- PR -

server2003 のドメイン セキュリティ ポリシーが設定出来ません

1
投稿者投稿内容
Kazu
会議室デビュー日: 2004/11/08
投稿数: 5
投稿日時: 2004-11-09 16:56
入門書を頼りに設定したにわか管理者です。ドメイン セキュリティ ポリシーを設定出来ずに困っています。どなたか力を貸してください。

administrator(domain adminにも所属)でログインして、プログラム→管理ツール→ドメインセキュリティポリシーで、「グループポリシーオブジェクトを開くことが出来ませんでした。適切な権限がない可能性があります。」とウィンドウが出てきます。ウインドウを閉じるとコンソールは開きますが「グループポリシーオブジェクトエディター」の前に×が出て何も出来ません。

Microsoftのページに文書番号:294257があり、「ドメイン管理者グループがGPOへのアクセスを拒否されている」のが原因と書いてありました。この文書に従って、アクセス拒否を探したのですが、見つかりませんでした。従って、解決出来ません。

環境は、少し離れた2つの工場にそれぞれ1台ずつserver2003のサーバーを立てて、ドメインを分け、それぞれにDNSを設定しています。2工場間はルーターのVPNで繋いで信頼を設定しています。それぞれのドメインにはDCは1台ずつしかありません。クライアントはそれぞれ30台程度です。

上記の現象は片方のサーバーだけで、もう片方は問題有りません。インストールした最初からなのかもしれませんが、信頼を設定してからのような気もします。問題のあるドメインのクライアントは全てwindowsXP Proです。

もう2ヶ月くらいネット上を探したり、いじってみたりしているのですが解決出来ません。通常運用で問題は出ていないのですが、セキュリティを設定出来ないのは困ります。ぜひご教授下さい。よろしくお願いいたします。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2004-11-09 20:08
引用:
環境は、少し離れた2つの工場にそれぞれ1台ずつserver2003のサーバーを立てて、ドメインを分け、それぞれにDNSを設定しています。

確認ですが
信頼関係を結んでいるということは、サブドメインでもなく、
ドメインA ドメインB は 別物のドメイントして構築しているということでしょうか?
シングルドメインでしか運用したことないのでここらへんは知識が乏しいのですが
識者がレスくれる可能性もあるということで。

あと、解決策じゃなくて、とっても申し訳ないのですが、ドメインを分けた理由として
組織名を生かしたいとかいった理由があったのでしょうか?
比較的小規模なネットワークのようですので
同一ドメインにして、サイトを分割するほうが管理が楽な気がします。
互いにバックアップとして動作するのでDCの全滅も防げますし・・・・・・
Kazu
会議室デビュー日: 2004/11/08
投稿数: 5
投稿日時: 2004-11-09 21:36
投稿ありがとうございます。

>信頼関係を結んでいるということは、サブドメインでもなく、
>ドメインA ドメインB は 別物のドメイントして構築しているということでしょうか?

はい、工場それぞれで1ドメインとして二つのドメイン間を”信頼”で結んでるということです(うまく動作していないようですが、それはこの問題とは関係ないようです)。最初に書いたように、私はパソコン通に毛の生えた程度でサーバーのスキルがありませんが、自分の考えとしては、2工場間は12MのADSL(実際速度3MB程度)でVPN接続ですので、それぞれにDC・DNSを置いた方がパフォーマンスがよいと考えました。そうするとドメインを分けることになると思ったのですが、この環境でも1ドメインで運用できるのでしょうか?

>同一ドメインにして、サイトを分割するほうが管理が楽な気がします。
>互いにバックアップとして動作するのでDCの全滅も防げますし・・・・・・

そうなんです。実は1度片方のサーバーがハードダウンしたことがあって、BDCを設定しなきゃと思っていました。少し調べてみてserver2003はPDCとBDCの区別がないらしいという事がわかってきたのですが(間違い?)。で、以前使っていたwindows2000serverでBDCを立ち上げるか、server2003のサーバーをもう1台ずつ立ち上げるか、考えていたところでした。
同一ドメインで”サイトを分割する”というのはどうすればいいのかわかりません。組織をOUに振り分けるのとは違うと思いますし。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2004-11-10 12:36
http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html
↑サイトに関して

同一ドメインでサブネットのみを別物にすることは可能です。
現在の状況はそれぞれのドメインにつきDCが一台しかなく
冗長性がない状態です。
DCが一台でもこければ、そのネットワークではDCと通信不能になります。
それだけならいいのですが、復元できたとしてもバックアップ時までの
ロールバックが余儀なくされるでしょう。
(複製パートナーがいないのだから)

ドメイン名を分けたいとか、(組織名にしたがって)
管理を委任したいとかいうなら別ですが
比較的小規模ですし、単一ドメインにしてしまったほうが管理コストは
低くてすむと思います。

自分もADSLでVPNしてますが、
DCは一方の拠点のみにしかおいていません。
回線が切れることは、今までありませんでしたし、
あったとしても、クライアントにはキャッシュによるログオンで
対応しようとおもってます。
(ここらへんは人によって考え方が違うでしょう)

パフォーマンスを考慮してとのことですが、確かにLANよりは遅いでしょうが、
ログオントラフィック自体はたいしたことないのであまり気にしてません。
(台数しだいですが)
Kazu
会議室デビュー日: 2004/11/08
投稿数: 5
投稿日時: 2004-11-10 21:52
ご教授ありがとうございます。サイトについての考え方はわかったような気がします。少しいじってみましたが、うまくサイトを登録できませんでした。運用中のサーバーは迂闊にはいじれないので、あまってるPCで試用サーバーをたててみようかな。もう少し勉強して設定を試してみます。

ルーターのVPNですのでサブネットは分けてあります。ドメインを分けたのは、少し理由があります。たいした理由ではないですが。
 1)両工場に生産データベースを分けたかった。
  事業部が2つ有り、生産データベースが分割されています。A工場のデータベース
  にはB工場からもアクセスしますが、B工場はB工場だけで完結します。
  (これは1ドメインでもファイルサーバーを両方に置けばいいだけですね)
 2)VPNが切れた場合でも、両工場が独立して動くようにしたい。
  ADSLが8ヶ月前まで不安定で、VPNが結構切れていました。3月にBフレッ
  ツが入る前まではA工場のメインの建物にはADSLが引けなかったんです。敷地
  のはずれの別棟には何とか引けたので、そこから130m位を無線LANで繋いで
  ました。ADSL回線も局舎から4km以上有り、最初の1.5MBの時はしょっ
  ちゅう切れてたし、12MBになってからも月1回くらいはモデムリセットしてま
  した。今は回線は安定してるのですが、VPNルータが安物のせいか2〜3ヶ月に
  1回くらい固まります。ちなみにOMRONのMR104DVです。

「DCは一方の拠点にしか置いていない」ということですが、片方に複数のサーバーを置いて、片方はクライアントだけということですか?
実は営業拠点がもう1ヶ所あるので、3角に接続することも考えています。その場合でも1拠点にサーバーを集中した方がよいのでしょうか?

なんか本題とそれてきてしまいましたが、私には大変勉強になります。かまわないですよね(もちろん本題も解決しないとこまるのですが)。  
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2004-11-11 13:04
ドメインに冗長性を持たせたいという「理由だけ」なら
ドメインをわける理由はあまりないと思います。
引用:
両工場が独立して動くようにしたい

独立が何を指すにもよりますが、
同一ドメインのDCをそれぞれVPNをはさんで配置したとても
冗長性は保たれます。VPNが落ちた場合にDCの複製ができなくなるだけです。
頻繁にユーザーやオブジェクトの登録をする環境ならともかく、普段はユーザー認証
や名前解決(DNSを兼ねている場合)しか機能を利用していないなら、短時間DC同士
同期が取れなくなるとしても、問題はないでしょう。

DCが各ドメインにつき1台しか確保できない状態は、ミッションクリティカルな問題に
なると思います。DCのハードウェアクラッシュ時に代替機準備、バックアップ
からの復元まで速やかに行えるでしょうか?
まったく同一のサーバーハードウェアならともかく、チップセットが異なったりすると
ちょっと厄介です。
同一ドメイン上なら、故障機を切り離し、代替機をメンバーサーバーとして
構成した後DCに昇格するだけでディレクトリの内容は複製されます。
各ドメインにDCを複数用意できるなら別に分けててもいいとは思いますが
そもそも一人の管理者が小規模ネットワークを管理している状態で
分けるメリットって自分的には見出せません。

ドメイン名に組織名を反映させなくちゃあかんとか、Aドメインは自分だけど
Bドメインは別の人に管理を委任しゃちゃう とかいう場合
(同じドメイン内でもOU単位で管理を委任できたりもする)
あと、規模の問題として分けたほうが構造上分かり易くなるとか、そういった理由が
あるなら分けるメリットがあると思います。

引用:
実は営業拠点がもう1ヶ所あるので、3角に接続することも考えています。その場合でも1拠点にサーバーを集中した方がよいのでしょうか?


リスクと管理し易さ の トレードオフになると思います。
集中したほうが管理はやり易くなります。 がコケた場合の影響が広く及ぶことは
あります。
しかし、信頼性を徹底的に高めれば集積メリットのほうが大きいでしょう。
NTドメインの頃、セグメントごとにDCが乱立してたこともあったようですが
サーバーの台数や管理コストが増大しつづけたため、現在ではブロードバンドの
普及もあり、集積化の傾向にはあるようです。

連続運用でルーターやモデムに不具合が生じるなら、タイムスイッチでも使って
定期的に電源断、再起動 をするようにしてみては?
24時間稼動しなくちゃいけない状態なのでしょうか?
だとしたら、信頼性のある機器に置き換えるのが第一だと思います。

Kazu
会議室デビュー日: 2004/11/08
投稿数: 5
投稿日時: 2004-11-11 21:11
24時間稼働ではないです(サーバーは入れっぱなしですが)し、VPNが切れても通常は1時間ぐらいの間に復旧できれば問題はないくらいのシステム稼働状況です。「2〜3ヶ月に1回くらい固まる」と書きましたが、リセットですぐ復旧しますので、そのために高価な装置(安定性のある)を導入するまでもありません。

1ドメインにして両方にDCを設置しておけば、冗長性も確保できるし、VPNが切れた場合でも、両工場のDC・DNSは動くと考えていいわけですね。

だいぶ理解できたような気がします。教えていただいたことをふまえて、再構築を考えてみます。1ドメインへの統合手順なども勉強して試してみます。ありがとうございます。

1

スキルアップ/キャリアアップ(JOB@IT)