予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?

目次 概要 種類 Receive Side Scaling TCP Chimney Offload Network Direct Memory Access 既定値 既定の設定値 設定値と実効状態 TCP Chimney Offload と NetDMA の排他制御 Automatic Mode (自動モード) Itanium 版 設定方法 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定 RSS TCP Chimney Offload NetDMA Windows Server 2003 の更新プログラムによる無効化 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定確認 Windows Server…

2

どんなお問い合わせが多い?

こんにちは。そして、はじめまして。 Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。 リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。 では、早速。 1. ドメイン ログオン / ドメイン参加 ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。 2. グループ ポリシー Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ…

1

Windows7クライアントのドメイン参加

はじめまして。 Network & Active Directory 担当チームにて、チームリーダーを務めております、正木です。 この度、初めて Blog に投稿させていただきますが、まず、簡単に私たちサポートチームなどについて、ご紹介させていただければと思います。 私たち、Network & Active Directory チームは、主として企業環境向けのサポートをご提供しているチームです。 オペレーティングシステム(OS)のサポートは、非常にお問い合わせのボリュームが多く、かつ、一般ユーザー様、ITプロフェッショナル(主として管理者)様、また、開発者様や、PCメーカー様などを含め、非常に様々なOSの使い方をされる方からの広範囲なお問い合わせに対応しなければなりません。 また、OSの中のあるテクノロジー、例えば私たちが担当しているNetwork や Active Directoryといった範囲でも同様に非常に広範囲、かつ、様々なお問い合わせに対応する必要があります。 そのため、サポートチームの中でも、OSサポートチームでは、サポート契約ごとに対応するチームがそれぞれ存在しており、その中でも、私たちは上位のサポートである、Premier Support(プレミアサポート)のお問い合わせを主として担当させて頂いております。 -参考:マイクロソフト プレミア サポート http://www.microsoft.com/japan/services/support/premier.mspx そうした意味で、私たちが普段、対応させていただくお客様は限られた範囲に絞られてしまいますが、逆に、大規模環境、あるいは新しいテクノロジーを積極的に利用されるお客様が多く、そうしたお問い合わせからのフィードバックを、このBlogを通じて、広くWindowsをご利用されているお客様に、お伝えできればと考えております。 これまで、新機能や、トラブルシューティングなどは、各担当エンジニアからご紹介して参りましたが、私は、チームリーダーとしての視点から、最近よくあるお問い合わせからのフィードバック、また、テクニカル以外の部分での、情報発信をしていけたらと考えております。 さて、今回は、最近多いお問い合わせから、さっそく、ひとつご紹介させていただければと思います。内容は、「Windows 7 クライアントの既存ドメインへの参加について」です。 おかげさまで、Windows 7 は好調なセールスを続けております。また、企業の大規模環境などにも、今後、本格的に導入されていくという状況のようで、今回ご紹介するような、既存のドメインにWindows 7 をクライアントとして追加したいというお問い合わせが、増えてきております。 この内容は、Active Directory について今回ご紹介するドメイン参加に関するお問い合わせや、グループポリシー適用障害などの問題を主に担当している我チームの女性エンジニアである、名和さんがまとめたてくれたものです。 それでは、名和さん、よろしくお願いします。 ===================================== [Windows 7 クライアントの既存ドメインへの参加について] みなさん、こんにちは! Windows 7 の発売が行われて 早4ヶ月が経ちました。 みなさまは、店頭などで、魅力あふれるWindows 7 を体験いただけましたでしょうか。 何かと話題のWindows 7ですが、今日は、Windows 7 クライアントのドメイン環境への参加についてお話ししたいと思います。…


RODC にログオンできない ~ RODC にパスワードをキャッシュする方法 ~

こんにちは。Windows プラットフォーム サポートの石丸です。 Windows Server 2008 のリリースから約 2 年が経過し、新機能の読み取り専用ドメイン コントローラー (RODC) をご利用になっているお客様も多いかと思います。 本日は、アクセス可能なドメインコントローラーが RODC のみになった場合に、RODC とは正常に通信が行えているにもかかわらず、ユーザーがドメインにログオンできなくなる現象について、その原因と回避策、注意点などをご紹介いたします。 1. RODC の拠点でクライアントがドメインにログオンできない! RODC はその性質上、ブランチ オフィスなどのセキュリティ的に脆弱な拠点に配置されることが多いのですが、このような拠点は本社のネットワークやデータ センターに存在する書き込み可能ドメインコントローラーと低速な回線を経由して接続されていることが多々あります。このため、ネットワーク経路の問題や拠点の障害などにより、書き込み可能な DC と RODC の間の通信が切断されることもしばしばあります。 そこで、前述したような障害により、クライアントからアクセス可能なドメインコントローラーが RODC のみとなった場合について考えてみましょう。 RODC は読み取り専用とはいえ、ログオンを試行してきたユーザーやクライアント コンピューターのアカウント情報は書き込み可能 DC から複製されています。このため、特に個別に設定を行わなくとも、このような状況においてドメインへのログオンは正常に行えると考えてしまいがちです。 しかし、既定の設定では、ユーザーアカウント、およびコンピューター アカウントのパスワードの情報は RODC には複製されません。このため、RODC はログオンを要求されると、ユーザーから送信された資格情報が適切であるかどうかを検証するために、ログオン要求の処理の一部を書き込み可能な DC に転送する必要があります。 したがって、上記のように、RODC と書き込み可能 DC の間で通信が不可能な状況では、ユーザーがドメインにログオンできない現象が発生します。 この動作は、RODC がセキュリティ上の脅威に晒された場合に備えた実装であり、想定されたものです。 ** なお、ドメインのポリシーでキャッシュ ログオンが有効になっている場合 (既定の状態)、ログオンしようとしているコンピューターに当該ユーザーが事前にログオンしていれば、キャッシュ ログオンによりログオンに成功することもあります。このときは、ログオンには成功しているものの、拠点内のファイルサーバーに接続した際に認証ポップアップが表示されるなどの現象が発生します。 2. 解決方法…


NAP internal-3 新しいセキュリティ更新プログラムが検出されているのに、ポリシー非準拠と判定されない?

こんにちは。Windows プラットフォーム サポートの石丸です。 前回までの記事で、Windows 標準の NAP 機能でどのようなセキュリティの正常性のチェックを行うことができるかを説明しました。 その中でも、NAP を導入する多くのお客様が 「ちゃんとセキュリティ更新プログラムを適用していないコンピューターには、社内のネットワークには接続させたくない」と、セキュリティ更新プログラムの適用のチェックを有効にしておられると思います。 しかしながら、NAP におけるセキュリティ更新プログラムの適用状態のチェックは、必ずしもリアルタイムにおこなわれるものではありません。このため、Windows Update の画面の表示では確かに適用すべき新しいセキュリティ更新プログラムが検出されているにもかかわらず、クライアントがポリシー準拠の状態のままになってしまうタイミングが存在します。 本稿では、Windows 標準の NAP 機能において、クライアントがどのようにインストールされているセキュリティ更新プログラムの状態を取得するか、また、それがどのように結果に反映されるかの仕組みについて説明いたします。 1. 具体的に、どのような現象が発生するか? 仕組みの解説を始める前に、まずは具体的にどのような現象が発生しうるかについて説明いたします。 (1) NPS における Windows セキュリティ正常性検証ツールの設定 NPS では、下図のようにすべてのセキュリティ更新プログラムの適用を強制する設定になっているものとします。 (2) クライアントではすべてのセキュリティ更新プログラムが適用されている状態 クライアントでは、下図のようにすべてのセキュリティ更新プログラムが適用されている状態です。 もちろん、NAP のポリシーにも準拠しているものと判定されています。 (3) Windows Update により、新しいセキュリティ更新プログラムが検出される Windows Update が行われ、新しいセキュリティ更新プログラムが適用されます。 NPS の設定では、(1) の通りすべてのセキュリティ更新プログラムの適用が要求されているので、この時点でクライアントはポリシー非準拠の状態となるはずです。 (4) ポリシー非準拠に・・・ならない! しかし、NAP のステータスを確認することができる napstat コマンドでも、一向にクライアントの状態が変更された様子が確認できず、ポリシー非準拠の状態に推移しません。 この結果から、「もしかすると自動的に検疫の再チェックが走っていないのでは?」と思われる方もいらっしゃるかもしれません。 しかし、手動で検疫のチェックを再度行ってみても・・・(この環境では DHCP 検疫を用いているので、ipconfig /renew を実施)…


サポート技術情報 (1/3 – 1/9): グループポリシー基本設定の Vista用ロールアップパッケージ公開 編

みなさん、こんにちは! 年が明けて、寒さも一段と厳しさを増してきましたね。 東京でも雪めいたものも降ってきました。 ●今週のPickup: Windows Vista グループポリシー基本設定のクライアントサイド拡張のロールアップパッケージ公開 Windows Vista におけるグループ ポリシー基本設定 (Group Policy Preference) のクライアント サイド拡張の修正をまとめたロールアップ パッケージが公開されました。 文書番号:977983 タイトル:Group Policy preferences client-side extension hotfix rollup for Windows Vista URL: http://support.microsoft.com/977983 文書内左上の「Hotfix Download Available」にあるリンクをたどることで、ロールアップ パッケージを入手できます。 適用対象の OSは Windows Vista SP2 です * ロールアップ パッケージとは? ロールアップ パッケージとは、いくつかの問題を修正する修正プログラムを集約した修正プログラムです。 ひとつのロールアップ パッケージをインストールすることで、幾つかの問題に対する修正をいちどにインストールすることが出来ます。 * グループ ポリシー基本設定 (Group Policy Preference) とは? グループ…


サポート技術情報 (12/20-1/2)

皆様 新年、明けましておめでとうございます。 年末年始はごゆっくりお過ごしでおられましたでしょうか。 また新たな一年が始まりましたが、本年も私どもWindows AD& Network サポートチーム一同 お客様のお役に立てるよう、寅年ではございますが、獅子奮迅の活躍ができるよう頑張って参りたいと思います。 このブログも、より一層充実した情報をお届けできるよう頑張っていきますので、変わらぬご愛読のほど、何卒宜しくお願い申し上げます。 ● サポート技術情報一覧 2009 年 1 2 月 20 日から 2010年 1 月 2 日の間に新しく公開された NetworkとADに関するサポート技術情報の一覧をご提供いたします。 文書番号 タイトル 974841 An update is available for Windows XP to support protocol negotiation for remote procedure call (RPC) over HTTP Authentication 958147 The Member ID field is logged incorrectly in…