グループポリシーの適用結果（RSOP：結果セット）がおかしい

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  情報が少ないのでわからないのですが、状況から「セキュアチャネルが正常稼働してない」可能性が高いと思います。

  最低限、対象「クライアント」のイベントログ情報が必要ですが、おそらくNetLogonエラーがクライアント起動時に出ているように思います。

  そうである場合の、簡単な解消方法は「クライアントのドメイン再参加」のように見受けられます。(クライアントのGPO情報がいったんリセットされるため)

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  

  • 編集済み チャブーンMVP 2016年12月20日 7:20
  • 回答の候補に設定 立花楓Microsoft employee 2016年12月22日 6:46
  • 回答としてマーク 立花楓Microsoft employee 2017年1月5日 7:57

  2016年12月20日 7:18
• 

  

  0

  サインインして投票

  いただいた情報はマスクのための置き換えか、原文ママなのか、違和感のある個所があります。gpresultの結果と思われるA,Bは、同じコマンドを実行した内容(C)のことでしょうか？
  
  ・「ドメインの適用」とは？ポリシーの適用の間違い？
  ・「コンピュータ設定」なのに対象のCNが「USERA」となってます。USERAというコンピュータ名にログオンした、
  　user_Aというユーザでよいでしょうか。
  ・ユーザー設定の「別ユーザー」「自分」は、user_a/user_bそれぞれどれでしょうか？
  ・ドメイン名が「myworkg」とのように、ドメインではなくWorkgroupが混ざっている
  など。
  再度ご確認の上、いったん内容を整理した方がよいように思われます。
  
  ■　そのほか確認ポイント
  ●　イベントログ
  システムや [Microsoft]-[Windows]-[GroupPolicy]-[Operational]に何らかのメッセージは出ていないでしょうか。
   たとえば、ドメインコントローラに接続できなかったり、ポリシーの適用に問題があるといったメッセージが
   出ているかもしれません。
  
  ● gpresult /h の結果
  ・各ポリシーのバージョンと、AD上で確認したポリシーのバージョンが一致しているか。
  　「リビジョン」にあるAD/SYSVOLのバージョンが同じで、かつADの表記とgpresult/hの結果一致していればOKです。
  
  ・ループバックが有効になったポリシーがないか
  
  ・低速リンクモードが検出されていないか
  ・その他エラーが出ていないか
  
  ● コマンド実行時の権限
  コマンドは「管理者として実行」したものでしょうか。
  
  ● 問題となっているポリシーは、ユーザ/コンピュータどちらか
  
  ● その他確認点
  ループバック機能が有効になったポリシーをリンクしているが、結果セットの作成ウィザード時に
  そのチェックを入れているか
  

  以上、参考まで。
  

  • 回答としてマーク 立花楓Microsoft employee 2017年1月19日 4:59

  2016年12月20日 7:19
• 

  

  0

  サインインして投票

  チャブーン様

  コメント有難うございました。

  仰る通り、クライアント側のイベントログにエラーが出ていました。

  Netlogonエラーではなく、下記の２つのエラーでした。

  ソース：Schannel　エラーコード：36888
  

  「次の致命的な警告が生成されました: 43。内部エラーの状態は 552 です。」というエラーでした。

  ソース：Schannel　エラーコード：36876

  「リモート サーバーから受け取った証明書は正しく検証されていません。エラー コードは 0x80092013 です。SSL 接続要求は失敗しました。添付されているデータにサーバーの証明書が含まれています。」

  GPOは再参加でリセットされる訳ですね。

  ドメイン移転の段階で再参加を繰り返して、データにアクセスできなくなってしまった苦い経験があるので、バックアップ後に試してみます。

  有難うございました。

  2016年12月21日 1:11
• 

  

  0

  サインインして投票

  やき様　コメント有難うございました。
  
  見返してみると、実名をマスクするために修正した結果、情報に不確かな部分があり、失礼を致しました。
  

  改めて、ご指摘を頂いた内容について、確認してみました。以下の通りです。

  ------------------------------------------------------------------------

  >・「ドメインの適用」とは？ポリシーの適用の間違い？
  
  その通りです。
  
  >・「コンピュータ設定」なのに対象のCNが「USERA」となってます。USERAというコンピュータ名にログオンした、
  >　user_Aというユーザでよいでしょうか。
  
  その通りです。
  
  >・ユーザー設定の「別ユーザー」「自分」は、user_a/user_bそれぞれどれでしょうか？
  
  「自分」はuser_aで、「他ユーザー」はuser_bです。
  
  >・ドメイン名が「myworkg」とのように、ドメインではなくWorkgroupが混ざっているなど。
  
  ここは確認したかった内容なのですが、
  user_aもuser_bも、ローカルアカウントのWorkgroup名が入っていたので、そのように書きました。
  この結果セットの内容が反映されてしまっており、かつ、その名前（プロファイル名）がブランクになってしまっているのが
  異常の原因ではないかと思います。
  このポリシーはクライアント側で設定されているローカルポリシーということなのでしょうか？
  この情報がドメインポリシーで上書きされていないことがそもそもおかしいのですが、
  これが初期化できれば、取りあえずは解決するのではないかと思った次第です。
  
  >●　イベントログ
  
  >システムや [Microsoft]-[Windows]-[GroupPolicy]-[Operational]に何らかのメッセージは出ていないでしょうか。
  > たとえば、ドメインコントローラに接続できなかったり、ポリシーの適用に問題があるといったメッセージが
  > 出ているかもしれません。
  
  クライアント側のイベントログに２つのシステムエラーが出ていました。
  
  ソース：Schannel　エラーコード：36888
  「次の致命的な警告が生成されました: 43。内部エラーの状態は 552 です。」
  ソース：Schannel　エラーコード：36876
  「リモート サーバーから受け取った証明書は正しく検証されていません。エラー コードは 0x80092013 です。SSL 接続要求は失敗しました。添付されているデータにサーバーの証明書が含まれています。」
  
  >● gpresult /h の結果
  
  >・各ポリシーのバージョンと、AD上で確認したポリシーのバージョンが一致しているか。
  >　「リビジョン」にあるAD/SYSVOLのバージョンが同じで、かつADの表記とgpresult/hの結果一致していればOKです。
  
  ・AD側のGPMCで Default Domain PolicyのAD/Sysvolを見ると、
  
  　ユーザのバージョン：2 (AD)、2 (sysvol)
  　コンピュータのバージョン：22 (AD)、22 (sysvol)
  
  ・gpresult /h で　グループ ポリシー オブジェクト - 適用された GPO を見ると、
  名前    リンクの場所    リビジョン
  Default Domain Policy    mydomain.local    AD (1)、Sysvol (65535)
  パスワード制限の解除    mydomain.local    AD (18)、Sysvol (65535)
  
  となっています。見るところが違っているのでしょうか？
  
  >・ループバックが有効になったポリシーがないか
  
  有りません。
  
  >・低速リンクモードが検出されていないか
  
  gpresult /z　を実行した時の結果が、
  低速リンクで接続: いいえ　となっていますので、検出されていないと思います。
  
  >・その他エラーが出ていないか
  
  クライアント側のイベントログで出るだけです。
  
  >● コマンド実行時の権限
  >コマンドは「管理者として実行」したものでしょうか。
  
  いずれも、管理者権限のあるユーザーで、コマンドプロンプトから実行していますので、
  管理者として実行だと思います。
  
  >● 問題となっているポリシーは、ユーザ/コンピュータどちらか
  
  AD側で設定しているのに適用されていないポリシーは　コンピュータ、
  AD側で設定してないのに適用されているポリシーは　ユーザとコンピュータの両方です。
  
  >● その他確認点
  >ループバック機能が有効になったポリシーをリンクしているが、結果セットの作成ウィザード時に
  >そのチェックを入れているか
  
  ループバック機能は使っていません。
  
  

  2016年12月21日 3:57
• 

  

  0

  サインインして投票

  ●「Schannel イベント 36876」のエラー
  以下が参考になりそうです。イベントログに証明書が添付されているようなのでその証明書の期限を確認し、
  期限切れになっているようであれば手動でインポートして再起動します。
  mmcの証明書スナップインで、うまくいくPCからエクスポートできるかと思います。
  
  SSL 経由で LDAP を使用して、Windows 2000 または Windows Server 2003 を実行しているドメイン コント ローラーにクライアント コンピューターを認証できません。
  https://support.microsoft.com/ja-jp/kb/839514
  
  Schannel イベント
  イベント ID 36876
  https://technet.microsoft.com/ja-jp/library/dn786445(v=ws.11).aspx#BKMK_36876
  
  または、一度ドメインから脱退して再参加、というのが手っ取り早いかもしれません。
  脱退に失敗してドメインコントローラ上にコンピュータオブジェクトが残ってしまうようなら削除しましょう。

  ●　 Default Domain PolicyのAD/Sysvol
  →
  バージョンが一致しておらず、ローカルPCのほうが古いですね。最新のポリシーが割り当たっていません。
  正しくドメインに参加できていないのが原因っぽいです。
  
  ●　管理者権限
  > 管理者権限のあるユーザーで、コマンドプロンプトから実行していますので、
  > 管理者として実行だと思います。
  UACが有効な場合、そうとも限りません。
  が、今回はそれ以前にイベントログのエラーの解決が先決ですね。
  

  • 回答の候補に設定 立花楓Microsoft employee 2016年12月22日 6:46
  • 回答としてマーク 立花楓Microsoft employee 2017年1月19日 4:59
  • 回答としてマークされていない hatsujiro 2017年3月21日 7:07

  2016年12月22日 1:30
• 

  

  0

  サインインして投票

  やき　様

  コメント有難うございます。お礼が遅れて失礼しました。

  チャブーン様からもご指摘がありましたように、ドメインの再参加を行ってみました。

  ドメインから抜けた時に、コンピュータオブジェクトが残っておりましたので削除し、再参加を行いました。
  その後に、gpresult /h  を再実行してみましたが、結果は.....変わりませんでした。

  gpresult /z を実行しましたが、グループポリシーの適用元がプライマリからセカンダリに変わっただけで、後は変化ありません。

  実施前と同様に、２つ出てくるRSOPのうち、
  ローカルプロファイル:N/A　のほうが、ドメインのGPOが適用されないまま、従来のポリシーが残っているために、
  結果としてGPOが適用されていない(gpresult /hの結果）ようです。

  ローカルプロファイル:C:\Users\myname のほうは、正しくGPOが適用されているようです。

  証明書のほうは、期限の調べ方がよく判りませんが、ドメインを移転した場合、こうした問題が出てくるのでしょうか？

  2016年12月29日 8:10