Windows Server 2016 を WINS サーバー として構成する際の注意点

初めまして。 Windows サポート チームの矢澤です。 今回は Windows Server 2016  において WINS サーバーの機能を利用する場合の注意点についてご案内いたします。   WINS を利用することが必須要件でない場合には、DNS への移行をお願いいたします。 WINS を利用することが必須要件の場合には、Windows Server 2012 R2 の利用をご検討ください。   事象1: 状態が停止と表示される Windows Server 2016 に WINS サーバーを構築すると、自身の状態が [停止] と表示されます。               事象1 の対処策: なし 本事象は現時点では対処策がございませんが、WINS サーバー自体の動作には影響いたしません。   事象2: 自身のレコードが動的登録されない WINS サーバーとして構築したサーバー上の Primary WINS サーバーの設定に自分自身を登録しても動的に自身のレコードが登録されません。      …

0

Intersite Messaging サービスが起動しない

Intersite Messaging サービスって聞いたことありますか? このサービスはワークグループ環境とドメインメンバー環境では無効になっておりますが、ドメインコントローラーに昇格した時点で有効となります。 Intersite Messaging サービスはサイト間の Active Directory データベースの複製で、サイトリンクで SMTP を利用する場合に使用されます。 このサービス、正常に起動するためにはある条件がございます。 それが、ネットワークの初期化が完了してから Intersite Messaging サービスの起動するという点です。 もし、ネットワークの初期化が完了しないうちに Intersite Messaging サービスの起動が実施されますと、サービスの起動に失敗し、システムイベントに ID : 7023 が記録されます。 ネットワークの初期化に時間を要する要因としては、NIC ドライバー (チーミング ドライバー) の影響や動的に IP アドレスを取得していることが挙げられますが、環境に依存しますので、発生する条件などは明確にはありません。 あくまでも、Intersite Messaging サービスが起動するタイミングとネットワークの初期化にかかる時間に依存します。   対処策といたしましては、Intersite Messaging サービスのスタートアップの種類を「自動」ではなく、「自動 (遅延開始)」に設定いただくことをご依頼しております。 -手順 1. [スタート] – [Windows 管理ツール] – [サービス] をクリックします。   2. [Intersite Messaging] サービスを右クリックし、プロパティから [スタートアップの種類]…

0

AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   (1) AD FS 構成ウィザードの実行時 AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。   (2) パスワード更新機能利用時 AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization   この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。   (3) エクストラネット ロックアウト機能利用時 AD FS には、外部からの攻撃によりドメイン ユーザーがロックアウトすることを防ぐ目的で、エクストラネット…

0

[次のサーバーに接続する] 設定について

こんにちは、Windows Platform サポートの永谷です。   Windows 10 以降の OS を利用している場合、 無線 LAN サプリカントの設定にて、”次のサーバーに接続する” 設定が機能しない状況があります。 本件につきまして、詳細情報をご報告致します。   問題の概要 Windows 標準の無線 LAN サプリカントでは、 [次のサーバーに接続する] の項目に、RADIUS サーバーが利用している “サーバー証明書” のサブジェクト名 (またはサブジェクト代替名) を記入する事で、 無線 LAN 接続時に意図しない RADIUS サーバーに接続されたことを検知して、確認を促すポップアップを表示する機能があります。 この機能が、Windows 7 では機能していたものの、Windows 10 では機能しない場合があります。   ※ 参考画像 : [次のサーバーに接続する] の設定画面                        …

0

Windows Server の Essentials エディションは、ドメインのメンバー サーバーとして利用できません

こんにちは。Windows Platform サポート チームの加山です。 今回は Windows Server の Essentials エディションを利用する場合の注意点についてご案内いたします。   Windows Server の Essentials エディションは、Standard エディションおよび Datacenter エディションよりも手頃なお値段で購入でき、小規模環境 (ユーザー数 25 人まで、かつデバイス数 50 台まで) で容易に Active Directory 環境を構築できる便利な OS です。 しかし、Essentials エディションには、Standard エディションおよび Datacenter エディションには無い、以下のような制限がございます。   – 制限 ・フォレストおよびドメインのルートにあるドメイン コントローラーである必要があり、すべての FSMO 役割を保持する必要があります。 ・既存の Active Directory ドメインのある環境にはインストールできません (※)。 ・1 つのドメインにのみ展開できます。 ・読み取り専用ドメイン コントローラーは、ドメインに存在できません。   (※) ただし、既存のドメイン コントローラーをEssentialsエディションのドメイン…

0

Windows 10 Professional ビルド 1607 (RS1) 以降では適用されなくなったグループ ポリシーについて

こんにちは。Windows Platform サポート チームの樋口です。   今回は本来 Windows 10 Enterprise や Windows 10 Education でしか適用されないはずである一部のグループ ポリシーが、Windows 10 Professional のビルド 1511 (TH2) 以前では誤って適用されてしまうことがあるという問題についてお伝えいたします。 本来であれば Windows 10 Professional では適用されるべきではないグループ ポリシーであるため、Windows 10 Professional のビルド 1607 (RS1) 以降では適用されないように動作変更されていますが、これによって今まで適用できていたポリシーが適用できなくなってしまったというお問い合わせをお客様からいただいております。   ここでは Windows 10 Professional RS1 以降では適用されないように動作変更されていることが、弊社サポート部門でも実際に確認できているグループ ポリシーをご紹介させていただきます。 ご利用の Windows 10 を RS1 にアップグレードいただける際には、必要に応じてご留意いただければ幸いです。   問題の内容 例えば、下記の [Microsoft コンシューマー エクスペリエンスを無効にする] というグループ ポリシーの説明文を見ると、Enterprise…

0

ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性

こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。   ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。   現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご質問が多く寄せられています。 そこで以下では、Windows の DNS サーバーにおいて、ルート KSK の更新に伴う対策の必要性、および注意事項についてご案内いたします。   Q1. Windows の DNS サーバーにおいてルート ゾーン KSK の更新に伴い、対策を実施する必要があるのか。 A1. 結論として、Windows…

0

Creators Update 直後に Smart Card サービスが起動しない事象

こんにちは。Windows Platform サポートチームです。 本ブログでは、Windows 10 における Smart Card サービスの起動障害について記載致します。 なお、このブログにおける情報につきましては、以下の点にご留意ください。 留意事項 ======== 本事象につきましては現在も調査中です。また、本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。 問題の概要 ========== Windows 10 において Creators Update(v1703)のインストールを行った場合、インストール直後に Smart Card サービスが起動しない事象が確認されています。 この事象を再現させるために、現在確認できている手順を以下に記載致します。 – 再現手順 1. Windows10 Creators Update (V1703) をクリーン インストールします。 2. インストール完了後、初回サインイン(ようこその画面が表示されます)を行います。 3. 端末にスマート カード リーダー/ライターを接続します。ここでは、Smart Card サービスが起動します。 4. 端末からスマート カード リーダー/ライターを切り離します。ここでは、Smart Card サービスが停止します。 5. 再度、端末にスマート カード リーダー/ライターを接続すると、Smart Card サービスが起動しません。<<<<< 事象再現 ※…

0

セキュリティが強化された Windows ファイアウォールで、Quick Mode の整合性アルゴリズムに SHA-256 を選択できない

こんにちは。Windows Platform サポートチームです。 セキュリティが強化された Windows ファイアウォールの GUI上から、Quick Mode の整合性アルゴリズムの既定値 (SHA-1) をカスタマイズする場合、SHA-256 を選択することができない現象が報告されています。 本件につきまして、最新情報をご案内いたします。   問題の概要 Windows Vista SP1 および Windows Server 2008 SP1 以降の Windows OS においては、 下記技術情報に記載の通り、IPsec のデータ保護設定 (Quick Mode) の整合性アルゴリズムに、 SHA-256 を利用することがサポートされております。   ** 技術情報 Description of the support for Suite B cryptographic algorithms that was added to IPsec in Windows Vista Service…

0

Kerberos の制限付き委任におけるネガティブ キャッシュの動作

こんにちは。 本日は、複数のフォレストおよびドメインが存在する環境での委任の動作についてお知らせします。   Active Directory ドメイン環境上では、フォレストを跨いだ Kerberos の制限付き委任を利用することが可能です。この Kerberos の制限付き委任ですが、別フォレストのユーザーからの認証が行われると内部的にネガティブ キャッシュが生成され、それまで正常に動作していた認証処理が失敗することがあります。 例えば以下のような構成を想定します。 双方向のフォレストもしくは外部信頼を結んだ 2 つのフォレストが存在する (contoso.com と adatum.com)。 contoso.com には、以下のようなマシンが存在している。 Active Directory Domain Controller SQL Server (リンク サーバー) プロシージャーが配置されている SQL Server adatum.com には、以下のようなマシンが存在している。 Active Directory Domain Controller   上記構成において、SQL Server で委任が設定されており、リンク サーバー経由のプロシージャーを実行できるとします。 この状態で、contoso.com ドメイン上のクライアントで SQL Server Management Studio を起動し、SQL Server (リンク サーバー) に接続するとします。 このとき以下のようになります。 contoso.com…

0