異なるフォレスト間におけるリソースのアクセス許可設定

（質問）
異なるフォレスト間におけるリソースのアクセス許可設定について
 
異なるフォレスト間（フォレストA、フォレストB）において双方向の信頼関係を結びました。
フォレストAには、Aドメインのみ 、フォレストBには、Bドメインのみ存在しています。
フォレストAにあるリソース（ファイルサーバー）にアクセスさせるために、フォレストBのユーザーをフォレストAのグループに登録する方法についてご教授いただきたく存じます。
詳細について申しますと、フォレストAにあるグループ（ユニバーサルグループ、グローバルグループ）にフォレストBのユーザーを追加したいと考えております。フォレストA側の「Active Directory ユーザーとコンピュータ」において既存のグループ（ユニバーサルグループ、グローバルグループ）にフォレストBのユーザーを追加したいのですが、グループのプロパティのメンバータブ追加を押した際に、「ユーザー、連絡先、コンピュータまたはグループの選択」の場所においてフォレストBが表示されず、フォレストBのユーザーを追加できません。追加する方法についてご教授ください。
不足している情報等があればご指摘いただけると大変助かります。
宜しくお願い致します。
 
（回答）
グローバルグループには、同一ドメイン内のユーザーやグローバルグループを参加させることができます。
ユニバーサルグループには、同一フォレスト内のユーザーやグローバルグループ、ユニバーサルグループを参加させることができます。
どちらのグループも他のフォレストにあるユーザーやグループを参加させることはできません。
フォレスト A にある ユニバーサル or グローバルグループのメンバー追加画面で フォレスト B が表示されないのはそのためです。
ドメインローカルグループであれば、他のフォレストに存在するユーザーやユニバーサル or グローバルグループをメンバーに加えることができますので、
A ドメインにドメインローカルグループを作成して、そこにフォレスト B 内のユーザーやグループを追加してやれば良さそうです。

(MSのページ）
グループのスコープ 
（参考資料）
AGUDLPポリシー
http://ascii.jp/elem/000/000/505/505060/index-2.html

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7c9a9028-bba1-45f7-a80b-57b10e35988e

NAP（ネットワークアクセス保護）とは

企業のセキュリティ要件に適合しないコンピュータを社内ネットワークから隔離することで、社内ネットワークを安全な状態に保つための機能のことである。

NAP強制環境の要素
・NAPクライアント
・ネットワークポリシーサーバー(NPS)
・修復サーバー
・アクセスデバイス
 
Windows Server 2008以降の標準機能では、５種類のNAP強制に対応している。
・DHCP NAP
・VPN NAP
・IPSec NAP
・IEEE 802.1x NAP
・RDゲートウェイ　NAP 
  
（質問）
２００８Ｒ２　ＤＨＣＰスコープ内で空きのあるアドレスをさがし固定ＩＰでピンポイントで接続するＰＣを排除したい
 
お世話になります
 
２００８Ｒ２にてＡＤ、証明書、ＤＨＣＰ、ＮＰＳ、ＤＮＳをセットで×２台にて管理しております。
 
セグメントはひとつで
①１９２．１６８．２４９．１～５０　は固定ＩＰ
②１９２．１６８．２４９．５１～２４７　はＤＨＣＰのスコープ管理
③１９２．１６８．２４９．２４８～２５５　は固定ＩＰ
といった管理をしております。
 
再三、注意をしているのですがシステム管理者不在の時にある特定のユーザーが個人ＰＣを持ち込みまして接続をしてしまいます（アドレスは固定ＩＰでそのときあいているあドレスを設定してきます。前回は１９２．１６８．２４９．２３６），ＤＨＣＰのアドレスリースに余裕があることと①と③についてはサーバー、無線ＬＡＮのＡＰやプリンターなどで固定が望ましいデバイス用にしています。こちらの空きがあるのでピンポイントに接続ができでしまいます。せめて②の範囲において固定ＩＰでは接続付加にしたいと考えております。なにか方法がありましたらご教授お願いできますでしょうか。ちなみに②はＤＨＣＰのＮＡＰ強制でドメインの制御をしているのでＤＨＣＰ接続でＨＯＭＥ　ＥＤＴＩＯＮなどは①、②の固定で対応しています
 
社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（前編）
社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（後編）
http://www.microsoft.com/ja-jp/server-cloud/windows-server/network-access-protection-nap.aspx
http://blogs.technet.com/b/windowsserverjp/archive/2009/10/07/3284916.aspx
（個人の方のブログ）
Windows Server 2008 と Vista におけるNAP検証－MCTの憂鬱
ネットワークアクセス保護（NAP）～その３～　DHCP NAP編－MCTの憂鬱

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/2e3277f2-b73e-47e1-8a6e-c687b1976125/#7cd03cee-bc98-4309-8f33-abef01f93656

Windows Server 2012のクラスターの共有ポリューム

Windows Server 2008 R2 Hyper-Vマシン内に作成したWindows Server 2012仮想ゲストクラスタはファイルサーバーの役割（SMB 共有）をサポートはしているのだが・・・

Windows Server 2012
フェールオーバー クラスタリングの概要
 
（質問）
スケールアウトファイルサーバーについて
 
仮想ストレージの検証を行っているのですが、ボリュームの拡張部分で？な部分があったので質問させてください。
すべて仮想OSで確認を行っております。初心者ですので言葉が間違ってたらすいません。
構成
WS2012IS(iSCSI targetサーバー)
WS2012CS(WS2012RC,WS2012RC2の2ノードでフェールオーバークラスター構成中)

WS2012ISで仮想DISK100GをRC,RC2へ提供
RC1,RC2でiSCSIイニシエータでマウント、オンライン、初期化済み

フェールオーバークラスターマネージャーからディスクの追加を行い、クラスターの共有ボリュームに変更。
役割の追加からスケールアウトファイルサーバーを選択してコンピューターアカウントを作成して実行中にする。
ファイル共有の追加から共有フォルダを作成し、アクセスできるように設定しました。

で、ここから動的にボリュームの拡張を行うのですが、
1.WS2012ISのサーバーマネージャーからiSCSI仮想DISK100Gをボリュームの拡張から200Gに変更
2.WS2012RCのディスクの管理からマウントしたボリュームを見ると100G未割当100Gとなりますので、ボリューム拡張で200Gに変更。
3.フェールオーバークラスターマネージャーから見るとディスクは200Gとなっているのを確認。

気になっているのは2のディスクの管理からボリュームの拡張して問題ないかです。※勝手にいじるとフェイルオーバークラスターマネージャーで操作しろって怒られるので…
しかしフェイルオーバークラスターマネージャーにはクラスター共有ボリュームを拡張する操作がないのでディスクの管理からしかボリュームを拡張する方法がありません。

とりあえずはこれで動的にボリューム拡張はできているので問題ないといえばないんですが…
何か間違ってる点がありましたら是非指摘していただければ助かります。

ちなみにWindows Server2012 Standardから仮想インスタンスが2つまで立ち上げられるようになったのは基本フェイルオーバークラスター環境を前提(推奨？)にしているとかそのような意図があったりするんでしょうか？
ならば今後フェイルオーバークラスターの勉強しないといけない…(´Д⊂ヽ
http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/0bda0417-9cf4-4684-a5d2-f9471ecfc56a
 
（質問）
共有記憶域を使用するライブマイグレーションについて（Hyper-V 3.0）
 
こんにちは。
Windows Sever2012 RC版のHyper-V 3.0に、共有記憶域を使用するライブマイグレーションはエラーが出た為、質問させていただきます。
 
【条件】
サーバ1：Hyper-Vサーバ
サーバ2：Hyper-Vサーバ+SMBファイルサーバ
サーバ1とサーバ2が同じ Active Directory ドメインに属している
 
SMB 共有のアクセス許可が、Hyper-V を実行しているすべてのサーバーのコンピューター アカウントへのアクセスを許可するように構成されている。
 
【エラー現象】
サーバ2のHyper-Vから仮想マシンをSMBファイル共有に作成すると、失敗になります。
※仮想マシンの作成パスはUNCで「\\自サーバのIPアドレス\共有ファイル名」と設定しています。
【質問内容】
Hyper-V3.0は仮想マシンを自サーバからUNCで自サーバの共有フォルダに作成することをサポートしますか。

（回答）
日数が経っているのでいまさらですが、わかる範囲で回答すると、
 
クラスターの検証テストにすべて合格する必要がある。
クラスタ記憶域が、SCSI-3 SPC-3 (SCSI Primary Commands-3) 規格に対応したディスクストレージであること。
（SCSI-3コマンドの Persistent Reserve と Persistent Release をサポートしていること。）
仮想マシンは「フェールオーバークラスターマネージャー」から構築する。「名前と場所の指定」において仮想マシンの格納場所をCSVFS(C:\ClusterStorage\Volume#\)配下に配置すること。
 
以下、Windows Server 2008 R2の情報ですが
（参考資料）
http://www.atmarkit.co.jp/fwin2k/operation/livemig03/livemig03_01.html
（参考ブログの一例。Web検索すると他にも見つかります。）
http://kogelog.wordpress.com/2012/07/02/20120702-01/
http://tarkyon.net/microsoft/os/server/hyper-v/2008r2/
（参考過去ログ）
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/8c88b7bc-9e6f-4a3e-a403-a5b256e81175
http://social.technet.microsoft.com/Forums/ja-JP/hypervja/thread/88c4e020-12fe-4d29-9c2a-834b1a98738f
 
敷居が高いようなので、構築経験者や別の識者よりの回答を待ってみてください。
 
SMB 3.0 とWSFCの強化で実現するスケールアウト型ファイルサーバー(Scale-Out File Servers)
・クラスターの共有ボリューム (CSV) を使用
・Active/Activeで動作可能
・仮想IPアドレスが不要なDNN (分散ネットワーク名) の使用

（参考:個人の方のブログ）
Windows Server 8 Beta でクラスターを構築－ＳＥの雑記
Windows Server 8 Betaのクラスター対応更新を実行－ＳＥの雑記
Cluster 検証～その5－MCTの憂鬱
Cluster 検証～その4－MCTの憂鬱
Cluster 検証～その3－MCTの憂鬱
Cluster 検証～その2－MCTの憂鬱
Cluster 検証～その1－MCTの憂鬱
iSCSIインターフェース共有のゲストクラスタを構築してみる－.NET 勉強会 / ヒーロー島
（ＭＳの資料）
Windows Server 2012 のスケールアウト ファイル サーバーの理解およびトラブルシューティング
Windows Server 2012 の記憶域スペースの理解およびトラブルシューティング
（参考資料）
豊富なストレージ機能が使えるWindows Server 2012のHyper－V－[Brien Posey，TechTarget]

Windows Server 2008 R2 Hyper-Vマシン内に作成した評価版のWindows Server 2008 R2 EnterPrise Edition　仮想ゲストクラスタ  ２台では高価な共有ディスクを買わなくてもiSCSIで「ノードおよびディスクマジョリティ」のクォーラムモードでしたのブログの手順で「クラスターの共有ポリューム」にせずにファイル共有ができた。
（参考:個人の方のブログ）
Windows Server 2008 R2 で フェールオーバークラスターを構築してみた
Windows Server 2008R2 フェールオーバークラスター上にファイル共有を設定する

Windows Server 2008 R2 Hyper-V(Hyper-V 2.0)マシン内に作成した評価版のWindows Server 2012仮想ゲストクラスタ（３台）でファイル共有（ＳＭＢ共有）ができるようにするには、評価版のWindows Server 2012仮想ゲストクラスタ（３台）がActive Directoryユーザーとコンピュータで見て、ファイル共有（ＳＭＢ共有）を構築する時点でComputersコンテナ（デフォルトの状態）に格納されていなければならない。（任意に作成したOUに仮想ゲストクラスタコンピュータを移動した状態でファイル共有（ＳＭＢ共有）を構築しようとすると失敗する。）

Windows Server 2012 Standard Hyper-V(Hyper-V 3.0)マシン（１台）内に作成したWindows Server 2012 Standard 仮想ゲストクラスタ（２台）ではiSCSIで「ノードおよびディスクマジョリティ」のクォーラムモードでファイル共有（ＳＭＢ共有）ができた。しかし、パッケージ版１ライセンスのWindows Server 2012 StandardではMSのライセンス条項によればこれ以上の（Windows Server 2012の）物理インスタンス、仮想インスタンスをインストールすることはできない。

肝心なことが抜けていました。検証した物理環境のActive DirectoryについてはWindows Server 2008 R2 StandardのADです。（フォレスト・ドメインの機能レベルWindows Server 2008）

Windows Server 2012 Standardパッケージ製品版

以前のWindows Server Standard パッケージ製品のようにインストールDVD(CD)がプラスチックケースに格納されておらずプロダクトキーは、厚紙のケースの中の切り取り個所に、細い板紙（プロダクトキーカード）で挟まっていました。作りが簡素になりました。（笑）　以前のWindows Server Standard パッケージ製品ではプロダクトキーはインストールDVD(CD)を格納したプラスチックケースにしっかりとラベルで付いていました。

Windows Server 2008 R2 Standardパッケージ製品版


（MSのページ）
ライセンス早わかりガイド 仮想環境とライセンス

http://social.technet.microsoft.com/Forums/ja-JP/winserver8/thread/ac779c65-fde0-4b25-93f8-
b312dc85aeba

Windows 8がRTM（Release to Manufacturing）に

米Microsoftは8月1日（現地時間）、次期OS「Windows 8」がRTM（製造工程向けリリース）になったと発表した。
Windows 8の正式版発売は10月26日。
次期サーバOS「Windows Server 2012」も同日RTMになった。こちらの正式版は9月4日に発売の予定。（iｔｍｅｄｉａの記事より。）
http://www.itmedia.co.jp/news/articles/1208/02/news019.html
 
TechNetおよびMSDN会員は8月15日からダウンロードできる。

RemoteApp接続時の警告画面＆資格認証

 RemoteApp接続時の警告画面を出なくするにはデジタル署名関連の設定が必要である。
 
（質問その１）
RemoteApp接続時の警告画面について
 
RD Webアクセスから公開されたRemoteAppをクリック後、下図の画面が表示されます。
（画像が一部表示されていませんが、イメージは把握できると思います）

この画面を表示させなくする方法がありましたら、ご教授下さい。
以上、よろしく願いします。
 
（回答）
http://blogs.technet.com/b/askcorejp/archive/2011/08/12/rdsh-rd-remoteapp.aspx
うえのMSのブログに手順があります。しかしＣＡ（Active Directory 証明書サービス）を配置する必要があり、手順が難解なようです。RemoteApp＋RD Web接続ではこの方法を採らないと警告が出るのかMSまたは別の識者よりの回答を待たれたほうがよいと思います。
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008r2ja/thread/3d7c186c-cd08-45ae-9f49-48953317646b/#b22fbb8c-a0ed-4ff4-9d79-68bb60498d92


（質問その２）
RDWEBでのRemoteAPPの起動後RDWEBサーバーの資格認証が表示される
 
2008 R2 でRDweb を構築しRemoteAppを起動すると、資格認証が出ます。
RDホスト、RemoteAppに証明書を割り当て、RDホストの認証画面は出なくなりましたがRDWEB画面からドメイン￥ユーザー名でログオンし、許可されたアイコンが表示されます。
起動するとRDWEBの認証が表示され、入力するとアプリケーションの起動は確認できました。
RDWEBの証明書はRDWEBページにバインドされており、認証されています。
RDWEB,RDホストは同一ドメインで別サーバーです。
情報ありましたらご教示いただければと思います。
 
（回答１）
そのあたりの動作はクライアント環境にもよると思いますが、クライアントのOSやRDPのバージョンは何でしょうか。
Windows 7であれば、RDP7.0とNLAをサポートしていますので、Web ＳＳＯによりRdWebログオンだけでRemoteAppが起動できると思いますが、VistaやXPではRDCのバージョンアップやNLAの有効化が必要だと思います。
(以前確認したときにはそういう結果だったと記憶していますが、ちょっとうろ覚えです)
以下のサイトなどで詳しく書かれていますので、参考にしてみてください。
http://yamanxworld.blogspot.jp/2010/05/rd-web-web-sso.html
 
（回答２）
○○○○さん、こんにちは
フォーラム オペレーターの××××です。
今回は三人の回答者の方から情報が集まり、質問に役立ったのではないかと思います。
RD Web アクセスに関する情報を探している方にも参考になると思いましたので、△△△△さんの返信に私から[回答としてマーク]をさせていただきました。
クライアントがVista の場合の情報をお探しの方のために、RemoteAPP機能に関してこちらのスレッドでご紹介させていただきますね。
（参考情報）
・RemoteApp™ を有効にするための Windows® Vista SP1 以降用の更新プログラム :
http://www.microsoft.com/ja-jp/download/details.aspx?id=10007
・4．ターミナル・サービス環境を整える（2）: Windows Vista のシングル・サインオンの構成について
http://www.atmarkit.co.jp/fwin2k/winsv2008/10ts_03/10ts_03_04.html
 
これからもTechNet フォーラムをよろしくお願いします。

（TechNetマガジン）
Microsoft Windows Server 2008 R2: 証明書が RDS のセキュリティを強化する (第 2 部)
（参考:個人の方のブログ）
RD Web アクセスの Web SSO のまとめ－山市良のえねなんとかわーるど
(RDS)接続ブローカー構築してからリモートデスクトップ接続行うと認証が2回聞かれる－３流プログラマのメモ書き
Windows XP と Windows Vista 用のリモート デスクトップ接続 7.0 クライアントはしたのMSのブログのリンク先などよりダウンロードできる。
http://blogs.technet.com/b/osamut/archive/2009/10/31/3290516.aspx
 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/5d4cddba-8aff-4bcc-b3bc-17d2e766b27e

（不具合の現象：その２）
クライアントからRDWeb接続するとRemoteApp公開アプリケーションが固まったようになる
 
（対処策：以下の３点実施）
ネットワーク認証レベル(NLA)の有効化
リモート デスクトップ接続 7.0 クライアントへのバージョンアップ
RemoteApp プログラムのデジタル署名←AD CS(エンタープライズCA)より発行

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/da84f9ad-e0ef-4978-95e0-45ba86d30e90/#ea77da17-71e0-49e9-b20a-df1bd20d38ca

同一ADへの、ターミナル サービス ライセンス サーバー複数登録

同一ADにターミナル サービス ライセンスサーバーは複数登録できる。
 
（質問）
同一ADへの、ターミナルサービス ライセンス サーバー複数登録について
 
複数のターミナルサービス ライセンス サーバー(以下TSLS)を、同一のActive Directory(以下AD)のTerminal Server License Serversグループに登録することが可能か、ご存知の方がいらっしゃいましたら、ご教授頂けますでしょうか。
 
[環境]
・AD はWindows 2008 で構築。
・既にWindows 2003 Serverで、TSLSと複数のターミナルサーバー(以下TS)を構築し、リモートデスクトップを利用。
 
[今回の案件]
・業務都合で、別途TS CAL を購入し、独自にWindows 2008 でリモートデスクトップ環境を構築。
・1台のWindows 2008 ServerにTSLSとTSを構築。
・このTSLSはメンバサーバとしてADに参加済み。
 
［確認したいこと］
・新たに構築したTSLSを利用可能にするには、ADのTerminal Server License Servers グループに登録する必要があります。
・この設定をすることで、既存のTS・リモートデスクトップに影響はありますでしょうか。
・なお、ＴＳライセンスサーバーの検出スコープは、他サーバーから自動検出させない設定にします。
 
簡単に記述させて頂きましたが、宜しくお願い致します。
 
（回答）
十分に検証できる環境がないのですが、わかる範囲で回答するとしたらしたなどのページのリンクを追ってみてください。
http://d.hatena.ne.jp/tyosaka/20050120/p1
 
Windows Server 2003のMSの文書
http://download.microsoft.com/download/6/6/8/668b964f-f126-4a96-88db-25d842a7113f/termservlicensing.doc
 
http://technet.microsoft.com/ja-jp/library/cc754625.aspx
ライセンス サーバーのコンピューターアカウントは、ドメインの Terminal Server License Servers グループのメンバーであることが必要です。ライセンスサーバーがドメイン コントローラーにインストールされている場合は、Network Service アカウントもまた Terminal Server License Servers グループのメンバーであることが必要です。
http://technet.microsoft.com/ja-jp/library/cc771129(v=ws.10)
Windows Server 2008 が実行されているターミナルサーバーは、Windows Server 2008 が実行されているライセンス サーバーとのみ通信できます。
 
【@IT資料】ターミナル・サービスによるクライアントの仮想化（後編）
http://www.atmarkit.co.jp/fwin2k/winsv2008/10ts_03/10ts_03_03.html
TS ライセンスのインストールのトラブルシューティング
http://technet.microsoft.com/ja-jp/library/cc771756(v=ws.10).aspx
 
技術的には問題ないと思いますが、必要なライセンスの数や種類の購入についてはMSカスタマサポートへ確認してください。

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/970be706-ab29-40cf-8df8-0a96bde17792/#96e06242-3e4f-4f9b-bcbf-917a749d6e37

Hyper-VでMFSCの構築

「ノードおよびディスク マジョリティ」モードのクォーラムはつくることはできたのだが、「クラスタの共有ポリューム」は何につかうのか？

（参考）
MSのブログ
Hyper-Vのゲストクラスタとは
Hyper-Vの仮想マシンで作る、ソフトウェアベースのクラスタ環境

 （質問）
WindowsServer2008　仮想マシンでのクラスタ構築
 
今、WindowsServer2008でクラスタ構築をしようとしているのですが、
家庭内での構築なので資源が限られている状態です。
なのでHyper-Vでの構築を試みています。

今困っているのはHyper-V上の仮想マシン同士でのでのMSCS構築です。
まずは環境を以下に示します。
管理OS(親OS)：windowsServer2008 EE
仮想マシンA：windowsServer2008 EE
仮想マシンB；windowsServer2008 EE

困っているのはクオーラムディスクへの接続でSCSI(共有バス)を使おうとしているのですが
2008ではSCSIでは組めなくなってしまっているようなのですが。。。
その代わりにiSCSIで構築しようと思っているのですがその方法を知りたいのですが
なかなか分かりやすいサイトが見つかりません。。。

上記を質問の背景として以下の３点の質問に答えていただけたら幸いです
(1)iSCSIの設定方法などを分かりやすく紹介されているサイトや書籍などはご存知でないでしょうか？？

(2)上記で記述したSCSI(共有バス)を使用してのクラスタ構築はHyper-Vの仮想マシン上ではできないという認識はあっているのでしょうか？？

(3)windowsServer2008のクラスタ構築方法について記載してあるサイトなどがございましたら教えてください。
 
（回答）
Windows Server 2008ですが
パラレル SCSI は非サポートとなり、フェールオーバー クラスタの
並列 SCSI サポートは削除されたみたいです。
http://support.microsoft.com/kb/947710/ja
 
ちなみに iSCSI を Virtual Server 2005 R2 上で使う方法についての資料はしたにあるようです。英語ですが
 http://www.microsoft.com/downloads/details.aspx?FamilyID=d112aa63-a51e-4722-a41b-98b3ab3700a3&DisplayLang=en
 
Windows Server 2008 でのフェールオーバクラスタの手順そのものはしたに資料があります。
http://www.microsoft.com/japan/technet/windowsserver/2008/library/adbf1eb3-a225-4344-9086-115a9389a269.mspx
 
iSCSIを用いた仮想化環境の構築手順
http://www.atmarkit.co.jp/flinux/rensai/xen202/xen202a.html

http://okwave.jp/qa/q4206713.html