更新:没有解决...
问题仍然存在,我也尝试了强化的 UNC 路径方法,但仍然没有运气。如果我遇到新的东西,我会继续更新这个帖子。
更新并解决(希望)
似乎问题是由 Windows 10(和 8.1)中的“快速启动”选项触发的。甚至还有一篇TechNet 文章描述了类似的内容。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled, REG_DWORD 0x0 (0)我通过注册表 GPO ( )为所有客户端停用了快速启动
现在网络共享在启动和重新启动时映射。我希望它保持这种状态。
在我的环境(具有三个 DC、所有 GC 的 Server 2012 R2 域)中,通过 GPP 映射驱动器存在一些问题,但仅限于 Windows 8.1 和 Windows 10 客户端(安装了所有更新)。
GPP 映射 7 个驱动器,其中 4 个位于主 DC 和文件服务器上,另外 3 个位于 DFS 共享上。
如果 Win8.1 / Win10 客户端连接,有时会出现驱动器,但大多数时候不会出现。如果我gpupdate /force通过命令行运行所有这些连接。当用户在空闲一段时间后想要浏览共享时(不管是 DFS 还是文件服务器),就会弹出一个错误:
错误 0x80090006:签名无效
但如果他们再次点击驱动器,一切都很好。我尝试了我能想象到的所有可能的修复,将 GPP 设置为在启动之前等待网络,将服务器上的自动断开连接时间设置为无限 via net config server /autodisconnect:-1,删除 GPP 并从头开始,检查并重新检查 sysvol 权限,但都无济于事。
客户端有时还会在事件日志中显示无法访问 DC 的错误,这是无稽之谈,因为每次都会处理所有其他 GPO 和 GPP(例如打印机),只有映射的驱动器出现故障。
有没有人也遇到过这样的事情?任何提示将不胜感激。
更新
启动客户端后,有时此错误也会出现在事件日志中(在客户端):
事件 ID 1058,GroupPolicy (Microsoft-Windows-GroupPolicy)
组策略处理失败。Windows 尝试从域控制器读取文件 \domain.local\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 并且不成功。在解决此事件之前,可能不会应用组策略设置。此问题可能是暂时性的,可能由以下一项或多项原因引起:a) 与当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件尚未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。
我会试着看看。
经过大量测试和等待用户反馈后,我尝试了上面提到的Hardened UNC 方法,但这次不是通过 GPO 本身,而是通过 GPP 直接设置适当的注册表项 (
HKLM\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths\\\*\NETLOGON || SYSVOL - RequireMutualAuthentication=0, RequireIntegrity=0)。瞧!它可以工作...不过,我不知道为什么实施的 GPO 选项没有。也许我做错了什么,但此时我真的不在乎了,只要它有效。无论如何,微软可能很快就会发布一个(新的)修补程序。编辑:请记住,实施强化的 UNC 路径是为了修复“关键”Windows 安全问题,该问题可以追溯到 2000 年。通过停用强化的 UNC 路径,您可以再次主动打开该漏洞,这是否值得取决于您的拓扑结构和/或所需的基础架构安全性。
我的环境中的这个问题仅在 DFS 地图中出现,有时会出现在 8 和 8.1 之前,但在 10 周年纪念版中是系统性的。
这是我个人的解决方法:在 GPO 中,我创建了一个计划任务,该任务在每次用户登录启动登录脚本时运行
它就像一个魅力......
尝试在客户端关闭 UAC,它对我们有帮助。