同時進行の別々のプロジェクト
今回は弊社のプロジェクトの煩雑化、管理の複雑化によって引き起こしたトラブルについて書きたいと思います。AD管理の課題にもつながるので興味あればご一読を。。。
インターネットプロキシ廃止プロジェクト
弊社ドメインではPCのプロキシ設定をかつてADのグループポリシーでpacファイル(プロキシ自動設定ファイル)の設置場所をURLとして設定していたが、プロキシ保有によるコスト削減のためプロキシを廃止とし、これに伴いpacファイル展開・設定の変更を段階的に進めていた。具体的にはグループポリシーでの配布を一時的に停止し、代わりの設定をMCM(Microsoft Configuration Manager)でpac設定を配布していた。
pac設定を削除せずに残すことにしているのは、現行PCの中には一部社内ではなくクラウドプロキシを参照するPCがあり、これらをpac内で判別していることが理由である。
Autopilot推進プロジェクト
また同じ時期に、PCのAutopilotによるキッティングを行えるよう体制を整え、AD側でも既存のPCとは異なるAutopilot用のOUツリーを作成しそこに新しいPCオブジェクトが作成されるように構成された。この新しいOU上ではpacファイルの配布は不要のため行ってない認識で、キッティングの際に担当者が適宜変更する、という対応を行っていた。
なおPCの構成は弊社では一般用と工場拠点用の2パターンに分かれており、OUもそれぞれ枝分かれをしている。
まとめるとこんな図式になる。
工場拠点PCはその拠点の担当がキッティングを行っている。またその周辺の情シスやフィールドサポートのような動きもしているが、共通のインフラは結局社内共通のものを使っているので、システム障害などあれば当然のように「なんとかしろ」とクレームを上げてくる。正直ちょっとうるさ系の人たちだったりするとかしないとか。
Intune化プロジェクト
これはあまりすすんでいないが、PC管理をIntuneでも行うためにHybrid Azure ADの構成でPCを管理すべくEntra ID管理の設定を行っていた。このプロジェクトの担当者はKさんが行っており、進捗や構成についてメンバーへの十分な展開はされていなかった。
ADのグループポリシーなんかも精査してにシフトする、見たいなことも進めていたが、なんとKさん、突然会社をやめてしまったのである。いや、まぁこの世界あるあるなんだけど。
これが不幸の始まりとも知らず。。。(むしろ何も無いわけがない)
問題発生!
工場担当より、
「新しくキッティングしようとしているPCがおかしい!どういうこと?」
とありがたきクレームをいただいた。何やらプロキシpacファイルのURLを手動で設定しても、しばらくすると別のURLに変更されてしまうらしい。
PCの出荷は我々の部署が担当し(実際には外注だが)、それが工場に届いて工場用にキッティングをする際に発生している。工場側からするとPCの出荷やADのポリシー設定はお前たちなんだから何とかせい!ってことなのである。
僕はグループポリシーに何か変な設定が残っているんじゃない?って思い工場担当には「gpresult /H .\report.html を取って送ってください」と依頼し、送付されたファイルをチェックしたが該当する設定の痕跡はなかった。
え、ノンサポート?
とりあえず自分で調べるのとパラで動かせる調査機関が欲しかったのでマイクロソフトに聞くことに。
そこで衝撃の事実が。
「グループポリシーのレジストリ設定でpacファイルのURLを構成することはサポートされていません」
いや、設定できるんだからするでしょ。何を言っているのかな?と思ったが、pacの設定についてはいろいろと複雑で複数の設定箇所があり、もしその複数間で不整合があった場合は手動やGPOで設定しても戻ってしまう可能性がある、とのことだった。
とはいえ問い合わせは以上でクローズしますよ高評価ください★★★★★てへっということでもなく、担当のエンジニアの方も以降も親身にサポートしてくれた。具体的には、不整合のでる可能性のあるレジストリをすべて洗い出し、すべてを削除して動作を見守るというもの。
結果、レジストリを以下に削除しようとも状況は変わらずであった。このことから、GPO以外の外的要因により設定がされているのでは、という話になった。
ねぇ、誰か知ってる~?(悲痛)
僕はTeamsの関係者にすがる思いで、
「例のpacの件でなんかどこかから設定が流れてきてるらしいんだけど、誰かこころあたりありませんか~?」などとすがる思いで聞いてみたが、これに呼応してくれたメンバーが「まぁ特に聞いてもないしあるわけないだろうなぁ」という思いでIntuneのポリシーを洗ったところ、
「AutopilotPC用のpac設定」
てのが見つかった。
これじゃん。
ワロタ。
中身を見ると、一般PC用のpacが設定されていて、このIntumeポリシーがすべてのAutopilotPCに適用されるように構成されていた。Intuneポリシー強し。
その後と反省点
対象のIntuneポリシーは、暫定として影響が出ているPCだけ除外ポリシーを設定する事で手動設定を構成できるようにした。これでクレームは一旦おさまった。恒久的には一般用と工場用のIntuneポリシーを分けて構成することで調整中である。
今回の落ちとしてはKさんが虎視眈々と進めていたIntune化が以外と本番構成に食い込んでましたよ、ってこと。ただ本質的には、
・メンバー間でプロジェクトの進行や内容を十分に共有できていなかった
・PJや担当者がそれぞればらばらで、隣のやっていることや環境の不整合にあまり興味がない
といった部分が問題の発見や解決に時間がかかった重大な原因かと思っている。
そもそも、pacを配っていないAutopilotのPCにも一般PC用のpacが設定されているんだから、「これどこから降ってきているの?」と疑問に思うべきところだが、僕が使っているのはAutopilotでない少し古いPCで、ほかの人は動作に問題なければそんな設定はいちいち気にしない。このあたりの体制も問題に気付きにくいことの要因になっているのだろう。
そしてKさんは他にもごっそりIntuneポリシーを仕込んでいることも分かった。本当の恐怖はここから始まるのである。。。(続く。。?)
コメント