【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書

以前、以下の投稿をしました。 http://blogs.technet.com/b/junichia/archive/2012/12/10/3539674.aspx ダイナミックアクセス制御はとても面白いテクノロジーなのですが、かなり複雑なので手を付けている方は少ないのではないでしょうか。 そこで、現在実施しているハンズオンセミナーで使用している資料から、ダイナミックアクセス制御の部分を抜粋して公開しました。 解説編と演習編に分かれています。 演習環境はシンプルで、以下の2つの仮想マシンを用意していただければOKです。 ドメインコントローラーが構成された Windows Server 2012(フルインストール) ドメインのメンバーとなっている Windows Server 2012(フルインストール) 細かな設定は必要ありません。すべて演習の中で一から構築していきます。 Windows 8 の Hyper-V でも問題なく演習できます。 是非、社内の勉強会等でも活用してください! Dynamic Access Control 解説編 Dynamic Access Control 演習編  

0

【IDM】Active Directory Federation Service 2.1 の新機能

※この投稿は Office 365 Advent Clendar 2012 に参加しています。 軽い話題ですんません。 私の大好きな Active Directory Federation Service 2.0 は、Office 365 の爆発的人気に伴い、今ではすっかりフィールドに浸透しました。もう、「AD FS なんて知らない、聞いたことない」という方はいらっしゃらないでしょう。 そんな中、いまひそかに熱い注目を集めているのが Windows Server 2012 に標準実装された Active Directory Federation Service 2.1 です。新しい Hyper-V や Failover Cluster の陰に隠れて目立たないことこの上ないですが、地味ながら確実に進化しています。 Active Directory フェデレーション サービス(2.1)の概要 http://technet.microsoft.com/ja-jp/library/hh831502.aspx 上記サイトにも書かれている通り、AD FS 2.1 の新機能として3つが挙げられています。 役割の1つとしてサーバーマネージャーまたは PowerShell でインストールできるようになった AD FS 役割をインストールすれば、add-pssnapin をすることなくコマンドレットが使用できる Kerberos チケットからクレームを取得できるようになった ここで大いに気になるのは 3…

0

【PowerShell】仮想マシンのリソース使用量を計測する

※この投稿は、PowerShell Adcent Calender 2012 に参加しています! Hyper-V 上の仮想マシンが使用しているリソースを計測するにはパフォーマンスモニターを使用することができました。 Measuring Performance on Hyper-V http://technet.microsoft.com/ja-jp/library/cc768535(v=bts.10).aspx しかし、パフォーマンスモニターの利用になれた方であればまだしも、通常は使用するカウンターの選定など、ちょっと面倒な面も否めません。 そこで、Windows Server 2012、Windows 8 に実装されている Hyper-V では、ゲスト OS のリソース使用量を容易に計測できる Windows PowerShell コマンドレットが用意されました。Measure-VM です。 パフォーマンスモニターが仮想マシンの正常性を計測することを主目的としていたのに対し、このコマンドレットの主な目的は「課金」です。例えば、ホスティングを担当する企業による利用を想定しています。 Measure-VM コマンドレットを使用すると以下の数値を取得することができます。 CPUの平均使用量(MHz) メモリの平均使用量(MB) メモリの最大使用量(MB) メモリの最少使用量(MB) ネットワーク(送信)の総使用量(MB) ネットワーク(受信)の総使用量(MB) ディスクの使用量(MB) ここで、CPUの「使用率」ではなく「使用量」であることに注意してください。先にも書いた通り、Mesure-VM の主目的は「課金」です。よって、CPU の使用率では意味がありません。なぜならば、使用している物理マシンによって使用率が変わる可能性が大きいからです。よって、Mesure-VM は使用率ではなく実際にゲスト OS が使用した CPU の使用量を MHz で出力するように設計されています。 ネットワークについても同様です。帯域の使用率ではなく、実際に送受信したデータ量を算出してることに注意してください。 いずれも、計測を開始してから Measure-VM コマンドレットを実行した瞬間までを計測します。 では使ってみましょう。 <計測開始> 計測を開始するには、ゲストOS のメータリング機能を有効にする必要があります。以下はゲストOS Server1…

0

【PowerShell】ドメインコントローラーのクローンを PowerShell で完全自動化

もうすっかり古いはなしになるのですが、9月28日、MSC 2012 で SC-006 セッションにご参加くださった皆様、ありがとうございました。 冒頭で、Windows Server 2012 で構築した仮想ドメインコントローラーを Windows PowerShell を使用してクローンするデモを行いました。 その際に使用したスクリプトを掲載します。 (公開されている資料に書かれているものに若干不具合がございました…すみません) それにしても、たったこれだけのスクリプトでDCが複製できてしまうなんて….Hyper-V 2012 + New AD すてきです。   スクリプトの実行環境は以下の通りです。(ITCAMP-FS は Hyper-V ホストです) スクリプトの解説は以下をご参照ください。 仮想化した DC を PowerShell で複製する http://www.slideshare.net/junichia/dc-powershell スクリプトは以下からダウンロードできます(大したもんじゃないですが…) スクリプトのダウンロード http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-56-58/8233.CloneDC.ps1 $SourceDC = "ITCAMP-DC02" $DistDC = "ITCAMP-DC03" $distPDCEmu = "ITCAMP-DC01" $SourceHyperVHost = "ITCAMP-FS" $DistHyperVHost = "ITCAMP-FS" $VMStore = "\\$DistHyperVHost\VMStore" $ConfirmPreference =…

0

Windows 8 用のリモートサーバー管理ツール(RSAT)リリース

システム管理者が待ち望んでいた RSAT がやっとリリースされました。 Windows 8 用のリモート サーバー管理ツール http://www.microsoft.com/ja-jp/download/details.aspx?id=28972 もちろん、日本語版です。 Windows Server 2012 には3種類のインストールモードが用意されています。 Server Core(コマンドプロンプト&PowerShellコンソールのみ) 最少GUI フルインストール 2番目の「最少GUI」構成を使用すると、サーバーマネージャーやMMCがインストールされ、管理に支障がない程度にはGUIを使用することができます。しかも、それぞれのモードを再インストールすることなく行き来できるのもGOODです。 なので、Windows Server のインストール後に基本的な初期設定を済ませ、その後GUIをアンインストールして Server Core モードに戻すこともできます。 では、Server Core 状態でGUIが使いたくなってしまったらどうするかといえば、もう RSAT しかないでしょう。 Windows Server 2012 に完全に対応したサーバーマネージャーを備えているので、いちいちリモートデスクトップで入りなおすことなく Winodws 8 RSAT のサーバーマネージャーから複数の Windows Server をリモートから管理できます。 すばらしいです。 仮想化の進行によってますますサーバーの数が増えるでしょから、今後は Winodws 8 を管理コンソールとして1台(仮想でもOKですが)設置し、どこから各サーバーを管理する…という手法が便利です。

3

1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開について

すでにセキュリティチームの Blog にも掲載されていますが、こちらにも転載しておきたいと思います。 概要 暗号の 2010 年問題 (暗号の危殆化) や、Flame マルウェアによる証明書への脅威を背景に、マイクロソフトは RSA アルゴリズムに対する強化策として、2012 年 8 月 14 日 (米国時間) に、鍵長 1024 ビット未満の暗号鍵を持つ RSA 証明書をブロックする更新プログラム (KB2661254) を公開しました (マイクロソフト セキュリティ アドバイザリ 2661254)。この更新プログラムの適用により、鍵長 1024 ビット未満の RSA 証明書を使用する Web サイトが閲覧できなくなる、S/MIME メールの送受信ができなくなる、また 1024 ビット未満で署名された ActiveX コントロールやアプリケーションのインストールに失敗するなどの影響が出ます。影響の詳細は、「1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 – その 2」でも解説していますのでご確認ください。 背景 2004 年 8 月に米国商務省国立標準研究所 (NIST) が発表した暗号強度強化に関する勧告…

0

【9月4日17:00まで】Windows Server 2012 評価版 DVD 全プレ

本日までなので念のために。 本日中に Windows Server 2012 RC 版をダウンロードしていただいた方に Windows Server 2012 製品評価版のオフィシャルDVDをプレゼントするという期間限定キャンペーンが9月4日17時をもって終了します。 ご希望の方は、お急ぎ、以下よりどうぞ。  

0

【Active Directory】Windows Azure 仮想マシンに Acive Directory を展開するためのガイドライン 1

Active Directory を Windows Azure 上の IaaS として展開するためのガイドラインが公開されていました。 元記事 Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines(英語) このガイドラインでは、Windows Azure 仮想マシン(Azure VM)上にADを展開する際の留意点について解説されています。 せっかくですので、内容を補足しつつ、ざくっと日本語で。 —- Windows 2000  とともに登場した Active Directory は、この10年で大きく進化しました。挙げればきりがありませんが、2012年はActive Directoryにとってさらに大きな飛躍の年になります。クラウドへの進出です。まさに飛躍ですね。 上の図でも触れられている通り、これまで Active Directory と Windows Azure の連携には「ハイブリッドクラウドシナリオ」が用意されてきました。Windows Azure上に展開したアプリケーションを利用するための独自に認証基盤を用意するのではなく、オンプレミスの Active Directory Domain Service(AD DS)で認証を行い、Active Directory Federation Service(AD FS)から発行されたセキュリティトークンを使用して、Azure 上のアプリケーションへのアクセスを認可するという方式です。これにより、クラウド上にパスワードを保存することなく、企業内から SSO でクラウドアプリが使用できます。 AD…

0

【5分だけお時間を】みなさまの声をおきかせ下さい!

久しぶりの投稿が業務連絡で恐縮です。 マイクロソフトは7月から新しい期が始まりました。 今年は Windows 8 や Windows Server 2012 等の新製品リリースを控え、その本格的な訴求に向けて着々と準備を進めております。 その一環として、ぜひとも皆様の声をおきかせいただきたく。 http://www.microsoft.com/japan/technet/survey/default.aspx ほんの5分程度で済みますので、なにとぞよろしくお願いいたします! p.s. 9月後半から Windows Server 2012 の無償ハンズオンを開始する予定です。詳細は追ってお知らせします。

0

【PowerShell】長時間バッチ処理中に停電でサーバーがシャットダウン!でも Workflow ならば安心です

Windows PowerShell 3.0 にはワークフロー機能が実装されています。もちろん、そのベースとなっているのは Windows Workflow Foundation 4.0 です。 例えば、以下のようなワークフローがあったとします。このワークフローでは、UserList.csv ファイルにの保存されたユーザー一覧を読みこんで、大量のユーザーを順次作成する処理を想定していると考えてください。 Workflow CreateUser {     Get-Content -Path \\junichia-vdi\tools\ps\wf\UserList.csv -Encoding String | `             Out-File -Path .\UserList_Unicode.csv -Encoding unicode     $UserList = Import-Csv -Path .\UserList_Unicode.csv     foreach  ($u in $UserList)     {         $UserID = $u.userID         Echo -InputObject "$(Get-Date) $UserID を作成します"         $password = convertto-securestring…

0