Freigeben über

【IDM】Windows Server 2003/XP を RODC に対応させるための修正モジュール

  • Artikel

Windows Server 2008 から実装されたRODC(読み取り専用ドメインコントローラ)ですが、RODCが設置されているドメインのメンバーまたはドメインコントローラである Windows Server 2003Windows XPが正しく動作しないことがあります。

以下の症状が見られる場合には、修正パッチが提供されていますので適用してみてください。

ソース
Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients
https://support.microsoft.com/kb/944043/en-us

※上記リンクの日本語訳で、WOWが「おっと」と訳されている部分があります。既にフィードバックしてしまったので、見るなら今です!(笑)

症状1

クライアントがRODCのみにアクセス可能なネットワークにおいて、グループポリシーのWMIフィルタが正しく適用されない。加えて、Gpsvc.log ファイルに以下のメッセージが出力されている。

GPSVC(410.8ec) 15:17:45:808 FilterCheck: Found WMI Filter id of: filter ID
GPSVC(410.8ec) 15:18:21:838 FilterCheck: Filter doesn't exist. Evaluating to false
GPSVC(410.8ec) 15:18:21:838 ProcessGPO: CheckFilterAcess failed for <cn=GUID,cn=policies,cn=system,DC=name,DC=name,DC=name,DC=com>. Filter not found
GPSVC(410.8ec) 15:18:21:838 CGPAdminEventInitFailure::Initialize(): FormatMessage failed to look up error code (0x80041002) due to error 317. Can not log error description.
GPSVC(410.8ec) 15:18:21:838 ProcessGPO: The GPO does not pass the filter check and so will not be applied.

症状2

RODCとしか通信ができないブランチオフィス環境で、RODCからIPSecポリシーを受信できない。かつ、Win32エラー(エラーコード 8219)が出力される。

症状3

RODCとしか通信が行えない環境において、RODCと時刻同期が行えない。

症状4

RODCとしか通信ができない環境において、クライアントがドメインに参加できない。

症状5

RODCとしか通信ができない環境において、パスワード変更が行えない。

症状6

LsaRetrievePrivateDataLsaStorePrivateData ファンクションを使用して、RODCが公開鍵証明書(public key certificate)を取得したり作成しようとすると、失敗する。LsaRetrievePrivateData の場合には成功したかに見えるが、NULLが返される。LsaStorePrivateData の場合にはエラーコード 0xc0000034 が戻される。このことにより、クライアントのData Protection API (DPAPI)はマスターキーを複合できない。

症状7

プリンタをADに公開しようとすると失敗する。RODCはクライアントから受け取った「プリンタの公開」要請を、RWDCに転送して処理しようとする。そのため、実際にRODCに公開情報が送られてくるまでタイムラグが発生する。しかし、クライアントのスプーラは公開要請してからすぐにRODCに公開情報を取得しに来るためエラーとなる。

症状8

RODCとしか通信ができない環境において、ADに公開されたプリンタの検索を行うとダイアログボックスの応答が無くなる。

症状9

ADSIのリクエストが常に書き込み可能なドメインコントローラに送られてしまう。

症状10

Windows Server 2003 ドメインコントローラが、RODCを含んだサイトの自動サイトカバレッジを実施してしまう。そのため、RODCを含んだサイトのクライアントは、RODCを使用せず、2003によって登録された別のドメインコントローラと通信を行ってしまう。

自動サイトカバレッジ については 以下をご覧ください
【Windows Server 2008】Windows Server 2003 の自動サイトカバレッジ(Automatic Site Coverage)機能による RODC への影響 その1

症状11

Windows Server 2003 ドメインコントローラが、RODCを含んだサイト以外のサイトにおいて、自動サイトカバレッジに失敗する。でもって、Netlogon.log に以下のメッセージが出力される。

[CRITICAL] NlSitesUpdateSiteCoverage: Cannot DsGetDomainControllerInfoW 87 (=ERROR_INVALID_PARAMETER