- PR -

イベントログ 1202 セキュリティポリシーの伝達 について

1
投稿者投稿内容
fururu
会議室デビュー日: 2005/08/04
投稿数: 4
投稿日時: 2005-08-04 14:53
はじめまして。
イベントビューアに突然、下記エラーが表示されるようになりました。
今までに現象を回復された方がいらっしゃればご教授をお願い致します。

  イベントの種類: 警告
  イベント ソース: SceCli
  イベント カテゴリ: なし
  イベント ID: 1202
  日付: 2005/08/04
  時刻: 9:37:47
  ユーザー: N/A
  コンピュータ: AAA
  説明:
  セキュリティ ポリシーは伝達されましたが、警告があります。 0x4b8 : 拡張エラーが発生しました。

現象が発生しているのは、Windows2000 Server SP4 の DC で FSMO に該当します。
他に Windows2000 Server の DC がありますが、上記のイベントは発生していません。
ActiveDirectoryは正常に動作しています(いました?)

マイクロソフトのサポート(324383 http://support.microsoft.com/default.aspx?scid=kb;ja;324383)に従って
winlogon.log に下記エラーがでるところまでは確認しましたが、手詰まりになってしまいました。

  Error 0 to send control flag 1 over to server.
  GPLinkDomain GPO_INFO_FLAG_BACKGROUND )
  GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

  [マッピング] gpt00000.dom = Default Domain Policy
  -------------------------------------------
  08/04/2005 13:10:14
     管理者特権のあるユーザーがログオンしました。
  テンプレート C:\\WINNT\\security\\templates\\policies\\gpt00000.dom を解析しています。
  エラー 1208: 拡張エラーが発生しました。
  database の作成エラーです。
  ---- 構成エンジンの初期化は完了しましたが、エラーが発生しました。----

  ---- 構成エンジンを初期化前の状態に戻します...

アドバイスをよろしくお願い致します。

koi
常連さん
会議室デビュー日: 2005/03/30
投稿数: 25
投稿日時: 2005-08-04 15:48
どもです。

早速ですが、これがありましたよ。(^.^)
http://support.microsoft.com/?id=247482#appliesto


BestRegard.
koi
常連さん
会議室デビュー日: 2005/03/30
投稿数: 25
投稿日時: 2005-08-04 16:08
自己レスです。
こちらのほうが適当でした。すみません。m(__)m
http://support.microsoft.com/?scid=kb%3Bja%3B278316&x=7&y=9


引用:

koiさんの書き込み (2005-08-04 15:48) より:
どもです。

早速ですが、これがありましたよ。(^.^)
http://support.microsoft.com/?id=247482#appliesto


BestRegard.

fururu
会議室デビュー日: 2005/08/04
投稿数: 4
投稿日時: 2005-08-04 16:29
koi様

レスありがとうございます。

> http://support.microsoft.com/?id=247482#appliesto
--
重要 : ドメイン コントローラでセキュリティ テンプレートを実装すると、デフォルトのドメイン コントローラポリシーまたは
デフォルトのドメイン ポリシーの設定が変更される場合があります。また、他のプログラムによって作成される新規のファイル、
レジストリキー、およびシステム サービスのアクセス許可が、適用されるテンプレートで上書きされる場合があります。
セキュリティテンプレートの適用後、これらのポリシーの復元が必要な場合があります。
ドメイン コントローラで以下の手順を実行する前に、SYSVOL 共有のバックアップを作成してください。
--

「重要」の部分で DCにセキュリティポリシーを復元して影響がないかどうか、判断に困っております。
影響がActiveDirectory全体に広がらなければいいのですが・・・

koi
常連さん
会議室デビュー日: 2005/03/30
投稿数: 25
投稿日時: 2005-08-04 18:02
ども。

引用:

fururuさんの書き込み (2005-08-04 16:29) より:

「重要」の部分で DCにセキュリティポリシーを復元して影響がないかどうか、判断に困っております。
影響がActiveDirectory全体に広がらなければいいのですが・・・



やはり、このテの作業はパイロットとかラボテスト&検証が重要だと。
適用直前のバックアップをしっかりとっておけば大丈夫でしょう。

今回の場合だとMS曰く、

"デフォルトのドメイン コントローラ ポリシーまたはデフォルトのドメイン ポリシーの設定が変更される場合があります"

・・・となっているのデフォルトのポリシーオブジェクト(て呼ぶ??)を編集せずにでポリシーを分けて作成・管理している場合は問題ないはずです。
すごーく心配ならUSの原文を読んでみてください。

ちなみに私のラボsrv2003sp1ではポリシー&レジストリには何も影響はありませんでした。<GPを分けて管理してる。<srv2003ではコマンドが"gpupdate /force"になります。

※こういう「・・・場合があります」の類(の解説)って困りますよね。
ただKBにこう書いている以上、レアケースで発生しているので変更されても必要以上にビックリしないようにしましょう。
fururu
会議室デビュー日: 2005/08/04
投稿数: 4
投稿日時: 2005-08-04 19:16
koi様

テストまでして頂いてありがとうございます。

 引用:---------------------------------------------------------
・・・となっているのデフォルトのポリシーオブジェクト(て呼ぶ??)を
編集せずにでポリシーを分けて作成・管理している場合は問題ないはずです。
すごーく心配ならUSの原文を読んでみてください。

ちなみに私のラボsrv2003sp1ではポリシー&レジストリには何も影響は
ありませんでした。
<GPを分けて管理してる。
<srv2003ではコマンドが"gpupdate /force"になります。
 --------------------------------------------------------------

私の環境では一部、デフォルトドメインポリシーを変更していますが、
変更場所は分かっていますので、なんとか後から戻せばと考えています。
しかし、手順の中で .logファイル の移動があるのですが、ファイルがロックされてしまっていますので、
セーフモードで立ち上げ直しが必要です。
ガツガツ動いているサーバで何時作業をしようか?悩ましいところです。
しばらくこのままにしておいて問題ないんでしょうか?
fururu
会議室デビュー日: 2005/08/04
投稿数: 4
投稿日時: 2005-08-05 08:08
自己レスです。
http://support.microsoft.com/?scid=kb%3Bja%3B278316&x=7&y=9
の手順で解決できました。

データベースエンジンが回復ステップで正常に回復し、
ローカルポリシーも読み込めるようになりましたので、問題ないと思います。
ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)