グループポリシーでのパスワードの複雑さの変更

（質問）
パスワードの複雑さの変更について
 
グループポリシーから有効/無効で設定できる「パスワードの複雑さ」の要件を変更することは可能でしょうか。
デフォルトですと以下の通りの要件となっております。OSはWindowsServer2008R2です。
--
ユーザーのアカウント名またはフルネームに含まれる3文字以上連続する文字列は使用しない。
長さは6文字以上にする。
次の4つのカテゴリのうち3つから文字を使う。
英大文字(A ～ Z)
英大文字(a ～ z)
10進数の数字(0 ～ 9)
アルファベット以外の文字(i、$、#、%など)
--
 
（回答１）
パスワードフィルターを使えば出来そうです。
ただ、見る限り結構大変そうですね。
脅威とその対策: アカウントポリシー
Password Filters
 
（回答２）
○○○○です。
過去に同じ質問に答えたことがあります。passfilt.dllを作る、というのはその通りですが、市販ツールを使って対応する方法はありますね。
http://www.nfrontsecurity.com/products/nfront-password-filter/index.php
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/0475a2ef-cc08-4704-b3ff-430a0dfc7687
 
(Windows Server 2003 のMSのページ)
パスワードは、複雑さの要件を満たす必要がある
（参考：Hatenaのページ)
Windows Server 2003のパスワードポリシーで「複雑さを満たす」より厳しいパスワードポリシーを設定する事は可能ですか？
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/b30230eb-51ca-45ba-814c-a4181fd207f2

クラスター(MSFC)の再起動手順

（質問）
Windows Server 2008 R2でのクラスターエラーについて
 
お世話になります。
有識者の方のお知恵を貸して頂きたく。
 
１．お願い
各エラー(イベントID:1177,1069,1135)が出力された原因とその回避策をご教授願います。
２．現状のMSCS構成
<MSCS構成>
Windows Server 2008 R2 64bit SP1：２台
２台のｻｰﾊﾞにSQL Server 2008 EnterPriseがインストール
・ノード１、ノード２ + 共有ディスク + クォーラムディスク
３．事象
Windows Server 2008 R2 SP1 EnterpriseのMSCS構成で、Avtive側のサーバ(ノード１)を再起動(項番４の手順)を行い、
起動後、ノード１(元Active)のイベントログ(システム)にて、以下のエラー（項番5のエラー）が出力されました。
以前、同クラスタサーバに対し、同じ手順で再起動を行っていたのですが、
エラーは出力されませんでした。
今回、初めてエラーが出力され、何が原因でエラーが出力されたのが、不明な状態です。
同じ構成のクラスタサーバがいくつかあるのですが、
これらに対しても同じ手順で再起動してもエラーは出力されませんでした。
エラーが出力されたサーバのみ、共有ディスクのデータは日々増加しております。
※共有ディスクは、SQL Server 2008のデータ格納先
４．再起動手順
【現状の再起動手順】
<手順(ノード１の再起動)>
①所有者(ノード１)の全てのリソースを片方のサーバ(ノード２)に移動
※フェールオーバークラスターマネージャー → このサービスまたはアプリケーションを別のノードに移動を選択
②フェールオーバークラスターマネージャーで、所有者(ノード１→ノード２)、サーバ名、ファイルサーバ、ディスクドライブ、
　その他のリソースが切り換った(オフラインからオンライン)ことを確認
③ノード１のマイコンで、共有ディスクがないことを確認
※クォーラムディスクは存在
④ノード２のマイコンで、共有ディスクがあることを確認
※クォーラムディスクはない
⑤クォーラムディスクが残っている状態で、ノード１を通常のWindows再起動手順で再起動を実施
⑥ノード２のマイコンとクラスタマネージャーで、クォーラムディスクと共有ディスクがノード１から移行されていることを確認
 
５．エラー
(1)
ソース：FailoverClustering
イベントID:1177
クォーラムが失われたためにクラスターサービスがシャットダウンしています。クラスター内の一部またはすべてのノードとのネットワーク接続が失われたか、監視ディスクのフェールオーバーが原因となっている可能性があります。
(2)
ソース：FailoverClustering
イベントID:1069
クラスター化されたサービスまたはアプリケーション'クラスターグループ'のクラスターリソース'クラスターディスク１'は失敗しました。
(3)
ソース：FailoverClustering
イベントID:1135
クラスターノード' サーバ名 'がアクティブなフェールオーバークラスターメンバーシップから削除されました。
クラスターサービスがこのノードで停止されている可能性があります。
 
以上、宜しくお願い致します。
 
（回答）
お世話になります。
質問した内容に関して、原因と回避策を見つけましたので、
この質問はクローズ致します。
 
１．原因
再起動する際、リソースをペアのノードへ移動したが、
手動でクラスタサービスの停止を行わずにOSの再起動を行ったため
２．回避策
下記のリンクの手順書に従い、リソースをペアのノードへ移動し、
クラスタサービスを停止させてから再起動を実施
(1)手順
<http://technet.microsoft.com/ja-jp/library/cc771742.aspx>
上記のエラーは出力されませんでした。
 
以上
(MS KB)
Windows Server 2008 フェールオーバークラスターをシャットダウンすると、クォーラムを失ってサービスが停止することがある
http://support.microsoft.com/kb/2536102/ja
(MSのブログ)
http://blogs.technet.com/b/askcorejp/archive/2012/04/02/t.aspx

（追記）
Windows Server 2008 (St) R2 AD環境のWindows Server 2008 R2 (St) Hyper-Vマシン（３台）内のファイルサーバーの役割を構成したWindows Server 2012ゲストクラスター（数台）ではクラスタサービスを停止させずに再起動してもこのイベントエラーは出力されませんでした。
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/16348ec9-d03d-40fb-9960-fc00dd35f988

Windows PowerShell のActive Directoryモジュール

（質問）
ADサイト用のサブネットを登録するコマンド・ツールは有りませんか
 
ドメインへのサイトの新設を考えています。
必要なサブネットの数を確認してみたところ、４００を超えるため、「サイトとサービス」スナップインから手作業で登録する事は出来れば避けたいです。
そこでご質問なのですが、ADサイト用のサブネットを、コマンドやツールを用いて作成する手法は有りませんか。
環境としてはWindows Server 2003 R2 , DC 2台でシングルフォレスト/シングルドメイン/サイト無しで運用中。
情報がございましたらご教授頂けたら幸いです。
 
【追記】
状況を追記します。
DHCPサーバで端末側へ振り出しているIPアドレスが全て現在、24ビットマスクで管理されています。
MS公開情報には次の記述が有りました。
「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
 
「AD DS の "サブネット" という用語は、一連のすべてのアドレスを 1 台のルーターに設定するような、厳密なネットワーク定義を意味するものではありません。AD DS のサブネットの唯一の要件は、アドレス プレフィックスが IP Version 4 (IPv4) 形式または IP Version 6 (IPv6) 形式に準拠することです。」
 
つまり、ＡＤサイト用のサブネットを指定する際は、「24ビットマスクのサブネットを一括で登録する意味で、16ビットマスク形式でサブネットを作成しても構わない」という意味にとって良いでしょうか？
であればだいぶ楽です。
今後の事も含めて、コマンド/ツールが有るに越したことはないのですが…
 
（回答）
例えば、PowerShell で可能です。( 以下は、PowerShell 2.0 の場合です。)
 
Import-Module -Name ActiveDirectory
New-ADObject -Type subnet <その他の引数...>
作成例としては、PowerShell にて、Get-Help -Name New-ADObject -Examples  を実行するか、New-ADObject を参照すると、例 1 として載ってますね。
 
AD DS の新機能: Windows PowerShell の Active Directory モジュール
Windows PowerShell を使用した Active Directory レプリケーションおよびトポロジ管理
（＠ＩＴ資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/03powershell/
03powershell_01.html
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/058914cc-c61f-4d9b-ab18-6157b81b74cc

MSFCのプライベートハートビートネットワーク

Windows Server 2008 以降のMSFCではNICのチーミングは（特別な場合以外は）不要である。
 
（質問）
MSFCのプライベート ハートビート ネットワーク
 
MSFCのプライベート ハートビート ネットワークはどのように設定、構成すること
を推奨しているのか判断に悩んでいます。
Windows2003のクラスタではプライベート ハートビート ネットワークが必要な
ことがいろいろなサイトにのっています。
MSFCでは単一点障害を避ける観点でネットワークを構成することが
載っており、プライベート ハートビート ネットワークについては
その1つの手段で設定方法が以下のサイトに載っています。
フェールオーバークラスターの要件について
http://technet.microsoft.com/ja-jp/library/cc771404(WS.10).aspx?ppud=4
しかし、以下のURLで「プライベート ハートビート ネットワークが不要です。
また、この資料のネットワーク設定は不要で、不必要な動作の原因になる場合があります。」
ということが載っています。
http://support.microsoft.com/kb/258750/ja

この設定は以下の6種類ですが、すべてという意味なのでしょうか？
(1)相互接続から NetBIOS を削除する。
(2)クラスター通信の優先順位を正しく設定する。
(3)アダプターのバインド順序を正しく設定する。
(4)ネットワーク アダプターの速度とモードを正しく定義する。
(5)TCP/IP を正しく構成する。
(6)メディア検出機能を無効にする (Windows 2000 のみ)。
この設定をせずにプライベートハートビート ネットワークとパブリック ネットワークの2種類の設定をすると他のネットワークの問題が発生するのではないかと思います。
詳細をご存知の方がいらっしゃいましたがご教授ください。

別スレッドで(2)について触れているようです。
MSFC 内部ネットワークの優先順位を設定したい。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/374369f0-d7ab-49f6-aacd-fd91fa3c7f75

（回答１）
こんにちは。
実際にWin2008クラスタの実装・管理を行っています。
たしかに、おっしゃる通りKBには・・・
>プライベート ハートビート ネットワークが不要です。
>また、この資料のネットワーク設定は不要で、不必要な動作の原因になる場合があります。
・・・との記述がありますね。
 
しかし、Win2008クラスタでも、ハートビートは飛んでいますし、クラスタの制御上必要なパケットであることは、Win2003のときと同様です。
 
今、自分が管理しているWin2008クラスタは各ノードにNICを３枚装備し、チーミングはしていません。
NIC1・・・有効(Win2003クラスタの「混合ネットワーク」に当たる)
NIC2・・・内部(Win2003クラスタの「プライベートネットワーク」に当たる)
NIC3・・・内部(Win2003クラスタの「プライベートネットワーク」に当たる)
という設定にしています。
 
クライアントアクセスを受け付けるパブリックNIC側でチーミングを組むことが推奨なのは確かですが、OS標準の機能だけでWin2008のクラスタを組めない・・・というようなことはありません。それも確かです。
 
KBの「プライベート ハートビート ネットワークが不要です。」の記述の意図は良く分かりませんが、
・Win2008クラスタを組んだ後でNICを各ノードに追加すると、クラスタに自動認識され、「内部」ネットワークとして追加されます。
　よって、「内部」(プライベートネットワーク)として明示的に設定する必要は無い。
・または、Win2008クラスタでは「クラスタにこのネットワークの使用を許可する」を選択すると、「内部」ネットワークになります。Win2003クラスタのときの「パブリックネットワーク(クライアントアクセスのみ)」の設定はできなくなったため、プライベートネットワークとして明示的に設定する必要は無い。
・・・という、あたりの意味合いかもしれません。
 
ともあれ、
・Win2008のクラスタでもハートビートはクラスタの制御上必要なパケットである
・パブリックNIC側でチーミングを組むことは推奨だが、チーミング無しでもWin2008のクラスタは組める
・・・ということです。
 
（回答２）
 ○○○○です。

KB258750 の意味合いですが"ハートビート用専用ネットワークを用意しなくてもいい(not mustという意味ではなく)"という意味になると思いますよ。
これは、Windows Server 2003 とは異なり、ハートビートに関する通信を外部ネットワーク側でも行なう実装になったこと、外部ネットワークにハートビート通信を一切行なわせないといったことが2008ではできなくなっているため、ハートビート用ネットワークを用意することの効果が薄い、とMSが考えているためではないでしょうか。
 
(MSのブログ)
フェールオーバークラスターのハートビートについて
クラスタのネットワークが不安定になる?
予期せぬ挙動が!?　新機能 Scalable Networking Pack をご存知ですか?
（参考:個人の方のブログ）
http://blog.goo.ne.jp/mito_and_tanu/e/ca8a0b7b46c01f9462cef9fcf5d5218b
（参考:ベンダーの資料）
http://c.itdo.jp/technical-information/windows/49-msfc3.html
http://support.express.nec.co.jp/os/w2008r2/
WindowsServerFailoverCluster_installation_guide.pdf
iSCSIを使用する場合は、NICのチーミングによる二重化はサポートされていない。
内部ハートビート用のインターフェイスのNetBIOSを無効にする。以下の項目のチェックを外す。
・Microsoftネットワーク用クライアント 
・Microsoftネットワーク用ファイルとプリンタ共有
  IPv6での運用でない場合は「インターネットプロトコル バージョン 6(TCP/IPv6)」も無効にする。
文書番号: 2701206 -
ネットワーク接続が中断され、後で復元すると UDP 通信 WSFC で Windows ファイアウォールの規則によってブロックされています。
 （参考:個人の方のブログ）
MSFCのハートビートはUDP－MCTの憂鬱

（過去ログ）
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/37d1ac60-64c5-46c5-98e1-8668efb47b46/ 

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/ee09106b-a47e-421f-889c-625c3b647455

Windows Server 2012のリモートデスクトップサービス

したのブログにインストール手順がある。
（個人の方のブログ:Windowsのメモ書き）
http://wintips.blog117.fc2.com/blog-entry-88.html
http://wintips.blog117.fc2.com/blog-entry-98.html
http://wintips.blog117.fc2.com/blog-date-201206.html
 
コレクションを作成しRemote Appを公開するにはAD環境が必須なようである。
RDPファイルの作成・配布については手順が不明。MSIでの配布はできなくなった。
Remote Appへの接続時の「警告画面」を出なくするディジタル署名関連の設定手順も不明。

[追記]
クライアントからRemoteApp Webで開き、RDPファイルのダウンロードができるようです。

Windows 7／Windows Server 2008 R2から、コントロールパネルには「RemoteAppとデスクトップ接続」という設定項目が追加されている
「RemoteApp とデスクトップ接続の新しい接続設定」ウィザードが起動したら
「https://＜RD WebアクセスサーバーのFQDN＞/RDWeb/Feed/webfeed.aspx」を入力する

RemoteAppと仮想デスクトップをスタートメニューから利用可能にする
（参考:@IT資料）
［運用］Windows Server 2008 R2によるVDI実践入門 第4回
2．リモートから直接利用できるアプリケーションの設定
（参考:個人の方のブログ）
Windows 8 Consumer Preview > RemoteApp とデスクトップ接続の Web フィード－山市良のえぬなんとかわーるど
Windows Server 2012 > RDS/VDI のカスタム RDP 設定－山市良のえぬなんとかわーるど

（MSの資料）
Windows Server "8" Beta のリモート デスクトップ サービスの理解およびトラブルシューティング
(MSのブログ)
Windows Server 2012 リモート デスクトップ環境の構成について
 
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/bcc74d62-d315-4afc-9b85-b85b8a98feed

仮想ゲストの複製（UUID重複）

エクスポート＆インポートで仮想ゲストを複製すると、「UUID」が重複する。

（質問）
仮想ゲストの複製について（UUID重複）
 
初めて質問をさせていただきます。
 
Hyper-Vにて作成した仮想ゲストを複製してインストールの手間を簡略化したいと考えています。
単純にSysprepした後にXML構成ファイル＋VHDファイルのコピー、またはエクスポートで実施する事を考えていたのですがソースが不明なものの、ファイルコピーやエクスポートで仮想ゲストを複製するとHW固有の「UUID」が重複するためUUIDを使用しているAPで問題となる場合があるという情報を耳にしました。
 
以上のことで何か情報がありましたら、ご教授いただけると幸いです。
 
（回答１）
こんにちは、フォーラムオペレーターの○○○○です。
wamitu さん、投稿ありがとうございます。
今回は私のほうでも質問の参考になりそうな情報を探してみましたので、ご紹介します。
（参考情報）
・[Windows] Sysprep を使用してHyper-V展開用の仮想マシンの雛形を作成する:
http://handcraft.blogsite.org/Memo/Article/Archives/185
・Cloning Hyper-V Virtual Machines the Right Way (Part 4): （英語）
http://www.virtualizationadmin.com/articles-tutorials/general-virtualization-articles/cloning-hyper-v-virtual-machines-right-way-part4.html
こちらの情報がお役にたちましたら幸いです。
 
（回答２）
追加で、以下のような情報もありました。
Clone virtual machines in Hyper-V

（参考ブログ）
仮想ゲストのエクスポート＆インポート
http://blog.tpc.jp/2011/04/hyper-v.html
 
http://social.technet.microsoft.com/Forums/ja-JP/hypervja/thread/6c9f07ab-c5f2-4b03-b3e1-d90fc245be5b

DHCP リース ・ プロセスの概要

（質問）
DHCPサーバからのIPアドレス取得時間
 
スイッチがDHCPサーバとなっている環境で、特定のセグメントでのみIPアドレスの取得ができないことがあります。
アドレス枯渇などはしておらず、クライアントPC（XP SP3と７ SP1）の構成は同じです。
いったん固定アドレスを割り当てて再度DHCPにすると取得できたり、翌日には問題なく取得できていたりします。
サーバ担当者にクライアントPC側でDHCPのアドレス取得のタイムアウト時間を長くしてほしいと言われたのですが、レジストリでそのような値はあるのでしょうか。
アバウトすぎて申し訳ございませんが、よろしくお願いします。
 
（回答）
DHCPのタイムアウトを伸ばすことによって解決するというのは考えずらいですね。
そもそものお話しとして、DHCPの動作は次のようになります。
 
•クライアントがDHCPDISCOVERをブロードキャストします
•DHCPサーバーがDHCPOFFERをブロードキャストします
•クライアントがDHCPREQUESTをブロードキャストします
•DHCPサーバーがDHCPACKをブロードキャストします
 
この一連の流れが終了した際に、クライアントにIPアドレスが割り当てられます。
そして、2の返答がない場合は、時間を変えながらDHCPDISCOVERを4回繰り返します（合計約1分）
この処理で返答がない場合はAPIPAによって169.254.X.Xのアドレスが割り当てられます。
よって、どこがおかしいのかはパケットキャプチャを行って調べる必要があると考えます。
 
以上、参考になれば幸いです。
 
（MSページ）
http://technet.microsoft.com/ja-jp/library/dd183602%28v=ws.10%29.aspx
 
http://social.technet.microsoft.com/Forums/ja-JP/w7itprogeneralja/thread/d12b6696-b378-4497-99cb-4bd08ed7decf