AD」タグアーカイブ

NPSサーバーのポリシー条件について

NPSサーバーの条件

Windows Server 2012 R2 で VPN サーバーを構成して、NPSで接続要件を指定することができます。そこで、検証してみました。

今回のシナリオは次の通り。

 

nps2

このような構成のとき、NPSのポリシーでは「192.168.0.0/24」のサブネットからの接続要求のみ適用されるようにする。

これは、条件の指定で「クライアントIPv4アドレス」でRADIUSクライアントであるVPNのIPv4アドレスを指定すればいいはずです。また、パターンマッチングの構文を使用できるとあります。このパターンマッチングは正規化を示します。

よって次のように書くことができます。

192\.168\.0\..+

実は検証した結果、次でも大丈夫でした。

192.168.0

ただし、実際には動きません。バグを見つけてしまいました・・・

どうやら、パケットレベルの問題でIPアドレスが電話番号のフィールドに入っているようです。よって実際には「被呼端末ID」に記載しないと条件に合致しません。

さらに検証の結果、「起呼端末ID」の説明もおかしいということがわかりました。説明では、アクセスクライアントがダイヤルするネットワークアクセスサーバーの電話番号を指定するとあります。

ここからは推測になりますが・・・

起呼端末ID (Calling Station ID)・・・クライアントの電話番号

被呼端末ID (Called Station ID)・・・VPNの電話番号

になると思います。しかしながら、検証はできませんw

 

VAMT を使用したライセンス管理 – Part1

VAMT を使用したライセンス管理

ボリューム ライセンス認証管理ツール (VAMT: Volume Activation Management Tool) を使用して MAK や KMS の認証を管理することができます。通常はボリュームライセンス認証ツールを使用して管理しますが、こちらのツールで管理できるのは AD 認証および KMS になります。

よって VAMT を使用する理由としては隔離された環境や MAK の管理をしたい場合ではないでしょうか。

2015年3月現在、VAMTのバージョンは3.1になります。バージョン3.0との機能的な違いはありませんが、バージョン3.1には複数の重要な修正プログラムと更新プログラムが含まれています。

VAMT は、Windows 8.1 Update 用 Windows アセスメント & デプロイメント キット (Windows ADK)に同梱されています。VAMT は SQL サーバーが必要ですので既存環境にない場合は一緒に SQL Server Express もインストールしましょう。

VAMTの要件も確認しておきましょう。

VAMTのインストール

 インストールが完了したらDBと接続します。初回起動時に作成します。

VAMTのDB作成

VAMTを使用した認証

ドメインに参加しているコンピューターであれば、KMS サーバーを使用することができるでしょう。そこで今回は、ワークグループのクライアントに対して VAMT を使用した MAK による認証を行ってみます。

クライアントの準備

ワークグループのクライアントコンピューターを VAMT で管理するためには次の手順が必要です。

  • クライアント コンピューターのファイアウォールで例外が設定されている必要があります。
  • ワークグループ内のコンピューターに対してレジストリ キーが作られ、適切に設定されている必要があります。設定されていない場合、Windows(R) ユーザー アカウント制御 (UAC) でリモート管理操作が許可されません。

FW設定はWMIを許可します(すべてのプロファイルであるドメイン、プライベート、パブリックを選択します)。

  • Windows Management Instrumentation (非同期受信)
  • Windows Management Instrumentation (DCOM 受信)
  • Windows Management Instrumentation (WMI 受信)

FW

VAMT がアクセスできるように以下のレジストリを編集します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system

値の名前: LocalAccountTokenFilterPolicy
種類: DWORD
値のデータ: 1

コマンドで行う場合は次の通り

reg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system” /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

これでクライアント側の準備完了です。

製品の検出

[Discover Products] ダイアログ ボックスの [Search for computers in the Active Directory] をクリックして検索オプションを表示し、使う検索オプションをクリックします。Active Directory ドメイン内のコンピューターの検索、個々のコンピューター名または IP アドレスによる検索、ワークグループ内のコンピューターの検索、または一般的なライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリによる検索を行うことができます。

製品の検出

コンピューターのライセンス情報収集

現在のライセンス情報を収集します。 [Update license status] をクリックし、資格情報オプションをクリックします。更新する製品で、コンピューターへのログオンに使った管理者の資格情報と異なる資格情報が必要な場合にのみ、[Alternate Credentials] をクリックします。

 状態の検出

ライセンス認証のためにプロダクト キーが必要なコンピューターを簡単に見つけることができるように、製品の一覧を並べ替えることができます。中央のウィンドウの上部のメニュー バーの [Group by] をクリックし、次に [Product][Product Key Type]、または [License Status] をクリックします。

[Product Keys] ノードをクリックし、右側のウィンドウの [Add Product Keys] をクリックして、[Add Product Keys] ダイアログ ボックスを開きます。更に、[Refresh product key data online] をクリックしてマイクロソフトへの問い合わせを実行し、MAK が対応しているライセンス認証カウントの残りの数を取得します。

プロダクトキー

プロダクトキーのインストール

[Products] の一覧ビュー ウィンドウで、キーをインストールする必要がある製品をそれぞれ選びます。複数の製品を選ぶには、Ctrl キーまたは Shift キーを使います。

キーインストール1

右側のウィンドウの [Selected Items] メニューの [Install product key] をクリックし、[Install Product Key] ダイアログ ボックスを開きます。[Select Product Key] ダイアログ ボックスに、インストールに使うことができるキーが表示されます。

[Recommended MAKs] の下には、選んだ製品に応じて、VAMT によって推奨される 1 つ以上の MAK が表示されます。MAK をインストールする場合は、推奨されたプロダクト キーを選ぶことも、[All Product Keys List] の別の MAK を選ぶこともできます。

MAK 以外をインストールする場合は、[All Product Keys] ボックスの一覧のプロダクト キーを選びます。インストールするプロダクト キーを選び、[Install Key] をクリックします。一度にインストールできるのは 1 つのキーのみです。

この際、クライアントにアクセスするので現在の資格情報と異なる場合は、[Use Alternate Credentials] にチェックを入れることを忘れないでください。

キーインストール3

 クライアントに接続するためのダイアログボックスが表示されるので、ユーザーID、パスワードを入力し、[OK] をクリックします。

キーインストール4

その後、キーがインストールされます。

キーインストール5

クライアントのライセンス認証

選んだコンピューターを右クリックして [Action] メニューを表示し、[Activate][Online activate] の順にポイントすることもできます。現在の資格情報を使ってプロダクト キーのライセンス認証を実行する場合は、[Current credential] をクリックし、現在使っている管理者の資格情報と異なる資格情報が必要な製品のライセンス認証を実行する場合は、[Alternate credential] オプションをクリックします。

[Activate] オプションを使うと、インターネット経由でマイクロソフトの製品ライセンス認証サーバーに接続し、選んだ製品のライセンス認証を要求します。操作が完了するまで、VAMT には、[Activating products] ダイアログ ボックスが表示されます。

アクティベーション1

これでオンラインアクティベーション完了です。

アクティベーション2

 

 

KMS サーバーのインストールと運用について – Part3

各 OS の KMS クライアントのキー (GVLK) 一覧

当初 MAK でライセンス認証していたが、KMS に変更したい場合は KMS クライアントキー(GVLK)を入力します。

slmgr -ipk < KMS キー>

そして、ライセンス認証を行います。

slmgr -ato

これで、KMS クライアントの認証が完了します。

各 OS ごとに GVLK は異なりますので、そのリストを下記に記載しておきます。

[table id=5 /]

[table id=6 /]

[table id=7 /]

[table id=8 /]

KMS サーバーのインストールと運用について – Part2

ボリュームライセンス認証の計画

Windows 8.1 および Windows Server 2012 R2 で提供される KMS キーはクライアントとサーバーの2種類が提供されています。

KMS キー製品グループがクライアントの場合は、全てのエディションのクライアント OS の認証をサポートしています。

クライアント KMS キーを使用して、KMS ホストを構築できる Windows のバージョンは、Windows Vista、Windows 7 および Windows 8 のクライアント OS に限られます。当然ながら、クライアントで構成した KMS ホストではサーバーの認証はサポートしません。

KMS キー製品グループがサーバーの場合は、全てのエディションのクライアント OS およびサーバー OS の認証をサポートしています。よって、サーバーの KMS キーはクライアント KMS キーを包括していることになります。

サーバー KMS キーを使用して、KMS ホストを構築できるWindows Serverのバージョンは、Windows Server 2008 以上のサーバー OS になります。

[table id=4 /]

*のOSを使用してKMSホストを構成する際は更新プログラムを適用する必要があります。

既存のKMSサーバーが存在する場合

Windows 8.1 および Windows Server 2012 R2 で提供される KMS キーを既存の KMS サーバーにインストールするには、更新プログラムを適用する必要があります。

Update adds support for Windows 8.1 and Windows Server 2012 R2 clients to Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012 KMS hosts

http://support.microsoft.com/kb/2885698/en-us

更新プログラム適用後に次のコマンドを入力することでインストールができます。

slmgr /ipk < KMS キー>

Active Directory によるライセンス認証の計画

Active Directory によるライセンス認証では、追加の専用サーバーを用意する必要はないので、既存のサーバーを使用してインストール可能です。また、KMSのような認証を行うための台数の要件はないので、1台から認証可能です。ただし、次の要件があります。

  • RODCではライセンス認証を構成できない
  • AD DS 以外のディレクトリサービスと共存できない
  • Windows Server 2012 スキーマレベルが必須

よって、既に Windows Server 2012 / 2012 R2 の DC が存在する場合は要件を満たしています。

キー管理サービス (KMS) ライセンス認証の計画

KMS ホストは KMS ホスト自身のライセンス認証を行うために1度だけインターネット接続が必要です(電話でも可能)。そしてよく勘違いされる方が多いのが、クライアントが KMS ホストでライセンス認証をするとその情報をインターネットを通じてマイクロソフトに送信するというものです。実際には、KMS ホストで認証されたクライアント情報は一切マイクロソフトには送信しません。よって、KMS ホストが認証されたら、インターネット環境はなくてもライセンス認証は可能です。

1台の KMS ホストで数万台の KMS クライアントをサポートしますので、ほとんどの企業ではインフラストラクチャ全体で 2 台の KMS ホストでの運用が可能です。この KMS ホストは物理、仮想サーバー問わず機能します。ちなみに、KMSキーは最大6台の KMS ホストにインストール可能です。

ボリュームライセンスメディアの既定の状態は、KMS クライアントのキー (GVLK) が設定されています。既存のコンピューターで MAK 認証がされており、KMS 認証に切り替えたい場合は、KMS クライアントのキー (GVLK)を入力します。

KMS クライアントが KMS ホストで認証されるためには、DNS SRVレコードに下記記述が必要です。

[table id=9 /]

ドメインに参加した KMS ホストの場合は、SRVレコードは自動登録されます。(ADライセンス認証にはこのレコードは必要ありません)

仮想マシンの自動ライセンス認証

Windows Server 2012 R2 では、自動ライセンス認証 (AVMA: Automatic Virtual Machine Activation) 機能が新たに追加されています。自動ライセンス認証である AVMA は Hyper-V 上で動作する仮想マシンに対する認証プロセスであり、物理マシンでは機能しません。この認証プロセスは AVMA キーを仮想マシンに設定することによって、KMS サーバーやインターネット経由のライセンス認証を行うことなく、自動的にライセンス認証が行われます。

ただし、要件としてホストOSが Windows Server 2012 R2 Datacenter Edition でライセンス認証済みである必要があります。ゲスト OS は Windows Server 2012 R2 の各エディションのみ対応しています。

[table id=10 /]

MAK / KMS 認証上限数を超えてしまった際の対処方法

よくあるトラブルとして、KMS キーを KMS クライアントのキー (GVLK) と間違えて使用してしまい、KMS キーが認証上限数を超えてしまうことがあります。そのような場合は、ホームページで申請するか、マイクロソフトのライセンス認証窓口に問い合わせる必要があります。

MAK / KMS 認証上限数変更申請フォーム

ライセンス認証専用窓口

 

 

KMS サーバーのインストールと運用について – Part1

ボリュームアクティベーションの概要

マイクロソフトのさまざまな製品はライセンス認証を行う必要がありますが、そもそもマイクロソフトが行うライセンス認証とはソフトウェアが正規品であることを確認すると同時にプロダクトキーが悪用されていないことを確認する検証作業のことになります。

以前はライセンス認証と検証(Windows Genuine ツールを使用) を別々に行っていました。Windows Server 2012 R2 および Windows 8.1 では、ライセンス認証と検証が同時に行われています。

ボリュームアクティベーションはボリュームライセンスを購入している企業がライセンス認証を行うための認証方法になります。

そこで、マイクロソフトが提供している認証方法としては次の3つがあります。

  • Active Directory によるライセンス認証
  • キー管理サービス (KMS) ライセンス認証
  • マルチ ライセンス認証キー (MAK) ライセンス認証

Active Directory によるライセンス認証

これは Windows Server 2012 から採用された新しいライセンス認証サービスになります。よって、Windows 8以降のクライアントおよび Windows Server 2012 以降のサーバーがドメインにログオンすると自動的にライセンス認証が行われる方式になります。このライセンス認証は180日間有効で、ドメインのメンバーである限りライセンス認証は維持されます。具体的な動作としては、Software Protection サービスの開始後に実行され既定で 7 日ごとにライセンス認証が試行されます。これが、成功すると 期間が 180 日に再設定されます。

では、ドメインのメンバーでなくなった場合はどうなるか?

コンピューターまたはSoftware Protection サービスが再起動したときにライセンス認証が失敗します。よって、Active Directory によるライセンス認証を使用する要件としては次の通り

  • ドメインのメンバーである
  • 対象の OS である(Windows 8 /8.1 or Windows Server 2012 / 2012 R2)

このことから、ドメインに参加していないコンピュータや、Windows7 などの Active Directory によるライセンス認証に対応していないコンピューターは キー管理サービス (KMS) ライセンス認証、またはマルチ ライセンス認証キー (MAK) ライセンス認証を行うことになります。

キー管理サービス (KMS) ライセンス認証

KMS ライセンス認証では、KMSホストを構築する必要があります。しかし、専用サーバーである必要はありません。KMSホストは他のサービスと共存可能です。KMS ホストは、「KMS キー」をインストールすることによって構築することができます。

KMS ライセンス認証を行うには、ネットワークに最小限の数 (ライセンス認証のしきい値) の物理コンピューターもしくは仮想コンピューターが存在している必要があります。このしきい値が満たされたうえで、KMS クライアントのライセンス認証を行うことができます。ライセンス認証のしきい値が満たされていることを確認するために、KMS ホストは、ネットワーク上でライセンス認証を要求している物理コンピューターおよび仮想コンピューターの数をカウントします。

KMS ライセンス認証のしきい値は次の通りです。

  • サーバーは5台
  • クライアントは25台(サーバー台数を含む)

KMS ライセンス認証は、180 日間有効(ライセンス認証の有効期間)です。KMS クライアントは、認証状態を維持するために、少なくとも 180 日間で 1 回は KMS ホストに接続してライセンス認証を更新する必要があります。KMS クライアント コンピューターは、既定で 7 日ごとにライセンス認証を更新します。よって、クライアントはライセンス認証が更新されるたびに、ライセンス認証の有効期間が180日に更新されるので、各コンピューターはライセンス期間を気にしないで運用できます。

マルチ ライセンス認証キー (MAK) ライセンス認証

MAK はライセンス認証サービスに対して1回のみライセンス認証を行う方式です。コンピューターの大幅な変更(ハードディスク交換など)がない限り、以降のライセンス認証は必要ありません。

ただし、MAKキーにはあらかじめ許可されるライセンス認証の回数に制限がかかっています。この回数はボリュームライセンス契約に基づくもので、組織のライセンス数とは厳密には一致していません。

MAKライセンス認証は、KMSホストが構築できない環境や、KMSの要件を満たさない環境で使用します。

まとめ

ボリュームライセンスを購入している企業においては、基本的にActive Directory によるライセンス認証を構築しましょう。しかしながら、ドメインに参加していないクライアントや、キー管理サービス (KMS) ライセンス認証に対応していないクライアントのために、KMSホストも構築して2つのライセンス認証が対応できる基盤を構築するのが推奨となります。

ちなみに、KMSクライアントがAD認証およびKMS認証、両方に対応している場合はAD認証が優先されます。

 

Active Directory のスキーマバージョン確認方法

 

Windows Server 2003 の EOS が 2015年7月15日 ということもあり、新しい OS へ移行を計画、実施を行っている企業は多いと思います。

その際、現在最新バージョンである Windows Server 2012 R2 をローリングアップデート方式でインストールする場合は、以前のように、Adprep を使用してスキーマの拡張を行わなくもよくなりました。

しかし、本当にスキーマの拡張が行われたのか確認したい場合は次の方法で確認できます。

ADSIエディターを起動して、スキーマに接続します。

WS000003

スキーマを展開して、コンテナーを右クリックして[プロパティ]を選択します。

WS000004

objectVersion の値を確認しましょう。

Windows Server 2012 R2 の場合は「69」になっているはずです。

Version Windows Server Version
13 Windows 2000 Server
30 Windows Server 2003
31 Windows Server 2003 R2
44 Windows Server 2008
47 Windows Server 2008 R2
56 Windows Server 2012
69 Windows Server 2012 R2

 

 

 

 

 

 

 

 

ADMT の要件が変わりました

Active Directory Migration Tool (ADMT) Guide: Migrating and Restructuring Active Directory Domains

の英語版がアップデートされました。ちなみに、日本語版は変更されていません。

この英語版のガイドではADMTの要件が変更されています。今までは、Windows Server 2008 R2 までしか対応していませんでしたが、Windows Server 2012 R2 に対応しました。

ダウンロードは以下から可能です。

Password Export Server (PES)- x64

Active Directory Migration Tool (ADMT) QFE – x86

今までは Windows Server 2012 R2 のドメインコントローラー、メンバーサーバーにはインストールができなかったので Windows Server 2008 R2 をメンバーサーバーとして追加して、ADMT専用サーバーとして用意しなくてはいけませんでしたがこれからは、直接 Windows Server 2012 R2 にインストール可能になります。

ドメインに入れなくなったらどうする?

知っている人は知っている?

ちなみに私は知りませんでした。いわゆる、セキュアチャネルの問題ですが・・・・ドメインに入れなくなったら今までは、ワークグループに戻してから再度ドメインに参加することをしていました。

が、こんな便利なコマンドがありました!

Test-ComputerSecureChannel –Repair

このコマンドの使い方ですが、ドメインに参加できなくなったらローカルの管理者アカウントでログオンします。そしてPowerShellでこのコマンドを実行する。ログオフすると、ドメインに参加できるようになります。

どうやら、Windows Server 2008 R2 の時から使えたらしいです。

いや~、ワークグループに戻さなくていいのは楽ですね!

Windows Server 2012 と Adprep の考察

Windows Server 2012 の adprep は AD DS サービスに統合されたので特に意識しないでも勝手にスキーマの拡張がされるようになりました。

ではなぜ今まではそのようなことをしなかったのか?

このディスカッションをしたことにより、理由がわかりました(と思う)ので記述しておきます。

まず、ドメインには必ずGCが存在します。このGCにはフォレスト内の全ドメインパーティションの部分レプリカ(全ドメインの全オブジェクトが対象だが一部の属性項目だけを持つ)が含められています。

GCレプリケーション

続きを読む

機能レベルに関して

Windows Server 2012 になって、機能レベルがどのようになったかを調べました。

そもそも、今まではドメイン及びフォレストの機能レベルに関しては一旦あげてしまったら元に戻すことはできないとなっていました。しかし、Windows Server 2008 R2 より条件付きですがその制限が解除されました。

では Windows Server 2012 ではどのようになったのか?

Understanding Active Directory Domain Services (AD DS) Functional Levels

これを見ると、わかりますが図にしてみました。

スライド1

 

スライド2

続きを読む