・FSMOサーバー(残るDC)を降格DCのDNS(TCP/IP)の第一順位にしておく
でないと残るFSMOサーバー側にてエラーが出る
降格するDC DCPROMOを実行すると、netlogonサービスの停止に失敗
残るDC DNS動的更新に失敗
DNSを見ると降格するDCのレコードが残る
2016年3月3日木曜日
GPO
ココが詳しい
http://www.itserviceknowledgebase.com/article/214575333.html
以下、内容です。
最近グループポリシーに関する話題が節電を始め渦巻いています。
7/6追記 グループポリシー ・ 適用されない の検索でとても本記事が人気なため追記させて頂きます。
以下の設定でグループポリシー(GPO)が適用されないといったことがまったく無くなります。
いまの環境を確認し最適化を行いトラブルコールとインシデントの数を減らしましょう。
1.サブネットを設定する
ActiveDirectory サイトとサービスで設定が可能。
http://itpro.nikkeibp.co.jp/article/Windows/20051013/222700/zu02.html?ST=win
*ITpro
Q サブネットとは
Active Directoryでは,コンピュータが属する立地的な配置関係を表す「サイト」という概念があり,これを利用してログオンするDCをある程度制限できます。サイトが設定された環境では,通常以下のようにログオンを行おうとします。
・サイトにクライアントのサブネット(ネットワーク・アドレス)が関連付けられていれば,そのサイト内に存在する任意のDCにログオンします。
*ITpro
特にリダイレクと機能がサブネットを設定しないと初回ログイン時に機能しないことを私は結構実感しています。特に初回ログイン時に当たらなくて困っている!といったかたは設定してみてください。
2.低速リンクが有効になっていないか確認する。
GPOは回線速度が遅いとデフォルトでGPOの機能を抑制します。
低速リンクが有効になっているかどうかは・・・
スタート → ファイル名を指定して実行 → cmd → gpresult /z
と入力することを確認が可能です。
低速リンクで接続 : いいえ (←こちらがはいの場合GPOが抑制されフォルダリダイレクトなどが適用されません。一部GPOは適用)
---
*一部とは
低速接続が検出された場合、デフォルトの動作は次のようになります。
デフォルトで適用されるポリシー
レジストリ設定 (管理用テンプレート) が常に適用される必要があります。-- これは変更できません。
セキュリティ ポリシーが常に適用される必要があります。-- これは変更できません。
EFS 回復ポリシー。
IP セキュリティ。
適用されないポリシー
アプリケーションの展開。
スクリプト。
フォルダ リダイレクト。
ディスク クォータ。
---
無効にするには
Gpoで低速リンクの無効が可能です。
*画像がよくないですが添付しておきます。
3.gpresult /zで現在の適用状況を確認。
先ほども利用したこちらのコマンドですが、
グループポリシーの欄で現在適用されているグループポリシーを確認できます。
4.gpupdate /forceでグループポリシーを再割り当てする
こちらを行うと現在のグループポリシー情報を捨ててグループポリシーを再取得します。
実行後にはログオフ・ログインが必要になります。
こちらとgpresult /zを扱うのが一般的なトラブルシューティングになります。
5.メーカからのLANドライバに関する最新パッチを適用する。
メーカーによってはLAN
ドライバの不具合によりGPOが適用されないことが少なからずあるようです。
1~4で改善されない場合はLANドライバを疑ってみましょう。
【7/6追記】6.新規作成したアカウントや端末の場合、対象のOUへアカウントへを移動し忘れていないか確認する。
OUに対してグループポリシーは設定を割り当てることになります。
対象アカウントがOUに入っていない時は右クリック⇒移動で対象のOUに移動しましょう。
【7/6追記】7.ファイアウォールを確認し、下図のポートを開放する。
昨今、ファイアウォールを導入する企業は増えております。念のための確認になりますが、ポートが空いているか確認しましょう。
注:既定の一時ポートは Windows XP と Windows Vista で異なりますので注意が必要です。
Windows XP および Windows Server 2003 : 1025-5000
Windows Vista および Windows Server 2008 : 49152-65535
Windows2008R2公開時に新規で追加されたもようです。
記載が多いですがこちらも必読となります。
http://support.microsoft.com/kb/832017/ja#method5
【7/6追記】8.ping ドメインサーバ -t -l 2048を実行しping疎通ができるか確認する。
グループポリシーの適用時に2048bitのping疎通を端末からドメインサーバに送信します。
こちらの応答にReplyしないとドメインコントローラからグループポリシーが配布されません。
以下のレジストリを追加すると解消されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
こちらにDWORDでPingBufferSizeを作成。値をルーターの最大値等に設定います。だいたいは1024程度で良いかとおもいます。
【8/4追記】9.アプリケーション ログに "イベント ID 1058" および "イベント ID 1030" エラーが記録される場合
イベントログに記載されるエラーに対する対応について追記です。
この問題は、以下の両方の条件に該当する場合に発生することがあります。
• Windows XP ベースのコンピュータがドメインのメンバになっています。
• Microsoft 分散ファイル システム (DFS) クライアントが無効になっています。
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
2. [名前] ボックスに regedt32 と入力し、[OK] をクリックします。
3. [レジストリ エディタ] ウィンドウで、以下のレジストリ キーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
4. 右側のウィンドウで、[DisableDFS] をダブルクリックします。
[値のデータ] ボックスの値を 1 に設定すると、DFS クライアントが無効になります。
[値のデータ] ボックスの値を 0 に設定すると、DFS クライアントが有効になります。
5. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 0 と入力し、[OK] をクリックします。
6. [ファイル] メニューの [レジストリ エディタの終了] をクリックして、レジストリ エディタを終了します。
さらに、インターフェイス上で Microsoft ネットワーク用ファイルとプリンタ共有を有効にします。有効にするには、次の手順を実行します。
1. [スタート] ボタンをクリックし、[接続] をポイントし、[すべての接続の表示] をクリックします。
2. 目的の接続を右クリックし、[プロパティ] をクリックします。
3. [全般] タブをクリックします。
4. [この接続は次の項目を使用します] ボックスの一覧の [Microsoft ネットワーク用ファイルとプリンタ共有] の横にあるチェック ボックスがオンになっていることを確認し、[OK] をクリックします。
【8/4追記】10.ログ ファイル (Userenv.log)の解析
ここまで来ると個別の解析が必要です。
ログの保存先:%Systemroot%\Debug\UserMode\Userenv.log
(通常、ユーザーに適用するグループ ポリシー オブジェクトの一覧を列挙する際の一般的なエラーの根本的原因が示されています。)
設定方法:
レジストリ エディタを使用して、以下のレジストリ エントリを追加するか、既に存在する場合は編集します。 スタート⇒ファイル名を指定して実行⇒regedit
サブキー :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
エントリ : UserEnvDebugLevel
種類 : REG_DWORD
値のデータ : 10002 (16 進) UserEnvDebugLevel には以下の値を設定できます。
NONE : 0x00000000
NORMAL : 0x00000001
VERBOSE : 0x00000002
LOGFILE : 0x00010000
DEBUGGER : 0x00020000
デフォルト値は NORMAL|LOGFILE (0x00010001) です。
Userenv.logが保存されたらフレーズを確認しMSサイトで検索しましょう。
http://support.microsoft.com/?ln=ja
※ ログを無効にするには、NONE (0x00000000) を指定します。
もし解決に至らなかったりその他の方法で改善された場合、
是非ともコメントお願い致します。あなたの1文が何千ものパソコンと管理者を救います。
仕事を効率化してトラブルを減らしましょう!
http://www.itserviceknowledgebase.com/article/214575333.html
以下、内容です。
最近グループポリシーに関する話題が節電を始め渦巻いています。
7/6追記 グループポリシー ・ 適用されない の検索でとても本記事が人気なため追記させて頂きます。
以下の設定でグループポリシー(GPO)が適用されないといったことがまったく無くなります。
いまの環境を確認し最適化を行いトラブルコールとインシデントの数を減らしましょう。
1.サブネットを設定する
ActiveDirectory サイトとサービスで設定が可能。
http://itpro.nikkeibp.co.jp/article/Windows/20051013/222700/zu02.html?ST=win
*ITpro
Q サブネットとは
Active Directoryでは,コンピュータが属する立地的な配置関係を表す「サイト」という概念があり,これを利用してログオンするDCをある程度制限できます。サイトが設定された環境では,通常以下のようにログオンを行おうとします。
・サイトにクライアントのサブネット(ネットワーク・アドレス)が関連付けられていれば,そのサイト内に存在する任意のDCにログオンします。
*ITpro
特にリダイレクと機能がサブネットを設定しないと初回ログイン時に機能しないことを私は結構実感しています。特に初回ログイン時に当たらなくて困っている!といったかたは設定してみてください。
2.低速リンクが有効になっていないか確認する。
GPOは回線速度が遅いとデフォルトでGPOの機能を抑制します。
低速リンクが有効になっているかどうかは・・・
スタート → ファイル名を指定して実行 → cmd → gpresult /z
と入力することを確認が可能です。
低速リンクで接続 : いいえ (←こちらがはいの場合GPOが抑制されフォルダリダイレクトなどが適用されません。一部GPOは適用)
---
*一部とは
低速接続が検出された場合、デフォルトの動作は次のようになります。
デフォルトで適用されるポリシー
レジストリ設定 (管理用テンプレート) が常に適用される必要があります。-- これは変更できません。
セキュリティ ポリシーが常に適用される必要があります。-- これは変更できません。
EFS 回復ポリシー。
IP セキュリティ。
適用されないポリシー
アプリケーションの展開。
スクリプト。
フォルダ リダイレクト。
ディスク クォータ。
---
無効にするには
Gpoで低速リンクの無効が可能です。
*画像がよくないですが添付しておきます。
3.gpresult /zで現在の適用状況を確認。
先ほども利用したこちらのコマンドですが、
グループポリシーの欄で現在適用されているグループポリシーを確認できます。
4.gpupdate /forceでグループポリシーを再割り当てする
こちらを行うと現在のグループポリシー情報を捨ててグループポリシーを再取得します。
実行後にはログオフ・ログインが必要になります。
こちらとgpresult /zを扱うのが一般的なトラブルシューティングになります。
5.メーカからのLANドライバに関する最新パッチを適用する。
メーカーによってはLAN
ドライバの不具合によりGPOが適用されないことが少なからずあるようです。
1~4で改善されない場合はLANドライバを疑ってみましょう。
【7/6追記】6.新規作成したアカウントや端末の場合、対象のOUへアカウントへを移動し忘れていないか確認する。
OUに対してグループポリシーは設定を割り当てることになります。
対象アカウントがOUに入っていない時は右クリック⇒移動で対象のOUに移動しましょう。
【7/6追記】7.ファイアウォールを確認し、下図のポートを開放する。
昨今、ファイアウォールを導入する企業は増えております。念のための確認になりますが、ポートが空いているか確認しましょう。
注:既定の一時ポートは Windows XP と Windows Vista で異なりますので注意が必要です。
Windows XP および Windows Server 2003 : 1025-5000
Windows Vista および Windows Server 2008 : 49152-65535
Windows2008R2公開時に新規で追加されたもようです。
記載が多いですがこちらも必読となります。
http://support.microsoft.com/kb/832017/ja#method5
【7/6追記】8.ping ドメインサーバ -t -l 2048を実行しping疎通ができるか確認する。
グループポリシーの適用時に2048bitのping疎通を端末からドメインサーバに送信します。
こちらの応答にReplyしないとドメインコントローラからグループポリシーが配布されません。
以下のレジストリを追加すると解消されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
こちらにDWORDでPingBufferSizeを作成。値をルーターの最大値等に設定います。だいたいは1024程度で良いかとおもいます。
【8/4追記】9.アプリケーション ログに "イベント ID 1058" および "イベント ID 1030" エラーが記録される場合
イベントログに記載されるエラーに対する対応について追記です。
この問題は、以下の両方の条件に該当する場合に発生することがあります。
• Windows XP ベースのコンピュータがドメインのメンバになっています。
• Microsoft 分散ファイル システム (DFS) クライアントが無効になっています。
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
2. [名前] ボックスに regedt32 と入力し、[OK] をクリックします。
3. [レジストリ エディタ] ウィンドウで、以下のレジストリ キーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
4. 右側のウィンドウで、[DisableDFS] をダブルクリックします。
[値のデータ] ボックスの値を 1 に設定すると、DFS クライアントが無効になります。
[値のデータ] ボックスの値を 0 に設定すると、DFS クライアントが有効になります。
5. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 0 と入力し、[OK] をクリックします。
6. [ファイル] メニューの [レジストリ エディタの終了] をクリックして、レジストリ エディタを終了します。
さらに、インターフェイス上で Microsoft ネットワーク用ファイルとプリンタ共有を有効にします。有効にするには、次の手順を実行します。
1. [スタート] ボタンをクリックし、[接続] をポイントし、[すべての接続の表示] をクリックします。
2. 目的の接続を右クリックし、[プロパティ] をクリックします。
3. [全般] タブをクリックします。
4. [この接続は次の項目を使用します] ボックスの一覧の [Microsoft ネットワーク用ファイルとプリンタ共有] の横にあるチェック ボックスがオンになっていることを確認し、[OK] をクリックします。
【8/4追記】10.ログ ファイル (Userenv.log)の解析
ここまで来ると個別の解析が必要です。
ログの保存先:%Systemroot%\Debug\UserMode\Userenv.log
(通常、ユーザーに適用するグループ ポリシー オブジェクトの一覧を列挙する際の一般的なエラーの根本的原因が示されています。)
設定方法:
レジストリ エディタを使用して、以下のレジストリ エントリを追加するか、既に存在する場合は編集します。 スタート⇒ファイル名を指定して実行⇒regedit
サブキー :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
エントリ : UserEnvDebugLevel
種類 : REG_DWORD
値のデータ : 10002 (16 進) UserEnvDebugLevel には以下の値を設定できます。
NONE : 0x00000000
NORMAL : 0x00000001
VERBOSE : 0x00000002
LOGFILE : 0x00010000
DEBUGGER : 0x00020000
デフォルト値は NORMAL|LOGFILE (0x00010001) です。
Userenv.logが保存されたらフレーズを確認しMSサイトで検索しましょう。
http://support.microsoft.com/?ln=ja
※ ログを無効にするには、NONE (0x00000000) を指定します。
もし解決に至らなかったりその他の方法で改善された場合、
是非ともコメントお願い致します。あなたの1文が何千ものパソコンと管理者を救います。
仕事を効率化してトラブルを減らしましょう!
登録:
投稿 (Atom)