Active Directoryドメインをアップグレードする
Active Directoryドメインをアップグレードする:今から始めるWindows Server 2003移行のススメ(2) Active Directoryドメインの移行には、「ドメインをアップグレードする」と「ドメインを再編して、オブジェクトを移行する」の2パターンがある。今回は「ドメインをアップグレードする」場合の手順を解説する。 連載目次 Active Directoryドメインのアップグレード方法 今回は、既存のドメインをそのまま使用してアップグレードする「ドメインアップグレード」の方法を解説する。Active Directoryドメインをアップグレードする場合は、既存のドメイン環境に新しいドメインコントローラー(Windows Server 2012 R2)を追加して、古いドメインコントローラー(Windows Server 2003)を削除するという手順になる。具体的な
"Users" と "Authenticated Users" の違いは?
Windows 2003 を含む、全Windowsについて。 "Users" と "Authenticated Users" の違いは何でしょうか? 「コンピュータの管理」などから確認すると、 "Authenticated Users" グループは "Users" グループに含まれています。 これは、下記の参照先 (1), (2) にも明記されています。 一方で、(2) によれば、 "Authenticated Users" グループとは "ID が認証されたすべてのユーザーおよびコンピュータ" (Guest を除く)であり、 (3) では、 "Usersグループに含まれるユーザーなどはすべてAuthenticated Usersにも含まれます。" と回答されています。 これらの情報に従えば、 "Users" グループ と "Authenticated Users" グループ に含まれる
セキュアチャネル破損からの復旧方法まとめ
セキュアチャネル破損とはドメインコントローラ(DC)で保持するコンピュータアカウントのパスワードとドメインメンバで保持しているコンピュータパスワードが不一致の場合に、ドメインメンバが OS 起動時にセキュアチャネルを確立できないことを言います。 ・セキュアチャネルが確立するときのイメージ ・セキュアチャネルが破損するときのイメージ セキュアチャネルが破損すると、ログオン試行時に「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」といったメッセージが出て、ログオンできなくなるのが特徴です。 つまりドメインにログオンするには、まずセキュアチャネルを確立しないといけないのです。 基本的な対処方法ドメインコントローラ(DC)で保持するコンピュータアカウントのパスワードとドメインメンバで保持しているコンピュータパスワードを一致させればよいのですが、その方法は以下の 3つが挙げら
ドメインに入れなくなったらどうする?
知っている人は知っている? ちなみに私は知りませんでした。いわゆる、セキュアチャネルの問題ですが・・・・ドメインに入れなくなったら今までは、ワークグループに戻してから再度ドメインに参加することをしていました。 が、こんな便利なコマンドがありました! Test-ComputerSecureChannel –Repair このコマンドの使い方ですが、ドメインに参加できなくなったらローカルの管理者アカウントでログオンします。そしてPowerShellでこのコマンドを実行する。ログオフすると、ドメインに参加できるようになります。 どうやら、Windows Server 2008 R2 の時から使えたらしいです。 いや~、ワークグループに戻さなくていいのは楽ですね!
ドメインにログオンできないときの対処方法に関して
ドメインにログオンできないというトラブルはよく起こりますが、システム的な原因として次の2つが考えられます。 DNSの名前解決によるもの セキュアチャネルの破損によるもの 他にもさまざまな原因がありますが、今回はこの2つに着目して考えてみます。 DNSの名前解決によるもの そもそも、クライアント(ここでいうクライアントはメンバーサーバーも含みます)はどのようにドメインにログオンしているのか? クライアントはドメインにログオンする際、DNSにドメインコントローラー(DC)は誰なのかを問い合わせます。 その後、そのDCのアドレスを再度問い合わせて、DCにログオン要求を投げます。 DCは認証プロセスを行い、GCに対してユーザーのユニバーサルグループメンバーシップ情報を要求します。 無事、認証プロセスが終了したのちドメインへのログオンが完了します。 よって、DNSの名前解決がうまくいかないと当然のこ
[Windows] 「このワークステーションとプライマリドメインの信頼関係に失敗しました」と表示されログオンできない
■ 1.動作や事例 対象:Active Directory環境(ドメイン参加)のWindowsパソコン 動作: ユーザ名/パスワード入力後ログオンしようとすると、下記エラーが表示されログオンが出来ない 「このワークステーションとプライマリドメインの信頼関係に失敗しました」 事例: ・ログオン先がドメインの場合「コンピュータのロック」解除時も発生する事例があります ・以下のいずれかの操作を行い、PCを操作する事が可能です ※一時的な回避策となるため、各種のネットワーク接続に制限が出ます 1 ネットワークを無効(LANケーブルを抜く等)にして、再度ログオンを行う(キャッシュログオン) 2 PC上に登録されているアカウントを利用してログオンを行う(ローカルログオン) ■ 2.考えられる原因 クライアント側とサーバ側(ドメインコントローラ)で保持されるセキュアチャネルの情報が一致せずログオンに失敗
nltestコマンドでActive Directoryのコンピュータアカウントのパスワード更新とアカウントのリセット
前回2月27日の日記では、nltestコマンドまたはnetdomコマンドをを使って、Active Directoryのコンピュータアカウントの検証を行いました。 nltest /sc_verify:<ドメイン名> netdom verify <検査対象コンピュータ名> /domain:<ドメイン名> これらのコマンドでは、ドメインコントローラとメンバコンピュータの間で確保されているセキュアチャネルを検証してくれます。 今回はnltestコマンドでコンピュータアカウントのパスワード更新と、コンピュータアカウントのリセットを行ってみます。 (写真1)nltest /sc_change_pwdでコンピュータアカウントのパスワード更新 nltest /sc_change_pwd:<ドメイン名>でコンピュータアカウントのパスワードを更新します。 パスワード更新は現在セキュアチャネルが確保されているド
【PowerShell】Active Directory ドメイン環境でセキュアチャネルの破損と修復方法 | ぴぐろぐ
Activedirectoryドメイン環境でファイルサーバのファイルを参照した際にレスポンスがとても遅いという現象が発生したので、原因調査と対応策について調べたのでメモ。 正確には、根拠のある原因の特定と恒久的な対処はできないないので、調べたセキュアチャネルの状態確認と修復方法になります。暫定だが事象は解消されているのですが、似たような症状で解決された方がいたら教えて下さい。。。 事象 事象としては、ファイルサーバのファイルを参照しようとしてエクスプローラーでアクセスすると、カーソルがくるくると回り続けてファイルを開くまでに時間がかかる。通常時なら1秒で開けるテキストファイルが5秒くらいかかる、といった感じ。 これは、ファイルサーバがiSCSIなので単純にトラフィック量や構成などのネットワーク側の問題かと思っていたが、ファイルサーバのイベントをみてみるとどうもそうでもないらしい。イベントは
ログオンキャッシュ at SE の雑記
ドメイン環境の Windows にはログオンキャッシュがあり、設定に関してはグループポリシーで設定することが可能になっています。 デフォルトの状態では、[ローカル セキュリティ ポリシー] で 10 ログオン分保存されるようになっています。 このログオンキャッシュがどこに保存されているんだろうと思って少し調べてみました。 ■ログオンキャッシュの保存先を検証 ログオンキャッシュですが、[LSA : ローカル セキュリティ 機関] に保存されているようです。 Windows のレジストリの、[HKLMSECURITY] ですが、デフォルトの状態では Administrators グループのユーザーでもレジストリを展開できないようになっています。 これは、[SECURITY] のキーのアクセス許可で [Administrators グループ] には読み取りの権限がついていないため、このような表示
【マンガで解説】Windowsサーバをクラウド化 - IIJ
FAQ(よくあるご質問) 共通 Q1OSの管理権限は付与されますか。 AAD及びWSUSサーバは、OSの管理権限をIIJが保持するため、お客様がOSレベルの操作をすることはできません。ファイルサーバは、OSの管理権限をお客様にお渡しします。 ファイルサーバについて Q1Q. クォータ制限やVSS(ボリューム シャドウコピー サービス)は使えますか。 Aはい。使えます。ファイルサーバでは、OS運用はお客様管理として提供します。 Q2バックアップやアンチウイルスソフトはサービスに含まれますか? Aはい。バックアップは毎日夜間に行います。保存世代数は2世代または7世代で選択可能です。 アンチウイルスはSymantec Endpoint Protectionを設定済みの状態で提供します。 Q3Windows Updateの管理は誰が行いますか? AWindowsセキュリティパッチの適用などは、お客
Netlogon イベント ID 5719 またはグループ ポリシー イベント 1129 - Windows Server
この記事では、ドメイン メンバーの起動時にログに記録される Netlogon イベント ID 5719 またはグループ ポリシー イベント 1129 を解決します。 元の KB 番号: 938449 現象 次のようなシナリオが考えられます。 Windows 10 または Windows Server 2012 R2 を実行しているコンピューターがある。 コンピューターがドメインに参加しています。 以下のいずれかの条件が満たされている場合。 コンピューターにギガビット ネットワーク アダプターがインストールされている。 ネットワーク アクセスをセキュリティで保護するには、ネットワーク アクセス保護 (NAP)、ネットワーク認証 (802.1x を使用)、または別の方法を使用します。 このシナリオでは、Windows 8.1 以前のバージョンでコンピューターを起動すると、次のイベントがシステム
Windows Server 2019 カテゴリーの記事一覧 - ()のブログ
Windows 上で利用する Office ですが、それぞれのバージョンにおいてサポートされるものとされないものがあることをご存知でしょうか。 かなり複雑なサポートパターンとなっていることもあり、それをマトリックス化した資料が公開されていたので展開したいと…
Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知- ManageEngine ブログ
Reading Time: 1 minutesActive Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。 過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。 「でも、パスワードがハッシュ化されているの
「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その5)
「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その5):vNextに備えよ! 次期Windows Serverのココに注目(64:特別編)(1/2 ページ) Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、「デバイス登録サービス」の有効化とWindows 10デバイスのディレクトリ同期、自動デバイス登録の準備を解説します。 連載目次 Windows Hello for Businessのオンプレミス展開を実践・検証 本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」(旧称、Micros
Windows Serverで学ぶサーバOS入門
サーバ用のOSは、デスクトップPCやノートPCなどで使うクライアント用OSと何が違うのか。Windows Server 2008を例に、サーバOS登場の背景から概念、そしてWindows Serverの中核機能の1つであるディレクトリサービス、ユーザー管理の手法などを解説していこう。 2010年10月19日 09時00分 ソフトウェア・仮想化 Hyper-Vの便利な機能とは? 最終回 スナップショットとクイックマイグレーションを使ってみよう Hyper-Vでは、稼働中の仮想サーバの動作状態を短時間で保存可能だ。これを「スナップショット」と呼ぶ。スナップショットはいつでも取れるし、いつでも任意のスナップショットに復元できる。仮想サーバが動作中であってもかまわない。 2010年10月12日 09時00分 ソフトウェア・仮想化 仮想ネットワークについても知っておこう 第34回 Hyper-Vの仮
第2回 Active Directoryおよびワークグループ環境での時刻同期
本連載では、主にWindows Vista/Windows 7/Windows Server 2008/Windows Server 2008 R2を対象としています。Windows XPやWindows 2000 Server/Windows Server 2003については、以下の旧記事を参照してください。 連載「Windowsネットワーク時刻同期の基礎とノウハウ」(2005年版) 前回は、NTPの動作原理とWindows OSにおける時刻同期機能の基礎について解説した。今回はActive Directory環境とワークグループ環境それぞれで、各Windowsマシンがどのように時刻同期を行うのか、どのように設定すれば理想的な時刻同期を実現できるのか、具体例を挙げながら解説する(Windows Server 2008 R2のNTPサーバを対象とする)。 Windows Server 20
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドメインに再参加することなく、セキュアチャネル破損の復旧:Reset-ComputerMachinePassword - troushoo
Active Directory を使用した AppLocker 設定方法
shao / 澤田 翔 - SaaSマイスター on Twitter: "ADとかよく解らずにWindows 10 Homeを大量に買ってしまった会社、Microsoftはそういうケースを一切想定してないので「PCごと買い替えてください」という塩対応にならざるを得ない。"
Windows Server 2016 TP5の「サーバーの役割と機能」、TP4からの変更点まとめ
