fSMORoleOwner 属性の Infrastructure マスターの値にご注意

こんにちは。Windows プラットフォーム サポートチームの工藤です。 今回は、ドメイン コントローラの移行作業を、適切に問題なく実施するための参考情報のひとつをご紹介させていただきます。   弊社 Windows プラットフォーム サポートでは、エラーが発生してドメイン コントローラの降格ができないというお問合せを、ときどきお寄せいただくことがあります。 具体的には、ドメイン コントローラの削除をウィザードで進めているときに、以下のようなエラーが発生する状況です。   「ディレクトリ サービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」   このエラーは、アプリケーションパーティションの fSMORoleOwner と呼ばれる属性の値がフォレスト内に存在しない DC 名になっていると発生するのですが、実は、対処方法について、弊社では以下のサポート技術情報を公開しております。   – 参考情報 インフラストラクチャ マスター役割の強制転送を行っても、アプリケーション パーティションの fSMORoleOwner 属性の値が変更されません https://support.microsoft.com/ja-jp/kb/2904044   ただ、この公開情報は、問題の発生を未然に防止する観点では書かれておりません。 そのため、本ブログでは、ドメイン コントローラーを降格させるときに、事前確認を行うポイントをエラーの内容詳細と併せて、以下におまとめしてみたいと思います。   ============================================================= A. 未然に防げる現象 ============================================================= 事前確認によって、以下のふたつの問題の発生を抑えることができます。   1. ドメイン コントローラーの降格が行えない ドメイン コントローラーの降格を行おうとすると、「ディレクトリ サービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」というエラー メッセージが表示され、降格ができません。   2. Adprep /rodcprep コマンドの実行に失敗する Adprep…

0

Azure AD のトークン署名証明書ロールオーバー

こんにちは。Windows プラット フォームサポートチームの三浦です。 今回は Azure AD のトークン署名の証明書が更新される件についてのお知らせです。 すでに詳細な情報が以下のように公開されていますが、本ブログでも改めてご紹介します。 Azure Active Directory の署名キーのロールオーバー https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-signing-key-rollover/   証明書更新の通知メール 7 月 16 日に Azure Team から “ご対応のお願い: お客様が開発されたアプリ用の Azure Active Directory 証明書の更新について” というタイトルで Azure AD 証明書ロールオーバーの影響を受ける可能性があるサイトの管理者にメールが送信されています。このメールは影響を受ける可能性があるサイトの管理者に対して送信されていますが、後から述べますように必ずしも対処が必要なわけではありません。まずは、メールにも記載されています以下の手順で影響を受ける可能性があるアプリケーションの確認をお願いします。 管理者のアカウントを使用して Azure クラシック ポータル (https://manage.windowsazure.com) へサインインします。 [Active Directory] を開き、ディレクトリを選択します。 “アプリケーション” をクリックし、 [表示] ドロップダウン メニューから [自分の会社が所有するアプリケーション] を選択し、右のチェックマークをオンにしてフィルターを適用します。 上の画像の例では Azure AD Domain Services Sync (Preview…

0

MS15-121 (3081320) に記載の問題が他の更新プログラム適用でも発生する

皆さん、こんにちは。 脆弱性の修正、セキュリティ強化等を目的にセキュリティ更新プログラムがリリースされます。しかし、セキュリティ強化を目的とした更新の結果、そのセキュリティ強化に対応できていない サード パーティ製品で問題が発生することがあります。 MS15-121 (3081320) もそのような問題が確認できている更新プログラムですが、更新の包含関係がわかりにくいので、本ブログで説明します。   [MS15-121] なりすましを解決する Schannel のセキュリティ更新プログラム (2015 年 11 月 10 日) https://support.microsoft.com/ja-jp/kb/3081320   MS15-121 では、 SSL/TLS 通信で利用される Schannel というモジュールへのセキュリティ強化が 図られています。セキュリティ強化に対応できていないソフトウェアがインストールされている場合、本更新プログラムの適用により問題が生じます。 また、同様の問題は、更新プログラムの修正を含む別のプログラムが適用された場合にも発生します。具体的には、この MS15-121 の更新内容は、同時にリリースされました次の更新プログラムにも含まれます。   [MS15-122] Windows Kerberos 用のセキュリティ更新プログラムについて (2015 年 11 月 10 日) https://support.microsoft.com/ja-jp/kb/3101246 [MS15-115] Windows 用のセキュリティ更新プログラムについて 2015 年 11 月 10 日 https://support.microsoft.com/ja-jp/kb/3101746   そのため、手動で更新プログラムの適用をおこなっている環境では MS15-115…

0

Windows 10 でパスワードに空白のパスワードが設定される場合がある

皆さま、こんにちは。 今回は、Windows 10 で特定の条件下でパスワードの変更を求められた時、正常に新しいパスワードを指定できない事象についてと、その回避策についてご紹介いたします。   どのような問題なのか 下記の前提条件が適用されている端末にて、自身のユーザーアカウントのプロパティの [ユーザーは次回ログオン時にパスワードの変更が必要] にチェックを入れた場合、あるいは、ログオン中にパスワードの有効期限が切れた場合、その後のログオン時に正常にパスワードの変更が行えず、自身のアカウントに空白のパスワードが設定されます。 また、画面に表示されるパスワード変更の案内文と実際に表示される画面が異なるという不具合が Windows 10 にあります。   前提条件 以下の 1  あるいは 2 の条件を満たす場合に本事象が発生することが確認されています。 以下のA, B の両条件を満たしている場合 A. グループ ポリシーの [コンピューターの構成] – [管理用テンプレート] – [システム] – [ログオン] 配下の [ユーザーの簡易切り替えのエントリ ポイントを非表示にする] が “無効” に設定され、端末に適用されている B. グループ ポリシーの [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [ローカル ポリシー]  – [セキュリティ オプション] 配下の「対話型ログオン:最後のユーザー名を表示しない」が “有効” に設定され、端末に適用されている…

0

ドメイン コントローラーにおける リモート ダイレクト メモリ アクセス (RDMA) の利用について

こんにちは、Windows プラット フォーム サポートの進藤です。   Windows Server 2012 では、SMB ダイレクトと呼ばれる機能が搭載されました。 これにより、リモート ダイレクト メモリ アクセス (RDMA) 機能を搭載するネットワーク アダプターの使用がサポートされるようになっています。 RDMA を搭載するネットワーク アダプターは、遅延がきわめて小さく、CPU をほとんど使用しないため、リモート ファイル サーバーをローカル ストレージのように利用することができます。 このようにしてファイル サーバーのパフォーマンスを向上させることが期待できます。   (参考資料) SMB ダイレクトを使用してファイル サーバーのパフォーマンスを向上させる https://technet.microsoft.com/ja-jp/library/jj134210.aspx   しかし、この RDMA の機能をドメイン コントローラー上で動作させると、メンバー サーバーで利用するときに比べてファイル サーバーの性能がでないことを確認しましたので、その詳細についてお知らせします。   この RDMA の性能低下は、SMB セキュリティ署名の影響により発生します。 ドメイン コントローラーでは Default Domain Controllers Policy の中でSMB セキュリティ署名のポリシーが既定で有効となっているため、メンバー サーバーで RDMA を利用するときに比べて性能が下がります。…

0

「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある

こんにちは、プラットフォームサポートチームの高田です。 速報的な内容となりますが、6 月 14 日にリリースされた「MS16-072: グループ ポリシーのセキュリティ更新プログラム」をインストールした環境において、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループ ポリシーが適用されなくなるという問題が報告されています。 これは、下記英語版の技術情報に Known Issues として記載されている事象です。 MS16-072: Security update for Group Policy: June 14, 2016 https://support.microsoft.com/en-us/kb/3163622   事象の概要 MS16-072 はグループポリシーの適用処理におけるセキュリティ上の問題に起因し、中間者攻撃 (Man-in-The-Middle) により権限の昇格が発生する脆弱性を解消します。しかしながら、この対応に伴い、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループポリシーが適用されなくなります。 これは、MS16-072 がユーザーのグループポリシーを適用するにあたり、セキュリティコンテキストの扱いを変更しているためです。この設計上の動作変更により、ユーザーのコンピューターはセキュリティ上の脆弱性から保護されます。MS16-072 を適用する前では、ユーザーのグループポリシーは、ユーザーのセキュリティコンテキストで適用されます。一方、MS16-072 が適用された後では、ユーザーのグループポリシーはコンピューターのセキュリティコンテキストを用いて適用されるようになります。これにより、ユーザーに対してのみ読み取りアクセス権を付与している GPO では適用に失敗します。   解決策 事象を解決するには、問題の生じている GPO に、コンピューターの読み取り許可を与えます。以下に、Domain Computers に読み取りの許可を与える手順を案内いたしますので参考にしていただければと思います。 ※ KB3163622 のページには 2 通り (Authenticated Users もしくは Domain Computers の「読み取り」権限を追加する) の対処方法が記載されております。本ブログでは事象の解決に必要な、範囲を絞った権限 (Domain Computers …

0

Azure AD Connect へのアップグレードについて

みなさま、こんにちは。 古いバージョンのディレクトリ同期ツール(DirSync , Azure AD Sync)は、2017 年 4 月 13 日をもってサポート終了となります。 現在は、最新版の Azure AD Connect の使用を推奨しておりますので、余裕をもってアップグレード作業の計画を立ててくださいますようお願い申し上げます。   今回は、Azure AD Connect へアップグレードする際に参考となる情報をご紹介いたします。 はじめに確認していただきたい公開情報は下記の通りです。   オンプレミス ID と Azure Active Directory の統合 URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect/ >Azure AD Connect 概要のご紹介です。   Azure AD Connect のトポロジ URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-topologies/ >既に構成済と存じますが、トポロジ構成についてご紹介です。   Azure AD Connect の前提条件 URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-prerequisites/ >Azure AD Connect を使用するための前提条件です。   ハイブリッド ID…

0

Windows 7 でパスワードが変更できない

こんにちは。プラットフォーム サポートです。 ドメインに所属している Windows 7 に「2016 年 4 月」以降のセキュリティ更新プログラムを適用後、下記のメッセージが表示されてパスワードを変更することができなくなる場合があることが報告されております。   「サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピューター アカウントがありません。」 本事象は、ドメインメンバーが Windows Update などを実施し Kerberos 関連モジュールが更新される一方で、ドメインコントローラー側では Windows Update がなされておらず、Kerberos 認証の互換性に問題が生じるために発生します。   発生条件 この事象は、下記の 5 つの条件が重なったときに発生します。  ドメイン コントローラーの OS に Windows Server 2008 もしくは Windows Server 2008 R2 が存在している 過去にドメインで権限のあるリストア (Authoritative Restore) を実施したことがある クライアントの Kerberos.dll のファイル バージョンの下 5 桁が 22320 以上となっている クライアントで Ctrl +…

0

マイクロソフトのパスワードに関するガイダンス

こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおりです。   1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない) 非常に長いパスワード要件 (10 文字以上) を強要すると、ユーザーは攻撃者から予測しやすいパスワードを設定する可能性があります。例えば、16 文字のパスワード長を要件として設定した場合、ユーザーは fourfourfourfour や passwordpassword など、とにかく要件を満たすために簡単なパスワードを設定するかもしれません。 また、長いパスワードを要件とすると、すべてのパスワードが最低要件より数文字だけ長いものになる傾向を生みます。この結果として攻撃者は長さを絞り込むことが可能になります。さらに、長いパスワードが要求されると、ユーザーはパスワードを紙に書いたり、別のアカウントにも使ったりと、そのほかにも望ましくない行動をしがちです。   2. 文字の組み合わせ (複雑さ) に関する要件を廃止する パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。 ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。   3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする 定期的なパスワード変更も、メリットよりもデメリットの方が大きいです。このポリシーがあることで、ユーザーは、連続性のある言葉や数字をつかうようになり、攻撃者は現在のパスワードから次の新しいパスワードを予測しやすくなります。定期的なパスワード変更は長らくセキュリティ上の良いプラクティスと言われていましたが、攻撃者に対しても効果はなく、反対にユーザーの望ましくない行動を招きやすくなります。   4. わかりやすい一般的なパスワード使うことを禁止する…

0

Windows イメージおよび構成デザイナー (ICD) を利用した、モバイル デバイスのパスワード設定のカスタマイズ方法

こんにちは。Windows プラットフォーム サポートの工藤でございます。 今回は、Windows 10 モバイル デバイスに関する技術情報をご紹介したいと思います。 組織内で利用されるモバイル デバイスの管理者は、BYOD (Bring Your Own Device) を含め、組織から提供されるデバイスを安全に使うことができるように管理しなければなりません。 例えば、デバイスが紛失するなどの万が一の有事を想定した場合、デバイスにログインするためのパスワード (PIN) を事前に設定しておけば、もし、悪意ある第三者の手に渡ってしまったとしても、すぐには悪用されないでしょう。 さらに、定期的にパスワードを変更するように構成しておけば、より安全性が高まります。 Windows 10 モバイル デバイスの場合であれば、 Windows イメージおよび構成デザイナー (ICD) を利用すれば、そのようにデバイスを管理者側で構成した上でユーザーに配布することが可能です。 今回は、この Windows ICD を使って、デバイスにログインするためのパスワード (PIN) を設定し、かつ、指定した有効期間を過ぎたパスワードの変更を求めるポリシーの設定ファイルを作成して、モバイル デバイス用のプロビジョニング パッケージ化する方法を、画像イメージを含めながらご紹介いたします。 そもそも Windows ICD が一体どのようなものかという点についての詳しい説明は今回省略しますが、その点については以下のページでご紹介していますので、まずはご参照いただければと存じます。 – 参考資料 Windows イメージングおよび構成デザイナー https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916113(v=vs.85).aspx     ================ A. 事前準備 ================ まずはじめに、Windows ADK より イメージおよび構成デザイナー (ICD) をインストールします。…

0