route add コマンドを IF オプションなしで実行した時の挙動について

こんにちは。Windows サポート チームの望月です。   ネットワーク管理者であれば一度は使用したことがあるコマンド、『 route add 』 。 route add  コマンドでスタティック ルートを追加する場合、下記技術情報にあるとおり IF オプションを使用して、明示的にアクティブ ルートが割り当てられるインターフェイスを指定することをお勧めしております。   ・KB 2161341 : Active Route removed on Windows Server Failover Cluster ・KB 2469100 : Manually added route table entries are deleted unexpectedly when you delete an additional IP address in Windows Vista, in Windows 7, in Windows Server 2008…

0

497 日問題を回避する修正モジュールについて

皆様、こんにちは。 Windows プラットフォーム サポート担当の藤田と申します。 今回は 497 日問題の修正についてお話しさせていただきます。 497 日問題そのものの修正は以下の修正モジュールをご適用いただくことで現象を回避することができます。 ================================================================================================ – KB2553549 All the TCP/IP ports that are in a TIME_WAIT status are not closed after 497 days from system startup in Windows Vista, in Windows 7, in Windows Server 2008 and in Windows Server 2008 R2 http://support.microsoft.com/kb/2553549/en-us ================================================================================================ 497 日問題は Tcpip.sys そのものと依存関係のあるモジュールに修正が加えられています。 しかし、上記の修正モジュールがリリースされてから、Tcpip.sys の修正もどんどん…

0

複雑さの要件を満たす必要があるパスワードについて

  こんにちは。Windows サポート チームの戸室です。 今回はパスワードの複雑さの要件における注意事項について紹介します。 このポリシーを有効化した場合、パスワードの作成時や変更時に複雑さの要件を満たせなければ、パスワードを登録することができません。 既定の状態は以下のようになります。 – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – ドメイン コントローラーの場合: 有効 スタンドアロン サーバーの場合: 無効 ** ドメイン内のメンバー コンピューターは、既定で Default Domain Policy に複雑さの要件が有効化されております。 – – – – –…

0

Windows Server 2012 Active Directory 仮想化の対応状況について

はじめまして。Active Directory を担当しております 鴻巣です。 日々、お客様からのお問い合わせを対応していて「仮想化」ということがとても一般的になっていることを実感しています。 今回は Active Directory の仮想化対応状況につきまして表形式でまとめてさせていただきました。 仮想化については、 Windows Server 2008 R2 以前と Windows Server 2012 以降では大きく対応状況が変わっており Windows Server 2012 以降ではさらに仮想化への対応が進んでおります。代表的なものとしては、よく知られていますが VM-Generation ID の機能があります。これについて簡単に説明すると、、、 Active Directory は通常、複数のドメイン コントローラー間でデータベースを複製しながら動作している為、既存のドメイン コントローラーを複製して新たにマシンを構成したり、スナップ ショットを利用して環境を以前の状態に戻しますと USN ロールバックと呼ばれるデータベースの不整合が発生することがございます。しかし Windows Server 2012 以降では、スナップショットからのドメイン コントローラーの復元に対応するようになり、Windows Server 2012 における Hyper-V 3.0  と Windows Server 2012 の Active Directory の組み合わせでは VM-generation ID とよばれる識別番号を利用し、不整合が発生しないよう実装が変更されました。…

0

Microsoft アカウントを関連付けると、ファイルサーバーにアクセス時に資格情報の入力を求められるようになる

こんにちは。Windows サポート チームの石井です。   皆さんも Microsoft アカウント 使っていますか? 私もメールや One Drive などを複数のデバイスで利用する為に、Microsoft アカウントの関連付けを活用しています。   最近では、個人での利用だけでなく、業務でもMicrosoft アカウントを活用しているというありがたい声も頂いています。 今回は、Microsoft アカウントをローカルユーザーに関連付けて使用している状態で、ファイル サーバーや SQL サーバーを利用する場合の注意点についてご案内します。   ワークグループ環境では、サーバーにアクセスする際には認証が求められますが、クライアント、サーバーに共通するユーザー名 / パスワードのアカウントを用意することで、資格情報の入力を求められる事なくアクセスできるように構成する事ができます。 これによりドメイン環境でなくても、いちいち認証情報を入れることなくファイルサーバーや、IIS で構成したWeb サーバー 、SQL サーバーへのアクセスが可能です。   しかし、 Microsoft アカウントを関連付ける事によって、クライアントは、ログオンしているローカル アカウントの情報ではなく、 "Microsoft アカウント"  の情報をサーバーに渡すよう動作が変わります。 このため、クライアントとサーバーで共通するユーザー名 / パスワードが利用されなくなり、アクセスに問題が発生します。 下の図は Microsoft アカウントを関連付けた端末がファイルサーバーにアクセスする際の動作を Network Monitor でキャプチャしたものです。 資格情報として Microsoft アカウントを使っている様子を確認する事ができます。 この動作は、ローカル アカウントに Microsoft アカウントを関連付けることで、その端末に、Microsoft アカウントのパスワードを用いてログオンできるようになり、使用される資格情報が切り替わることで発生します。…

0

VNET to VNET で、複数の Microsoft Azure 仮想ネットワーク間を接続する

こんにちは。ネットワークサポート担当の比留間 友一です。 夏です。クラウドが熱いです。私たちのサポートチームでも、弊社で公開している Microsoft Azure の仮想マシンや仮想ネットワークについてのお問い合わせを担当させていただいております。Azure のお問い合わせをいただいた際に、「あれ?どこかで見かけたヤツが出てきたな?」と思われるお客様もいらっしゃるかもしれませんが、どうぞ今後ともよろしくお願いいたします。 さて、本日のお題は、Azure 仮想ネットワークにおける VNET to VNET (VNET間の接続) です。 VNET to VNET とは? Azure の仮想ネットワークの機能のリリース以来、「仮想ネットワーク同士を接続する方法はないのか?」というお問い合わせをしばしばいただいておりました。このご要望にお応えする形で2014 年 5月のアップデートにて追加されたのが、「仮想ネットワーク同士をサイト間 VPN で接続する方法」、つまり VNET to VNET です。同時期のアップデートにて、一つの仮想ネットワークから複数のネットワークに VPN 接続を行うことができる、Multi Site VPN も追加されております。 設定方法は? 注意:以降の記載は、2014 年 7 月現在の Microsoft Azure の仕様に基づいて作成されております。将来的に予告なく変更される場合がございますので、予めご承知おきください。 今回の記事では、以下のようなシナリオを考えてみます。 東日本リージョンに構築された、既存の Azure 仮想ネットワーク VNET-JAPAN (172.17.0.0/16) 既存の社内ローカルネットワーク OnPremise (192.168.180.0/24) VNET-JAPAN と社内ネットワーク OnPremise は、既にサイト間 VPN 接続の設定がなされている。(ただし、ゲートウェイが動的ルーティングモードであるものとします。動的ゲートウェイが作成されていないと、VNET-JAPAN…

0

Windows Time サービスデバッグログを取得する際の影響について

皆様、こんにちは。Windows プラットフォームサポート担当の藤田です。今回は Windows Time サービスデバッグログを取得する際の影響についてご紹介します。Windows Time サービスデバッグは Windows Time サービスの動きを出力するログで時刻同期ができない時に取得していただくと、原因が特定の調査が可能になる優れものです。 しかしながら、取得してほしいと案内されると、運用環境でのログ取得はシステムへの負荷は気になりますよね。以下に Windows Time サービスデバッグログを取得する際の手順と影響度を纏めしましたので、ご確認ください。 まず、ログを取得する際は以下のレジストリキーの値を追加する必要があります。—————————————————————-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config値 : FileLogSize タイプ : DWORD  設定値 : 10000000 (10 進数) このレジストリ値では、ログ ファイルのサイズをバイトで指定します。  値 : FileLogName タイプ : 文字列  設定値 : C:\Temp\w32time.log  このレジストリ値では、ログ ファイルの場所を指定します。任意のパスを使用できますが、予め、指定したフォルダーを作成する必要があります。  値 : FileLogEntries タイプ : 文字列  設定値 : 0-300 このレジストリ値では、デバッグ ログに出力される情報の詳細レベルを指定します。—————————————————————- レジストリを追加後、Windows Time サービスの再起動、もしくは次のコマンド実行  “w32tm /config /update” を したら、いよいよ指定した任意の箇所にファイルを作成し、Windows Time サービスの動作について随時ログを書き始めます。それだけです。 よって、システムやネットワークへの負荷は微増しますが、ユーザーがストレスを感じたり、他の処理に影響を及ぼすようなことは通常ありません。また、循環ログですので、出力されるファイルが設定した上限の容量を超えることはありません。 なお、運用中のマシンに設定していただくことで、時刻同期の健全性を確認することにも役立ちます。運用中、数か月連続して採取いただいても、ログは循環しますので常に最新のものが確認でき、ディスク容量を圧迫することはありません。…

0

RODC を利用したドメイン参加

こんにちは。Windows サポート チームの三浦です。 今回は RODC とのみ通信可能な状態でドメイン参加をすることについての情報を共有します。 ドメインに参加したいコンピューターが RODC のみと通信可能な状態では、普通にドメイン参加を試みても失敗します。この場合の対処は次の 2 つがあります。 (1) djoin.exe を使用するオフライン ドメイン参加Windows 7 以降のみ。 (2) スクリプトによるドメイン参加Windows Vista でも可能。ただし、コンピューターのパスワード キャッシュが必須です。 それぞれの詳細についてご案内します。 (1) djoin.exe を使用するオフライン ドメイン参加———————————————–djoin.exe を使用するオフライン ドメイン参加の手順については、次のステップ バイ ステップ ガイドが詳しいです。 ステップ バイ ステップ ガイド – オフライン ドメイン参加 (Djoin.exe)http://technet.microsoft.com/ja-jp/library/offline-domain-join-djoin-step-by-step(v=WS.10).aspx 簡単に手順をまとめると次のとおりです。 1. 書き込み可能なドメイン コントローラーと通信可能なコンピューターで djoin.exe /provision コマンドを実行します。2. RODC に 1 の結果作成されるコンピューター アカウントが複製されてきたことを確認します。3. ドメインに参加させるクライアントに 1 を実行した結果生成されるファイルをコピーします。4….

0

Windows Server 2008 以降のドメインコントローラーを追加した場合自動でフォワーダーの設定が追加されることがある。

皆様こんにちは Windows サポートチームの 中垣内 (ナカガイト) です。   Windows Server 2003 の Active Directory の環境から Windows Server 2008 や Windows Server 2012 R2 などの環境に移行作業をすることが増えてきていると思います。 移行作業中に追加した ドメイン コントローラー 兼 DNS サーバーに フォワーダーの設定が追加されている事象に直面されたことはないでしょうか。 今回はその事象についてご紹介させていただきます。   現象 下記のシナリオでは、ドメイン コントローラーを昇格した際に DNS サーバーのフォワーダーの設定が自動で構成されます。   1. OS が Windows Server 2008 、Windows Server 2008 R2、Windows Server 2012 、Windows Server 2012 R2 のいずれかである。 2….

0

最後に対話ログオンを行った日時を知りたい 2

こんにちは。Windows プラットフォーム サポート担当の進藤です。   今回は、ユーザーが最後にログオンを行った日時が格納される lastLogon 属性と lastLogonTimestamp 属性についてご紹介します。 これらの属性はリアルタイムに値が更新されないなど、値を確認するときに注意するべき点がいくつかありますので、属性値が更新/複製される動作などについてご説明します。 なお、ドメインの機能レベルが Windows Serve 2008 以降の場合は、msDS-LastSuccessfulInteractiveLogonTime という属性が追加されており、この属性の値を確認することで最後にログオンを行った日時を確認することができます。興味のある方は下記のブログで紹介しておりますのでこちらもご覧ください。 最後に対話ログオンを行った日時を知りたいhttp://blogs.technet.com/b/jpntsblog/archive/2014/06/23/3241082.aspx lastLogon 属性と LastLogonTimestamp 属性の更新と複製の動き lastLogon 属性と LastLogonTimestamp 属性は、共にアカウントが最後にログオンした日時を保持するためのものですが、lastLogon 属性は認証要求を受け付けたドメイン コントローラーのみで日時が格納され、他のドメイン コントローラーへは複製されません。 一方、LastLogonTimestamp 属性は、認証を受け付けたドメイン コントローラーですぐに更新処理は行わず、ランダムに更新処理が行われます (最大で 14 日間更新が行われないことがあります)。そのため、必ずしも正確な直近のログオン時間を示すものではありませんが、この情報は他のドメイン コントローラーにも複製されます。 lastLogonTimeStamp 属性が更新される際の流れ 1. ドメイン コントローラー (DC) は、あるアカウントの Kerberos 認証、および NTLM 認証が発生した際、そのログオンが完了した時刻を一時的にメモリに記憶します。 2. DC は、AD データベースの msDS-LogonTimeSyncInterval 属性に設定されている値 (既定では 14 日)…

0