私の問題は、クライアントを新たに起動したときにグループポリシーが適用されないことです。ブート直後、クライアントはイベントログにソース「GroupPolicy(Microsoft-Windows-GroupPolicy)」とイベントID 1058を含むエラーメッセージを投稿します:「グループポリシーの処理に失敗しました。[...]」[詳細]タブのErrorCodeは50で、これはERROR_NOT_SUPPORTEDを表します。これは単なる表面的な問題ではありません。たとえば、ポリシーが実際に適切に適用されていません。たとえば、マップされたネットワークドライブがそこにありません。しばらく待った後、「gpupdate」を実行すると、ポリシーが正常に適用され、マップされたネットワークドライブが表示されます。
問題を再現できた最も単純なシナリオ:新しくインストールされたWindows Server 2012R2で新しく作成されたドメイン、クライアントは新しくインストールされたWindows 10 64ビットマシンです。ドメインは1つのドメインコントローラーのみで構成され、他のドメインとの関係はありません。
エラーメッセージには、WindowsがドメインのSysvol-shareから.GPTファイルを読み取れないことが示されているため、コマンドプロンプトから同じファイルにアクセスしようとしました。実際、ブート直後にコマンドプロンプトを開くと、次のようになります。
C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.
1〜2分待ってから同じコマンドを実行すると、ディレクトリリストが表示されます。この時点でgpupdateを実行すると問題なく動作します。
グループポリシー設定[コンピューターの起動時およびログオン時に常にネットワークを待つ]を[有効]に設定しましたが、このポリシーが適用されていることがわかります。同じポリシーオブジェクトで、レジストリ設定が指定されており、レジストリを確認するとクライアントには指定された設定があります。
関連する可能性があるその他の要因:
- NTLMはドメインで制限されていますが、これは問題ではないようです。有効にしてポリシーを更新し、すべてのマシンを再起動した後でも、症状は同じです。
- サーバーがDHCPを使用して構成されているか、静的構成で構成されているかは関係ありません。
- ドメインのDNSサーバーは動的更新をサポートしていません。必要なレコードが手動で追加された(C:\ Windows \ System32 \ config \ netlogon.dnsから)
- クライアントではハイバネーションが無効になっている
powercfg /h offため(を使用)、各ブートはフルブートであり、高速ブートではありません。 - ポリシーの起動ポリシー処理待機時間は120秒に設定されています
- DCへの接続は正常に機能します。pingは機能します。クライアントをオフにし、ADで自分のアカウントを無効にし、クライアントをオンにすると、クライアントがログインしなくなります。アカウントが無効になっていることがすぐにわかります。
- この問題以外に、私は異常なことに気づきません。
これは、グループポリシーの問題よりもSMBの問題のようです。サーバー側で接続をスニッフィングすると、興味深いことがわかります。コマンドを初めて実行するdir \\domain.example.com\sysvolと、DCのMicrosoft Message Analyzerに次のように表示されます。
- クライアントがDCのポート445へのTCP接続をセットアップし、ComNegotiationが正常に実行されます(DialectRevision:0x02FF)。
- その直後、交渉が成功する。DialectRevisionは0x0302です。
- その直後、クライアントはTCP RSTを使用してTCP接続を閉じます(??)
その後コマンドを発行してエラーが発生するたびに、手順2と3が発生します。
コマンドが機能し始めると、ステップ1と2が発生しますが、TCP RSTを送信するクライアントの代わりに、SessionSetupが実行され、次にTreeConnectが実行され、その後、多くの(一見正常な)SMBチャッターが発生します。
そのため、クライアントはブート後1〜2分まではSMBとDCを適切に通信できないように見え、これによりグループポリシーの処理が失敗します。
この問題をデバッグして解決する方法を誰かが知っていますか?