Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) のフェイル バック動作について

皆様、こんにちは。Windows プラットフォーム サポート担当の山本です。 本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) のフェイル バック動作について取り上げます。 LBFO で NIC チーミングをアクティブ/スタンバイ (チーミング モード:スイッチに依存しない) で構成した場合、アクティブ側のネットワーク アダプターに障害が発生すると、スタンバイ側のネットワーク アダプターがアクティブとなり、フェイルオーバーします。 その後、もともとアクティブとなっていたネットワーク アダプターが障害から復旧した場合には、即時にフェイル バックせず、リンク状態の安定性を確保するために 30 秒後にフェイル バックします。フェイル バックするまでの 30 秒という時間を変更する方法はありません。 この様子を、LBFO の管理画面で確認しましょう。 1) NIC1 をアクティブ、NIC2 をスタンバイとして、NIC チーミングを構成します。 2) NIC1 に障害が発生すると、NIC2 がアクティブとなります。 3) NIC1 が障害から復旧すると、即時にはフェイルバックせず、30 秒間 "接続の保留中" という状態になります。 4) 30 秒経過後、フェイルバックして、元の状態に戻ります。 以上、今回は NIC…

0

“証明書のプライバシーを有効にする” オプション

皆様、こんにちは。Windows プラットフォーム サポートの下野です。   Windows 10 が公開されてから早 3 ヶ月が経ちましたが、お使いいただいてますでしょうか? Windows 7/8/8.1 をお使いの方は、2016 年 7 月 28 日までは無償アップグレードできますので、この機会にお試し下さい!   今回は、Windows 10 から追加されました 証明書エクスポート時の新オプション、“証明書のプライバシーを有効にする” オプションについてご紹介致します。   1. “証明書のプライバシーを有効にする” オプションとは   “証明書のプライバシーを有効にする” オプションは、証明書を秘密鍵付でエクスポートする際に、証明書の暗号化を秘密鍵の暗号化と併せて実施するかを制御するオプションとなります。        証明書を秘密鍵付きでエクスポートしますと、証明書と秘密鍵がセットになった、PFX と呼ばれる形式のファイルが生成されます。 Windows 10 よりも前の OS では、証明書と秘密鍵のどちらもが暗号化される動作となっていましたが、Windows 10 では証明書の暗号化をこちらのオプションにより制御できるように可能になっています。 既定の状態だと、こちらのオプションは無効となっている為、秘密鍵のみが暗号化され、証明書は判読可能な状態でエクスポートされます。       2. Windows 10 以前の OS との互換性について “証明書のプライバシーを有効にする” オプションを 有効…

0

Windows Server 2012 R2 のドメイン コントローラー環境にて、コンピューター名の変更に失敗するという問題につきまして

こんにちは。Windows プラットフォーム サポートの馬場です。 今回は Windows Server 2012 R2 (以降 2012 R2) のドメイン環境でコンピューター名を変更する際の注意点についてご紹介します。※ “2012 R2 のドメイン環境” とは、 ドメイン コントローラーとして 2012 R2 が含まれているという意味で使用しています。 1 台でも 2012 R2 がドメイン コントローラーとして含まれている場合には、今回ご紹介します事象の影響を受ける可能性がございます。 どのような問題なのか? サーバーの入れ替え作業で、一旦別名でサーバーを設定した上で、データの移行作業を完了してから移行対象のサーバー名に変更するなど、ドメインに参加したコンピューター名を変更することがあると思います。 ドメイン メンバーの名前変更により実行される処理は、各コンピューターのローカルに保持している情報を更新するだけでなく、ドメイン コントローラーが保持するコンピューター オブジェクトの情報も更新する必要があります。 具体的には、コンピューター オブジェクトの名前変更だけでなく、そのオブジェクトに紐付けられた Kerberos 認証で利用する Service Principal Name (SPN) 情報の更新も含まれます。 Windows Server 2012 R2 のドメイン コントローラーでは、 SPN に含まれる情報のフォーマットを厳密にチェックしており、本来ポート番号として数字が入る部分に、文字列が含まれているとコンピューター名の変更処理でエラーを返します。 結果としてコンピューター名を変更できない、あるいは中途半端なかたちで変更されることがあるという問題が生じます。この問題が発生しないようにするためには、変更対象のコンピューターに問題を生じさせるような SPN が含まれていないか事前に確認する必要があります。 SPN は、次の情報によって構成されております。 – サービスの名前…

0

LBFO と NLB を併用する場合の注意事項について

Network 担当の望月と申します。 今回は、LBFO (Load Balancing and Failover) と NLB (Network Load Balancing) を併用する際の注意事項についてご紹介致します。 1. 事例のご紹介                  図 1. ネットワーク構成例 (1)                  図 2. ネットワーク構成例 (2) 上記いずれの構成も、NLB クラスター IP アドレス宛の通信は、ルーター (L3 スイッチ) や L2 スイッチでパケットがフラッディングし、最終的に LBFO によってチーミングを構成する全ての NIC アダプターに到達致します。このとき、NIC チーミングでスタンバイ アダプターを指定し、"アクティブ / スタンバイ" の構成を取っていたとしても、スタンバイの NIC アダプターで受信したパケットは破棄されず TCPIP.sys ドライバーに転送されます。その結果、アクティブ アダプター経由およびスタンバイ アダプター経由で同一のパケットを重複して受信することとなります。 以下は、上述の構成において、クライアントからサーバーに Web アクセス (TCP 80 番ポート使用) を行った際の通信シーケンス例となります。クライアント、サーバー共に相手からの応答待ちで再送要求が発生し、通信遅延が発生していることが確認できます。同一構成で帯域制御装置のみ存在しない場合には通信遅延が発生しないことから、帯域制御装置の動作が影響して遅延が発生していることが想定されます。          表…

0

拡張したスキーマと昇格した機能レベルのロールバック

みなさま、こんにちは。 今回は Active Directory ドメイン サービスの移行にて、万が一作業が切り戻しになった場合のための、Windows Server バックアップを使用した切り戻し手順についてご案内いたします。 ドメイン コントローラー (DC) を新しい OS へ移行する場合、スキーマ拡張が伴い、必要に応じてフォレストおよびドメインの機能レベルの昇格をご実施される方も多いのではないかと思います。この記事では、拡張したスキーマを切り戻す手順、および昇格した機能レベルを切り戻す手順についてフォーカスして説明します。特に拡張したスキーマや昇格した機能レベルを切り戻すために、1 台の DC でリストアすれば良いのか、それともすべての DC でリストアすれば良いのかという点について、疑問をお持ちになった方がいらっしゃいましたら、ご一読いただければ幸いです。 —————————————-スキーマのロールバックについて—————————————-スキーマ拡張後、もしくは機能レベルの昇格後にもし作業が切り戻しとなった場合、拡張したスキーマまたは機能レベルをロールバックするためには、基本的にすべての DC においてリストアが必要になります。これは、任意の 1 台の DC でデータベースの状態が戻ったとしても、リストアした DC 以外が保持しているデータベースの方が新しい情報を保持していると判断され、リストアした DC のデータベースの内容が上書きされてしまうためです。 ここで、それでは 1 台の DC で権限のある復元 (Authoritative Restore) を実施すれば良いのかと思われる方もいらっしゃるかもしれません。残念ながら、スキーマ パーティションに対して権限のある復元を実施しても、スキーマ情報を完全にロールバックすることはできません。これは、権限ある復元では、復元対象のオブジェクトのバージョン番号を意図的に高い数値に設定することにより、他の DC から最新の情報が複製されないようにするといった仕組みが取られているためです。つまり、スキーマ拡張前の新しいスキーマ オブジェクトが存在しない段階では、そもそもオブジェクト自体が存在しないためにバージョン番号を増加させることができず、スキーマの状態を完全に元に戻すことができないのです。 この点については下記の参考資料にも記載がありますので、参考にしていただければ幸いです。 – 参考資料Active Directory Backup and Restorehttps://msdn.microsoft.com/en-us/library/bb727048.aspx // 該当部分の抜粋******************************An authoritative restore will not…

0

SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止について

こんにちは。プラットフォームサポートの工藤です。 本記事によって案内をしておりました SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止に関するアナウンスは、情報が更新されたため、以下のサイトをご確認くださいますようお願いいたします。   TITLE: Windows Enforcement of SHA1 Certificates URL: http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx?PageIndex=2   日本語版では以下のサイト情報が最新となります。 TITLE: SHA-1 ウェブサーバー証明書は 2017 年2月から警告!ウェブサイト管理者は影響の最終確認を URL: https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/   以上、よろしくお願いいたします。                       2016 年 11 月 30 日追記     2016 年 1 月 1 日以降、 SHA-1 ハッシュ アルゴリズムによって署名されたコード証明書が廃止されます。   [IT 管理者向け] SHA-1 からの移行を推奨しています http://blogs.technet.com/b/jpsecurity/archive/2014/10/15/sha1-migration.aspx   この廃止に関しまして、マイクロソフトサポートでは多くのお客様からシナリオ別にご質問を頂いています。 この Blog では、お客様からよく頂戴するご質問に回答いたします。 ※以下の内容は 2016年 1…

0

Windows Server 2012 R2 をドメイン コントローラーとして Windows Server 2003 で構成された Active Directory ドメインに追加後、ログオン障害が発生する

こんにちは  Windows サポート チームの石井です。  今回は Windows Server 2003 で構築された Active Directory 環境に、Windows Server 2012 R2 をドメインコントローラーとして追加した場合に生じる問題 (サポート技術情報 2989971) について取り上げます。 この問題は、ドメインに参加しているコンピューター (ドメインコントローラーを含む) において、Kerberos 認証が正常に行えず、ログオンができないなどの障害を引き起こします。 詳細はサポート技術情報にも記載されていますが、改めて問題の概要とその対処策を整理してお伝えします。   1. 問題の概要=============================== Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメイン コントローラーを追加します。 追加後、 おおよそ 2 ヶ月程度経過後に、ドメインのメンバー、ドメイン コントローラーで Kerberos 認証が正常に行えなくなります。   障害は、Windows Server 2003 で構成されていたドメインにおける Windows Server 2012…

0

Analyze Security Event Log with Microsoft Message Analyzer

日本語の解説は、本記事の後半に記載しています。   Hello, my name is Kazuo Wakabayashi, Premier Field Engineer in Windows Platform technologies.  Today, I would like to explain how to analyze EventLogs easily using Microsoft Message Analyzer (MMA).  Microsoft Message Analyzer is a powerful tool for capturing, displaying, and analyzing data. You can download latest version (currently version 1.3.1) from download center….

0

ワークグループ環境での AD LDS サーバー間でレプリケーションさせるためには

こんにちは、Windows プラットフォームサポートの小幡です。   今回はワークグループ環境の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) サーバー間でレプリケーションさせるための設定手順について紹介します。   Active Directory ドメイン環境に参加している AD LDS サーバー間でレプリケーションさせる場合とは異なり、下記のような前提条件が存在するため注意が必要です。   各 AD LDS サーバー上に同名、同パスワードのローカル ユーザーを作成し、そのユーザーをインスタンスのサービス アカウントとして設定する必要がある。 各 AD LDS サーバーを同一のネットワーク セグメントに配置する必要がある。(別々のネットワーク セグメントに配置する場合には、ドメイン環境が必要です。) 各 AD LDS サーバーのワークグループ名を同一にする必要がある。   下記に既存のワークグループ環境の AD LDS サーバーに対し、レプリケーション パートナーを追加するための具体的な設定手順を案内します。   – 手順概要 [A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する [B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える [C]…

0

Active Directory ユーザーとコンピューターの一覧をカスタマイズしたい

こんにちは、Windows プラットフォームサポートの進藤です。 今回は、ユーザーやグループなどの管理者の方への Tips です。 Active Directory ユーザーとコンピューターで一覧を表示すると、既定では、下記のように [名前]、[種類]、[説明] が表示されます。 この一覧に表示される項目は、[表示] メニューの [列の追加と削除] から変更することができますが、[利用可能な列] に表示される項目は必ずしも全ての属性ではなく、一部の属性だけとなっています。 実は、Active Directory の構成情報を変更することで、[利用可能な列] に表示される項目をカスタマイズすることができます。   今回は、グループのプロパティにある [メモ] を追加する方法を例にとってカスタマイズする方法を解説します。 最終的には、下記のように一覧の中に [メモ] の列が表示されることを目指します。     1. 属性名の確認 1-1.  まずは ADSI エディターを使用して、[メモ] が登録されている属性名を確認します。 [スタート] – [管理ツール] – [ADSI エディター] を起動します。 ADSI エディターが起動したら、左ペインの [ADSI エディター] を右クリックして [接続] をクリックします。  1-2.  [接続の設定] 画面が表示されたら、既定の状態のまま [OK] をクリックします。 1-3.  左パネルから、[メモ] に値が登録されているグループが所属している…

0