyMgr
清除域憑證
- 下載 psexec
作為系統運行cmd
c:\PSTools>psexec -i -s cmd.exe PsExec v2.2 - Execute processes remotely Copyright (C) 2001-2016 Mark Russinovich Sysinternals - www.sysinternals.com Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
如果您以SYSTEM等級權限啟動Windows註冊表並瀏覽至“HKEY_LOCAL_MACHINE\SECURITY\CACHE”,您將發現從NL1到NL10總共10個條目。這些二進位條目包含使用者在網域層級快取的憑證。預設情況下,Windows 允許快取總共 10 個憑證,如果所有 10 個條目已滿,則要快取的任何新憑證都將被最舊的 NL 條目中的起息日期覆蓋。另外,要知道還剩下多少個空閒條目,只需計算二進位值資料全為「0」的條目數即可。