「ワイヤークラフト」、「釣り」、「汽水魚飼育」、「中小企業診断士」等の試験体験記など
Windows server 2008 R2 で Windows Firewall 起動せず ― 2014年03月19日 20時56分

Windows Server 2008 R2 Network Location Awarenessエラー
新規にWindows Server 2008 R2を構築している。
サーバーを既存のドメインに追加し、まずファイルサーバーのしての役割を追加してフォルダを共有した。これは何の問題もなく共有できた。
このサーバーにはRODC(Read Only Domain Controller)の役割もしてほしいため、「Active Directory ドメインサービス」を追加。
インストール後、再起動したときに問題発生・・・
ついさっきまでできていたファイルの共有ができなくなった。サーバーの共有フォルダにアクセスできないだけでなく、PINGなども一切受け付けなくなってしまった。
PINGが受付られないということで、ひっかかるのはやはり「Windows ファイアウォール」。コントロールパネルから設定を変更しようとしても、エラー表示も出ずに終わってしまう・・・。
そこで「サービス」を見てみると、案の定「Windows Firewall」は停止中。しかし開始しようとしても、
「エラー 1068:依存関係サービスまたはグループを起動できませんでした。」
とのこと。
サービスの依存関係タブを見れば「Windows Firewall」 は「Base Filtering Engine」サービスに依存していることがわかる。そこで「Base Filtering Engine」を確認してみると案の定サービス停止中・・・。開始しようとしても「エラー 5:アクセスが拒否されました。」と言ってお断りされる始末。
ここからはインターネットに頼る。まず「Base Filtering Engine」が開始しないことには始まらないので、なぜアクセスが拒否されるのかを探る。
どうやらレジストリの「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BFE」へのアクセス権が足りないらしい。なぜドメインコントローラに昇格したらいきなりアクセス権が足りなくなるのかは不明。とりあえずここに「NT service\mpssvc」を追加しフルコントロールを与え、再度サービスを開始してみたら問題なく立ち上がった。
ここで改めてWindows Firewallサービスを起動。しかし今度は
「サービス固有のエラー コードが5であることを伝えてください。」とエラーメッセージが表示され、イベントログには
「ID:7024 Windows Firewall サービスは、サービス固有のエラー アクセスが拒否されました。 で終了しました。」
と記録されていた。
このイベントIDをインターネットで調べてみると、解決策はあっさり見つかった。
http://support.microsoft.com/kb/943996/ja
しかし安心したのもつかの間、上記サポートの指示通りにレジストリを変更しても結局同じエラーは出続ける。ここで手詰まり・・・
ここからは、いつも通り海外のQ&Aへ救いを求める。色々調べたところ、MSのサポートで指示されているレジストリよりも一つ上の階層にアクセス権を与えなければならないらしい。なんなのよ、MS・・・
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess」に「Base Filtering Engine」の時と同様「NT service\mpssvc」にフルコントロールを与え、Windows Firewallサービスを開始すると、すんなり起動した。それと同時に今までできなかった共有フォルダへのアクセスもできるようになった。
今回は評価版をつかったテスト環境だからいいが、もしこれがすでに運用されているサーバーで同じ問題が起きたらと思うと固まる・・・。
Windows Server 2008 R2 Network Location Awarenessエラー ― 2014年03月12日 13時14分
最近2008R2のサーバーを再起動したら、イベントビューアに見慣れぬエラーが出力された。
イベント ID: 7024
「Network Location Awareness サービスは、サービス固有エラー %%-1073741288 で終了しました。」
特にこれと言ってサーバーの設定を変えた覚えはないわけだが。ネットで調べてもあまり情報がない。今のところ実害は出ていないがあまり気持ちのいいものでもないので、海外サイトで解決策を探る。
どうやらサーバーローカルのAdministratorsグループに「LOCAL SERVICE」と「NETWORK SERVICE」を追加すれば治るらしい。
言われた通り、Active Directoryの設定画面を開き「Buildin」のAdministratorsグループに当該ユーザーを追加。サーバーを再起動したらエラーは出なくなった。
しかしなぜそういった現象が起きたのかは不明。まあこういったことはよくあるが。
IIS7でIPアドレス制限 ― 2013年10月08日 10時01分
IIS7の初期画面では、IPアドレスによってサイトにアクセスできるユーザーを制限するためのアイコンが表示されない。
「サーバーマネージャー」→「役割サービスの追加」→「IPおよびドメインの制限」
これで設定可能。
IIS7で旧ASP動かず ― 2013年10月08日 09時56分
Windows Server 2008 R2で昔作ったASP(Active Server Pages)を動かそうと思ったが、思うように動かない。正しくはASPは動いているのだが、そこから呼び出しているODBCが動かない。
64bit版OSで古いODBCのWebアプリを動かすためには、32bitのODBC設定が必要らしい。
C:\Windows\SysWOW64\odbcad32.exe
これが32bit用ODBCの設定プログラムらしい。初期に管理ツールにあるODBCプログラムは64bit用だそう。
IIS7 アプリケーションプール終了の不具合 ― 2013年10月07日 14時42分
Windows Server 2008 R2にてIIS7を設定した。
しかしWebページにアクセスしてみると、「HTTP Error 503. The service is unavailable」エラーが出て、アプリケーションプールが停止してしまう。
かなり悩んだが、よくよく見たらイベントログにその理由が書いてあった。どうやら.net frameworkの問題らしい。
「 c:\windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\machine.config 」にIISがアクセスできないのがいけないようだ。このファイルへ「IIS_IUSRS」と「IUSR」にアクセス許可したら何事もなくWEBページが表示されるようになった。
しかし、なんだこれ?
Fedora17 postfix 起動せず ― 2012年11月07日 15時30分
bindのトラブルが解決したと思ったら今度はpostfixが起動しなくなった。
エラーの内容としては、
open lock file /var/lib/postfix/master.lock:
cannot open file: Permission denied
内容だけをみれば、このファイルにアクセス権がないということなので、
master.lockファイルにもposfixディレクトリにもアクセス権をフルコントロール与えてみたが、
同じエラーが出つづけた。
postfix をアンインストールし、/var/lib/postfixディレクトリや/etc/postfixディレクトリを削除してインストールしなおしてみても解決はしなかった。
最終的に分かったことは「/var/lib」ディレクトリのアクセス権が750(root:root)になっていたためだった。
アクセス権を755に戻したら正常に起動したわけだが、問題はなぜそのディレクトリのアクセス権が変わってしまったかだ。そんなところをいじった憶えはないのだが・・・
だが得てしてこういう時は、自分が覚えていないだけでやっているものだが・・・
Fedora17 bind-chroot が起動せず ― 2012年11月07日 15時27分
bindの設定をいじっていたら、起動しなくなってしまった。
/var/run/named/named.pid does not exist
というエラーが出る。どうやら間違って/var/run
のアクセス権を750から700に変えてしまったらしい。
(root:namedの場合)
まあ終わってみれば当たり前の事だが、焦っていると気付かないものだ。
Fedora17のdovecot ― 2012年11月01日 12時49分
Fedoraを13から17にアップグレードしたわけだが、どうやらdovecotの設定がいままでとは違う。
メールをクライアントが受信しようとした際に、
Plaintext authentication disallowed on non-secure
(SSL/TLS) connections
というエラーがでる。今まではdovecot.confに
disable_plaintext_auth = no
という記述を追加すれば解決していたが、今回はどうもそれでは
うまくいかない。
いろいろ調べたところ、「/etc/dovecot/conf.d/」以下にある設定ファイルを
いじる必要があるらしい。
まずは「10-auth.conf」というファイルを編集する。
# allow plain text auth
disable_plaintext_auth = no
# allowed authentication mechanism, at least
these 2 options
auth_mechanisms = plain login
とする。最後の「login」はなくても可?
次に「10-ssl.conf」というファイルを編集。
ssl=no
に変更。
とりあえずこれだけの設定でサービスを再起動すればエラーは出なくなりメールの受信ができるようになった。
どうやら今までは「dovecot.conf」という1つのファイルで設定していたが、これからは、
「conf.d」ディレクトリにある個別のファイルで設定するようになったらしい。
ちなみにMaildirの設定は直接「dovecot.conf」に記述してもうまくいったが、本来は、
「conf.d」以下の「10-mail.conf」ファイルに
mail_location = maildir:~/Maildir
を記述するのが正しいらしい。
Fedora17でCtrl+Alt+Deleteを無効にする ― 2012年10月31日 11時36分
関連: http://sakanade.asablo.jp/blog/2008/07/08/3616246
Fedora17において「Ctrl+Alt+Delete」で再起動するのを防ぐ方法。
/lib/systemd/system/ctrl+alt+delete.target
の名前を変える。これしか思いつかない。
Fedora13→17にupgrade ― 2012年10月30日 19時14分
Fedoraを13からいっきに17へバージョンアップ。
パーティションも切りなおしたいので、クリーンインストールした。
その際に確認した設定の違い。
1.サービスの起動・終了 及び 自動起動
今までは
/etc/rc.d/init.d/サービス start(stop)
で起動(終了)していたが、今度からは
systemctl start(stop) サービス
になった。同様に自動起動も
/sbin/chkconfig サービス on(off)
から、
systemctl enable(disable) サービス
に変更。ちなみに「chkconfig --list」は「systemctl --full list-unit-files」
2.iptablesの設定保存方法が変更
従来は、
/etc/rc.d/init.d/iptables save
だったが、
/sbin/iptables-save > /etc/sysconfig/iptables
になった。
3.SELinuxの設定ファイル変更
SELinuxを止める際の設定ファイルの場所が、
/etc/sysconfig/selinux
から、
/etc/selinux/config
に変更。
4.dovecotの設定ファイル変更
FC13からdovecot.confをそのままFC17にコピーしたがエラーが出て起動しない。
調べるのもめんどくさいので、そのまま新しいdovecot.confを編集して使用。
・・・が、どうやら大きく設定がかわっていたらしい。
http://sakanade.asablo.jp/blog/2012/11/01/6620467
5.デュアルブートでデフォルトのOSを変更
「/etc/grub2.conf」を編集。
6.IBMサーバーのRAID管理ソフトバージョンアップ
IBMのHPから最新版のApplicationCDをダウンロード&インストール
とりあえず気付いたのは以上。
「ワイヤークラフト」、「釣り」、「汽水魚飼育」、「中小企業診断士」等の試験体験記など
最近のコメント