Windows 8.1 / 10 GPO 映射驅動器無法連接
更新:沒有解決…
問題仍然存在,我也嘗試了強化的 UNC 路徑方法,但仍然沒有運氣。如果我遇到新的東西,我會繼續更新這個文章。
更新並解決(希望)
似乎問題是由 Windows 10(和 8.1)中的“快速啟動”選項觸發的。甚至還有一篇TechNet 文章描述了類似的內容。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled, REG_DWORD 0x0 (0)
我通過系統資料庫 GPO ( )為所有客戶端停用了快速啟動現在網路共享在啟動和重新啟動時映射。我希望它保持這種狀態。
在我的環境中(具有三個 DC、所有 GC 的 Server 2012 R2 域),通過 GPP 映射驅動器存在一些問題,但僅限於 Windows 8.1 和 Windows 10 客戶端(安裝了所有更新)。
GPP 映射 7 個驅動器,其中 4 個位於主 DC 和文件伺服器上,另外 3 個位於 DFS 共享上。
如果 Win8.1 / Win10 客戶端連接,有時會出現驅動器,但大多數時候不會出現。如果我
gpupdate /force
通過命令行執行所有這些連接。當使用者在空閒一段時間後想要瀏覽共享時(不管是 DFS 還是文件伺服器),就會彈出一個錯誤:錯誤 0x80090006:簽名無效
但如果他們再次點擊驅動器,一切都很好。我嘗試了我能想像到的所有可能的修復,將 GPP 設置為在啟動之前等待網路,將伺服器上的自動斷開連接時間設置為無限 via
net config server /autodisconnect:-1
,刪除 GPP 並從頭開始,檢查並重新檢查 sysvol 權限,但都無濟於事。客戶端有時還會在事件日誌中顯示無法訪問 DC 的錯誤,這是無稽之談,因為每次都會處理所有其他 GPO 和 GPP(例如列印機),只有映射的驅動器出現故障。
有沒有人也遇到過這樣的事情?任何提示將不勝感激。
更新
啟動客戶端后,有時此錯誤也會出現在事件日誌中(在客戶端):
事件 ID 1058,GroupPolicy (Microsoft-Windows-GroupPolicy)
組策略處理失敗。Windows 嘗試從域控制器讀取文件 \domain.local\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 並且不成功。在解決此事件之前,可能不會應用組策略設置。此問題可能是暫時性的,可能由以下一項或多項原因引起:a) 與目前域控制器的名稱解析/網路連接。b) 文件複製服務延遲(在另一個域控制器上創建的文件尚未復製到目前域控制器)。c) 分佈式文件系統 (DFS) 客戶端已被禁用。
我會試著看看。
經過大量測試並等待使用者回饋後,我嘗試了上述Hardened UNC 方法,但這次不是通過 GPO 本身,而是通過 GPP 直接設置適當的系統資料庫項 (
HKLM\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths\\\*\NETLOGON || SYSVOL - RequireMutualAuthentication=0, RequireIntegrity=0
)。瞧!它可以工作…不過,我不知道為什麼實施的 GPO 選項沒有。也許我做錯了什麼,但此時我真的不在乎了,只要它有效。無論如何,微軟可能很快就會發布一個(新的)修補程序。**編輯:**請記住,實施強化的 UNC 路徑是為了修復“關鍵”Windows 安全問題,該問題可以追溯到 2000 年。通過停用強化的 UNC 路徑,您可以再次主動打開該漏洞,這是否值得取決於您的拓撲結構和/或所需的基礎架構安全性。