ドメイン環境で使用されるポート

（質問）
信頼関係を結んでいる二つのドメインで使用する動的ポートについて
 
信頼関係を結んでいる二つのドメイン間で開放する必要のある動的ポートについての質問です。
OS：Windows Server 2003及びWindows Server 2008 R2　SP1
Windows Server 2003のDC2台で管理されているドメインとWindows Server 2008 R2のDC2台で管理されているドメインが信頼関係（フォレストの信頼）を結んでいます。信頼関係は2008R2ドメイン内のファイルサーバーに2003DCに属するコンピュータから2003DCのアカウントでシングルサインオンでアクセスする用途のためだけに結んでいます。
下記のサイトを参照すると、ADで使用する動的ポートとしては2003では1024-65535を2008では49152-65535を使用するとのことですので、本環境では二つのバージョンの動的ポートを網羅するため以下のそれぞれの箇所にあるファイアウォールで1024-65535を解放している状況でした。
1.2003ドメインと2008R2ドメインの間
2.2003ドメイン内
3.2008R2ドメイン内
しかし、そうすると開放しているポートがあまりに広範囲となるため、ためしに以上の３つの地点で1024-65535を解放していたものを49152-65535に狭めたら、特にADの動作に問題はありませんでした。
これにより、信頼関係を結んでいる相手のファイルサーバにアクセスするだけの用途であれば2003で必要な1024-49151が開放されている必要はないのかもしれないと解釈しているのですが、このままの環境にしておいて何か想定される問題はありますでしょうか
ご回答頂けると大変うれしいです。
 
（回答）
●●●●です。
片方向のみへのアクセス、という意味での信頼でしょうか？リクツとしては2003側のRPCサービス(エンドポイントマッパからの2次接続)にアクセスしない、ということならこの設定で大丈夫だと思うのですが、本当にそれで問題ないかどうかは、実際に想定する操作を一通り行って確認した方がいいと思います。RPCがどのポートを使っているかは、portqryuiツールで確認できます。
http://support.microsoft.com/kb/832919/ja
RPCポートのせいでFWが全開になってしまうのがちょっと、ということなら、RPC2次ポート範囲を明示的に指定し、その範囲だけFWを通す、という対応はどうでしょうか。したの情報を参考に設定を行ってください。ただし、ポートの範囲は数百個は必要なので、そこは注意してください。
http://support.microsoft.com/kb/154596
 
(MSのプログ)
ドメイン環境で使用されるポートについて
(MSのページ)
Active Directory および Active Directory ドメイン サービスのポートの要件
（参考ページ）
http://www.infraexpert.com/study/tea5.htm
http://www.cman.jp/network/term/port.html
http://www.vwnet.jp/mura/PortNumbers/tcpip-port.asp
（過去ログ）
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/529fa9f2-3b6e-4584-a87b-44f4ad6bbbd3/#43fcbc02-653b-49ed-afd4-7d27594f707c
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/f6c6e5c1-0199-4244-89dc-f95ce3663250
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/65ee97fc-fe41-4ae5-92d5-c387a5a9a166

XP SP3とServer 2008 R2のNLA

したのXP SP3とServer 2008 R2のリモートデスクトップ接続の現象に対する修正プログラムはリリースされたのだろうか。
 
（質問）
XP SP3にて同じネットワークにある2008サーバに対してIPアドレスでリモートデスクトップ接続できません

はじめまして、お世話になります。
サーバA：ActiveDirectory　DC　（ドメインA）　windows2008R2 standard
クライアントPC(a)　ドメインA参加
サーバB:ActiveDirectory　DC　（ドメインB）　windows2008R2 SP1 foundation
クライアントPC(b)　ドメインB参加
この環境でクライアントPC(b)からサーバBへのリモートデスクトップ接続だけができません。
エラーメッセージは「認証エラーが発生しました。指定された対象は不明か、または到達できません」です。
接続の際のユーザはすべてそれぞれのドメインのadministratorsグループのユーザです
a---->A　OK　　a---->B OK
b---->B　NG    b---->A OK
何が問題なのかが分からず困惑しております。なにかヒントになればと思い質問させていただいております。
よろしくお願いいたします。
------------------------------------------------------------
その後、ドメイン未参加のPCなどを使ってとテストを行いました。
サーバA：ActiveDirectory　DC　（ドメインA）　windows2008R2 standard
クライアントPC(a)　ドメインA参加　（Vista）
　－－－10.0.0.0/24
サーバB:ActiveDirectory　DC　（ドメインB）　windows2008R2 SP1 foundation
クライアントPC(b)　ドメインB参加　（XP　SP3）
　－－－－10.0.1.0/24
サーバC：ActiveDirectory　DC　（ドメインC）　windows2008R2  SP1 foundation
クライアントPC(c)　ドメイン参加なし　（XP　SP3）
　－－－－10.0.2.0/24
a---->A　OK　　a---->B OK    a---->C OK
b---->A　OK    b---->B NG    b---->C OK
c---->A  OK    c---->B OK    c----->C NG
でしたので、クライアントｃをネットワークAにつなげてテストしました。つまり
サーバA　クライアントPC(a)　クライアントPC（c）－－－10.0.0.0/24
サーバB　クライアントPC（b）－－－－10.0.1.0/24
サーバC－－－－10.0.2.0/24
の状態では
a---->A　OK　　a---->B OK    a---->C OK
b---->A　OK    b---->B NG    b---->C OK
c---->A  NG    c---->B OK    c----->C OK
以上のことより同じネットワークに属するXPのクライアントよりリモートデスクトップ接続できないことがわかりました。
そこでIPアドレスの代わりにホスト名をいれるとリモートクライアント接続が可能になりました。
XPのみで発生していると思うのですが、同じネットワークに属するサーバに対しては　IPアドレスではなくホスト名を入れなければならない原因などわかりますでしょうか？
ちなみにリモートデスクトップのバージョン違いでテストした処
エラーメッセージは「認証エラーが発生しました　（コード：0ｘ80090303）」。になります
以上すべてのテストは　「ネットワークレベル認証」　を使用しての接続です。「ネットワークレベル認証」　を使用しない場合はIPアドレスで接続できることを確認しました。
 
（質問・続）
こんにちは、ご回答ありがとうございます。
IPアドレスで接続できないXPクライアントのリモート・デスクトップ接続クライアントのバージョンは
「シェル　バージョン　6.1.7600
コントロール　バージョン　6.1.7600
ネットワーク　レベル認証はサポートされています。
リモート　デスクトップ　プロトコル　7.0がサポートされています」
「シェル　バージョン　6.0.6001
コントロール　バージョン　6.0.6001
ネットワーク　レベル認証はサポートされています。
リモート　デスクトップ　プロトコル　6.1がサポートされています」
以上の2つのバージョンでテストしています。エラーメッセージは違いますが、どちらも接続できません。
ホスト名では接続できますので、その辺りが問題なのでしょうか？
 
（回答）
XP SP3にWindows XP 用リモート デスクトップ接続 (Terminal Services クライアント 6.1) (KB952155)、リモート デスクトップ接続 7.0 クライアント更新プログラム (KB969084)の２つをそれぞれ適用したり、リンク先のブログのとおりにレジストリを修正してみましたが、サーバー側でネットワーク認証レベルを有効にするとIPアドレスでの接続はRDC6.1ではおっしゃるとおりのエラーがでました。RDC7.0でもエラーメッセージは違いますが接続できませんでした。
したのブログ（？）のとおり、
http://2chnull.info/r/win/1261222620/
（51：名無し~3.EXE：2009/12/22(火) 18:02:22 ID:UZsNU3Ik　より一部を抜粋すると）
・PC1からサーバAにホスト名で接続をすると
サーバAローカルアカウントでもドメインアカウントでも接続可能
・PC1からサーバAにIPアドレスで接続をすると
サーバAローカルアカウントでは接続可能
ドメインアカウントではエラー(0ｘ80090303)が発生し接続不可
ネットワーク認証レベルを有効にしたメンバーサーバーにIPアドレスで接続するときは、メンバーサーバーのローカルアカウントでは接続可能でしが、ドメインコントローラーにIPアドレスではどのアカウントでも接続できませんでした。
MSからの修正プログラム（これから出るかどうか不明？）を待たれた方がよいかもしれません。
 
（別の方のコメント）
Windows XP に関連するプログラムの不具合だとすると、リリースされない可能性があります。
理由は延長サポートフェーズに入っているためです。
どうしても必要なのであれば、有償サポートに相談してみてください。費用がかかる可能性はあります。
http://support.microsoft.com/gp/lifecycle/ja のサポートライフサイクルを参照。
 
（参考:個人の方のブログ）
XP からネットワークレベル認証を有効化した 2008 へリモートデスクトップ接続する－えこ日記
XP SP3でネットワークレベル認証(NLA)を有効にできんのかよ－kamepress
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/d92c4cee-ab9c-4dbd-8930-fdbf08912225

仮想環境にADCSのインストール

仮想環境にADCSをインストールしていると証明書発行に失敗することがある。

 

（質問）

失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。

 

Active Directory 証明書サービスを利用していましたが、突然、認証できない状態となりました。

調査の結果、ログに

"失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。

要求の署名の確認エラーまたは証明書の署名エラー"

というものが存在していましたが、失効サーバーがオフラインになる原因には、どの様な場合が

考えられるのでしょうか？(証明書の有効期限は切れていません。)

宜しくお願い致します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（回答）

エラーから考えるにCRLがうまく読み込めていないようですね。

一つの原因として、DELTA CRL がうまく発行されないことが考えられます。

また、同じようなエラーに遭遇した体験談がありました。

証明書発行に失敗

以上、参考になれば幸いです。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/07fb0448-dea6-4a47-adfc-10b238494f9b

Windows Update Client failed to detect with error 0x800b0001

WSUSサーバーの役割のあるWindows Server 2008 R2を再インストールした場合、Windows Server Update Servicesの役割追加と自動的に適切に設定されたIIS 7.5の役割追加がエラー（更新プログラムが適用されていない、ネットワークの設定が適切でない、などのメッセージがでて）できなくなることがある。（再インストールするWSUSサーバーがドメインコントローラ場合、そうなった。）その場合は、ここより64Bit版のWSUS SP2のインストーラー個別にをダウンロードしてインストールするしかないようである。（関連するIIS 7.5の役割については手順書を見て手動で適切なものを選択して役割追加する。）
0x800b0001のエラーでWSUSサーバー自体が、Windows Updateができない、WSUSクライアントの状態が報告されない(Windows Updateログにエラーが出ている）事態になればしたのKBと投稿が参考になる。
(MSのブログ)
WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)

（質問）
Windows Update Client failed to detect with error 0x800b0001

WSUS3.0SP1サーバからWSUSクライアントに対して、WindowsUpdateが送られていません。
クライアント側のログを見ると、以下のメッセージがありました。
Windows Update Client failed to detect with error 0x800b0001
ちなみに、technetでこのエラーメッセージのスレッドが以下のURLにありました。
http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/04e52fb1-6927-4cc6-9857-63fa44f8f5d9
Japan WSUS Support Team Blogにこれに関係して以下の情報があったのですが、KB954960の手順が解決策ということで
よろしいでしょうか？
KB2720211 適用後に WSUS サーバーが起動しなくなった - 続報
http://blogs.technet.com/b/jpwsus/archive/2012/07/02/wsus-kb2720211-issue-update.aspx?Redirected=true
教えてください。よろしくお願いします。
 
 （回答）
はじめまして。
こちらはSP2環境で同じ事象がありましたが、KB2734608のパッチ適用で回避できました。
お使いの環境がSP1とのことで、上記パッチは対応してないようですが、ご参考まで。

WSUS管理コンソールへ接続エラーで接続できず、プログラムの追加と削除からWSUSをアンインストールもできなくなった場合はしたの個人の方のブログが参考になる。
 http://ameblo.jp/somepick/theme-10014651500.html
（以下、本文一部抜粋）
WSUSアンインストール時に、WSUSは「Windows Internal Database」にアクセスします。「Windows Internal Database」はちゃんと稼働していないと、アンインストールに失敗します。
逆に言うと「Windows Internal Database」が正常稼働させることができない状態に陥ると、アンインストールができない（再インストールもできない）ということになります。
というわけで、WSUSをだまして、「Windows Internal Database」を使っていないことにします。
 ・レジストリで下記の値を変更
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup」の
　「wYukonInstalled」の値を「1」から「0」に変更。

※下記の個人の方のブログ記事は本件の事例には該当しませんが、参考まで。
WSUSの入れ直し－サーバ管理者の覚え書き

［WSUSのアンインストール・再インストール手順］
１．管理データのバックアップ
管理データはWindows Internal Database(以下、WID)に保存される。そのデータベースのバックアップを取得する。
●サービス一覧より[Windows Internal Database (MICROSOFT##SSEE)] を停止させる。
●WSUSのルートフォルダにある[UpdateServicesDbFiles]フォルダをバックアップする。(Eドライブにある場合。)
(E:\WSUS\UpdateServicesDbFiles\SUSDB.mdf)
と
(E:\WSUS\UpdateServicesDbFiles\SUSDB_log.ldf)
SUSDBデータベース用のファイル２つをバックアップする。
（@IT参考資料）
http://www.atmarkit.co.jp/fwin2k/operation/wsusqa08/wsusqa08_02.html
●サービス一覧より[Windows Internal Database (MICROSOFT##SSEE)] を開始させる。
 
２．WSUSのアンインストール
アンインストールを実行するとウィザードが起動する。そのとき削除するデータの選択を求められる。
[Windows Server Update Services 3.0 SP2 データベース] は削除する。これは先程バックアップを取ったファイルである。
[ログファイル] は削除しても構わない。
[ダウンロードされた更新ファイル]は絶対に削除していはいけない。これはサーバにダウンロードされた更新プログラムファイル群である。
 
３．WSUSの再インストール
データベースはWIDを選択する。アンインストールでデータベースを削除しているので新規で作成される。
 
４．更新プログラムの適用
更新プログラム(KB2734608，KB2720211等)を適用する。
 
５．管理データの復元
●サービス一覧より[Windows Internal Database (MICROSOFT##SSEE)] を停止させる。
●バックアップしてあった[UpdateServicesDbFiles]フォルダ内の
(E:\WSUS\UpdateServicesDbFiles\SUSDB.mdf)
と
(E:\WSUS\UpdateServicesDbFiles\SUSDB_log.ldf)
SUSDBデータベース用のファイル２つを上書きして復元する。
●サービス一覧より[Windows Internal Database (MICROSOFT##SSEE)] を開始させる。
 
６．再度、更新プログラムの適用
再度更新プログラム(KB2734608，KB2720211等)を適用する。

※ WSUS サーバーのオプション設定は初期化されるので、現在の設定をメモに残す必要がある。（他にWSUSのレプリカがなく、WSUS管理コンソールへ接続エラーで接続できない場合、設定はデフォルトの状態からするしかない。）

http://social.technet.microsoft.com/Forums/ja-JP/wsusja/thread/59bb4605-b72a-41a7-89be-4eefb1ce56d8

Office2010のインストールおよびサービスパックの適用

64bit 版のOS に普通にOffice2010のインストールDVDを挿入すると、32bit 版のOffice 2010がインストールされるのでサービスパック(SP1)も32bit 版のものを適用することになる。

（質問）
WSUS 3.0 SP2でOFFICE2010　64bit のサービスパックが適用されない
 
WSUS3.0　SP2　を導入しております。
更新の状況を確認したところ、office 2010 の64bit版のサービスパックだけが全てのクライアントで適用されていませんでした。
office 2010 の32bit版のサービスパックは全て適用されています。
製品とクラスで選択しているのは
[製品]
　　■Office 2003
　　■Office 2007　　
　　■Office 2010
　　■Windows 7
　　■Windows Vista Dynamic Installer
　　■Windows Vista Ultimate Language Packs
　　■Windows Vista
　　■Windows XP x64 Edition
　　■Windows XP
[クラス]
　■Service Packs
　■セキュリティ問題の修正プログラム
　■修正プログラム集
　■重要な更新
　■定義更新プログラム
です。Officeの32bit版と64bit版で区分けはされていましたでしょうか？
64bit版も適用したいのですが、その方法をご教授いただけれますでしょうか？
ちなみにWindows Server 2008 R2 SP1を使用しております。
 
（回答）
Office 2010 のインストール DVD には、Office 2010 32bit 版と 64bit 版の両方が入っています。64bit 版のOS に普通に挿入すると、32bit 版のOffice 2010がインストールされます。
（参考ブログ）
http://snow-white.cocolog-nifty.com/first/2010/06/microsoft-off-2.html

64bit版のOffice 2010を導入するメリットがあるか否かの判断する根拠については（例えば）したの資料にあります。
http://pc.nikkeibp.co.jp/article/news/20100615/1025530/
WSUSでは、64bit版のOffice 2010のサービスパックはまだ提供されていないものと思われるため、手動でインストール必要があると思います。
Office 2010 SP1 の説明
http://support.microsoft.com/kb/2460049/ja
（以下、参考）
http://technet.microsoft.com/ja-jp/library/ee681792.aspx

(MSのページ）
Microsoft Office の 32 ビット版と 64 ビット版を選択する
Office2010 Pro通常版［パッケージ］

 
http://social.technet.microsoft.com/Forums/ja-JP/wsusja/thread/f64087b6-37fa-4a1e-97f6-dfb8ff5fb18c
 

無線LANでActive Directory構築

Active DirectoryへIEEE 802.1x認証を行っての無線LAN環境構築はまだ敷居が高いということか。IEEE 802.1x対応の機器、RADIUS、ＮＡＰＳ、PEAP-TLS、PEAP-EAP-MSCHAPv2、・・・と深い専門知識が必要である。

 (MSのブログ)
802.1x 認証方式NAP対応
  

（質問）

Windows7の無線によるActiveDirectoryへのログオン

 

お世話になっております。

無線でのActiveDirectoryのログオンについて質問させて頂きます。

ノートPCの内蔵無線LANを利用し、LEAP認証を使ったActiveDirectoryへのログオンを想定しています。

設定する上で

・OS標準のサプリカントを使用しログオンする
・シングルサインオンは使用しない

という条件化の元、設定を行っているのですが

その際、「現在、ログオン要求を処理できるログオンサーバーはありません。」

とのメッセージが出てログオン出来ない状態です。（有線で行った場合はローカル、ドメイン共ログオンする事が出来ました）

テスト的にシングルサインオンのログオン前認証の設定を行って接続を試みましたが同じ結果でした。

LEAP認証を使ったドメインログオンは対応してないんでしょうか？

この環境(条件）下でLEAP認証を使ったドメインへのログオンの設定方法等ありましたらご教授お願い致します。

 

環境

ドメインコントローラ・・・Windows２００８

クライアント・・・Windows7（無線接続、LEAP認証）

ポリシー設定（全てローカルポリシーで設定しています）

・対話型ログオン : ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数　設定値：0

・コンピュータの起動およびログオンで常にネットワークを待つ　設定値：有効

・グループポリシーの低速リンクの検出　設定値：有効　接続速度0

（回答その１）

無線LANでのAD認証ということであれば、環境の説明が足りないと思われます。

RADIUSはNPSでしょうか？それともサードパーティ製でしょうか？APはCiscoの何を使用されているのでしょうか？

 

Windows Server 2008 ではEAPがサポートされたことにより、CiscoのLEAPもサポートするようです。でもその際にはNPSにインストールする必要があるみたいです。（ここらへんは実際にやったことがないので何とも言えませんが）

 

ネットワークポリシー サーバー

http://64.4.11.252/ja-jp/magazine/2007.12.cableguy.aspx

また、アクセスポイントによっても制約があるみたいです。

RADIUS サーバとの EAP 認証

http://www.cisco.com/JP/support/public/ht/tac/102/1021310/leapserver-j.shtml

 

LEAPを使用したいということであれば、CISCO製品をお使いと推測しますので、まずはそちらの製品がマイクロソフトのNPSをサポートしているかを確認されたほうがよろしいかと思われます。

また、マイクロソフト標準でサポートしているワイヤレス認証ではPEAP-TLSおよびPEAP-EAP-MSCHAPv2 になります。ですのでLEAPを使う場合はクライアントにCiscoのサプリカントを導入する必要がありますね。

 

さらに、NPSにはコンピューター証明書が必要になりますので、CAを配置する必要があります。

以上の環境が用意されており、どのような設定になっているかがわからないと、質問への対応は難しいと思われます。また、LEAPを使うということなので、Ciscoへの問い合わせをしていただくほうが確実かと・・・

 

余談ですが、無線を使って802.1x認証を行わないのであれば、認証プロトコルに関しては関係ありません。設定を行わなくてはならないのは暗号化のみですね。WPA2あたりで設定して、APと有線をつなげておけば有線と同じようにAD認証されます。

 

以上、参考になれば幸いです。

（参考:Cisco資料）
Cisco LEAP（Lightweight Extensible Authentication Protocol）
EAP-FAST 導入ガイド
（参考:個人の方のブログ）
WAPS-HP-AM54G54 を PEAP-MS-CHAP v2 で使用－SEの雑記

（回答その２）

○○○○です。

無線LANで問題が出た場合ですが、接続時にどんな内部動作が発生したのか EAPOL ログを取って調査することが一般的です。
EAPOL ログの取り方については、したの情報をどうぞ。

http://technet.microsoft.com/en-us/library/dd851746.aspx

・Windows Server 2003 (R2) ADのITProの資料
すぐできるWindowsサーバー強化術（第3回）無線LANのアクセス・ポイントを設置する－ITPro
・Windows Server 2008 (R2) ADのベンダー資料
Windows Server 2008 NAP 設定手順書 802.1X 編  ～テスト環境での802.1X NAP の強制～－CTC
（参考:個人の方のブログ）
Windows Server 2008 R2 環境で PEAP-MS-CHAP-v2認証の無線LAN環境を構築する－メモ的な思考的な(Hatena::Diary)
 
RADIUSを使って認証を行う機能は、
Windows Server 2003 (R2) ADでは、インターネット認証サービス（IAS）
Windows Server 2008 (R2) ADでは、NPS(ネットワークポリシーサーバー)
（参考資料：マイナビニュース）
http://news.mynavi.jp/series/AD/099/index.html
（参考ページ）
Windows XPの802.1xサプリカントのトレースログの取り方
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/76ab9e49-f241-49bf-8487-53a03588d034

謹賀新年

　　　　　　　
　　　　　　　　　　　　　　謹んで新年のお慶びを
                　　申しあげます

            　　平成二十五年元旦