謹賀新年

          謹んで新年のお慶びを
                申しあげます

            平成二十四年元旦

PowerShellのGet-ADComputerコマンドレット

 Windows Server 2008 R2にはActive Directory専用のPowerShellモジュールが実装されている。
 
（質問）
特定OUのコンピュータオブジェクトのプロパティ情報抽出方法
 
特定のOUに属している、コンピュータ名一覧とオペレーションシステムの名前の抽出方法をご教授いただきたく質問させていただきます。
可能であれば、バージョンとServive Packの項目も出力できれば助かります。
Power ShellのGet-ADComputerコマンドでは、上記情報の出力はできなかったので他に方法があればと思います。
何卒、宜しくお願い致します。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
Get-ADComputerコマンドレットでオブジェクトを取得すると、既定のセットのみの情報が取得され、すべての情報はしゅとくされません。で、すべての情報を取得するなら、-Propertiesオプションを使って追加属性を指定します。ワイルドカードで全属性を取得できます。

（略）

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
○○○○様
 
ご教授いただき有難うございました。
教えていただいたコマンドを参考にさせていただき出力することができました。
大変、助かりました。
テキストへ出力するコマンド
Get-ADComputer -Filter * -SearchBase "CN=Computers,DC=Example,DC=com" -Properties * | Format-List Name,operatingSystem,operatingSystemServicePack,operatingSystemVersion | -Out-File C:\data.txt
 
（MSページ）
http://technet.microsoft.com/ja-jp/library/dd378783(WS.10).aspx
（資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/03powershell/
03powershell_01.html
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/06adr2/adr2_03.html
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5fb44a5a-2d0e-4170-a506-80aea9ad72bc

グループポリシーのループバック処理とWMIフィルター

「特定の名前のコンピュータにログオンするときだけ」グループポリシーを適用するにはグループポリシーのループバック処理を使う。グループポリシーのWMIフィルターを使う方法もあるがスクリプトの知識が必要である。
 
（質問）
ログオン/ログオフスクリプトを適用するコンピュータを指定したい
 
お世話になっております。
 
AD環境(ADサーバ:Win2008R2SP1)の[DefaultDomainPolicy]-[ユーザーの構成]-[ログオン/ログオフ]にてスクリプト(.vbs)を設定しております。
すべてのドメインユーザーをスクリプト実行の対象とし、コンピュータ単位でスクリプトを実行するか選択することはできるのでしょうか？
関数やサンプルソース、参考となるURLを添付いただけると幸いです。
 
以上、宜しくお願いいたします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答１）
http://support.microsoft.com/kb/231287/ja
http://office-qa.com/win/win84.htm
http://technet.microsoft.com/ja-jp/library/cc756717(WS.10).aspx
にあるように、グループポリシーのループバック処理を使ってみてはいかがでしょうか。
 
なお、グループポリシーはDefault Domain Policyとは別に作成し、適用対象のコンピュータを集めたOUに対して適用するグループポリシーに設定する必要があるかと思います。

 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答２）
○○○○です。
 
△△△△さんが適切な方法を紹介されていますが、別の方法もあります。
グループポリシーのWMIフィルターを使うことで、「特定の名前のコンピュータにログオンするときだけ」グループポリシーを適用する(あるいはその逆)、ということもできますよ。
 
http://jehupc.exblog.jp/13131701/
 
 （参考資料）
WMIを使うスクリプトを簡単に作成する
http://www.atmarkit.co.jp/fwin2k/win2ktips/756wmicreator/wmicreator.html
WMI Code Creator v1.0
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5567eb3e-84b9-4860-8909-a8b1bcf909dc/#8b207f3d-ac83-4820-88bb-e2acae7b4bcf
 

時刻同期の動作モード（Slew モードとStep モード）

 時刻同期の動作モードには
１．徐々に時刻を合わせる場合 (Slew モード)
２．即座に時刻を合わせる場合 (Step モード)
がある。
設定した閾値以内でなければ、一気に時刻が同期(Step モード)される。
 
（質問1）
slewモードでの時刻同期について
 
【slewモードでの時刻同期について】
Windows Timeでslewモードの時刻同期を行いたいのですが、上手くいきません。
ドメイン環境のサーバで、PDCエミュレータのDCサーバと同期しています。
レジストリで5分以内のずれの場合はslewモードで同期する設定（デフォルト設定のはず）にしていますが、5分以内のずれでも急に同期してしまいます。
少しずつ時間を合わせるようにするには、どうすればよいのでしょうか。
 
以下、サーバの詳細です。
[環境]
●PDCエミュレータのDCサーバ
OS：Windows 2008 R2（SP1）
Active Directory
シングルフォレスト/シングルドメイン
Windows2008 R2機能モード（フォレスト/ドメイン）
●ドメイン環境のサーバ
OS：Windows 2008 R2（SP1）
[設定]
●PDCエミュレータのDCサーバ
レジストリ設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Config\MaxAllowedPhaseOffset：300
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Parameters\Type：NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Parameters\NtpServer：xxx.xxx.xxx.xxx（上位のNTPサーバに同期しています）
 
●ドメイン環境のサーバ
レジストリ設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Config\MaxAllowedPhaseOffset：300
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Parameters\Type：NT5DS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32Time\
Parameters\NtpServer：time.windows.com, 0x9
（全てデフォルト設定値）
 
どなたか、解決策をご教授頂けれたらと思います。
よろしくお願いいたします。

（回答1）
○○○です。
 
＃MSFT CSG △△△さんの方で「答えが書いてあるページ」を紹介されてるようですが、一応私の方でも答えてみますね
興味があったのでちょっと調べてみました。その結果ですが、w32timeの設定で「ドメインコントローラの設定が一部違うから」ということではないかしらと。
Windows Timeの設定について、レジストリの情報が書かれたMSのページがあります。
http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
ここを見ると、「どういう条件でレジストリが有効(=slewで動作する)か」という条件式が書かれていました。
 
----
In order for W32Time to set the computer clock gradually, the offset must be less than the MaxAllowedPhaseOffset value and satisfy the following equation at the same time:
 
|CurrentTimeOffset| / (PhaseCorrectRate*UpdateInterval) < SystemClockRate / 2
----
 
うえの条件式のうち、レジストリで設定されている2つの値(PhaseCorrectRateとUpdateInterval)について、内容を確認してみました。
 
[メンバーサーバー]
PhaseCorrectRate:0x1(1)
UpdateInterval:0x7530(30000)
 
[ドメインコントローラ]
PhaseCorrectRate:0x7(7)
UpdateInterval:0x64(100)
 
レジストリの設定から「PhaseCorrectRate*UpdateInterval」の値がドメインコントローラでは小さくなるので、(slewではなく)stepによる直接同期になるのかなと。
 
上のレジストリ値を変更してチェックしてもらえればいいと思うのですが、この2つのレジストリ値は「NTPサーバーとしての精度」と「NTPサーバーとしての安定度」に影響を与えます。精度が悪すぎたり安定度を欠くNTPサーバーはクライアントが同期を拒否しますので、うまく動作しないことがあります。注意して設定をしてください。
 
----
PhaseCorrectRate
< 中略 >
This entry controls the rate at which the phase error is corrected. Specifying a small value corrects the phase error quickly, but might cause the clock to become unstable. If the value is too large, it takes a longer time to correct the phase error.
The default value on domain members is 1. The default value on stand-alone clients and servers is 7.
----
UpdateInterval
< 中略 >
This entry specifies the number of clock ticks between phase correction adjustments. The default value for domain controllers is 100. The default value for domain members is 30,000. The default value for stand-alone clients and servers is 360,000.
----
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/940c4729-c5cf-47bb-b4bc-abbfa1841c61/#d795c2f2-5e3f-47d3-89c6-956e884d65de

（質問2）
WindowsServer2008　ドメイン環境下のクライアントの時刻同期について
 
お世話様です。
いろいろ調べては見ているのですが、手詰まりになってきたのでお知恵を拝借したくお願いします
 
＜状況＞
ドメイン参加しているクライアントAの場合、Windows起動時に時間が約3分進んでいる状況。
これについてはおそらくBIOSで時間がずれているのではないかと推測しています（遠隔地のため、実機の確認ができておりません）
ドメインにログイン後、約20分ほどの時間を掛けて、3分のずれを徐々に修正する。
また、再起動時には再度時刻がずれる
 
同一ドメインに参加しているクライアントBにて、上記の状況を再現しようとしたのですが、BIOSで時間を進めたところ、起動時には進んでいるのですが、ログイン完了後ほぼ即座に（数十秒程度）で時刻同期が完了する
 
＜やりたいこと＞
最終的にやりたいとことしては、クライアントAの時刻同期を即座に行うようにしたい。
 
＜環境＞
ドメインコントローラ　：　WindowsServer2008
クライアント　：　A,B共に、WindowsXP　SP3
 
両クライアント共に、同じOUに所属しています。
また、グループポリシーでの時刻同期に関する設定等は行っていません（未構成状態）
当初はクライアントAの時刻同期がslewモードで行われているのかと考え、
両クライアントのレジストリを確認したところ、
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config　
の「MaxAllowedPhaseOffset」の値はどちらのクライアントも「300秒」で設定されていました。
その他、スタートアップ等に時刻同期を行うようなアプリケーションが無いかとも思い調べましたが、
そのような動作を行いそうなアプリケーションはインストールされていない状況でした。
何か他に考えられることがあればお教えいただきたく、よろしくお願いします
 
（回答2）
○○○○です。
> HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config　の
> 「MaxAllowedPhaseOffset」の値はどちらのクライアントも「300秒」で設定されていました。
ということであれば、300秒=5分までのずれであれば(XPの場合は進んでいるケースのみ)、Windows Timeはslewモードで同期を実行します。なので、マシンAの動作については、おかしなことではないと思いますが。
これをやめたい場合、MaxAllowedPhaseOffsetレジストリ値を1等に設定しWindows Timeサービスを再起動すればご要望の動作になるかしらと。複数マシンに一括設定したいなら、グループポリシーを使ってください。
ちなみにシステム時刻→RTC時刻への反映ですが、一番簡単なのは、同期完了後にtime=%time% コマンドでシステム時刻を現在時刻に再設定することで、RTCへ時刻が反映し、正常になるはずです。
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5a09c9c0-7c9b-4a21-a9f8-19bd8da02363

（MSのブログ）
Windows Time サービス - Slew モードとStep モード
（参考:個人の方のブログ）
http://qwerasdfjk.blog64.fc2.com/blog-entry-13.html
http://apis.jpn.ph/fswiki/wiki.cgi?page=Win32Conf%2FW32Time#p4
（参考資料）
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050315/3/
http://www.atmarkit.co.jp/fwin2k/operation/winntp02/winntp02_03.html
文書番号: 884776 -
時刻が大きく変更されないように Windows タイム サービスを構成する方法

  

Windows7のクローニングと展開方法

 Windows7のイメージの大量展開はWindows展開サービスかGhostを使うがマスタ作成が大変である。
 
（質問）
Windows7のクローニングと展開方法 
 
お世話になっております。
Windows7をマスタ化し、クローニング/展開しようと考えています。
そこで、クローニングと展開の方法を検討しており、現在はMS社が提供するWindows 展開サービスとSymantec Ghostで迷っています。
下記３点教えてご教示頂けないでしょうか。
 
(1)Windows展開サービスで作成したイメージの別サーバへの複製
例えば、普段は本社キッティングルームにあるサーバAからマスタのクローニング/展開を行っていると仮定します。
しかし、拠点Aで大量にキッティングする必要性が出てきたため、拠点AにもサーバBを構築する事にした場合
サーバAで作成したイメージをサーバBへ複製(コピー)してクローニング/展開を行う事は可能でしょうか？
なお、サーバA、B共にWindows2008R2であり、Windows展開サービスを利用してマスチキャスト配布するものとします。
(2)Windows展開サービスのシステム要件
上記(1)のサーバBをクライアントOSで構築する事は可能でしょうか？
(3)Windows7のリソースキット(日本語版)
日本語版のリソースキットが見つかりません。
本でもダウンロードでも構わないのですが、発行されていないのでしょうか？
 
ご存じの方がいらっしゃれば、ご教示頂ければ幸いです。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
直接の解答ではないかもしれませんが・・・
1に関しては問題ないと考えます
2に関してはクライアントはWDSをもっていないので不可能では？
3に関してはないはずです
 
私は普段Ghostを使用して展開しています。理由としては簡単で実績があるからですが・・・
 
また、本番環境での展開はネットワーク帯域を圧迫するので避けています。
マスタを作成して展開するとのことですが、その際には必ずSysprepを行う必要がありますが、デフォルトの状態だと追加したドライバが外れるなどの既知の問題があります。ですのでWindows AIK に入っているSIMを使用して応答ファイルを作成する必要がありますね。
よって、展開に関してはWDS、Ghostどちらでもできるが、マスタ作成が大変かもしれません。

Windows7 のベースイメージを作成する
こちらにWindows7のイメージ展開についてまとめてありますのでご一読いただければと思います。
 
以上、参考になれば幸いです。
 
（参考:MSのページ）
ステップ バイ ステップ ガイド - Windows Server 2008 の Windows 展開サービス
Windows® 7 標準クライアントイメージの作成手順
（参考:MSのブログ）
ミニ セットアップで新規ユーザーの作成をスキップする方法
Sysprep 中に任意のコマンドを実行する方法について
【Windows 7 展開のコツ】 監査モードを使ってマスター イメージ (ひな形) を作成する (1)
【Windows 7 展開のコツ】 監査モードを使ってマスター イメージ (ひな形) を作成する (2)
AIKダウンロード（ISOイメージ）
Windows® 7 用の Windows® 自動インストール キット (AIK)
Windows® 7 SP1 用の Windows® 自動インストール キット (AIK) 補足プログラム

（参考資料）
Windows 7移行の「やってはいけない」
XPと同じ初期設定をしてはいけない－IT Pro
監査モードで環境複製用のマスタ・イメージをカスタマイズする（Windows 7／Server 2008 R2編）

Symantec社の製品へのリンク
Norton GhostおよびSymantec Ghost－ウキィペディア
Symantec Ghost Solution Suite－Symantec社
 
（おおまかな手順についての参考:個人の方のブログ）
Ghostを使ったクローニング－Wiki::tani.masaru
Windows7の大量配布（その１）前提条件－Ｄのプチプチ SEの視点
Windows７の大量配布（その２）シナリオ－Ｄのブチプチ SEの視点
Windows7の大量配布（その３）Sysprepについて、もうちょっと。－Ｄのブチブチ SEの視点　
windows7の大量展開方法(大量構築)。sysprep － puti se note
クライアント展開－SEの雑記
Windows WindowsAIK
（ライセンスの考え方についての参考:個人の方のブログ）
Windows7 再イメージング (コピーによる社内展開) について－スクりぷと ぱそこんクローニングの奮闘記
 
http://social.technet.microsoft.com/Forums/ja-JP/w7itprogeneralja/thread/88af4085-d862-405f-b596-5283ef2193e7/#9bc78320-cfdc-4dc9-828e-2fb199edf64f
 

OutlookのPSTファィルをネットワーク共有に置くのは危険である

ＯＵＴＬＯＯＫのＰＳＴファイルはフォルダリダイレト、移動プロファイルの対象とすることはできない。
 
（質問）
移動プロファイルのoutlookについて
 
お世話になっております。
 
【現象概要】
・移動プロファイルに設定した、Outlook のデータが 0 キロバイトになり、開けない
・Outlook は破損しておらず、メールアカウントが破損していた
・イベントログ上では、ログオフの際にタイムアウトが発生していた
・ネットワークが見つからず、コピーできないというエラーも発生していた
・ネットワーク障害は起きておらず、他のユーザーはインターネット、
  ファイルサーバーにアクセスが可能だった
 
【環境】
・ADサーバ　windows 2003 Server Enterprise
・クライアントPC windows 7 Professhional(SP1）
・ユーザアカウント　移動プロファイル
・office製品　Office2010Plus(SP1）
【ご質問】
 
・PSTファイルのサイズは 5M あったのですが、
  移動プロファイルユーザではメールファイルの限界があるためにエラーが起きるのでしょうか
・原因の特定、あるいは移動プロファイル設定時に注意事項を知りたい
 
以上よろしくお願いします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
http://office.microsoft.com/ja-jp/outlook-help/HA010354876.aspx
などに、
「注意 Outlook データ ファイル (.pst) をネットワーク共有、または別のコンピューターに置いてアクセスすることは、データが損失する可能性が高いのでお勧めしません。」
 
とあるとおりではないかと思います。移動プロファイルということは、PSTファイルはネットワーク共有上にありますよね。
 
（参考投稿）
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008r2ja/thread/35ad8f2e-0d46-4a73-a7d6-04b9c4d0e825
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/8706d775-09ed-499b-a24e-26d0bc6bf701/#7c7dd824-5e7c-4ca3-8c18-e92fca66c112

ADサーバーへの１アカウントでの多重ログオンの禁止

 Windows Server 2008 R2(x64)AD用のLimitlogin.exeは検索してみたが見つからなかったので、ADサーバーで「Active Direcrory ユーザーとコンピューター」を立ち上げ「ユーザーアカウント」のプロパティの「アカウント」タブの「ログオン先（Ｔ）」より特定のコンピュータを登録するが、大変手間がかかる。
（US.TechNet Forum参考投稿）
http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/fa33088d-2539-4447-8bbf-96a785f3c260/
  
（質問）
ドメインサーバーへ１個のアカウントで２台のパソコンから同時にログインさせないようにするには？
 
はじめて投稿させていただきます。
ドメイン参加のクライアントＰＣが２台あります。
ドメインサーバーのActiveDirectoryからユーザアカウントを１つ作成しました。
そのユーザで２台のパソコンから、同時にサーバにログインさせないためには、どのような設定を行えばよろしいでしょうか？
どちらか１台のパソコンからログインさせたい考えであり、ユーザのサーバへの重複ログインを避けたいのが目的です。
 
（サーバ）Windows Server 2008 R2 Standard
（クライアントＰＣ）WindowsXP Pro
 
サーバの設定でいきづまってしまい、困っています。。
もし、わかるかたがいらっしゃったら、アドバイスをよろしくお願いいたします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
基本的には外部で作りこむ必要があります。MSもLimitLoginというツールを提供していました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20061011/250363/?ST=sysmanage&P=1
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/d8b19dfb-03d8-4a98-9a42-0346c902c53c/#4807afd5-4b1b-4632-b0db-cf4e82109f60