Microsoft Remote Server Administration Tools (RSAT)

みなさん、こんにちは! 今日は、お使いになると便利な管理ツールのインストール手順をご紹介します。 もうすでにご活用いただいている皆様も多いかと思いますが、すこし手順が複雑なツールなので、おさらいとしてもお役に立てれば幸いです。わたしもこの手順をすっかり忘れていて苦労したことがあります。。。   Windows Vista / Windows Server 2008 においては、新しい管理ツールMicrosoft Remote Server Administration Tools (RSAT) をご用意しています。 このツールは、以前のバージョンの OS において Administration Pack として提供されていたツールの後継版で、同様に以前のバージョンの OS にありました Support Tools に含まれている一部のツールも同梱されています。 (Windows Vista 以降は、Administration Pack や Support Tools はインストールできません。) このツールを導入することで、管理者はサーバを管理するための様々な機能を使用することができます。 Active Directory環境においては、NETDOM, NLTEST などのコマンドや、グループ・ポリシー・管理コンソール(GPMC)を利用される管理者の方が多いかと思いますが、これ等のツールは RSATに含まれています。   特にVista RTMでは GPMCがインストールされていますが、SP1 を適用すると GPMC が削除されてしまいます。このため、Vista SP1 においては、RSAT を導入していただく必要があります。突然 GPMCが消えてしまった!と驚いた皆様、RSAT にてご用意しておりますので、インストールくださいますようお願いします。  …

3

Windows PKI – その2 – ルート証明書更新プログラムとは?

みなさん、こんにちは。 Windows プラットフォーム 村木由梨香です。   Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します 前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。 ・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要 ・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか? 訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。 Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。   ============================== Microsoft ルート証明書更新プログラムとは何か? ============================== ●Microsoft ルート証明書更新プログラムとは? Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。 約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。 これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows…

2

予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?

目次 概要 種類 Receive Side Scaling TCP Chimney Offload Network Direct Memory Access 既定値 既定の設定値 設定値と実効状態 TCP Chimney Offload と NetDMA の排他制御 Automatic Mode (自動モード) Itanium 版 設定方法 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定 RSS TCP Chimney Offload NetDMA Windows Server 2003 の更新プログラムによる無効化 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定確認 Windows Server…

2

ドメインにログオンできない ~ セキュア チャネルの破損 ~

はじめまして! Windows プラットフォーム サポート担当の石丸 宰 (いしまる つかさ) です。今日は、”セキュア チャネルの破損” が原因でドメインにログオンできなくなる現象について、その見分け方と対処方法をご紹介したいと思います。1. “セキュア チャネル” と “コンピューター アカウント パスワード”Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下の図のように、クライアントごとに個別に作成されます。* なお、 “クライアント” はドメインのメンバーを指しており、 Windows Server 2003 / 2008 も DC でなければ、以下の説明や図では、”クライアント” に含まれます。DC とクライアントはお互いに、セキュア チャネルを確立するために必要となる “コンピューター アカウント パスワード” を持ちあっています。このパスワードは、DC 上ではコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域にそれぞれ格納されています。クライアント コンピューターが起動すると、まず最初にコンピューターアカウントのパスワードを用いて資格情報を生成し、DC にコンピューター認証の要求を送信します。認証に成功すると、認証処理の中で生成されたセッション・キーを用いてクライアントと DC の間にセキュア チャネルが確立されます。前述の通り、ユーザーのドメインへのログオン要求などの通信はセキュア チャネルを用いて行われるような仕組みになっているので、コンピューター認証に失敗し、セキュアチャネルが確立ができないような状況ではユーザーはドメインにログオンすることはできません。何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア…

1

どんなお問い合わせが多い?

こんにちは。そして、はじめまして。 Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。 リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。 では、早速。 1. ドメイン ログオン / ドメイン参加 ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。 2. グループ ポリシー Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ…

1

AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成 それぞれの詳細を後述致します。 —————————————————————- 1. 証明書の取得 —————————————————————- ご利用になる認証機関から SSL…

0

FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。 今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。   1. PDC エミュレーターの時刻同期について ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。 このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。 多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。   2. FSMO の役割を転送する場合の注意 PDC エミュレーターは、FSMO の役割のひとつです。 FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。 このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。   設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。 英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。 “It’s Simple!” ? Time Configuration in Active Directory https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/   なお、時刻の同期は、前述の通り、PDC…

0

ドメイン コントローラーのコンピューター名の変更における注意事項について

こんにちは。Windows プラットフォーム サポートの馬場です。 今回は、過去に名前変更を行ったことがあるドメイン コントローラーが含まれている、ドメイン環境における注意点についてご案内します。 OS のバージョン アップによるドメイン コントローラーの移行作業等で、ドメイン コントローラーのコンピューター名を変更することがあるかと思います。 以下の公開情報でも紹介されている通り、ドメイン コントローラーのコンピューター名を変更した際に、AD データベースにある SYSVOL の複製を行うための FRS メンバー オブジェクトの名前は、新しい名前に応じて変更されず、元のコンピューター名のままのオブジェクトとなります。 タイトル: Windows Server 2003 ドメイン コントローラの名前を変更するには SYSVOL メンバ オブジェクトの名前を変更する必要がある URL: https://support.microsoft.com/ja-jp/kb/316826 公開情報に記載されている通り、FRS メンバー オブジェクトの名前が元のコンピューター名のままであると、各ドメイン コントローラーは複製を行うメンバーの情報を正しく保持できないため、その後の移行作業等で SYSVOL の複製に失敗するといった影響がでる可能性があります。 そのため、ドメイン コントローラーの名前を変更した後は FRS メンバー オブジェクトの名前を、ADSI エディターを使用して手動で変更する必要があります。(手順は後述) なお上述の KB316826 には記載はありませんが、この事象は、Windows Server 2003 以降の以下の OS でも同様に発生します。 Windows Server 2008 / Windows Server…

0

権限のある DNS サーバーからの Upward Referral 応答

こんにちは、Windows プラットフォーム サポート チームの高田です。 今回は、Microsoft Windows DNS, DHCP and IPAM Team のブログ “Upward Referral Responses from Authoritative DNS Servers” (2015 年 9 月 3 日 米国時間公開) を翻訳した記事です。   DNS サーバーの挙動で広く議論されるものの 1 つとして、自身が権限を持たない (自身で保持しないゾーン) に対する名前解決要求を受けた場合の応答が挙げられます。2012 R2 以前の Windows DNS サーバーでは、再帰問い合わせが無効化されている場合、Upward Referral 応答 としてルート ネーム サーバーの一覧を返していました。この挙動により、攻撃者が DNS サーバーにランダムなクエリを送信した場合に、何倍ものサイズの応答を生成させる (増幅させる) ことができるため、攻撃者によって悪用される可能性があります。この何倍ものサイズの応答を生成させる (応答内容を増幅させる) 攻撃による影響は Windows Server 2016 の DNS サーバーで追加された…

0

許可する最小の DHE キーの鍵長のサイズ変更の影響について

こんにちは、Windows プラットフォーム サポートの馬場です。 今回は、2016 年 7 月のWindows 更新プログラムの適用後に、一部の Web サーバー等の SSL/TLS サーバーに接続に失敗する問題について紹介します。 なお、今回紹介する問題は、更新プログラムに含まれる不具合ではなく、セキュリティを強化したために発生する事象であり、対処策を実施いただくとクライアント側のセキュリティ レベルが下がることになる点についてご理解ください。 なお、SSL/TLS サーバーが Windows OS であり、IIS などをご利用の環境では発生しない問題となりますので、ご安心ください。   どのような問題なのか ? Web サーバーへの HTTPS 通信など、TLS を用いてサーバーに接続することがあると思います。 クライアント PC に Windows 更新プログラムの適用以前には正常に接続できていたサイトでも、適用後に接続できなくなったという事象について何件かお問い合わせをいただいております。 この問題は、以下の 2 つの修正プログラムでの動作変更により、1024 ビット未満の DHE 鍵を使用する Web サーバーへ TLS 通信を試みた場合、接続が拒否されるという事象です。 タイトル : [MS15-055] Schannel の脆弱性により、情報漏えいが起こる (2015 年 5 月 12 日) URL…

0