none
イベントログ AutoEnrollment , ID:1 について RRS feed

  • 質問

  • お世話になります。
    【環境】Active Directory , ドメインコントローラー:Windows Server 2003 R2 SP2 2台 (別サイトにWindows 2000Server SP4 3台あり)

    【イベントログ発生サーバー】 メンバーサーバー(ファイルサーバーとして使用) Windows Server2003 R2 SP2 ,ファイルサーバーリソースマネージャをインストール

    【イベントログ内容】 ソース:AutoEnrollment , イベントID:1 , ユーザー:N/A 
    説明:ローカル システム の証明書の自動登録で、ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=会社名,DC=co,DC=jp?cACertificate?one?objectCategory=certificationAuthority (0x8007006e) から ROOT ストアの証明書をダウンロードできませんでした。 指定されたデバイスまたはファイルを開けません。


    が、8時間間隔で記録されるようになりました。
    エラーが発生しだす前に以下の作業を行いました。

    【概要】
    もともとドメインコントローラー(Windows2000ServerSP4)が2台ありました。
    今回ドメインコントローラーを新規に2台構築し(Windows Server2003 R2 SP2)、古いドメインコントローラーをADから削除しました。
    【作業内容】
    ・フォレスト、ドメインをW2K3用にアップグレード
    ・新規DC(ドメインコントローラ)2台(名前をNewDC1,NewDC2とします)をADに追加
    ・FSMOを移動、グローバルカタログをOldDC1からNewDC1に変更
    ・旧DC(名前をOldDC1,OldDC2とします)をメンバーに降格
    ・その後、OldDC1,OldDC2をワークグループにする
    ・その後、OldDC1,OldDC2をLANから外す
    ・NewDC1のIPアドレスをOldDC1で使用していたIPアドレスに変更
    ・NewDC2のIPアドレスをOldDC2で使用していたIPアドレスに変更
    ・DNSサーバーにて(NewDC1,2に同居)NewDC1のエイリアスとしてOldDC1を登録
    ・DNSサーバーにて(NewDC1,2に同居)NewDC2のエイリアスとしてOldDC2を登録
    ・DCのイベントログには特にエラーは発生していないことを確認しています

    上記作業は、各工程後にDC全体に情報がいきわたるのを待って次の作業を行っています。
    上記作業後にメンバーサーバーの再起動は行っていません。(なるべく再起動はしたくないので)
    エラーが記録されているメンバーサーバーは共有フォルダーを作成し、フォルダー単位でクオータをかけている程度です。
    また、メンバーサーバーは長期間?(サーバーとして稼動後)Windows Updateを行っていません。

    インターネット上で情報を探しているのですが、これだという物が見つからず行き詰っています。
    アドバイスや情報、チェック箇所何でもいいのでご教授いただけると幸いです。

    宜しくお願いいたします。
    2009年6月1日 9:32

回答

  • こんにちは、naginoです。

    確かに情報が見当たりませんね。
    よく情報が集まっていることが多い eventid でも情報なしとなってます。
    http://www.eventid.net/display.asp?eventid=1&eventno=7154&source=AutoEnrollment&phase=1

    一応以下のような情報もありましたが、出所や信頼性が不明ですし、作業内容の面からも自己責任となってしまいます。
    http://destined4death.spaces.live.com/blog/cns!703A362CC142BD98!200.entry

    海の向こうでも類似の話題と思われるスレッドがありますので、参考になるかもしれません。
    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/af30a50b-d1ca-4879-8ae2-e95806ecfe18

    あまり類似の事例、情報が見当たらないケースのようですので、有償サポートの利用もご検討されたほうがよろしいかと思います。

    MCITP(Database Developer/Database Administrator)
    • 回答としてマーク 服部清次 2009年8月6日 6:26
    2009年6月3日 1:46
  • こんにちは、
    フォーラムオペレーターの三沢健二です。

    にわか管理者 さん、その後のご状況はいかがでしょうか?
    投稿から少しお時間が経ってしまいましたが、私のほうでも少し調べてみました。


    エラーの内容からは、Active Direcotry に格納されている、証明機関 (CA) のルート証明書のダウンロードに失敗しているように見受けられますね。

    ダウンロードに失敗している原因については、ネットワークトラブルなど様々な要因が考えられますが、撤去したドメインコントローラー(Windows2000ServerSP4) が、CA サーバーとして稼働していた可能性も考えられます。

    以下の URL に記載されているような設定を、撤去したドメインコントローラーに対して行われた覚えはないでしょうか?

    - 参考資料
    http://www.atmarkit.co.jp/fwin2k/win2ktips/920iiscert5/iiscert5.html

    もしくは、証明書や CA に関する構築手順書などをお持ちであれば、そちらを確認いただくと、何かヒントが見つかる可能性があるかなと思います。
    そういった資料も確認してみてはいかがでしょうか。


    なお、にわか管理者 さんが気にされていた、このエラーが記録された場合の影響についてですが、ファイルサーバーの運用上、特に問題が発生していないのであれば、無視されても構わないかと思われます。
    ですが、そちらの環境の事を全て把握しているわけではないので、明確なお答えは難しいです。すいません。。。


    にわか管理者さんがお考えのとおり、やはり、即解決というのは難しい感じの現象だと思いますが・・・
    こちらの情報が少しでも にわか管理者 さんのお役にたてれば幸いです!


    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

    • 回答としてマーク 服部清次 2009年8月6日 6:27
    2009年7月6日 0:44
    モデレータ

すべての返信

  • こんにちは、naginoです。

    確かに情報が見当たりませんね。
    よく情報が集まっていることが多い eventid でも情報なしとなってます。
    http://www.eventid.net/display.asp?eventid=1&eventno=7154&source=AutoEnrollment&phase=1

    一応以下のような情報もありましたが、出所や信頼性が不明ですし、作業内容の面からも自己責任となってしまいます。
    http://destined4death.spaces.live.com/blog/cns!703A362CC142BD98!200.entry

    海の向こうでも類似の話題と思われるスレッドがありますので、参考になるかもしれません。
    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/af30a50b-d1ca-4879-8ae2-e95806ecfe18

    あまり類似の事例、情報が見当たらないケースのようですので、有償サポートの利用もご検討されたほうがよろしいかと思います。

    MCITP(Database Developer/Database Administrator)
    • 回答としてマーク 服部清次 2009年8月6日 6:26
    2009年6月3日 1:46
  • nagino様 情報ありがとうございます。
    参考にさせていただきます。(英語が苦手なので少しずつ翻訳しながら・・・)

    イベントログ: 「ローカル システム の証明書の自動登録で ~ から ROOT ストアの証明書をダウンロードできませんでした」 が影響を及ぼすとしたらどんな事が考えられるか(可能性の問題として)分かりますでしょうか?

    現在該当のサーバー(ファイルサーバー)は問題なく稼動しているように思えますので、長期戦覚悟で調査を進めようかと考えています。

    宜しくお願いいたします。

    2009年6月4日 5:17
  • こんにちは、
    フォーラムオペレーターの三沢健二です。

    にわか管理者 さん、その後のご状況はいかがでしょうか?
    投稿から少しお時間が経ってしまいましたが、私のほうでも少し調べてみました。


    エラーの内容からは、Active Direcotry に格納されている、証明機関 (CA) のルート証明書のダウンロードに失敗しているように見受けられますね。

    ダウンロードに失敗している原因については、ネットワークトラブルなど様々な要因が考えられますが、撤去したドメインコントローラー(Windows2000ServerSP4) が、CA サーバーとして稼働していた可能性も考えられます。

    以下の URL に記載されているような設定を、撤去したドメインコントローラーに対して行われた覚えはないでしょうか?

    - 参考資料
    http://www.atmarkit.co.jp/fwin2k/win2ktips/920iiscert5/iiscert5.html

    もしくは、証明書や CA に関する構築手順書などをお持ちであれば、そちらを確認いただくと、何かヒントが見つかる可能性があるかなと思います。
    そういった資料も確認してみてはいかがでしょうか。


    なお、にわか管理者 さんが気にされていた、このエラーが記録された場合の影響についてですが、ファイルサーバーの運用上、特に問題が発生していないのであれば、無視されても構わないかと思われます。
    ですが、そちらの環境の事を全て把握しているわけではないので、明確なお答えは難しいです。すいません。。。


    にわか管理者さんがお考えのとおり、やはり、即解決というのは難しい感じの現象だと思いますが・・・
    こちらの情報が少しでも にわか管理者 さんのお役にたてれば幸いです!


    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

    • 回答としてマーク 服部清次 2009年8月6日 6:27
    2009年7月6日 0:44
    モデレータ
  • 三沢健二さん、情報ありがとうございます。

    ご指摘頂きました「証明書サービス」はインストールをした覚えがありませんでした。

    今のところ進展はない状態です。ただ、ファイルサーバーの動作には特に問題は見られないので
    引き続き様子を見て調査を進めようと思います。

    宜しくお願いいたします。
    2009年7月6日 4:31
  • にわか管理者 さん、こんにちは。

    フォーラムオペレーターの三沢健二です。

    そうですか、情報がお役に立てなかったようで、残念です。。。

    AutoEnrollment のイベント自体は、ポリシーなどで証明書の自動登録を無効にすると発生しなくなると思うのですが、無効にする事で別の問題が発生する可能性もあるので、なかなか対応が難しいところです。


    その後も、私のほうで色々と調べてみたのですが、やはり有効な情報がなさそうでしたので、運用上は問題がないとのことなのでお急ぎではないと思いますが、原因の追及が必要な場合は、nagino さんもコメントされているように、有償サポートを利用されるのが一番確実かなと思われます。


    今回は、あまり参考にならなかったようですみません・・・
    その後の調査などでお分かりになったことがあれば、ぜひご投稿ください!
     
    それでは、これからもよろしくお願いいたします。


    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年7月7日 9:39
    モデレータ
  • にわか管理者 さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    にわか管理者 さんがこちらの質問を投稿されてから少し時間が経ちましたが、その後の状況はいかがでしょうか?

    にわか管理者 さんの現在の状況が気になるところなのですが、、、こちらの問題に関しましては情報がかなり少ないようですので、同じ問題に遭遇された他の方々に1つの確認ポイントとして参照していただくためにも、勝手ながら、ひとまず私の方で、nagino さんと弊社の三沢健二の回答に [回答としてマーク] のチェックを付けさせていただきました。
    もし、まだ にわか管理者 さんの環境で問題が引き続き発生していて、このまま質問の継続をご希望の場合は、遠慮なく [回答としてマーク] のチェックを外して返信してください。
    また、その後新たに発見されたことなどがありましたら、ぜひ情報を共有していただけると嬉しいです。 (^^)

    また何か問題や疑問がありましたら、ぜひ TechNet フォーラムに投稿してください。
    これからも、よろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年8月6日 6:43