- PR -

Active Directory環境でのSUSからの更新ができない

1
投稿者投稿内容
TM
常連さん
会議室デビュー日: 2004/04/22
投稿数: 36
投稿日時: 2004-09-08 17:54
SUSをドメインコントローラとは別のコンピュータ上で構築しました。
サーバ側の構成はうまくいっています。クライアントの方ですが、Microsoftの導入ガイドにそってグループポリシーの設定を行ったのですがクライアントからの更新がうまくいきません。
クライアントにて、「コントロールパネル」の「自動更新」の変更が可能となっているので、恐らくグループポリシーの設定があたっていないのではと思っています。
[Windows コンポーネント]-[Windows Update]のみを設定したグループポリシーオブジェクトを作成してドメインに設定しました。
クライアントはWindows2000SP4でテストしました。
また、ドメインコントローラでは自動更新の設定変更が不可になっていたのでうまくいっていそうな気がします。ドメインコントローラのWindows Update.logを見ると
「Success IUENGINE Querying software update catalog http://SUSをインストールしたコンピュータのIP/autoupdate/getmanifest.asp」のようなログが残っていました(Error IUENGINEというログも何件か出ていましたが)

何か気づくところ等ありましたら、ご教授お願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-09-08 21:20
こんばんわ.
引用:

未記入さんの書き込み (2004-09-08 17:54) より:

[Windows コンポーネント]-[Windows Update]のみを設定したグループポリシーオブジェクトを作成してドメインに設定しました。
クライアントはWindows2000SP4でテストしました。

「ドメインに設定した」というのが良く分からないのですが,
自分の理解では OU を作って,
そこに group policy で SUS client の設定を適用するのではなかったかと.

間違っていたらゴメンナサイ.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-09-08 21:49
引用:

クライアントにて、「コントロールパネル」の「自動更新」の変更が可能となっているので、


引用:

また、ドメインコントローラでは自動更新の設定変更が不可になっていたので

を見る限りだと、
・SUSを利用するためのGPOを、DomainControllersのみにリンクしており、
 ドメインやクライアントが存在するOUに対してリンクしてない
・グループポリシー伝播のタイムラグ
のどちらかだと思います。

前者の場合、ドメインに対してGPOをリンクしてください。
また、その結果を評価したりする場合、ADユーザーとコンピュータのインタフェイスは
とっても確認しにくいので、GPMCを使った方がいいです。ただしWindowsXPか2003が必要ですが。
http://www.atmarkit.co.jp/fwin2k/win2ktips/298gpmc/gpmc.html

後者の場合、全DCにポリシーが反映されるのを待った上で、クライアントにて
Windows2000: secedit /refreshpolicy machine_policy
WindowsXP/2003: gpupdate
を実行してみてください。
TM
常連さん
会議室デビュー日: 2004/04/22
投稿数: 36
投稿日時: 2004-09-09 10:18
kazさん、Mattunさんありがとうございます。

>「ドメインに設定した」というのが良く分からないのですが,
ドメインのオブジェクト(全てのコンテナとOUの上のオブジェクト)に設定しました。
今は、クライアント機というOUに対して設定しなおしました。

Mattunさんに教えていただいた、GPMCを導入して確認してみました。

SUSに関連するものは、SUSというグループポリシーオブジェクトを作成して、[コンピュータの構成]-[管理テンプレート]-[Windowsコンポーネント]-[Windows Update]
の項目のみ設定しています。このオブジェクトは「クライアント機」というOUを作成してそこにリンクさせています(このOUにはコンピュータを登録しています)
「グループポリシーのモデル作成」にてクライアント機の適用をチェックすると、コンピュータの構成の概要のところで、「適用されたGPO」がなしになっていました。また、拒否された「GPO」もなしとなっています。
気になるのは、コンポーネントの状態のところで赤×がついており状態が『失敗』になっています。
エラー内容は次のとおりです。
/////////
次のエラーのためグループポリシーのインフラストラクチャに失敗しました。
エラーを特定できません
注意:GP Coreのエラーが発生したため、そのほかのグループポリシーコンポーネントはポリシーを処理できませんでした。そのため、そのほかのコンポーネントの状態情報は利用できません。」
/////////
また、アプリケーションログには、
「ユーザーまたはコンピュータからのオブジェクト OU=クライアント機,OU=会社,DC=test2,DC=test1,DC=co,DC=jp へのアクセスは拒否されることが判明しました。
グループ ポリシーの処理は中止されます。」
というエラーログが残っていました。OU(クライアント機)のセキュリティではAdministratorとSYSTEMがフルアクセス可となっていています。

何かわかりましたらご教授願います。
こちらも調査を続けます。
YOSSY
会議室デビュー日: 2005/11/22
投稿数: 3
投稿日時: 2005-11-22 21:01
ずいぶん古い記事ですが、酷似した現象に遭遇したのでレポートします。

当方の環境ではSUSは使っておりませんし、サーバーは2003SP1、クライアントはXPSP2ですが、グループポリシーのコンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - セキュリティオプション の配下にある以下に記述する2つの項目を [無効] にし、

 @ Microsoftネットワーククライアント:サーバーが同意すれば通信に...
 A Microsoftネットワーククライアント:常に通信にデジタル署名を行う

この状態でクライアントマシンを2回再起動すると酷似した現象に遭遇します。

一度でも本現象に遭遇すると、グループポリシーの設定を変更しても改善しませんでした。
これを回避するには一旦当該クライアントマシンをドメインから除外(すなわちワークグループに参加)し、再度ドメインに参加し直すしか方法が見つけられませんでした。

あとMSの文章番号314494にも酷似していまが、私の場合は上述の設定の問題でした。
1

スキルアップ/キャリアアップ(JOB@IT)