System Center Essentials 2007 失敗の記録

テスト用だからと適当にインストールしてたらはまった。ServerCoreなドメインコントローラをアクティベートしてなかったのが悪かったのかもしれないが…

突然ドメインコントローラーへのアクセスが発生するようなタイミングで「RPCコールに失敗しました」というメッセージが出るようになった。

netstat -n コマンドで調査すると、port445 に対するアクセスで失敗している(SYN_SENT 状態)。これは、Windowsファイアウオールの規則によって着信しないように制限されることによって発生していた。

その後、ドメインコントローラ上のグループポリシーの管理で、「グループポリシーの結果ウィザード」を利用しグループポリシー適用状況を確認したところ、"System Center Essentials All Computers Policy" という新しいグループポリシーオブジェクトが生成されてこれがドメイン全体に適用されている状態。

で、「管理用テンプレート」-「ネットワーク/ネットワーク接続/Window ファイアウォール/ドメイン プロファイル」にて以下の2つのポリシーが設定されていた

  • Windows ファイアウォール 着信ファイルとプリンタの共有の例外を許可する
  • Windows ファイアウォール 着信リモート管理の例外を許可する

ここには例外としてIPアドレスの一覧が記載されているのだが、System Center Essentials 2007 をインストールしたマシン上のIPアドレスが並んでいる状態。そのためドメインコントロール間の通信が遮断されて不具合が発生していたように見受けられた。

ここのポリシーに社内ネットワークのアドレス空間を投入すれば状況が改善するはず。(今回急ぎだったのでとりあえず * を投入して何でも着信ありにて復旧してしまった。あとで何とかしないと。)未定義に変更するのがベストだったかもしれない。

ちなみにこの "System Center Essentials All Computers Policy" 、自己署名証明書(10年有効)を配布を仕掛けている。グループポリシーでのこういった証明書配布は方向性として正しいと思うし、やはりベースのところでX509証明書の扱いは必須になっているなあと感じた。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。