- PR -

セグメントが違うとグループポリシーが適用されない

«前のページへ 1|2|3 次のページへ»
投稿者投稿内容
alty
会議室デビュー日: 2004/05/23
投稿数: 1
投稿日時: 2005-02-19 04:47
ヨコから質問してすみませんが、まるちねすさんへ
> ローカルのポリシーでは低速リンクを無効にしていますか
はクライアントPCでの設定ですか? 設定箇所がわかりませんでしたので具体的に教えて頂けますか。

解決しました。
お騒がせしました。

[ メッセージ編集済み 編集者: alty 編集日時 2005-02-19 12:37 ]
Hill
常連さん
会議室デビュー日: 2004/12/23
投稿数: 41
投稿日時: 2005-02-21 16:34
>> ローカルのポリシーでは低速リンクを無効にしていますか
> はクライアントPCでの設定ですか? 設定箇所がわかりませんでしたので具体的に教えて頂けますか。

これは「gpedit.msc」でグループポリシーを開き
コンピュータの構成−管理用テンプレート−グループポリシー−低速リンクの検出
                    ユーザプロファイル−低速回線接続の検出
この2つですよね?

ということで、
現在、スニファーを噛ませて、ネットワーク状態を確認しようと思います
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2005-02-24 16:16
もう見ているかもしれませんが・・・・

http://support.microsoft.com/default.aspx?scid=kb;ja;840669

http://pcweb.mycom.co.jp/cgi-bin/print?id=22304

私もつい最近スレ主さんとおなじ症状になり、低速リンクを無効にしても
効果がない状況になりました。

中古で購入した1台のみその症状になります。
ハードウェア構成を除けばXP SP2を統合インストールしている点が他と違います。
あと、intel製のNICを使用していること。
(ほかはすべてSP1からのアップグレード)

NICを変えると改善するみたいな情報もあったので、
ためしに別のNICで試してみたのですがダメでした。

現在、試行錯誤中です。 以上ほうこくまで。
アール
会議室デビュー日: 2005/02/24
投稿数: 8
投稿日時: 2005-02-24 22:21
同じ障害を持っていまして、ここにたどり着きました。
よろしくお願いします。

私の現在の障害状況をご説明します。
ローカルグループポリシーのコンピュータの構成・ユーザーの構成の低速リンク検出を
無効に設定します。
次にドメインコントローラー上の適用するGPOでもローカルポリシーと同様に低速リンク
検出を無効に設定しておきます。

その後、ドメインにPCを参加させました。

その結果、
gpupdate /target:computer・・・OK
gpupdate /target:user・・・・・NG
という状況が発生しています。

gpupdate /target:user でパケットをモニタしたところ、
1.ドメインコントローラに対して、0バイトpingを打つ
2.ドメインコントローラがreplyする(この間、約50ms)
3.ドメインコントローラに対して、2048バイトpingを打つ(MFフラグ付)
 →ドメインコントローラからのreplyがない
上記のプロセスを4回繰り返します。
結果、ユーザーの構成がポリシーとして適用されません。
どうやら、使用しているルータが1800バイトまでしかMFフラグ付の
pingを許可していないようです。パケットはドロップされているようです。
また低速リンク検出は上記2のパケットが返ってくるまでに10ms以内でないと
低速リンクとして検出するようです。

MSの資料によりますと、ファイやウォールがブラックホールルータであっても
低速リンクとして検出し、グループポリシーのみは適用される(スクリプトは
GPOの設定によって適用させることができる)はずなのですが、低速リンク検出を
無効に設定しているにもかかわらず、グループポリシーが適用されません。

また、ユーザーの構成の低速リンク検出は無効に設定しているのですが、ダメみたい
です。

どなたか、WAN回線越し(ISDN64K)でユーザーの構成が適用されているかたは
いらっしゃいませんか?


参考までに、
ドメインに参加させる前にローカルのグループポリシーを変更しておかないと、
computer,userポリシーともにNGになります。ドメインに参加後、ローカルポリシーの
低速リンク検出をゼロにしてもgpupdateは失敗します。
haisai
常連さん
会議室デビュー日: 2004/11/04
投稿数: 41
投稿日時: 2005-03-04 15:05
いつもお世話になっています。

私も同じ状況です。
VPNで繋いでいる支社でクライアントにポリシーが適用されていません。

たとえば、なんですけど(的をはずしていたらすみません)
ポリシーを適用するときに使用されるプロトコルはなんでしょうか?

VPNに使用されているルータがNECなんですけど
設定なんかは、まったく教えてくれませんでした。
この設定でポリシー適用のときに使用されるプロトコルを
拒否られていたりすることはないでしょうか。

なんとなくですが、思ったので投稿しました。

早くSUSを適用したいです。
アール
会議室デビュー日: 2005/02/24
投稿数: 8
投稿日時: 2005-03-09 17:22
>VPNに使用されているルータがNECなんですけど
>設定なんかは、まったく教えてくれませんでした。
>この設定でポリシー適用のときに使用されるプロトコルを
>拒否られていたりすることはないでしょうか。

グループポリシーが適用される際にはドメインコントローラー
とのリンクが低速か高速かを判断するために、ドメインコントローラーに
対してPINGを打って判断しているようです。

DCがWin2003svと仮定しまして、
Windows端末から、
ping <DCのIPアドレス> -l 2048
でReplyがありますでしょうか?

ここでReplyがない場合には、その後のポリシー適用のためのプロセスが始まり
ません。

いかがでしょうか?
Hill
常連さん
会議室デビュー日: 2004/12/23
投稿数: 41
投稿日時: 2005-03-12 12:45
解決しました。報告致します


ネットワーク環境周辺を調査しました
現状1台のルータでVLANを切り、WANとインターネットの
論理ポートを設定しており、インターネット側のポートには
FireWall機能をONにしていました

しかし、FireWall機能がWANのポートにも有効になっているようで
その機能の「一定長より長いフレームの送受信が出来なくなる」という仕様が
働いたため、というのが分かりました

現在は仮ルータをもう一台設置し、WANとインターネットを
別ルータにして運用し、さらに開発元に確認して頂いています

皆さん、ありがとうございました
いろいろ勉強になりました。つくづくネットワークの奥深さを知りました
haisai
常連さん
会議室デビュー日: 2004/11/04
投稿数: 41
投稿日時: 2005-03-12 15:12
報告遅れましてすみませんでした。

ご指摘どおり
ping サーバ名 -l 2048
は、timeout でした。

1772までは通りましたが1773からtimeout

gpupdate もできませんでした。

まずはping サーバ名 -l 2048が通るように
設定を見直していただきます。

また報告します。
«前のページへ 1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)