サポート技術情報 (3/14 – 3/21)

みなさん、こんにちは。   3/14-3/21 に新たに公開されました Active Directory およびネットワークに関するサポート技術情報 (Knowledge Base) のリストをご紹介いたします。   ドメイン参加の際などに netdom コマンドをご利用されている方も多いのではないでしょうか。 今週は、文書番号 969030 にて Windows Server 2008 においてnetdom コマンドを使用して、 SID フィルタの無効化を実施した際にエラーが表示されるという問題についてご案内を差し上げています。   このほかにも、近年需要が高まってきました証明書サービスに関する技術情報も多く公開されています。お使いになられているかたは是非ご一読ください。   文書番号 タイトル 966321 The TCP receive window size cannot be changed by configuring the registry on the passive open side when a TCP/IPv6 connection is used on a…

0

サポート技術情報 (3/7 – 3/14)

みなさん、こんにちは。 桜も咲き始め、もう春ですね!   3/7-3/14 に新たに公開されました Active Directory およびネットワークに関するサポート技術情報 (Knowledge Base) のリストをご紹介いたします。   最近は、Windows Server 2008 にてドメイン環境を構築されている方も多いのではないでしょうか。 今週は、文書番号 959517 にて Windows Server 2008 における Kerberos 認証に関わる障害と修正を公開しています。これは、Windows Server 2008 の KDC で PAC の検証エラーが発生し、 TGS のリクエストを拒否する可能性があるという障害についての情報です。   このほかにも、Windows Server 2003 R2 から新機能で、近年ますます需要が高まっている分散ファイルシステム (DFSR) についても、文書番号 968596 にて、あらたな障害事例の報告を公開しています。DFSR で ウィルススキャンソフトの影響でファイルやフォルダが競合しても Conflict and Deleted フォルダに移動されることなく破棄されてしまうことがあるという問題についての情報です。   今週もぜひ、あらたな公開情報をご一読いただき、お役に立てていただけますと幸いです。   <リスト一覧> 959517 Windows…

0

アカウントがロックアウトされる

アカウント ロックアウトポリシーは指定された期間内で間違ったパスワードを指定された回数入力された場合にアカウントを無効にする機能です。ユーザー アカウントはログオン等の通常のユーザーとしての用途のほか、サービスやアプリケーション等にも利用されます。 マイクロソフトには、意図せずアカウントがロックアウトされてしまうというお問い合わせ寄せられることがありますが、この問題は OS の機能で既にある監査ログ並びに一般公開されているツールにより原因を追究できることが多く、調査には内部ツールを必要としません。ここでは、意図しないアカウントロックアウトが繰り返し発生する場合の調査方法について説明します。 1. ロックアウトの原因となる認証の要求元を特定する。 アカウント ロックアウトの原因追及には認証要求の発生元システムを特定する必要がありますが、特定方法の前に Windows の認証時の動作について説明します。 クライアントからの認証要求はドメインコントローラにより処理されます。クライアントは接続するドメイン コントローラを DNS もしくは既に通信をしている場合にはキャッシュしている情報から取得し、取得したドメインコントローラに対して設定されたパスワードなどの情報を元に作成された情報を認証要求として送信します。情報が正しい場合にはドメイン コントローラから認証要求が正しい事がクライアントに伝えられ、認証は成功します。逆に認証要求の情報が間違っている場合には、他のドメインコントローラにてユーザーのパスワードが更新されたが、まだ複製がされてきていない事により自身の保持する情報が古くなっている可能性がある為、該当ドメイン コントローラは最新の情報を持つことが保証された PDC エミュレーターの役割を持つ DC (以降 PDC) に問い合わせます。PDC においてもパスワードが誤っていると判断された後、クライアントに認証要求の情報が誤っている事が通知されます。 クライアントからの認証要求はそれを処理したドメイン コントローラの監査ログ (アカウント ログオン<失敗>) に記録されます。通常はどのドメインコントローラが認証しているのかが分からない為、以下の手順にて全ドメイン コントローラにて監査ログを有効にします。 グループ ポリシーで監査ログを有効にする。 1. [Active Directory ユーザーとコンピュータ] を開き [Domain Controllers] OU を右クリックし、コンテキスト メニューから [プロパティ] を選択します。 2. [Domain Controllers のプロパティ] – [グループポリシー] タブ にて “Default Domain…

0

サポート技術情報 (3/1 – 3/7)

みなさん、こんにちは。   先週 3/1-3/7 新たに公開されました Active Directory に関するサポート技術情報 (Knowledge Base) のリストをご紹介いたします。   マイクロソフトでは、様々な障害情報や機能説明などの有用な情報を、こうしたサポート技術情報として公開しています。 私たちのBlogにて、最新の技術情報を定期的にご案内していければと思います。   お客様の環境における安全な運用のための最新の情報のキャッチアップにお役にたてば幸いです。   965493 You may encounter the several smart card failure problems after you raise the domain functional level to Windows Server 2008 R2 domain function level in a network environment 968703 Microsoft Support Policy for NIC Teaming with Hyper-V…

0

ドメイン環境で使用されるポートについて

ファイアウォールでドメインコントローラを守りたい ドメイン コントローラ (DC) を外部からの攻撃から保護するため、DC とクライアント並びにDC 間にファイア ウォールを設けたいと考えることがあるかと思います。しかし、だからといって何でもファイアウォールでブロックしてしまうと、ログオンや DC 間の複製までもができなくなってしまいます。そのため、ファイアウォールにてポートやサービスの例外を設定して、Active Directory 環境として必要な通信を許可する必要があります。   今回は Active Directory 環境で必要となるポートについてまとめてみました。   1. ドメイン メンバーが利用するポート ドメインのメンバーがドメインに参加する、またはドメインにログオンする際には、そのドメインの DC と通信する必要があります。 この時に DC 側、クライアント側で使用されるポートの一覧は以下の通りです。   ポートを使用するサービス プロトコル クライアント側ポート番号 DC 側ポート番号 PING ICMP     DNS TCP/UDP 一時ポート 53 Kerberos TCP/UDP 一時ポート 88 NTP UDP 123 123 RPC TCP 一時ポート 135 RPC TCP…

0