特定のユーザーで Userenv, Group Policy の警告、エラーが記録される

 

こんにちは! Network & Active Directory チームの名和 彩音です。

最近は、肌寒い日も増え、季節はすっかり「秋」という感じですね。

皆様どうお過ごしでしょうか。

さてさて今回は、Userenv、Group Policy のイベントについて、豆知識をご紹介したいと思います。

昨今はリモート デスクトップを使用して、サーバーの管理を実施する事が多くなっていると存じます。

リモート デスクトップでログオンしていたログオン セッションをログオフせずにその接続を切断した場合で、そのユーザーのパスワードを変更すると、以下にご紹介するようなイベントが発生いたします。

最近、このようなイベントに関するお問い合わせが増えてきていますので、ご紹介させていただきたいと思います。

 

1. 特定のユーザーでUserenv、Group Policyの警告、エラーが記録される

=====================================================

Userenv の警告およびエラー イベントは、Windows Vista / Windows Server 2008 より前の端末 (Windows XP / Windows Server 2003) において、グループ ポリシー適用の処理に何らかの問題が発生した際に記録されます。Windows Vista / Windows Server 2008 以降の端末では、上記の問題が発生した場合、Userenv ではなく、Group Policy のソースでイベントが記録されます。

■ Windows XP / Windows Server 2003

ソース:Userenv

■ Windows Vista / Windows Server 2008以降

ソース:Group Policy

例えば、ドメイン コントローラーとクライアント間にネットワークの問題がある場合は、エラー イベントとして Userenv 1030 が記録されることがあります。

この場合、"ユーザー" の項目には「NT AUTHORITY\SYSTEM」と記録されます。

■ 例1:「ユーザー:NT AUTHORITY\SYSTEM」と記録される場合

clip_image002

一方、このエラー イベントの "ユーザー" 欄に、特定のユーザー名が記録されることがあります。

例として、以下のイベントをご確認ください。

■ 例2:「ユーザー:<ドメインユーザー名>」と記録される場合

clip_image004

この 2 パターンについて何が違うかというと、前者 (NT Authority\System) は、コンピューターについてのグループ ポリシー適用処理を示し、後者 (ドメインユーザー名) は、ユーザーについてのグループ ポリシー適用処理を示しています。

最初にシナリオとして、”ドメイン コントローラーとクライアント間にネットワークの問題がある場合” という例を挙げましたが、この場合には、いずれの処理も失敗します。

今回は、後者のユーザー欄がドメインユーザー名となっているイベントのみが大量に記録されている場合に、どのような原因が考えられるのか、代表的な一例を次項にてご説明をさせていただきます。

 

 

2. 特定のユーザーでUserenv、Group Policy の警告、エラーが記録される際の原因

=====================================================

特定のユーザーでUserenv、Group Policy の警告、エラーが記録される際の原因のひとつとして、「ユーザーのログオン セッションの残留」が挙げられます。

同じユーザー アカウントで Userenv、Group Policy の警告が大量に記録される場合は、まず、この問題に該当していないかを確認してみてください。

記録される可能性のあるイベントは以下です。

■ Windows XP / Windows Server 2003

Userenv 1006

Userenv 1030

Userenv 1058

■ Windows Vista / Windows Server 2008以降

Group Policy 1006

※いずれの場合も、上記と合わせて、認証に失敗したことを示す LsaSrv のイベントが記録される場合があります。

例えば、リモート デスクトップ接続を利用し、端末にログオンを行なう運用を行なわれている場合、ログオン先の端末でこの問題が多く発生します。

以下に例をご紹介します。

- 原因となる代表的な動作

1. リモート デスクトップで、ドメイン ユーザー (例: administrator) の資格情報を用い、端末にアクセスを行ないます。

clip_image005[4]

2. クライアントから、ログオフを行なわずclip_image007[6] 印をクリックして、リモート デスクトップを切断します。

clip_image009

3. このような状態だと、ドメイン ユーザーのリモートデスクトップ接続のセッションは残ったままになります。

clip_image010

4. 通常の運用の中で、該当のドメイン ユーザーのパスワードの変更が行なわれます。

5. 残存したセッション内で、グループポリシー適用の処理が定期的に行われます。この際、ログオン時に使用した資格情報を用いてドメインユーザーの認証が行なわれますが、パスワードの変更が行なわれているため、この認証に失敗し、グループポリシーの適用に失敗します。結果として、前述したようなイベントが記録されます。

clip_image011[4]

 

 

3. 特定のユーザーで Userenv、Group Policy の警告、エラーが記録された場合の解決策について

=====================================================

上記 2 の原因に該当している場合、古いパスワードでのセッションが残っていることで、特定のユーザーで Userenv、Group Policy のエラーが記録されます。どのユーザーでセッションが残っているかという点は、「ターミナルサービス マネージャー」(Windows Server 2008 R2の場合はリモートデスクトップ サービス マネージャー)にて確認することが可能です。

以下に「ターミナル サービス マネージャー」を利用した確認方法とセッション切断方法をご案内します。

■ Windows Server 2003 の場合

1. イベントが出力されている端末に、Userenv のイベントに記録がある <ドメイン ユーザー名> 以外の管理者権限でログオンします。

※ コンソール ログオンではなくターミナル ログオン (リモート デスクトップなどを利用したログオン) で構いません。

2. [スタート] - [管理ツール] - [ターミナル サービス マネージャ] を起動させます。

3. [ユーザー] タブにて、Userenv のイベントに記録されている <ドメイン ユーザー名> が存在するか否かという点をお確かめください。

Userenv のイベントに記録されている <ドメインユーザー名> が存在した場合、セッションは接続された状態のままである可能性があります。

なお、<ドメイン ユーザー名> セッション状態が [Discconect] であっても、

<ドメイン ユーザー名> が存在する場合、セッションは接続されたままの状態です。

4. <ドメイン ユーザー名> を右クリックし、 [ログオフ] をクリックします。

5. <ドメイン ユーザー名> が表示されなくなったことをお確かめください。

6. 対象の端末で gpupdate /force を実行し、現象が回避するか否かという点をご確認ください。

 

 

■ Windows Server 2008 の場合

1. イベントが出力されている端末に、Group Policy のイベントに記録がある <ドメイン ユーザー名> 以外の管理者権限でログオンします。

※ コンソール ログオンではなくターミナル ログオン (リモートデスクトップなどを利用したログオン) で構いません。

2. [スタート] - [管理ツール] - [ターミナル サービス] - [ターミナルサービス マネージャ] を起動させます。

※ Windows Server 2008 R2 の場合は、以下を開きます。

[スタート] - [管理ツール] - [リモート デスクトップ サービス] - [リモート デスクトップサービス マネージャー] を起動させます。

3. [ユーザー] タブにて、Group Policy のイベントに記録されている <ドメイン ユーザー名> が存在するか否かという点をお確かめください。

<ドメイン ユーザー名> が存在した場合、セッションは接続された状態のままである可能性があります。

なお、"<ドメイン ユーザー名> セッション状態" が [切断] であっても、<ドメイン ユーザー名> が存在する場合、セッションは接続されたままの状態です。

4. <ドメイン ユーザー名> を右クリックし、[ログオフ] をクリックします。

5. <ドメイン ユーザー名> が表示されなくなったことをお確かめください。

6. gpupdate /force を実行し、現象が回避するか否かをご確認ください。

なお、端末へのセッション数が増加いたしますと、パフォーマンスなどへの影響が生じる可能性がありますので、ターミナル サービスをご利用の際にセッションを終了いただく場合は、[スタート] - [ログオフ] を実行して明示的にログオフを行うことで、セッションを終了することを推奨させていただいております。

clip_image007[7] ボタンを押しただけでは、リモート デスクトップのセッションは終了されておりません。

 

 

「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」