USMT の環境変数 USMT_WORKING_DIR を利用する際の注意点

こんにちは。Windows サポート チームの矢澤です。 今回は USMT (User State Migration Tool) にて指定する環境変数 “USMT_WORKING_DIR” を利用する際の注意事項についてご案内いたします。

0

Windows Server 2012 以降のドメイン コントローラーを追加した後にサードパーティー製の NAS へアクセスできなくる (Resource SID Compression)

Windows Server 2012 の Active Directory で導入された Resource SID Compression の機能の影響により、AD を移行後にサードパーティー製の NAS へアクセスできなくる事象について解説します。   – 現象 ドメインに Windows Server 2012 以降のドメイン コントローラーを追加した後に、クライアントからサードパーティー製の NAS の共有フォルダーへアクセスを行うと、下記のようなアクセス許可がないことを示すメッセージが表示される場合があります。             \\FileServer\Share にアクセスできません \\FileServer\Share に対するアクセス許可がありません。ネットワーク管理者にアクセス許可を要求してください。   本事象はサポート技術情報 2774190 で公開しています。    Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices  サポート技術情報:…

0

Intersite Messaging サービスが起動しない

Intersite Messaging サービスって聞いたことありますか? このサービスはワークグループ環境とドメインメンバー環境では無効になっておりますが、ドメインコントローラーに昇格した時点で有効となります。 Intersite Messaging サービスはサイト間の Active Directory データベースの複製で、サイトリンクで SMTP を利用する場合に使用されます。 このサービス、正常に起動するためにはある条件がございます。 それが、ネットワークの初期化が完了してから Intersite Messaging サービスの起動するという点です。 もし、ネットワークの初期化が完了しないうちに Intersite Messaging サービスの起動が実施されますと、サービスの起動に失敗し、システムイベントに ID : 7023 が記録されます。 ネットワークの初期化に時間を要する要因としては、NIC ドライバー (チーミング ドライバー) の影響や動的に IP アドレスを取得していることが挙げられますが、環境に依存しますので、発生する条件などは明確にはありません。 あくまでも、Intersite Messaging サービスが起動するタイミングとネットワークの初期化にかかる時間に依存します。   対処策といたしましては、Intersite Messaging サービスのスタートアップの種類を「自動」ではなく、「自動 (遅延開始)」に設定いただくことをご依頼しております。 -手順 1. [スタート] – [Windows 管理ツール] – [サービス] をクリックします。   2. [Intersite Messaging] サービスを右クリックし、プロパティから [スタートアップの種類]…

0

AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   (1) AD FS 構成ウィザードの実行時 AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。   (2) パスワード更新機能利用時 AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization   この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。   (3) エクストラネット ロックアウト機能利用時 AD FS には、外部からの攻撃によりドメイン ユーザーがロックアウトすることを防ぐ目的で、エクストラネット…

0

[次のサーバーに接続する] 設定について

こんにちは、Windows Platform サポートの永谷です。   Windows 10 以降の OS を利用している場合、 無線 LAN サプリカントの設定にて、”次のサーバーに接続する” 設定が機能しない状況があります。 本件につきまして、詳細情報をご報告致します。   問題の概要 Windows 標準の無線 LAN サプリカントでは、 [次のサーバーに接続する] の項目に、RADIUS サーバーが利用している “サーバー証明書” のサブジェクト名 (またはサブジェクト代替名) を記入する事で、 無線 LAN 接続時に意図しない RADIUS サーバーに接続されたことを検知して、確認を促すポップアップを表示する機能があります。 この機能が、Windows 7 では機能していたものの、Windows 10 では機能しない場合があります。   ※ 参考画像 : [次のサーバーに接続する] の設定画面                        …

0

Windows Server の Essentials エディションは、ドメインのメンバー サーバーとして利用できません

こんにちは。Windows Platform サポート チームの加山です。 今回は Windows Server の Essentials エディションを利用する場合の注意点についてご案内いたします。   Windows Server の Essentials エディションは、Standard エディションおよび Datacenter エディションよりも手頃なお値段で購入でき、小規模環境 (ユーザー数 25 人まで、かつデバイス数 50 台まで) で容易に Active Directory 環境を構築できる便利な OS です。 しかし、Essentials エディションには、Standard エディションおよび Datacenter エディションには無い、以下のような制限がございます。   – 制限 ・フォレストおよびドメインのルートにあるドメイン コントローラーである必要があり、すべての FSMO 役割を保持する必要があります。 ・既存の Active Directory ドメインのある環境にはインストールできません (※)。 ・1 つのドメインにのみ展開できます。 ・読み取り専用ドメイン コントローラーは、ドメインに存在できません。   (※) ただし、既存のドメイン コントローラーをEssentialsエディションのドメイン…

0

Windows 10 Professional ビルド 1607 (RS1) 以降では適用されなくなったグループ ポリシーについて

こんにちは。Windows Platform サポート チームの樋口です。   今回は本来 Windows 10 Enterprise や Windows 10 Education でしか適用されないはずである一部のグループ ポリシーが、Windows 10 Professional のビルド 1511 (TH2) 以前では誤って適用されてしまうことがあるという問題についてお伝えいたします。 本来であれば Windows 10 Professional では適用されるべきではないグループ ポリシーであるため、Windows 10 Professional のビルド 1607 (RS1) 以降では適用されないように動作変更されていますが、これによって今まで適用できていたポリシーが適用できなくなってしまったというお問い合わせをお客様からいただいております。   ここでは Windows 10 Professional RS1 以降では適用されないように動作変更されていることが、弊社サポート部門でも実際に確認できているグループ ポリシーをご紹介させていただきます。 ご利用の Windows 10 を RS1 にアップグレードいただける際には、必要に応じてご留意いただければ幸いです。   問題の内容 例えば、下記の [Microsoft コンシューマー エクスペリエンスを無効にする] というグループ ポリシーの説明文を見ると、Enterprise…

0

ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性

こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。   ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。   現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご質問が多く寄せられています。 そこで以下では、Windows の DNS サーバーにおいて、ルート KSK の更新に伴う対策の必要性、および注意事項についてご案内いたします。   Q1. Windows の DNS サーバーにおいてルート ゾーン KSK の更新に伴い、対策を実施する必要があるのか。 A1. 結論として、Windows…

0

Creators Update 直後に Smart Card サービスが起動しない事象

こんにちは。Windows Platform サポートチームです。 本ブログでは、Windows 10 における Smart Card サービスの起動障害について記載致します。 なお、このブログにおける情報につきましては、以下の点にご留意ください。 [留意事項] 本事象につきましては現在も調査中です。また、本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。 [問題の概要] Windows 10 において Creators Update(v1703)のインストールを行った場合、インストール直後に Smart Card サービスが起動しない事象が確認されています。 この事象を再現させるために、現在確認できている手順を以下に記載致します。 – 再現手順 1. Windows10 Creators Update (V1703) をクリーン インストールします。 2. インストール完了後、初回サインイン(ようこその画面が表示されます)を行います。 3. 端末にスマート カード リーダー/ライターを接続します。ここでは、Smart Card サービスが起動します。 4. 端末からスマート カード リーダー/ライターを切り離します。ここでは、Smart Card サービスが停止します。 5. 再度、端末にスマート カード リーダー/ライターを接続すると、Smart Card サービスが起動しません。<<<<< 事象再現 ※ 本事象は、Windows 10…

0