Kerberos の制限付き委任におけるネガティブ キャッシュの動作

こんにちは。 本日は、複数のフォレストおよびドメインが存在する環境での委任の動作についてお知らせします。   Active Directory ドメイン環境上では、フォレストを跨いだ Kerberos の制限付き委任を利用することが可能です。この Kerberos の制限付き委任ですが、別フォレストのユーザーからの認証が行われると内部的にネガティブ キャッシュが生成され、それまで正常に動作していた認証処理が失敗することがあります。 例えば以下のような構成を想定します。 双方向のフォレストもしくは外部信頼を結んだ 2 つのフォレストが存在する (contoso.com と adatum.com)。 contoso.com には、以下のようなマシンが存在している。 Active Directory Domain Controller SQL Server (リンク サーバー) プロシージャーが配置されている SQL Server adatum.com には、以下のようなマシンが存在している。 Active Directory Domain Controller   上記構成において、SQL Server で委任が設定されており、リンク サーバー経由のプロシージャーを実行できるとします。 この状態で、contoso.com ドメイン上のクライアントで SQL Server Management Studio を起動し、SQL Server (リンク サーバー) に接続するとします。 このとき以下のようになります。 contoso.com…

0

Hyper-V 上のゲスト OS 内に LBFO によるチーミングを構成した場合、ユニキャスト モードの NLB は利用出来ません。

こんにちは。Windows プラットフォーム サポート チームです。 Hyper-V 上のゲスト OS 内に LBFO によるチーミングを構成した場合、セキュリティ上の理由により、チーミング NIC に割り当てられる MAC アドレスは、対象の仮想マシンに対して事前に割り当てられていた MAC アドレスの範囲内に制限されています。 ユニキャスト モードの NLB が用いる独自の (“02:BF” から始まる) MAC アドレスについても例外ではなく、チーミング NIC に対する制限対象に該当するため、Hyper-V 上のゲスト OS 内においては LBFO によるチーミングとユニキャスト モードの NLB とを同時に利用することは出来ません。 この挙動は製品上のデザインに因るものです。

0

Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について

こんにちは。Windows プラットフォーム サポート チームです。 今回は Windows 10/Windows Server 2016 が存在する環境において、Active Directory 移行ツール (ADMT) を使用する場合の対応状況についてお知らせいたします。 まず初めに、残念ながら、現在最新のバージョンである ADMT 3.2 においても、Windows 10/Windows Server 2016 が存在する環境での移行は動作保証されていません。 これは、最新版の ADMT がリリースされた時点では、まだ Windows 10/Windows Server 2016 がリリースされていなかったため、Windows 10/Windows Server 2016 が存在する環境を前提として ADMT はテストされていないためです。 具体的には、下記のいずれの場合においても、ADMT を用いた移行は動作保証されていません。 ADMT を Windows Server 2016 にインストールする。 Windows Server 2016 のドメイン コントローラーで構成されたドメイン (移行元ドメイン、移行先ドメイン問わず) で移行を実施する。 ドメインにメンバーとして参加している Windows 10/Windows Server…

0