グループポリシー：マップされたドライブの読み込みに失敗する、Windows Server 2012 Active DirectoryおよびWindows Pro 10

通信網：

• マルチサイトドメイン。
• 各サイトには、2つのローカル（オンサイト、同じサブネット）Windows Server 2012 R2ドメインコントローラーがあります。
• サイトは、Windowsサイトとサービスで正しく定義されています。
• 各サイトのDNSレコードには、2つのローカルDNSサーバーのみが定義されています。
• すべてのクライアントは、すべての更新が適用されたWindows 10 Pro 64ビットです。
• どちらのネットワークも、認定されたCAT6ケーブルでCiscoスイッチ上で完全にギガビットで実行されています。
• 各サイトにはローカル（オンサイト、同じサブネット）Synologyストレージサーバーがあります。
• グループポリシーの一部として、2つのネットワークドライブがSynologyサーバーの共有にマップされます。

接続性診断：

• dcdiag /test:dns /v /c /ePASSすべてのサーバーとすべてのテストのレポート
• echo %logonserver% 常にローカルDCを返します
• nltest /dsgetdc 常にローカルDCと正しいローカルIPを表示します
• サイトAでは、両方のネットワークドライブが表示され、0.5％の確率で失敗します（ドライブが正しく表示されないブートをいくつか経験しました）。

問題：

サイトBでは、ネットワークドライブがおそらく30％の時間で表示されません。両方のドライブである場合もあれば、どちらか一方である場合もあります。問題はほとんどランダムであり、特定のユーザーまたはワークステーションをフォローしていないようです。

症状：

問題が発生する時間の30％のうち：

• 時間aの5％gpupdateかは、gpupdate /force問題を解決し、ドライブがすぐに表示されます。gpupdateが最初の試行で動作しない場合、その後はほとんど動作しません（そのブートの場合）
• 5％の時間で、gpupdateまたはgpupdate /force1つのドライブのみが表示されます
• 20％の時間、a gpupdateは問題を修正しませんが、次のブートは問題ありません
• 50％の時間、a gpupdateは問題を修正しませんが、1回の起動と別の 起動後gpupdateにドライブが表示されます

• 20％の時間、ドライブが表示されるまでに（ブートごとに）複数回リブートする必要がありますgpupdate。2回ブートすることもありますが、ドライブが表示されるまで6〜7回コンピューターを再起動することはほとんどありませんでした。

  • この最後の20％の間、gpupdateプロセスでエラーが発生することがあります。

    The processing of Group Policy failed. Windows attempted to read the file 
    \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
    from a domain controller and was not successful. Group Policy settings may not be 
    applied until this event is resolved. This issue may be transient and could be 
    caused by one or more of the following:  
    
    a) Name Resolution/Network Connectivity to the current domain controller.  
    b) File Replication Service Latency (a file created on another domain controller 
       has not replicated to the current domain controller).  
    c) The Distributed File System (DFS) client has been disabled.
    

  • このエラーは実際には、常にではありませんが、通常は良い兆候です。一般にこのエラーが発生した後、次の「gpupdate」または次のブートと「gpupdate」によりドライブが再表示されるためです。

ドライブマップ診断：

1. gpresult /h gpresult.html ショー：

   Drive Map (Drive: X)
    The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
      X:
       Winning GPO  DriveMaps 
        General Settings
         Result: Success
   

2. グループポリシー環境のデバッグログを有効にしました（http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx作成レジストリエントリごと [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002）。のログファイルにc:\Windows\debug\UserMode\gpsvc.logは、明確なエラーは表示されませんでした。また、Googleを通じて多くのヘルプを見つけることができませんでした。ここに私が受け取ったいくつかの興味深いメッセージがあります：

   GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
   GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
   GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
   

3. ドライブマップのグループポリシー設定のデバッグを有効にしました（http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspxに設定Drive Map Policy ProcessingさEnabledれEvent Logging、プロパティでオンになります\Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing）。ログインファイルはC:\ProgramData\GroupPolicy\Preference\Trace\User.logエラーを返していません。

   2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
   2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
   2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
   2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
   2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
   

4. また、ドライブの読み込みに失敗したログインのnetmonキャプチャがいくつかありますが、キャプチャには非常に多くの情報が含まれているため、どこから始めればよいかわかりません。

5. ログインに失敗した後、に直接アクセスしようとすると\\SynologyServer\ShareName\、エラーなしで共有が常にすぐに読み込まれます。接続または許可の問題の兆候はありません。

質問：

両方のサイトが同じドメインにあり、同じポリシーを持ち、同じソフトウェアを実行している場合、この問題は1つのサイトで頻繁に発生しますが、他のサイトではほとんど発生しません。

私が考えることができる唯一のソフトウェアの違いは、サイトAでは、すべてのコンピューターがWindows 8.1 Proを実行し、Windows 10 Proにアップグレードされたのに対して、サイトBでは、すべてのコンピューターにWindows 10 Proが新しくインストールされていることです。

担当者がほとんどいないので、まだ質問することはできません。そのため、回答を投稿しながら質問を試み、缶詰にならないように願っています。;）

別のWindowsシステム上の「従来の」UNC共有に対してこのGPOをテストすることにより、このケースのGPO部分が非問題であることを保証したと仮定します。私の意見では、重要な不足している情報は、Synologyデバイスがドメインに参加しているかどうかです。Synology、QNAPなどのLinuxベースのNASユニットの多くには、Active Directoryドメインに参加できるソフトウェアコンポーネントが組み込まれています。このデバイスがドメインに参加しているかどうかは、ソリューションに影響します。

そうは言っても、ネットワーク内にT1回線と相互接続されたリモート施設があります。システム要件のため、すべてのシステムでアクロニスのイメージングバックアップを使用する必要があります。したがって、T1を介してWindowsワークステーションのマルチGBイメージをリモートでバックアップするのは非スターターです。そこで、Drobo NASユニットを各ローカルセグメントに配置して、これを克服し、耐障害性を少し高めました。これらの特定のDroboには、ADドメインに参加する機能がありません。

構成されたとおりにUNC共有を有効にするには、2つの主なものをセットアップする必要がありました。最初に、DNSサーバー上に静的DNSエントリを作成して、適切な名前解決を可能にしました。2番目に、DISAが通常ほとんどのドメインメンバーに推奨する2つのポリシーを「緩める」必要がありました。バックアップサーバーと「低速リンク」サイトでバックアップされているワークステーションでこれらのポリシーを緩めたのは、これらがそれぞれの共有にアクセスする必要がある唯一のシステムであったためです。

• コンピューターの構成\ Windowsの設定\セキュリティの設定\セキュリティオプション：
  • Microsoftネットワーククライアント：デジタル署名通信（常に）=無効
  • Microsoftネットワーククライアント：暗号化されていないパスワードをサードパーティのSMBサーバーに送信する=有効
  • Microsoftネットワークサーバー：通信にデジタル署名（常に）=無効

「ネゴシエートされた場合に通信にデジタル署名する」ためのGPOはまだ有効に設定されており、関連するセキュリティリスクの一部が軽減されています。これらの変更を有効にすると、UNCパスを介して共有にすぐにアクセスできましたが、以前は不可能でした。

これが、NASがドメインに参加できるかどうかによってソリューションのパスが決まると先ほど言った理由です。参加できる場合、DNSおよび「SMB」グループポリシーは問題ではないはずです。したがって、ソリューションは他の場所にあります。彼らが参加できない場合（私のNASのように）、これがあなたの解決策かもしれません。

まあ、私はこれらのスレッドを見つけました、そしてそれは私のものとほとんど同じ状況のように聞こえます：

Windows 10：起動後にグループポリシーを直接適用できず、後で成功する

Windows 8.1 / 10 GPOにマップされたドライブが接続されない

どうやらこの問題は、MicrosoftがWindows 10でデフォルトでUNC Hardeningを有効にしていることが原因です。これは、セキュリティ上の欠陥を修正するためですが、明らかに、意図せずに、マップされたドライブが信頼できない方法でマウントされます。驚くことではありませんが、Microsoftはこのバグにまだ対処していないようです（または、そうしているのですか？）

これにより、サイトAで問題が発生しなかった理由も説明できます。そこにあるすべてのコンピューターはWindows 8.1 ProからWindows 10にアップグレードされているため、UNC Hardeningに関する設定はWindows 8から移行され、オフのままであると仮定しますが、 Windows 10のインストールでは、デフォルトのUNC Hardening を使用しました。

私は実際に解決策をまだ試していませんが、自分の症状に適合しすぎて関連性がないようです。システムをより多くのセキュリティの脅威にさらすソリューションが心配なので、代替手段を探しています。グループポリシーを使用してこれを設定するという考えが気に入らず、レジストリの手動編集のみでUNC Hardeningをオフにできるかどうか疑問に思っています。次に何をするかを決める前に、最初にいくつかのコンピューターで実験したい。ただし、現在GPOまたはGPPを介して設定を変更する手順しか見つかりません...

何かご意見は？

これを更新し、ある時点で主要なWindows 10更新プログラムの1つがこの問題を修正したと言いたいだけです。これは古い質問ですが、万が一のために物事をぶら下げたままにするのは好きではありません。

アップデートダニエルで提供したすべてを読んだ後、UNC強化は関連しているものの、ここでは根本的な原因ではなく、実際には2番目の投稿のOPが問題を修正したと言う「高速ブート」オプションである可能性があることをお勧めします。UNC強化に関するすべての情報は、デフォルトで強化されるSYSVOLおよびNETLOGON共有に関するものです。その問題により、クライアントはGPの更新を受信できなくなりますが、事実は、ドライブマップGPOが問題のクライアントに少なくとも1回は既に適用されており、実行するたびに（再起動しても）再適用する必要はありませんマッピング。

明らかに、各オプションを互いに独立してテストする必要がありますが、どのオプションが機能するかどうかに関係なく、この推論の行は問題の根本原因に近いように見えます。