Microsoft Remote Server Administration Tools (RSAT)

みなさん、こんにちは! 今日は、お使いになると便利な管理ツールのインストール手順をご紹介します。 もうすでにご活用いただいている皆様も多いかと思いますが、すこし手順が複雑なツールなので、おさらいとしてもお役に立てれば幸いです。わたしもこの手順をすっかり忘れていて苦労したことがあります。。。   Windows Vista / Windows Server 2008 においては、新しい管理ツールMicrosoft Remote Server Administration Tools (RSAT) をご用意しています。 このツールは、以前のバージョンの OS において Administration Pack として提供されていたツールの後継版で、同様に以前のバージョンの OS にありました Support Tools に含まれている一部のツールも同梱されています。 (Windows Vista 以降は、Administration Pack や Support Tools はインストールできません。) このツールを導入することで、管理者はサーバを管理するための様々な機能を使用することができます。 Active Directory環境においては、NETDOM, NLTEST などのコマンドや、グループ・ポリシー・管理コンソール(GPMC)を利用される管理者の方が多いかと思いますが、これ等のツールは RSATに含まれています。   特にVista RTMでは GPMCがインストールされていますが、SP1 を適用すると GPMC が削除されてしまいます。このため、Vista SP1 においては、RSAT を導入していただく必要があります。突然 GPMCが消えてしまった!と驚いた皆様、RSAT にてご用意しておりますので、インストールくださいますようお願いします。  …

3

Windows PKI – その2 – ルート証明書更新プログラムとは?

みなさん、こんにちは。 Windows プラットフォーム 村木由梨香です。   Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します 前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。 ・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要 ・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか? 訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。 Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。   ============================== Microsoft ルート証明書更新プログラムとは何か? ============================== ●Microsoft ルート証明書更新プログラムとは? Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。 約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。 これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows…

2

予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?

目次 概要 種類 Receive Side Scaling TCP Chimney Offload Network Direct Memory Access 既定値 既定の設定値 設定値と実効状態 TCP Chimney Offload と NetDMA の排他制御 Automatic Mode (自動モード) Itanium 版 設定方法 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定 RSS TCP Chimney Offload NetDMA Windows Server 2003 の更新プログラムによる無効化 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定確認 Windows Server…

2

ドメインにログオンできない ~ セキュア チャネルの破損 ~

はじめまして! Windows プラットフォーム サポート担当の石丸 宰 (いしまる つかさ) です。今日は、”セキュア チャネルの破損” が原因でドメインにログオンできなくなる現象について、その見分け方と対処方法をご紹介したいと思います。1. “セキュア チャネル” と “コンピューター アカウント パスワード”Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下の図のように、クライアントごとに個別に作成されます。* なお、 “クライアント” はドメインのメンバーを指しており、 Windows Server 2003 / 2008 も DC でなければ、以下の説明や図では、”クライアント” に含まれます。DC とクライアントはお互いに、セキュア チャネルを確立するために必要となる “コンピューター アカウント パスワード” を持ちあっています。このパスワードは、DC 上ではコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域にそれぞれ格納されています。クライアント コンピューターが起動すると、まず最初にコンピューターアカウントのパスワードを用いて資格情報を生成し、DC にコンピューター認証の要求を送信します。認証に成功すると、認証処理の中で生成されたセッション・キーを用いてクライアントと DC の間にセキュア チャネルが確立されます。前述の通り、ユーザーのドメインへのログオン要求などの通信はセキュア チャネルを用いて行われるような仕組みになっているので、コンピューター認証に失敗し、セキュアチャネルが確立ができないような状況ではユーザーはドメインにログオンすることはできません。何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア…

1

どんなお問い合わせが多い?

こんにちは。そして、はじめまして。 Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。 リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。 では、早速。 1. ドメイン ログオン / ドメイン参加 ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。 2. グループ ポリシー Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ…

1

アカウント ロックアウト トラブルシューティング (第一回) – アカウント ロックアウトの仕組みと主な要因

  こんにちは、Windows プラット フォーム サポートの進藤です。   セキュリティの向上の一環として、ユーザーが連続してパスワードの入力に失敗した場合に、アカウントをロックアウトさせる設定をされている方は多くいらっしゃるかと思います。 しかしながら、実際にアカウント ロックアウトの設定を行ってみたところ、ユーザーが入力ミスをしていない (少なくともユーザーからはそのように申告をうけている) にも関わらず、アカウントがロックアウトされてしまい、お困りの管理者の方もいらっしゃるのではないでしょうか。 今回はアカウント ロックアウトのトラブルシューティングの方法を3回に分けて解説します。 第一回  アカウント ロックアウトの仕組みと主な要因 (本稿) 第二回  アカウント ロックアウトの調査方法 第三回  アカウント ロックアウトの調査に役立つツール また、今回のテーマはドメイン コントローラーの監査ログにログオン失敗のイベントが記録される場合の調査にも役立ちますので、参考にしていただければと思います。   1. アカウント ロックアウトの設定 Active Directory ではグループ ポリシーの中に、ユーザーが一定回数以上認証に失敗した場合に、そのユーザーのアカウントをロックアウトさせるための設定があります。 ※Default Domain Policy で設定を行います。既定では無効となっています。 アカウント ロックアウトのポリシー [コンピューターの構成] -[ポリシー] – [Windows の設定] – [セキュリティの設定] – [アカウント ポリシー] – [アカウント ロックアウトのポリシー] パスワードのポリシー [コンピューターの構成] -[ポリシー] – [Windows…

0

DHCP フォルダーに大量の j50xxxxx.log が存在する現象について

こんにちは。 今回は、Windows Server 2012 と Windows Server 2012 R2 上で動作している DHCP サーバーが使用するトランザクションファイルが、大量に残存する現象について説明します。 概要 DHCP サーバーでは、管理している情報を Extensible Storage Engine (ESE) と呼ばれるデータベースに保持しています。 DHCP サーバーのインストールフォルダー (%windir%\system32\dhcp フォルダー) に、この ESE が使用するトランザクションファイルが大量に存在する現象になります。 なお、トランザクションファイルは、j50 で始まるファイルになり、 1 時間に 2 ファイルずつ作成されていきます。(サイズは 1MB) 詳細 DHCP サーバーでは、既定で 1 時間に 1 回バックアップ、およびデータベースのクリーンアップ処理が実施されます。 このタイミングで、それぞれトランザクションファイルが作成され、既存のトランザクションファイルの内容がデータベースに反映されます。 どこまでのトランザクションファイルをデータベースに反映させるのかの判断は、ESE の内部処理となっていますが、DHCP のインストールフォルダーにある j50.chk ファイルで、どこまで反映させているのかを管理しています。 通常は、適宜 j50.chk が更新され、それに伴いトランザクションファイルがデータベースに反映されます。 そして、反映されたトランザクションファイルは削除されます。 原因 原因については調査中ですが、この現象が発生するのは DHCP のトランザクションが少ない、つまり…

0

パスワード同期ユーザーが Office 365 にサインインできない

いつも 弊社製品をご利用いただきありがとうございます。   Office 365 のアカウントとオンプレミスの Active Directory (AD) では、 Azure AD Connect (AAD Connect) を利用することでアカウントの同期をおこなうことができます。 Windows 2000 よりも前にドメインを構築しており、パスワードの変更を強制していない環境では注意が必要です。   AAD Connect では、パスワードの同期もおこないますが、このときパスワード自体を同期するのではなく、ハッシュ値のみを同期いたします。   (参考情報) Azure AD Connect Sync: パスワード同期の実装 https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-implement-password-synchronization/ (一部抜粋) ================================== Active Directory ドメイン サービスは、実際のユーザー パスワードをハッシュ値表現の形式で格納します。 パスワードのハッシュを使用してオンプレミスのネットワークにサインインすることはできません。 ==================================   AAD Connect の仕様として、その同期対象アカウントのパスワード ハッシュ値は Windows Server 2003 以降のドメイン  コントローラーで作成されている必要があります。   そのため、 Windows 2000 以前のドメイン…

0

Windows 10 (TH2) をインターネットに接続せずに使用すると、突然時刻がずれる!?

皆様、こんにちは。 今回は、Windows 10 を使用していると、突然時刻が大幅に変わってしまう事象についてご説明いたします。   Windows 10 (TH2) から、新しい時刻同期の機能として、インターネット上の SSL サーバーと接続し、時刻を取得する Secure Time 機能が追加されております。 この機能にて取得した時刻情報は、以下レジストリキーに格納されます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits   そう、w32time 配下に新しく「SecureTimeLimits」というキーができました。   仕組みとしては、従来通り Windows Time サービスを使用して時刻同期先と時刻同期を実施しながら、更に時刻同期の精度をあげるために、Secure Time 機能も使用して時刻あわせを実施します。 Secure Time 機能が使用されるタイミングは、システム側で決めており、非公開情報となります。 検証レベルでは、システム再起動時や Windows Time サービスでの時刻同期に失敗すると参照していることを確認しております。     Secure Time 機能は、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits 配下の値はインターネット上に存在する SSL サーバーと接続し、時刻を取得する仕組みとなっております。 つまり、https:// のサイトにアクセスすると、問題なくこのレジストリキー配下の値が更新されます。 インターネットに常に接続している場合は問題なく運用することができます。   しかし、Windows 10 をインターネット接続が限定的な環境もしくは、接続しない環境においてご利用いただいている際に、SecureTimeLimits 配下の値が適切に更新されず、正しいシステム日時が設定されない場合がある状況が発生することがあります。 この状態で運用を継続すると、Secure Time 機能が働いた時に、突然時刻が変わってしまいます。     この事象を回避するためには、以下のレジストリキーの値を変更いただき、、Secure…

0

DHCP フェールオーバー機能と DHCP の NAP 強制を併用する場合の注意点について

皆様、こんにちは。 DHCP (Dynamic Host Configuration Protocol) サーバーと NAP (Network Access Protection) をご利用いただく際、NAP クライアントの検疫動作について制限となる動作をご報告致します。 DHCP サーバーにおいて、NAP 強制を構成する方法を下記サイトにて公開しております。 ・チェックリスト : DHCP の NAP 強制を構成する https://technet.microsoft.com/ja-jp/library/cc772356(v=ws.10).aspx また、Windows Server 2008 R2 環境において冗長構成を実現する方法として、ブログ情報を下記サイトにて公開しております。 ・NAP internal-4 ~ 予期しない検疫チェックの結果: DHCP サービスのタイムアウト編 ~ http://blogs.technet.com/b/jpntsblog/archive/2010/06/21/nap-internal-4-dhcp.aspx ・Tech Net Blog – “Windows Server 使い倒し塾” – NAP DHCP におけるサーバーの冗長化構成 http://blogs.technet.com/b/windowsserverjp/archive/2010/06/16/3338303.aspx Windows Server 2012 以降、DHCP サーバーの冗長化を実現する方法として、DHCP フェールオーバーの機能が実装されました。 上記ブログの構成を、DHCP フェールオーバーで構成する場合、下記に示す挙動が確認できております。 当該挙動については現時点 (2016/3/4 時点)…

0