그룹 정책 : 매핑 된 드라이브를로드하지 못함, Windows Server 2012 Active Directory 및 Windows Pro 10


12

회로망:

  • 다중 사이트 도메인.
  • 각 사이트에는 2 개의 로컬 (온 사이트, 동일한 서브넷) Windows Server 2012 R2 도메인 컨트롤러가 있습니다.
  • 사이트는 Windows 사이트 및 서비스에서 올바르게 정의됩니다.
  • 각 사이트의 DNS 레코드에는 두 개의 로컬 DNS 서버 만 정의되어 있습니다.
  • 모든 클라이언트는 모든 업데이트가 포함 된 Windows 10 Pro 64 비트입니다.
  • 두 네트워크 모두 인증 된 CAT6 케이블을 사용하여 Cisco 스위치에서 완전히 기가비트로 실행됩니다.
  • 각 사이트에는 로컬 (현장, 동일한 서브넷) Synology 스토리지 서버가 있습니다.
  • 그룹 정책의 일부로 두 개의 네트워크 드라이브가 Synology 서버의 공유에 매핑됩니다.

연결 진단 :

  • dcdiag /test:dns /v /c /ePASS모든 서버 및 모든 테스트에 대한 보고서
  • echo %logonserver% 항상 로컬 DC를 반환
  • nltest /dsgetdc 항상 로컬 DC와 올바른 로컬 IP를 보여줍니다
  • 사이트 A에는 두 개의 네트워크 드라이브가 모두 나타나고 0.5 %의 실패 가능성이 있습니다 (드라이브가 올바르게 표시되지 않는 몇 가지 부팅이 발생했습니다).

발행물:

사이트 B에서 네트워크 드라이브가 시간의 30 % 정도 표시되지 않습니다. 때로는 둘 다 드라이브이고 때로는 둘 중 하나입니다. 문제는 대부분 무작위이며 특정 사용자 나 워크 스테이션을 따르지 않는 것 같습니다.

조짐:

문제가 발생한 시간 의 30 % 중 :

  • 시간 (a)의 5 % gpupdate또는 gpupdate /force문제를 해결하고 드라이브는 즉시 나타납니다. gpupdate첫 번째 시도에서 작동하지 않으면 그 후에 는 거의 작동하지 않습니다 (부팅시)
  • 시간의 5 % gpupdate또는 gpupdate /force하나의 드라이브 만 나타남
  • 시간의 20 %, a gpupdate는 문제를 해결하지 않지만 다음 부팅은 정상입니다
  • 시간의 50 %, a gpupdate는 문제를 해결하지 못하지만 한 번의 부팅과 다른 부팅 후에 gpupdate는 드라이브가 나타납니다
  • 20 %의 시간이 걸리면 드라이브가 나타나기 전에 여러 번 재부팅해야합니다 ( gpupdate각 부팅마다). 때로는 2 번의 부팅이지만 드라이브가 나타나기 전에 가끔 컴퓨터를 6 ~ 7 번 재부팅하는 일은 거의 없었습니다.

    • 이 마지막 20 % 동안 때때로 gpupdate 프로세스에서 오류가 발생합니다.

      The processing of Group Policy failed. Windows attempted to read the file 
      \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
      from a domain controller and was not successful. Group Policy settings may not be 
      applied until this event is resolved. This issue may be transient and could be 
      caused by one or more of the following:  
      
      a) Name Resolution/Network Connectivity to the current domain controller.  
      b) File Replication Service Latency (a file created on another domain controller 
         has not replicated to the current domain controller).  
      c) The Distributed File System (DFS) client has been disabled.
      
    • 이 오류는, 실제로 일반적으로 , 항상은 아니지만 좋은의 일반적으로 나는이 오류, 다음 'gpupdate' 또는 다음 부팅을 얻고 'gpupdate' 만들 것입니다 후 드라이브를 다시 때문에 기호.

드라이브 맵 진단 :

  1. gpresult /h gpresult.html 보여줍니다 :

    Drive Map (Drive: X)
     The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
       X:
        Winning GPO  DriveMaps 
         General Settings
          Result: Success
    
  2. 그룹 정책 환경 디버그 로깅을 활성화했습니다 ( http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx 레지스트리 항목 생성 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). 로그 파일에 c:\Windows\debug\UserMode\gpsvc.log명확한 오류가 표시되지 않았으며 Google을 통해 많은 도움을 얻을 수 없었습니다. 내가받은 몇 가지 흥미로운 메시지는 다음과 같습니다.

    GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
    GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
    GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
    
  3. 드라이브 맵에 대한 그룹 정책 기본 설정 디버깅을 활성화했습니다 ( http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the- -rsat.aspx 세트 Drive Map Policy ProcessingEnabled켜져 Event Logging의 속성 \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). 로그 파일 C:\ProgramData\GroupPolicy\Preference\Trace\User.log이 오류를 반환하지 않았습니다.

    2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
    2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
    2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
    2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
    2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
    
  4. 또한 드라이브를로드하지 못하는 로그인의 netmon 캡처가 여러 번 있지만 캡처에는 시작 위치를 잘 모르는 정보가 많이 있습니다.

  5. 로그인에 실패한 후 바로 찾아 보려고 \\SynologyServer\ShareName\하면 공유가 항상 오류없이 즉시로드됩니다. 연결 또는 권한 문제의 징후가 없습니다.

질문:

이 문제가 한 사이트에서 자주 발생하지만 두 사이트가 동일한 도메인에 있고 동일한 정책을 가지고 동일한 소프트웨어를 실행하는 다른 사이트에서는 거의 발생하지 않는 이유는 무엇입니까?

내가 생각할 수있는 유일한 소프트웨어 차이점은 사이트 A에서 모든 컴퓨터가 Windows 8.1 Pro를 실행하고 Windows 10 Pro로 업그레이드 된 반면 사이트 B에서는 모든 컴퓨터에 Windows 10 Pro가 새로 설치되었다는 것입니다.


이것이 관련이 있는지 궁금합니다 : social.technet.microsoft.com/Forums/en-US/… 그룹 정책은 없지만 맵핑 된 네트워크 드라이브와 관련이 있습니다. 특히 흥미로운 점은 "Windows 8에서 Windows 10으로 업그레이드하면 NAS에 액세스하여 드라이브를 매핑 할 수 있다는 것을 알았습니다. 그러나 Windows 10을 '깨끗한'상태로 설치하거나 처음부터 설치하는 것은 불가능합니다 드라이브를 매핑합니다. "
다니엘

Windows 10 Preview의 다른 유사한 보고서. 여전히 관련이 있는지 확실하지 않은 경우 : answers.microsoft.com/en-us/insider/forum/…
Daniel

흥미롭게도 간단한 "net use"(또는 원하는 경우 "wshNetwork") 스크립트로 문제를 해결해보십시오. 어쨌든 Fast Logon Optimization의 GPO를 구성 해 보셨습니까? technet.microsoft.com/ko-kr/magazine/gg486839.aspx , technet.microsoft.com/library/jj573586.aspx
EliadTech

1
로그온시 그룹 정책이 적용되는 방법 제어를 설정 하십시오 . GPO를 처리하기 전에 시스템이 로컬 시스템의 네트워크가 항상 사용 가능할 때까지 기다립니다.
AndreVSWorld

리서치 (Google)에 따르면 Windows 8 이상에서는 로그온 스크립트를 통한 드라이브 매핑이 더 이상 지원되지 않으며 그룹 정책을 통한 매핑이 권장되는 방법입니다
Daniel

답변:


1

담당자가 거의 없기 때문에 아직 질문을 할 수 없으므로 답변을 게시하는 동안 질문을 시도하고 통조림을 얻지 않기를 바랍니다. ;)

다른 Windows 시스템의 "전통적인"UNC 공유에 대해이 GPO를 테스트하여이 사례의 GPO 부분이 문제가 아니라고 가정했습니다. 내 의견으로는 중요한 누락 정보는 Synology 장치가 도메인에 가입되어 있는지 여부입니다. Synology, QNAP 등과 같은 많은 Linux 기반 NAS 장치에는 Active Directory 도메인에 참여할 수있는 소프트웨어 구성 요소가 내장되어 있습니다. 이 장치가 도메인에 참여하는지 여부는 솔루션에 영향을줍니다.

즉, 네트워크에 T1 회로와 상호 연결된 원격 시설이 있습니다. 시스템 요구 사항으로 인해 모든 시스템에서 Acronis 이미징 백업을 사용해야합니다. 따라서 T1을 통해 Windows 워크 스테이션의 다중 GB 이미지를 원격으로 백업하는 것은 시작이 아닙니다. 그래서 우리는 Drobo NAS 장치를 각 로컬 세그먼트에 배치하여이를 극복하고 약간의 내결함성을 제공했습니다. 이러한 특정 Drobo에는 AD 도메인에 참여할 수있는 기능이 없습니다.

UNC 공유를 구성된대로 활성화하려면 두 가지 주요 사항을 설정해야했습니다. 먼저 적절한 이름 확인을 위해 DNS 서버에 정적 DNS 항목을 만들었습니다. 둘째, DISA가 일반적으로 대부분의 도메인 구성원에게 권장하는 두 가지 정책을 "손실"해야했습니다. 우리는 백업 서버에서 이러한 정책을 완화했으며 워크 스테이션은 "느린 링크"사이트에서 백업되었습니다. 각 공유에 액세스해야하는 유일한 시스템이기 때문입니다.

  • 컴퓨터 구성 \ Windows 설정 \ 보안 설정 \ 보안 옵션 :
    • Microsoft 네트워크 클라이언트 : 디지털 서명 통신 (항상) = 사용 안함
    • Microsoft 네트워크 클라이언트 : 암호화되지 않은 암호를 타사 SMB 서버로 전송 = 사용
    • Microsoft 네트워크 서버 : 디지털 서명 통신 (항상) = 사용 안함

"협상 된 경우 통신에 디지털 서명"하는 GPO는 여전히 사용으로 설정되어있어 약간의 보안 위험이 완화됩니다. 이러한 변경 사항을 활성화하면 UNC 경로를 통해 공유에 즉시 액세스 할 수 있었지만 이전에는 불가능했습니다.

그렇기 때문에 NAS가 도메인에 참여할 수 있는지 여부에 따라 솔루션의 경로가 결정됩니다. 이들이 참여할 수 있다면 DNS와 "SMB"그룹 정책은 문제가되지 않으므로 해결책은 다른 곳에있을 것입니다. 그들이 내 NAS처럼 참여할 수 없다면, 이것이 당신의 해결책 일 수 있습니다.


Synology 서버가 도메인에 가입되었습니다. 사용자와 그룹이 매핑 된 드라이브에 액세스 할 수있는 방법입니다. Synology 서버의 공유에는 AD 사용자 및 그룹을 기반으로하는 권한이 있습니다.
다니엘

1
질문 을 할 수있는 권한 으로 명성을 얻을 필요는 없습니다 . 시스템이나 중재자 가 귀하의 계정을 금지 하지 않는 한 누구나 요청할 수 있습니다.
HBruijn

그들이 실제로 질문에 대답 하지 않는 한 답변을 게시하지 마십시오 . ServerFault는 포럼이 아닌 Q & A 플랫폼 입니다. 새로운 질문이있는 경우, 제발 그것을 물어 클릭하여 이 페이지의 상단에있는 메뉴 버튼을 누릅니다. 평판이 충분 하면 이 질문에 찬성 하여 더 많은주의를 기울일 수 있습니다. 또는 즐겨 찾기로 "별표"를 지정하면 새로운 답변이 표시됩니다. 감사합니다. Ask Question
HBruijn

1
@HBrujin, 내가 의미하는 바는이 사이트에서 담당자가 50 이상이 될 때까지 원래 문제를 게시 한 사람에게 질문하지 않아도된다는 것입니다. 솔루션 만 제공해야합니다. 어느 정도까지는 완전히 이해합니다. Daniel, 다음 권장 사항은 공유 폴더를 호스팅하는 기존 Windows 컴퓨터에 대해 GPO를 테스트하는 것입니다. 이미 이것을 테스트했다면 글쎄, 그것은 잠시 동안 저를 엉망으로 만들었습니다. 실습에서이 기능을 테스트 할 수 있기를 희망하지만 현재 Win7 / 2008R2에 있으며 내년까지는 해당 버전에 포함되지 않습니다.
El Zilcho

내 사과, "질문"을 읽었지만 분명히 ServerFault 전문 용어로 "설명" 을 게시하기 위해 당신이 의도 한 것을 호출합니다 .이 코멘트 는 실제로 50 점이 필요한 특권 입니다. -우리는 때때로 Q & A 형식에 익숙하지 않은 사람들을 얻습니다.
HBruijn

1

글쎄, 나는이 스레드를 발견했고, 그것은 거의 똑같은 상황처럼 들린다.

Windows 10 : 부팅 후 그룹 정책이 직접 적용되지 않고 나중에 성공

Windows 8.1 / 10 GPO 매핑 드라이브가 연결되지 않습니다

분명히이 문제는 Microsoft가 Windows 10에서 UNC 강화 기능을 기본적으로 활성화하여 발생합니다. 이것은 보안 결함을 해결하기위한 것이지만, 실수로 매핑 된 드라이브가 불안정하게 마운트되도록합니다. 놀랍지 않게도 Microsoft가 아직이 버그를 해결하지 못한 것 같습니다.

이것은 또한 사이트 A에서 문제가 없었던 이유를 설명합니다. 모든 컴퓨터가 Windows 8.1 Pro에서 Windows 10으로 업그레이드되었으므로 UNC 강화에 관한 설정은 Windows 8에서 이전 된 상태 로 유지되었지만 새로운 컴퓨터는 Windows 10 설치시 기본 UNC 강화 기능이 사용 되었습니다 .

실제로 솔루션을 아직 시도하지는 않았지만 관련이없는 내 증상에 너무 완벽하게 보입니다. 시스템을 더 많은 보안 위협으로 여는 솔루션에 대해 걱정하고 있으므로 대안을 찾고 있습니다. 그룹 정책을 통해 이것을 설정하는 아이디어가 마음에 들지 않으며 레지스트리를 수동으로 편집하여 UNC 강화 기능을 해제 할 수 있는지 궁금합니다. 다음에 수행 할 작업을 결정하기 전에 먼저 몇 대의 컴퓨터를 실험하고 싶습니다. 그러나 현재 GPO 또는 GPP를 통해 설정을 변경하는 단계 만 찾을 수 있습니다 ...

이견있는 사람?


1

방금 이것을 업데이트하고 어느 시점에서 주요 Windows 10 업데이트 중 하나 가이 문제를 해결했다고 말하고 싶습니다. 이것은 오래된 질문이지만 경우를 대비하여 매달려있는 것을 좋아하지 않습니다.


0

업데이트 Daniel에서 제공 한 모든 내용을 읽은 후에는 실제로 UNC 강화가 여기의 근본 원인이 아니며 실제로 두 번째 게시물의 OP가 "고속 부팅"옵션 일 수 있다고 제안합니다. . UNC 강화에 대한 모든 정보는 기본적으로 강화되는 SYSVOL 및 NETLOGON 공유를 나타냅니다. 이 문제로 인해 클라이언트가 GP 업데이트를 수신하지 못할 수 있지만 실제로 드라이브 맵 GPO는 이미 해당 클라이언트에 한 번 이상 적용되었으며 실행할 때마다 재부팅 할 때마다 다시 적용 할 필요가 없습니다. 매핑

분명히 각 옵션을 다른 옵션과 독립적으로 테스트하려고하지만 어떤 옵션이 작동하거나 작동하지 않든 관계없이이 추론은 문제의 근본 원인에 가까운 것으로 보입니다.


Windows 8.1 Pro-> Windows 10 클라이언트에 문제가없는 이유는 설명하지 않지만 새로 설치 한 Windows 10 클라이언트에 모두 문제가 있습니다. 내가 아는 한 fastboot는 8에서 10으로 크게 변경되지 않았지만 UNC 강화는 기본값에서 기본값으로 변경되었습니다.
Daniel

나는 UNC 강화 속도를 어느 정도 향상시키기 위해 빠른 독서를해야한다고 인정할 것이다. 그러나 2008R2 도메인의 기본 GP (Win10 클라이언트 없음)뿐만 아니라 도메인에 가입 한 Windows 10 클라이언트의 로컬 GP를 확인하면 UNC 강화가 기본적으로 활성화되어 있지 않다고 자신있게 말할 수 있습니다. 또한 오늘 아침에 읽은 모든 정보는 UNC 강화를 활성화하더라도 여전히 포괄적 인 정책이라고합니다. 즉, 정책에 입력 한 UNC 경로가 강화됩니다. 다른 모든 경로는 경화되지 않은 상태로 유지됩니다.
엘 질초
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.