Windows Server 2008 R2 MSFC のファイル サーバー リソースへの共有フォルダの追加について

  こんにちは、プラットフォーム クリティカル レスポンス チームの姚 (ヨウ) です。 今日は少し前にお客様よりお問い合わせいただいた Windows Server 2008 R2 のクラスター環境で発生した事象を紹介いたします。   はじめにこの事象について説明いたします。 Windows Server2008 R2 のクラスターのファイル サーバー リソース グループにて、クラスターの共有ディスクにある既存のフォルダーをファイル サーバー リソースの共有フォルダーに追加する際に以下のエラーとなり、追加に失敗する事象です。   “共有フォルダーの準備ウィザードを完了できませんでした。具体的なエラーについては [エラー] タブを参照してください。”       “SMB 共有フォルダーのフラグは構成できません。この共有リソースは存在しません。”   また、該当のフォルダをエクスプローラーで共有しようとした場合も以下のエラーが発生し、共有できません。   “フォルダーを共有できません。”   さらにプロパティにて “詳細な共有” にて共有を設定しようとした場合でも以下のエラーが発生し、共有できません。  “COM Surrogate は動作を停止しました”   この事象は、該当のフォルダの NTFS のアクセス権限に SYSTEM アカウントのアクセス権限が付与されていないことが原因で発生いたします。 Windows Server 2008 および Windows Server 2008…

0

Windows Server 2003 でストップエラーが頻発する

こんにちは。プラットフォーム クリティカル レスポンス チームの川上です。 今日は最近複数のお客様からお問い合わせ頂いた Windows Server 2003 のストップエラーが頻発する現象についてお話しします。 インストールしているドライバも更新していないし、ハードウェアにも問題がない。それにも関わらずブルースクリーンが頻発するようになった。そんな状況に陥ったら一度、サポート技術情報 948289 を確認してみてください。     Error message on a Windows Server 2003-based computer: "Stop error code 0x00000019" http://support.microsoft.com/kb/948289     このサポート技術情報を理解するためには、ショートファイル名を知っておく必要があります。 Windows OSで使用しているファイルシステムでは、空白などを含む長いファイル名(ロングファイル名)を扱えますが、以前の MS-DOSでは 8.3形式の短いファイル名(ショートファイル名)しか使用できませんでした。 8.3形式は、ファイル名の部分が最大8文字、拡張子が最大で3文字のファイル名の形式です。現在の Windows ではこのショートファイル名 8.3形式ではなく、ロングファイル名を使用できますが、下位互換性のためにデフォルトではロングファイル名とショートファイル名の両方が管理されています。 ショートファイル名を確認したい場合、dir /x コマンドで見ることができます。 この例ではロングファイル名 testfile1.dat のファイルを dir /x コマンドで確認すると、このファイルはショートファイル名では TESTFI~1.DAT となっている事が確認できます。このようにショートファイル名は同一フォルダ内で重複しないようにチルダ記号 ~ の後に追番を付ける形で8.3形式で作成されます。   通常の運用では問題ありませんが、一部アプリケーションソフトウェアなどで単一のフォルダー配下に極端に大量のファイルを作成してしまう場合があります。 このような場合、Windows Server…

0

Windows Server 2008 Failover Cluster のネットワーク障害

こんにちは、プラットフォーム クリティカル レスポンス チームの姚 (ヨウ) です。 今日は、最近お客様からお問い合わせいただいた Windows Server 2008 Failover Cluster において発生したネットワーク障害についてお話します。 はじめに現象について説明します。 Windows Server 2008 の 2 ノード (NodeA と NodeB とします) の Failover Cluster 環境で、両ノードで、DHCP Client サービスと IPv6 を無効に設定します。 両ノードを順番に再起動すると、後に起動してくるノードがクラスタに参加できない現象が発生します。 この現象を回避するためには、DHCP Client サービスまたは IPv6 を有効にするか、両方を有効に設定する必要があります。 この現象が発生する理由について説明しますが、はじめにクラスタ ノードがクラスタ参加する際のノード間通信の設立について簡単にお話します。 Windows Server 2008 Failover Cluster ではノード間通信は、Microsoft Failover Cluster Virtual Adapter (netft.sys) を使用し、行います。 ノードがクラスタに参加するとき、以下の流れで通信を設立します。 1. Microsoft…

0

アンチウイルス スキャン対象から除外したいファイルやフォルダ

Windows 7 クライアントや Windows Server 2008 / 2008 R2 サーバーで、アンチウイルス スキャン対象から外した方が良いファイルやフォルダ情報をまとめてみました。 ■ Windows 7 クライアント 次のディレクトリおよびファイルが除外されるように構成します。   パス 対象ファイル Windows Update 関連ファイル %windir%\SoftwareDistribution\Datastore Datastore.edb %windir%\SoftwareDistribution\Datastore\Logs *.log *.jrs Edb.chk Tmp.edb [セキュリティの構成と分析] で確認できるセキュリティ ファイル %windir%\Security\Database *.edb、*.sdb *.log *.chk *.jrs グループ ポリシー関連ファイル %allusersprofile% NTUser.pol %Systemroot%\System32\GroupPolicy\Machine Registry.pol %Systemroot%\System32\GroupPolicy\User Registry.pol Virus scanning recommendations for Enterprise computers that are running currently…

0

Active Directory: メタデータ クリーンアップ [動画]

はじめまして。 Critical response team の夜間を担当しています、馬場と申します。 ドメイン管理者のみなさんは、以下のような経験をされたことはありませんか? ドメイン コントローラのディスクが破損してしまった! ドメイン コントローラのデータベースが破損し、起動しなくなった! ドメイン コントローラ間で複製が長期間できておらず、ドメイン コントローラとして機能していなかった! このような時に限ってバックアップがなかったり、バックアップ自体が破損してしまっているというような悲惨な自体が起きることがあります。 幸いなことに、正常なドメイン コントローラが 1 台でも残っていれば、Active Directory のデータはそこから複製させることが可能です。 しかし、ドメイン コントローラが破損してしまった場合、通常の DCPROMO のウィザードを使用することでドメイン コントローラを降格することができないシチュエーションが多々あります。例えばディスクが壊れてしまった場合、OS からインストールを行う必要があります。 ディスクが破損してしまったドメイン コントローラはネットワークからはいなくなっていても、ドメイン コントローラの降格を行っていないため、他のドメインコントローラはまだ問題が発生したドメイン コントローラはいると認識してしまっています。つまり、すでに存在しないドメイン コントローラの情報がいつまでも他のドメイン コントローラでは残ってしまっているのです。 このような場合には、その情報を手動で削除する必要があります。手動で削除する方法をメタデータ クリーンアップと呼びます。すでに、実施されたことがある方もたくさんいらっしゃるかもしれませんが、以下に Windows Server 2008 、Windows Server 2003 SP2 、Windows 2000 Server SP4 でのメタデータ クリーンアップの作業を動画でアップしてみたので、参考いただければと思います。 注意: 動画はあくまでもサンプルですので、詳しい手順につきましては以下の弊社技術情報をご確認ください。 ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法http://support.microsoft.com/kb/216498/ja ○ Windows…

0

「Windows でやってみよう PKI シリーズ 2」

こんにちは。 Critical response team の昼間を担当しています、松木と申します。 前回に引き続き、「Windows でやってみよう PKI シリーズ 2」 ですが、もう少し私の業務内容に関わりがあり、緊急対応でもお問い合わせいただきます EFS (暗号化ファイル システム)と回復エージェントについてご紹介したいと思います。 (この EFS の動作は Windows Server 2008 R2 でも動作に変更がありません。) 昨今のセキュリティ強化の一環として、メールファイルや重要なフォルダを EFS によって暗号化していただいている環境も多いかと思います。ここで使用されております EFS とは、NTFS 標準の機能となりまして、FAT または FAT32 ファイル システムではサポートしておりません。 まず、 EFS における回復エージェントの動作についてご説明させていただきたいと思います。 EFS では、以下の二つの暗号化の技術が使われています。 1. 共有鍵暗号 2. 公開鍵暗号 これらの暗号化の技術の詳細は別途ご確認いただければ幸いです。(話がそれ過ぎるので暗号化の詳細については次回とさせて下さい。) それぞれの暗号化技術の概念は読んで字のごとく、 1. 鍵を共有する。 2. 公開鍵と秘密鍵を分けて使用する。公開鍵のみ第三者に公開する。 Windows にてファイルのプロパティ等からファイルやフォルダを暗号化して保存すると、ランダムな暗号化ジェネレータによって一意のファイル暗号化キーFEK (=共有鍵 ) が生成されます。 EFS.sys (ドライバー) はファイルに以下のヘッダーを追加し、そのヘッダー内に FEK…

0

Windows Server 2003 R2 クラスタ環境下におけるイベント ID 1034 への対処

Windows Server 2003 R2 までのクラスタ構成環境下において、次のような状況後、物理ディスク リソースがオンラインにならない場合や、クラスタ サービスを開始できない場合があります。 故障したハード ディスクを交換したり、共有ディスク リソースのドライブを (別の SCSI ID や SCSI ラックの物理的に別の場所に) 変更した場合 ディスク障害等でクラスタ サービスが当該ディスクを見つけられない場合 ディスクの署名が意図せず変更されてしまった場合 これは、クラスタ側で認識しているディスク署名と、実際の物理ディスクのディスク署名が異なってしまったために発生します。 物理ディスク クラスタ リソースがオンラインにならない場合には、システム イベント ログに ID 1034 エラー イベントが記録されます。 クラスタ サービスを開始できない場合は、クラスタ アドミニストレーター内で次のエラーが出力されます。 また、クラスタ ログには以下のログが記録されます。 ERR  Physical Disk <Disk Q:>: [DiskArb] Signature of disk has changed or failed to find disk with id, old signature…

0

「Windows Server 2008 (R2) からでもはじめたい Windows PKI 」

  こんにちは。 Critical response team の昼間を担当しています、松木と申します。 今回は緊急対応でもお問い合わせいただきます証明書、Windows PKI について「Windows でやってみよう PKI シリーズ」 というお題目でお話させていただきます。 PKI とは、IT 用語辞典等を検索しますと、以下のような意味で定義されています。 「PKI とは、公開鍵暗号を用いた技術・製品全般を指す言葉。RSAや楕円曲線暗号などの公開鍵暗号技術、SSLを組みこんだWebサーバ/ブラウザ、S/MIME・PGPなどを使った暗号化電子メール、デジタル証明書を発行する認証局 (CA) 構築サーバなどが含まれる。」 Windows OS では、現在 (2010-03-18)、Windows Server 2003 そして Windows Server 2008 が CA 構築する際の OS としてサポートされています。 どちらを選択されるかはお客様の環境によって様々だと思いますが、以下に Windows 2008 PKI からの新機能について書かれた文書(英語です、すみません。)がありますので、ご一読いただければと。 (一番の目玉はOnline Certificate Status Protocol <OCSP> , ネットワーク デバイスの登録サービス <NDES> がサポートされるようになったことでしょうか。) 「PKI Enhancements in Windows」 http://technet.microsoft.com/en-us/magazine/cc137986.aspx…

0