ADサーバ(Win2012STD)へのGPOの適用
お客様にて利用している現行ADサーバ(WindowsServer2012STD x64)に対し、新たなGPOを適用しようとしてちょっと切ないミスをしたので書き留めておく。
1.GPOの内容
ADサーバがユーザのログオン認証時に出力するログの設定を変更したく、新たなGPOを作成した(コンピュータに対するポリシー)。通常ADサーバは、\ドメイン名\DomainControllers\ というOUの配下に管理されている。
今回もその例外ではなく、当OU配下にADサーバが所属していることを確認した。ADに対してのみ適用したいGPOであるため、\ドメイン名\DomainControllers\にのみ新たなGPOを適用する。
尚、今回のGPOはコンピュータに対するポリシーであるため適用後は設定を反映させるべくOSの再起動を行う。
2.ポリシーの適用と再起動
ADサーバが冗長構成(2台出れプリケーと)であったため、ポリシー適用後2号機からOS再起動を行う。起動確認後10分ほどおいて、1号機の再起動を行う。2台の再起動完了後、10分ほど置いた後に以下の動作確認を行った。
①gpresult /r
→GPOの適用状態確認。(よしよし当たってる当たってる)
②rsop
→GPOの適用状態確認。(...あれ!?当たってない!!)
③repadmin /showrepl
→レプリケーションの確認(よしよし、レプリケートできてるな)
④dcdiag /v
→レプリケーションの確認(...oh, FSREvent失敗しとるやんけ。。)
3.やれやれだぜ
上記②で確認したとおり、GPO自体は適用されていたが肝心のポリシーが別のポリシーにより上書きされ無意味な状態となっていた。これは、私が新たに当てたポリシーの内容を元々設定されていたポリシー(Default Domain controllers Policy)により上書きされていたためだった。
そうです、私のポリシーの優先順位づけの誤りです。(恥ずかしい。先輩に挙手して『恥ずかしいミスをしました』と報告済み。)設定を但し、再度OSを再起動しポリシーが想定通り適用されることを確認した。
4.尻拭い
上記④で確認したとおり、レプリケーションの一部が失敗していた。
ただ、今回私が変更した箇所では手を触れていない部分の失敗であるため地雷を踏んだなとひっそり思った。
が、このままでは正常終了報告ができないのでちゃんとトラブルシューティングをしました。(くっそ、なんでだよ。ガッデム。管理者肥えろ)
色々模索すると、以下の記事を発見した。
参考:クリアインストールした AD 間で SYSVOL 共有が複製されていなかった場合の原因と対処 at SE の雑記
いっやー。まさかねーと思って、各ADサーバの参照DNSを確認したら1号機は優先DNSとして1号機を参照し、2号機は優先DNSとして2号機を参照していた。(なんだこのオレオレ設定は!自分大好きかよヽ(`Д´#)ノ)
切り分けとして対応してみても良かったが、これ以上OS再起動をしたくなかったので1時間ほど引き続き原因調査を行った。するとdcdiagによる検査結果ではエラーとなっているものの直後、イベントログには正常にレプリケートするようになったとログが出力されていた。
また、サイトとドメインサービスからNTDSLを参照しても、レプリケートを試みても特段問題がないことを確認した。DNSの設定がイマイチなことには目を伏せ(何も見てない(〃ノωノ))状況注視として一度完了とした。
追伸:サーキットトレーニングきつ過ぎる!
#WindowsServer2012STD #ActiveDirectory #サーキットトレーニング
以上