ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

なんていうか、いろいろ面倒くさい時代になってしまいました（笑）
インターネットが普及しだした頃はここまでセキュリティについて考えることはなかったのに…
　
というわけで今回は Windows Server 2008 から導入されている 【接続セキュリティの規則】 について
改めて設定してみようと思います。
　
*****************************************
こちらのテスト環境では以下を想定。
　　
Windows Server 2012 R2　=　192.168.1.205
Windows Server 2008 R2　=　192.168.1.210
Windows Server 2003 R2　=　192.168.1.5
Windows 10　=　192.168.1.225
Windows XP　=　192.168.1.12
　
*****************************************
上記5つのPCがドメイン内で稼動していることを前提として設定します。
2003とXPがなければラクなのに…。
　
　
≪何をしたいのか≫
・ドメイン内のPCは共有フォルダー含め全てアクセス可能にし、それ以外のPCからのアクセスを禁止（分離）
・Windows XP とWindows 2003 端末からリモートで他のPC（2012,2008,10）へアクセス出来るようにする
　
　
　
　
　
１.まずはドメインの直下に【グループ ポリシー（名前は何でも可）】を作成し、画像の場所まで移動します。
（最初から設定されている Default Domain Policy に設定してもかまいませんよ。…設定してもいいのなら）
　
　コンピューターの構成
　　∟ポリシー
　　　∟Windows の設定
　　　　∟セキュリティの設定
　　　　　∟セキュリティが強化された Windows Firewall
　　　　　　∟接続セキュリティの規則　←ココですね。
　
２．[接続セキュリティの規則] を右クリックし、【新しい規則】 をクリック
　
　
　
　
３．ドメイン分離のための設定を行います。
≪規則の種類≫ で [分離] をクリックし、【次へ】をクリック
　　
　
　

４．≪要件≫を選択します。
ここでは [受信接続の認証を必須とし、送信接続に対して認証を要求する] にチェックを入れて【次へ】をクリック
　
　
　

５．≪認証方法≫を選択します。
ここでは [既定] をチェックし、【次へ】をクリック
　
６．≪プロファイル≫項は任意で設定し、【次へ】をクリック
　
７．≪名前≫項は任意の名前をつけて【完了】をクリック
　
　

　
まとめるとこんな感じ。（画像クリックで拡大します）
　
　
８．グループ ポリシー を適用します。適用順はクライアントから。
すぐにアップデートするならコマンド プロンプトを開き、以下のコマンドを入力・実行します。
　
　Gpupdate /force
　
-----------------------------------------　
こんな要領で、リモート用の設定も作成していきます。
　
ただし、Windows XP と 2003 に限っては、運用してる人は少ないと思いますが、
Windows Server 2003 R2 以前の環境には 【接続セキュリティの規則】 が作成できないせいか、
2枚目の画像部分で ≪認証の除外≫ 設定と、≪カスタム≫ でリモート用設定の2つを新たに定義しなくちゃいけなかった。
コレが気に入らない…ま、時代が時代なだけにしょうがないかな（笑）　
　
もう1つ大事なことを書き忘れてましたが、こちらも Windows Server 2003 以前のOS に限ってですが、
TCP 445 ポートが SMBv1 でしか通信ができないので、SMBv2 以降を使うサーバーへのアクセスや共有フォルダー、
グループ ポリシーの更新ができなくなってしまいます。でも、Ping や DNS 参照、ドメインにはログオンできる。
　
XP だけ毎月やらなきゃいけないポリシー更新をどうしようか悩むわ・・・。
そのつどDCサーバー側のSMB1の値のデータを 0 から1 に戻して更新、ポリシー更新後に変更した値を元に戻して
Server, Netlogon, DFS Namespace サービスを再起動する。
コレならポリシー更新できるし、サーバー自体も再起動させなくてすむけどあほくさいな・・・（笑）
　
　
これで運用できるようになったけど、十分なテストを行ってから実環境に導入してみてください。
（IPSEC の導入を推奨しますが、IPSEC 設定についてざくっと書けば、ドメイン ネットワーク全体に整合性のみ、
暗号化はしないようにセキュリティのネゴシエートをする。その後、各コンピューター間で暗号化設定等を行う）
　
テストして最後には、認証モード（3枚目の画像）について
【受信および送信で必須】にできればいいんですけどね。
ただ、そうなれば WMI フィルターを使わないといけないのかな？今度は Windows 10 が問題になりそう…
　
　
-----------------------------------------------------------
追記）
ポリシーの適用後にサーバーと通信ができなくなった場合の対処
-----------------------------------------------------------
ただ単にポリシ－設定を戻して更新をかけ直してもポリシーの更新に失敗するだけなので、以下のように設定しなおす。
　
① DC 側の設定を最初に戻す。ここでは一度、【認証しない】を設定し、適用させる。
　　
② Nslookup コマンドで DNS 参照ができるかを確認しておく。（クライアント、サーバー側ともに）
　
例）nslookup ＜DNS サーバー名＞
　
③ ポリシーの適用が失敗したクライアントPCのファイアウォールを一時的に無効化する。
　　
④ ポリシー設定を、サーバー側と同じ、【認証しない】を適用する。ただし、コンピューターに対してのみ適用する。
ターゲットを指定しないと適用に失敗する。
　
Gpupdate /target:Computer /Force
　
　
ポリシーの処理に失敗する場合には、しばらく時間をあけてもう一度実行する。（適用に時間かかった時もあった
　
⑤ ポリシーの更新が成功したら念のため Nslookup コマンドで DNS 参照ができるかを確認しておく。
　
⑥ 更新が完了したらファイアウォールを有効化に戻す。
　
⑦ もう一度、ポリシーを適用させるコマンドを実行する。今度はユーザーも含める。
　
Gpupdate /Force
　
⑧ ポリシーが適用できたら念のため Nslookup コマンドで DNS 参照ができるかを確認しておく。
　
　
　
やってて色々謎が多かった。なぜサーバー側ではなく、クライアント側のファイアウォールを無効にしないといけないのか、とか、なぜ強制的に適用させたはずのポリシーの更新が、かなり遅延した状態でないと適用しなかったのか、なぜコンピューターとユーザーポリシーを同時に処理できないのに、コンピューターポリシーだけの処理なら処理が成功するのか、など、謎は深まるばかりで楽しかった（笑）

　

　
先日からどうも、Windows 10 クライアントマシンに限ってグループ ポリシーが適用されなくて困っていたので重い腰を上げてみた。
　
ドメインに参加・離脱はできるのに、nslookup コマンドとかが出来なかったんだよね…。この時点でDNS参照エラーだと気づく笑
　　　
--------------------------------------------------------
１．現在のドメイン コントローラー側ネットワーク情報から。
　
　- DNS サーバーの完全修飾ドメイン名＜FQDN＞とIP アドレスを調べる
　- ドメイン コントローラーの完全修飾ドメイン名＜FQDN＞とIP アドレスを調べる
（ドメイン コントローラーでDNS サーバーを起動していれば2つの情報は同一のはず…）
　- Net View コマンドで共有リソースの確認
　　　例）Net View \\＜ドメイン コントローラー名＞
　- 撤去したドメインコントローラーがあれば、その metadata が残っていないか。
　　　
　　※残っていれば ntdsutil コマンドで metadata cleanup を行う。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/88.html
　
--------------------------------------------------------
２．ネットワーク接続設定の確認（基本が大事）
　
　- 優先DNS サーバーと代替DNS サーバーアドレスは正しいか
　- ドメイン コントローラーのIP アドレスは正しいか
　- dcdiag コマンドで DNS サーバーのテスト
　　　dcdiag /test:dns
　　
　※ このコマンドでDNS サーバーの設定が正常であるかが確認できる。　
　
パーティション テストを実行しています: ForestDnsZones

パーティション テストを実行しています: DomainDnsZones

パーティション テストを実行しています: Schema

パーティション テストを実行しています: Configuration

パーティション テストを実行しています: nekoprint

エンタープライズ テストを実行しています: nekoprint.mobi
テストを開始しています: DNS　
......................... nekoprint.mobi はテスト DNS に合格しました
　
と出ればよい。
　　
--------------------------------------------------------
３．ネットワーク接続の確認
　
　- Ping でDNS サーバー宛に送信テスト
　- Ping でドメイン コントローラー 宛に送信テスト
　　※それぞれ NETBIOS名とIP アドレスを送信してみる
　- エイリアス名（CNAME)でもPing 疎通が出来るかの確認。
　　※５．でエイリアス名を確認する方法を書いています。
　
--------------------------------------------------------
４．DNS サーバーサービスが開始されているかを確認
　
　- コマンドで net start "dns server"
　　※開始していれば、【要求したサービスは、既に開始しています】と表示される。
　
--------------------------------------------------------
５．リソース レコードが登録されているかを確認
　
　- DNS 管理コンソールを開いたら【_msdcs.nekoprint.mobi】をクリックし、
　　CNAME＜xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.nekoprint.mobi＞が存在しているかを確認。（プロパティ）
　- CNAME に対して、DNS サーバーの A（Host）レコードが存在しているか
　

　
ついでにCNAMEを使ってPing を飛ばしてみるとよい。
　例）Ping xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx._msdcs.nekoprint.mobi
　
--------------------------------------------------------
６．DNS サーバーで、動的更新を許可しているかを確認
　
　- 対象ドメイン名の全般タブで【Active Directory 統合】になっているかを確認
　- 【動的更新】ボックスが【セキュリティ保護のみ】になっているかを確認
　
　
　
--------------------------------------------------------
７．DNS リソース レコードを登録（コマンド プロンプトで操作）
　
　- net stop netlogon
　- net start netlogon
　- ipconfig /registerdns
　

　 　
--------------------------------------------------------
８．リソース レコードが登録されたかを確認
　
　※ ５.と同じことを行う　
　
--------------------------------------------------------
９．レプリケーションの実行
　
　- Active Directory サイトとサービスからでもコマンドからでも15分程度待っていてもいい、とにかくレプリケーション！笑
　
※コマンドからレプリケートする場合。（大文字・小文字区別あり）
　repadmin /syncall /d /e /P ＜レプリケーション元ドメインコントローラー＞
　
　
　

※※コマンドの説明※※
repadmin /SyncAll [/adehijpPsS] <宛先 DSA> [<名前付けコンテキスト>]
　　/a: サーバーのいずれかが利用不可能な場合は中止する
　　/A: <宛先 DSA> の NC すべてについて /SyncAll を実行する
　　　　(<名前付けコンテキスト> を無視する)
　　/d: (GUID DNS ではなく) メッセージの DN でサーバーを識別する
　　/e: エンタープライズ、クロス サイト (既定: ホーム サイトのみ)
　　/h: このヘルプ画面を表示する
　　/i: 無限に繰り返す
　　/I: サーバーのペアそれぞれについて、同期する代わりに showreps を実行する
　　/j: 隣接したサーバーのみ同期する
　　/p: メッセージの後にユーザーによる中止に備えて一時停止する
　　/P: 変更をホーム サーバーから外へプッシュする (既定: プル)
　　/q: 無人モード: コールバック メッセージを表示しない
　　/Q: 無人モード: 致命的なエラーのみ表示する
　　/s: 同期しない (トポロジを解析してメッセージを生成)
　　/S: 初めのサーバー応答チェックをスキップする
　　　　(サーバーがすべて利用可能であると想定)
<名前付けコンテキスト> を省略すると、DsReplicaSyncAll には既定で構成 NC が指定されます。
　
--------------------------------------------------------
　

　
ここまででとりあえずグループポリシーは適用されるようになった。
　
結局なにが原因でDNS参照が出来なくなってたんだろう。
どこかで変な設定したんだろうか…レプリケーション恐るべしwww
　

削除されなかったようだ。Fall Creators Update め…。
あーよかった笑
　
　

　
予想通り、Windows アップデートは 32% から先へは進まなかった（笑）
　
　
というわけで、前回のブログで削除された時のためにあらかじめ変更しておいたアクセス権を元に戻そうと思う。
　
手順はいたって簡単。
　
　

　
【継承の有効化】ボタンをクリックしたのち、【OK】ボタンを押下し、
プロパティ画面に戻りもう一度【OK】ボタンを押下する。たったコレだけである。
　
　
この設定は親フォルダー（System32）からのアクセス権を引き継ぐようにするもの。
　
　
　

　
継承の有効化ボタンを押してアクセス権が元に戻っても上の画像のように同じアクセス権が、継承元違いで表示される場合がある。
　
　　
　
　
このままでも問題はないのですが、なんか気持ち悪いので完全に元のアクセス権の状態にまで戻そうと思う。
　
　
　

　
アクセス権を戻した後にもう一度プロパティ画面で【詳細設定】を押下し、
【継承の無効化】ボタンを押下すると、≪継承のブロック≫ウィンドウが表示されるので、
『継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。』…をクリックする。
　
　
その後、前回のブログで取っておいた画像の通りにアクセス権を編集したら最後に所有者を変更します。
　
　
　

　
所有者の右側に表示されている【変更】をクリックし、元の所有者『 NT SERVICE\TRUSTEDINSTALLER 』を入力し変更します。
　
ここまで変更ができたら【OK】を押下しプロパティ画面まで戻り、もう一度【OK】を押下すれば完了である。　
　
　
これで問題なく最新バージョン 16299.19 にアップデートされました。
　
　
マイクロソフトさん、ペイントをなくさないでくれてありがとー！笑
　
　

みんな大好きペイントさんが、来週 10/17 の大型アップデート fall Creators Update で削除されるそうな…。
（ストアからはインストールできる）
　
今まで使えて当然の、ちょっと画像を保存したいなって時に便利だったヤツがいきなり消されるとか、それはあまりにも悲しいなぁということで、一か八か？で対策をやってみた笑
　
　
まず思いついたのが、アップデートされるときに必ずアクセスしてくるであろう、mspaint.exe ファイル。
このファイルに対してアクセス権を変えた場合にアップデート時にどうなるのかを試してみようと思う。
　

コレですね。一応メモとして画像を残しておく。
　
　　

まず所有者の変更をします。これは後にまたアクセス権を書き換える時に必ず必要になる作業です。
所有者の右にある【変更】をクリックして任意のユーザーに変更し、不要なアクセス権を全て削除。
書き込み権限以上は必要なし。
SYSTEM も必要ないのかな…でも、一応残す笑

　
　

確認ウィンドウが表示されますが、はい をクリックします。
　
　

ここまで戻ったら OK をクリックして終了します。
権限を増やしたい場合にはまず詳細設定を開き、所有者にフルコントロール権限を与えてから編集します。
　
　
これで消えなければいいのになぁ、というちょっとした期待を…
あ、でも動かすプログラム以外のものを消されたら意味ないなぁ笑
あとこれでアプデ失敗したら笑うしかないわｗｗｗ
　
念のため、システムの復元ポイントを作っておこうか…。