Q&A
ちょっと切り分けのために情報をください[ドメインに接続しているクライアント](1)コマンドプロンプトで「nslookup ドメイン名」を実行して名前解決できるでしょうか(2)(1)がOKな場合に「ping ドメイン名」で疎通可能でしょうか(3)クライアントは何台あるでしょうか。また、全て同じ結果でしょうか[ドメインコントローラ](1)ActiveDirectoryユーザとコンピュータの「コンピュータ」というところにクライアント名のオブジェクトはあるでしょうか
お世話になっております。
最近、Active Directoryでドメイン環境を構築したものなのですが、
ドメインに接続しているクライアントにて「gpupdate /force」コマンドを打つと下記のようなエラーが発生致します。
(Win10 Proにてドメイン参加は出来ている状態で、優先DNSもドメインサーバを指定しております。)
~~~
ポリシーを最新の情報に更新しています...
コンピューター ポリシーを更新できませんでした。次のエラーが発生しました:
グループ ポリシーの処理に失敗しました。コンピューター名を解決できませんでした。次のいずれかまたは両方が原因である可能性 があります:
a) 現在のドメイン コントローラーでの名前解決エラー。
b) Active Directory のレプリケーションの潜在期間 (別のドメイン コントローラーに作成されたアカウントが現在のドメイン コントローラーにレプリケートされていない)。
ユーザー ポリシーを更新できませんでした。次のエラーが発生しました:
グループ ポリシーの処理に失敗しました。ユーザー名を解決できませんでした。次のいずれかまたは両方が原因である可能性があり ます:
a) 現在のドメイン コントローラーでの名前解決エラー。
b) Active Directory のレプリケーションの潜在期間 (別のドメイン コントローラーに作成されたアカウントが現在のドメイン コントローラーにレプリケートされていない)。
エラーを診断するには、イベント ログを参照するか、またはコマンド ラインから GPRESULT /H GPReport.html を実行してグループ ポリシーの結果についての情報にアクセスしてください。
~~~
なお、イベントログではエラー1053・1055で出力されている状態です。
当たり前だとは思うのですが、ドメインサーバ上で該当ユーザにてログインして「gpresult」や「gpupdate」しても
問題無く処理は行われます。
かなり初めのところでつまずいていると思うのですが、
何かご知恵を頂けますと幸いです。
ご返信、有難う御座います!ドメイン名は仮で「XXX.local」とします。
Win10 Pro上でドメイン参加した際は「XXX」と入力し参加しました。
[ドメインに接続しているクライアント]
(1)サーバー・Address・名前の順で出てそのあとが出ないです。(引けてない?)
参考ですが(2)に関しても「ping 要求ではホスト XXX.local が見つかりませんでした。
ホスト名を確認してもう一度実行してください。」となりました。
(3)まだテスト中の為に1・2台程度です。
[ドメインコントローラ]
(1)存在しております。
以上、宜しくお願い致します。
追加情報になりますが、クライアント側のhostsは特に設定しておりません。また、サーバ側でgpresultした際の適用元は「(ドメコンのホスト名).XXX.local」となっております。他に不足している情報がありましたらご指摘お願い致します。(サーバ側ではクライアント側でログインしているユーザでログインするとgpupdateも通ります)
[ドメインに接続しているクライアント]のDNS設定が悪そうです。クライアントで(1)[ipconfig /all]を実行してプライマリDNSサフィックスが「XXX.local」になってますでしょうか(2)DNSに設定しているIPアドレスがドメインコントローラのものと一致しているか確認できますでしょうか(3)DNSのIPアドレスにpingは飛ぶでしょうか
有難う御座います。(1)なっておりました(2)サーバ側のセカンダリが127.0.0.1になっていたのは消してクライアント側と相違無い状態にしました、が、ダメでした。なお、優先DNSはサーバのIPアドレスです。(3)飛びました(=サーバ側のIPアドレスにpingが飛んでいる)
ちなみに、ファイアウォール的な要件は御座いますでしょうか?両方共に一時的に無効にしたもののやはりNGでした。。
FW的なところだとファイル共有のポートが空いていないと基本はダメですね(NGな場合はそもそもドメイン参加できないです)。クライアント側でエクスプローラ(フォルダ構成みるやつ)を開いて、パスを記述するところに「\\XXX.local」と入力したらどうなるでしょうか。正常だとSYSSVOL等の共有が見れるはずです。※名前解決がそもそも出来ていないので何をしてもダメかもしれません
DNSで名前解決できないとADドメインは利用できないのでその周りで確認してください
了解致しました。継続して確認してみます。「XXX.local」では通りませんでしたが、「(サーバのホスト名).XXX.local」では通りました。ID / PASSはAdministratorで確認し共有の一覧が確認出来ましたが、SYSVOLの中を覗こうとすると弾かれました。
ドメインで必要になるのは「XXX.local」なので、こちらが名前解決できないとダメです。共有フォルダにアクセスできれば通信ポート的には空いているので大丈夫だと思います。そもそもドメインに参加しているクライアントにドメインユーザでログインすれば認証ダイアログが出ませんが・・・
ホスト名.XXX.localで名前解決できるのであればDNSが動いてそうです。ADで必要となるSRVレコードがあるかどうか確認してもらえますか[https://support.microsoft.com/ja-jp/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont]
DNSマネージャーにて確認したところ、「XXX.local」直下はSOA・NS・A2つ(サーバと自マシン)と「_msdcs」でした。SRVが無いのが原因ですかね。。そもそも、DNSがインストール時に上手く入っていなかったのでしょうか。
このあたりで対応出来ないでしょうか https://ameblo.jp/marusa99/entry-10087281748.html
別のリンクを参照してましたが、まさにその方法で対応出来ました。念の為にドメインに参加し直して無事にgpupdate・gpresult共に出来たことを確認しております!色々とご教示頂き、有難う御座いました。
回答1件
0
自己解決
gitya107様のレスにもありますが
http://www.atmarkit.co.jp/ait/articles/0305/24/news003.html
同様の方法を参考にしながら実施したところ
SRVレコードが正常に登録されました!
レスを頂いた、gitya107様、色々と有難う御座いました。
投稿2018/03/16 06:49
総合スコア16
あなたの回答
tips
プレビュー
