Microsoft Remote Server Administration Tools (RSAT)

みなさん、こんにちは! 今日は、お使いになると便利な管理ツールのインストール手順をご紹介します。 もうすでにご活用いただいている皆様も多いかと思いますが、すこし手順が複雑なツールなので、おさらいとしてもお役に立てれば幸いです。わたしもこの手順をすっかり忘れていて苦労したことがあります。。。   Windows Vista / Windows Server 2008 においては、新しい管理ツールMicrosoft Remote Server Administration Tools (RSAT) をご用意しています。 このツールは、以前のバージョンの OS において Administration Pack として提供されていたツールの後継版で、同様に以前のバージョンの OS にありました Support Tools に含まれている一部のツールも同梱されています。 (Windows Vista 以降は、Administration Pack や Support Tools はインストールできません。) このツールを導入することで、管理者はサーバを管理するための様々な機能を使用することができます。 Active Directory環境においては、NETDOM, NLTEST などのコマンドや、グループ・ポリシー・管理コンソール(GPMC)を利用される管理者の方が多いかと思いますが、これ等のツールは RSATに含まれています。   特にVista RTMでは GPMCがインストールされていますが、SP1 を適用すると GPMC が削除されてしまいます。このため、Vista SP1 においては、RSAT を導入していただく必要があります。突然 GPMCが消えてしまった!と驚いた皆様、RSAT にてご用意しておりますので、インストールくださいますようお願いします。  …

3

予期せぬ挙動が!? 新機能 Scalable Networking Pack をご存知ですか?

目次 概要 種類 Receive Side Scaling TCP Chimney Offload Network Direct Memory Access 既定値 既定の設定値 設定値と実効状態 TCP Chimney Offload と NetDMA の排他制御 Automatic Mode (自動モード) Itanium 版 設定方法 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定 RSS TCP Chimney Offload NetDMA Windows Server 2003 の更新プログラムによる無効化 Windows Server 2003、Windows Server 2003 R2、Windows XP における設定確認 Windows Server…

2

Windows PKI – その2 – ルート証明書更新プログラムとは?

みなさん、こんにちは。 Windows プラットフォーム 村木由梨香です。   Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します 前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。 ・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要 ・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか? 訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。 Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。   ============================== Microsoft ルート証明書更新プログラムとは何か? ============================== ●Microsoft ルート証明書更新プログラムとは? Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。 約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。 これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows…

2

どんなお問い合わせが多い?

こんにちは。そして、はじめまして。 Network & Active Directory 担当チームにて、前回の記事を担当しました 正木 と共にリーダーを務めています、三浦です。 リーダーということもあり、たま~に、どのようなお問い合わせを普段対応しているのですか ? というような質問を受けることがあります。今回は、お問い合わせが多いエリア (主にトラブル シューティング系) について、ざっくりと 5 つご紹介します。その上で、私たちから切り分けで無効にすることをお願いさせていただくことがある SNP (Scalable Networking Pack) という機能について、トラブル シューティングという観点から簡単にご紹介します。 では、早速。 1. ドメイン ログオン / ドメイン参加 ドメインへのログオンに時間がかかる、ログオンに失敗する、あるいはドメインの参加ができないなどのお問い合わせです。このような問題が発生した時には、 IP アドレスが取得できているか、 DNS への通信ができるのかなど、基本的なネットワークのトラブルシューティングと併せて、問題が発生している端末のイベント ビューアーを開き、システム イベントログに Netlogon のエラーなどが記録されていないか確認します。また、問題が発生している範囲、発生契機などを明らかにすることも重要です。私たちにお問い合わせいただきました際には、まず現象の発生状況を確認するために、前述のイベントログなどの情報を含む診断ログ、現象発生時の netlogon.log やネットワーク パケット データなどを解析させていただき、原因調査を実施しています。なお、Windows 7 におけるドメイン参加については、前回ご紹介させていただきましたので、まだご覧になっていない方は、是非ご参照ください。 2. グループ ポリシー Active Directory を使用するメリットとして、グループ ポリシーを使用して、クライアント端末を管理する / 設定を配布することができるということが挙げられます。管理者が作成したグループ ポリシーが正常に適用されるためには、DNS を使用した名前解決が正常にできていること、ドメイン コントローラから認証されていること、そしてもちろん、ネットワーク通信が正常にできていることが必須です。グループ…

1

ドメインにログオンできない ~ セキュア チャネルの破損 ~

はじめまして! Windows プラットフォーム サポート担当の石丸 宰 (いしまる つかさ) です。今日は、”セキュア チャネルの破損” が原因でドメインにログオンできなくなる現象について、その見分け方と対処方法をご紹介したいと思います。1. “セキュア チャネル” と “コンピューター アカウント パスワード”Active Directory ドメインのメンバーとなっているクライアントは、ドメインコントローラー (以下 DC と記述) との間の通信を保護するために、セキュア チャネルと呼ばれる通信チャネルを使用します。認証に使用される資格情報などはこのセキュアチャネルによって暗号化され、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下の図のように、クライアントごとに個別に作成されます。* なお、 “クライアント” はドメインのメンバーを指しており、 Windows Server 2003 / 2008 も DC でなければ、以下の説明や図では、”クライアント” に含まれます。DC とクライアントはお互いに、セキュア チャネルを確立するために必要となる “コンピューター アカウント パスワード” を持ちあっています。このパスワードは、DC 上ではコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域にそれぞれ格納されています。クライアント コンピューターが起動すると、まず最初にコンピューターアカウントのパスワードを用いて資格情報を生成し、DC にコンピューター認証の要求を送信します。認証に成功すると、認証処理の中で生成されたセッション・キーを用いてクライアントと DC の間にセキュア チャネルが確立されます。前述の通り、ユーザーのドメインへのログオン要求などの通信はセキュア チャネルを用いて行われるような仕組みになっているので、コンピューター認証に失敗し、セキュアチャネルが確立ができないような状況ではユーザーはドメインにログオンすることはできません。何らかの理由によって DC とクライアントが保持するコンピューター アカウントのパスワードに不整合が生じた場合、セキュア…

1

「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある

こんにちは、プラットフォームサポートチームの高田です。 速報的な内容となりますが、6 月 14 日にリリースされた「MS16-072: グループ ポリシーのセキュリティ更新プログラム」をインストールした環境において、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループ ポリシーが適用されなくなるという問題が報告されています。 これは、下記英語版の技術情報に Known Issues として記載されている事象です。 MS16-072: Security update for Group Policy: June 14, 2016 https://support.microsoft.com/en-us/kb/3163622   事象の概要 MS16-072 はグループポリシーの適用処理におけるセキュリティ上の問題に起因し、中間者攻撃 (Man-in-The-Middle) により権限の昇格が発生する脆弱性を解消します。しかしながら、この対応に伴い、セキュリティ フィルター処理を用いてユーザーに対してのみ適用するよう構成しているグループポリシーが適用されなくなります。 これは、MS16-072 がユーザーのグループポリシーを適用するにあたり、セキュリティコンテキストの扱いを変更しているためです。この設計上の動作変更により、ユーザーのコンピューターはセキュリティ上の脆弱性から保護されます。MS16-072 を適用する前では、ユーザーのグループポリシーは、ユーザーのセキュリティコンテキストで適用されます。一方、MS16-072 が適用された後では、ユーザーのグループポリシーはコンピューターのセキュリティコンテキストを用いて適用されるようになります。これにより、ユーザーに対してのみ読み取りアクセス権を付与している GPO では適用に失敗します。 なお、これは設計上の意図した動作変更であり、セキュリティ更新によるレグレッションではありません。このため本動作が修正される予定はありません。   解決策 事象を解決するには、問題の生じている GPO に、コンピューターの読み取り許可を与えます。以下に、Domain Computers に読み取りの許可を与える手順を案内いたしますので参考にしていただければと思います。 ※ KB3163622 のページには 2 通り (Authenticated Users もしくは Domain Computers の「読み取り」権限を追加する) の対処方法が記載されております。本ブログでは事象の解決に必要な、範囲を絞った権限 (Domain…

0

fSMORoleOwner 属性の Infrastructure マスターの値にご注意

こんにちは。Windows プラットフォーム サポートチームの工藤です。 今回は、ドメイン コントローラの移行作業を、適切に問題なく実施するための参考情報のひとつをご紹介させていただきます。   弊社 Windows プラットフォーム サポートでは、エラーが発生してドメイン コントローラの降格ができないというお問合せを、ときどきお寄せいただくことがあります。 具体的には、ドメイン コントローラの削除をウィザードで進めているときに、以下のようなエラーが発生する状況です。   「ディレクトリ サービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」   このエラーは、アプリケーションパーティションの fSMORoleOwner と呼ばれる属性の値がフォレスト内に存在しない DC 名になっていると発生するのですが、実は、対処方法について、弊社では以下のサポート技術情報を公開しております。   – 参考情報 インフラストラクチャ マスター役割の強制転送を行っても、アプリケーション パーティションの fSMORoleOwner 属性の値が変更されません https://support.microsoft.com/ja-jp/kb/2904044   ただ、この公開情報は、問題の発生を未然に防止する観点では書かれておりません。 そのため、本ブログでは、ドメイン コントローラーを降格させるときに、事前確認を行うポイントをエラーの内容詳細と併せて、以下におまとめしてみたいと思います。   ============================================================= A. 未然に防げる現象 ============================================================= 事前確認によって、以下のふたつの問題の発生を抑えることができます。   1. ドメイン コントローラーの降格が行えない ドメイン コントローラーの降格を行おうとすると、「ディレクトリ サービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」というエラー メッセージが表示され、降格ができません。   2. Adprep /rodcprep コマンドの実行に失敗する Adprep…

0

Windows イメージおよび構成デザイナー (ICD) を利用した、モバイル デバイスのパスワード設定のカスタマイズ方法

こんにちは。Windows プラットフォーム サポートの工藤でございます。 今回は、Windows 10 モバイル デバイスに関する技術情報をご紹介したいと思います。 組織内で利用されるモバイル デバイスの管理者は、BYOD (Bring Your Own Device) を含め、組織から提供されるデバイスを安全に使うことができるように管理しなければなりません。 例えば、デバイスが紛失するなどの万が一の有事を想定した場合、デバイスにログインするためのパスワード (PIN) を事前に設定しておけば、もし、悪意ある第三者の手に渡ってしまったとしても、すぐには悪用されないでしょう。 さらに、定期的にパスワードを変更するように構成しておけば、より安全性が高まります。 Windows 10 モバイル デバイスの場合であれば、 Windows イメージおよび構成デザイナー (ICD) を利用すれば、そのようにデバイスを管理者側で構成した上でユーザーに配布することが可能です。 今回は、この Windows ICD を使って、デバイスにログインするためのパスワード (PIN) を設定し、かつ、指定した有効期間を過ぎたパスワードの変更を求めるポリシーの設定ファイルを作成して、モバイル デバイス用のプロビジョニング パッケージ化する方法を、画像イメージを含めながらご紹介いたします。 そもそも Windows ICD が一体どのようなものかという点についての詳しい説明は今回省略しますが、その点については以下のページでご紹介していますので、まずはご参照いただければと存じます。 – 参考資料 Windows イメージングおよび構成デザイナー https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916113(v=vs.85).aspx     ================ A. 事前準備 ================ まずはじめに、Windows ADK より イメージおよび構成デザイナー (ICD) をインストールします。…

0

マイクロソフトのパスワードに関するガイダンス

こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおりです。   1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない) 非常に長いパスワード要件 (10 文字以上) を強要すると、ユーザーは攻撃者から予測しやすいパスワードを設定する可能性があります。例えば、16 文字のパスワード長を要件として設定した場合、ユーザーは fourfourfourfour や passwordpassword など、とにかく要件を満たすために簡単なパスワードを設定するかもしれません。 また、長いパスワードを要件とすると、すべてのパスワードが最低要件より数文字だけ長いものになる傾向を生みます。この結果として攻撃者は長さを絞り込むことが可能になります。さらに、長いパスワードが要求されると、ユーザーはパスワードを紙に書いたり、別のアカウントにも使ったりと、そのほかにも望ましくない行動をしがちです。   2. 文字の組み合わせ (複雑さ) に関する要件を廃止する パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。 ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。   3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする 定期的なパスワード変更も、メリットよりもデメリットの方が大きいです。このポリシーがあることで、ユーザーは、連続性のある言葉や数字をつかうようになり、攻撃者は現在のパスワードから次の新しいパスワードを予測しやすくなります。定期的なパスワード変更は長らくセキュリティ上の良いプラクティスと言われていましたが、攻撃者に対しても効果はなく、反対にユーザーの望ましくない行動を招きやすくなります。   4. わかりやすい一般的なパスワード使うことを禁止する…

0

Azure AD のトークン署名証明書ロールオーバー

こんにちは。Windows プラット フォームサポートチームの三浦です。 今回は Azure AD のトークン署名の証明書が更新される件についてのお知らせです。 すでに詳細な情報が以下のように公開されていますが、本ブログでも改めてご紹介します。 Azure Active Directory の署名キーのロールオーバー https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-signing-key-rollover/   2016/9/13 更新: 2016/8/15 に Azure AD のトークン署名証明書のロールオーバーは実施済みです。以降は基本的に 6 週間おきにロールオーバーを実施することを予定しています。なお、 2016/7/16 や 2016/8/2 に送信されたメールについては、以降のロールオーバーのタイミングでは送信されない予定です。   証明書更新の通知メールと確認手順 2016 年 7 月 16 日 (*1) に Azure Team から “ご対応のお願い: お客様が開発されたアプリ用の Azure Active Directory 証明書の更新について” というタイトルで Azure AD 証明書ロールオーバーの影響を受ける可能性があるサイトの管理者にメールが送信されています。このメールは影響を受ける可能性があるサイトの管理者に対して送信されていますが、後から述べますように必ずしも対処が必要なわけではありません。まずは、メールにも記載されています以下の手順で影響を受ける可能性があるアプリケーションの確認をお願いします。 *1 2016 年 8 月…

0