権限のある DNS サーバーからの Upward Referral 応答

こんにちは、Windows プラットフォーム サポート チームの高田です。 今回は、Microsoft Windows DNS, DHCP and IPAM Team のブログ “Upward Referral Responses from Authoritative DNS Servers” (2015 年 9 月 3 日 米国時間公開) を翻訳した記事です。   DNS サーバーの挙動で広く議論されるものの 1 つとして、自身が権限を持たない (自身で保持しないゾーン) に対する名前解決要求を受けた場合の応答が挙げられます。2012 R2 以前の Windows DNS サーバーでは、再帰問い合わせが無効化されている場合、Upward Referral 応答 としてルート ネーム サーバーの一覧を返していました。この挙動により、攻撃者が DNS サーバーにランダムなクエリを送信した場合に、何倍ものサイズの応答を生成させる (増幅させる) ことができるため、攻撃者によって悪用される可能性があります。この何倍ものサイズの応答を生成させる (応答内容を増幅させる) 攻撃による影響は Windows Server 2016 の DNS サーバーで追加された…

0

FRS ジャーナル ラップ エラー トラブルシューティング 第二回 (SYSVOL と NETLOGON フォルダーが共有されない?)

前回は、FRS ジャーナルラップエラーの概要とその確認方法について紹介しました。 続いて、今回は FRS ジャーナル ラップ エラーの具体的な対処方法について解説します。   ジャーナル ラップエラーの修復を行う前に確認すべきこと 修復作業を行う前に、次の点に問題がないか確認することが重要です。  1.  各ドメイン コントローラーの SYSVOL の内容が同じであること  2.  Active Directory の複製が正常に行われていること 以下に、その詳細と確認方法を紹介します。   1.  各ドメイン コントローラーの SYSVOL の内容が同じであること ジャーナル ラップエラーの一般的な修復作業では、エラーが発生したドメイン コントローラー上の SYSVOL の内容を一旦削除して、複製パートナーから複製して修復を行います。 そのため、修復作業を行う前に、複製パートナーの SYSVOL の情報が正しい状態 (整合性がとれた状態) であることを確認する必要があります。 これは、ジャーナル ラップエラーが生じたドメイン コントローラーが、実は正しいデータを保持していた、という場合もあるためです。もしも、複製パートナーの SYSVOL の内容に一部不足が生じている場合は、不足している情報を手動でコピーした後に修復作業を行います。   – 確認方法 Windows Server 2003 では、リソース キットに入っている gpotool.exe を使用して、SYSVOL の整合性を確認することができました。 また、Windows Server 2012 以降では、グループ ポリシー管理コンソール…

0

FRS ジャーナル ラップ エラー トラブルシューティング 第一回 (SYSVOL と NETLOGON フォルダーが共有されない?)

こんにちは、Windows プラット フォーム サポートの進藤です。 Windows Server 2003 のサポート期限も間近に迫り、サーバーのアップグレード作業を実施されている方も多くいらっしゃるかと思います。 アップグレード作業では、新しいサーバーをドメインに追加した後に、それまで使用していたサーバーを降格するという方法が一般的ですが、その作業を実施した際に、新しいサーバーが正常にドメイン コントローラーとして機能していないというトラブルに見舞われることもあります。 このとき、新しいドメイン コントローラーでは SYSVOL や NETLOGON が共有されていない状態かもしれません。 そのような状況に陥らないように、また、陥った場合のトラブルシューティング方法として、FRS ジャーナル ラップ エラーについて取り上げます。   Active Directory の複製 Active Directory はマルチ マスタ レプリケーション モデルとなっているため、プライマリとバックアップという区別はなく、すべてのドメイン コントローラーがマスターとなります。このため、各ドメイン コントローラー間で情報の複製が行われていますが、複製は大きく 2 つに分かれており、ユーザーやコンピューターの情報が格納された「Active Directory のデータベース」の複製とグループ ポリシーの設定情報が格納された 「SYSVOL フォルダー」の複製がそれぞれ行われています。 この「SYSVOL フォルダー」の複製は FRS または DFSR というサービスにより実施されており、Active Directory おける下記の現象は、 FRS または DFSR の問題により発生していることもあります。 ・ 新規で追加したドメイン コントローラーで SYSVOL…

0

Windows Server 2008 以降のドメインコントローラーを追加した場合自動でフォワーダーの設定が追加されることがある。

皆様こんにちは Windows サポートチームの 中垣内 (ナカガイト) です。   Windows Server 2003 の Active Directory の環境から Windows Server 2008 や Windows Server 2012 R2 などの環境に移行作業をすることが増えてきていると思います。 移行作業中に追加した ドメイン コントローラー 兼 DNS サーバーに フォワーダーの設定が追加されている事象に直面されたことはないでしょうか。 今回はその事象についてご紹介させていただきます。   現象 下記のシナリオでは、ドメイン コントローラーを昇格した際に DNS サーバーのフォワーダーの設定が自動で構成されます。   1. OS が Windows Server 2008 、Windows Server 2008 R2、Windows Server 2012 、Windows Server 2012 R2 のいずれかである。 2….

0