皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

こんにちは、Azure & Identity サポート チームです。
今回は Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法の一つで、ハードマッチと呼ばれる方法についてご紹介します。

既に Azure AD 上にユーザー アカウントが存在している状態で、そのユーザーを後からオンプレミスの Active Directory (AD) に追加し、同期をおこなうときにその既存のアカウントをそのまま利用したいということがあると思います。

このようなケースではオンプレミス AD で対象となるアカウントのメール アドレス、または UPN 名を一致させた上で同期をおこなうという手法が一般的には取られます (これをソフトマッチと呼びます)。このソフトマッチができない場合 (UPN 名が異なるアカウントを紐づける必要がある場合など) にはハード マッチと呼ばれる方法で直接的に同期時にオブジェクトの一意性を確保する ID 情報 Immutable ID を紐づけます。
Azure AD Connect の既定の構成では、オンプレミス AD の ObjectGUID を Base64 でエンコードした値を Immutable ID (source Anchor) として紐づけています。
以下では既定の構成で Azure AD Connect を構成している場合においてハードマッチによる同期をおこなう設定をご紹介します。

前提条件としては、 Azure AD 上のユーザーがこれまでにオンプレミスから同期されていないことと、 Azure AD Connect が既定の状態で ObjectGUID が Immutable ID として設定されている環境とします。この前提条件を満たしていない場合には、ご紹介します方法ではハードマッチすることができません。言い換えますと、Azure AD Connect インストール時に ObjectGUID ではない別の属性を source Anchor と指定した場合にはご紹介しますハードマッチの方法を考慮する必要がありますのでご注意ください。

また、基本的にはユーザーを紐付ける必要がある場合には、ソフトマッチを利用することを推奨します。
理由としましては、ハードマッチによるユーザーの紐づけの変更を複数回行った場合などに Azure 上での情報の伝搬がされ終えないうちに新しい情報が伝搬され、Azure を構成するサーバー上での情報に不整合が生じ、問題が発生することが想定されるためであり、過去の実績という観点からもハードマッチを実施したような事例も少ないため、基本的にはハードマッチでの紐づけはできる限りしないことをお勧めします。

=============
手順
=============

1. オンプレミス AD にて Base64 でエンコードされた ObjectGUID を確認します
2. Azure AD 上で ImmutableId が設定されてないことを確認します
3. Azure AD 上のアカウントに ImmutableId を手動で設定します
4. 手動で差分ディレクトリ同期を実施します
* 4 を除き、同期処理が止まっている状態で作業をご実施ください。同期処理が止まっていないと紐づけしたいオンプレミス AD のアカウントが同期されてしまい、Immutable ID を紐づけできません。

———————————————-
1. オンプレミス AD にて Base64 でエンコードされた ObjectGUID を確認
———————————————-
オンプレミス上の紐づけ対象のアカウントの GUID 情報を取得します。

1-1. オンプレミス Active Directory の任意の DC 上で [管理ツール] – [Active Directory ユーザーとコンピューター] を開きます。

1-2. メニューから [表示] – [拡張機能] にチェックを入れます。

1-3. 該当ユーザー アカウントのプロパティを開きます。

1-4. [属性エディター] タブを開き、”distinguishedName” 値を選択し、[表示] をクリックします。

1-5. distinguishedName 値 (以下、DN 値) の内容をコピーします。

1-6. コマンド プロンプト (PowerShell でも可) を起動し、以下のコマンドを実行します。
ldifde -f c:\ ldifde_user.txt -d “手順 5. でコピーした内容” -p subtree

コマンド例：

1-7. 出力されたファイルを開き、ObjectGUID の値を確認します。
出力結果例：

————————————————————–
2. Azure AD 上で ImmutableId が設定されてないことを確認
————————————————————–
Azure AD の紐づけ対象のアカウントに ImmutableId が設定されていないことを確認します。ImmutableId が設定されている場合には、すでに同期対象となっていることを示します。

2-1. インターネットに接続している任意のコンピューター上で “Windows PowerShell 用 Windows Azure Active Directory モジュール” を管理者として実行します。

2-2. 起動した PowerShell にて Connect-MsolService コマンドを実行します。
※ 認証ダイアログが表示されますので、管理者ユーザーの資格情報を入力して [OK] ボタンをクリックします。

2-3. 下記のコマンドを実行します。
Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

コマンド例：
Get-MsolUser -UserPrincipalName “hm_test3@test01.onmicrosoft.com” | fl

2-4. 出力されたファイルを開き、ImmutableId の値を確認します。
出力結果例：
ImmutableId                            : （クラウド内ユーザーの場合、空白になります）
UserPrincipalName                      : hm_test3@test01.onmicrosoft.com

——————————————-
3. ImmutableId を手動で設定
——————————————-
ディレクトリ同期ツールにて、ユーザーの情報を関連付けるには下記の情報を使用します。

オンプレミス AD 側：objectGUID
Azure AD 側：ImmutableId

3-1. インターネットに接続している任意のコンピューター上で “Windows PowerShell 用 Windows Azure Active Directory モジュール” を管理者として実行します。

3-2. 起動した PowerShell にて Connect-MsolService コマンドを実行します。
※認証ダイアログが表示されますので、管理者ユーザーの資格情報を入力して [OK] ボタンをクリックします。

3-3. 下記のコマンドを実行します。
Set-MsolUser -UserPrincipalName <対象ユーザーの UPN> -ImmutableId <オンプレ AD ユーザーの  Base64 エンコードされた objectGUID 値>

コマンド実行例：
Set-MsolUser -UserPrincipalName hm_test3@test01.onmicrosoft.com -ImmutableId 2/9JCtHr0EmH+hL07o11vA==

3-4. 下記のコマンドを実行します。
Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

コマンド例：

——————————————-
4. 手動で差分ディレクトリ同期を実施
——————————————-
※2016 年 2 月に公開された新しいバージョン（1.1.105.0 以上）の Azure AD Connectを使用した手順をご案内いたします。

4-1. ディレクトリ同期サーバーに管理者権限でログインします。
4-2. 管理者の PowerShell を起動して、以下のコマンドを実行します。

Start-ADSyncSyncCycle -PolicyType Delta
*今回ご紹介しているケースのように Azure AD Connect が構成済みである場合は上記コマンドで差分同期をすることとなります。

4-3. Office 管理ポータルで作業対象ユーザーの [同期の種類] が [クラウド] から [Active Directory ] に変わったことを確認します。
「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」

Azure & Identity サポート チームの橋本です。

2017 年 4 月 13 日にサポートの終了が予定されている DirSync から Azure AD Connect への移行に関するお問い合わせが増えております。
その DirSync から 2017 年 3 月 6 日に公開された Azure AD Connect ビルド 1.1.443.0 へのアップグレードを行う際に発生する不具合を確認しており、以下にご案内いたします。

DirSync のサポート終了を直前に、ご不便・ご迷惑をおかけいたします。少しでも本情報がお客様のお役に立てましたら幸いです。

事象
DirSync から Azure AD Connect へアップグレードする方法として、「インプレース アップグレード」と「並列デプロイ」の 2 通りあります。
Azure AD Connect ビルド 1.1.443.0 で、前者の「インプレース アップグレード」を行うと以下のエラーが発生して失敗する不具合があります。

回避策
Azure AD Connect を新規インストールして各種設定を手動で変更いただくか、「並列デプロイ」にてアップグレードします。
並列デプロイの大まかな作業の流れは以下の通りです。

1. DirSync の設定をエクスポート
2. Azure AD Connect をインストール
2a. DirSync の設定をインポート
2b. ステージング モードに設定
3. Azure AD Connectへオンプレミス AD や Azure AD のデータをインポート
4. DirSync の設定を正しく引き継いで、Azure AD Connect がデータの突合処理を実施できているかどうかを確認
5. 設定に問題がないことを確認し、DirSync を停止
6. Azure AD Connect のステージング モードを解除
7. ディレクトリ同期処理を Azure AD Connectへ移行完了

並列デプロイの手順等、詳細情報については以下のサイトをご参照ください。

– 参考情報
Azure AD Connect: DirSync からのアップグレード
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-dirsync-upgrade-get-started#parallel-deployment

本不具合に関する修正については 2017 年 3 月 28 日時点ではリリース時期は未定ではありますが、現在開発部門にて準備中です。
リリースされ次第、本ブログも更新する予定です。

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

皆様、こんにちは。Windows プラットフォーム サポート担当の畠山です。
今回は、FSMO の役割を転送した後の、 PDC エミュレーターの時刻同期の設定について、ご紹介したいと思います。

1. PDC エミュレーターの時刻同期について

ドメイン上の全てのコンピューターは、 Kerberos 認証を行うために、ドメイン コントローラーと同じ時刻である必要があります。
このため、ドメイン環境下の Windows の時刻は、フォレスト ルートにある PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に時刻を同期します。
多くの場合は、PDC エミュレーターが正確な時刻を維持するために、信頼する NTP サーバーと時刻を同期するための設定を行います。

2. FSMO の役割を転送する場合の注意

PDC エミュレーターは、FSMO の役割のひとつです。
FSMO の役割を転送する場合は、 PDC エミュレーターも役割を転送しますが、この際、時刻同期の設定は自動的には転送されません。
このため、FSMO 役割を転送した後に、PDC エミュレーター用の時刻同期の設定を手動で実施する必要があります。

設定手順は環境により異なるため、ここでは詳細な手順は割愛させていただきます。
英語の情報となりますが、下記の弊社ブログにて、手順を紹介しておりますので、ご参照いただきますと幸いです。

“It’s Simple!” ? Time Configuration in Active Directory
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

なお、時刻の同期は、前述の通り、PDC エミュレーターを基準に、各ドメイン コントローラー、そして各メンバー コンピューターの順に反映されていきます。
このため、時刻同期の設定を変更したコンピューターは、下記の順に W32Time サービスを再起動します。
※ W32Time サービスを再起動した後は、時刻の同期が行われるまで時間がかかる場合があるため、サービスの再起動後はしばらく時間を空けてから状況を確認してください。

1. PDC エミュレーターの役割を持つドメイン コントローラー
2. PDC エミュレーターの役割を持たないドメイン コントローラー
3. 各メンバー コンピューター
※フォレスト内に複数のドメインが存在する場合は、フォレス トルートからドメインの階層にしたがいます。

以上。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

現象

DFS 名前空間サーバーにて、OS 起動時に DFS Namespace サービスの起動に失敗し、サービスが停止している状態を想定します。

また、名前空間のルートの共有アクセス権に書き込み権限が付与されている状態とします。

この状態において、アプリケーションから DFS パス配下のファイルへの書き込みが行われると、「パスが見つかりません」のエラーが発生します。

この状況では、アプリケーションによってはエラーとなり、DFS 名前空間サーバーが複数存在する環境であっても DFS 名前空間サーバーの切り替えが行われない場合があります。

詳細

DFS 名前空間サーバーにて、OS 起動時に DFS Namespace サービスが起動せず停止している状況では、アプリケーションの動作によって以下のエラーを応答および DFS 名前空間サーバーの切り替え動作となります。

DFS パスにアクセスするアプリケーションによってファイルの参照が行われる場合は、事前に DFS 名前空間のパスへのアクセスを行います。

この DFS 名前空間のパスへのアクセスに対して、STATUS_OBJECT_PATH_NOT_FOUND エラーを受信した場合は DFS 名前空間サーバーの切り替えが行われます。

また、DFS パス配下のファイルへの書き込みが行われる場合につきましては、DFS 名前空間サーバーの切り替えは行われませんが、その後のアプリケーションの動作によってエラーとならず DFS 名前空間サーバーの切り替えが行われるものもあります。

たとえば、echo コマンド等で DFS パス配下のファイルに書き込みを行うと (例 : echo test > \\Contoso.com\Namespace\Folder\test.txt)、エラーとなり DFS 名前空間サーバーの切り替えは行われません。

しかし、移動ユーザー プロファイルでユーザー プロファイルをロードする場合では、Profile サービスがDFS パス配下のファイルへの書き込みで STATUS_OBJECT_PATH_NOT_FOUND エラーを受信してもエラーとせず、その後に DFS 名前空間のパスへアクセスを行なうため、DFS 名前空間サーバーの切り替えが発生します。

回避策

OS 起動時に DFS Namespace サービスの起動に失敗した状況で、DFS 名前空間の切り替えを行うには以下の運用回避策が有効です。

・OS 起動後、sc コマンド等により DFS Namespace サービスの起動状態を確認し (例 : sc query dfs)、停止している場合は OS をシャットダウンする。

・DFS Namespace サービスの起動に失敗した DFS 名前空間サーバーの DFS の紹介を無効化する。

参考情報

複数台の DFS 名前空間サーバーが稼働する環境において、DFS 名前空間サーバーの障害時に他のサーバーへ切り替えが発生するシナリオには、以下があります。

・DFS 名前空間サーバーの OS が停止している状態など、クライアントからのアクセス時に応答を返せない状況

・ネットワーク障害などで、DFS 名前空間サーバーへ通信不可となり応答が返せない状況

これらの DFS 名前空間サーバーの切り替えシナリオにつきましては、以下の公開情報でも公開されております。

How DFS Woks

https://technet.microsoft.com/en-us/library/cc782417(v=ws.10).aspx

「What Happens During Failover」 の項目をご参照ください。

※上記公開情報の 「What Happens During Failover」 項目内にある “Note” は 2017 年 3 月に追記しております。

なお、OS起動時に DFS Namespace サービスが起動失敗したシナリオについては DFS 名前空間サーバーの切り替えはサポートされておりません。

補足

・本記事は DFS パス配下のファイル (例 : \\Contoso.com\Namespace\Folder\test.txt) にアクセスする場合に生じる現象となります。

DFS 名前空間のパス (例 : \\Contoso.com\Namespace) にアクセスする場合は DFS 名前空間サーバーの切り替えが行われます。

・OS 起動後に一度でも DFS Namespace サービスが起動した場合は、その後にサービスが停止しても DFS パス配下のファイルの書き込み時に DFS 名前空間サーバーの切り替えが行われます。

・本記事のシチュエーションにおいて、名前空間のルートの共有のアクセス権に書き込みの権限がない場合はアクセス拒否のエラーとなります (関連記事参照)。

関連記事

リンク：

移動ユーザー プロファイルにおいてプロファイル格納先に DFS パスを指定している環境では DFS 名前空間サーバーの障害時に切り替わらない場合がある

現象

移動ユーザー プロファイルを利用した環境において、ユーザー プロファイルの格納先に DFS 名前空間のパスを指定している環境を想定します。

この環境でログオン時のユーザー プロファイルのロードを行う際に、接続する DFS 名前空間サーバーの DFS Namespace サービスが停止している場合、アクセス拒否のエラーとなる場合があります。

この場合、複数の DFS 名前空間サーバーが存在する環境であっても接続する DFS 名前空間サーバーの切り替えは発生せず、ユーザー プロファイルのロードに失敗します。

原因

DFS Namespace サービスが停止している DFS 名前空間サーバーでは、フォルダ ターゲットとなるサーバーの紹介などの DFS 名前空間に関する処理を行わず、名前空間のルートの共有パスに対するクライアントからのアクセスを処理することになります。

この共有パスに対するアクセス処理では、名前空間のルートの共有アクセス権の確認が行われます。

また、移動ユーザー プロファイルでは、ユーザーのログオン時にプロファイルの格納先として指定された DFS パス配下のファイルに対して書き込みが行われます。

この状況では、名前空間のルートの共有のアクセス権に書き込みの権限が付与されていない場合にアクセス拒否のエラーが発生し、ユーザー プロファイルのロードに失敗します。

対処策

DFS 名前空間のルートに対する共有アクセス権に書き込み (変更) 権限を付与することで、DFS Namespace サービスが停止した場合も DFS 名前空間サーバーの切り替えが行われます。

– 設定手順

(a) 新規に DFS 名前空間を作成する場合
———————————————————————————-
1. [スタート] – [管理ツール] – [DFS の管理] をクリックします。
2. DFS の管理画面の左ペインより、[名前空間] を右クリックして [新しい名前空間] をクリックします。
3. 新しい名前空間ウィザードの [名前空間サーバー] 画面にて、DFS 名前空間サーバーを指定し、[次へ] をクリックします。
4. [名前空間の名前と設定] 画面にて、名前空間名を指定し、[設定の編集] をクリックします。
5. 設定の編集画面にて、[共有フォルダーのアクセス許可] 配下で “すべてのユーザーが読み取り/書き込みアクセス許可を持つ” を選択して [OK] を押下します。
6. 新しい名前空間ウィザードにて、残りの名前空間の設定を入力し、名前空間を作成します。

(b) 作成済みの DFS 名前空間のルートの共有アクセス権を変更する場合
—————————————————————————————————–
1. DFS 名前空間サーバーにて、エクスプローラーを開き c:\DFSRoots 配下に移動します。
2. 名前空間のルートの一覧が表示されるため、対象の名前空間名のフォルダを右クリックして [プロパティ] をクリックします。
3. プロパティ画面にて [共有] タブを開き、[詳細な共有] をクリックします。
4. 詳細な共有画面にて [アクセス許可] をクリックします。
5. アクセス許可画面にて Everyone など対象のユーザーまたはグループのアクセス許可にて [変更] の許可にチェックを入れ、[OK] を押下します。
6. プロパティ画面を閉じます。

関連記事

OS 起動時より DFS Namespace サービスが停止している場合、共有のアクセス権に書き込み権限を付与しても、DFS パスにアクセスするアプリケーションによっては DFS 名前空間サーバーの切り替えが行われない場合があります。

この詳細については以下のブログにて紹介しています。

なお、移動ユーザー プロファイルはこのシチュエーションにおいても DFS 名前空間サーバーの切り替えは行われるため、該当しません。

リンク：

OS 起動時に DFS Namespace サービスが起動失敗して停止した場合、DFS パス配下のファイル書き込み時にアプリケーションによっては DFS 名前空間サーバーが切り替わらない

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」

こんにちは。Windows プラットフォーム サポートの永谷です。

問題の概要
Windows 10 Aniversary Update  (バージョン 1607)  以降の OS のダイヤルアップ接続のプロパティ画面にて [セキュリティ] タブを選択します。

その際、以下のダイアログが表示されます。

“スクリプト情報を読み込めません。エラー 608: 指定したデバイスはありません。”

“スクリプト情報を読み込めません。エラー 615: 指定したポートが見つかりませんでした。”

対象 OS

Windows 10 バージョン 1607 以降の OS

Windows Server 2016

影響範囲
ダイヤルアップ接続におけるスクリプトの設定に影響があります。

具体的には、実行するスクリプトの一覧を表示するためのコンボ ボックスが正しく読み込まれない現象が発生します。

[スクリプトを実行する] の設定を利用していない場合には、動作に影響はありません。

———–
[ダイヤルアップ接続のプロパティ] – [対話型ログオン及びスクリプトの実行] – [スクリプトを実行する]
———–

原因

• エラー 608

ダイヤルアップ接続のプロパティで [セキュリティ] タブをクリックした際に、C:\Windows\System32\rasmxs.dll のロードに失敗するために発生します。

このファイルは Windows 10 バージョン 1607 以降の OS で削除されています。

•  エラー 615

ダイヤルアップ接続のプロパティにて [セキュリティ] タブをクリックした際に、当エラーが出力される場合があります。

当エラーは、モデム デバイスに問題が無く、正常にダイヤルアップ接続が可能な状況であっても出力されます。

対処方法

上述のスクリプトの設定を利用していない場合には、本エラーは無視できます。

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

皆様、こんにちは。
Windows プラットフォーム サポートチームです。

本日は、Windows Server 2012 以降の OS 標準 NIC チーミング (LBFO : Load Balancing and Failover) 構成時の注意点について取り上げます。

– 現象
LBFO を構成したサーバー上で、ルーティング (RRAS) の機能を有効にし、リピータハブに接続するとパケットがループする現象が発生します。
例えば、下図のような構成では、以下の順番でパケットが処理されるため、結果、パケットがループします。

1. 送信元サーバーから宛先サーバーに対して、パケットを送信します。
2. LBFO を構成したサーバーが、リピータ ハブから転送されたパケットを受信します。
3. LBFO を構成したサーバーでルーティングが有効となっている場合は、宛先 MAC アドレスが自身の NIC の MAC アドレス宛てではないパケットもルーティング処理します。
4. ルーティングされたパケットがリピータ ハブからさらに転送されて自身で受信するため、パケットがループします。

– 原因

LBFO で NIC チーミングを構成 (チーミング モード：スイッチに依存しない) した場合は、
LBFO における仮想アダプターの MAC アドレス宛てのパケットを、メンバー NIC で受信する必要があるため、プロミスキャス モードで動作します。
そのため、宛先 MAC アドレスが異なるパケットについても、物理 NIC で受信する動作となるため、その後、TCP/IP のレイヤでパケットが処理されます。
もし、LBFO を構成している環境でルーティングの設定を行っている場合は、宛先 MAC アドレスが異なるパケットもルーティング処理の対象となります。

– 対応策
LBFO で構成した複数の NIC をリピータ ハブに接続しないようにご注意ください。

以上、今回は NIC チーミングにおける動作モードについて、ご説明いたしました。

「本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。」