- PR -

グループポリシーを適用するサーバ

1|2 次のページへ»
投稿者投稿内容
HIDE
会議室デビュー日: 2008/04/17
投稿数: 8
投稿日時: 2008-04-17 20:55
初めて投稿させていただいています。
サーバ:Windows2003Server

現在、1つのドメインで3台のドメインコントローラを構築しています。
ただ、障害で2台のDCのGPOがうまく動作していません。
そこで3台目のDCからクライアントに対してGPOを適用させたいのですが
クライアント側ではエラーでGPOが適用されません。
(障害状態の2台のほうからGPOが適用されているようです)
ちなみに障害状態の2台はクライアントのDNSサーバとなっています。

固定的に3台目のDCからクライアントにGPOを適用したいのですが、
どうしてもクライアントにGPOを適用させるDCを指定できません。

よろしくご教授願います。

[ メッセージ編集済み 編集者: HIDE 編集日時 2008-04-17 22:12 ]
ぴよこ
ベテラン
会議室デビュー日: 2006/12/11
投稿数: 61
投稿日時: 2008-04-18 11:14
やったことないですけどActive Directoryサイトとサービスを使って
サイト分けてみたらうまく行くんじゃないでしょうか?

個人的には障害の内容の方が気になる感じです。
HIDE
会議室デビュー日: 2008/04/17
投稿数: 8
投稿日時: 2008-04-18 12:28
ご返答ありがとうございます。

障害の内容は、2台とも同様でGPMCからGPOを編集しようとすると
サーバがブルースクリーンになって強制終了してしまうんです。
それからはドメイン内のクライアントに対してGPOが適用されなくなってしまいました。
早急に対応したいのですが、復旧の手順がまだ確定していないため、
まずはGPOをクライアントに適用するよう対策したいと考えました。
その後3台目をドメインに追加した結果、ポリシーの編集ができるし自分自身にGPOが適用されていることからクライアントにも3台目からGPOを適用させようと考えました。

ちなみにご指摘いただいたとおり、サイトを分けた設定も試してみたのですがダメでした。
クライアントからコマンドでログオンしているサーバを調べてみたらきちんと3台目が承認していたので、承認サーバとGPOを適用するサーバは別なのかと思い、その設定方法を知りたいと思い投稿させていただきました。

GPOを適用するサーバはFSMOとかDNSとか…何かが優先されるのでしょうか?
またまたよろしくお願いします。
ぴよこ
ベテラン
会議室デビュー日: 2006/12/11
投稿数: 61
投稿日時: 2008-04-18 20:22
サイトを分ける目的を考えれば、
クライアントがあえてサイト外のドメインコントローラから
ポリシーを取得する事は考えにくいと思います。

おそらく、現在の状態はDC1,DC2を落とした状態でも
同じようにクライアントにポリシーが適用されないのでは無いでしょうか。

これが当てはまるのであれば、
そもそも複製されているポリシーが破損しているのでは無いでしょうか。

ちなみに、文中に記載が無いようですが、
編集時にブルースクリーンになるのは、
1つのポリシーのみでしょうか?
新規にポリシーを作成した場合でも問題は再現しますか?

また、クライアントはコンピュータポリシー、
ユーザポリシーのどちらも適用されないのでしょうか。

何の根拠もない勝手な予想なのですが、こんな感じかなと。
1、特定のポリシーファイル(Default Domain Policyとか)がなんらかの原因で破損
2、壊れたポリシーをGPMCで編集しようとしてブルースクリーン

HIDE
会議室デビュー日: 2008/04/17
投稿数: 8
投稿日時: 2008-04-21 10:24
お世話になっております。

すみません。
クライアントに対する一部のGPOが適用されていなかったため、すべてのGPOが適用されていないと思ってしまいました。
が、適用されていなかったのはWindowsファイアウォールの例外プログラム(ポート)の設定するところだけでした。
それ以外のGPOについては適用されていました。
ちなみにDC1とDC2については、自分自身に対するGPOも適用になっていません。
DC3については自分自身にGPOが適用されています。

編集時にブルースクリーンになる症状については、特定のGPOだけでなく複数のGPOでそうなります。
新規に作成したGPOについても同じような症状になります。
(新規作成した後、編集するとブルースクリーンになります)

よろしくお願いします。
ぴよこ
ベテラン
会議室デビュー日: 2006/12/11
投稿数: 61
投稿日時: 2008-04-21 12:09
GPOを特定のサーバから適用する方法という本題からは脱線してますが
私なら以下のような感じで切り分けすると思います。
自己責任でお願いしますね。

新規にポリシー作成した場合も再現するという事で、
admファイルを疑ってみます。

DC3ではポリシー編集可能との事ですので。
1、DC3で新規にポリシーを作成
2、DC3で作成したポリシーの管理用テンプレートの追加と削除から、全てのテンプレートを削除
3、DC1またはDC2から作成したポリシーを編集
4、ブルースクリーンなるか?

ブルースクリーンならない場合・・
 どのadmファイルが原因か特定します。
 きれいなadmファイルをインポートしてみます。
 問題が再発するか確認します。

ブルースクリーンなったら
 考え中。

ちなみに、クライアントのPCのイベントログ(アプリだったと思います)には
SecCliなソースのエラーや警告は出てないのでしょうか?

また、サーバのイベントログにも、あやしいの出てませんでしょうか。
根拠の無い内容で申し訳ないですが、
こんな感じでどうでしょうか。
HIDE
会議室デビュー日: 2008/04/17
投稿数: 8
投稿日時: 2008-04-21 13:25
ぴよこさま、お世話になっております。

ご指摘いただきましたとおり、イベントログに大量のエラーログが出力されています。
初めにこの内容を記載するべきでしたね(^^;
サーバにもクライアントにも同様のログが出力されています。(DC3はエラー無)
↓イベントログ↓
*****************************************************************************
ソース:Userenv
イベントID:1030
グループ ポリシー オブジェクトの一覧を照会できません。

ソース:Userenv
イベントID:1030
GPO cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=policies,cn=test,DC=test,DC=local 用の
ファイル gpt.ini にアクセスできません。
ファイルは場所 <\\\\test.local\\sysvol\\test.local\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\gpt.ini>
に存在する必要があります
*****************************************************************************

このエラーが出力される前に行った作業としてDC1とDC2からWSUSを削除したことがあります。
この作業からエラーが出力されるようになったためwuau.admを疑ったこともあったのですが・・・
全てのadmファイルまでは試していませんでした。
再度、admファイルを疑ってテストを行ってみます。

ちなみにadmファイルは、テンプレートの追加と削除から削除して再度追加するだけでよろしいでしょうか?
sysvolフォルダ内やWindows\infフォルダ内のadmファイルも更新する必要はあるのでしょうか?
また、きれいなadmファイルというのはどこから入手すればよろしいでしょうか?

質問ばかりですみません。
よろしくお願いします。
HIDE
会議室デビュー日: 2008/04/17
投稿数: 8
投稿日時: 2008-04-21 14:38
お世話になっております。

GPOの管理テンプレートを削除と追加しようとしましたが、
GPOの編集ができないため削除も追加もできない状態です。

GPMC以外から管理テンプレートを更新することは可能でしょうか?

よろしくお願いします。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)