組策略錯誤 1006,錯誤程式碼 49
情況如下:
存在單個域控制器,具有 2008 功能級別的 Windows 2008 SBS 伺服器。在 3-4 年前的某個時間點,整個域成功轉移到了 2016 年的伺服器(被添加為輔助伺服器並將所有角色轉移到它),並且 SBS 伺服器被降級和刪除。不過,該域仍保持在 2008 年的功能級別。
大約一周前,域策略發生了一些變化。舊 SBS 域的所有策略均已刪除,並創建了新策略。從那時起,所有客戶端(Win 10)都能夠執行 gpupdate 並接收新策略,除了一個。這一個客戶端,在 gpupdate 上產生以下錯誤(在電腦和使用者部分):
組策略處理失敗。Windows 無法對域控制器上的 Active Directory 服務進行身份驗證。(LDAP 綁定函式呼叫失敗)。在詳細資訊選項卡中查看錯誤程式碼和描述。
在 EventLog 中,存在錯誤程式碼 49(無效憑據)的錯誤 1006。我已經嘗試使用 2 個不同的域帳戶(1 個域管理員和 1 個域使用者,雖然都是本地管理員)從特定 PC 上進行 gpupdate,但沒有任何運氣。這台電腦似乎仍然遵循舊政策。它已從域中刪除並重新添加,使用相同的名稱或不同的名稱,但沒有任何變化。我還注意到,在乙太網卡狀態下,報告它已連接到域但該域是“未驗證”並且連接是“公共”。
我還嘗試了我在網際網路上找到的其他一些關於檢查 dns 記錄(如果 IP 正確並且反向查找有記錄)、執行“GPRESULT /H GPReport.html”或通過更改 DBFlags 啟用 netlogon 調試的方法系統資料庫值,遺憾的是我無法理解問題所在。經過幾天的搜尋,我仍然沒有弄清楚問題出在伺服器端還是客戶端,或兩者兼而有之。
應該檢查什麼以及在哪裡檢查,以便更好地了解錯誤的性質並最終解決它?
EDIT1:今天,在啟動電腦、登錄並手動執行 gpupdate /force 後,我注意到它第一次執行時,花了相當長的時間(將近 5 分鐘)。隨後,它在 10 秒後返回錯誤。
EDIT2:也許我還應該提到這是一台開發電腦,上面有幾個虛擬網卡(包括 virtualbox 和幾個 vpn 軟體)。
為了將來參考,我終於能夠解決這個問題。在嘗試了 3 天多的幾件事之後,我發現了隱藏在以下執行緒中的答案,在 Arena Joe 的文章中(2017 年 8 月 25 日 20:52 UTC)。
https://community.spiceworks.com/topic/1721773-group-policy-update-fails-with-event-1006-error-49
DC 的 IP 放置在 hosts 文件中。我不明白為什麼這可能會導致問題,但我刪除了它並且電腦正常執行了 gpupdate!