久々の更新なんだけど、とある会社で起こったことを今後の対策としてメモしています。
※ エラー番号:0x800b0101 の対策なら以下参照。
<https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/200.html>
その会社、もともとWindows 2000 Server をDCとして使っていました。
ところが2年前、Windows Server 2008 にサーバー移行しまして、
それから現在に至るまで2008DCでの運用をしていていました。
そこへ昨年2月にそれまでWindowsXPで業務をしていたPCが壊れてしまい、
新規で 「Windows 7 Professional」を1台だけ導入したそうで社長も大満足で運用しておりました。
そして、そんななか昨年リリースのService Pack1 を自動更新にてインストールしようとしたらしく、
インストールは正常に完了しませんでした
不明なエラーが発生しました。(詳細)
エラー:0x800f0826
というエラーが表示されたんだそうで、それから先月(8月)まで何度もインストールを試みていたそうなのですが、
いっこうに成功する気配もなかったそうで、こちらに依頼をされたようでした。もうすぐSP2が出るし、新OSも出るというのに・・・
こちらもどういったものかわからなかったので、その手順を再現してもらおうと思い、何度か実行してもらったのですが、
インストールが終わり再起動してからService Pack の構成中 の3%か、7%のところで失敗しました、
と出るので、同じところだとすればグループポリシーが怪しいかな?と思ったので、
コンピュータの構成のグループポリシーをすべて外して再試行するとすんなりと成功してしまいました。
この日はそこの社長、以前から何度も失敗していたので「ウィルスにやられたのかな?」と言っていたのだけど、
心の中ではそれはないだろうなあ~と思いながら、「そうかもしれませんねえ」と適当に答えておきました。
ま、とりあえずその日はウィルスが原因ということにして自宅へ帰ったのですが、
ちょっと気になったのでVMマシンで再現してみようと思い、自宅で似たような環境を作って実験してみた結果、
やはりGPOでのコンピュータの構成で失敗してしまいました。
そしてさらに原因を突き止めようとあれこれとグループポリシーを作成と検証をしてみた結果、
Windows 7 に割り当てているポリシーのうち、1つでも必要条件に
「Microsoft Windows 2003、Windows XP、および Windows 2000のみ」や、
「Microsoft Windows 2000 のみ」 などという項目のグループポリシーが適用されていると失敗する―――
というでした。これは、考えてみたら当たり前のことですが、意外と盲点なのかな?と思ったりもしました。
Windows Server 2003 までの時代だったらシステムはそんなに変わっていなかったからなのかな?
「Microsoft Windows 2000 のみ」 のポリシー項目がWindows XP 用に作成した
グループポリシーにも割り振られてても気付かなかっただけなのかもですねぇ…
-----------------------------------------------------------
ファイアウォール グループ ポリシーに、WMIフィルターを設定する。
-----------------------------------------------------------
ここでは、以下の条件を想定するとして・・・
ドメイン コントローラー
Windows Server 2008 SP2
クライアント
Windows 7 SP1
操作できるユーザーのグループ(いずれかに所属していればよい)
Domain Admins
Enterprise Admins
Group Policy Creator Owners
①[グループ ポリシーの管理]を、Windows 7 端末より展開する。
②[グループ ポリシーの管理]ウィンドウ左側下方にある、WMI フィルターを右クリックし、「新規」をクリックする。
③[新しい WMI フィルター]ウィンドウが表示されるので、[名前]へわかりやすい名前をつける。
④「追加」をクリックする。
⑤以下の文字列を入力する。
select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"
⑥「OK」をクリックする。
⑦「保存」をクリックし、[新しい WMI フィルター]ウィンドウを閉じる。
⑧[グループ ポリシーの管理]ウィンドウに戻り、Windows FireWall ルールがあれば、そのポリシーを選択する。
⑨[スコープ]タブの下方にある、WMI フィルター処理へ、先ほど名前をつけたフィルターを選択する。
⑩[グループポリシーの管理]ウィンドウが表示されるので、「はい」をクリックする。
※WMI エラー 0x80041003 が出る場合には、こちらへ行って修正方法を確認する。
このWMI フィルターっていう設定、要はWindows Vista 以降用に作られたグループポリシー向けのもので、
Windows XP 以前のポリシーと混在させないためのものでして・・・
とはいっても、Windows Server 2003 にもあるんですけどね。
意外と知らない方が多かったので、自分メモとして忘れないように加筆してみました。
まとめ:現時点で 「Windows 7」 に割り当てているポリシーをもう一度確認すること。
次から新OSが出た場合にも必要条件を確認する。
必要条件に書いている内容「Windows 2003 のみ」、「Windows Vista 以降」や、
「Microsoft Windows 2000 Service Pack 3、Microsoft Windows XP Professional Service Pack 1、またはそれ以降」 など書かれている文章を改めて読み直すことが重要だと感じました。
『~、またはそれ以降』と書いていないもの、『~、のみ』という項目があればグループポリシーのチェックが必要である、と。
新OSではそういうことがないと思いますが、Windows8 Release Preview版でもう少し遊んでみようと思います。
たぶんそこの会社が、「Windows 2000」「Windows XP」「Windows 2008」
「Windows 7」など、混在環境だったから気づかなかっただけなのかな?と思いました。
後で担当者に聞けば、予想通り?で、グループポリシー編集はWindows2008から行なっていたそうで、
今度からはWindows 7の端末に「Windows 7用のリモートサーバー管理ツール」を
マイクロソフトのサイトからダウンロード・インストールしてもらったら、続いてコントロール パネルを開き、
「プログラム」-「プログラムと機能」-「Windows の機能の有効化または無効化」を実行して「Windows の機能」にある
「リモート サーバー管理ツール」-「グループポリシー管理ツール」を選んでおかないと使用できないので、
使用できる状態にして管理はWindows 7から実行してくださいね、とだけ言っておきました。
「スタートメニュー」-「管理ツール」を押して以下の画像のように「グループポリシーの管理」が表示していれば成功です。
※追記です。このPC、ほとんど内部向けのドメイン環境でのみの使用だそうで、
ウィルス対策ソフトは入れていないんだそうです。
------------------------------------------------------------
これは参考になる?
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/218.html