質問

2010年03月20日 22時49分
  • IISにてドメインコントローラー導入後、デスクネッツが実行できない

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

デスクネッツを下記環境で利用していまして、
同じサーバーにドメインコントローラーを入れたところ、
デスクネッツが起動しなくなってしましました。

●環境
サーバーOS:Windows 2003 Server R2
Web:IIS6.0

●エラーメッセージ
HTTP エラー 403 - アクセスは許可されていません
アクセスが拒否されました。

※W3SVC1のログではアクセス履歴のあとに「403 19 1314」の表記

アクセス権がないのだと思い、コンテンツのアクセス権に
「everyone」のフルコントロールをふり直したりしましたが、
改善せず。htmlやgifは見れるようですが、exeファイルが実
行できません。
(デスクネッツは実行ファイルでもろもろのページを表示して
いるようです。)

●その他、確認した項目
→既定のWebサイトのプロパティ→ホームディレクトリ
実行アクセス許可:「スクリプトおよび実行可能ファイル」

●Webサービス拡張
→すべての不明なCGI拡張を「許可」

ドメインコントローラーにした際に何かセキュリティ
ポリシーを変更してしまったのでしょうか?
IISとexeの実行に関してご存じの方がいらっしゃいましたら
教えていただけないでしょうか?

非常に困っています...。

2件の回答があります

回答

ドメインコントローラに昇格するときにローカルユーザーとグループが削除されたはずなので、たぶん動作させていたアカウントがなくなったためでしょう。
デスクネッツはよく知りませんが、サービスにローカルadministratorで起動するようになってるものはないか、他にも同アカウントを使っているものがないか調べてみてください。

2010年03月21日 00時03分

回答

本現象、解決ができました!
今回は下記の対応方法にて改善できました。
備忘録も兼ね、書き込んでおきます!

■対応
ドメインコントローラー「ドメインコントローラーセキュリティポリシー」
→「ローカルポリシー」→「ユーザー権利の割り当て」→「プロセス レベ
ル トークンの置き換え」にて設定されている項目を確認後、
(今回は「IWAMMachineName」が設定)
IIS→アプリケーションプール→DefaultAppPool(右クリック)→プロパ
ティ→識別タグ→アプリケーションプール用のセキュリティアカウント
選択にて、定義済みの「Network Service」が設定されていたため、構成
可能の「IWAM
MachineName」に変更     

■原因
ドメインコントローラー昇格に伴い、「プロセス レベル トークンの置き
換え」が変わり、プロセス実行の権利のあるユーザーアカウントになって
いたために発生したと思われる。
今回はIISにて対応したが、ドメインコントローラーセキュリティポリシ
ーの「プロセス レベル トークンの置き換え」を「Network Service」に
変更でも可能と考える。

■備考
IISにおける実行モジュールができない場合に確認すべき項目
・コンテンツのアクセス権が「everyone」になっているか?
・「ローカルコンピュータ」を右クリック→プロパティ→「MIMEの種類」
 ボタンにて.exeが登録されているか?
・「Webサービス拡張」をクリック、「すべての不明なCGI拡張」が
 「許可」になっているか?
・「Webサイト」を右クリック右クリック→プロパティ→ホームディレク
 トリ→実行アクセス許可が
 「スクリプトおよび実行可能ファイル」になっているか?

■その他URL
http://support.microsoft.com/kb/812614/ja

2010年03月21日 21時46分

あなたもコメントしましょう!