KB3200970 適用後にインターネット接続が失敗する現象と、対処方法について

問題の概要 Windows Update により KB3200970 の更新プログラムを適用後、インターネット接続ができなくなる問題が発生することがあります。 この問題は、Windows 10 バージョン 1607 で KB3200970 を適用して以降、OS 再起動を実施していないコンピューターで発生します。 この問題が発生すると、ネットワーク アダプターの IP アドレスが意図せず APIPA (169.254.x.x の範囲の IP アドレス) となり、ネットワーク通信ができない状態となります。   原因 KB3200970 の更新プログラムを適用して以降、OS 再起動をしていない等、いくつかの条件によって CDPSVC サービスが停止することで、IP アドレスの取得に失敗します。   解決方法 本問題を修正する更新プログラム KB3206632 (2016/12/14 に公開) を適用します。   タイトル : December 13, 2016—KB3206632 (OS Build 14393.576) URL : https://support.microsoft.com/en-us/help/4004227/windows-10-update-kb3206632   更新プログラムの適用方法は、以下をご参照ください。 a. Windows…

0

AD FS の証明書更新手順(トークン署名証明書、トークン暗号化解除証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 前回に引き続き、本エントリではトークン署名証明書、トークン暗号化解除証明書の更新手順をご紹介いたします。 トークン署名証明書、トークン暗号化解除証明書は AD FS が発行する自己証明書であり、既定では1年に1回自動的に新しい証明書の作成、更新処理が行われます。 これを、自動ロールオーバー機能と呼びます。 自動ロールオーバー機能は、具体的には以下のように動作します。 1. 有効期限が切れる 20 日前に、セカンダリのトークン署名/トークン暗号化解除証明書を作成します。 2. 上記 1 でセカンダリの証明書が作成されてから 5日後に、セカンダリの新しい証明書がプライマリとなり、実際に利用されるようになります。 ※ この 5日間の間に、証明書利用者信頼に新しい証明書を登録する必要があります。 ここでは、これらの証明書を手動で更新する手順をご案内いたします。 また、補足として証明書の有効期限を既定の 1年 から変更する方法についても併せてご紹介いたします。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. セカンダリのトークン署名/トークン暗号化解除証明書を作成 2. 証明書利用者信頼 (Office 365) の証明書情報を更新 3. セカンダリのトークン署名/トークン暗号化解除証明書をプライマリに昇格 4. Active Directory Federation Services…

0

AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。 今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。 本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。 – 対象リリース Windows Server 2012 R2 (AD FS 3.0) – 更新手順 以下の流れで更新作業を行います。 —————— 手順の概要 —————— 1. 証明書の取得 2. SSL サーバー証明書、ルート証明書、中間証明書のインストール 3. SSL サーバー証明書のアクセス権設定 4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定 5. AD FS の SSL サーバー証明書を更新 6. WAP サーバーを再構成 それぞれの詳細を後述致します。 —————————————————————- 1. 証明書の取得 —————————————————————- ご利用になる認証機関から SSL…

0

FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。 今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。   1. PDC エミュレーターの時刻同期について ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。 このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。 多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。   2. FSMO の役割を転送する場合の注意 PDC エミュレーターは、FSMO の役割のひとつです。 FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。 このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。   設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。 英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。 “It’s Simple!” ? Time Configuration in Active Directory https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/   なお、時刻の同期は、前述の通り、PDC…

0

ドメイン コントローラーのコンピューター名の変更における注意事項について

こんにちは。Windows プラットフォーム サポートの馬場です。 今回は、過去に名前変更を行ったことがあるドメイン コントローラーが含まれている、ドメイン環境における注意点についてご案内します。 OS のバージョン アップによるドメイン コントローラーの移行作業等で、ドメイン コントローラーのコンピューター名を変更することがあるかと思います。 以下の公開情報でも紹介されている通り、ドメイン コントローラーのコンピューター名を変更した際に、AD データベースにある SYSVOL の複製を行うための FRS メンバー オブジェクトの名前は、新しい名前に応じて変更されず、元のコンピューター名のままのオブジェクトとなります。 タイトル: Windows Server 2003 ドメイン コントローラの名前を変更するには SYSVOL メンバ オブジェクトの名前を変更する必要がある URL: https://support.microsoft.com/ja-jp/kb/316826 公開情報に記載されている通り、FRS メンバー オブジェクトの名前が元のコンピューター名のままであると、各ドメイン コントローラーは複製を行うメンバーの情報を正しく保持できないため、その後の移行作業等で SYSVOL の複製に失敗するといった影響がでる可能性があります。 そのため、ドメイン コントローラーの名前を変更した後は FRS メンバー オブジェクトの名前を、ADSI エディターを使用して手動で変更する必要があります。(手順は後述) なお上述の KB316826 には記載はありませんが、この事象は、Windows Server 2003 以降の以下の OS でも同様に発生します。 Windows Server 2008 / Windows Server…

0

権限のある DNS サーバーからの Upward Referral 応答

こんにちは、Windows プラットフォーム サポート チームの高田です。 今回は、Microsoft Windows DNS, DHCP and IPAM Team のブログ “Upward Referral Responses from Authoritative DNS Servers” (2015 年 9 月 3 日 米国時間公開) を翻訳した記事です。   DNS サーバーの挙動で広く議論されるものの 1 つとして、自身が権限を持たない (自身で保持しないゾーン) に対する名前解決要求を受けた場合の応答が挙げられます。2012 R2 以前の Windows DNS サーバーでは、再帰問い合わせが無効化されている場合、Upward Referral 応答 としてルート ネーム サーバーの一覧を返していました。この挙動により、攻撃者が DNS サーバーにランダムなクエリを送信した場合に、何倍ものサイズの応答を生成させる (増幅させる) ことができるため、攻撃者によって悪用される可能性があります。この何倍ものサイズの応答を生成させる (応答内容を増幅させる) 攻撃による影響は Windows Server 2016 の DNS サーバーで追加された…

0

許可する最小の DHE キーの鍵長のサイズ変更の影響について

こんにちは、Windows プラットフォーム サポートの馬場です。 今回は、2016 年 7 月のWindows 更新プログラムの適用後に、一部の Web サーバー等の SSL/TLS サーバーに接続に失敗する問題について紹介します。 なお、今回紹介する問題は、更新プログラムに含まれる不具合ではなく、セキュリティを強化したために発生する事象であり、対処策を実施いただくとクライアント側のセキュリティ レベルが下がることになる点についてご理解ください。 なお、SSL/TLS サーバーが Windows OS であり、IIS などをご利用の環境では発生しない問題となりますので、ご安心ください。   どのような問題なのか ? Web サーバーへの HTTPS 通信など、TLS を用いてサーバーに接続することがあると思います。 クライアント PC に Windows 更新プログラムの適用以前には正常に接続できていたサイトでも、適用後に接続できなくなったという事象について何件かお問い合わせをいただいております。 この問題は、以下の 2 つの修正プログラムでの動作変更により、1024 ビット未満の DHE 鍵を使用する Web サーバーへ TLS 通信を試みた場合、接続が拒否されるという事象です。 タイトル : [MS15-055] Schannel の脆弱性により、情報漏えいが起こる (2015 年 5 月 12 日) URL…

0

PowerShell のスクリプトの出力結果が 80 文字に切り詰められる

こんにちは、Windows プラット フォーム サポートの進藤です。   PowerShell のスクリプトをコマンド プロンプト等から実行したときに、スクリプトの出力結果が 79 文字 (改行を含めると 80 文字) に切り詰められる現象が発生することがあります。 今回は、この 80 文字で切れてしまう現象とその対処策について紹介します。     現象 値を取得してファイルに出力する PowerShell のスクリプトを作成します。   下記は AD からOUのリストを取得して、その結果をファイルに出力する PowerShell のスクリプトのサンプルです。   Get-OUList.ps1   続いて、上記で作成したPowerShell スクリプトを起動するためのバッチファイルを作成します。   Output.bat   上記で作成したOutput.bat を実行すると、下記のように出力結果 (list.txt) の内容が 79 文字 (改行を含めると 80 文字) で切れる現象が発生する場合があります。   原因 Select-Object の出力は PowerShell ホストへの出力を前提としているため、ターミナルのサイズに合わせて切りつめらるのが想定される動作になります。 既定ではターミナルの画面バッファー サイズが 80 に設定されているため、出力結果が…

0

「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」(2016 年 11 月 9 日) を適用すると一部シナリオを除き NTLM でのパスワード変更が再度可能となる

こんにちは、プラットフォーム サポート チームの高田です。   今回は「MS16-137: Windows 認証方法用のセキュリティ更新プログラム」について情報をお知らせいたします。 MS16-137: Description of the security update for Windows authentication methods: November 8, 2016 https://support.microsoft.com/en-us/kb/3198510 (英語) https://support.microsoft.com/ja-jp/kb/3198510 (日本語) 上記の更新プログラムには先月更新されました MS16-101 の動作をさらに変更する更新が含まれております。MS16-101 により影響を受けたお客様は、本記事をご一読いただけますと幸いです。MS16-101 については、以下の記事も参照ください。   2016/10/19 更新:「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある   MS16-137 の概要 上記更新プログラム MS16-137 は、特権の昇格に関する脆弱性を修正します。攻撃者がこの脆弱性を悪用した場合、特権のないユーザー アカウントの権限を管理者に昇格させる可能性があります。また攻撃者は、NTLM のパスワード変更要求を操作するように特別に細工されたアプリケーションをローカルで実行することにより、特権を昇格させようとする可能性があります。MS16-137 を適用することで、これらの問題が解消します。   MS16-137 で行われた動作変更 MS16-137 では、当初 MS16-101 で実装された「パスワード変更時に Kerberos…

0

グループ ポリシーを使用して セキュリティが強化された Windows ファイアウォールのポリシーを変更する場合の注意事項

セキュリティが強化された Windows ファイアウォールの設定を配布する場合の注意点を紹介致します。   グループ ポリシーの管理 (gpmc.msc) から GPO の [編集] を選択し、グループ ポリシー管理エディターを起動、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目を編集することで、セキュリティが強化された Windows ファイアウォールの設定を変更・配布することが可能です。   図 1. セキュリティが強化された Windows ファイアウォール配下   しかし、エディターを閉じずに続けて 「図 2. 管理用テンプレート配下」 のツリー配下の項目を続けて編集すると、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目の変更内容が削除されます。           図 2. 管理用テンプレート配下   これは、セキュリティが強化された Windows ファイアウォールの ポリシー編集内容の一時保存領域が、管理用テンプレートのポリシー編集によって初期化されることにより発生致します。   セキュリティが強化された Windows ファイアウォールの ポリシー編集内容は、レジストリ上に一時的な GUID として格納されます。 その後、管理用テンプレートのポリシー編集内容を保存する際に、新たに別の GUID を使用して保存を行いますが、このタイミングで前の GUID とのハンドルは削除され、編集内容も初期化されます。 これは、セキュリティが強化された Windows…

0