Microsoft Remote Server Administration Tools (RSAT)

みなさん、こんにちは! 今日は、お使いになると便利な管理ツールのインストール手順をご紹介します。 もうすでにご活用いただいている皆様も多いかと思いますが、すこし手順が複雑なツールなので、おさらいとしてもお役に立てれば幸いです。わたしもこの手順をすっかり忘れていて苦労したことがあります。。。   Windows Vista / Windows Server 2008 においては、新しい管理ツールMicrosoft Remote Server Administration Tools (RSAT) をご用意しています。 このツールは、以前のバージョンの OS において Administration Pack として提供されていたツールの後継版で、同様に以前のバージョンの OS にありました Support Tools に含まれている一部のツールも同梱されています。 (Windows Vista 以降は、Administration Pack や Support Tools はインストールできません。) このツールを導入することで、管理者はサーバを管理するための様々な機能を使用することができます。 Active Directory環境においては、NETDOM, NLTEST などのコマンドや、グループ・ポリシー・管理コンソール(GPMC)を利用される管理者の方が多いかと思いますが、これ等のツールは RSATに含まれています。   特にVista RTMでは GPMCがインストールされていますが、SP1 を適用すると GPMC が削除されてしまいます。このため、Vista SP1 においては、RSAT を導入していただく必要があります。突然 GPMCが消えてしまった!と驚いた皆様、RSAT にてご用意しておりますので、インストールくださいますようお願いします。  …

3

予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?

目次 概要 種類 Receive Side Scaling TCP Chimney Offload Network Direct Memory Access 既定値 既定の設定値 設定値と実効状態 TCP Chimney Offload と NetDMA の排他制御 Automatic Mode (自動モード) Itanium 版 設定方法 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定 RSS TCP Chimney Offload NetDMA Windows Server 2003 の更新プログラムによる無効化 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定確認 Windows Server…

2

Windows PKI – その2 – ルート証明書更新プログラムとは?

みなさん、こんにちは。 Windows プラットフォーム 村木由梨香です。   Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します 前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。 ・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要 ・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか? 訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。 Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。   ============================== Microsoft ルート証明書更新プログラムとは何か? ============================== ●Microsoft ルート証明書更新プログラムとは? Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。 約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。 これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows…

2

どんなお問い合わせが多い?

こんにちは。そして、はじめまして。 Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。 リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。 では、早速。 1. ドメイン ログオン / ドメイン参加 ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。 2. グループ ポリシー Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ…

1

ドメインにログオンできない ~ セキュア チャネルの破損 ~

はじめまして! Windows プラットフォーム サポート担当の石丸 宰 (いしまる つかさ) です。今日は、“セキュア チャネルの破損” が原因でドメインにログオンできなくなる現象について、その見分け方と対処方法をご紹介したいと思います。1. “セキュア チャネル” と “コンピューター アカウント パスワード”Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下の図のように、クライアントごとに個別に作成されます。* なお、 “クライアント” はドメインのメンバーを指しており、 Windows Server 2003 / 2008 も DC でなければ、以下の説明や図では、”クライアント” に含まれます。DC とクライアントはお互いに、セキュア チャネルを確立するために必要となる “コンピューター アカウント パスワード” を持ちあっています。このパスワードは、DC 上ではコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域にそれぞれ格納されています。クライアント コンピューターが起動すると、まず最初にコンピューターアカウントのパスワードを用いて資格情報を生成し、DC にコンピューター認証の要求を送信します。認証に成功すると、認証処理の中で生成されたセッション・キーを用いてクライアントと DC の間にセキュア チャネルが確立されます。前述の通り、ユーザーのドメインへのログオン要求などの通信はセキュア チャネルを用いて行われるような仕組みになっているので、コンピューター認証に失敗し、セキュアチャネルが確立ができないような状況ではユーザーはドメインにログオンすることはできません。何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア…

1

拡張したスキーマと昇格した機能レベルのロールバック

みなさま、こんにちは。 今回は Active Directory ドメイン サービスの移行にて、万が一作業が切り戻しになった場合のための、Windows Server バックアップを使用した切り戻し手順についてご案内いたします。 ドメイン コントローラー (DC) を新しい OS へ移行する場合、スキーマ拡張が伴い、必要に応じてフォレストおよびドメインの機能レベルの昇格をご実施される方も多いのではないかと思います。この記事では、拡張したスキーマを切り戻す手順、および昇格した機能レベルを切り戻す手順についてフォーカスして説明します。特に拡張したスキーマや昇格した機能レベルを切り戻すために、1 台の DC でリストアすれば良いのか、それともすべての DC でリストアすれば良いのかという点について、疑問をお持ちになった方がいらっしゃいましたら、ご一読いただければ幸いです。 —————————————-スキーマのロールバックについて—————————————-スキーマ拡張後、もしくは機能レベルの昇格後にもし作業が切り戻しとなった場合、拡張したスキーマまたは機能レベルをロールバックするためには、基本的にすべての DC においてリストアが必要になります。これは、任意の 1 台の DC でデータベースの状態が戻ったとしても、リストアした DC 以外が保持しているデータベースの方が新しい情報を保持していると判断され、リストアした DC のデータベースの内容が上書きされてしまうためです。 ここで、それでは 1 台の DC で権限のある復元 (Authoritative Restore) を実施すれば良いのかと思われる方もいらっしゃるかもしれません。残念ながら、スキーマ パーティションに対して権限のある復元を実施しても、スキーマ情報を完全にロールバックすることはできません。これは、権限ある復元では、復元対象のオブジェクトのバージョン番号を意図的に高い数値に設定することにより、他の DC から最新の情報が複製されないようにするといった仕組みが取られているためです。つまり、スキーマ拡張前の新しいスキーマ オブジェクトが存在しない段階では、そもそもオブジェクト自体が存在しないためにバージョン番号を増加させることができず、スキーマの状態を完全に元に戻すことができないのです。 この点については下記の参考資料にも記載がありますので、参考にしていただければ幸いです。 – 参考資料Active Directory Backup and Restorehttps://msdn.microsoft.com/en-us/library/bb727048.aspx // 該当部分の抜粋******************************An authoritative restore will not…

0

SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止について

こんにちは。プラットフォームサポートの工藤です。 本記事によって案内をしておりました SHA-1 ハッシュ アルゴリズムによって署名された証明書の廃止に関するアナウンスは、情報が更新されたため、以下のサイトをご確認くださいますようお願いいたします。   TITLE: Windows Enforcement of SHA1 Certificates URL: http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx?PageIndex=2   日本語版では以下のサイト情報が最新となります。 TITLE: SHA-1 ウェブサーバー証明書は 2017 年2月から警告!ウェブサイト管理者は影響の最終確認を URL: https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/   以上、よろしくお願いいたします。                       2016 年 11 月 30 日追記     2016 年 1 月 1 日以降、 SHA-1 ハッシュ アルゴリズムによって署名されたコード証明書が廃止されます。   [IT 管理者向け] SHA-1 からの移行を推奨しています http://blogs.technet.com/b/jpsecurity/archive/2014/10/15/sha1-migration.aspx   この廃止に関しまして、マイクロソフトサポートでは多くのお客様からシナリオ別にご質問を頂いています。 この Blog では、お客様からよく頂戴するご質問に回答いたします。 ※以下の内容は 2016年 1…

0

Windows Server 2012 R2 をドメイン コントローラーとして Windows Server 2003 で構成された Active Directory ドメインに追加後、ログオン障害が発生する

こんにちは  Windows サポート チームの石井です。  今回は Windows Server 2003 で構築された Active Directory 環境に、Windows Server 2012 R2 をドメインコントローラーとして追加した場合に生じる問題 (サポート技術情報 2989971) について取り上げます。 この問題は、ドメインに参加しているコンピューター (ドメインコントローラーを含む) において、Kerberos 認証が正常に行えず、ログオンができないなどの障害を引き起こします。 詳細はサポート技術情報にも記載されていますが、改めて問題の概要とその対処策を整理してお伝えします。   1. 問題の概要=============================== Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメイン コントローラーを追加します。 追加後、 おおよそ 2 ヶ月程度経過後に、ドメインのメンバー、ドメイン コントローラーで Kerberos 認証が正常に行えなくなります。   障害は、Windows Server 2003 で構成されていたドメインにおける Windows Server 2012…

0

Analyze Security Event Log with Microsoft Message Analyzer

日本語の解説は、本記事の後半に記載しています。   Hello, my name is Kazuo Wakabayashi, Premier Field Engineer in Windows Platform technologies.  Today, I would like to explain how to analyze EventLogs easily using Microsoft Message Analyzer (MMA).  Microsoft Message Analyzer is a powerful tool for capturing, displaying, and analyzing data. You can download latest version (currently version 1.3.1) from download center….

0

ワークグループ環境での AD LDS サーバー間でレプリケーションさせるためには

こんにちは、Windows プラットフォームサポートの小幡です。   今回はワークグループ環境の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) サーバー間でレプリケーションさせるための設定手順について紹介します。   Active Directory ドメイン環境に参加している AD LDS サーバー間でレプリケーションさせる場合とは異なり、下記のような前提条件が存在するため注意が必要です。   各 AD LDS サーバー上に同名、同パスワードのローカル ユーザーを作成し、そのユーザーをインスタンスのサービス アカウントとして設定する必要がある。 各 AD LDS サーバーを同一のネットワーク セグメントに配置する必要がある。(別々のネットワーク セグメントに配置する場合には、ドメイン環境が必要です。) 各 AD LDS サーバーのワークグループ名を同一にする必要がある。   下記に既存のワークグループ環境の AD LDS サーバーに対し、レプリケーション パートナーを追加するための具体的な設定手順を案内します。   – 手順概要 [A] 既存のワークグループ環境の AD LDS サーバーで新規ユーザーを作成する [B] 新規に作成したユーザーに [サービスとしてログオン] のユーザー権利を与える [C]…

0