Windows Server 2008 R2 Network Location Awarenessエラー2014年03月12日 13時14分

最近2008R2のサーバーを再起動したら、イベントビューアに見慣れぬエラーが出力された。

イベント ID: 7024

「Network Location Awareness サービスは、サービス固有エラー %%-1073741288 で終了しました。」

特にこれと言ってサーバーの設定を変えた覚えはないわけだが。ネットで調べてもあまり情報がない。今のところ実害は出ていないがあまり気持ちのいいものでもないので、海外サイトで解決策を探る。

どうやらサーバーローカルのAdministratorsグループに「LOCAL SERVICE」と「NETWORK SERVICE」を追加すれば治るらしい。

言われた通り、Active Directoryの設定画面を開き「Buildin」のAdministratorsグループに当該ユーザーを追加。サーバーを再起動したらエラーは出なくなった。

しかしなぜそういった現象が起きたのかは不明。まあこういったことはよくあるが。

Windows server 2008 R2 で Windows Firewall 起動せず2014年03月19日 20時56分

エラー
もしかしたらこっちにも関係あるかも

Windows Server 2008 R2 Network Location Awarenessエラー

新規にWindows Server 2008 R2を構築している。

サーバーを既存のドメインに追加し、まずファイルサーバーのしての役割を追加してフォルダを共有した。これは何の問題もなく共有できた。


このサーバーにはRODC(Read Only Domain Controller)の役割もしてほしいため、「Active Directory ドメインサービス」を追加。

インストール後、再起動したときに問題発生・・・


ついさっきまでできていたファイルの共有ができなくなった。サーバーの共有フォルダにアクセスできないだけでなく、PINGなども一切受け付けなくなってしまった。


PINGが受付られないということで、ひっかかるのはやはり「Windows ファイアウォール」。コントロールパネルから設定を変更しようとしても、エラー表示も出ずに終わってしまう・・・。

そこで「サービス」を見てみると、案の定「Windows Firewall」は停止中。しかし開始しようとしても、

「エラー 1068:依存関係サービスまたはグループを起動できませんでした。」

とのこと。

サービスの依存関係タブを見れば「Windows Firewall」 は「Base Filtering Engine」サービスに依存していることがわかる。そこで「Base Filtering Engine」を確認してみると案の定サービス停止中・・・。開始しようとしても「エラー 5:アクセスが拒否されました。」と言ってお断りされる始末。


ここからはインターネットに頼る。まず「Base Filtering Engine」が開始しないことには始まらないので、なぜアクセスが拒否されるのかを探る。

どうやらレジストリの「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BFE」へのアクセス権が足りないらしい。なぜドメインコントローラに昇格したらいきなりアクセス権が足りなくなるのかは不明。とりあえずここに「NT service\mpssvc」を追加しフルコントロールを与え、再度サービスを開始してみたら問題なく立ち上がった。

ここで改めてWindows Firewallサービスを起動。しかし今度は

「サービス固有のエラー コードが5であることを伝えてください。」とエラーメッセージが表示され、イベントログには

「ID:7024 Windows Firewall サービスは、サービス固有のエラー アクセスが拒否されました。 で終了しました。」

と記録されていた。


このイベントIDをインターネットで調べてみると、解決策はあっさり見つかった。

http://support.microsoft.com/kb/943996/ja

しかし安心したのもつかの間、上記サポートの指示通りにレジストリを変更しても結局同じエラーは出続ける。ここで手詰まり・・・

ここからは、いつも通り海外のQ&Aへ救いを求める。色々調べたところ、MSのサポートで指示されているレジストリよりも一つ上の階層にアクセス権を与えなければならないらしい。なんなのよ、MS・・・

「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess」に「Base Filtering Engine」の時と同様「NT service\mpssvc」にフルコントロールを与え、Windows Firewallサービスを開始すると、すんなり起動した。それと同時に今までできなかった共有フォルダへのアクセスもできるようになった。


今回は評価版をつかったテスト環境だからいいが、もしこれがすでに運用されているサーバーで同じ問題が起きたらと思うと固まる・・・。

Default Domain Controllers Policy がレジストリを勝手に変更2014年03月24日 19時11分

これの続き
Windows server 2008 R2 で Windows Firewall 起動せず

前回、レジストリをいじって「Base Filtering Engine」と「Windows Firewall」サービスが起動しない問題を解決したわけだが、いつの間にやら、レジストリの設定が元に戻ってしまった。

こうなると、疑わしいのはグループポリシーの設定。どこかしらにレジストリを変更する設定があるのだろう。
サーバーをドメインコントローラに昇格してから問題が起こっていることを考えると、「Default Domain Controllers Policy」と見て間違いないでしょう。

現在は2008の機能レベルのドメインで運用しているが、元をたどればWindows2000のころからバージョンアップをして今に至る。現在でもWindows Server 2003を1台をドメインコントローラとして使っている。

「Base Filtering Engine」や「Windows Firewall」サービスを起動するには、特定のレジストリに対し「NT service\mpssvc」にフルコントロールの権限を与えなければならないが、Windows Server 2003ではそもそもそういったユーザーが存在しない。どうやらこれが原因で、グループポリシーが適用された際にレジストリにアクセス権が無くなってしまっていたよう。


解決方法(*正しいかどうかは定かではない)

Windows Server 2008以降のドメインコントローラの「Active Directory ユーザーとコンピューター」で「Domain Controllers」コンテナの下に新たに組織単位(OU)を作る



その組織単位(OU)に対し、新しいグループポリシーを作り、
「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「レジストリ」に
「MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess」と
「MACHINE\SYSTEM\CurrentControlSet\services\BFE」を追加。
セキュリティの設定で「NT service\mpssvc」にフルコントロールを与える。



不具合の起きているコンピュータを作成した組織単位(OU)に移動。



コンピュータで「gpupdate /force」コマンドを実行しセキュリティポリシーを反映。

直接「Default Domain Controllers Policy」を編集するという手もあるのだが、既存のサーバーに悪影響が出ることを恐れて、あえて新しいOUにしてみた。今のところはサービスも無事に起動し問題なく稼働している。