Windows 10: Kebijakan Grup gagal diterapkan langsung setelah boot, berhasil nanti

Masalah saya adalah bahwa Kebijakan Grup tidak diterapkan ketika klien baru saja boot. Langsung setelah boot, klien memposting pesan kesalahan di log peristiwa dengan sumber "GroupPolicy (Microsoft-Windows-GroupPolicy)" dan ID Peristiwa 1058: "Pemrosesan Kebijakan Grup gagal. [...]". Di tab Detail, ErrorCode adalah 50, yang merupakan singkatan dari ERROR_NOT_SUPPORTED. Ini bukan hanya masalah kosmetik: kebijakan benar-benar tidak diterapkan dengan benar: drive jaringan yang dipetakan tidak ada, misalnya. Setelah menunggu beberapa saat, mengeksekusi "gpupdate" berfungsi dan kebijakan diterapkan secara normal: drive jaringan yang dipetakan muncul.

Skenario paling sederhana di mana saya dapat mereproduksi masalah: Domain yang baru dibuat pada Windows Server 2012R2 yang baru diinstal, klien adalah mesin Windows 10 64-bit yang baru diinstal. Domain hanya terdiri dari satu pengontrol domain dan tidak memiliki hubungan dengan domain lain.

Karena pesan kesalahan menyatakan bahwa Windows tidak dapat membaca file .GPT dari Sysvol-share domain, saya mencoba mengakses file yang sama dari Command Prompt. Dan memang, ketika saya membuka Command Prompt tepat setelah boot saya mendapatkan ini:

C:\Users\username>dir \\domain.example.com\sysvol
The request is not supported.

Setelah menunggu satu atau dua menit, mengeksekusi perintah yang sama akan memberikan daftar direktori. Menjalankan gpupdate pada titik ini akan berfungsi dengan baik.

Saya memang mengatur pengaturan Kebijakan Grup "Selalu menunggu jaringan saat startup komputer dan masuk" ke "Diaktifkan", dan saya tahu bahwa kebijakan ini diterapkan: dalam objek kebijakan yang sama pengaturan Registry ditentukan, dan ketika saya memeriksa Registry pada klien pengaturan yang ditentukan ada di sana.

Faktor lain yang mungkin relevan:

• NTLM dibatasi dalam domain, tetapi ini tampaknya tidak masalah: bahkan setelah mengaktifkannya, memperbarui kebijakan dan me-reboot semua mesin, gejalanya tetap sama.
• Tidak masalah apakah server dikonfigurasi menggunakan DHCP atau dengan konfigurasi statis.
• Server DNS untuk domain tidak mendukung Pembaruan Dinamis. Catatan yang diperlukan ditambahkan secara manual (dari C: \ Windows \ System32 \ config \ netlogon.dns)
• Hibernasi dinonaktifkan pada klien (menggunakan powercfg /h off) sehingga setiap boot adalah boot penuh, bukan Boot Cepat
• Kebijakan Waktu Pemrosesan Kebijakan Waktu Tunggu diatur ke 120 detik
• Konektivitas ke DC berfungsi dengan baik. Ping akan bekerja. Mematikan klien, menonaktifkan akun saya di AD, mengaktifkan klien akan mengakibatkan klien tidak masuk saya: segera pemberitahuan bahwa akun dinonaktifkan.
• Terlepas dari masalah ini, saya tidak melihat sesuatu yang luar biasa.

Ini tampaknya lebih merupakan masalah SMB daripada masalah Kebijakan Grup. Mengendus koneksi di sisi server menunjukkan sesuatu yang menarik: Pertama kali saya melakukan perintah dir \\domain.example.com\sysvol, berikut ini menunjukkan di Microsoft Message Analyzer di DC:

1. Klien mengatur koneksi TCP ke port 445 DC, dan negosiasi berhasil dilakukan (DialectRevision: 0x02FF).
2. Segera setelah itu, Negosiasi berhasil dilakukan. DialectRevision adalah 0x0302.
3. Segera setelah itu, klien menutup koneksi TCP dengan TCP RST (??)

Setiap kali saya mengeluarkan perintah dan mendapatkan kesalahan, langkah 2 dan 3 terjadi.

Ketika perintah mulai bekerja, langkah 1 dan 2 terjadi, tetapi alih-alih klien mengirimkan TCP RST, SessionSetup dilakukan, kemudian TreeConnect, dan kemudian banyak obrolan SMB (tampaknya normal) terjadi.

Jadi, sepertinya klien tidak akan berbicara dengan benar SMB ke DC hingga satu atau dua menit setelah boot, dan ini menyebabkan pemrosesan Kebijakan Grup gagal.

Adakah yang tahu bagaimana saya bisa men-debug dan menyelesaikan masalah ini?

Dimulai dengan Windows 8, Microsoft memperkenalkan gagasan "boot cepat", di mana, ketika Anda mematikan OS, mereka hibernasi jejak memori OS seperti halnya Hibernate bekerja dalam skenario hibernasi normal. Ini menghasilkan OS yang muncul lebih cepat, tetapi juga memiliki efek samping menonaktifkan pemrosesan GP per-komputer saat startup. Itu mungkin yang Anda lihat dan ini dapat dinonaktifkan dengan menonaktifkan kebijakan di bawah Konfigurasi Komputer \ Kebijakan \ Template Administratif \ Sistem \ Shutdown \ Memerlukan penggunaan startup cepat

Jika itu tidak menyelesaikan masalah maka kemungkinan besar masalah waktu tumpukan jaringan, di mana pemrosesan GP untuk komputer dimulai sebelum tumpukan jaringan diinisialisasi penuh. Ini telah ada sejak XP dan dimulai pada Windows 7, Microsoft menambahkan kebijakan di bawah Konfigurasi Komputer \ Kebijakan \ Template Administratif \ Sistem \ Kebijakan Grup \ Proses Pemula Kebijakan, Tunggu Waktu di mana Anda dapat meningkatkan waktu tunggu dokter sebelum memulai. Coba atur ke 60 detik dan lihat apakah itu membantu.

Darren

Saya berhasil memecahkan masalah ini sendiri. Untuk referensi inilah yang memecahkan masalah saya:

Pertama, saya salah dalam menonaktifkan semua pemblokiran NTLM menghasilkan gejala yang sama. Ini menghasilkan gejala yang berbeda , yang kebetulan memiliki efek yang sama. Tanpa kebijakan pemblokiran NTLM yang berlaku, dirperintah sekarang menghasilkan kesalahan akses ditolak. Kebijakan Grup masih tidak berlaku, yang masuk akal: SYSVOL masih belum dapat diakses.

Sedikit pencarian di web memberi tahu saya bahwa saya tahu ada masalah yang lebih umum. meskipun. Tampaknya, klien Windows 10 dapat mengalami masalah dalam mengakses bagian SYSVOL dari pengontrol domain (dan mungkin juga berbagi NETLOGON). Seharusnya Windows 10 mengubah sesuatu dengan cara mengakses saham tersebut, yang dapat menyebabkan masalah. Solusinya adalah untuk menonaktifkan UNC Path Hardening pada klien untuk saham ini, dengan menetapkan Kebijakan Grup "Hardened UNC Paths" untuk klien Windows 10 seperti ini:

\\*\SYSVOL RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
\\*\NETLOGON RequireMutualAuthentication=1,RequireIntegrity=1

(Jika Anda mengalami masalah dalam mengakses bagian Netlogon dari klien Windows 10, ini dapat membantu mengatur ketiga parameter menjadi nol untuk bagian itu juga.)

Lihat artikel dari Microsoft tentang MS15-011 untuk informasi lebih lanjut. Ini berisi deskripsi yang baik tentang implikasi keamanan dari mengubah pengaturan ini, serta langkah-langkah rinci tentang cara mengubah kebijakan.

Peringatan : Perhatikan bahwa pengaturan di atas menonaktifkan sebagian atau semua perlindungan terhadap masalah keamanan MS15-011 dibuat untuk! Jangan hanya menyalin / menempelkannya secara membabi buta, tetapi mengambil keputusan berdasarkan informasi berdasarkan risiko yang terlibat. Juga, masalah ini kemungkinan akan dipecahkan di masa depan. Ketika itu terjadi, jangan lupa untuk mengatur kebijakan ini ke nilai yang disarankan seperti yang dijelaskan dalam MS15-011.

Saya mencoba beberapa saran termasuk perubahan registri dan perubahan kebijakan grup lokal, tidak ada yang memecahkan masalah - drive dipetakan masih X'ed keluar saat boot. Sebuah gpupdate akan memperbaikinya setiap saat, tetapi itu merupakan langkah tambahan bagi pengguna.

Yang akhirnya memperbaikinya adalah memetakan drive jaringan secara manual, menggantikan entri GPO pada masing-masing drive. Tidak perlu memutus dan mengganti, saya memetakan mereka sama seperti mereka dipetakan, hanya secara manual.

Hanya FYI untuk siapa pun yang menemukan utas ini, mematikan pengerasan UNC melalui pengaturan mutual auth to 0 adalah menonaktifkan sebagian keamanan Anda. Kami menjalankan masalah yang sama dengan klien win7, dan saya mencoba untuk bekerja dengan Microsoft untuk itu. Mereka bilang itu bug, tapi sejauh ini belum memberi saya cara untuk melacak kapan bug itu ditangani.

Lihat utas lainnya untuk info lebih lanjut https://social.technet.microsoft.com/Forums/en-US/6a20e3f6-728a-4aa9-831a-6133f446ea08/gpos-do-not-apply-on-windows-10-enterprise -x64