none
グループポリシーの更新タイミング RRS feed

  • 質問

  • Windows2003server(サーバ:ドメインコントローラ)およびWindowsXP pro sp3(クライアント)にて
    Windowsドメイン環境を構築しています。

    グループポリシーにてソフトウェアのインストールやセキュリティの設定を行っています。

    グループポリシーの更新タイミングなのですが
    ポリシーで明示的に設定してもその時間間隔で更新されません。

    具体的にいうと
    グループポリシーオブジェクトエディタで
    コンピュータの構成 - 管理用テンプレート - システム - グループポリシーにて
    バックグラウンドでの更新をオフにする →無効
    コンピュータのグループポリシーの更新間隔 →有効 (30分 30分)

    私の認識でいうと、上記のポリシーを設定しているので
    長くても1時間以内にグループポリシーはすべての端末に反映されると考えていました。

    しかし、実際には数時間経ってもグループポリシーが反映されないことが多いです。

    あまりにも更新が悪いので、ログオンスクリプトなどで強制的に
    gpupdate /forceを行うことも考えています。しかしこちらでうまく設定できても
    そもそも今回の設定が上手くいかない原因が分からないことは不安を残すので
    できれば不具合の原因を調べて解決したいと考えています。

    アドバイス、お願いします。




    2008年12月15日 2:56

回答

  • チャブーンです。

     

    この件ですが、Windows XP がクライアントの場合、MSFT 鈴木さんからのコメントにあったように、"高速ログオン" 機能のせいでドメインログオン時に反映できていない、ことが原因かと思います。

     

    この場合は、クライアント全部に "コンピュータの起動およびログオンでネットワークを待つ" というポリシーを適用させることで改善できます。このポリシーを最初に適用させる段階で、2 回ぐらいコンピュータを再起動させる必要があるかも知れません(gpupdate /force しておけば1回ですみそうです)。詳しくはしたに書いてある資料をみてみてください。

     

    http://support.microsoft.com/kb/305293/

     

    これ以外の原因では、個別の確認が必要です。ですが、まずはうえの対応を行ってみてから、でも大丈夫かと思いますよ。

     

    2008年12月22日 3:28
    モデレータ
  • したのMSと日経IT Proの資料に基本的なことが書かれています。

    http://technet2.microsoft.com/WindowsServer/ja/library/84be67e1-a9fe-4e23-8a28-00343db4b6191041.mspx?mfr=true

    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040816/8/

    (以下日経IT Proの本文を一部抜粋)

    「実際の更新間隔は,この中の基本更新間隔にオフセットを足したものになります。オフセットの部分は,ネットワーク上の多数のマシンからグループ・ポリシーの更新要求が重複して、DCが過負荷にならないようにランダムな数値が生成されます。つまり、実際にはオフセットが0分のDCでは常時5分なのに対し、メンバー・サーバーとクライアントでは90~120分のランダムな間隔で更新されるようになっています。」

    メンバー・サーバーとクライアントはバックグラウンドでの既定の更新間隔(90分)とオフセット(0~30分)を足したものが実際の更新間隔となるようです。

     

    したにも資料があります。

    http://www.atmarkit.co.jp/fwin2k/win2ktips/616gpupdate/gpupdate.html

    http://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html

    (うえの方の資料の本文を一部抜粋)

    「なおグループ・ポリシーを更新したり、Active Directoryのオブジェクトを変更したりした場合、Active Directoryのドメイン・コントローラ間での複製には少し時間がかかることがあるが、gpupdateコマンドではドメイン・コントローラ間で複製が正しく行われているかどうかには関知しない。必要ならば関連記事のTIPSで紹介している方法などを使って、あらかじめドメイン・コントローラ間で複製を行っておくなどの手段を併用していただきたい。」

     

    したにもFAQがあります。

    http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=35539&forum=6&5

    資料はしたにあります。

    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/35/

    http://www.monyo.com/technical/windows/39.html

    「低速リンクの検出」が有効になっているとグループポリシーの変更が反映されないといったことが書かれているようです。セグメントが違う場合も同じようなFAQがあったようです。(キーワードでWeb検索で探せば見つかります。)

     

    以上、鈴木さんが指摘した不具合のKB以外にも、うえの情報による原因も考えられうると思います。

     

     

     

     

     

     

     

     

     

     

    2008年12月16日 16:09

すべての返信

  • tokyo system engineer さん、こんにちは。フォーラムオペレーターの鈴木裕子です

     

    グループポリシーの更新間隔を明示的に設定しても、反映されないことが多い現象ということで、確認していただくとよいのではという点をご紹介させていただきますね。

    まずはこちらのKBです。

     

    グループ ポリシー エディタで変更がすぐに適用されない
    http://support.microsoft.com/kb/283312/ja

     

    「グループポリシーの変更がすぐに適用されれないことがある」という現象のKBです。
    更新間隔が書き込まれるレジストリキー(HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System)が記載されてまして、そのキーは、グループポリシーエディタで更新間隔を変更すると作成されるキーということが書いてありますので、クライアントでそのキーが作成されているのか、値は設定した値になっているかを確認いただくとよいのではないかと思います。

    また、gpupdate /force を実行すると反映されるという場合も、こちらのKBに該当という判断ができるのかなとも思います。

     

    キーも作成されていて、値も設定されているのに更新が反映されないということであれば、もう少し詳細な調査が必要になる感じがするので、サポート窓口へのお問い合わせが必要になるかもしれないですね。。。

     

    その場合、反映されない状況が「クライアントによって反映されていたり、反映されていなかったり」という状態であれば、反映されないクライアントの方で、システムログに何かエラーなどが出力されているかもしれません。そちらがヒントになるかもしれないので、一度確認してみるとよいのではと思います(反映されるクライアントと比較すると、更にわかりやすいかもしれません)。
    「変更を加えたとしても、(全クライアントで)反映される変更と、反映されない変更がある」という状態であれば、反映されるポリシー、反映されないポリシーを明確にすることで、何か糸口が見つかるかもしれないです。

     

    また、WindowsXPの場合、高速ログオンが有効になっているとグループポリシーが有効にならないという事例もありましたので、ご参考までに(「バックグラウンドでの更新をオフにする」を無効にされているとのことなのですが、↓こちらのKBを読むと、ポリシーによってはログオンが2回必要になることもあるようですので)。

     

    Windows XP Professional の高速ログオン最適化機能について
    http://support.microsoft.com/kb/305293/
    参考:http://pnpk.net/cms/archives/4

     

    もしかするとすぐ解決とはいかない可能性もある感じがしますが、上記のような点を確認していっていただくと、解決につながっていくのではないかと思いますので、ぜひ確認してみて下さい。

    ご参考となれば幸いです!

    2008年12月16日 9:42
    モデレータ
  • したのMSと日経IT Proの資料に基本的なことが書かれています。

    http://technet2.microsoft.com/WindowsServer/ja/library/84be67e1-a9fe-4e23-8a28-00343db4b6191041.mspx?mfr=true

    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040816/8/

    (以下日経IT Proの本文を一部抜粋)

    「実際の更新間隔は,この中の基本更新間隔にオフセットを足したものになります。オフセットの部分は,ネットワーク上の多数のマシンからグループ・ポリシーの更新要求が重複して、DCが過負荷にならないようにランダムな数値が生成されます。つまり、実際にはオフセットが0分のDCでは常時5分なのに対し、メンバー・サーバーとクライアントでは90~120分のランダムな間隔で更新されるようになっています。」

    メンバー・サーバーとクライアントはバックグラウンドでの既定の更新間隔(90分)とオフセット(0~30分)を足したものが実際の更新間隔となるようです。

     

    したにも資料があります。

    http://www.atmarkit.co.jp/fwin2k/win2ktips/616gpupdate/gpupdate.html

    http://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html

    (うえの方の資料の本文を一部抜粋)

    「なおグループ・ポリシーを更新したり、Active Directoryのオブジェクトを変更したりした場合、Active Directoryのドメイン・コントローラ間での複製には少し時間がかかることがあるが、gpupdateコマンドではドメイン・コントローラ間で複製が正しく行われているかどうかには関知しない。必要ならば関連記事のTIPSで紹介している方法などを使って、あらかじめドメイン・コントローラ間で複製を行っておくなどの手段を併用していただきたい。」

     

    したにもFAQがあります。

    http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=35539&forum=6&5

    資料はしたにあります。

    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/35/

    http://www.monyo.com/technical/windows/39.html

    「低速リンクの検出」が有効になっているとグループポリシーの変更が反映されないといったことが書かれているようです。セグメントが違う場合も同じようなFAQがあったようです。(キーワードでWeb検索で探せば見つかります。)

     

    以上、鈴木さんが指摘した不具合のKB以外にも、うえの情報による原因も考えられうると思います。

     

     

     

     

     

     

     

     

     

     

    2008年12月16日 16:09
  • チャブーンです。

     

    この件ですが、Windows XP がクライアントの場合、MSFT 鈴木さんからのコメントにあったように、"高速ログオン" 機能のせいでドメインログオン時に反映できていない、ことが原因かと思います。

     

    この場合は、クライアント全部に "コンピュータの起動およびログオンでネットワークを待つ" というポリシーを適用させることで改善できます。このポリシーを最初に適用させる段階で、2 回ぐらいコンピュータを再起動させる必要があるかも知れません(gpupdate /force しておけば1回ですみそうです)。詳しくはしたに書いてある資料をみてみてください。

     

    http://support.microsoft.com/kb/305293/

     

    これ以外の原因では、個別の確認が必要です。ですが、まずはうえの対応を行ってみてから、でも大丈夫かと思いますよ。

     

    2008年12月22日 3:28
    モデレータ
  • こんにちは、フォーラムオペレーターの鈴木裕子です

     

    試験問題作成委員会 さん、チャブーン さん、いつも回答ありがとうございます!

     

    tokyo system engineer さん、その後いかがでしたでしょうか?

    年末のお忙しい時期なのでまだテストされていないかも・・・とは思ったのですが、同様の現象に遭遇する方は結構いらっしゃるんではと思い、こちらの情報を皆様に活用していただくためにも、勝手ながら私の方で回答チェックをつけさせていただきました。

    もし問題が未解決でしたら、遠慮なくチェックを解除して引き続き投稿してください(その場合は、お手間をかけて申し訳ないです)。

     

    もし解決していらしたら、ぜひどのようにして解決できたかをご投稿いただけると、大変うれしいです。

    情報をご投稿くださった試験問題作成委員会 さん、チャブーン さんも安心されると思いますので!(もちろん私もですが

    お時間に余裕のある時で結構ですので、ぜひお願いしますお待ちしています。

    2008年12月25日 2:32
    モデレータ