セントラル ストアについて

  みなさま、こんにちは。Network & Active Directory チームの名和 彩音です。 今日は、ADMXファイルの管理を行なうための“セントラルストア”について、ご案内をしたいと思います。     1. ADMXファイルについて Windows XP、Windows Server 2003 では、ADM ファイルと呼ばれるファイルを利用して、 GPOの「管理用テンプレート」以下の設定項目を行なうことができました。 ADM ファイルの使用目的は、グループポリシーの管理エディタに、「管理用テンプレート」以下の設定項目を表示させることです。   Windows Vista、Windows Server 2008 以降では、ADM ファイルは、ADMXファイルに置き換えられました。 ADMXファイルもADMファイルと同じように、GPOの「管理用テンプレート」以下の設定項目の表示を行なうための構成ファイルです。   双方のファイルの具体的な違いですが、ADMXファイルは、ADM ファイルに比べ、以下の点が強化されています。 詳細につきましては、ご紹介させていただいております参考資料をご確認ください。     1) 複数言語のサポート 2) SYSVOL のサイズ膨張の回避 3) セントラル ストアの利用 4) 既定のADMX ファイルおよびカスタムADMX ファイルの集中管理     =参考資料= グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ…

0

特定のユーザーで Userenv, Group Policy の警告、エラーが記録される

  こんにちは! Network & Active Directory チームの名和 彩音です。 最近は、肌寒い日も増え、季節はすっかり「秋」という感じですね。 皆様どうお過ごしでしょうか。 さてさて今回は、Userenv、Group Policy のイベントについて、豆知識をご紹介したいと思います。 昨今はリモート デスクトップを使用して、サーバーの管理を実施する事が多くなっていると存じます。 リモート デスクトップでログオンしていたログオン セッションをログオフせずにその接続を切断した場合で、そのユーザーのパスワードを変更すると、以下にご紹介するようなイベントが発生いたします。 最近、このようなイベントに関するお問い合わせが増えてきていますので、ご紹介させていただきたいと思います。   1. 特定のユーザーでUserenv、Group Policyの警告、エラーが記録される ===================================================== Userenv の警告およびエラー イベントは、Windows Vista / Windows Server 2008 より前の端末 (Windows XP / Windows Server 2003) において、グループ ポリシー適用の処理に何らかの問題が発生した際に記録されます。Windows Vista / Windows Server 2008 以降の端末では、上記の問題が発生した場合、Userenv ではなく、Group Policy のソースでイベントが記録されます。 ■ Windows XP / Windows…

0

スキーマ拡張作業の基礎 – その1 – 事前知識: スキーマとは

  みなさん、こんにちは Windows Active Directory & Network 担当 村木ゆりかです。 Windows Server 2003 もサポート上、延長サポートのフェーズにも入り, Windows Server 2008, Windows Server 2008 R2 ドメインへ移行されるお客様も多いのではないでしょうか。 ドメイン・フォレストの拡張や、アプリケーション (Exchange, SC Configuration Manager など) を導入される際など、Active Directoryスキーマ拡張を実施される機会があるかと思います。 これから複数回にわたって、スキーマ拡張に際して、一般的な Active Directory 側の作業や影響、よくあるお問い合わせなどをご紹介していきたいとおもいます。 簡単な内容ではありますが、各種スキーマ拡張の作業を実施される際は、ドメインに対する一般的で基礎的な作業ノウハウとして、ぜひご一読いただけますと幸いです。 * 今回は、Windows Server 2008 での作業画面を元にご説明を進めます。   今回は、まずは作業の前提となる知識、スキーマについて簡単にご説明します。すでにご存知の方も多い内容かと思いますが、AD 運用がはじめての方もいらっしゃるかと思いますので、まずはおさらいをかねてご説明したいと思います。     [1] 事前知識: スキーマとは スキーマ拡張作業の話の前に、そもそも、Active Directory におけるスキーマとはいったい何か、拡張とは何か、スキーマの確認のしかたなど、基本事項について、おさらいを兼ねてご説明します。   (1-A) スキーマとは? Active Directory…

0

[障害情報] crypt32 (Windows XP, Windows Server 2003)、Microsoft-Windows-CAPI2 (Windows Vista 以降) のイベント

  先週より、イベント ログに、crypt32 (Windows XP, Windows Server 2003)、Microsoft-Windows-CAPI2 (Windows Vista 以降) のイベントが大量に記録されという問題の報告が寄せられております。 この問題の結果、ルート証明書更新プログラムが正しく稼動しなくなり、ルート証明書更新プログラムで自動インストールされるルートCA証明書が正しくインストールされないという問題が発生していました。 原因となる点についてはすでに修正がされており、事象については解消されておりますが、ご参考までに当 Blog でも情報をお知らせいたします。   ================================================ [現象] イベント ログに、crypt32 (Windows XP, Windows Server 2003)、Microsoft-Windows-CAPI2 (Windows Vista 以降) のイベントが大量に記録されます。 下記がイベントの内容です。 <エラー> ・windows XP, windows Server 2003 イベントの種類: エラー イベント ソース: crypt32 イベント カテゴリ: なし イベント ID: 11 説明: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> にある自動更新 cab ファイルからサード パーティのルート一覧を抽出できませんでした。エラー: 現在のシステム時計または署名ファイルのタイムスタンプで確認すると、必要な証明書の有効期間が過ぎています。…

0

DFSRの複製の仕組みを理解する(後編)

 こんにちは。サポート担当の比留間です。 前回に引き続き、今回は DFSR のデバッグログを確認しながら複製の仕組みを見て行きたいと思います。 ■ 用意するもの o    レプリケーショングループに参加している各サーバーで採取した DFSR のデバッグログ o    GZip 形式が展開できる圧縮・解凍用のツール o    使い慣れたテキストエディタ o    レプリケーショングループの構成情報 o    追跡したいファイルの更新が行われた日時の情報 o    追跡したいファイルの、ファイルサーバーのローカル上でのフルパスの情報 o    前日の十分な睡眠 以前のポストでもご紹介したとおり、DFSRのデバッグログは最新の世代以外のものは、GZip 形式で圧縮されております。そのため、あらかじめ展開用のツールで圧縮を解除しておく必要があります。 また、DFSR のデバッグログは出力量が膨大です。検索をいかに効率よく行えるかが、デバッグログ解析の効率をも左右すると言っても過言ではありません。是非、使い慣れたエディタを用意下さい。さらに、デバッグログの解析に着手する前に、事前に少しでも追跡したい動作の内容を把握しておくことが重要になります。 最後の項目は、私個人がデバッグログの解析を行う際に心がけていることですが… Windows が出力する各種のデバッグログの中でも、DFSR は内容が難解なもののひとつとして数えられています。集中力を切らさないように、がんばりましょう!   ■ デバッグログの出力形式 では、まずは DFSR のデバッグログがどのような形式で出力されるのかを確認してみましょう。 デバッグログのヘッダ 各世代のデバッグログの冒頭には、デバッグログのヘッダが書き込まれます。 例: * FRS Log Sequence:1 Index:1 Computer:2003MEM20 TimeZone:Eastern Standard Time (GMT-05:00) Build:[Feb 16 2007 20:14:20 built…

0

DFSRの複製の仕組みを理解する(前編)

こんにちは。サポート担当の比留間です。 今回は、DFSR の複製の仕組みについて見て行きたいと思います。 DFSR の複製の仕組みは非常に複雑で、実装されている内容を限られたスペースでご説明するのは残念ながら困難です。 しかしながら、DFSR に関するトラブルシューティングのために基本的な仕組みを理解する、という目的であれば、DFSR の複製について以下のようなステップに分類して考えることで比較的容易に全体像を把握することができます。 1.     ファイルやフォルダの更新を検出する 2.     他のサーバーに更新があったことを通知する 3.     他のサーバーが自分のレプリケートフォルダに更新内容を複製する まず、DFSR がどのようにファイルやフォルダの更新を検出しているのかについて見て行きます。 ■ ファイル更新の検出の仕組み DFSR では、NTFS の USN ジャーナル を監視することで、レプリケートフォルダ内の変更内容を監視しています。 USN ジャーナル について簡単にご説明すると、NTFS の仕様のひとつとして定義されている循環ログの一種です。NTFS ボリューム上でファイルやフォルダの変更があると、一意の更新番号(USN : Update Sequence Number)と更新日時、更新のあったファイル名、更新の種類が自動的に追記されて行きます。 この USN ジャーナルの情報を上手く使うと、例えばアプリケーションでディスクをフルスキャンしなくても「この日付からこの日付までの間に更新があったファイルを抽出する」といった操作ができるようになります。DFSR では、このUSN ジャーナルの更新を監視しています。 普段の PC の操作で何気なく作成したり編集したファイルにも、実は知らず知らずのうちに USN が割り振られています。現時点でファイルに割り振られた最新の USN は以下のように、fsutil usn コマンドで確認できます。 c:\>fsutil usn readdata c:\temp\usntest.txt メジャー バージョン   : 0x2…

0

Active Directory 10 周年記念イベント

こんにちは、Windows プラットフォームサポート担当の北川です。 遠い昔(2010/02/27)になってしまいましたが、Tech Fielders の集い 特別編「ありがとう Active Directory 10 周年」にご参加いただきました皆様、誠にありがとうございました。   本当にお待たせいたしましたが、やっとやっと、その時に使用した(公開のお約束をしていた) PPT を公開させていただきました。 ここでご紹介させていただきました内容はトラブル シューティングの入り口についてお話させていただきましたので、あまり詳細な情報ではございませんが、皆様のご参考になれば、幸いです。     なお、同時に MPSReports についてご紹介させていただく予定でしたのでご紹介させていただきます。 情報取得のツールは様々ございますが、総合的な情報を取得するツールは以下の 2 つでございます。   ツール名 対象 OS 前提条件 1) 旧 MPSReports Windows 2000 Windows XP Windows Server 2003 なし 2) 新 MPSReports Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7…

0

ADMT 3.2 における PES について

こんにちは、Windows プラットフォームサポート担当の北川です。 昨日に引き続き、ADMT 3.2 に関する情報をお伝えいたします。   既にお気づきの方も見えるかと思いますが、ADMT 3.2 のリリースに際し、PES(パスワード エクスポート サーバー)サービスは新しくリリースされていません。 PES 3.1 は ADMT 3.1 および ADMT 3.2 上で使用できますので、ADMT 3.2 でパスワード移行を行う際は、PES 3.1 をご使用下さい。 – Password Export Server version 3.1 (x64) – 日本語 <http://www.microsoft.com/downloads/details.aspx?familyid=5B4E5C61-1C00-4DA7-9C0D-130200AED21A&displaylang=ja>   上記内容は、Active Directory 移行ツール ガイドにも記載されています。 ————————— パスワードの移行の有効化 適用対象: Active Directory 移行ツール 3.1 (ADMT 3.1) および ADMT 3.2 Active Directory 移行ツール (ADMT)…

0

NAP internal-4 ~ 予期しない検疫チェックの結果: DHCP サービスのタイムアウト編 ~

こんにちは、Windows プラットフォーム サポート担当の石丸です。今回も、NAP についての情報をお届けいたします。 NAP に関するお問い合わせの中でも多いのが、「予期せずクライアントが隔離されてしまった」「隔離されるはずのクライアントが、フルアクセスを許可されてしまう」といったものです。 今回はその中から、DHCP 検疫を使用している場合に、NPS サービスの検疫結果を待たずに DHCP サービスがタイムアウトしてしまう事例をご紹介します。 – DHCP 検疫の仕組みの概要 DHCP 強制クライアントが有効に設定されているクライアントでは、DHCP サーバーにリクエストを送信する際に、クライアントの正常性ステートメント (SoH) の情報を含めます。このリクエストを受け取った DHCP サーバー上の DHCP サービスは、NPS サービスに SoH を引き渡し、検疫チェックを要求します。 DHCP サーバーと NPS サーバーは別々の筐体に分けることもできますが、同一の筐体上に同居させることもできます。最も簡単な構成の場合、下の図のように、DHCP サーバー上に NPS サービスもあわせてインストールし、検疫チェックのポリシーを構成することで、1 台のサーバーのみで DHCP 検疫を実現することができます。 DHCP サーバーと NPS サーバーを分離する場合は、少し複雑な処理の流れになります。下の図のように、DHCP リクエストを受け取った DHCP サービスはまず、自身のサーバー上の NPS サービスに検疫チェックの処理を依頼します。このリクエストを受け取った NPS サービスは、RADIUS Proxy として機能し、NPS サーバー上の NPS サービスに対して検疫チェックのリクエストを転送します。処理の流れは、下図のようになります。 このような構成を行うためには、DHCP サーバー上の NPS…

0

ADMT 3.2 がリリースされました。

Windows プラットフォームサポート担当の北川です。 先日(2010 年 6 月 18 日)、ADMT 3.2 がリリースされ、ダウンロードセンターからダウンロードいただけるようになりました。   Active Directory 移行ツール Version 3.2 <http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=20c0db45-db16-4d10-99f2-539b7277ccdb>   US チームのブログにも記載がありますが、システム要件は以下の通りです。 – ADMT 3.2 released <https://blogs.technet.com/b/askds/archive/2010/06/19/admt-3-2-released.aspx>   [システム要件] • サポート オペレーティング システム: Windows Server 2008 R2 • ADMT は読取専用ドメイン コントローラーおよび Server Core を除く、Windows Server 2008 R2 上にインストールする事が出来ます。 • 移行先ドメイン: Windows Server 2003 以上を実行している必要があります。 • 移行元ドメイン: Windows…

0