私の会社には、プライマリ AD サーバーである Windows Server 2003 R2 サーバーがあり、Windows ベースのほぼすべての機能 (AD、ファイル共有、プリンタ共有など) がこのサーバー上で実行されています。ドメインの機能レベルは Windows Server 2003 ですが、フォレストの機能レベルは Windows 2000 です (ドメインは主に Windows 2000 Server マシンでホストされていました)。
数週間前、同僚と私は Windows 2000 Server をドメインから削除し、すべての FSMO ロールを Windows Server 2003 マシンに移動して、それをプライマリで唯一のドメイン コントローラにしました。残念ながら、GPO やログイン スクリプトなど、いくつかの項目を移動し忘れていました。ログイン スクリプトの大部分と GPO は再作成されましたが、まだいくつかの小さな問題が残っています。その 1 つは、約 5 分ごとに発生する次の小さなエラーです。
Windows は、GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9}、CN=Policies、CN=System、DC=OURDOMAIN、DC=com のファイル gpt.ini にアクセスできません。ファイルは、<\OURDOMAIN.com\sysvol\OURDOMAIN.com\Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini> の場所に存在する必要があります。(システムは指定されたパスを見つけることができません。) グループ ポリシーの処理は中止されました。
このエラーを受け取った直後に、次のエラーが表示されます。
Windows はグループ ポリシー オブジェクトの一覧を照会できません。イベント ログで、ポリシー エンジンによって以前に記録された、この理由を説明するメッセージがあるかどうかを確認してください。
現在、フォルダー リダイレクトなどの再作成したものは、現在問題なく動作しています。つまり、存在する GPO はクライアント ワークステーションによって検出され、適用されているということです。その点では問題ありません。ただし、これらのエラーは煩わしいので、解消したいと思っています (毎朝、すべてのエラーのコピーを受信トレイで受信しています)。
dcgpofix を実行しようとしましたが、次のエラー メッセージが表示されるだけです。
Microsoft Windows [バージョン 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp.
U:>dcgpofix
Microsoft(R) Windows(R) オペレーティング システムの既定のグループ ポリシー復元ユーティリティ v5.1
著作権 (C) Microsoft Corporation. 1981-2003
説明: ドメインの既定のグループ ポリシー オブジェクト (GPO) を再作成します。
構文: DcGPOFix [/ignoreschema] [/Target: ドメイン | DC | 両方]
このユーティリティは、既定のドメイン ポリシーまたは既定のドメイン コントローラ ポリシーのいずれかまたは両方を、クリーン インストール直後の状態に復元できます。この操作を実行するには、ドメイン管理者である必要があります。
警告: これらの GPO に加えた変更はすべて失われます。このユーティリティは、障害復旧のみを目的としています。
このドメインの Active Directory スキーマ バージョンと、このツールでサポートされているバージョンが一致しません。GPO は、/ignoreschema コマンド ライン パラメータを使用して復元できます。ただし、Active Directory スキーマの更新バージョンが含まれている可能性のあるこのツールの更新バージョンを入手することをお勧めします。誤ったスキーマで GPO を復元すると、予期しない動作が発生する可能性があります。復元に失敗しました。詳細については、前のメッセージを参照してください。
いつものように、私が省略していて、この問題を解決するために伝える必要がある重要なことがあれば、コメントしていただければ、それを含めます。
コメントは 600 文字に制限されているため、詳細情報は次のとおりです。
クライアントとサーバーの両方から \ourdomain\sysvol と \ourdomain.com\sysvol を参照することはできます。実際に問題となっているのは、プライマリ AD サーバーの C:\WINDOWS\SYSVOL\sysvol\ourdomain.com\Policies ディレクトリに {6AC17...} ディレクトリがないことです。以上です。まったくレプリケートされませんでした。ログイン スクリプトと GPO を手動で完全に再構築する必要があったため、正直言って何もレプリケートされていないと思います。
古い Win2k サーバーを廃止したのは私ではありませんが、見ている限りでは、それをやった人が問題に遭遇し、実際に新しいシステムで FSMO の役割を奪取しなければならなかったようです。私の記憶が正しければ、Sysvol は手動で再構築する必要があり、NETLOGON は、どこかで参照されているようで存在しないこの GPO を除いて、現在の GPO と同様に、正確には設定されていませんが、動作します。
この問題を解決するために私が実行した手順のリストは次のとおりです。
- C:\WINDOWS\SYSVOL\sosvol\ourdomain.com\Policies ディレクトリでファイルを検索しましたが、存在しません
- \ourdomain.com\sysvol と \ourdomain\sysvol でファイルを検索しましたが、やはり存在しませんでした。ここにある 2 つのファイルから、GPO がシステムのどこにも存在しないことがわかります。
- サーバーのファイルシステム全体を検索して一致するものを探しました6AC1786CWindows 2000 Server の 6 年前の古いバックアップ以外は何も見つかりませんでした。
- dcgpofix を実行しようとしましたが、ドメインのスキーマ タイプがツールのスキーマ タイプと一致しないという事実を理由に失敗に終わりました。
- dfsutil /PurgeMupCache を実行しましたが、実質的には何も起こりませんでした。
答え1
ログオン スクリプトと GPO を「移動する」という話を聞くと、SYSVOL を適切に複製しなかったのではないかと思います。グループ ポリシーのファイル ベースの部分は、新しいサーバー コンピュータの SYSVOL に自動的に複製されます。複製された内容と複製されなかった内容、および実行した手順によっては、事態が深刻に混乱する可能性があります。
そうは言っても、すべてのクライアント コンピューターでエラーが発生していない場合、「既定のドメイン ポリシー」が「破損」しているか欠落している可能性は低いでしょう。(クライアントでのエラーは、5 分ごとよりもずっと少ない頻度で発生します。90 分ごとに 1 回発生します。)
サーバー コンピュータ自体で名前解決、DFS、またはファイルとプリンタの共有プロトコルの問題が発生しているように見えます。
いくつかの質問:
- サーバー コンピューター上の DCDIAG の出力はどのようになりますか?
- サーバーは、DNS サーバーとして自分自身 (そして自分自身のみ) を使用していますか?
- サーバー コンピューターの Windows エクスプローラーから GPO のパス (エラー メッセージ内) を参照できますか?
答え2
私も同様の問題を抱えていましたが、メモを調べて「dfsutil /PurgeMupCache」を使って解決しました。dfsutil は 2k3 インストール CD のサポート ツールにあると思います。これは Knowledge Base の記事から得たものだと思いますが、メモにはそれがどれかは記載されていません。Google で検索する価値はあります。
JR
答え3
どうやら同僚は GPO を再構築し、古い GPO の痕跡を削除することで問題を解決したようです。彼がどのようにそれを実行したかは正確にはわかりませんが、さらに詳しい情報が見つかったら、この投稿を更新して、判明したことをお知らせします。