Windows 2000 におけるグループ ポリシーのトラブルシューティング

  • [アーティクル]

オペレーティング システム

概要
このホワイト ペーパーでは、IT 管理者がグループ ポリシーに関する問題を解決する方法を説明します。コマンド ライン ツールの使い方、ログのアクセス方法と使用方法、一般的なトラブルシューティング シナリオ、ソフトウェアのインストールに関する問題の解決方法、トラブルシューティング用のチェックリスト、およびベスト プラクティスを示します。このホワイト ペーパーには、技術的に高度な内容が含まれています。記述内容を正しく理解するには、グループ ポリシーに関する基礎知識が必要です。

謝辞
John Kaiser/テクニカル ライター/Microsoft Corporation.
Mohammed Samji/プログラム マネージャ/Microsoft Corporation.
Chris IIac,、Mike Treit、Judith Herman、Scott Cousens、Ken Maybee/Group Policy Test Team/Microsoft Corporation.

トピック

はじめに はじめに
グループ ポリシーを理解する グループ ポリシーを理解する
グループ ポリシー トラブルシューティング ツールを使用する グループ ポリシー トラブルシューティング ツールを使用する
ログ ファイルでグループ ポリシーを監視する ログ ファイルでグループ ポリシーを監視する
グループ ポリシーで発生しがちな問題を解決する グループ ポリシーで発生しがちな問題を解決する
グループ ポリシーのソフトウェア インストールをトラブルシューティングする グループ ポリシーのソフトウェア インストールをトラブルシューティングする
ベスト プラクティス ベスト プラクティス
詳細情報 詳細情報

はじめに

このホワイト ペーパーでは、管理者がグループ ポリシーに関する問題を解決する方法を説明します。このホワイト ペーパーは、以下の節に分かれています。

  • グループ ポリシーを理解する
    グループ ポリシーをトラブルシューティングする上で前提となる基礎知識や詳細情報が述べられているホワイト ペーパーを紹介します。

  • グループ ポリシー トラブルシューティング ツールを使用する
    グループ ポリシーのトラブルシューティング用のツールおよびその他のリソースの使用方法を説明します。

  • ログ ファイルでグループ ポリシーを監視する
    グループ ポリシーの監視とトラブルシューティングにログ ファイルを利用する方法を示します。

  • グループ ポリシーで発生しがちな問題を解決する
    グループ ポリシーに関して発生しがちな問題に対するステップ バイ ステップのチェックリストを示します。

  • グループ ポリシーのソフトウェア インストールをトラブルシューティングする
    発生しがちな問題への対処方法を説明します。問題を特定するためのチェックリストも示します。

  • ベスト プラクティス
    トラブルシューティングが必要になることをできるだけ少なくするための一般的なガイドラインを示します。

ページのトップへ ページのトップへ

グループ ポリシーを理解する

このホワイト ペーパーは、IT 管理者をはじめとして、グループ ポリシーの知識が十分にある読者を対象としています。グループ ポリシーについて理解するには、以下のドキュメントを参照してください。

『Windows 2000 グループ ポリシー』 ホワイト ペーパー

『Implementing Registry-based Group Policy』 (英語)

Windows 2000 グループ ポリシー

ページのトップへ ページのトップへ

グループ ポリシー トラブルシューティング ツールを使用する

ここでは、Windows® 2000 オペレーティング システムにおけるグループ ポリシーのトラブルシューティング用ツールについて説明します。

  • グループ ポリシーのドキュメント

  • グループ ポリシーの結果ツール (GPResult.exe)

  • グループ ポリシー検証ツール (GPOTool.exe)

  • Active Directory Replication Monitor (ReplMon.exe)

  • Network Connectivity Tester (Netdiag.exe)

  • サードパーティ製ツール

グループ ポリシーのドキュメント

グループ ポリシー エディタでは、管理用テンプレート (ADM) ポリシーに関するドキュメントに [説明] タブから簡単にアクセスできます。[説明] タブでは、ポリシーの設定を変更すると、どのような結果になるかを事前に確認できます。

ポリシーの [説明] タブを開くには :

  • グループ ポリシー エディタ MMC スナップインを開きます。適切なポリシーを右クリックして [プロパティ] を選択し、[説明] タブをクリックします。

グループ ポリシー リファレンス
さらに、現在のバージョンのグループ ポリシー エディタに用意されているポリシー設定値を網羅したグループ ポリシー リファレンス ヘルプ ファイルを参照することもできます。このヘルプ ファイルは、https://www.microsoft.com/japan/windows2000/techinfo/reskit/default.asp から入手できる Windows 2000 リソース キットに付属しています。

グループ ポリシーの結果 ツール (GPResult.exe)
これは、グループ ポリシーをテストするコンピュータ上で実行するコマンド ライン ツールです。GPResult を実行するには :

  1. [スタート] メニューの [ファイル名を指定して実行] をクリックし、「cmd」と入力してコマンド ウィンドウを開きます。

  2. 下の図 1 に示すように、「gpresult」と入力して出力をテキスト ファイルにリダイレクトします。

    tshoot01

    図 1: GPResult データをテキスト ファイルにリダイレクトする

  3. notepad gp.txt」と入力して出力ファイルを開きます。

GPResult の出力には、以下のような全般的な情報が含まれます。

  • オペレーティング システム

    • 種類 (Professional、Server、ドメイン コントローラ)

    • ビルド番号およびサービス パックの詳細

    • ターミナル サービスがインストールされているかどうか、インストールされている場合は、どのモードを使用しているか

  • ユーザー情報

    • ユーザー名および Active Directory™ 内での位置 (該当する場合)

    • ドメインの名前と種類 (Windows 2000 または Windows NT®)

    • サイト名

    • ユーザーのプロファイルがローカル プロファイルと移動プロファイルのどちらであるか、またプロファイルがどこに保存されているか

    • セキュリティ グループ メンバシップ

    • セキュリティ特権

  • コンピュータ情報

    • コンピュータ名および Active Directory 内での位置 (該当する場合)

    • ドメインの名前と種類 (Windows 2000 または Windows NT)

    • サイト名

ポリシーの適用に関する情報
GPResult の出力には、以下のように、グループ ポリシーに関する情報も示されます。

  • ポリシーが前回適用された日時とポリシーを適用したドメイン コントローラ (ユーザーとコンピュータのそれぞれについて)

  • 適用済みのグループ ポリシー オブジェクトとその詳細のリスト (各グループ ポリシー オブジェクトに格納されている拡張機能の概要を含む)

  • 適用されたレジストリ設定値とその詳細

  • リダイレクトされているフォルダとその詳細

  • 割り当て済みおよび公開済みのアプリケーションの詳細を示すソフトウェア管理情報

  • ディスク クォータ情報

  • IP セキュリティの設定

  • スクリプト

GPResult を異なるモードで使用する
表 1 に示すように、GPResult ではモードを使い分けることで、情報の詳細レベルを変更できます。

1 GPResult の構文

モード

説明

コマンド

詳細モード

出力に以下の項目が追加されます。
ユーザーのセキュリティ特権のリスト
グローバル一意識別子 (GUID)、フレンドリ名、バージョン、およびソースを含むグループ ポリシー オブジェクトの詳細情報
以下のグループ ポリシー拡張機能の詳細
・ 管理用テンプレート (レジストリ ベースのポリシー)
・ アプリケーション管理
・ ディスク クォータ
・ フォルダのリダイレクト
・ IP セキュリティ
・ スクリプト

gpresult /v

超詳細モード

上記の項目のほかに、以下の項目が追加されます。
・ バイナリ レジストリ設定値のバイナリ値 (該当する場合)
・ [アプリケーションの追加と削除] に表示するアプリケーションの詳細リスト
・ グループ ポリシー オブジェクトの両方のバージョン番号 - グループ ポリシー コンテナ (GPC) のバージョン番号と、バイナリ レジストリ値を含むグループ ポリシー テンプレート (GPT) のバージョン番号の両方

gpresult /s

コンピュータ設定のみ

結果をコンピュータ設定だけに絞り込みます。

gpresult /c

ユーザー設定のみ

結果をユーザー設定だけに絞り込みます。

gpresult /u

このツールの入手方法
GPResult は、Windows 2000 リソース キットに付属していますが、https://support.microsoft.com/kb/927229 から無料でダウンロードすることもできます。GPResult が出力する情報の詳細については、ダウンロード パッケージに含まれている readme ファイルを参照してください。

グループ ポリシー 検証ツール (GPOTool.exe)
GPOTool.exe は、複製されたドメイン (複数のドメイン コントローラが存在するドメイン) で使用するコマンド ライン ツールです。このツールでは、複数のドメイン コントローラ (DC) を走査し、DC ごとにグループ ポリシー コンテナ (DS に格納されている情報) とグループ ポリシー テンプレート (DC 上の sysvol に格納されている情報) の間の整合性をチェックします。また、ポリシーが有効であり、なおかつすべての DC 間で一貫しているかどうかをチェックし、ドメイン コントローラ間で複製された GPO に関する詳細情報を表示します。

グループ ポリシー情報の複製に問題があると疑われる場合は、このツールを診断に役立てて、グループ ポリシーが適切に複製されていない個所を特定することができます。このほかに、以下の機能があります。

  • GPO の GUID に基づいて GPO 情報を検索できます。

  • チェック対象を特定のドメイン コントローラまたは優先ドメイン コントローラだけに絞り込むことができます。

  • ほかのドメインに移動して、ポリシーがドメイン (作業中ドメイン以外のドメイン) の間で複製されていることを確認できます。

次の節では、GPOTool の機能をより詳細に説明します。

GPOTool
GPOTool には、以下の機能があります。

  • グループ ポリシー オブジェクトの整合性チェック
    GPOTool は、必須およびオプションのディレクトリ サービス プロパティ、バージョン、フレンドリ名、拡張機能、グローバル一意識別子 (GUID)、および SYSVOL データ (Gpt.ini) を読み取って、ディレクトリ サービスと SYSVOL のバージョン番号を比較し、その他の整合性チェックを行います。拡張機能プロパティに GUID が格納されている場合、機能バージョンは 2 でなければならず、ユーザー/コンピュータ バージョンは 0 より大きい番号でなければなりません。

  • グループ ポリシー オブジェクトの複製チェック
    GPOTool は、各ドメイン コントローラからグループ ポリシー オブジェクトのインスタンスを読み取って比較します。[選択したグループ ポリシー コンテナ (GPC) プロパティと GPT の完全再帰の比較]

  • 特定のグループ ポリシー オブジェクトに関する情報の表示
    機能バージョンや拡張機能 GUID など、グループ ポリシー スナップインからアクセスできないプロパティが含まれます。

  • グループ ポリシー オブジェクトの参照
    コマンド ライン オプションを指定することで、フレンドリ名や GUID に基づいてポリシーを検索できます。フレンドリ名と GUID のどちらについても、部分一致がサポートされています。

  • 優先ドメイン コントローラの使用
    既定では、ドメイン内のすべての利用可能なドメイン コントローラが使用されます。コマンド ラインからドメイン コントローラのリストを渡すと、使用するドメイン コントローラを指定できます。

  • ドメイン間サポート
    異なるドメイン内のポリシーをチェックするためのコマンド ライン オプションが用意されています。

  • 詳細モードでの実行
    すべてのポリシーが有効であれば、そのことを示すメッセージが表示されます。エラーがある場合は、破損しているポリシーに関する情報が表示されます。各ポリシーの詳細情報を表示するように指定するコマンド ライン オプションが用意されています。

このツールの入手方法
GPResult は、Windows 2000 Server リソース キットに付属していますが、https://support.microsoft.com/kb/927229 から無料でダウンロードすることもできます。

Active Directory Replication Monitor (ReplMon.exe)
この GUI ツールでは、ドメイン コントローラ間の複製に関する問題を検証または診断できます。GPOTool ではグループ ポリシー オブジェクトが複製済みかどうかをチェックできますが、ReplMon ツールでは複製の種類に関係なく、複製に関する全般的な問題をチェックできます。グラフィカル インターフェイスを通じて、Active Directory の複製の低レベル ステータスを確認したり、ドメイン コントローラ間の同期を強制実行したり、トポロジをグラフィカルに表示したり、ドメイン コントローラ 複製のステータスとパフォーマンスを監視したりすることができます。

ReplMon ツールは、COM オブジェクトのクライアントとして動作します。Visual Basic® Scripting Edition (VBScript) で独自のアプリケーションやスクリプトを作成するときに ReplMon ツールを使うと、Active Directory から特定のデータを取り出して処理することができます。ReplMon ツールには、ラップされた API 関数が用意されています。これらを利用すると、ドメイン コントローラ間の複製スクリプトをわずか数行の VBScript コードで簡単に作成できます。

次の節では、ReplMon ツールの機能をより詳細に説明します。

Active Directory Replication Monitor の機能
ReplMon ツールには、以下の機能があります。

  • 監視対象のサーバーがグローバル カタログ サーバーであるかどうかを表示します。監視対象のサーバーが提供しているディレクトリ パーティションを自動的に発見し、その詳細をグラフィカルに表示すると共に、インバウンドの複製に使用されている複製パートナーをディレクトリ パーティションごとに示します。ReplMon は、ダイレクト複製パートナー、中間複製パートナー、ブリッジヘッド サーバー、ネットワークから削除されたサーバーを区別してユーザー インターフェイスに表示します。特定の複製パートナーから障害が発生すると、そのパートナーに対応するアイコンの表示が変化します。

  • 複製ステータスの履歴をディレクトリ パーティション別、複製パートナー別に記録します。これにより、2 つのドメイン コントローラ間で発生した問題などに関して、詳細な履歴情報を生成できます。この履歴は、ReplMon のユーザー インターフェイスで確認できるほか、テキスト エディタを通じてオフラインまたはリモートに表示することもできます。

  • ダイレクト複製パートナーのプロパティを表示します。これらのプロパティには、ドメイン コントローラの名前とグローバル一意識別子 (GUID)、ドメイン コントローラから監視対象のサーバーに複製されるディレクトリ パーティション、使用しているトランスポート (RPC または SMTP)、サイト内とサイト間の区別 (RPC 使用時)、前回の成功した複製イベントまたは嗜好された複製イベントの日時、更新シーケンス番号 (USN) の値、2 つのサーバー間の接続の特殊なプロパティなどがあります。

  • 監視対象のサーバーのステータス レポートを生成できます。このレポートに表示される情報には、サーバーのディレクトリ パーティションのステータス レポート、各ディレクトリ パーティションの複製パートナー (ダイレクトおよび中間) のステータス、変更の記録時に監視対象のサーバーがどのドメイン コントローラに通知するかに関する詳細、グループ ポリシー オブジェクトのステータス、動的シングル マスタ操作 (FSMO) の役割を持つドメイン コントローラ、コンピュータ上のパフォーマンス カウンタのスナップショット、サーバーのレジストリ構成などがあります。サーバーのレジストリ構成には、情報整合性チェッカー (KCC)、Active Directory、JET、および LDAP (Lightweight Directory Access Protocol) に関するパラメータが含まれます。さらに、同じレポートにエンタープライズ構成を記録するように指定することもできます。各サイト、各リンク、各リンク ブリッジ、サブネット、およびドメイン コントローラ (ドメインに無関係)、およびこれらの各種オブジェクトのプロパティが含まれます。たとえば、ドメイン コントローラのプロパティについては、複製に使用されるドメイン ネーム システム (DNS) レコードを構成する GUID、Active Directory 内におけるコンピュータ アカウントの位置、サイト間メール アドレス (存在する場合)、コンピュータのホスト名、およびサーバーの特殊フラグ (サーバーがグローバル カタログ サーバーであるかどうかに無関係) が記録されます。これらの情報は、Active Directory 複製に関する問題をトラブルシューティングするときに特に役立ちます。

  • サーバーを参照して選択したり、監視したり、明示的にサーバー内に入るためのサーバー ウィザードが用意されています。監視対象のサーバーの名前を事前定義した .ini ファイルを作成することもできます。ReplMon のユーザー インターフェイスには、この .ini ファイルに含まれているサーバーが表示されます。

  • サイト間トポロジのグラフィカル ビューを表示します。ビュー内の特定のドメイン コントローラを右クリックしてコンテキスト メニューを開くと、そのサーバーのプロパティや、そのサーバーに対応するサイト内接続およびサイト間接続のプロパティをすばやく表示できます。

  • 監視対象のサーバーのプロパティを表示できます。これらのプロパティには、サーバー名、ドメイン ネーム システム (DNS) のホスト名、Active Directory 内におけるコンピュータ アカウントの位置、優先ブリッジヘッド サーバーのステータス、サーバーの特殊フラグ (そのサーバーが同じドメイン用の PDC エミュレータかどうかなど)、FSMO の役割があるとみなされるコンピュータ、複製接続 (管理者が作成した接続オブジェクトと自動生成された接続オブジェクトが区別されます)、作成の理由、監視対象のサーバーの IP 構成などがあります。

  • 自動更新モードにすると、管理者が定義した時間間隔でサーバーがポーリングされ、最新の統計情報および複製状態が取得されます。この機能では、各監視対象サーバーとその複製パートナーの変更履歴が生成されるので、各監視対象サーバー上で発生したトポロジ変更を管理者がその都度確認できます。このモードでは、複製パートナーごとに、複製が失敗した回数も監視されます。失敗回数が管理者定義の値に達すると、イベント ログにメッセージが書き込まれ、管理者に電子メール通知が送信されます。

  • サーバー上で複製をトリガできます。トリガできるのは、特定の複製パートナーとの複製、サイト内のすべてのドメイン コントローラとの複製、現在のサイトとほかのサイトに含まれるすべてのドメイン コントローラとの複製のいずれかです。複製パートナーは、保持しているデータに基づいて確立されます。同期の対象となるドメイン コントローラによっては、一部のドメイン コントローラがこのプロセスに関与しないことがあります。

  • 監視対象のサーバー上で情報整合性チェッカーをトリガして、複製トポロジを再計算できます。

  • 特定の複製パートナーからまだ複製されていない Active Directory 変更をオンデマンドで表示できます。

  • 複製パートナーから監視対象のサーバーに複製された属性を記録するモードをサポートしています。

  • 監視対象のドメイン コントローラによって維持されている信頼関係のリストを表示できます。

  • Active Directory オブジェクト属性のメタデータを表示できます。属性名、バージョン番号、属性が最後に変更された日時、属性を最後に変更したドメイン コントローラ、監視対象サーバー上の USN、および変更が最初に書き込まれたコンピュータ上の USN があります。

  • ReplMon 自体の動作状況をすべて記録するオプションがあります。

  • 複数のフォレストのドメイン コントローラの複製ステータスを同時に監視できるように、代替資格情報をサポートしています。

ReplMon の必要条件
Active Directory Replication Monitor は、Windows 2000 Professional または Windows 2000 Server が稼動しているコンピュータにインストールする必要があります。このコンピュータは、ドメイン コントローラ、メンバ サーバー、メンバ ワークステーション、スタンドアロン コンピュータのいずれでもかまいません。ReplMon では、異なるフォレストのドメイン コントローラを同時に監視することもできます。

:
Windows 2000 のローカライズ版に ReplMon をインストールする場合は、ReplMon の動作に必要な Visual Basic が正しく登録されないことがあります。この問題は、拡張文字が含まれているディレクトリに Windows 2000 サポート ツールをインストールした場合にのみ発生します。この問題を回避するには、サポート ツールをいったんアンインストールし、既定のフォルダ (\Program Files\Support Tools) にインストールし直してください。

Active Directory Replication Monitor に関するトラブルシューティング

Active Directory Replication Monitor イベントのログ
Active Directory Replication Monitor の実行中にエラーが発生した場合は、内部アプリケーション イベントの診断デバッグ ログを有効化できます。このモードでは、サーバーの監視中に発生したイベントがアプリケーション ログに書き込まれます。問題の原因特定に役立ちます。

デバッグ ログを有効化するには :

  1. [View] メニューの [Option] をクリックします。

  2. [General] タブで、[Log File] の [Enable Debug Logging] チェック ボックスをオンにします。

変更は即時に反映されます。統計情報の次回更新時にイベントがイベント ログまたは指定したファイルに書き込まれます。

:
このオプションをオンにすると、アプリケーション ログのサイズが急激に増えることがあります。イベント ログの書き込みに支障が生じないようにログ プロパティを適切に設定してください。

このツールの入手方法
ReplMon は、Windows 2000 Server リソース キットに付属しています。詳細については https://www.microsoft.com/japan/windows2000/techinfo/reskit/default.asp を参照してください。

Network Connectivity Tester (Netdiag.exe)
Netdiag は、ネットワーク管理者およびサポート要員のニーズを見据えたコマンド ライン診断ツールです。一連のテストを実施して、ネットワーク クライアントがどのような状態にあり、正しく機能しているかを判定することができます。これらのテストを通じて、ネットワークの状態情報を取得すれば、ネットワークや接続に関する問題をより直接的に特定して隔離することができます。また、パラメータやスイッチを指定しなくても実行できるので、習得が容易です。その分、出力結果の分析に時間を注ぐことができます。

Network Connectivity Tester の機能
Netdiag には、以下の機能があります。

  • Windows Management Instrumentation (WMI) ソース プロバイダ DLL が付属しているので、MSINFO を GUI エントリ ポイントとして使用できます。

  • 静的なネットワーク情報を収集して、ネットワーク ドライバ、プロトコル ドライバ、送受信能力、および既知のターゲットのアクセス可能性をテストすることができます。

  • 入力を受け取って、ほかのアプリケーションやサービスに利用できる出力を返します。

  • Windows 32 ビット オペレーティング システム上で動作します。

  • スケジューラ サービスと併用することで、定期的にレポートを生成できます。

このツールの入手方法
Netdiag は、Windows 2000 リソース キットに付属しています。詳細については https://www.microsoft.com/japan/windows2000/techinfo/reskit/default.asp を参照してください。

Windows 2000 リソース キットに含まれているサードパーティ製ツール
Windows 2000 リソース キットには、Full Armor 社の FAZAM 2000 機能縮小版が付属しています。エンタープライズ GPO の管理においては、このツールが中心的なユーザー インターフェイスとなります。このツールでは、OU とドメインに関連付けられているポリシーが階層表示されます。ポリシーの結果セット (RSoP) 用の機能もいくつか用意されています。RSoP 機能では、コンピュータまたはユーザーが現在の OU からほかの OU に移動したときにグループ ポリシーがどのように変化するかをテストできます。

ページのトップへ ページのトップへ

ログ ファイルでグループ ポリシーを監視する

診断ログを生成すると、グループ ポリシー エンジンの処理に関する詳細情報を記録できます。このログは、Userenv ログと呼ばれ、以下のパスに保存されます。

%windir%\debug\usermode\Userenv.log

userenv ログを有効化するには :

  • 以下のレジストリ キーを探します。

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

  • UserenvDebugLevel = REG_DWORD 0x10002 と設定します。

:
これらのコピーを参照したりコピーしたりするには、ターゲット コンピュータに対するローカル管理者権限が必要です。既定では (UserenvDebugLevel 値を明示的に設定していない場合は)、エラーと警告だけが Userenv ログに報告されます。

Userenv ログに記録される情報

下の図 2 に示すように、Userenv ログには、コンピュータ上のグループ ポリシー処理において発生したエラーの詳細情報が書き込まれます。左から右の順にプロセス コード (cc.500 など)、処理時刻 (日付表示なし)、プロセス名が示され、最後にエラーの説明が示されます。

tshoot02

図 2: Userenv ログに示されるプロセスのエラーと警告
拡大表示する

メモ :
Userenv ログの最大サイズは 1 MB です。システム起動時に Userenv ログが 1 MB を超過していると、その内容が Userenv.bak ファイルにコピーされ、新しい Userenv ログが作成されます。なお、システムを再起動せずに継続して稼動させていると、ログ ファイルのサイズが 1 MB を超過することがあります。

Event ログに書き込まれたトラブルシューティング情報
Userenv ログのほかに、イベント ログをチェックしてグループ ポリシーに関するエラーや警告の有無を調べることもできます。これらは、Userenv をソースとしてイベント ログに記録されます。

:
イベント ログには、すべてのエラーが表示されるわけではありません。ラップトップの場合など、エラーの数が多すぎると問題になるためです。ポリシー処理に関して、より詳細な情報をイベント ログに表示させるには、下に説明するように詳細ログを有効化します。

イベントの詳細ログ
詳細ログのスイッチをオンにすると、グループ ポリシーに関連するイベントがすべて生成され、イベント ログに記録されるようになります。

詳細ログを開始するには、次のレジストリ キーを使います。

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics

  • RunDiagnosticLoggingGroupPolicy = REGDWORD 1 と設定します。

メモ :
このように設定しても、すべてのエラーと警告が表示されるわけではありません。より詳細な情報が必要な場合は、userenv ログを使用してください。

GP 編集中のエラー
GPO の編集時には問題が発生する可能性がありますが、次のログをオンするとエラー情報を追跡できます。

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

GP エディタのログ ファイルを生成するには :

  • GPEditDebugLevel = REG_DWORD 0x10002 と設定します。

  • ログ ファイルのパス : %windir%\debug\usermode\gpedit.log

一部の GP CSE 情報に対してログ ファイルを生成するには :

  • GPTextDebugLevel = REG_DWORD 0x1002 と設定します。

  • ログ ファイルのパス : %windir%\debug\usermode\gptext.log

メモ :
ログ ファイルの設定を有効にするには、グループ ポリシー編集セッションをいったん終了してから再開する必要があります。たとえば、Active Directory ユーザーとコンピュータ ツールを経由してポリシーを編集していた場合なら、ツール全体をいったん終了してから再起動しなければ、ログ情報が表示されません。

プライマリ ドメイン コントローラ (PDC) のステータスに関するトラブルシューティング
ドメイン内に利用可能な DC が存在しなければ、グループ ポリシーを編集できません。プライマリ ドメイン コントローラ (PDC) がダウンしている場合は、別の DC を使用してポリシーを編集するオプションを選択できます。このオプションを選択すると、オブジェクト (OU やグループ ポリシー GPO など) が作成されてから、新規作成されたコンテナに実際に新しいポリシーを追加したり、新規作成された GPO を編集したりできる状態になるまでに遅延が生じることがあります。これは、編集セッション中に複数の DC と通信するようになった場合に発生します。この場合、複製が完了するまで待機すれば遅延がなくなります。また、複製を強制実行することもできます。

PDC ステータスに関するトラブルシューティングには、下記のコマンド ライン ツールを使用できます。このツールは、Windows 2000 Server CD の \SUPPORT\TOOLS フォルダに用意されています。

  • NLTEST.exe
    複数のオプションがあり、すべての DC を対象とするか、既存の PDC だけを対象とするかを指定できます。利用可能な PDC が存在しなければ、エラーが返されます。NLTEST は、ネットワーク管理が以下のようなタスクを実行する場合にも役立ちます。

    • 強制シャットダウン。

    • 信頼関係のステータスの照会とチェック。

    • 信頼関係および Windows ドメイン内の DC 複製の状態のテスト。

    • Windows NT 4.0 またはそれ以前のバージョンのドメイン コントローラ上でのユーザー アカウント データベースの同期化。なお、Windows 2000 ドメイン コントローラでは、まったく異なるメカニズムでユーザー アカウントを維持します。

  • NTDSUTIL.exe
    PDC の役割の所有者を示します。NTDSUTIL には、Active Directory ストアのデータベース保守機能、Flexible Single Master Operations (FSM0) の管理および制御機能、ドメイン コントローラを破棄 (アンインストールせずにネットワークから削除) した後に残されたメタデータのクリーンアップ機能があります。NTDSUTIL は、コマンド プロンプトから実行できるコマンド ライン ユーティリティです。NTDSUTIL ユーティリティのヘルプを表示するには、コマンド プロンプトに「ntdsutil /?」と入力します。

ページのトップへ ページのトップへ

グループ ポリシーで発生しがちな問題を解決する

ここでは、グループ ポリシーに関して発生しがちな問題の概要を述べ、問題を解決するためのステップ バイ ステップのチェックリストを示します。

グループ ポリシー エンジン/コア処理の障害

致命的な障害が発生して、クライアント側拡張機能 (CSE) を含むすべてのポリシー処理が失敗することがあります。

このような障害は、一般に、ポリシー処理中に情報を収集しているときに発生します。エラーは、Userenv をソースとしてイベント ログに記録されます。

グループ ポリシーのコア処理が失敗する原因になるエラーには、以下の種類があります。

  • DNS に関する問題
    DNS が利用できない場合や、DNS データベース内のエントリが紛失したり無効になった場合などがこれに該当します。このような問題を診断するには、前述した netdiag ツールを使います。

  • ネットワーク /Active Directory に関する問題
    ネットワークに接続できない場合や、DC の ping 検出、検索、バインドができない場合などがこれに該当します。このような問題を診断するには、前述した NLTEST ツールを使います。

  • 複製に関する問題
    DS 複製と sysvol 複製の間で複製時間に違いがあると問題になります。GPC または GPT のバージョン番号が Active Directory と Sysvol の間で不一致になります。このような問題を診断するには、前述した GPOTool を使います。

  • DC 間の複製により異なるバージョンのポリシーが保存されるという問題
    このような問題を診断するには、前述した GPOTool を使います。

メモ :
イベント ログ エラーでは、ソース Userenv を使用します。イベント ログには、すべてのエラー が表示されるわけではありません。エラーの数が多すぎると問題になるためです。

コア エラーを調査する
これらのエラーを調査するには :

  • 前述した手順に従って、userenv ログまたはイベントの詳細ログをオンにします。

  • 適用したポリシーの履歴を表示します。HKLM または HKCU\Software\Microsoft\Windows\CurrentVersion\GroupPolicy\History\{extension GUID} です。

クライアント側拡張機能 (CSE) の処理エラー
これらのエラー は、単一の拡張機能のエラーに絞り込まれます。拡張機能によっては、特定のポリシーのエラーに絞り込まれることもあります。一般に、これらはイベント ログに拡張機能のソース名と共に記録されます。

グループ ポリシー拡張機能用の GUID
各グループ ポリシー拡張機能の GUID を調べるには、次のレジストリ キーをチェックします。

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\GPExtensions

Windows 2000 に付属しているグループ ポリシー拡張機能の GUID の例を以下にいくつか示します。

  • アプリケーション管理 : {C6DC5466-785A-11D2-84D0-00C04FB169F7}

  • フォルダのリダイレクト : {25537BA6-77A8-11D2-9B6C-0000F8080861}

  • IP セキュリティ : {E437BC1C-AA7D-11D2-A382-00C04F991E27}

  • スクリプト : {42B5FAAE-6536-11D2-AE5A-0000F87571E3}

  • セキュリティ : {827D319E-6EAC-11D2-A4EA-00C04F79F83A}

クライアント側拡張機能のエラー
ポリシーの処理が失敗する原因がグループ ポリシーのコア エラーでないと判明した場合は、拡張機能を調べます。

userenv ログを使って、以下のことをチェックします。

  • 拡張機能の実行の成否

  • ポリシーに対する変更が拡張機能で認識されているかどうか

  • ポリシーをサイトに適用した場合に、ログがコンピュータの所属先のサイトを確認できるかどうか

以降の節では、拡張機能ごとに詳細を示します。

管理用テンプレート CSE
以下のようなエラーが典型的です。

  • ntuser.pol ファイルが紛失または破損した。

  • registry.pol ファイルが紛失または破損した。

  • Sysvol からポリシー情報を読み込めない。

  • 個々のレジストリ ポリシーで発生したエラーが原因となって、すべてのレジストリ処理が失敗する。

調査するには :

Userenv ログまたはイベントの詳細ログをオンにします。

フォルダ リダイレクト CSE
フォルダのリダイレクト処理には、以下の 5 つの段階があります。

  1. ログオン時にポリシーの変更内容に基づいて、どのフォルダをリダイレクトするかを決定します。

  2. リダイレクト先を決定し、アクセスを確認します。

  3. フォルダが存在しなければ、フォルダを作成し、ACL を設定します。

  4. フォルダが存在していれば、ACL と所有権をチェックします。

  5. 必要に応じて内容を移動します。

ベスト プラクティス : システムにファイルを作成させ、ACL を設定させるのが最善です。

フォルダのリダイレクト エラーは、フォルダのリダイレクト拡張機能に対してのみ影響を及ぼし、しかも、ほかのフォルダには影響しません。

上記の「ベスト プラクティス」に従っていない場合に発生する典型的なエラーは、以下のようなエラーです。

  • フォルダへのリダイレクトに ACL が正しく適用されない。

  • ユーザーがフォルダの所有者ではない。

  • リダイレクト先が存在しない。

調査するには :

fdeploy ログをオンにして、ポリシーが処理済みであることを確認します。

イベント ログにも、エラー情報が書き込まれます。ソース名がフォルダのリダイレクトになっているエントリを確認します。

フォルダのリダイレクトに関する詳細なログ ファイルを作成するには、次のレジストリ キーを使います。

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics

  • FdeployDebugLevel = Reg_DWORD 0x0f と設定します。

メモ :
ログ ファイルのパスは、%windir%\debug\usermode\fdeploy.log です。

セキュリティ CSE
イベント ログにエラー情報が書き込まれます。ソースが SceCli になっているエントリをチェックします。

セキュリティ拡張機能に関する詳細なログ ファイルを作成するには、次のレジストリ キーを使います。

  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\CurrentVersion\Winlogon \GpExtensions\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\

  • ExtensionDebugLevel = REG_DWORD 0x2 と設定します。

メモ :
ログ ファイルのパスは、%windir%\security\logs\winlogon.log です。

スクリプト CSE
スクリプト処理には、以下の 2 つの段階があります。

  1. グループ ポリシー スクリプト処理 - ポリシーを処理し、スクリプト情報をレジストリに格納します (Windows 2000 の場合は、scripts.ini ファイルが隠しファイルとして保存されているディレクトリ)。

    • HKCU\Software\Policies\Microsoft\Windows\System\Scripts (ユーザー スクリプト)

    • HKCU\Software\Policies\Microsoft\Windows\System\Scripts (コンピュータ スクリプト)

  2. Userinit プロセスを通じてスクリプトが実行されます。ハングしたスクリプトの既定タイムアウトは 10 分です。

メモ :
タイムアウトは、すべてのスクリプトに割り当てられる実行時間です。これは、コンピュータ ポリシーの設定 [Maximum wait time for Group Policy Scripts] を使って変更できます。

以下のようなスクリプト エラーが典型的です。

  • 無効なスクリプト パス。

  • スクリプトのハング。

  • ACL によりスクリプトへのアクセスが制限されている (ユーザーではなく、コンピュータとして実行される起動/シャットダウン スクリプトの場合に発生しがちな問題)。

ここのスクリプトのエラーは、個々のスクリプトだけに限定されることがあり、その場合、スクリプト処理全体に対する影響はありません。

調査するには、アプリケーション イベント ログを開き、ソースが Userinit になっているエントリをチェックします。

一般的なシナリオのトラブルシューティング

管理者がグループ ポリシーをトラブルシューティングするときには、数通りの一般的なシナリオが考えられます。たとえば、ポリシー設定が適用されていない、ポリシー設定の適用に不整合がある、委任やアクセス許可に関する問題が原因でグループ ポリシーを管理できないなどのシナリオが代表的です。ここでは、このような問題の有無をチェックする方法を示します。

グループ ポリシーが適用されていない場合
グループ ポリシーの設定が適用されていない場合は、以下の節の説明をチェックしてください。

  • グループ ポリシー継承に関する競合を解決する

  • グループ ポリシーのセキュリティ/アクセス許可に関する問題を解決する

  • 無効化された GPO

  • 複製に関する問題を解決する

  • ドメイン間の GPO リンクに関する問題

  • ユーザー オブジェクトまたはコンピュータ オブジェクトを移動したかどうか

  • Windows NT 4.0 から移行しているかどうか

グループ ポリシー継承に関する競合を解決する
継承に関する競合を解決するには、Active Directory ツリーの最上位から検索を開始し、以下の点をチェックします。

  1. 各サイト、ドメイン、または組織単位 (SDOU) の優先順位

  2. ユーザーまたはコンピュータが競合の有無

  3. [上書きなし] または [ポリシーを継承しない] の設定

メモ :
[上書きなし] の設定は、[ポリシーを継承しない] の設定に優先します。前述した GPResult ツールまたは FAZAM ツールを使うと、優先順位を判別しやすくなります。

グループ ポリシーのセキュリティ / アクセス許可に関する問題を解決する
アクセス許可に関する問題を解決するには、以下の点をチェックします。

  • グループ ポリシーのフィルタ

  • グループ ポリシーの読み取りおよび適用アクセス制御エントリ (ACE)

  • 拒否 ACE

  • セキュリティ グループ メンバシップ

無効化された GPO
GPO のプロパティをチェックし、ユーザーやコンピュータの部分が無効化されていないことを確認します。

グループ ポリシー リンクをチェックし、無効化されていないことを確認します。

複製に関する問題を解決する
各 DC 上の各 GPO のステータスをチェックするには、前述したグループ ポリシー検証ツールを使います。

GPC が同期されていない場合は、前述した Active Directory Replication Monitor を使って強制的に同期します。

GPT が同期されていない場合は、Sysvol にファイルを置いてファイルの複製をトラブルシューティングします。

ドメイン間の GPO リンクに関する問題
SDOU がほかのドメイン内の GPO にリンクされている場合、GPO へのアクセスは信頼関係経由になります。

信頼関係が失敗すると、GPO へのアクセスが失敗し、グループ ポリシーの処理が完全に失敗します。このような事態になるのを防ぐには、各ドメインに複数のドメイン コントローラを置くか、または明示的な信頼関係を作成します。

ユーザー オブジェクトまたはコンピュータ オブジェクトを移動したかどうか
クライアント コンピュータでは、ディレクトリ サービス (DS) のアドレスが 30 分間キャッシュに保持されます。ユーザー オブジェクトまたはコンピュータ オブジェクトが OU 間で移動されても、そのことがクライアントに即時に認識されないことがあります。

クライアントのキャッシュ内の DS アドレスが更新される前にポリシーが更新された場合、新しいポリシーは適用されません。

メモ :
コンピュータを新しいコンテナに移動するか、または新しいグループに追加した場合は、コンピュータを再起動しなければ変更内容が有効になりません。

ユーザーを新しいコンテナに移動するか、または新しいグループに追加した場合は、いったんログオフしてからログオンし直さなければ変更内容が有効になりません。

Windows NT 4.0 から移行しているかどうか
クライアント コンピュータで Windows 2000 Professional が稼動している場合や、コンピュータ アカウントとユーザー アカウントが共に Windows NT 4.0 ドメインに所属している場合は、システム ポリシーを引き続き適用する必要があります。ドメインが Windows 2000 の場合、コンピュータ/ユーザーだけにグループ ポリシーが適用されます。

ユーザー アカウントが Active Directory に含まれており、コンピュータ アカウントが Windows NT 4.0 ドメインに含まれている場合、コンピュータにシステム ポリシーが適用され、ユーザー アカウントにグループ ポリシーが適用され、またこの逆の組み合わせも成立します。

さらに、複数のサイトを使用することを計画しており、コンピュータがどの IP サブネットに所属しているかによってサイトが決まるのであれば、コンピュータが Active Directory 付きの Windows 2000 ドメイン内で Windows 2000 を実行している場合にのみ、グループ ポリシーを定義することになります。

メモ :
ローカル GPO は、構成に関係なく処理されます。構成の違いに応じてグループ ポリシーがどのように適用されるかについては、下の表 2 を参照してください。キャッシュされた資格情報でログインしているなどの理由により到達不能な Windows 2000 ドメインにコンピュータ/ユーザー アカウントが所属している場合、ローカル GPO を含めたすべてのグループ ポリシー処理が実行されません。

2 クライアント コンピュータ上でポリシーがどのように適用されるか

バックエンド

アカウント オブジェクトの場所

クライアントに影響する要因

純粋な Windows NT 4.0 環境

コンピュータ : Windows NT 4.0

コンピュータの起動時 : コンピュータのローカル グループ ポリシー (変更された場合のみ)
ユーザーのログオンごと : コンピュータ システム ポリシー

"

コンピュータの更新

再起動前 : コンピュータのローカル グループ ポリシーのみ
ユーザーのログオン後 : コンピュータのローカル グループ ポリシーおよびコンピュータのシステム ポリシー

"

ユーザー : Windows NT 4.0

ユーザーのログオン時 : ユーザー システム ポリシー
ローカルグループポリシーの変更時 : ユーザーのローカル グループ ポリシーおよびユーザーのシステム ポリシー

"

ユーザーの更新

ユーザーのローカル グループ ポリシーおよびユーザーのシステム ポリシー

混在 (移行中)

コンピュータ : Windows NT 4.0

コンピュータの起動時 : コンピュータのローカル グループ ポリシー (変更された場合のみ)
ユーザーのログオンごと : コンピュータ システム ポリシー

コンピュータの更新

再起動前 : コンピュータのローカル グループ ポリシーのみ
ユーザーのログオン後 : コンピュータのローカル グループ ポリシーおよびコンピュータのシステム ポリシー

ユーザー : Windows 2000 以降

ユーザーのログオン時 : コンピュータ システム ポリシーの後でグループ ポリシーを処理

ユーザーの更新

ユーザー グループ ポリシー

混在 (移行中)

コンピュータ : Windows 2000 以降

システムの起動中 : グループ ポリシー

コンピュータの更新

ユーザー グループ ポリシー

ユーザー : Windows NT 4.0

ユーザーのログオン時 : ユーザー システム ポリシー
ローカルグループポリシーの変更時:ユーザーのローカル グループ ポリシーおよびユーザーのシステム ポリシー

ユーザーの更新

ユーザーのローカル グループ ポリシーおよびユーザーのシステム ポリシー

Windows 2000 以降

コンピュータ : Windows 2000 以降

コンピュータの起動中およびユーザーのログオン時 : グループ ポリシー

ユーザー : Windows 2000 以降

Windows 2000 以降によるワークグループ環境 (Active Directory なし)

ローカル

ローカル グループ ポリシーのみ

ポリシー設定の適用に不整合がある場合
以下の点をチェックします。

  • 任意設定とポリシーの違い

  • 非同期処理

IPSec ポリシーとユーザー権利ポリシーのどちらを使用しているか

任意設定とポリシーの違い
レジストリ ポリシーまたは ADM テンプレートには、ポリシー (特殊キーのレジストリ エントリ) と任意設定 (その他のレジストリ キー) の 2 通りがあります。ADM ファイルは、ポリシーまたは任意設定を適用する目的で使用されます。

任意設定よりもポリシーを使用することをお勧めします。

  • ポリシーは、 " タトゥー化 " しません
    GPO でポリシーと任意設定を展開した場合、GPO を削除するとポリシーは削除されますが、任意設定はそのまま残されます。このプロセスをタトゥー化 と呼びます。

  • 任意設定は、 GPO が変更されない限り更新されません
    ユーザーは自分の任意設定を変更できます。ユーザーが変更した任意設定は、グループ ポリシーの変更と GPO を再適用しない限り復元されません。一方、ポリシーにはレジストリを通じて ACL が適用されるので、ユーザーがポリシーを変更することはできません。

任意設定を使用する必要がある場合は、.adm ファイル経由で任意設定を追加しないでください。既定では、GPO に変更がなければ、クライアント コンピュータには何も適用されません (これまでにポリシーがクライアントに適用されている場合)。

メモ :
ポリシーは、HKLM キー (コンピュータ ポリシーの場合) または HKCU キー (ユーザー ポリシーの場合) の下層に格納されます。

\Software\Policies (指定場所)

\Software\Microsoft\Windows\CurrentVersion\Policies

同期処理と非同期処理
Windows 2000 では、グループ ポリシーが既定の設定で同期処理されます。コンピュータ ポリシーが適用されるまでログオン画面は表示されず、ユーザー ポリシーが適用されるまでデスクトップは表示されません。

非同期処理に変更できますが (ポリシー経由)、予期せぬ影響が生じる可能性があります。

グループ ポリシーを管理できない場合
グループ ポリシーを管理できない場合は、以下の点をチェックします。

  • グループ ポリシー スナップインに必要なアクセス許可

  • グループ ポリシーの制御の委任

  • 整合性/パフォーマンス上の問題 : GPO をどこで管理するか。

グループ ポリシー スナップインに必要なアクセス許可
ポリシーを適用するには、グループ ポリシーの読み取りおよび適用アクセス許可が必要です。グループ ポリシー エディタ スナップインを使用するには、読み取りおよび書き込みアクセス許可が必要です。

メモ :
ドメイン管理者は、すべての Active Directory ベースの GPO に対してカバーされ、ローカル管理者はローカル GPO に対してカバーされます。

サイト GPO を作成する
サイト GPO を作成するには、Active Directory サイトとサービス スナップインを使用します。

メモ :
エンタープライズ管理者グループのメンバになっている必要があります。

グループ ポリシーの制御の委任
OU 管理者がグループ ポリシーを管理する際に問題が生じた場合は、以下のアクセス許可をチェックします。

  • グループ ポリシー リンクの管理

  • GPO の作成

  • GPO の編集

グループ ポリシー リンクの管理
このアクセス許可は、ほかの管理者によって作成された GPO を OU 管理者がリンクするときに必要です。このアクセス許可を割り当てるには、委任ウィザードの [グループ ポリシー リンクの管理] を使います。このアクセス許可の内容は、以下のとおりです。

  • ユーザーに対して、リンクされた GPO の追加、削除、および優先度変更を許可します。

  • ユーザーが GPO を作成または編集することは許可しません。

  • SDOU の GPLink プロパティおよび GPOptions プロパティへの読み取り/書き込みアクセスを許可します。

Active Directory ユーザーとコンピュータ スナップインから既存のアクセス許可を確認するには :

  • [表示] メニューの [拡張機能] をクリックします。

  • 目的のコンテナを右クリックし、[プロパティ] を選択します。

  • [セキュリティ] タブを選択します。選択したコンテナ上の ACE を表示および変更できます。

GPO の作成
このアクセス許可は、OU 管理者が GPO を作成するときに必要です。ユーザーを Group Policy Creator Owners セキュリティ グループに追加することによって、このアクセス許可が委任されます。このアクセス許可の内容は、以下のとおりです。

  • OU 管理者に対し、GPO の作成を許可します。さらに、編集操作については、そのユーザーが作成した GPO に関してのみ許可します。

  • OU 管理者が GPO を SDOU にリンクすることは許可しません。

GPO の編集
このアクセス許可は、ユーザーが GPO を編集することを許可します。ただし、ユーザーが GPO を SDOU にリンクすることは許可しません。このアクセス許可では、GPO に対する読み取り/書き込みアクセス許可がユーザーに対して許可されます。GPO が管理者に適用されるのを回避するには (ロックダウン GPO の場合)、[グループ ポリシーを適用する] を設定しないでください。

整合性 / パフォーマンス上の問題 : GPO をどこで管理するか。
既定では、PDC Operations Manager 上で GPO が管理されます。ほかの DC を選択することもできますが、まず最初に以下の点を考慮してください。

  • 複数の管理者が異なる DC 上で同じ GPO を編集すると、最後の編集内容が適用されます。

  • ほかの管理者が GPO を編集していないことを確認します。変更があったときに、その都度、データを GPO に書き込むようにします。

  • GPO が変更前に完全に複製されていることを確認します。

どの DC を選択すべきか
以下のガイドラインに従ってください。

  • 安全性を重視するなら、PDC Operations Manager を選択します。

  • 整合性を重視するなら、Active Directory スナップインに使用されている DC を選択します。

  • パフォーマンスを重視するなら、[利用可能なドメイン コントローラを使用する] オプションを選択します。ローカル サイトが最優先されます。

メモ :
DC オプションはポリシー経由で設定できます (User Configuration\System\Group Policy)。

ページのトップへ ページのトップへ

グループ ポリシーのソフトウェア インストールをトラブルシューティングする

ソフトウェア インストール ポリシーでは、主に以下のことが原因となって問題が生じます。

  • ソフトウェア インストール拡張機能の問題

  • グループ ポリシーの処理エラー

  • Windows インストーラ エラー

ここでは、ログ ファイルおよびその他の診断ツールを使って、これらの問題をトラブルシューティングする方法を示します。発生しがちな問題とトラブルシューティングのチェックリストを末尾に示します。

ソフトウェア インストールに関する問題の診断に使用できるツール

イベント ログ
ソフトウェア インストールに関して発生した主なエラーは、すべてアプリケーション イベント ログに書き込まれます。"アプリケーション管理" がソースになっている警告またはエラーがイベント ログに記録されていないかどうかをチェックします。記録されている場合は、その詳細を確認します。

また、Userenv ログおよび MsiInstaller ログをソースとするエラーも、ソフトウェア インストールに関連していることがあるので、これらについても有無をチェックします。

Userenv をソースとするエラーは、ソフトウェア インストール ポリシーがユーザーまたはコンピュータに適用されていないことが原因となってグループ ポリシー全般に問題が生じていることを意味します。グループ ポリシー エラーの診断については、前の「ポリシー」の項を参照してください。

MsiInstaller をソースとするエラーは、Windows インストーラによって書き込まれたものです。展開したアプリケーションのインストールに問題があると、このようなエラーが書き込まれることがあります。たとえば、ユーザーにアプリケーションが割り当てられており、アプリケーションのショートカットが提供されていることがあります。ディスク容量が不足していたり、ネットワーク経由でソフトウェア配布ポイントにアクセスできないなどの問題があるときに、ユーザーが提供されたショートカットをクリックすると、インストールが失敗することになります。そのような場合は、MsiInstaller をソースとするエラーがイベント ログに書き込まれ、インストールが失敗した理由が示されます。

詳細ログ
ソフトウェア インストールに関する詳細ログを有効化するには、次のレジストリ値を設定します。

[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\Diagnostics]

"Appmgmtdebuglevel"=dword:0000009b

この値を設定すると、ソフトウェア インストール拡張機能に関する詳細なログ情報および診断情報がポリシー適用時に次のファイルに書き込まれます。

%windir%\debug\usermode\appmgmt.log

このログ ファイルの出力を参照すると、ポリシーがどのように評価され、ユーザーまたはコンピュータに適用されたかを確認できます。また、クライアント上で特定のアクションが発生した理由も確認できます。

Windows インストーラの詳細ログ
Windows インストーラに関する詳細ログを有効化するには、次のレジストリ値を設定します。

[HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows \Installer]

"Debug"=dword:00000003

"Logging"="voicewarmup"

この値を設定すると、Windows インストーラによって実行されたすべてのアクションに関する詳細なログが生成されます。

出力ファイルの内容は、インストールのコンテキストによって異なります。詳細については、次の節を参照してください。

Windows インストーラ ログ ファイル
Windows インストーラの詳細ログを有効化した場合に生成されるログ ファイルには、以下の 2 種類があります。

  1. 展開に関連するアクション (ユーザーに割り当てられているアプリケーションの提供など) の場合、Windows インストーラはシステム コンテキストで動作します。この場合のログは、システム一時フォルダに作成されます (%windir%\temp\MSI*.log)。

  2. ユーザーが開始したアクション ([アプリケーションの追加と削除] からアプリケーションをインストールするなど) の場合は、そのユーザーの一時フォルダにログが書き込まれます (%temp%\MSI*.log)。

これらの詳細ログには、パッケージをインストールしようとしているときに Windows インストーラによって実行された各アクションに関する詳細情報が記録されます。

リソース キットに含まれているソフトウェア インストール診断ツール (addiag.exe)
Windows 2000 リソース キットには、"アプリケーションの導入状態の診断" と呼ばれる高度なトラブルシューティング ツールが含まれています。ソフトウェア インストール ポリシーのトラブルシューティング時にこのツールを使うと、より詳細な診断情報を収集できます。

このツールのバイナリ実行可能ファイルは、"addiag.exe" です。コマンド プロンプトに「addiag.exe /?」と入力すると、使用法と構文が表示されます。

このツールでは、現在のユーザーに対してインストールされており Active Directory に登録されているアプリケーションに関する詳細情報が出力され、また、全般的な診断情報と関連するイベント ログ エントリも示されます。

ソフトウェア インストールのトラブルシューティング テクニック

ここでは、以下のような問題に対するトラブルシューティングのヒントを示します。

  • コンピュータに割り当てられたアプリケーション

  • ログオン時のアプリケーション削除

  • [アプリケーションの追加と削除] に関する問題

  • ユーザーに割り当てられたアプリケーションに関する問題

  • オンデマンド インストールの失敗

  • レガシー アプリケーション

全般的なテクニック
ほとんどの場合、トラブルシューティングを開始するには、これまでに説明したツールを使用して、問題に関する情報を収集することになります。

問題を特定するには、以下の手順に従ってください。

  1. イベント ログの アプリケーション セクションを調べ、アプリケーション管理、Userenv、および MsiInstaller をソースとするエラーの有無をチェックします。

  2. ソフトウェア インストールおよび Windows インストーラの詳細ログを有効化し、生成されたログ ファイルにエラーが記録されているかどうかをチェックします。

  3. リソース キット ツールの addiag.exe を実行し、出力をテキスト ファイルに保存します。この情報を現在の構成に関する参照情報としてトラブルシューティングに役立てます。

上記の手順で収集した情報は、以下のシナリオで参照することになるので、保存しておいてください。

コンピュータに割り当てられたアプリケーション
コンピュータに割り当てられたアプリケーションがクライアント コンピュータ上に存在しない場合は、以下のことを確認します。

  • コンピュータ アカウントが正しい OU に格納されているかどうか。

  • アプリケーションが誤ってユーザーに展開されていないかどうか。

  • 展開後にコンピュータを再起動したかどうか。

  • コンピュータ アカウントからインストール ポイントにアクセスできるかどうか。インストール ポイントへのアクセスは、コンピュータ アカウント経由で行われます。下記の例のように "at" コマンドを使うと、これをチェックできます。

コンピュータに割り当てられたアプリケーションに関しては、主に以下のことが原因となって問題が生じます。

  • Windows NT Server 4.0 が稼動しているサーバーを使った展開。Windows NT 4.0 ベースのサーバー上の共有からパッケージを展開することはできません。

  • IP アドレスによる展開パス。

  • \\domainname\share の形式の展開パス。展開共有へのパスには、ドメイン名ではなくコンピュータ名を使う必要があります。

  • 異なる Active Directory フォレスト内のサーバーによる展開。パッケージの展開元の共有は、ポリシーの適用対象のコンピュータ アカウントと同じフォレスト内に存在している必要があります。

  • 展開共有へのアクセス件を持たないローカル システム アカウントの使用。

ローカル システム アカウントから展開共有にアクセスできないかどうかをチェックするには、以下の手順に従ってください。

  1. AT コマンドを使って、ローカル システム アカウントとして動作するコマンド プロンプトを開きます。たとえば、現在時刻が 9:52 PM であれば、「AT 9:53p /interactive cmd.exe」と入力します。

  2. 起動したコマンド プロンプから、共有に対して "dir" コマンドを実行し、パッケージの場所にアクセスできるかどうかをチェックします。たとえば、「dir \\server\deploymentshare」と入力して、共有の内容のリストを表示してみます。このコマンドが失敗した場合は、共有に対するアクセス許可を変更しないと、システム アカウントからのアクセスが可能にならないことがあります。

ログオン時のアプリケーション削除
ログオン時にアプリケーションが突然アンインストールされた場合は、以下のことを確認します。

  • 移動プロファイルが関係しているかどうか。ほかのコンピュータ上で、アプリケーションが [アプリケーションの追加と削除] を通じて削除されたことがあるかどうか。

    アプリケーションの展開時に [管理の対象でなくなったときは、このアプリケーションをアンインストールする] オプションが選択されていたかどうか。選択されていた場合は、以下のことをチェックしてください。

    • ユーザーまたはコンピュータに影響を及ぼす変更をセキュリティ グループに加えたかどうか。

    • GPO が OU からリンク解除されたかどうか。

  • アプリケーションのアップグレードが行われたかどうか。

[ アプリケーションの追加と削除 ] に関する問題
[アプリケーションの追加と削除] の一覧に目的のアプリケーションが表示されない場合は、以下のことを確認します。

  • どのカテゴリが表示されているか。[すべてのカテゴリ] を選択すると、利用可能なアプリケーションがすべて表示されます。

  • アプリケーションに対して、[コントロール パネルの [アプリケーションの追加と削除] でこのパッケージを表示しない] オプションが選択されているかどうか。

  • ドメイン内に複数のドメイン コントローラが存在するかどうか。複数のドメイン コントローラが存在する場合は、Active Directory データの複製が完了するまで目的のアプリケーションが [アプリケーションの追加と削除] に表示されないことがあります。

どのアプリケーションも一覧に表示されない場合は、以下のことを確認します。

  • これまでに少なくとも 1 回、ログインに成功しており、ポリシーが適用されているかどうか。

目的のアプリケーションが一覧に表示されているのに [プログラムの追加] をクリックしてインストールできない場合は、以下のことを確認します。

  • ドメイン内に複数のドメイン コントローラが存在するかどうか。複数のドメイン コントローラが存在する場合は、Sysvol 共有のシステム複製が完了するまで目的のアプリケーションをインストールできないことがあります。

どのアプリケーションも一覧に表示されない場合は、ローカル コンピュータがアプリケーション サーバー モードで稼動中のターミナル サーバーでないことを確認します。アプリケーション サーバー モードで稼動中のターミナル サーバーでは、ソフトウェアの配布が無効化されます。

ソフトウェア配布を有効化するには、ターミナル サーバーをリモート管理モードにする必要があります。これを確認するには、ターミナル サービスの構成 MMC スナップインを使うか、または addiag.exe の出力を調べます。

ターミナル サービスをアプリケーション サーバー モードで使用する必要がある場合 :

  • コンピュータに割り当てられたアプリケーションをターミナル サーバー コンピュータに展開します。

ユーザーに割り当てられたアプリケーションに関する問題
ユーザーに割り当てられたプログラムのショートカットが表示されない場合 :

  • ユーザーがいったんログオフしてからログオンし直したかどうかを確認します。ユーザーに割り当てられたアプリケーションのショートカットは、ログオン後にのみ表示されます。

オンデマンド インストールの失敗
公開されたアプリケーションか、割り当てられたアプリケーションに関連付けられているファイルを開こうとすると、オンデマンド インストールがトリガされることがあります。

インストールされるアプリケーションが正しくない場合 :

  • アプリケーション展開エディタで、アプリケーションの優先設定にそのファイル拡張子が含まれているかどうかをチェックします。グループ ポリシー エディタで [ソフトウェア インストール] ノードを右クリックして [プロパティ] を選択し、[ファイル拡張子] タブをクリックします。

  • インストール済みのほかのファイルにファイルが関連付けられていないかどうかをチェックします。関連付けられている場合、展開対象のアプリケーションが無視され、ローカル アプリケーションがインストールされます。

[ファイルを開くアプリケーションの選択] ダイアログが表示された場合は、次のことをチェックします。

  • ファイル拡張子がそのアプリケーションに関連付けられているかどうかをチェックします。これをチェックするには、前述したようにアプリケーション展開エディタを使います。

レガシー アプリケーション
ここで、レガシー アプリケーションとは、zap ファイルと呼ばれるラッパーで展開された非 Windows インストーラ ベースのアプリケーションです。

これらは Windows インストーラで展開されないので、修復やポリシー経由の削除などの機能を使用できません。

zap ファイルで展開されたレガシー アプリケーションをユーザーがインストールしようとすると、インストールが失敗します。

ユーザーがコンピュータ上のパワー ユーザーまたは管理者であることを確認します。ポリシーを通じて展開される Windows インストーラ アプリケーションとは異なり、レガシー セットアップ プログラムのインストール処理にはアクセス権引き上げが適用されません。

ソフトウェア インストールのトラブルシューティングに使用できるログ ファイル
Userenv ログをトラブルシューティングに使用する方法については、前の「ログ ファイルでグループ ポリシーを監視する」を参照してください。

ページのトップへ ページのトップへ

ベスト プラクティス

トラブルシューティングが必要になることができるだけ少なくなるように、以下の指針に従ってください。

  • 単純化 : ユーザーとコンピュータを同じ OU に入れます。[ポリシーを継承しない] オプションと [上書きなし] オプションを多用しないようにします。同じユーザーまたはコンピュータに競合して適用するポリシーを含む複数の GPO を作成しないようにします。

  • ドキュメント : ネットワーク構成と同様にグループ ポリシーを関係付ける図を作成します。これにより、ポリシーの問題点が明確になります。

  • テスト : 新しいポリシーを展開する前に、それらが正しく機能することを確認します。

ページのトップへ ページのトップへ

詳細情報

グループ ポリシーに関するホワイト ペーパー

『Windows 2000 グループ ポリシー』

『Implementing Registry-based Group Policy』 (英語)

『Implementing Common Desktop Management Scenarios』 (英語)

Windows 2000 Server リソース キット

Windows 2000 Server リソース キット ホーム ページ : https://www.microsoft.com/japan/windows2000/techinfo/reskit/default.asp

Windows 2000 Server リソース キットの購入方法 : https://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true (英語)

本書に記載されている情報は、発行時点で議論されている問題点に関する Microsoft Corporation の最新の見解を示しています。Microsoft は変化する市場状況に対処しなければならないため、本書の内容を Microsoft の確約事項として解釈してはならず、Microsoft は発行日以降に提示された情報の精度についてはいかなるものであれ保証致しません。

このホワイト ペーパーは、情報の提供のみを目的としています。Microsoft は本書に記載されている情報について明示的にも暗黙的にも一切の保証をいたしません。

本書の使用にあたっては、お客様の責任において、適用されるすべての著作権法に従ってください。本書中のいかなる部分も、Microsoft の書面による許可なしには、いかなる目的のためであれ、いかなる形態、手段 (電子的、機械的、コピー機の使用、記録など) によっても複製、検索システムへの格納、または伝送してはなりません。

この文書の内容に関する特許、特許出願、商標、著作権、およびその他の知的財産は、Microsoft が所有します。Microsoft との書面によるライセンス契約に明記されていない限り、本書の提供が、以上の特許、商標、著作権、あるいはその他の知的財産権の利用を認めるものではありません。

© 2001 Microsoft Corporation.All rights reserved.Microsoft、Active Directory、Windows、および Windows NT は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

その他、記載されている会社名および製品名は、各社の商標および登録商標です。

Microsoft Corporation. One Microsoft Way. Redmond, WA 98052-6399 USA

2001 年 2 月

ページのトップへ ページのトップへ