blog/articles/azure-active-directory/azure-ad-ds-scenario.md at master · jpazureid/blog
こんにちは、Azure AD サポートチームの高田です。 本日は、Azure AD Domain Services についてその推奨される利用方法やシナリオをご紹介したいと思います。 Azure AD Domain Services は、ユーザーが指定したドメイン名を用いて Azure の仮想ネットワーク上にドメイン コントローラーを自動構築するという機能です。Windows Server の Active Directory と完全に互換性のあるドメイン サービスが構築されることから、ドメイン参加やグループ ポリシーなど従来オンプレミス環境で使用していたテクノロジーをそのまま Azure 上で利用することが可能です。 しかし、利便性が大きい反面、サービスの位置づけが特殊なため、本来想定していない方法で Azure AD Domain Services の利用を検討しているお客様もいらっし
F.1.6 統合Windows認証を行うための設定
Active Directoryが運用されているマシンにて以下を実施してください。 (1)Active Directoryへの認証サーバの登録 [スタート]メニューで[プログラム]-[管理ツール]を選択し、[Active Directory ユーザーとコンピュータ]を起動します。 ドメイン名を選択し、[操作]-[新規作成]-[ユーザー]を選択します。 [コンピュータ]を選択しないでください。 姓、およびユーザー ログオン名に認証サーバのホスト名を入力します。 ロードバランサを使用して認証サーバの負荷分散を行う場合は、ロードバランサのホスト名を入力します。 以下の例は、“authserver”を設定しています。 [次へ]ボタンをクリックし、手順3で入力した認証サーバのアカウントに設定するパスワードを入力します。 “ユーザーは次回ログオン時にパスワード変更が必要”をチェックしないでください。
【IDM】パスワード同期機能の有効活用 その2 ~ Windows Server 2008 でのパスワード同期機能のセットアップ
前回は、パスワード同期機能について簡単にお話しました。 【IDM】パスワード同期機能の有効活用 その1 ~ パスワード同期機能とは 今回は、Windows Server 2008 上で パスワード同期機能を使用するためのセットアップを行いましょう。 Windows Server 2008 上でパスワード同期機能を使用するには、はじめにサーバーマネージャの「役割の追加」から「Active Directory ドメイン サービス」をインストールし、ドメインコントローラとしてセットアップを完了しておく必要があります。 サーバーマネージャから「Active Directory ドメイン サービス」役割を追加 dcpromo を使用してドメインコントローラのインストールを行う 再起動 上記が完了したら、再度サーバーマネージャを起動し、以下のように「Active Directory ドメイン サービス
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
FRS ジャーナル ラップ エラー トラブルシューティング 第二回 (SYSVOL と NETLOGON フォルダーが共有されない?)
前回は、FRS ジャーナルラップエラーの概要とその確認方法について紹介しました。 続いて、今回は FRS ジャーナル ラップ エラーの具体的な対処方法について解説します。 ジャーナル ラップエラーの修復を行う前に確認すべきこと 修復作業を行う前に、次の点に問題がないか確認することが重要です。 1. 各ドメイン コントローラーの SYSVOL の内容が同じであること 2. Active Directory の複製が正常に行われていること 以下に、その詳細と確認方法を紹介します。 1. 各ドメイン コントローラーの SYSVOL の内容が同じであること ジャーナル ラップエラーの一般的な修復作業では、エラーが発生したドメイン コントローラー上の SYSVOL の内容を一旦削除して、複製パートナーから複製して修復を行います。 そのため、修復作業を行う前に、複製パートナーの SYSVOL の
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する:Office 365運用管理入門(10)(1/3 ページ) 前回は、オンプレミスのActive Directoryから「Office 365」(Azure Active Directory)へ、アカウント情報を同期するためのツールを紹介した。今回は、最新のディレクトリ同期ツール「Azure Active Directory Connect」の特徴や具体的な実装方法を解説する。 連載目次 Azure Active Directory Connectを勧める理由 現在、「Office 365」の企業向けプランでは、「Office 365 Business Essentials」から「Office 365 Enterprise E3」まで、全てのプランで「Active
Active Directory ユーザーとコンピューターの一覧をカスタマイズしたい
こんにちは、Windows プラットフォームサポートの進藤です。 今回は、ユーザーやグループなどの管理者の方への Tips です。 Active Directory ユーザーとコンピューターで一覧を表示すると、既定では、下記のように [名前]、[種類]、[説明] が表示されます。 この一覧に表示される項目は、[表示] メニューの [列の追加と削除] から変更することができますが、[利用可能な列] に表示される項目は必ずしも全ての属性ではなく、一部の属性だけとなっています。 実は、Active Directory の構成情報を変更することで、[利用可能な列] に表示される項目をカスタマイズすることができます。 今回は、グループのプロパティにある [メモ] を追加する方法を例にとってカスタマイズする方法を解説します。 最終的には、下記のように一覧の中に [メモ] の列が表示されることを目指しま
階層構造になっているセキュリティグループ内のユーザーを再帰的に検索するLDAPフィルタ
"LDAP_MATCHING_RULE_IN_CHAIN"。非常に有益な機能だと思うが、日本語の情報がほとんど無かったので記事にしておく。 普通のLDAP検索フィルタは、ネストしたセキュリティグループに対応不可 Active Directory環境では、セキュリティグループのメンバーにセキュリティグループを入れるというネスト(入れ子)構造をよく使うと思う。セキュリティグループは会社組織と対応付けされることが多いので、例えば○○部のセキュリティグループの下に●●課のセキュリティグループと▲▲課のセキュリティグループを入れるといった具合だ。 ところが、このような構造において、「○○部に所属するユーザを全員取り出す」といったLDAP検索フィルタを書こうとすると難儀することになる。 上図のような構造で、GroupAに属するユーザーを取り出すLDAPフィルタを書く場合、単純に考えると (&(obje
[Windows10]デバイス&サービス間のシングルサインオンの仕組み
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 ※ご注意 ・現在公開されている情報+Fiddler等でWindows10の動きを解析した結果からの推測です。 (そのうちMSDNあたりに確かな情報も公開されると思います) ・Windows10 Insider Preview(Build 10074)をベースに確認しています。 ・細かい話は今月末(5/27)に開催されるidcon(別名fidcon)で話をする予定です。 今回はこれまで紹介してきたWindows10のクラウド・ドメイン参加(Cloud Domain Join/CDJ)によるPCログオンとOffice365等のアプリケーションの間のシングルサインオンの動作の仕組みについて考えてみます。 その前におさらいです。 ◆CDJとは 簡単にいうと、Windows10のデバイス(
![[Windows10]デバイス&サービス間のシングルサインオンの仕組み](https://cdn-ak-scissors.b.st-hatena.com/image/square/12c92a538d39853bfaa52da092a364785f86e147/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhCmn_1kkMTWiCWBc_sWfrQrYu7NL9Ki4yCWMJF1xaU2Xh8pRZ1i6nokTvmicBbNwE2HEWeC37zxkyrso9FdNoO0OOjF-23KPInJWY4Xl6kxAMC7JFUJ8GhZhAIabOeOIDNnpefyNltVqI%2Fw1200-h630-p-k-no-nu%2F1.SSO.png)
PowerShellのGet-ADUserコマンドレットでActive Directoryのユーザー情報を取得する
PS C:\> Get-ADUser -Properties * -Filter * |export-csv -encoding default -path C:\Users\Administrator\Documents\ADUSER.csv (写真2)Get-ADUserコマンドレットで取得したユーザー情報をExcelで開く 例として最後のログオン日時と、最後のパスワード変更日時を見てみます。 LastLogonDateとPasswordLastSetがそれですが、なんと人間が見てわかる日付時刻形式で記録されています。 感激です。 今までこれを調べるためには、csvdeコマンドでActive Directoryからユーザー情報をエクスポートしていましたが、1601年1月1日から100ナノ秒単位の値と言う、意味不明な数値が記録されているため、これを人間が見てわかる値に変換するのが面倒でし
RPC サーバーを利用できません? - Ask the Network & AD Support Team - Site Home - TechNet Blogs
こんにちは。Windows プラットフォーム サポート担当の石丸です。 ・ RPC サーバーを利用できません ・ エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません Windows のシステム管理者の方なら、一度はこのようなエラー メッセージを見たことがあるかも知れません。 Active Directory の複製処理を GUI から実行した時とか・・・ ntdsutil コマンドで Active Directory の管理を行う時とか・・・ デバッグ ログの中にも・・・ 今日は管理者の皆様を悩ませている(かも知れない?)このエラーメッセージの意味と対処方法について解説していきます。 1. RPC とは? RPC とは Remote Procedure Call の略で、その名の通りリモート コンピューター上に実装された機能を呼び出すための仕組みです。 しかしなが
ごまかしだらけのWindows Server 2012 R2 での監査設定
さてさて、今回もホッテントリメーカーを使用しています。 企業においは、AD を使用していることだと思います。そして、監査の設定を行っていることでしょう!Windows Server 2008 から監査設定が変わりました。今まではカテゴリーごとの監査設定を行っていましたが、Windows Server 2008 より「サブカテゴリー」が創設されました。しかし、このサブカテゴリー設定はグループポリシーによる設定ができなかったのです。それが、Windows Server 2008 R2 より、グループポリシーによる設定が可能になりました。ということで、Windows Server 2012 R2 で検証を行ったので備忘録として載せておきます。 まずは、おさらい。 グループポリシーの設定には、ポリシーと基本設定がありますが、ポリシーの場合レジストリにポリシー設定が保管される領域があり、対象のマシン
WindowsのActive DirectoryとbindによるDNSの連携 やりなおし編: ぴろにっき
自慢じゃないが以下略。 とにかくWindows Serverがいかにアレで困ったちゃんなのか、世界の端っこで悪口雑言を叫びたいのだが以下略。 さて。前アーティクルで、「ゾーンデータの動的更新を許可すれば~」みたいなことを書いた。 が、コレが実に問題のある対応方法であるということが判った(いや…冷静に考えれば最初からわかっていたはずだ!>をれ)ので、別のやり方を探してみた。 なにが問題だったか。それは… 問題点その1:とにかくWindows Serverがゾーンデータをみるみる書き換えてグチャグチャにしてくれるということ。 →ゾーンデータにクライアントやサーバを書き足したくなって、ゾーンファイルを開こうものならそこには…orz 問題点その2:動的更新を全て許可してしまっているので、セキュリティもへったくれもない。 →そうだよね…Windows Serverからはゾーンデータいじりたい放題だも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Azure AD の新機能により ID プロビジョニングをよりシンプルに
Ubuntu 18.04でActive DirectoryへのOpenLDAPプロキシを構築
Kerberos認証の暗号化設定
LDAP で Active Directory をレプリケーションしたい、という話 | blog-kazuhisya.rhcloud.com
Account-Expires attribute - Win32 apps
https://www.media.hiroshima-u.ac.jp/st/news/cloudsympo/cloudsympo-20160325-3.pdf
FRS ジャーナル ラップ エラー トラブルシューティング 第一回 (SYSVOL と NETLOGON フォルダーが共有されない?)