Windows Server 2008 R2 における ADMT の注意事項について

こんにちは、Windows プラットフォーム サポートの北川です。 Windows Server 2008 R2 がリリースされ、これから Active Directory ドメイン移行の検証などを行われる方もいるかと思います。現時点では ADMT(Active Directory 移行ツール) を使用した移行に関して、いくつか注意点があり、それについての新しい KB が公開されましたので、ここでご紹介いたします。元々、ADMT 3.1 は Windows Server 2008 R2 を対象としておらず、インストールすることも出来ませんが、それを Windows Server 2008 にインストールすることで、Windows Server 2008 R2 を移行先のターゲット ドメインとすることをサポートします、でもいくつか注意事項があるよ!という内容です。Windows Server 2008 R2 に完全対応した ADMT は鋭意開発中です。本リリースには、まだ時間がかかる見通しなので、現時点で移行作業を検討される場合は ADMT 3.1 を Windows Server 2008 にインストールしてお使い下さいますようお願いいたします。 – Known issues that may occur when you use…

0

NAP internal-1 ~ WSHA がチェックできる項目 (ファイアウォール、ウィルス対策ソフト、スパイウェア対策アプリケーション)

こんにちは。Windows プラットフォーム サポート担当の石丸です。 本日は、Windows Server 2008 / Vista 以降の OS で使用できる NAP 機能について解説させていただきます。 なお、この内容をご参照されるにあたって必要となるNAP の基本的な概念や、アーキテクチャーについては、下記の公開情報などをご参照ください。 TechNet – ネットワーク アクセス保護 http://technet.microsoft.com/ja-jp/library/cc753550(WS.10).aspx MSDN – Network Access Protection http://msdn.microsoft.com/en-us/library/aa369712(VS.85).aspx 本稿では、Windows の標準で使用可能な WSHA (Windows システム正常性エージェント) がチェックできる項目についてご紹介します。 大きく分類するとファイアウォール、ウィルス対策ソフト、スパイウェア対策アプリケーション、セキュリティ更新プログラムに関する状態、の計 4 つについてチェックすることができますが、セキュリティ更新プログラムについての確認の仕組みは他の 3 つの項目と比較して若干複雑です。このため、まず本稿ではファイアウォール、ウィルス対策ソフト、スパイウェア対策アプリケーションについてご紹介し、セキュリティ更新プログラムについての確認の仕組みについては、次回お伝えする予定です。 – WSHA とは? まず最初に、WSHA について簡単に解説します。 NAP では、SHA (システム正常性エージェント) と呼ばれるエージェントがクライアントコンピューター上で動作しており、クライアントの状態を収集して SoH (正常性ステートメント) という形式にとりまとめ、NPS サービス上で稼動する SHV (システム正常性検証ツール) に報告します。SHA は 1…

0

Metadata Cleanup の WebCast を公開しました!!

こんにちは、Windows プラットフォームサポート担当の北川 隆介(キタガワ リュウスケ)です。   本日 2009 年 10 月 16 日に Active Directory のリストアに関する WebCast を公開いたしました。 スピーカーは渡會が担当させていただきました。熱い心をもったエンジニアです。ハキハキした Talk をぜひ、お聞き下さい。   リストアといってもバックアップからのリストアやメタデータを削除し、新たに DC を追加する方法など手段は複数ございます。 その中のひとつの手順ではございますが、メタデータ クリーンアップに関するご説明、およびデモを作成いたしましたのでご覧いただけますと幸いにございます。 今までの WebCast の中では少し長めの構成になっていますが、2部作になっていますので、今日は [理論編] 、明日は [実践編] というようにご覧いただけます。   メタデータ クリーンナップについて、詳細をご覧になりたい方は [理論編] を。 理論は知っているけど、実際に作業する前に手順を知りたいという方は [実践編] をご覧ください。 もちろん、両方見ていただけると幸いです♪   Active Directory のリストア <http://technet.microsoft.com/ja-jp/ee676512.aspx>     「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」  

0

RPC サーバーを利用できません?

こんにちは。Windows プラットフォーム サポート担当の石丸です。 ・ RPC サーバーを利用できません ・ エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません Windows のシステム管理者の方なら、一度はこのようなエラー メッセージを見たことがあるかも知れません。 Active Directory の複製処理を GUI から実行した時とか・・・ ntdsutil コマンドで Active Directory の管理を行う時とか・・・ デバッグ ログの中にも・・・ 今日は管理者の皆様を悩ませている(かも知れない?)このエラーメッセージの意味と対処方法について解説していきます。 1.  RPC とは? RPC とは Remote Procedure Call の略で、その名の通りリモート コンピューター上に実装された機能を呼び出すための仕組みです。 しかしながら、Web や電子メールなどが普及していることからも明らかなように、昨今のシステムの多くはネットワーク上のコンピューターの機能を利用してすることを前提として動作しています。「リモートコンピューターの機能を呼び出す」 という言葉だけを見ると、HTTP や SMTP のような通常のクライアント / サーバー型のアプリケーションとの違いがわかりにくいかもしれません。そこで、まず簡単ではありますが、下記にその違いについて解説します。 – 通常のクライアント / サーバー型アプリケーション 従来のクライアント / サーバー型のアプリケーションでは、クライアント側に実装された機能によってリクエストを生成します。リクエストを受けたサーバーはその内容を読み取って、サーバー側で実装された機能によって処理を行い、レスポンスを返します。 – RPC アプリケーション 一方で、RPC アプリケーションではサーバー側に実装された機能をプロシージャーの単位で呼び出します。イメージは、下図の通りです。…

0

Windows 名前解決の順序

こんにちは。Wndows プラットフォーム サポート担当の石丸です。 今日はネットワーク通信を円滑に行うためには欠かせない名前解決が、Windows ではどのような優先順位で行われるかをご紹介します。 一般的に名前解決と言うとまず DNS を思い浮かべるかもしれませんが、Windows では DNS 以外でもブロードキャストや WINS サーバー、HOSTS ファイル、LMHOSTS ファイルなどの様々な仕組みが使われています。このため、自分が今一体何を使って名前解決を行っているかを混乱してしまうかもしれません。システムの設計段階で正しく名前解決が行われる順序を把握しておかないと、突然目的のホストとの通信が行えなくなったりと思いもよらないトラブルの原因となってしまうこともあります。 1. Winsock (Windows Socket) と NetBIOS Windows ではネットワーク通信を行うための基本的な API を提供するモジュールとして、Winsock と NetBIOS を用意しています。最近では、ほとんどの TCP/IP アプリケーションが Winsock を使用して通信を行っていますが、まだ OS が古いバージョンの頃に開発されたアプリケーションとの互換性を保つために、NetBIOS が使用されることも決して少なくはありません。 ** 例えば Windows のファイル共有などに使用される SMB 通信では、Windows Vista がリリースされた現在でも Winsock を使用するDirect Hosting SMB (445/tcp) と NetBIOS over TCP/IP (139/tcp) が併用されています。 重要なのは、Winsock…

0

DFSR の デバッグログについて

はじめまして。Windows プラットフォームサポート担当の 比留間 友一(ひるまともかず)です。 今回は、Windows Server 2003 R2 以降で導入された、DFS Replication (DFSR) のトラブルシューティングにおける影の主役、デバッグログについてお話したいと思います。 1. DFSR のデバッグログとは? DFSR サービスは、バックグラウンドで人知れず(?) 循環形式のデバッグログを出力しつづけています。 いざトラブルシューティング! となった際には、このデバッグログを解析する必要が出てくる場合も少なくありません。 私たちサポート担当者にとっては、まさしく命綱とも言える存在ですが、「デバッグログ」という名の通り、トラブルが発生しない限りは見る必要もありませんので、少しでもディスクの使用量や I/O を節約したい環境では、出力先のドライブを変えたいと思うこともあるかもしれません。 一方で、大規模なレプリケーショングループを構成している環境では、デフォルトの出力設定ではログサイズが足りず、肝心な情報が上書きされてしまっていて記録が残っていない、といった事も起こり得ます。 2. 現在のデバッグログの出力設定を確認する 既定の状態で、DFSR デバッグログは、 %windir%\debug フォルダに出力されます。 1ファイルにつき、約 200,000 行のエントリを出力し、100世代のファイルで循環出力を行います。 この設定で、およそ 50 – 100 MB程度のディスク容量を使用します。 現在ログが出力されているログファイルは DFSRxxxxx.log というファイル名で、その他のログファイルは、DFSRxxxxx.log.gz というファイル名で、GZ 形式で圧縮されています。 (xxxxx の部分には通し番号が入ります。) 現在のデバッグログの出力設定は、以下のコマンドで確認することができます。 コマンド構文 Dfsrdiag DumpMachineCfg /mem:<サーバー名> 3. デバッグログの出力設定を変更する DFSRサービスを実行しているサーバー上で、WMIC コマンドを使用することで、デバッグログの出力設定を変更することができます。 なお、デバッグログの出力設定は、レプリケーションの対象となりませんので、各サーバーごとに個別に設定する必要があります。…

0

Windows ファイアウォールの設定がきえた~?!(Windows XP)

みなさん、こんにちは! 既に多くの環境では Windows Vista が主流になっているかと思いますが、今回はまだまだお問い合わせの良くある Windows XP の Windows ファイアウォールに関する情報をご紹介いたします。 ドメイン環境の Windows Server 2003 や Windows XP の端末において、Windows ファイアウォールを無効に設定していたり、特定のポートなどに関しての例外を設定していたのに、ある日突然 Windows ファイアウォールが有効になった、または例外設定が消えていたなどという問題は無かったでしょうか。また、その後、いつの間にかその設定が元通りに戻り、例外設定が復活していたりして、「どうして??」 と思うことがあるかもしれません。 1. このような現象が発生している理由 ==================================== この問題が発生している場合、実際には設定が消えていたり、変更されているわけではなく、読み込まれているプロファイルが切り替わったことが原因である場合がほとんどです。 Windows ファイアウォールには [ドメイン プロファイル]、[スタンダード プロファイル] という二つのプロファイルが存在します。 ドメインに参加しており、ドメインにログオンした場合にはドメイン プロファイルが読み込まれ、そのプロファイルに設定されている項目が反映されます。 ドメインのメンバーでない場合や、ドメインのメンバーでもドメイン コントローラーと通信できないなどの理由で、キャッシュ ログオンをした場合などには、スタンダード プロファイルが読み込まれます。 もし、設定していた Windows ファイアウォールの例外設定が消えたと思ったら、その時にどちらのプロファイルが読み込まれているかを確認してみてください。 片方のプロファイルでしかファイアウォール無効や例外設定がされていなかった場合、もう片方のプロファイルが読み込まれていたことが原因で、設定自体が削除されたように見えてしまうことがあります。 2. どちらのプロファイルが読み込まれているかを確認する方法 =============================================================== どちらのプロファイルが読み込まれているのかを確認するには、現象が発生している端末にて、コマンド プロンプトから以下のコマンドを実行します。 図1 これを正常時と現象発生時で比較し、プロファイルが異なっている場合には、読み込まれたプロファイルが異なることが原因で現象が発生していることがわかります。 また、レジストリを確認することでも 各プロファイルにて Windows ファイアウォールが有効になっているか、例外設定がされているかを確認することができます。 Windos XP…

0

サポート技術情報 (6/7-6/20) – Windows Server 2008 R2 資料公開 編

みなさん、こんにちは! そろそろ蒸し暑い日々が多くなってきましたが、お元気にしておられますでしょうか?   <今週のPickup: Windows Server 2008 R2 資料公開> 現在ベータ版を提供しております次世代サーバー Windows Server 2008 R2 に関するホワイトペーパー、パワーポイント形式の資料などを纏めた Web サイトを公開しました!。 このページより、様々な資料がダウンロードできます。 是非いちどご参照ください!   Windows Server 2008 R2 Documentation & Resources http://www.microsoft.com/downloads/details.aspx?FamilyID=079eb880-6e15-4381-9edf-53cfaff3ab02&displayLang=en#filelist   提供資料一覧   File Name: File Size Active_Directory_Windows_Server_2008_R2_Updates.pptx 1.3 MB Building_an_Efficient_Branch_Infrastructure_Using_Windows_Server.pptx 5.5 MB Developing_Applications_For_More_Than_64_Logical_Processors_In_Windows_Server 2008_R2.pptx 1.5 MB Enabling_Test_Automation_Using_Windows_Server_2008_Hyper-V.pptx 317 KB Extending_Terminal_Services_and_Hyper-V_VDI_In_Windows_Server_2008_R2.pptx 1.1 MB IIS_in_Windows_Server_2008_R2.pptx 456 KB LiveMigrationWhitepaper_Final.doc…

0

AD Recycle Bin – Windows Server 2008 R2 Active Directory の新機能

Windows Server 2008 R2 から Active Directory にもゴミ箱の機能が追加されます。ここではその新機能についてご説明致します。 1) これまでの機能について これまでの Windows では、Active Directory にて削除してしまったオブジェクトを復元する方法は 2 通りありましたが、いずれの方法にも以下のような問題がありました。 バックアップから非 Authoritative Restore でオブジェクトを復元する バックアップを復元するにはドメイン コントローラを 「ディレクトリ サービス復元モード」 で起動する必要がある為、その間作業をするドメイン コントローラが利用できなくなる。 Deleted Objects コンテナから復元する Deleted Objects コンテナへと移動されたオブジェクトは属性の多くが削除されている為、リストア後各オブジェクトの削除された設定(所属グループ等) を手動で再設定する必要がある。 Windows Server 2008 R2 から追加される Active Directory のゴミ箱の新機能を用いる事により、これまでのように DC の機能を停止する事なく、さらにオブジェクトの全属性を復元する事が可能となりました。 2) 設定方法 Active Directory のゴミ箱を利用するにはまず Windows Server 2008 R2 のフォレスト機能レベルが必要になります。つまり、ドメイン コントローラがすべて…

0

サポート技術情報 (5/31-6/6) – RODC紹介編

サポート技術情報 (5/31-6/6) – RODC紹介編   みなさん、こんにちは!お元気ですか?   うわさのあたらしい検索エンジン Bing、もうお使いでしょうか? http://www.bing.com/?cc=jp まだ触ったことないという方、ぜひ一度おためしください! Feedback は右下の [ご意見ご感想] からお送りいただけますので、ぜひ!     <今週の Pick Up: RODC ガイド> 今週は RODC に関するガイドが幾つかあたらしく公開されましたので、この機会に少し RODC についての情報をご紹介いたします! 最近では実際にサポートのお問い合わせをいただく機会も少しずつ増えてきましたので要チェックです!   ● RODC とは? すでによくご存知の方も多いかとはおもいますが、Windows Server 2008 においては、読み取り専用ドメイン コントローラー (RODC) が新しく登場しています。 読み取り専用ドメイン コントローラー (RODC) は、Windows Server 2008 にて追加された新しい種類のドメイン コントローラです。 RODC では、Active Directoryのデータベースを読み取り専用のパーティションとして保持しており、書き込みを行うことができません。   地方営業所などの遠隔拠点地 = “ブランチオフィス” への IT…

0