Implementing Content Freshness protection in DFSR

Hi all, Ned here again. Starting in Windows Server 2008, DFSR supports a protective mechanism called “Content Freshness”. Today I’ll discuss this protection, how to implement it, and what to do when it swings into operation. Background Content Freshness is an admin-defined setting that you can set on a per-computer basis when using DFSR on…


重複したコンピュータ名が存在している

マイクロソフト セキュリティ サポートの斉藤です。 WSUS 2.0 SP1 では、データベース内に、同一コンピュータ名を有する複数クライアントのレコードが存在する場合があります。(※) これに対し、WSUS 3.0 SP1 以降の環境においては、同一コンピュータ名の複数クライアントの登録を許容しません。 この相違のため、WSUS 2.0 で同一名クライアントが複数存在する場合には、あらかじめそのレコードを削除してからデータを移行することが必要となります。 WSUS 3.0 SP1 のインストーラは内部にこのような処理を組み込んでおり、アップグレード時に重複名クライアントが存在する場合は最新の 1 件だけを残して他を削除し、WSUS 3.0 データベースへインポートを行います。 もし何らかの理由でこの削除が完了せず、重複名レコードが残った状態で後続処理に進むと、テーブルのキー制約違反が発生してアップグレードが失敗に終わる結果となります。 (※) WSUS 2.0 SP1 においては、同一コンピュータ名 (FQDN 名) を持つ複数クライアントの登録が可能です。Active Directory 配下では、物理的に異なる 2 台のコンピュータが同時に同一 FQDN 名を持つことはあり得ません。しかし WSUS はクライアントを一意に識別するために SusClientId というクライアントのレジストリ値を使用します。 クライアントを再セットアップするとこのレジストリが異なる値で再生成されることから、新規クライアントとして WSUS へ追加登録される結果となります。こうした理由で同一 FQDN 名の複数クライアントがデータベース内に存在する場合があります。WSUS 3.0 SP1 以降の環境においてはこの動作に変更があり、同一FQDN 名の複数レコードを登録しないようになっています。 しかしWSUS 3.0 インストーラの不具合のため、この重複が残ったまま後続処理に進む場合があります。これは次の状況で発生します。 (a) WSUS…


ドメイン環境で使用されるポートについて

ファイアウォールでドメインコントローラを守りたい ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。   今回は Active Directory 環境で必要となるポートについてまとめてみました。   1. ドメイン メンバーが利用するポート ドメインのメンバーがドメインに参加する、またはドメインにログオンする際には、そのドメインの DC と通信する必要があります。 この時に DC 側、クライアント側で使用されるポートの一覧は以下の通りです。   ポートを使用するサービス プロトコル クライアント側ポート番号 DC 側ポート番号 PING ICMP     DNS TCP/UDP 一時ポート 53 Kerberos TCP/UDP 一時ポート 88 NTP UDP 123 123 RPC TCP 一時ポート 135 RPC TCP…