- - PR -
ActiveDirectoryでの不具合について
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-02-11 09:36
お世話になります。
識者の方々にお力を拝借したいと思います。 状況はGPOがうまく適用されないというものですが、過去スレ確認させて頂きましたが、 同様の状況が無さそうでしたので投稿に踏み切りました。 ADサーバー2台(統合)で、それぞれデータセンタにあり、VPNで拠点と繋がっています。 症状はサーバーと同一セグメントでは問題ないのですが、拠点からだと ユーザーに複数のセキュリティグループを割り当てるとドメインログオンに非常に時間がかかり、 且つ、GPOがちゃんと適用されない状況(クライアント側gpresultで確認)です。 単一のグループでの割り当てた場合は何の問題もないのですが、 こういった現象はありえるのでしょうか? 運用上必要なので困っております。 状況詳細に乏しく、つたない文面ですが、ご存知の方がいらっしゃいましたら ご教授願えませんでしょうか? | ||||
|
投稿日時: 2007-02-11 09:46
補足です。
・サーバーは2003SP1です。 ・クライアントはXP(SP1・SP2)2000(SP2〜SP4) ・ユーザーはOUAの中にあるOUBで、それぞれOUにはGPOを設定しており、 ユーザーは「ディフォルトGPO」と「OUAのGPO」と「OUBのGPO」の計3つのGPOが適用されます。 | ||||
|
投稿日時: 2007-02-13 09:09
低速回線を検出するようになっていることが
影響しているとか、DNSの参照先が正しくな い場合に発生することが多いですがその辺は 大丈夫でしょうか。 クライアントのイベントログなどは確認され ていますか? [ メッセージ編集済み 編集者: dellgate 編集日時 2007-02-13 09:11 ] | ||||
|
投稿日時: 2007-02-15 12:18
チャブーンです。
まず、 > 拠点からだとユーザーに複数のセキュリティグループを割り当てると とありますが、これは具体的にどういう操作を指しているのでしょうか。細かい状況を書いた方が回答が得られると思いますよ。 もし、単に Domain Users と自分で作ったセキュリティグループの 2 つを割り当てるとヘンになる、というのであれば (普通は聞かない話ですので) 調べてみないとなんともいえません。 強引に理由を考えるなら、セキュリティグループの参照には "オブジェクトピッカー" という参照機能を使う必要があり、PDC エミュレータがクライアントからみえない場合、これがうまく働かなくてセキュリティグループが確認できない、といったものかもしれません。ですが、調べてないので、全く的はずれかもしれません。 とりあえず調べるなら、 ・まず、(正常と考えられる状況で) 本当に正常に動作するのか確認します。具体的には kerberos 認証がきちんとできているか、グループポリシーがきちんと適用されているか、などを確認することになるでしょう。 ・検査ツールを使って確認する方法があります。たとえば netdiag といった検査ツールを使って VPN 環境で試してみれば、問題が出ていれば指摘してくれます。 netdiag などについては、検索で調べてみてください。 | ||||
|
投稿日時: 2007-02-16 21:58
dellgateさん・チャブーンありがとうございます。
お返事おそくなりまして大変申し訳ございませんでした。 netdiagで拠点の確認を行っています。 クライアントのイベントログも確認してみます。 [ メッセージ編集済み 編集者: kuma 編集日時 2007-02-16 21:58 ] | ||||
|
投稿日時: 2007-02-20 15:39
いつもお世話になっております。
不具合の詳細をご報告します。 セキュリティグループに関係なく拠点毎で発生している現象でした。 【トラブル詳細】複数のVPN拠点のPCでADのGPOが適用されない。 ※クライアント側調査結果 →Bフレッツ、ADSL等回線品目の影響では無い(ADSLでもGPOが適用出来る拠点もある) →DNS名前解決は出来ている(ドメインの名前は正常に引けてる。) →Windows2000,XPの違いではない。適用出来ない拠点は両方ダメ。 →gpupdate /forceで適用させてみると、正常に適用されましたと表示 →しかし、gpresultで確認するとRsopにユーザ名が見つからないと表示 →rsop.mscを実行 『無効な名前空間です』と表示され、結果ではXが表示 →Netscreen設定、スクリーンOSの問題の可能性は低い →ログオン時、『個人設定を適用してます』というログオンステータスが約20〜30秒 程度表示されてる。(正常な拠点は一瞬で終わる) →クライアント側イベントビューアメッセージ ・アプリケーション イベントID(1054) コンピュータ ネットワークためのドメイン コントローラ名を取得できません。 (予期しないネットワーク エラーが発生しました。 )。グループ ポリシーの処 理は中止されました。 ・システム 目立つイベントはありませんでした。 ※ADサーバ側設定内容 →サイト、フォレスト、OUの設定は以下の通り ○A-Site ドメイン名 | |-全社適用OU | |-各社OU ・ ・ ○B-Site ドメイン名 | |-全社適用OU | |-各社OU ・ ・ →クライアントに適用されるGPOの設定は以下の通り ・Default Domain Policy コンピュータの構成、ユーザの構成 各4項目程度 ・ドメイン名 パスワードに関する設定 制限ユーザ(クライアントローカルAdmin権限付与)に関する設定 IEに関する設定 ・各社用GPO 各社毎に設定するログオンスクリプト(ファイルサーバマップ用) ※上記3点のGPOそれぞれに、コンピュータの構成、ユーザの構成とも 『低速リンクを検出しない』設定をしています。 設定値:有効、0kbps(この設定で無効となるようです) →各ユーザアカウントに設定した個別ログオンスクリプトは正常に適用されている。 何卒、よろしくお願い致します。 | ||||
|
投稿日時: 2007-02-20 16:12
図が解りづらいのでちょっと書き直しつつ
状況を整理してみましょうかね。 【トラブル内容】 複数のGPOを割り当てた場合ドメインログオンに 時間がかかり、かつ全てのGPOが適用されない 【サーバ環境】 Windows Server 2003 SP1 【ドメイン環境】 Windows 2003? 【構成】 (以下Aサイト用をA、Bサイト用をBと添字をつけます) DC-A--------------------------------DC-B 全社適用OU(Default Domain Policy) 全社適用GPO(Default Domain Policy) 各社OU(OUA) 各社OU(OUB) ---VPN---拠点PC ---VPN---拠点PC この認識であってます? んで、Aサイト及びBサイトで (1)Default Domain PolicyとOU*の両方を適用させたいんだけど適用されない (2)それぞれの拠点PCに相手のサイトの各社OUも適用させたい のどちら? 今までに質問している内容とイベント内容からすると (2)である様に感じるのでそうだったとして。 同じサイト内で子ドメインとかにすれば信頼関係は自動的に作成されるけど。 サイトが違うとそもそも信頼関係は自動で作成されない。 手動で信頼関係を結ばないとダメ。 その上で相手のGPOを適用させたいんだったらサイトリンクも結んでないとダメ。 その辺りはきちんと完成してる?
この内容から解る様に要するに相手サイトのGPOを適用しようとして ドメインコントローラとの通信が上手く行ってないって事だよね? 正常な拠点が一瞬で終わるのはそれが通信出来ているから。 で、正常な拠点はそういう複数のGPOを適用しているの? またDNSでは引けるって事はDNS的には問題ないって事。 それからそれぞれのサイトにGCは? さらに複数のGPOを適用するんだから上書き許可とか継承禁止とかもきちんと設定出来てる? 考えられる原因はそう言う所。 なので (1)正常に適用出来ている所のGPOがどういう風になっているのか? (2)サイト間の信頼関係とサイトリンクはちゃんと結べているか? (3)GCは? 一気に全部やろうとせずに手順を踏んで解消させて下さい。 【追記】 #ってドメインも違うし場所も違うからサイトじゃなくてフォレストか。 つまりフォレストが違うんだからサイトじゃなくてフォレストの信頼関係を結んで、 かつサイトリンクも作らなきゃダメか。 一度この連載を一通り読んだほうがいいですね。 http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html 
その上で連載と同様にまずはフォレスト、サイト、ドメイン、OUの関係を 絵にしてみることを薦めます。 そうするとおそらくどこがネックかわかるでしょうし、 聞きたい場所ももう少しはっきりすると思いますよ。 その方が解決が早くなります [ メッセージ編集済み 編集者: NAO 編集日時 2007-02-20 16:22 ] [ メッセージ編集済み 編集者: NAO 編集日時 2007-02-20 16:29 ] | ||||
|
投稿日時: 2007-02-22 04:37
チャブーンです。
ご気分を害されるかもしれませんが、一応コメントさせてください。 NAO さんのコメントについて、とりあえず質問者の方に、ご自身で情報の整理ができるようにしかるべき資料を奨められたところなどは、私も同意しましたし、感嘆したものです。 しかし、質問者の方の環境がマルチドメインないしはマルチフォレストかどうかということは、正直私には読みとれませんでした。単に見ただけでは、「2 つのサイトに(シングルドメインとなる)同じドメインのドメインコントローラが 1 つづつ登録されている」というように見えなくもありません。どういう構成かは、質問者の方に確認しないとわかりません。 なお 1 フォレスト内のドメイン間の推移的信頼関係は、サイト間をまたいでドメインコントローラを昇格させても普通に構成されますので、手動で追加構成といったことは普通は不要です。 またグローバルカタログ (GC) についてですが、もしクライアントが GC にアクセスできない場合、ドメイン管理者アカウント以外はそもそもログオンができません。状況からドメイン管理者アカウントでアクセスしている可能性は低いでしょう。 以下、トラブルシュートの話しとなりますが、状況から kerberos の認証がうまくいっていない (とくにコンピュータアカウントとの認証) 可能性があります。したを確認してもらうと、話が進むかもしれません。 ・問題のあるクライアント上で netdiag 検査ツールを実施したとのことですが、診断結果はどうだったのでしょうか?基本的に "Fail" 項目は確認が必要です。 ・kerbtray というツールを使うと、kerberos 認証の状態について確認できます。Kerbtray は Windows Server 2003 Resource Kit Tools に含まれていますが、Windows 2000 ベースのものでも一応は動作します。 http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&DisplayLang=en [ メッセージ編集済み 編集者: チャブーン 編集日時 2007-02-22 04:48 ] | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。