Windows10でのWSHのエラー(イベントID 1)について

すべての返信

• 

  

  0

  サインインして投票

  イベント ビューアで該当イベントを選択したときに、[全般] タブの説明部分に、エラーとなった wsf ファイル名が表示されていませんでしょうか？
  もし wsf ファイル名が表示されているのであれば、それを調べればエラー原因が特定できるかもしれません。

  2016年7月1日 2:18

  返信

  |

  引用
• 

  

  0

  サインインして投票

  アドバイスありがとうございます。

  全般タブには下記のみ表示されています。

  Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:**** Server:**** Netuse:Success WriteLog: NetuseDelete:Success

  追加で調査したところ、サーバ側のイベントログに下記のイベントがありました。こちらはエラーではなく情報として表示されています。

  複数ユーザについて同様のイベントがありましたが、先に挙げたエラーになっているユーザはありませんでした。

  ログの名前:         Application
  ソース:           WSH
  日付:            YYYY/MM/DD hh:mm:ss
  イベント ID:       8
  タスクのカテゴリ:      なし
  レベル:           情報
  キーワード:         クラシック,成功の監査
  ユーザー:          N/A
  コンピューター:       ****
  説明:
  Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:****
  イベント XML:
  <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      <Provider Name="WSH" />
      <EventID Qualifiers="0">8</EventID>
      <Level>0</Level>
      <Task>0</Task>
      <Keywords>0xa0000000000000</Keywords>
      <TimeCreated SystemTime="YYYY-MM-DDThh:mm:ss.000000000Z" />
      <EventRecordID>340475</EventRecordID>
      <Channel>Application</Channel>
      <Computer>****</Computer>
      <Security />
    </System>
    <EventData>
      <Data>Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:****</Data>
    </EventData>
  </Event>

  また、エラーが発生しているユーザのPC内のファイルを検索したところ、wsfは「manage-bde.wsf」のみ検出されました。

  サーバ側では同じく「manage-bde.wsf」と「SCregEdit.wsf」のみ検出されました。

  いずれも関係ないように思えます。

  何か情報がありましたら引き続きよろしくお願い致します。

  2016年7月1日 4:52

  返信

  |

  引用
• 

  

  0

  サインインして投票

  もしかして cmd ファイルとかのスクリプト ファイルで、ネットワーク ドライブの割り当て処理を実行していませんか？

  2016年7月1日 5:45

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ありがとうございます。

  ネットワークドライブは割り当てていますが、コマンドではなくエクスプローラから割り当ててサインイン時に再接続としています。

  また割り当てているネットワークドライブは、「Server:****」ではなく別なサーバです。

  当該はDC兼管理アプリ用で、共有フォルダは作っていません。

  タスクマネージャのスタートアップの内容を見直しましたが、当該サーバにアクセスするようなものは見あたりませんでした。

  ログオン・ログオフ時のスクリプトも空でした。

  同イベントはログオン2～3分後と、PCのシャットダウン時にそれぞれ一回発生しているようです。

  当該サーバにアクセスするとすれば、DHCPかDNSかWINSかドメインユーザの認証くらいでしょうか。

  しばらく問題がないか観察してみます。

  また気付いた点がありましたらコメントいただければ幸いです。

  2016年7月1日 7:38

  返信

  |

  引用
• 

  

  0

  サインインして投票

  > Operation:logon User:******** ClientName:**** ClientIP:192.168.0.*
  > Domain:**** Server:**** Netuse:Success WriteLog: NetuseDelete:Success

  上記ログから、イベント ID 1 のエラーは、"net use" コマンドでのネットワーク ドライブの割り当て時にロギングされたのでは。。。と推測しています。

  ただ、"Netuse:Success" および "NetuseDelete:Success" となっているので、なぜ "レベル: エラー" となるのかが、いまいちわかりません。
  Explorer でネットワーク ドライブの割り当てを行っているのであれば、それをすべて解除した状態で起動/シャットダウンを行ってみて、アプリケーション ログ出力に変化がないか、確認されることをお勧めします。

  2016年7月1日 8:07

  返信

  |

  引用
• 

  

  0

  サインインして投票

  度々すみません。

  確かに何故エラーなのか不思議に思っていました。

  今日はもう帰宅してしまいましたので、週明けにでも試してご報告します。

  ありがとうございました。

  2016年7月1日 12:24

  返信

  |

  引用
• 

  

  0

  サインインして投票

  本日ネットワークドライブを全て切断して再起動してみましたが状況は変わりませんでした。

  試しにnet useコマンドでネットワークドライブを割り当て/切断もしてみましたが、イベントログには何も表示されませんでした。

  もう少し詳しくログを確認したところ、ログオン時とログオフ時でメッセージがことなりました。

  Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:**** 

  Operation:logoff User:******** ClientName:**** ClientIP:192.168.0.* Domain:**** 

  PCの再起動ではなくサインアウト－インでも同じメッセージとなります。

  また、同一時刻のセキュリティログに下記のようなものがありました。何か関係がありそうな気がするのですが・・・

  しかしこれは成功の監査となっているのでエラーではありませんでした。

  何か分かりましたらまた御教示いただければ幸いです。

  ログの名前:         Security
  ソース:           Microsoft-Windows-Security-Auditing
  日付:            2016/07/04 11:21:57
  イベント ID:       4648
  タスクのカテゴリ:      ログオン
  レベル:           情報
  キーワード:         成功の監査
  ユーザー:          N/A
  コンピューター:       ****.****.local
  説明:
  明示的な資格情報を使用してログオンが試行されました。
  
  サブジェクト:
  セキュリティ ID: ****\********
  アカウント名: ********
  アカウント ドメイン: ****
  ログオン ID: 0x#####
  ログオン GUID: {00000000-0000-0000-0000-000000000000}
  
  資格情報が使用されたアカウント:
  アカウント名: administrator
  アカウント ドメイン: ****.LOCAL
  ログオン GUID: {f75ab875-4a9b-db0a-6bf1-6418971a4982}
  
  ターゲット サーバー:
  ターゲット サーバー名: ******
  追加情報: cifs/******
  
  プロセス情報:
  プロセス ID: 0x4
  プロセス名:
  
  ネットワーク情報:
  ネットワーク アドレス: -
  ポート: -
  
  このイベントは、プロセスがアカウントの資格情報を明示的に指定して、そのアカウントへのログオンを試行した場合に生成されます。これは、スケジュール タスクなどのバッチ タイプ構成で、または RUNAS コマンドの使用時に発生するのが最も一般的です。
  イベント XML:
  <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
      <EventID>4648</EventID>
      <Version>0</Version>
      <Level>0</Level>
      <Task>12544</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8020000000000000</Keywords>
      <TimeCreated SystemTime="2016-07-04T02:21:57.367894000Z" />
      <EventRecordID>2106</EventRecordID>
      <Correlation ActivityID="{6FAE3ECF-D59A-0003-DC3E-AE6F9AD5D101}" />
      <Execution ProcessID="828" ThreadID="864" />
      <Channel>Security</Channel>
      <Computer>****.****.local</Computer>
      <Security />
    </System>
    <EventData>
      <Data Name="SubjectUserSid">S-1-5-21-2405479982-3472191184-4137339455-1114</Data>
      <Data Name="SubjectUserName">********</Data>
      <Data Name="SubjectDomainName">****</Data>
      <Data Name="SubjectLogonId">0x30cbe</Data>
      <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
      <Data Name="TargetUserName">administrator</Data>
      <Data Name="TargetDomainName">****.LOCAL</Data>
      <Data Name="TargetLogonGuid">{F75AB875-4A9B-DB0A-6BF1-6418971A4982}</Data>
      <Data Name="TargetServerName">******</Data>
      <Data Name="TargetInfo">cifs/******</Data>
      <Data Name="ProcessId">0x4</Data>
      <Data Name="ProcessName">
      </Data>
      <Data Name="IpAddress">-</Data>
      <Data Name="IpPort">-</Data>
    </EventData>
  </Event>

  2016年7月4日 3:28

  返信

  |

  引用
• 

  

  0

  サインインして投票

  > PCの再起動ではなくサインアウト－インでも同じメッセージとなります。
  。。。ということは、ログオン プロセス時の処理、あるいはユーザー プロファイル情報のどちらかに起因している可能性が考えられると思います。
  試しに、別アカウントを作成してどうなるか、あるいは既存アカウントをいったん削除し、作り直したアカウントでどうなるかなどを試されては？
  あと、Sysinternals が提供している "Process Explorer" をインストールして、"winlogon", "logonui" プロセスに 3rd ベンダ製の DLL がロードされていないか、確認されることをお勧めします。

  2016年7月4日 4:13

  返信

  |

  引用
• 

  

  0

  サインインして投票

  いつもありがとうございます。

  別なアカウントを作成してテストしてみましたが同様の現象でした。(ユーザ名が変わっただけでした)

  今テストしているのアカウントは現用のものなので、削除するのはためらっています。

  教えていただいたProcess Explorerで確認してみましたが、問題いないように見えます。

  Autorunsと言うものもありましたので、これらを駆使して解析してみようと思います。

  状況が変化しましたら投稿させていただきます。

  2016年7月4日 6:06

  返信

  |

  引用
• 

  

  0

  サインインして投票

  > 今テストしているのアカウントは現用のものなので、削除するのはためらっています。
  別アカウントでも同様のログが出力されるのであれば、とりあえずは試す必要は無いと思います。
  ちなみに、別アカウントでも "エラー" としてロギングされているのでしょうか？

  
  > 教えていただいたProcess Explorerで確認してみましたが、問題いないように見えます。
  winlogon.exe 等のプロセスには、3rd ベンダ製 DLL がロードされている形跡はなっかた。。。ということでしょうか？
  そもそもネットワークドライブを全て切断した状態で、なぜ "net use" コマンドのログが記録されるのか、疑問に感じます。
  誰かが起動時に "net use" コマンドを実行している。。。ということだと思うので、そのプロセスを特定できれば、問題解決の糸口になるかも。
  "msconfig" ツールで、3rd ベンダ製の "サービス" と "スタートアップ" (常駐プログラム) をすべて無効化し、クリーン ブート時のログと差異がないか確認してみては？

  2016年7月4日 6:40

  返信

  |

  引用
• 

  

  0

  サインインして投票

  いつもお世話になっております。

  > ちなみに、別アカウントでも "エラー" としてロギングされているのでしょうか？

  はい。同じくWSHのエラーとして記録されています。

  > winlogon.exe 等のプロセスには、3rd ベンダ製 DLL がロードされている形跡はなっかた。。。ということでしょうか？

  Process Explorerで確認したところ、「winlogon.exe」の下位には「dwm.exe」しかなかったので問題ないかと思いました。
  

  また「logonui」というプロセスは存在しないようです。スタートアップのリストにもありませんでした。

  > そもそもネットワークドライブを全て切断した状態で、なぜ "net use" コマンドのログが記録されるのか、疑問に感じます。

  すみません。書き方が悪かったです。

  「net use」コマンドのログは記録されません。

  同コマンドに起因するものであればネットワークドライブを使用していないで「net use」コマンドでネットワークドライブを割り当てたら同じエラーが記録されかも知れないと思い試してみた次第です。結果としてエラーは記録されなかったと言うことでした。

  > "msconfig" ツールで、3rd ベンダ製の "サービス" と "スタートアップ" (常駐プログラム) をすべて無効化し、クリーン ブート時のログと差異がないか確認してみては？

  少し時間が掛かりそうですので、地道に潰していきたいと思います。

  ありがとうございました。

  また何か分かりましたら書き込みさせていただきます。

  2016年7月4日 22:57

  返信

  |

  引用
• 

  

  0

  サインインして投票

  > はい。同じくWSHのエラーとして記録されています。
  再度お伺いします。
  ネットワークドライブを全て切断した状態での再起動あるいはログオン時に、下記ログは記録されているのしょうか？
  (『「net use」コマンドのログは記録されません。』とのことですが、私にはどういうことなのか、状況が理解できませんでした。)
  Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:**** Server:**** Netuse:Success WriteLog: NetuseDelete:Success

  
  > Process Explorerで確認したところ、「winlogon.exe」の下位には
  >「dwm.exe」しかなかったので問題ないかと思いました。
  確認方法を間違えています。
  "Process Explorer" を管理者権限で起動させ、上段左側の "Process" ツリーで "winlogon.exe" をハイライトにしたあと、メニューの "View" → "Show Lowe Pane" を選択してチェック状態にし、さらにメニューの "View" → "Lowe Pane View" → "DLLs" を選択してください。
  上記操作を行うと、下段ペインに "winlogon.exe" プロセス内にロードされている DLL 等バイナリ ファイルの一覧が表示されるはずです。
  この中にマイクロソフト社製以外の、3rd ベンダ製 DLL が存在していないか。。。ということです。

  2016年7月5日 1:43

  返信

  |

  引用
• 

  

  0

  サインインして投票

  すみません。

  >ネットワークドライブを全て切断した状態での再起動あるいはログオン時に、下記ログは記録されているのしょうか？

  ログは記録されます。ログが記録されるのはログオン時とログオフ時で、ネットワークドライブの有無には影響されませんでした。

  >(『「net use」コマンドのログは記録されません。』とのことですが、私にはどういうことなのか、状況が理解できませんでした。)

  net useコマンドでネットワークドライブを割り当て・切断したら同じログが記録されるかと思いテストしてみた次第です。結果としましてはログは記録されませんでした。

  >この中にマイクロソフト社製以外の、3rd ベンダ製 DLL が存在していないか。。。ということです。

  御教示ありがとうございます。

  MS以外は以下のようなものがありました。

  (1)fshook64.dll(F-Secure Corporation)　：　弊社で使用しているウイルス対策ソフトのものです。

  (2)StaticCache.dat(メーカー名は空白)　：　C:\Windows\Globalization\Sorting\SortDefault.nls

  (3)SortDefault.nls(メーカー名は空白)　：　C:\Windows\Globalization\Sorting\SortDefault.nls

  (4)locale.nls(メーカー名は空白)　：　C:\Windows\System32\locale.nls

  DLLは(1)でした。

  このウイルス対策ソフトは「Server:****」とは無関係で、パターンファイル等の更新は富士ゼロックスのbeat-boxと言うルーターのようなもので行います。

  タスクマネージャのスタートアップ項目を全てOFFにして再起動してみましたが、WSHエラーは記録されます。またこれにより上記(1)のウイルス対策ソフトも起動されません。

  次に自動または手動になっているサービスを片っ端から再起動(実行中のもの)、実行－停止(停止中のもの)してみましたが、WSHエラーは記録されませんでした。(中には数個、停止できないまたは実行できないものもありました。)

  他に確認すべき点などありましたら引き続きよろしく願い致します。

  2016年7月5日 6:14

  返信

  |

  引用
• 

  

  0

  サインインして投票

  一番初めご質問では、「イベントログに下記のエラーが表示されます」とあります。

  > ログの名前:         Application
  > ソース:           WSH
  > 日付:            YYYY/MM/DD hh:mm:ss
  > イベント ID:       1
  > タスクのカテゴリ:      なし
  > レベル:           エラー
  > キーワード:         クラシック
  > ユーザー:          N/A
  > コンピューター:       ****.****.local
  > 説明:
  > Operation:logon User:******** ClientName:**** ClientIP:192.168.0.* Domain:**** Server:**** Netuse:Success WriteLog: NetuseDelete:Success

  上記エラー ログには "Netuse:Success WriteLog: NetuseDelete:Success" とあるので、当初「ネットワーク ドライブの割り当て処理で何か問題があるのでは？」と思い、先の返信で確認させていただきました。

  で、その結果として、

  > ログは記録されます。ログが記録されるのはログオン時とログオフ時で、ネットワークドライブの有無には影響されませんでした。
  > net useコマンドでネットワークドライブを割り当て・切断したら同じログが記録されるかと思いテストしてみた次第です。結果としましてはログは記録されませんでした。

  という返信をいただいたわけですが、これは「エラー ログは引き続き出ているが、"netuse" に関連するログは出ていない。」とう理解でよいのでしょうか？
  また、「"netuse" に関連するログは出ていない。」のであれば、エラー ログは何に対して出ているのでしょうか？
  ネットワーク ドライブの割り当てをすべて解除した状態で出力されたエラー ログを張り付けていただけませんか？

  > このウイルス対策ソフトは「Server:****」とは無関係で、
  > パターンファイル等の更新は富士ゼロックスのbeat-boxと言うルーターのようなもので行います。
  > タスクマネージャのスタートアップ項目を全てOFFにして再起動してみましたが、
  > WSHエラーは記録されます。
  > またこれにより上記(1)のウイルス対策ソフトも起動されません。
  >
  > 次に自動または手動になっているサービスを片っ端から再起動(実行中のもの)、
  > 実行－停止(停止中のもの)してみましたが、WSHエラーは記録されませんでした。
  > (中には数個、停止できないまたは実行できないものもありました。)

  どのような手順でなんの検証を行ったのかがよくわからいのですが。。。
  「サービスを片っ端から再起動」とは、どういことでしょうか？
  "msconfig" ツールで、3rd ベンダ製の "サービス" のみを無効化し (マイクロソフト社製のサービスはそのままの設定にしておく) 再起動させた場合、WSH エラーは記録されるのでしょうか？
  (詳細を端折らないで、もう少し詳しく書いていただけますか？)

  2016年7月5日 8:36

  返信

  |

  引用
• 

  

  0

  サインインして投票

  書き込みが要領を得なくて申し訳ございません。

  >これは「エラー ログは引き続き出ているが、"netuse" に関連するログは出ていない。」とう理解でよいのでしょうか？

  >また、「"netuse" に関連するログは出ていない。」のであれば、エラー ログは何に対して出ているのでしょうか？

  >ネットワーク ドライブの割り当てをすべて解除した状態で出力されたエラー ログを張り付けていただけませんか？
  

  最初の書き込みに書いたWSHのエラーは出たままです。その他のエラーは出ておりません。

  ログオン時はエラー説明冒頭が「Operation:logon」ログオフ時は「Operation:logoff」になるのみでその他のログ内容は同一です。

  ネットワークドライブを全て解除しても同じログが記録されます。別なエラーは発生しません。

  >「サービスを片っ端から再起動」とは、どういことでしょうか？

  スタートアップを全てOFFにしても同じWSHのエラーが発生していたため、サービスに起因する可能性があるかと思いました。

  そこで、サービスを開始・停止させることでWSHのエラーが再現しないかと思いまして、サービスの状態が実行中になっているものをアルファベット順に一つずつ再起動してみました。サービスの状態が実行中ではないものは実行してすぐに停止しました。サービスのスタートアップの種類が無効になっているものは起動することがないだろうと考え実行－停止はしておりません。

  このときサービスの再起動または実行－停止操作をする度にイベントログを確認しましたが、WSHエラーは発生しませんでした。

  この操作はmsconfigではなく、コンピュータの管理－サービスで行いました。

  >"msconfig" ツールで、3rd ベンダ製の "サービス" のみを無効化し (マイクロソフト社製のサービスはそのままの設定にしておく) 再起動させた場合、WSH エラーは記録されるのでしょうか？

  明日テストしてご報告させて頂きます。

  ありがとうございました。

  2016年7月5日 10:40

  返信

  |

  引用
• 

  

  0

  サインインして投票

  「WSH」のイベントですが、VBS等から任意に書き込むことができるものだと思われます。

  参考：

  http://www.atmarkit.co.jp/ait/articles/0410/23/news017.html

  なので、人為的に作りこまれたエラーメッセージだと思います。

  ※エラー/情報/警告も好きに書き込めます。

  AD参加しているのでしたら、ユーザーを変えても同じ現象だった事を考えるとグループポリシーのスタートアップスクリプトや

  ログオンスクリプト等を確認し、なんらかのスクリプトがログイン時に動作する事になっていないか確認してみてはいかがでしょうか。

  的外れでしたらすみません。

  • 回答としてマーク Windows10でのWSHのエラー(イベントID 1)について 2016年7月25日 1:00

  2016年7月6日 2:16

  返信

  |

  引用
• 

  

  0

  サインインして投票

  ご報告が遅くなりまして申し訳ございません。

  結果的にebiebi2様のご指摘通りでした。

  いろいろ問題点の確認方法をご教示頂きましてありがとうございました。

  今後の運用に行かしていきたいと思います。

  2016年7月7日 12:47

  返信

  |

  引用
• 

  

  0

  サインインして投票

  アドバイスありがとうございます。

  確かにサーバへのアクセス監視を行うために、ログオンとログオフのスクリプトを入れていました。

  これを外したところWSHエラーのイベントは記録されなくなりました。

  このスクリプトはサーバ監視ツールで生成したもので、Windows7ではエラーになっていなかったのにWindows10にアップグレードしたらエラーになってしまいました。

  メーカーに報告して対策があるのかを確認しています。

  本件につきまして有用な情報が得られましたらご報告したいと思います。

  この度はありがとうございました。

  
  

  2016年7月7日 12:53

  返信

  |

  引用
• 

  

  0

  サインインして投票

  お世話になります。

  メーカーからまだ具体的な回答が亜ありません。

  以下のスレッドと似ているようなのでWindows10のビルド番号を教えて欲しいとの連絡がありました。

  https://social.technet.microsoft.com/Forums/en-US/e39ec72f-e45b-4f74-8365-96b38f9ea4d8/logoneventvbs-script-does-not-work-in-windows-10-build-1511?forum=winserverGP

  不勉強ながらスクリプトを見たところ、エラーになっても記録されるメッセージは正常(定型)となってしまうようです。

  また思いつきでスクリプトをPowerShellで実行するようにしてみましたが駄目でした。

  単純な問題かと思っていましたが、根深い物なのかも知れません。

  実用上は問題なさそうなのですが、管理上の問題があるので、解決出来るものなのか憂慮しております。

  中小企業なので社員の顔と名前は分かるので大丈夫だと思いますが、釈然としないままと言うのも気になるので、なんとか解決したいと思っています。

  近々に何らかのご報告ができると思いますので、しばしお待ち頂ければと思います。

  
  

  • 編集済み Windows10でのWSHのエラー(イベントID 1)について 2016年7月13日 14:21

  2016年7月12日 12:52

  返信

  |

  引用
• 

  

  0

  サインインして投票

  報告が遅くなっておりまして申し訳ありません。

  メーカーからはスクリプトによるサーバのイベントログへの書き込みが失敗し、クライアントのイベントログにエラーが記録されるとの説明があり、同社の環境でこの現象を確認したとの報告がありました。

  メーカーからマイクロソフトへ問い合わせを行っているとのことです。

  弊社固有の現象や設定ミスなどではないことにひとまずほっとしましたが、改善の見込みが立たないことに憂慮しているところです。

  2016年7月19日 10:52

  返信

  |

  引用
• 

  

  0

  サインインして投票

  メーカーから回答が来ましたのでご報告します。

  マイクロソフト社からの回答によると、本件はWindows10バージョン1511のみで発生しそれ以前のバージョン及びその他のOSでは発生しないとのことです。

  来月公開予定のWindows 10 Anniversary Updateで改善する見通しとのことでした。

  結果はその後にご報告致します。

  ご協力ありがとうございました。

  2016年7月25日 0:59

  返信

  |

  引用
• 

  

  0

  サインインして投票

  本日Windows10 Anniversary Updateを行い、WSHエラーが出なくなることを確認しました。

  サーバ、クライアント共にWSHイベントが正常に書き込まれています。

  確認時のバージョンは以下のとおりです。

  　　Windows10 バージョン1607(OSビルド 14393.10)

  この度はご指導を頂きありがとうございました。

  • 回答としてマーク Windows10でのWSHのエラー(イベントID 1)について 2016年8月4日 2:56

  2016年8月4日 2:56

  返信

  |

  引用