Windows7クライアントのドメイン参加

はじめまして。

Network & Active Directory 担当チームにて、チームリーダーを務めております、正木です。

この度、初めて Blog に投稿させていただきますが、まず、簡単に私たちサポートチームなどについて、ご紹介させていただければと思います。

私たち、Network & Active Directory チームは、主として企業環境向けのサポートをご提供しているチームです。

オペレーティングシステム(OS)のサポートは、非常にお問い合わせのボリュームが多く、かつ、一般ユーザー様、ITプロフェッショナル(主として管理者)様、また、開発者様や、PCメーカー様などを含め、非常に様々なOSの使い方をされる方からの広範囲なお問い合わせに対応しなければなりません。

また、OSの中のあるテクノロジー、例えば私たちが担当しているNetwork や Active Directoryといった範囲でも同様に非常に広範囲、かつ、様々なお問い合わせに対応する必要があります。

そのため、サポートチームの中でも、OSサポートチームでは、サポート契約ごとに対応するチームがそれぞれ存在しており、その中でも、私たちは上位のサポートである、Premier Support(プレミアサポート)のお問い合わせを主として担当させて頂いております。

-参考:マイクロソフト プレミア サポート

https://www.microsoft.com/japan/services/support/premier.mspx

そうした意味で、私たちが普段、対応させていただくお客様は限られた範囲に絞られてしまいますが、逆に、大規模環境、あるいは新しいテクノロジーを積極的に利用されるお客様が多く、そうしたお問い合わせからのフィードバックを、このBlogを通じて、広くWindowsをご利用されているお客様に、お伝えできればと考えております。

これまで、新機能や、トラブルシューティングなどは、各担当エンジニアからご紹介して参りましたが、私は、チームリーダーとしての視点から、最近よくあるお問い合わせからのフィードバック、また、テクニカル以外の部分での、情報発信をしていけたらと考えております。

さて、今回は、最近多いお問い合わせから、さっそく、ひとつご紹介させていただければと思います。内容は、「Windows 7 クライアントの既存ドメインへの参加について」です。

おかげさまで、Windows 7 は好調なセールスを続けております。また、企業の大規模環境などにも、今後、本格的に導入されていくという状況のようで、今回ご紹介するような、既存のドメインにWindows 7 をクライアントとして追加したいというお問い合わせが、増えてきております。

この内容は、Active Directory について今回ご紹介するドメイン参加に関するお問い合わせや、グループポリシー適用障害などの問題を主に担当している我チームの女性エンジニアである、名和さんがまとめたてくれたものです。

それでは、名和さん、よろしくお願いします。

=====================================

[Windows 7 クライアントの既存ドメインへの参加について]

みなさん、こんにちは!

Windows 7 の発売が行われて 早4ヶ月が経ちました。

みなさまは、店頭などで、魅力あふれるWindows 7 を体験いただけましたでしょうか。

何かと話題のWindows 7ですが、今日は、Windows 7 クライアントのドメイン環境への参加についてお話ししたいと思います。

1. Windows 7 ってドメイン参加できるの?

まず、Windows 7 には、以下のエディションがあります。

windows 7

家庭用として開発された「Windows 7 Home Premium」では残念ながら、ドメイン参加を行うことはできません。

「Windows 7 Professional」、「Windows 7 Ultimate」、「Windows 7 Enterprise」であれば、ドメイン参加を行うことができます。

ドメイン環境でご利用のお客様は、ご購入の際にウッカリ間違われませんよう、ご注意下さい。

では、ここで気になってくるのが、ドメインコントローラーの OS との互換性ですね。

企業環境で Windows 7 を使用する場合における魅力的な新機能である Direct Access や Branch Cache (これらについてもいつか本ブログでご紹介をしたいと思っています) は、Windows Server 2008 R2 と組み合わせる必要があるのですが、もちろん Windows Server 2008 R2 よりも前の OS のドメイン環境にドメイン参加を行うことが可能です。

つまり、ドメイン コントローラーの OS が Windows 2000 Server SP4 , Windows Server 2003 の環境にも問題なくドメイン参加を行うことができます。

※Windows Vista 以降の OS は原則、Windows NT 4.0 ドメインへの参加はサポートしておりません。

- 参考資料

Windows 7 の機能

https://windows.microsoft.com/ja-JP/windows7/products/features/domain-join

2. Windows 7 クライアントでドメイン参加する際の注意点は?

では、Windows 7 のドメイン参加を行う際に、注意を払う点はあるのでしょうか。

Windows 7 をドメインに参加させるために、例えばスキーマ拡張などの事前設定が必要だったり、他の OS のクライアント (Windows XP) などに影響が出たりということはありませんが、いくつか注意点がありますので、ご案内します。

1) ドメイン参加時にエラーが表示されることがあります。

Windos Server 2008 R2 以前の環境に、Windows 7 を参加させると、ようこそ画面にて以下のエラーメッセージが表示されることがあります。

===============================

このコンピューターのプライマリ ドメイン DNS 名を "" に変更できませんでした。

名前は "<ドメインの FQDN名>" のままになりますエラー:指定されたサーバーは、要求された操作を実行できません。

===============================

Windows 7, Windows Server 2008 R2 および、それよりも前の OS では、ドメイン参加時に DNS を使用した名前解決をおこないます。

Windows 7, Windows Server 2008 R2 には既知の問題があり、DNS での名前解決ができている場合にも NetBIOS 名解決を試行する場合があります。

NetBIOS 名前解決にて、クライアントが DC の IP アドレスを解決できない環境では、

ドメイン参加直後に、上記エラーメッセージが表示される動作となります。

ドメイン参加直後に上記のメッセージが記録されましても、

ドメインの登録は問題なく行われていますので、上記のエラーメッセージは無視をしていただて問題ないエラーです。

2) 一時ポートの違い

ドメイン所属のクライアントが、ログイン時などドメインコントローラー(DC) との通信を行う際には、以下のようなポート・プロトコルを使用します。

ポート一覧

このとき、一時ポートについては、OS によって、使用するポート範囲が異なります。

Windows XP の一時ポートは既定では 1024-5000 ですが、Windows 7 (Windows Vista 以降) の一時ポートは既定で 49152-65535 となっています。

そのため、Windows Firewall や通信経路に存在する Firewall 機器にてポートの制御を設定されている場合、Windows 7 用の一時ポートを許可する必要があります。

* 一時ポートについて *

Windows XP および Windows Server 2003 の場合は、既定で 1024-5000 の範囲のいずれかのポートを使用します。

Windows Vista および Windows Server 2008 、Windows 7 の場合は、既定で49152-65535 の範囲のいずれかのポートを使用します。

3) ユーザープロファイルの違い

Windows Vista/Windows Server 2008 以降の OS では、Windows XPと比較いたしますと、

フォルダ階層などユーザープロファイルの仕様が大幅に変更されており、ユーザープロファイルに互換性がありません。

そのため、移動ユーザープロファイルを使用している場合に、Windows XP のプロファイルを使用して

Windows Vista および Windows 7 にログオンすることや、

反対に Windows Vista および Windows 7 のプロファイルを使用して Windows XP にログオンすることはできません。

なお、Windows Vista と Windows 7 間では、プロファイルの互換性がありますので、

Windows Vista のプロファイルを使用して Windows 7 にログオンすること、またその逆も可能です。

以下、各OS のプロファイルをご紹介いたします。

●Windows XP のプロファイル

XP

●Windows Vista のプロファイル

Vista

●Windows 7 のプロファイル

Windows7Prof

Windows Vitsa と Windows 7 は階層構造が同じですが、Windows XP と比較すると、フォルダの内容が異なっているのがわかります。

なお、Windows Vista および Windws 7 で利用いただいた移動ユーザープロファイルは「フォルダ名.V2」という名称で保存されます。

●ファイルサーバー上のプロファイル

profile

移動ユーザープロファイルをご利用にならない場合は、通常運用への影響はありません。

技術情報 947025

移動ユーザー プロファイルのデータを Windows Vista または Windows Server2008 に移行するためのサポートガイドライン

https://support.microsoft.com/kb/947025/ja

4) AES 暗号化に関して

Windows Vistaおよび Windows Server 2008 以前の場合は、AES による暗号化は用いられず、

従来の暗号化方式である RC4 または DES で暗号が行われます。

ドメイン メンバー クライアントの端末が

Vista および Windows Server 2008以降 (Windows 7 も含む)の場合は、 AES による暗号化が用いられます。

DC の OS がWindows Server 2008 以前の場合、AES 暗号化方式はサポートされていないため、AES の暗号方式を読解することができず、

一度事前認証に失敗することにより以下のイベントログが DC 上に出力される可能性があります。

なお、以下のイベントが出力されても、認証には問題がないため、無視していただいて構いません。

■出力される可能性のあるイベントログ

・KDC 26

上記イベントが記録されましても、rc4-hmac という暗号化方式を使ってリクエストが再発信されますので、

Kerberos 認証が不能になることを意味せず、そのため特に実害はなく、無視いただいて問題のないイベントです。

サンプルイベント

------------------------

ソース:KDC

イベントID:26

種類:エラー

説明:

対象のサーバー krbtgt に対する AS 要求を処理するときに、アカウント test01 に

Kerberos チケットを生成するための適切なキーがありませんでした (そのキーには 2 の ID があります)。

要求された ETYPE は 18 でした。アカウントで利用できる ETYPE は 23 -133 -128 3 1 -140 でした。

------------------------

- 参考資料

セキュリティ プリンシパルと DES 暗号化のみの Kerberos 認証を使用するサービス Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の既定の設定と互換性がありません。

https://support.microsoft.com/kb/977321/ja

ご案内をいたしました情報が、Windows 7 のドメイン参加をご検討のみなさまに、少しでもお役に立てれば、幸いです。

それではみなさま。

快適な Windows 7 ライフをお楽しみください!