[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
[0回]
このような質問にはMVP For Directory Serviceコンサルタントの出番を待つかMS有償サポートへ問い合わせないと回答がつきそうもない。
(質問)
信頼関係を結んであるドメインのDCにイベントID:5722とイベントID:3210が発生し続ける
各ドメイン環境は以下の通りで、2つのドメイン間で信頼関係を結んであります。
domain-a.local
DC01:Windows 2000 Server SP4
DC02:Windows 2000 Server SP4(FSMO、GC)
domain-b.local
DC03:Windows Server 2003 R2 SP2
DC04:Windows Server 2008 R2(GC)
DC05:Windows Server 2008 R2(FSMO、GC)
<現象>
domain-a.localドメインの全てのDCにイベントID:5722が、
domain-b.localドメインの全てのDCにイベントID:3210が発生し続けています。
<確認事項>
信頼関係を検証すると以下のメッセージが表示されます。
【domain-aで検証した場合】
ドメイン domain-a.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。
ドメイン domain-a.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-b.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
指定されたドメインがないか、またはアクセスできません。
【domain-bで検証した場合】
[次の理由により、信頼を検証できませんでした。]
ドメイン domain-b.local の Active Directory ドメイン コントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) の検証に次のエラーで失敗しました:
アクセスが拒否されました。
ドメイン domain-b.local の Active Directory ドメインコントローラー \\DC名 からの、
ドメイン domain-a.local へのセキュリティで保護されたチャネル (SC) のリセットに次のエラーで失敗しました:
アクセスが拒否されました。
同様のエラーにより信頼関係を削除することもできません。
<確認した情報>
以下の情報を確認しております。
ドメインにログオンできない~ セキュア チャネルの破損 ~
http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx
ドメインにログオンができずイベントID5722が記録される
http://itpro.nikkeibp.co.jp/article/COLUMN/20071207/289082/
これらを読み、セキュアチャネルの仕組みはある程度の理解をしたつもりなのですが、
対処方法としてはイベントID:3210が発生しているマシンをドメインに再参加させるというものでした。
しかし、今回イベントID:3210が発生しているのはドメイン内の全てのDCであり、
ドメインに再参加(DC降格→DC昇格がこれに当たる?)は該当しないかと考えております。
また、DC04、DC05でnltest /sc_verify:domain-a.localを実行した結果は以下の通りです。
フラグ: 80
信頼された DC 名
信頼された DC 接続状態 Status = 5 0x5 ERROR_ACCESS_DENIED
信頼の確認 Status = 5 0x5 ERROR_ACCESS_DENIED
コマンドは正常に完了しました
これらの結果からDCのコンピュータアカウントのリセットをする以下の情報に行き当たりました。
Netdom.exe を使用して Windows Server DCのコンピューター アカウントのパスワードをリセットする方法
http://support.microsoft.com/kb/325850/ja
前述の環境と似せたテスト環境を作り、実際に2008 R2のDCで上記の内容を確認したのですが、
テスト環境ではセキュアチャネルの破損を再現できていないため、Netdomコマンドの効果が不明です。
ここで質問です。
1.この状況に対してNetdomを使ってDCのコンピュータアカウントのリセットを行うことは有効でしょうか?
(DC03~05でエラーが出ているので、DC03~05でNetdomを実行する必要がある?他の対処法があるのでしょうか?)
2.MSのKB325850を参考に、以下の順序での対処を想定しているのですが、問題ないでしょうか?
2-1.DC03、DC04でKDCサービスを停止し、スタートアップの種類を「手動」に変更する。
2-2.DC05を再起動し、Kerberosチケットキャッシュを削除する。
2-3.コマンドプロンプトで「netdom resetpwd /s:server /ud:domain\User /pd:*」を実行する。
2-4.DC05を再起動する。
2-5.nltest /sc_verify:domain-a.localの実行結果に問題がなければDC03、DC04でも2-2~2-5の手順を繰り返す。
ご教示頂けますでしょうか?何卒よろしくお願い致します。
[0回]
このような質問に無償で答えられる暇とスキルのあるひとはまずいないだろう。
(質問その1)
原因不明のシャットダウンの調査について
先日、顧客先で原因不明でサーバが起動しな障害が発生しました。
運用形態としては、毎日0:00にパワーチュートのスケジュールを使ってサーバをリブートする(稼動しているシステムが推奨しているので)。
顧客側からはサーバを再起動するまで使用できなかったはずですが、起動後のイベントログには使えない時間のログが以下のように残されています。
【エラーログを抜粋】
なお、固有のコンピュータ名は端末名、ドメイン名はAと変更してあります。
【1:08】
タイム プロバイダ NtpClient: ドメイン コントローラ 端末名.A.local へのアクセスを 8 回試行し ましたが、有効な応答が得られませんでした。このドメインコントローラは、タイム ソースとしては破棄され、NtpClient は同期先となる新しいドメイン コントローラの発見を開始します。
【1:08】
1 つまたは複数のタイム ソースから時間を取得するようにタイム プロバイダ NtpClient は構成されていますが、どのソースも現在アクセスすることはできません。 ソースへのアクセスの試行は、あと 15 分間実行されません。NtpClient が正しい時間を 参照できるソースがありません。
【1:23】
タイム ソースとして使うドメイン コントローラを見つけることができません でした。30 分後に再試行します。
【1:54】
タイム ソースとして使うドメイン コントローラを見つけることができません でした。60 分後に再試行します。
【2:54】
タイム ソースとして使うドメイン コントローラを見つけることができません でした。120 分後に再試行します。
【4:54】
タイム ソースとして使うドメイン コントローラを見つけることができません でした。240 分後に再試行します。
【8:23】
次の理由のためドメインA のドメイン コントローラは利用できません:
現在、ログオン要求を処理できるログオン サーバーはありません。 。
コンピュータがネットワークに接続されていることを確認し 再実行してください。問題が解決されない場合はドメイン管理者に問い合わせてください。
上記、ログが出力されている間のサーバはいったいどのようになっているのでしょうか?
原因不明の起動しなかったことと関係があるのでしょうか?
よく似た事象を経験された方や、お聞きになったことがある方が見えましたらアドバイスをお願いします。
---------------------------
(質問その2)
特定サーバに対して特定ユーザのエラーが頻発している
環境はMicrosoft Windows Server 2003 R2 Standard Edition ServicePack2です。
下記問題が発生しており、エラー解決方法について、ご存知の方がいらっしゃいましたら、ご回答をお願いいたします。
①問題内容
10分~20分ごとに、特定サーバに対して特定ユーザのエラーがイベントビューアのアプリケーションログ、システムログに排出されている。
②これまでに実行した操作。
・事象が発生している該当ユーザアカウントで該当サーバに対して再ログイン・ログオフ作業を行ったが、現象解決されず。
・該当サーバにアクセスする端末の再起動を実施したが、現象解決されず。
([ネットワークドライブの割り当て]-チェックボックス「ログオン時に再接続する」にチェックが入っていないことも確認。)
・該当サーバの再起動を実施予定。
(現在は実施しておりません。)
③問題発生時状況
本事象は該当ユーザアカウントで該当サーバにリモートデスクトップでアクセスした後に発生が開始され、現在も頻発しております。
また、本事象が発生する前々日にADアカウント(該当ユーザを含む)のパスワードリセットを行っております。
該当ユーザはパスワード変更を行った上で、該当サーバにログイン・ログオフしておりました。
④問題が起きた際に表示されたエラーメッセージ
■イベントビューアのアプリケーションログ
・イベントID:1006
ソース:Userenv
分類:なし
種類:エラー
説明:XXXX(ドメイン名)ドメインにバインドできません。(資格情報が無効です。)グループポリシーの処理は中止されました。
・イベントID:1030
ソース:Userenv
分類:なし
種類:エラー
説明:グループ ポリシー オブジェクトの一覧を照会できません。このエラーの理由を説明するようなメッセージをポリシー エンジンが記録していないかどうか、イベントログを確認してください。
■イベントビューアのシステムログ
・イベントID:40960
ソース:LSASRV
分類:SPNEGO(Negotiator)
種類:警告
説明:サーバー LDAP/XXXXXXX/XXXXXXX@XXXXXXX(ドメイン参加している該当のサーバ名)の認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは"実行しようとしたログオンは無効です。ユーザー名または認証情報に誤りがあります。(0xc000006d)"でした。
・イベントID:40960
ソース:LSASRV
分類:SPNEGO(Negotiator)
種類:警告
説明:サーバー ldap/XXXXXXX/XXXXXXX@XXXXXXX(ドメイン参加している該当のサーバ名)の認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは"実行しようとしたログオンは無効です。ユーザー名または認証情報に誤りがあります。(0xc000006d)"でした。
⑤上述のイベントIDに対応したオンライン技術情報
イベントビューアのシステムログで排出されたイベントID(40960)に対応した下記情報がありましたが、親と子のドメインの信頼関係をリセットすることは不可能であるため、「解決方法」は実施しておりません。
http://support.microsoft.com/kb/938702/ja
宜しくお願い致します。
[0回]
It is very difficult to read English Question. I don’t know Microsoft’s English Forums.
(Question)
how to change the default language?
good day,
im here in japan, i buy a loptop sharp mebius pc-nj70b, a 10.1 inch and the operating system is windows 7 starter japaneses. i cant not use it coz its all nihongo in the display.... after a month i try to upgrade into a windows 7 ultimate and download the english language pack in the windows update.... now can i use it but the default language are in... how can i remove it...so that i can use it fully....rigth now some of my appliction like divx,vlc ect are in japanese even i install in english.....
------------------------------
(Answer)
Hello ××××,
Thank you for posting your question to our forum. However, unfortunately, I’m afraid it might be difficult for you to get a reply since people usually use Japanese here... Instead, I’d like to suggest you post your question in an English forum. Considering what you’re asking, an English Answers forum may be the best place: http://social.answers.microsoft.com/Forums/en-US/category/windows7
I hope you find some helpful information! Thank you.
________________________________
○○○○ - Moderator (MSKK)
[0回]
ADの管理者アカウントにも奥が深いものがある。UAC(ユーザーアカウント制御)についても奥が深い。
(質問)
「Windows2008 AD環境」での管理者アカウントについて
お世話になっております。
「Windows2008 AD環境」での管理者アカウントについて質問があります。
[環境]
Windows2008 Standard sp1(ドメインコントローラ)
シングルフォレストシングルドメイン環境
[質問①]
Administratorとは別に管理者権限のあるアカウントを作成し、運用する予定でおります。
administratorとまったく同じ権限のアカウントを作成する方法をご教授いただけないでしょうか?
アカウントを作成し、AdministratorsグループおよびDomain Adminsのグループに所属させたのですが管理用ツール等使用する際など、ユーザーアカウント制御のポップアップが表示されたり、特定のフォルダ内で新規ファイルを作成できなかったりと何かしらの制限がありadministratorとは同じ権限のアカウントにならない状況です。
また、できればセキュリティを考慮してユーザーアカウント制御は有効のまま運用したく思っております。
[質問②]
Administrators・Domain Admins・Enterprise Adminsの権限の違いについてご教授いただけないでしょうか?
下記、サイトにて確認したのですがこれは可能、これは不可など権限の線引きがわかるサイト等が、もしあればご紹介頂けないでしょうか?
http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx
以上
宜しくお願い致します。
---------------------------
(回答1)
お世話になっております。
Windows Server 2003 AD環境の運用・保守担当者です。
Windows 2008 も、Bultin権限に関してそう変更はなかろう・・・というところから、以下記載します。
質問① Builtin\Administrator と同じ権限のIDを作成できるか
基本的に、ドメインコントローラでは以下のグループに所属していることで、Builtin\Administrator(規定)と同等の権限を有します。
但し、Builtin\Administrator は予約されたSID - 500 を有しているため、全く同じ "動き" をするものを作る・・というのは難しいです。
SID - 500 は、他サードパーティー製アプリケーションなどから、"特権ID"として識別されることもあります。
そのため、"特権IDで起動する" というような仕様のサードパーティー製アプリケーションの場合、Builtin\Administrator が選択/使用されるケースを体験したことがあります。
規定では、以下のグループに入っていることで、Builtin\Administrators と同等の権限をAD環境下で持つことになります。
・Administrators:
そのコンピューターに対して、管理権限を有します。オブジェクトの作成・変更・削除に加えて、所有権の奪取等
・Domain Admins:
Administratorsとの違いは、そのドメイン・メンバー(規定)にたいして、Administratorsと同等の権限を行使できることです。更に、これに加えてドメインレベルでのADの重要な変更に関する権限も有します。(一部FSMOロールの強制移行など)
・Enterprise Admins:
Domain Admins との違いは、そのフォレスト・メンバー(規定)に対して、Administratorsと同等の権限を行使できることです。 更に、これに加えてフォレストレベルでのADの重要な変更に関する権限も有します。(フォレスト機能レベルの変更など)
・Group Policy Creator Owners:
ドメインのGOPの変更権限を持ちます。ドメインのGOPを作成できるということは、メンバーに対してポリシーを強制することも可能なため、強力な特権として表現されます。
・Schema Admins:
ドメインのAD データベースを操作する権限を持ちます。
これは特殊な権限で、Administrators, Domain Admins では操作できないことが操作できます。
たとえば、FSMOの強制転送 - スキーマ・マスタの役割転送は、この権限がなければ、失敗します。(失敗しました・・・)
なお、ユーザーアカウント制御については Windows 2008 からの機能となるかと思います。
こちらについては、勉強不足で申し訳ありません。
ファイルが作成できないという問題については、作成しようとしたオブジェクトの種類や場所によっても異なりますが、
NTFSのアクセス制御下にある通常のファイルであれば Administrators グループメンバーは、たとえ権限が付与されていないオブジェクトに対しても
オブジェクトの所有権限を奪取することで、権限の再付与が可能です。
方や、ADのデータベース(スキーマ)や、GOPに関する操作についてでしたら、上記権限を参考ください。
質問② 特権の線引きについて
上記に記載した通りとなります。
基本的には、○○○○様の参考された
<http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx>が正規の資料となりますが、
ADに関連する操作(特に特殊な権限が必要な場合の操作)については、↓を参考されるとよいかもしれません。(既にご確認済みであれば申し訳ありません。)
http://technet.microsoft.com/ja-jp/library/cc758915%28WS.10%29.aspx
以上、何かのご参考になれば幸甚です。
----------------------------
(回答2)
××××です。
UAC について、ちょっと補足しますね。
ビルトインAdministratorでない「同じ権限のユーザ」でもUACのポップアップをはずしたい、というなら、AAM(管理者承認モード)機能を使ってみてはどうでしょうか?したのページで探してみてください。
http://technet.microsoft.com/ja-jp/library/cc772207(WS.10).aspx
[0回]
このような質問文をまともに読むひとはまずいない。サーバー担当のフォーラムオペレーターでも回答に困る。
(質問)
UACの状態表示が変わってしまう
<問題点>
ADのグループポリシーを用いてUAC設定をプッシュしているが、ログオンするアカウントによってUACのレベルが変わってしまっているように見える。
<UACの設定レベル>
便宜上以下のように呼びます。
レベル1.常に通知する
レベル2.プログラムがソフトウェアをインストールする場合、またはコンピュータに変更を加えようとする場合、ユーザーがWindows設定を変更する場合に通知する(デスクトップを暗転しない)
レベル3.プログラムがコンピュータに変更を加えようとする場合のみ通知する(デスクトップを暗転しない)
レベル4.通知しない
<AD環境>
ドメインの機能レベル:Windows Server 2003
ドメインコントローラ:Windows Server 2008 R2/Windows Server 2003 R2/Windows Server 2003/混在 FSMOはWin2008R2
<AD参加PCでの動作>
a.アプリケーションインストールの為に一時的にUACをオフにする。
管理者アカウントでログオンし、下記コマンドを記載したBATファイルを管理者として実行させてオフにしている。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v EnableLUA /t reg_dword /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "ConsentPromptBehaviorAdmin" /t reg_dword /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "PromptOnSecureDesktop" /t reg_dword /d 0
参考 http://www.vector.co.jp/soft/winnt/util/se433836.html
b.グループポリシーでUACはレベル2になるように設定しているので、"a"の作業後に特にオンにはしていない。
c.管理者アカウントでログオン中にグループポリシーを再適用(gpupdate /forceコマンド)するとコントロールパネルのGUIから確認したUACはレベル2になる。
d.標準アカウントでログオン中にグループポリシーを再適用(gpupdate /forceコマンド)するとコントロールパネルのGUIから確認したUACはレベル1になる。
元のUACレベルがレベル2でもレベル4でも結果は同じ
但し、レジストリ値に変化は無い。表示上の問題?
<グループポリシーでの設定箇所と内容>
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティ オプション]
対応レジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする
未定義
キー名不明
ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする
未定義
EnableInstallerDetection 1
ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する
未定義
FilterAdministratorToken 0
ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
未定義
EnableSecureUIAPaths 1
ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
未定義
EnableVirtualization 1
ユーザー アカウント制御: 管理者承認モードを有効にする
有効
EnableLUA 1
ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
Windows 以外のバイナリに対する同意を要求する
ConsentPromptBehaviorAdmin 5
※レベル1はレジストリキーの値が"2"、レベル2はレジストリキーの値が"5"
ユーザー アカウント制御: 署名および検証された実行ファイルのみを昇格する
未定義
ValidateAdminCodeSignatures 0
ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
有効
PromptOnSecureDesktop 1
ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
未定義
ConsentPromptBehaviorUser
<参考URL>
Windows7のUACに関するレジストリの説明
http://www.yoshibaworks.com/ayacy/inasoft/talk/h200905a.html
ポリシーに関する説明
http://pasofaq.jp/windows/admintools/policyuaclist7.htm
-----------------------------------
(TechNetページ)
http://technet.microsoft.com/ja-jp/library/dd851527.aspx
(msdn参考資料)
http://msdn.microsoft.com/ja-jp/windows/dd883236.aspx
[0回]
WEB検索するとしたのページが見つかったがいずれも違うような気がする。
http://support.microsoft.com/kb/300867/ja
http://technet.microsoft.com/ja-jp/windowsserver/cc980791.aspx
(質問)
証明書 WEB登録サービスから証明書のダウンロードに失敗する。
Windows2000で運用中の証明書サーバーのWindows2003へアップグレードを行いました。構成は、CAサーバーとWEB配布サーバーでサーバーは2つ利用しています。
アップグレード前は、配布サーバーとCAから両方ダウンロードできたのですが、アップグレード後は出来なくなってしまいました。
CAのWEBページからはダウンロードできるのですが、配布サーバー(WEB登録サポート)からは、証明書をCAにもらいに行く処理のところで下記のエラーが発生します。(WEBページは、表示されます。)
要求モード:
newreq - 新しい要求
ディスポジション:
(未使用)
ディスポジションメッセージ:
(なし)
結果:
アクセスが拒否されました。 0x80070005 (WIN32: 5)
COM エラー情報:
CCertRequest::Submit アクセスが拒否されました。 0x80070005 (WIN32: 5)
最後の状態:
この操作を正しく終了しました。 0x0 (WIN32: 0)
原因:
証明機関サービスは開始されていません。
配布サーバーから、CAのWEBページをアクセスして証明書はダウンロードできます。そのため、証明機関サービスも実行されています。
何か、ごぞんじのかた教えてください。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア