AD CS で 5 年間有効なサーバー認証用の証明書を作成 at SE の雑記
ちょっとしたメモですが。 基本的な内容は、以下を参照していただくとよろしいかと。 Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法 Certificate Expiration is set for only 1 year for issued certificates in a Windows 2008 Active Directory environment. Certutil AD CS (Active Directory 証明書サービス : Active Directory Certificate Services) ではインストール時に有効期間を指定することができ、デフォルトでは 5 年間が設定されています。 ここで指定した証明書の有効期間がルート証明書の有効期間にもなるかと。 証明機関
ログオンキャッシュの保存先について at SE の雑記
ドメイン環境の Windows にはログオンキャッシュがあり、設定に関してはグループポリシーで設定することが可能になっています。 デフォルトの状態では、[ローカル セキュリティ ポリシー] で 10 ログオン分保存されるようになっています。 このログオンキャッシュがどこに保存されているんだろうと思って少し調べてみました。 ■ログオンキャッシュの保存先を検証 ログオンキャッシュですが、[LSA : ローカル セキュリティ 機関] に保存されているようです。 Windows のレジストリの、[HKLMSECURITY] ですが、デフォルトの状態では Administrators グループのユーザーでもレジストリを展開できないようになっています。 これは、[SECURITY] のキーのアクセス許可で [Administrators グループ] には読み取りの権限がついていないため、このような表示
Exchange の Autodiscover について (DNS で解決) at SE の雑記
前回はドメイン環境で SCP を使用して Autodiscover による設定の自動検出を行いました。 今回は SCP が使用できない場合の Autodiscover についてまとめていきたいと思います。 ■SCP が使えない場合の Autodiscover の解決方法 ワークグループ環境やドメインに参加している環境でローカルアカウントでログインしているような、AD から情報が取得できない環境、SCP の指定先に接続ができない場合は、SCP から Autodiscover の接続先の情報を取得することができません。 その様な場合は、DNS を使用して Autodiscover の接続先の解決が行われます。 SCP に接続できないケースとしては、 SCP の情報が取得できない SCP に設定している URL に接続ができない SSL のセキュリティ警告をキャンセルした 場合などがあると思いま
イベントログのサブスクリプションによるログ転送をデフォルトのイベントログ以外に実施する at SE の雑記
Windows では、イベントログのサブスクリプション機能により、複数のサーバーのイベントログをプッシュまたは、プルで収集することが可能です。 Using Windows Event Collector Windows イベント転送を構成する 初期状態では「転送されたイベントログ」(Forwarded Events」に転送が行われるようになっています。 イベントログの転送先は変更することができるため、「転送されたイベントログ」以外を指定することもできるのですが、「New-EventLog」等で作成したイベントログに対しては転送するk十ができず、イベントログのサブスクリプションの「宛先ログ」から選択することはできません。 カスタムイベントログに転送する方法ですが、イベントログを作成する方法に手順があり、「Creating Custom Windows Event Forwarding Log
Exchange Online の予定表のアクセス権を PowerShell で変更 at SE の雑記
Exchange Online のメールボックスユーザーの予定表のアクセス権ですがデフォルトでは以下のように設定されています。 既定のユーザーは [空き時間情報] のみ参照が許可されており、実際の予定は見ることができません。 企業によっては原則として全員の予定の内容 (プライベート設定されている予定は除く) を見れることを求められることがあります。 ユーザーが自分で設定を変更することで予定表を公開することができますが、ユーザーの作業を発生させずに、管理者が一括で設定をすることを求められることがあります。 今回は予定表のアクセス権を一括で変更するための方法を見ていきたいと思います。 ■PowerShell を使用して一括でアクセス権を変更 Exchange Online の操作は PowerShell を使うことができますので、PowerShell で一括変更をしてみたいと思います。 $Li
Hyper-V のゲスト OS と VHD ブートでは BitLocker は使えないんですね at SE の雑記
BitLocker 用の AD スキーマ拡張の勉強をしたいなと思って、BitLocker で暗号化された環境を作ろうと作業をしていました。 今回は、Hyper-V のゲスト OS と VHD ブートの環境で BitLocker が有効にできるか試してみました。 ■Hyper-V のゲスト OS で BitLocker を設定 ゲスト OS では、TPM (トラステッド プラットフォーム モジュール) が有効にできないので、BitLocker は有効にできませんでした。 これについては以下の技術情報に記載がありました。 Hyper-V のセキュリティを計画する BitLocker ドライブ暗号化を Hyper-V 管理オペレーティング システムで使用すると、構成ファイル、仮想ハード ディスク、およびスナップショットが含まれるボリュームを保護できます。仮想マシン内では BitLocker ドラ
AD の FSMO 障害時の影響について at SE の雑記
Active Directory の FSMO (flexible single master operations) で障害が発生すると何が起こるんだけっていうことをうろ覚えだったので少しまとめてみました。 各操作マスタが担う役割については 操作マスタの役割 に記載されています。 普段は、時刻同期や他ドメインとの信頼関係に影響する PDC エミュレーターの状態しか意識していない気がしますね。 # Active Directory ドメインと信頼関係のトラブルシューティング ほかにポイントになるのは ドメイン内にあるドメイン コントローラがただ 1 つでない限り、グローバル カタログをホストするドメイン コントローラにインフラストラクチャ マスタの役割を割り当てないでください。インフラストラクチャ マスタとグローバル カタログが同じドメイン コントローラ上にある場合、インフラストラクチャ
ログオンキャッシュ at SE の雑記
ドメイン環境の Windows にはログオンキャッシュがあり、設定に関してはグループポリシーで設定することが可能になっています。 デフォルトの状態では、[ローカル セキュリティ ポリシー] で 10 ログオン分保存されるようになっています。 このログオンキャッシュがどこに保存されているんだろうと思って少し調べてみました。 ■ログオンキャッシュの保存先を検証 ログオンキャッシュですが、[LSA : ローカル セキュリティ 機関] に保存されているようです。 Windows のレジストリの、[HKLMSECURITY] ですが、デフォルトの状態では Administrators グループのユーザーでもレジストリを展開できないようになっています。 これは、[SECURITY] のキーのアクセス許可で [Administrators グループ] には読み取りの権限がついていないため、このような表示
Exchange Online のジャーナル ルールを設定 at SE の雑記
Office 365 のジャーナル ルールを触っていた際に結構癖があるな~とおもったので軽くまとめてみたいと思います。 TechNe で該当する箇所は、ジャーナル になるかと思いますが、Exchange Online アーカイブ・コンプライアンス機能 活用ガイド のほうがわかりやすいかもしれないですね。 Office 365 の機能は、オンプレミスのものと合致することが多いので必要な情報探すのが大変ですね…。 ジャーナル ルールの設定は Exhcange 管理センターの [コンプライアンス管理] → [ジャーナル ルール] から設定することができます。 ジャーナル ルールを設定する場合には、[配信できないジャーナル レポートの送信先] (代替ジャーナリング メールボックス) を指定する必要があります。 代替ジャーナリング メールボックスを指定していないとルールの作成時に以下のエラーとなりま
クライアントのコンピュータアカウントのパスワード格納場所 at SE の雑記
Active Directory とは依然として仲良しにはなれていないのですが、そうも言っていられない日々が続いています…。 今日はコンピュータアカウントのパスワードについて。 コンピュータアカウントのパスワードはセキュリティポリシーの – [ドメイン メンバー: 最大コンピュータ アカウントのパスワード有効期間] の設定値で定期的に変更され、ドメイン コントローラーでも保持しているパスワードと一致しない場合は、 セキュアチャネルの確立ができず、ドメイン ログオンに失敗する仕組みになっています。 パスワードは 1 世代前のものも保持されており、現在のパスワードと 1 世代前のパスワードの両方を使用して セキュアチャネルが確立できないと NG になります。 Netdom.exe を使用して Windows 2000 ドメイン コントローラのコンピュータ アカウントのパスワードをリセットする方
WSUS 配下の Windows 10 における CB / CBB の適用制御の検証 (2016/8 時点) at SE の雑記
Windows 10 に、1607 (Anniversary Update : Redstone 1 (RS1)) がリリースされ、バージョン番号が変わる CB/ CBB の検証ができるようになりましたので自分の理解の整理を兼ねて。 関連情報の整理 かなり、情報が出てきましたので最初に関連情報の整理を。 直近の情報となると、赤間さんが公開された エンタープライズ企業における Windows 10 導入と WaaS 適用の要点? の一連のシリーズが必読のドキュメントになるかと。 企業内の展開のリリースサイクルを考える場合には、Part 3. WaaS の正しい理解 のサイクルを理解する必要があります。 リリースについて リリースについての基本的な情報については、以下を参照することになるかと思います。 CB / CBB / LTSB についての情報 更新プログラムおよびアップグレードに関する
WSUS の手動操作のメモ at SE の雑記
Windows Update Services (WSUS) を手動操作する際のメモを。 いろいろと技術情報を見ていたのですがそろそろまとめないと忘れそうなので。 WSUS や Windows Update 経由で更新プログラムを適用する場合、クライアントからは wuauclt.exe から更新要求が実行されるかと思います。 wuauclt でよく使用されるオプションとしては、 wuauclt.exe /detectnow wuauclt.exe /reportnow wuauclt.exe /resetauthorization /detectnow あたりがあるかと思います。 これらの使用方法については WSUS の移行後のタスク / コマンド ラインからの WSUS の管理 を確認するとよいかと。 細かなオプションは解説されていないのですが、wuauclt には以下のようなオプション
Windows 10 の wuauclt についての雑感 at SE の雑記
WSUS との連携をする際によく使うコマンドとして、「wuauclt」があるかと思います。 コマンド ライン オプションを使用して自動更新の動作を調整する よく使うものとしては、 wuauclt /resetauthorization /detectnow wuauclt /detectnow wuauclt /reportnow wuauclt /updatenow でしょうか。 その他のオプションとしては、Windows Update Agent Utility (wuauclt.exe)? で紹介されているものがあるかと。 Windows 10 のテストをしているときにふと「wuauclt、Windows 10 だと今までと似たような動作になってないのでは」というような疑問が出てきました。 wuauclt.exe の中身を見てみたところ (String.exe で見るという方法もある
Active Directory 環境の DHCP サーバーの承認について at SE の雑記
昨日、問い合わせがあったので DHCP の承認について少し調べていました。 Active Directory 環境のメンバサーバーに DHCP サーバーを構築する場合、[承認] という処理が必要となります。 TechNet では DHCP の承認について以下のように記載されています。 DHCP サーバーを承認する これらの問題を解決するため、Windows Server 2003 を実行する DHCP サーバーは、クライアントにサービスを提供する前に、Active Directory で承認済みとして検証されます。これによって、構成が誤っていたり、誤ったネットワーク上で構成された DHCP サーバーを実行したために発生する被害を回避することができます。 ■Enterprise Admins が必要な理由DHCP の承認状況に関しては、Active Directory のパーティションの中で
次の LTSC のサーバー OS となる Windows Server 2019 の Preview 版が公開されました at SE の雑記
2018/3 時点の LTSC (Long-Term Servicing Channel) の OS は、Windows Server 2016 ですが、次の LTSC のサーバー OS となる Windows Server 2019 の情報がひょっこり公開されました。 Introducing Windows Server 2019 ? now available in preview Windows Insider Program からダウンロードすることができ、今回公開された Preview の時点で、日本語版も公開されていました。下の画像が winver の結果となりますが、現時点では Version 1803 なのですね。 今の Windows Server は、半期チャネル (Semi-Annual Channel) と、長期サービスチャネル (Long-Term Servici
AD FS/AD FS Proxy を Azure の仮想マシン上に構築してみる at SE の雑記
Azure のサブスクリプションを起点として Windows Azure Active Directory のディレクトリ同期を設定 の続きになります。 Azure の仮想マシン (Azure VM) で AD FS / AD FS Proxy を構築してみたいと思います。 冒頭のリンクはオンプレミス上の環境に構築していたのですが、今回の投稿を書くために、仮想マシンのギャラリーから作成したものに再構築しています。 今回は以下の環境を作成しています。 nawagami-ad / nawagami-sync が VM 上に移行した AD とディレクトリ同期になります。 # ギャラリーの Windows Server 2012 R2 Preview のイメージを使用しています。 この状態から、AD FS/AD FS Proxy を構築していきたいと思います。 ■AD FS を構築 AD FS を
Office 365 のユーザーのタイムゾーン / 言語設定を PowerShell で設定 at SE の雑記
Office 365 のユーザー設定で地域 / 言語の設定があります。 今回の投稿ではこの設定を PowerShell 設定してみたいと思います。 ■タイムゾーン / 言語の設定 Office 365 で設定できる設定として、ユーザーの所在地と Exchange Online の ECP で設定できる言語の設定があるかと思います。 ユーザープロファイルの所在地は管理者が使用できるユーザーの管理から確認することができます。 ディレクトリ同期で作成されたユーザーに関しては所在地のの設定がされていなかったはずですので、ユーザーまたは管理者が定することになったかと思います。 # 所在地を元に表示言語が設定されていたかと。 以下のような PowerShell で設定を変更することができます。 Connect-MsolService Set-MsolUser -UserPrincipalName te
Exchange Server 2007 を撤去 at SE の雑記
自宅の検証環境は Exchange Server 2007 で最初構築していたので、現在は 2007 + 2010 の共存環境となっています。 そろそろ Exchange Server 2010 のみの環境にしようと思い、2007 の撤去を開始しました。 # Exchange 2007 を撤去しないと、TMG 2010 の検証環境の構築がリソース的に厳しいんですよね。 まずは、単純にアンインストールを試みてみました。 クライアント アクセスをアンインストール まずは簡単に役割がアンインストールできそうな CAS から撤去してみたいと思います。 役割の削除は [コントロールパネル] の、[プログラムと機能] から[Exchange Server 2007] のアンインストールを行います。 [Exchange 保守モード] が起動しますので、削除する役割のチェックボックスを [オフ] にします
Office 365 を SMTP リレーとして使用する at SE の雑記
Office 365 を既存のメール環境と置き換える場合、運用/監視で使用している SMTP サーバーも合わせて置き換えが発生することがあるかと思います。 監視メールを送っている場合、以下のような構成になっていることがあります。 アプリケーションサーバーが監視用のメールを SMTP サーバーに送信し、その SMTP サーバーが社内の運用担当者や社外の運用担当者にメールを送信するという構成となっています。 Office 365 を導入し、社内の SMTP サーバーを廃止 / 使用し続ける際の考慮点を少しまとめてみたいと思います。 ■社内 SMTP サーバーを廃止する場合 まずは、社内の SMTP サーバーを廃止するという構成で考えてみたいと思います。 Office 365 を使用する場合、メールの配信経路は以下のようになります。 社内の SMTP サーバーを廃止しているため、すべてのメールを
Windows Server 2016 TP4 用の UEFI インストール用の USB の作成 at SE の雑記
前回の投稿で書いた、Intel NUC ですが、UEFI での起動ができますので、Windows Server 2016 TP4 を UEFI でインストールすることも可能です。 UEFI の有効化は Virtual TPM を試す がとても参考になります。 実際にインストールした際の注意点を少しまとめてみたいと思います。 今回は日本語の Windows Server 2016 TP4 を使用しているのですが、このメディアは「Install.wim」が 4G を超えています。 UEFI でブートするための USB ですが、NTFS ではなく FAT32 でフォーマットしておく必要があるため、一ファイルの最大サイズが 4GB の制約が出てくるかと思います。 # BIOS のブート用 USB も一緒だと思いますが。私の環境だと、exFAT で UEFI ブートがうまくできなかったのですよね。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
