FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。 今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。   1. PDC エミュレーターの時刻同期について ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。 このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。 多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。   2. FSMO の役割を転送する場合の注意 PDC エミュレーターは、FSMO の役割のひとつです。 FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。 このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。   設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。 英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。 “It’s Simple!” ? Time Configuration in Active Directory https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/   なお、時刻の同期は、前述の通り、PDC…

0

PowerShell のスクリプトの出力結果が 80 文字に切り詰められる

こんにちは、Windows プラット フォーム サポートの進藤です。   PowerShell のスクリプトをコマンド プロンプト等から実行したときに、スクリプトの出力結果が 79 文字 (改行を含めると 80 文字) に切り詰められる現象が発生することがあります。 今回は、この 80 文字で切れてしまう現象とその対処策について紹介します。     現象 値を取得してファイルに出力する PowerShell のスクリプトを作成します。   下記は AD からOUのリストを取得して、その結果をファイルに出力する PowerShell のスクリプトのサンプルです。   Get-OUList.ps1   続いて、上記で作成したPowerShell スクリプトを起動するためのバッチファイルを作成します。   Output.bat   上記で作成したOutput.bat を実行すると、下記のように出力結果 (list.txt) の内容が 79 文字 (改行を含めると 80 文字) で切れる現象が発生する場合があります。   原因 Select-Object の出力は PowerShell ホストへの出力を前提としているため、ターミナルのサイズに合わせて切りつめらるのが想定される動作になります。 既定ではターミナルの画面バッファー サイズが 80 に設定されているため、出力結果が…

0

アカウント ロックアウト トラブルシューティング (第三回) – アカウント ロックアウトの調査に役立つツール

第一回 はアカウント ロックアウトの仕組みと主な要因について、また 第二回 ではアカウントロックアウトの具体的な調査方法について解説しました。 最終回となる本稿では、アカウント ロックアウトの調査に役立つツールを 2 つほど紹介します。   1. Account Lockout and Management Tools 本ツールはアカウント ロックアウトの原因調査のために用意されたツールで、下記のサイトで公開しています。  Account Lockout and Management Tools  http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=18465 上記のサイトよりダウンロードした ALtool.exe を実行して任意の場所に展開すると、アカウント ロックアウトの調査に役立つツールが複数含まれています。インストールは不要です。Windows 7 などのクライアント OS でも利用することが可能です。今回はこの中に含まれる EventCombMT.exe と LockoutStatus.exe を紹介します。   EventCombMT.exe ドメイン コントローラーが複数台ある環境では、全台のドメイン コントローラーにログオンして 1 台ごとに監査ログを確認していては大変手間が掛かってしまいます。このような場合は、EventCombMT.exe が便利です。EventCombMT.exe は、複数のドメイン コントローラー上のセキュリティ ログから特定のイベント ID のイベントを検索して、テキストファイルに出力することができます。     [Tips] EventCombMT.exe の利用方法 1….

0

アカウント ロックアウト トラブルシューティング (第二回) – アカウント ロックアウトの調査方法

第一回 ではアカウント ロックアウトの仕組みと主な要因について解説しました。しかしながら、誤ったパスワードは、ユーザーが普段使用しているクライアントに設定されているとは限りません。第二回目の本稿では、誤ったパスワードを設定しているコンピューターを特定するための方法について解説します。   アカウント ロックアウトの調査の流れ アカウントロックアウトの調査は、次の順番に作業を進めます。 STEP1: 監査ログの有効化 STEP2: 認証元の特定 STEP3: 原因の特定   STEP1:  監査ログの有効化 ドメイン コントローラー全台で下記の監査の設定 (成功と失敗の両方) を有効にして、どのコンピューターから誤った認証が行われているか確認します。 「アカウント ログオン イベントの監査」 「アカウント管理の監査」 「ログオン イベントの監査」   [Tips] 監査ログの適用先 ドメインのグループ ポリシーで設定する場合は、Default Domain Controllers Policy などに設定します。 これにより、ドメイン コントローラー全台に上記の監査を有効にすることができます。   [Tips] 監査を有効にすることによる影響 監査の有効化による影響としては、セキュリティ ログに書き込まれるイベントの数が増えることが挙げられます。セキュリテイログなどのイベントビューアーに記録される各ログは、最大サイズを超えると古いログが消去されるため、環境によっては数時間しか取得できないといった場合があるかもしれません。その場合は、「オブジェクト アクセスの監査」や「プロセス追跡の監査」などの非常に多数のイベントが記録される監査が有効になっていないか確認します。もしも「オブジェクト アクセスの監査」や「プロセス追跡の監査」が有効になっている場合は、アカウントロックアウトの調査のために無効化することも検討してみてください。   [Tips] アカウント ロックアウトに関わるイベント ID Windows Server 2008 以降のドメイン コントローラーでは、アカウント ロックアウトに関連するイベントとして、下記の ID のイベントが記録されます。 ID…

0

アカウント ロックアウト トラブルシューティング (第一回) – アカウント ロックアウトの仕組みと主な要因

  こんにちは、Windows プラット フォーム サポートの進藤です。   セキュリティの向上の一環として、ユーザーが連続してパスワードの入力に失敗した場合に、アカウントをロックアウトさせる設定をされている方は多くいらっしゃるかと思います。 しかしながら、実際にアカウント ロックアウトの設定を行ってみたところ、ユーザーが入力ミスをしていない (少なくともユーザーからはそのように申告をうけている) にも関わらず、アカウントがロックアウトされてしまい、お困りの管理者の方もいらっしゃるのではないでしょうか。 今回はアカウント ロックアウトのトラブルシューティングの方法を3回に分けて解説します。 第一回  アカウント ロックアウトの仕組みと主な要因 (本稿) 第二回  アカウント ロックアウトの調査方法 第三回  アカウント ロックアウトの調査に役立つツール また、今回のテーマはドメイン コントローラーの監査ログにログオン失敗のイベントが記録される場合の調査にも役立ちますので、参考にしていただければと思います。   1. アカウント ロックアウトの設定 Active Directory ではグループ ポリシーの中に、ユーザーが一定回数以上認証に失敗した場合に、そのユーザーのアカウントをロックアウトさせるための設定があります。 ※Default Domain Policy で設定を行います。既定では無効となっています。 アカウント ロックアウトのポリシー [コンピューターの構成] -[ポリシー] – [Windows の設定] – [セキュリティの設定] – [アカウント ポリシー] – [アカウント ロックアウトのポリシー] パスワードのポリシー [コンピューターの構成] -[ポリシー] – [Windows…

0

Active Directory ユーザーとコンピューターの一覧をカスタマイズしたい

こんにちは、Windows プラットフォームサポートの進藤です。 今回は、ユーザーやグループなどの管理者の方への Tips です。 Active Directory ユーザーとコンピューターで一覧を表示すると、既定では、下記のように [名前]、[種類]、[説明] が表示されます。 この一覧に表示される項目は、[表示] メニューの [列の追加と削除] から変更することができますが、[利用可能な列] に表示される項目は必ずしも全ての属性ではなく、一部の属性だけとなっています。 実は、Active Directory の構成情報を変更することで、[利用可能な列] に表示される項目をカスタマイズすることができます。   今回は、グループのプロパティにある [メモ] を追加する方法を例にとってカスタマイズする方法を解説します。 最終的には、下記のように一覧の中に [メモ] の列が表示されることを目指します。     1. 属性名の確認 1-1.  まずは ADSI エディターを使用して、[メモ] が登録されている属性名を確認します。 [スタート] – [管理ツール] – [ADSI エディター] を起動します。 ADSI エディターが起動したら、左ペインの [ADSI エディター] を右クリックして [接続] をクリックします。  1-2.  [接続の設定] 画面が表示されたら、既定の状態のまま [OK] をクリックします。 1-3.  左パネルから、[メモ] に値が登録されているグループが所属している…

0