Kerberos の制限付き委任におけるネガティブ キャッシュの動作

こんにちは。 本日は、複数のフォレストおよびドメインが存在する環境での委任の動作についてお知らせします。   Active Directory ドメイン環境上では、フォレストを跨いだ Kerberos の制限付き委任を利用することが可能です。この Kerberos の制限付き委任ですが、別フォレストのユーザーからの認証が行われると内部的にネガティブ キャッシュが生成され、それまで正常に動作していた認証処理が失敗することがあります。 例えば以下のような構成を想定します。 双方向のフォレストもしくは外部信頼を結んだ 2 つのフォレストが存在する (contoso.com と adatum.com)。 contoso.com には、以下のようなマシンが存在している。 Active Directory Domain Controller SQL Server (リンク サーバー) プロシージャーが配置されている SQL Server adatum.com には、以下のようなマシンが存在している。 Active Directory Domain Controller   上記構成において、SQL Server で委任が設定されており、リンク サーバー経由のプロシージャーを実行できるとします。 この状態で、contoso.com ドメイン上のクライアントで SQL Server Management Studio を起動し、SQL Server (リンク サーバー) に接続するとします。 このとき以下のようになります。 contoso.com…

0

Hyper-V 上のゲスト OS 内に LBFO によるチーミングを構成した場合、ユニキャスト モードの NLB は利用出来ません。

こんにちは。Windows プラットフォーム サポート チームです。 Hyper-V 上のゲスト OS 内に LBFO によるチーミングを構成した場合、セキュリティ上の理由により、チーミング NIC に割り当てられる MAC アドレスは、対象の仮想マシンに対して事前に割り当てられていた MAC アドレスの範囲内に制限されています。 ユニキャスト モードの NLB が用いる独自の (“02:BF” から始まる) MAC アドレスについても例外ではなく、チーミング NIC に対する制限対象に該当するため、Hyper-V 上のゲスト OS 内においては LBFO によるチーミングとユニキャスト モードの NLB とを同時に利用することは出来ません。 この挙動は製品上のデザインに因るものです。

0

Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について

こんにちは。Windows プラットフォーム サポート チームです。 今回は Windows 10/Windows Server 2016 が存在する環境において、Active Directory 移行ツール (ADMT) を使用する場合の対応状況についてお知らせいたします。 まず初めに、残念ながら、現在最新のバージョンである ADMT 3.2 においても、Windows 10/Windows Server 2016 が存在する環境での移行は動作保証されていません。 これは、最新版の ADMT がリリースされた時点では、まだ Windows 10/Windows Server 2016 がリリースされていなかったため、Windows 10/Windows Server 2016 が存在する環境を前提として ADMT はテストされていないためです。 具体的には、下記のいずれの場合においても、ADMT を用いた移行は動作保証されていません。 ADMT を Windows Server 2016 にインストールする。 Windows Server 2016 のドメイン コントローラーで構成されたドメイン (移行元ドメイン、移行先ドメイン問わず) で移行を実施する。 ドメインにメンバーとして参加している Windows 10/Windows Server…

0

Windows 10 (x64) に Creators Update (v1703) を適用すると、ダイヤルアップ接続に失敗します

  こんにちは。Windows Platform サポートチームです。   昨今、Windows 10 (x64) に Creators Update (v1703) を適用すると、 ダイヤルアップ接続が失敗する事象について、お問い合わせを複数件いただいております。 本事象につきまして、以下にご案内します。   問題の概要 Windows 10 (x64) に Creators Update (v1703) を適用後、ダイヤルアップ接続を行うと、エラー 633 により失敗します。 この現象は、Windows 10 (x86) では発生しません。   エラー 633: モデム (またはほかの接続デバイス) は既に使用中か、正しく構成されていません。   原因 本現象は、製品の問題により、RASMAN サービスがデバイス(モデム)ドライバをロードする処理に失敗するために発生します。   対処方法 今後の Windows Update にて、本修正を含む、累積の修正プログラムを配信予定です。 修正配信までの間は、以下の回避策で対応ください。   回避方法 以下の手順で、RASMAN サービスの権限設定を追加することで、現象を回避できます。 本設定により、RASMANサービスにデバイス(モデム)ドライバをロード/アンロードする権限が追加されますが、 他のサービスや OS…

0

まれに SSL/TLS 通信が bad mac record のエラーで失敗する

こんにちは。Windows プラット フォーム サポートの馬場です。 今回は、鍵交換を DHE 方式で行う場合に、Web サーバー等の SSL/TLS サーバーへの接続にまれに失敗する問題について紹介します。   どのような問題なのか? ———————– Web サーバーへの HTTPS 通信など、SSL/TLS を用いてサーバーに接続することがあると思います。 この時、クライアント PC と非 Windows の TLS サーバー製品間の通信で、数百回に 1 回の頻度で SSL/TLS 通信に失敗するという事象が報告されています。 これは、SSL/TLS ハンドシェイクにおける鍵交換の際に、クライアントとサーバー間でやり取りされる public share もしくは premaster secret の先頭バイトに対する処理について、Windows OS や他ベンダーで差異があるためです。 その影響により、まれに TLS 通信が bad mac record のエラーで失敗します。 Windows OS ではこの処理の差異を、Windows 10 TH2 にて修正しており、サーバーでは Windows Server 2016…

0

ダイヤルアップ接続時のプロパティ画面にてエラー 608、615 が表示されてしまう事象について

こんにちは。Windows プラットフォーム サポートの永谷です。   問題の概要 Windows 10 Aniversary Update  (バージョン 1607)  以降の OS のダイヤルアップ接続のプロパティ画面にて [セキュリティ] タブを選択します。 その際、以下のダイアログが表示されます。   “スクリプト情報を読み込めません。エラー 608: 指定したデバイスはありません。”                 “スクリプト情報を読み込めません。エラー 615: 指定したポートが見つかりませんでした。”               対象 OS Windows 10 バージョン 1607 以降の OS Windows Server 2016   影響範囲 ダイヤルアップ接続におけるスクリプトの設定に影響があります。 具体的には、実行するスクリプトの一覧を表示するためのコンボ ボックスが正しく読み込まれない現象が発生します。…

0

移動ユーザー プロファイルにおいてプロファイル格納先に DFS パスを指定している環境では DFS 名前空間サーバーの障害時に切り替わらない場合がある

現象 移動ユーザー プロファイルを利用した環境において、ユーザー プロファイルの格納先に DFS 名前空間のパスを指定している環境を想定します。 この環境でログオン時のユーザー プロファイルのロードを行う際に、接続する DFS 名前空間サーバーの DFS Namespace サービスが停止している場合、アクセス拒否のエラーとなる場合があります。 この場合、複数の DFS 名前空間サーバーが存在する環境であっても接続する DFS 名前空間サーバーの切り替えは発生せず、ユーザー プロファイルのロードに失敗します。                                 原因 DFS Namespace サービスが停止している DFS 名前空間サーバーでは、フォルダ ターゲットとなるサーバーの紹介などの DFS 名前空間に関する処理を行わず、名前空間のルートの共有パスに対するクライアントからのアクセスを処理することになります。 この共有パスに対するアクセス処理では、名前空間のルートの共有アクセス権の確認が行われます。 また、移動ユーザー プロファイルでは、ユーザーのログオン時にプロファイルの格納先として指定された DFS パス配下のファイルに対して書き込みが行われます。 この状況では、名前空間のルートの共有のアクセス権に書き込みの権限が付与されていない場合にアクセス拒否のエラーが発生し、ユーザー プロファイルのロードに失敗します。   対処策 DFS 名前空間のルートに対する共有アクセス権に書き込み (変更)…

0

OS 起動時に DFS Namespace サービスが起動失敗して停止した場合、DFS パス配下のファイル書き込み時にアプリケーションによっては DFS 名前空間サーバーが切り替わらない

現象 DFS 名前空間サーバーにて、OS 起動時に DFS Namespace サービスの起動に失敗し、サービスが停止している状態を想定します。 また、名前空間のルートの共有アクセス権に書き込み権限が付与されている状態とします。 この状態において、アプリケーションから DFS パス配下のファイルへの書き込みが行われると、「パスが見つかりません」のエラーが発生します。 この状況では、アプリケーションによってはエラーとなり、DFS 名前空間サーバーが複数存在する環境であっても DFS 名前空間サーバーの切り替えが行われない場合があります。   詳細 DFS 名前空間サーバーにて、OS 起動時に DFS Namespace サービスが起動せず停止している状況では、アプリケーションの動作によって以下のエラーを応答および DFS 名前空間サーバーの切り替え動作となります。 DFS パスにアクセスするアプリケーションによってファイルの参照が行われる場合は、事前に DFS 名前空間のパスへのアクセスを行います。 この DFS 名前空間のパスへのアクセスに対して、STATUS_OBJECT_PATH_NOT_FOUND エラーを受信した場合は DFS 名前空間サーバーの切り替えが行われます。 また、DFS パス配下のファイルへの書き込みが行われる場合につきましては、DFS 名前空間サーバーの切り替えは行われませんが、その後のアプリケーションの動作によってエラーとならず DFS 名前空間サーバーの切り替えが行われるものもあります。 たとえば、echo コマンド等で DFS パス配下のファイルに書き込みを行うと (例 : echo test > \\Contoso.com\Namespace\Folder\test.txt)、エラーとなり DFS 名前空間サーバーの切り替えは行われません。 しかし、移動ユーザー プロファイルでユーザー プロファイルをロードする場合では、Profile…

0

DirSync から Azure AD Connect へのインプレース アップグレードに失敗する (4 月 7 日更新)

Azure & Identity サポート チームの橋本です。 2017 年 4 月 13 日にサポートの終了が予定されている DirSync から Azure AD Connect への移行に関するお問い合わせが増えております。 その DirSync から 2017 年 3 月 6 日に公開された Azure AD Connect ビルド 1.1.443.0 へのアップグレードを行う際に発生する不具合を確認しており、以下にご案内いたします。   4 月 7 日更新: 2017 年 4 月 7 日 (日本時間) に本不具合の修正を含むビルド 1.1.484.0 が公開されました。1.1.484.0 の場合は本事象は発生しません。   事象 DirSync から Azure AD Connect…

0

Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について

こんにちは、Azure & Identity サポート チームです。 今回は Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法の一つで、ハードマッチと呼ばれる方法についてご紹介します。 既に Azure AD 上にユーザー アカウントが存在している状態で、そのユーザーを後からオンプレミスの Active Directory (AD) に追加し、同期をおこなうときにその既存のアカウントをそのまま利用したいということがあると思います。 このようなケースではオンプレミス AD で対象となるアカウントのメール アドレス、または UPN 名を一致させた上で同期をおこなうという手法が一般的には取られます (これをソフトマッチと呼びます)。このソフトマッチができない場合 (UPN 名が異なるアカウントを紐づける必要がある場合など) にはハード マッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保する ID 情報 Immutable ID を紐づけます。 Azure AD Connect の既定の構成では、オンプレミス AD の ObjectGUID を Base64 でエンコードした値を Immutable ID (source Anchor) として紐づけています。 以下では既定の構成で…

0