Windows Server 2012R2環境で、Windows10クライアントをドメイン参加させると、Sysvol共有やNetlogon共有など重要なアクセスができない。副作用として、グループポリシー展開やVBS実行ができなくなる。

日夜企業システムと戦う皆さんこんにちは。
さて、今回はまだまだ考えられる組み合わせによる不具合対処をメモっときます。

【症状】

 Windows Server 2012R2 ドメインコントローラー環境(レベルも2012R2)で、Windows10から 「Sysvol」共有や「Netlogon」共有にアクセスした際に、ダイアログが表示されユーザー名とパスワードを要求されるが何を入れても改善されず、アクセスできない。

【補足事項】

 ・¥¥domain¥sysvol とタイプすると、パスワードダイアログが出現するが、なにも通らない。

 ・¥¥domain¥Netlogon とタイプすると、パスワードダイアログが出現するが、なにも通らない。

 ・¥¥domain¥sysvol 配下に VBscriptを保存して、一定の操作をさせていたが動作しなくなる。

【原因】

 Windows Server 2012R2 でハンドリングされている「強化された UNC パス」ポリシーとWindows10との相性が悪いため。

 (Windows7以下の場合は発生しません。8/8.1はおそらくしないと予想できるけれど試してません。)

 MS15-011 で実装された「UNC Hardened Access」による障害と思われます。

 

【回避策(概要)】

 ・ドメインに適用されるグループ ポリシーにて、以下のポリシーを構成します。

   [コンピューターの構成] – [ポリシー]- [管理用テンプレート]- [ネットワーク]- [ネットワーク プロバイダー] – [強化された UNC パス]

   指定値に、「RequireMutualAuthentication=0, RequireIntegrity=0」を代入する。

  ※以降に詳しく書いていきます。

 

【解説】

現状Windows7を中心としたクライアントPCをWindows10に置き換えているところだと思われますが、ドメインコントローラーまで手が回っていますか?「何を言っているのだ?ぽかーん」では、えらいことになっちゃいます。

既出ですが、Microsoft Windows は、Server OS とClient OS を同時に開発しています。というか、もともと同じものです。機能を付けたり、削ったりして、使い分けているのです。つまりは同じバージョンのServer と Client はもともと相性がよく、異なる組み合わせには何らかの相性の悪さが発生する可能性が高まるのです。

 同じものの組み合わせは以下の通りです。

  ・Windows Server 2008R2 - Windows 7

  ・Windows Server 2012 - Windows 8

  ・Windows Server 2012R2 - Windows 8.1

  ・Windows Server 2016 - Windows 10

  ・Windows Server 2008 - Windows Vista

  ・Windows Server 2003 - Windows XP

 ここで、企業でWindows10を本格展開していくためには、相性の良いWindows Server 2016 の展開が終わっている必要があるわけです。

 すべてのドメインコントローラーを仮想マシン(Hyper-V)に乗せている場合は入れ替えやすいのかもしれませんが、(ドメコンの仮想化サポートは2012からとなっていますが、特定条件があるそうです。)

   参考:https://technet.microsoft.com/ja-jp/library/hh831477.aspx    及び https://technet.microsoft.com/ja-jp/library/hh831477.aspx

 迷信かもしれませんが、中央のドメインコントローラーは物理環境にしておかなきゃと信じている同志は、やはり物理マシンから調達しなければならないご苦労もあり、ついついWindows Server 2012R2のまま、2016のKMSキーをインストールして、満足していることも多いかと思います。(HPE製Proliantサーバーでは、BIOSやIntelligent Provisioning tool のバージョンが重要であり、これらを理解の上でないとクリーンインストールもアップデートインストールも恐ろしいので、なかなか着手できません。うかつに2016にアップデートするとブルースクリーン地獄が待っています。)

 調べていくと、以下のページにたどり着きます。(というかほかに情報がない。)※TechNet

 いろいろ読み解くと、SMBv1.0が悪さをしているとか、SMBv1.0を無効化させるといいとかいまいちな情報に惑わされました。

(関係はないけど使えそうな命令を残しておきます。管理者権限コマンドプロンプト) ※Windowsサポート 

 (1)SMB 動作モードをチェックする - sc.exe qc lanmanworkstation 

 (2)SMBv1を停止させる-

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled

 (3)SMBv1を開始する-

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= auto

 (4)SMBv2/v3を停止させる-

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
    sc.exe config mrxsmb20 start= disabled

 (5)SMBv2/v3を開始する-

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb20 start= auto

 いなせな方はPowerShellでぜひとも挑戦願います。

 しかしながら、これでだからどうやねんということになり、改善しませんでした。

 

 最終的に、MS15-011 が原因だろうといわれています。

 UNCパスへのファイルアクセスを保護するために採用された更新プログラムなのですが、これがWindows10からのアクセスだとうまく通らないことが原因なようです。

   *UNC (Universal Naming Convention): Windows がファイルやリソースにアクセスする場合に利用する表記形式。¥¥<hostname>¥<sharename>¥<objectname> で表記を行う。

 

回避策としては、

 (1)セキュリティパッチKB3000483を適用する。(ドメイン内のすべての端末:ドメコン~メンバー~クライアント)

 (2)グループポリシーで以下の値を記述し、適用する。

  [コンピューターの構成] – [ポリシー]- [管理用テンプレート]- [ネットワーク]- [ネットワーク プロバイダー] – [強化された UNC パス]

   指定値に、「RequireMutualAuthentication=0, RequireIntegrity=0」を代入する。

    この場合の「指定値」とは、 ¥¥domain¥sysvol 及び ¥¥domain¥Netlogon フォルダのことです。

 

【手順】

 (1)グループポリシーエディタをドメインコントローラー上で開きます。

 (2)新しい「グループポリシーオブジェクト」を作成します。(ドメインへのリンクは後でいい)編集モードに入ります。

    

 (3)[コンピューターの構成] – [ポリシー]- [管理用テンプレート]- [ネットワーク]- [ネットワーク プロバイダー] – [強化された UNC パス]まで下ります。

    

 (4) [強化された UNC パス]をたたいて、編集ダイアログを表示させます。

    「有効」を選択すると、左下ペインの「表示」ボタンがアクティブになるので、これを押下。

 (5)左列「値の名前」にSysvolとNetlogonを入力し、それぞれの対応する右列欄に以下の文字列を記入する。

     「RequireMutualAuthentication=0, RequireIntegrity=0」 ※どちらの値も同じものを入れる。 

    これにより、「強化されたUNCパス」が事実上無効になるはずです。(古いWindows Server やWindows7などがなくなったころには戻しましょう。忘れずにw)

    注意:「RequirePrivacy=1」は特定の条件を満たしている場合以外は絶対に書かないこと。

     参考:Microsoftサポート

    ・RequireMutualAuthentication=<0|1> – このプロパティが 1 に設定されている場合、強い認証が設定されます。

    ・RequireIntegrity=<0|1> – このプロパティが 1 に設定されている場合、整合性チェックが強化されます。

    ・RequirePrivacy=<0|1> – このプロパティが 1 に設定されている場合、暗号化形式通信を使用します。     

 (6)問題の発生しているWindows10クライアントでは、すでにSysvol共有へのアクセスに障害があるため、Gpupdateコマンド を実施しても反映されないため、きっちり電源を落として再起動を数回試みてください。そのうち適用されます。(問題が発生した状態で電源を入れ続けていても改善されないことが多いです。)

 

  ※参考にした Technet セキュリティチームブログ では、ついつい、上記値を1にしてしまいそうになりますが、これは既定の動きであり、本ケースでは解決できない値になります。

   あくまでも、UNCパスをセキュアにアクセスする方法なので、誤読しないようにしてください。     

 

 これで、ひとつ問題が解決できると思います。それでは皆様頑張って下さい。

2019年2月25日 初版

 

広告

沖縄でバイクに乗って走り回ってみたw

【沖縄でバイクのる】

今回沖縄でバイクに乗って一人で走り回っていたわけですが、バイク屋のおじさん情報とのっていた実感をなんとなくレポートしますね。

まず、12月1日なのに暑い!ボクは暑がりなので、Tシャツ一枚で走り回りました。でも地元の人は寒いって言ってました。わからない。

さて、バイクレンタルですが、結構お店あります。今回は県庁付近で探したので、WEB予約できるとこを選びました。150ccのマシンですが2日間で5000円保険込みでした。50ccも250cc以上もあったのですが、ここは見た目を重視ということで、YAMAHAファンとしてはコイツを。

那覇の街中は信号が多く、クルマも多いので、なかなか進みません。でもちょっと市街地からでるとたちまち信号がない道路になっちゃいました(まぁたまたま走ったところなんですけどね)でも真夏の時期だと暑くて死にそうだろうなと思うねん。今回は気持ちが良かったので最高。

ただし注意事項があります。たまたま雨がなかったので、たいしたことはなかったのですが、路面が濡れてたりすると恐ろしいです。

添付の写真(路面を写したもの)をご覧ください。

本土のアスファルト舗装とちがって、なにやら白っぽいんです。これを知っておかないとニワカライダーは簡単に転倒しちゃいます。

お店のおじさんに教えてもらったのですが、アスコン材料の骨材(要は砂利ね)にサンゴが使われてるんだって!これがツルツルなもんで濡れると滑る滑る!またクルマが走ったワダチ部分の表面がまた磨きがかかっていてツルツルなのだよ。

乾燥状態で、今回の相棒のリアブレーキをちょっと踏み込んだだけでズルううっと横滑りするし、アクセル全開で発進すると、ウイリーせずに、ドラッグレーサーのように空回りするし、聞いてないとまちまいなくコケるヒト多いと思いますねぇ。

それでもたららんと郊外を走って海に向かうサトウキビ畑に来ると対向車も少なくのんびり走れます。が!突如スプリンクラー散水が道路に!

うひゃーと突っ切ると、なんとも肥料の強い香りが目にしみて、大変なゾーンも存在します。w

でもビーチに着いたら、キレイですよ〜沖縄の海や砂浜。(遊泳禁止やっちゅーのに泳いでるおっさんいましたw)そりゃ入りたいわ、ボクだって。

ともかく初の沖縄ツーリングもどきは楽しゅうございました。またいこうと思うです。はい。

2018年12月1日記

緊急投票!Surface GO のオフィスなしモデルを日本国内で欲しいよなぁ!

以下のツイートに表示されるアンケートに投票していただけますと幸いです。

Microsoft社へ直接フィードバックされる意見集約です。

皆様のご協力が必要なんですよ。

概要

アメリカでは400ドルで売られるこのPCですが、日本用にはオフィスバンドルになって6万数千円で売られるそうなんです。

オフィスなしモデル欲しいですよね、4万円ぐらいで。

そのための意見集約なので、ご協力をお願いします🤲

以下からTwitterのリンクへ飛びます。(安全です。)

https://twitter.com/kenazuma/status/1016925741231947776?s=21

Windows10 エディションの呼び方が変わってる。SACTってなに?LTSCって何?

しばらく前に、LTSBについてメモってましたが、2017年7月に呼び方が変わってました。

 

変更前 変更後
Current Branch(CB) Semi-Annual Channel Targeted(SACT=半期チャネル対象指定)
Current Branch for Business(CBB) Semi-Annual Channel(SAC=半期チャネル)
Long Term Servicing Branch(LTSB) Long-Term Servicing Channel(LTSC)

基本的に機能の変化はありません。呼び方だけの変更と言われています。

ただ、各所記事によるとサポート機間がちょこちょこ見直されたりしているので、SACT/SACの寿命については確認しておく必要があります。

 

LTSCについては、

https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-overview

によると、

「Microsoft は、Windows 10 Enterprise LTSB を実行するデバイスでは、Windows Update を通じて機能更新プログラムを公開しません。
通常は、その代わりに 2 ~ 3 年ごとに新しい LTSC リリースを提供します。
組織はインプレース アップグレードとしてそれらをインストールすることも、10 年間のライフ サイクル全体にわたってリリースを省略することもできます。」

と書かれており、2018年3月1日現在としては、LTSB 2016 (1607)迄しか公開されていません。

サービス オプションごとの Windows 10 の現在のバージョン(2018年3月1日確認)

サービス オプション Version OS build 公開日 最新のリビジョン日付
Semi-Annual Channel (対象) 1709 16299.248 10/17/2017 2/13/2018
Current Branch (CB) 1703 15063.936 4/11/2017 2/22/2018
Current Branch (CB) 1607 14393.2097 8/2/2016 2/22/2018
Current Branch (CB) 1511 10586.1417 11/12/2015 2/13/2018
Semi-Annual Channel 1709 16299.248 1/18/2018 2/13/2018 推奨
Semi-Annual Channel 1703 15063.936 7/11/2017 2/22/2018
Current Branch for Business (CBB) 1607 14393.2097 11/29/2016 2/22/2018
Current Branch for Business (CBB) 1511 10586.1417 4/8/2016 2/13/2018
Long-Term Servicing Branch (LTSB) 1607 14393.2097 8/2/2016 2/22/2018
Long-Term Servicing Branch (LTSB) 1507 (RTM) 10240.17770 7/29/2015 2/13/2018

出典:https://technet.microsoft.com/ja-jp/windows/release-info.aspx

現時点では、LTSCは提供がないということです。

 

記事 http://www.itmedia.co.jp/enterprise/articles/1712/06/news014.html

によると、

「Enterpriseエディションでのみ提供される「Long-Term Servicing Channel」についても、特殊用途向けというメッセージは変わりません。組織で使うようなPCでの展開は想定しておらず、Enbeddedなど、特定用途のデバイスに対してのみ使用するのが望ましいです。一般的な社員が使うPCならば、Semi-Annual Channelの方が適しています。」

とありますが、実際のところ、LTSB/LTSCを企業PCへ展開するケースは相当多いものと思われますね。

(一般的な契約では入手できないところでハードルがありますが、一定以上の企業だとVLSC契約するので、大企業ほど採用されるのかな。)

LTSB/LTSCは、ストアアプリが動かない(一部ストアアプリに変換されたアプリ含む)ので、不自由な面もありますが、(「付箋紙」StickyNote、新電卓など)

企業シスアドにはありがたいことでもありますので、難しい問題ですよね。

あと、Windows updateによる強制再起動回数が少なめなのも・・・

 

それでは。

 

小室哲哉さんの引退報道

2018年1月19日に、ゴシップ週刊誌に不倫疑惑と報じられる被害で、ミュージシャンでありプロデューサーである小室哲哉さんが、「騒動を招いた責任として、引退」すると記者会見されました。

「不倫(疑惑)」って、配偶者に対する不道徳だと今の世間では厳しくあたられることは理解できます。それはそうだと私も思います。しかし当事者以外が特にマスコミが、潰しにかかるのはどうかというのが今回の騒動のポイントです。一昔前の昭和以前なら、言葉は悪いですが、「女囲えるのは男の甲斐性」とまで言われていたり、「英雄色を好む」なんて当たり前だったじゃないですか。それを羨むこともモチベーションだったりしました。

(そもそも日本は妾制があった文化だったことを現代人は忘れているようです。※この話題の議論は今回しないでください。)

時間が経つと予想していた通り、同情的な論調が増えてきて、少し炎上が得意な最近のネット社会中心の世の中でも、ただ有名人を叩いて喜ぶと言った一部のあり方をどうかという雰囲気が出てきたような気もします。

30数年小室さんを筆頭とするTM NETWORKを支持してきた自分としても、彼の業績や嗜好なども一般人よりは理解していますし、ここ数年の介護疲れを伴う生活も伝え聞いています。

コムロバブル期の終焉時に、海外進出するも詐欺にあわれ、100億を超える負債を自身の起こしたレーベルに落とされたため、経営者でなかった彼はずぶずぶと落ちていったことは意外に知られてはないことかもしれません。個人資産で100億が消えるって普通ないですよ。そもそもその現金持ってたって、通帳をおみせになったこともあるんですから。

そんな彼もハワイの別荘をはじめ多くの資産を始末して、(その中に世界で数台のMind controlというオリジナルリモートキーボードも含まれています)それでも返済できなくて、のちに実刑判決の伴う著作権詐欺の片棒を担いでしまい、また落ちてしまったわけです。

やっとこ、エイベックス社長などの古くからの盟友の助けを得て、普通の人の暮らしレベルまで引き上げてもらえたのですが、(一時給料制だったことはあまり知られていない)多くの版権利権を失っていた彼には以前ほどの収入はないことは、世間の人は知らないと思います。(負債も消えきっていない)

詐欺事件の裁判と実刑判決(執行猶予つき)で多くのものが失われ、KEICOさんの発症などで家族まで軋み、そこで世間から消えることもできずそれでも働かなければいけなかった状況を一体どのぐらいの人が知っていたのでしょう。

介護って家族だけで解決できないから疲弊するんですよ。お金でプロに助けてもらえると家族が壊れる可能性がぐんと下がります。当たり前です。だからお金がない世帯が疲れるんです。そうしたことから逆読しても、小室さんの家庭でも費用に関しては相当重かったのではないかと推測できます。(まだこれからご両親の介護も待っているわけですから)

西原理恵子先生の体験談なども参考になります。

仕事の上では振る舞いは(必要だったのか)芸能人らしくハデっぽくしていたので以前の彼のままだと誤解を生んでいたとも思うのですが、全盛期ほどの収益力は到底なかったのです。

それでも「なにか」に背を押され、頑張ってこられたプロフェッショナルの小室さんであり、ぼくらに「金色の夢」を見せ続けてくれたのです。(舞台裏は大変だったのに、それを表に出さず徹するわけです。)

昨日早々に「引退」を切り出した上で、それでもご自分の気持ちを「できるだけ誤解なくわかってほしい」という姿勢で挑まれたことは、我々小室信者としては言われなくても伝わってきましたし、ご自分をギリギリプロデュースしている最後の意地もわかりました。

一夜明け、予想していた通り、同情的な論調が多いと思います。ご本人も「今後はみなさんの数字が」と言われています。

まずは、心身疲れきっておられるのは間違いないので、引退されたつもりでお休みください。でもまだまだご隠居には早いと思いますし、みんな諦めが悪いと思います。多分ご本人も元気になればじっとしてられないはずなので、かつてTMが復活したようにTKも復活でいいと多くの人々が思っていますから、まずはしっかり充電なさってくださいませ。

どういう状況であれ、日本の稀有な才能がマスゴミに消されるなど、誰も望んでいないし、今まで頑張ってこられた小室さんへの敬意が我々の中から消えることはないので、応援する数のひとつとして、ブログに書いておこうと思いました。

2018年1月20日

追伸:文中の『なにか』をみんなで考えてみませんか?

(引用)擬似指紋は各種認証システムを突破できるのか?その一例。

「誰かの指紋をコピーして認証」ではなく、「最初から嘘モンの指紋を登録」して認証システムをパスできるかという大いなる実験です。

iPhoneは騙されるようですね。Windowsは…

(この記事は、大いなるファラオ様のブログを無断転載したものです。好きなだけリツイートするように(笑))

http://idmlab.eidentity.jp/2017/12/windows-hello.html?utm_source=dlvr.it&utm_medium=facebook&m=1

Windows 10 の LTSB をMAK認証するときは

今までWindows Enterprise のプロダクトIDは、ご存じの方も多いとは思いますが、

Enterprise版とProfessional版でさえ、同じプロダクトIDが使えました。

(※注意:VLSCなどで発行されているため、Enterprise対応版Professional版のProduct IDかもしれませんが)

(リテール版のProduct IDでEnterpriseに使えるかは確認していません。)

割と優しい仕組みでした。

 

ところが、Windows 10 の場合、

Windows 10 Enterprise版のMAK用Product IDは、LTSBに割り当てられないのです。(別製品として扱われています。)

LTSB専用のMAK用Product IDが提供されており、これを当てる必要があります。

また、LTSB2016に対して、LTSB2015のキーは認証されませんので、適切な契約が必要であることがわかります。

結構管理が大変になりますので、情シスの皆さんはやっぱりご苦労が減らないなぁと同情を禁じ得ないのであります。