スマホ向け表示

記事一覧

Windows 10 の ペイント ががが

ファイル 213-1.jpg
みんな大好きペイントさんが、来週 10/17 の大型アップデート fall Creators Update で削除されるそうな…。
(ストアからはインストールできる)
 
今まで使えて当然の、ちょっと画像を保存したいなって時に便利だったヤツがいきなり消されるとか、それはあまりにも悲しいなぁということで、一か八か?で対策をやってみた笑
 
 
まず思いついたのが、アップデートされるときに必ずアクセスしてくるであろう、mspaint.exe ファイル。
このファイルに対してアクセス権を変えた場合にアップデート時にどうなるのかを試してみようと思う。
 
ファイル 213-2.jpg
コレですね。一応メモとして画像を残しておく。
 
  
ファイル 213-3.jpg
まず所有者の変更をします。これは後にまたアクセス権を書き換える時に必ず必要になる作業です。
所有者の右にある【変更】をクリックして任意のユーザーに変更し、不要なアクセス権を全て削除。
書き込み権限以上は必要なし。
SYSTEM も必要ないのかな…でも、一応残す笑

 
 
ファイル 213-4.jpg
確認ウィンドウが表示されますが、はい をクリックします。
 
 
ファイル 213-5.jpg
ここまで戻ったら OK をクリックして終了します。
権限を増やしたい場合にはまず詳細設定を開き、所有者にフルコントロール権限を与えてから編集します。
 
 
これで消えなければいいのになぁ、というちょっとした期待を…
あ、でも動かすプログラム以外のものを消されたら意味ないなぁ笑
あとこれでアプデ失敗したら笑うしかないわwww
 
念のため、システムの復元ポイントを作っておこうか…。

厳密なレプリケーション整合性を有効にする方法

ファイル 212-1.jpg
 
BPAの結果が気に入らないから(笑)、対策をしてみる。
ルートサーバーはね、警告でちゃっててもいいんです。このコにはデフォゲ設定してないからアクセス出来なくて当然だし… 

★厳密なレプリケーション整合性を有効にするために、以下のコマンドを使用します。
 
-------------------------------------
repadmin /regkey ~
------------------------------------- 
 
このコマンドは、以下のレジストリ値を追加・編集するものです。作業前のレジストリ バックアップは忘れずに。
レジストリ エディタ(regedit)でもいいんですけどね・・・。
 
  
*******************************************************
追加する値:allowDivergent
正式な値:"Allow Replication With Divergent and Corrupt Partner"
 
変更する値:strict
正式な値:"Strict Replication Consistency"
*******************************************************
 
   
-------------------------------------------------------
☆ここでは以下の環境を想定しています。
・厳密なレプリケーションの整合性を有効にしろと警告が出ているDC = ns3.nekoprint.mobi
・その他のDC = ns2.nekoprint.mobi
・全てのDCに適用したい = DC=nekoprint,DC=mobi
・SYSVOL_DFSR 共有にアップグレードずみ
・DCサーバーは2台構成(Widows Server 2008 R2、Windows Server 2012 R2)で2台ともまだ厳密なレプリケーションの整合性を有効にしていない状態。
※操作はNS3 (Windows Server 2012 R2)で実施。
 
-------------------------------------------------------
◆事前に、残留オブジェクトの削除を確認してから実行します。
もし残留オブジェクトがあれば、それを削除してから実行します。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/211.html
 
 
レプリケーションのイベントログに、残留オブジェクト関連のイベントログ ID:2042 がなれば次へ。
  
①コマンドプロンプト(管理者として実行)へ以下を入力・実行します。 
 
ファイル 212-2.jpg
 
-------------------------------------
repadmin /regkey GC: +allowDivergent 
-------------------------------------
 
  
※1台だけ(Widows Server 2012 R2側)に設定する場合は以下。
repadmin /regkey ns3.nekoprint.mobi +allowDivergent
 
 
②次に以下のコマンドを入力・実行します。
 
ファイル 212-3.jpg
 
-------------------------------------
repadmin /regkey * +strict
-------------------------------------
 
  
このコマンドでは、厳密なレプリケーション整合性をフォレスト内のすべての DC 上で有効にします。
 
 
※念のためレジストリエディタを開き、以下の場所に値が設定されているか確認してみるとよい。 
HKLM\system\ccs\services\ntds\parameters
 
 
③ここまで行ったら、レプリケーションが正しく出来ているかを確認してみます。
 
以下のコマンドを入力し、実行します。
 
ファイル 212-4.jpg
 
-------------------------------------
repadmin /showrepl
-------------------------------------
 
 
問題がなければ、同じ内容で以下のような表示が5つ確認できる。
---------------------------------------------------------
DC=DomainDnsZones,DC=nekoprint,DC=mobi
Default-First-Site-Name\NS2 (RPC 経由)
DSA オブジェクト GUID: e326cfd2-835e-4449-ab07-681840dfab07
yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。
 
---------------------------------------------------------
時々、時間の早いほうがRPC関係のログで失敗していることがあるが、数時間経過後に同じ動作を行えばすべて「yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。」が表示するはずである。
 
 
④以下のコマンドを入力・実行し、複製先のレプリケーションの状態を確認します。
 
  
ファイル 212-5.jpg
 
-------------------------------------
dcdiag /s:ns2 /test:dfsrevent /v
-------------------------------------
 
  
(上記のコマンドで ns2 側のDFSR テストで失敗がないかを確認、もしくは dcdiag /s:ns2 /v で、ns2 側の現在のすべての状態で失敗がないかを確認)
 
 
エラーについては、コマンド実行後の直近のイベント生成時間を参照します。
イベントIDが 1722 もしくは 1753 エラーの場合は RPC サーバーにアクセスできない等のエラーによるものなので RPCエラーについては、以下のリンクでも対策を書いています。
 
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/10.html 
 

 
理想は、24時間以上経過後に同じコマンドを入力・実行したときの状態で問題がないかを確認します。24時間以内に何度も同じコマンドを入力しても同じエラーなどが表示されるだけだから。
 
 
④複製元のDCである ns3 側でも同様に【 dcdiag /test:dfsrevent /v 】を実行し、失敗していないかを確認する。
 
 
⑤イベント ログの確認
すべての DC においてイベントビューアを開き、アプリケーションとサービス ログ内にある、《Directory Service もしくは ディレクトリ サービス》と《DFS Replication》ログをそれぞれ確認します。
(イベント表示が全くない場合は、SYSVOL_DFSR(SYSVOL) 共有や Netlogon 共有は問題なくできています。共有の確認は net share コマンド で行います。
 
////////////////////////////////////////////////////////// 
《Directory Service もしくは ディレクトリ サービス》
イベントID:1394 Active Directory ドメイン サービス データベースの更新を妨げていたすべての問題が解決しました。 Active Directory ドメイン データベースへの新規更新に成功しています。Net Logon サービスが再開されました。
 
イベントID:1869 Active Directory ドメイン サービスにより、次のサイトでグローバル カタログが検出されました。

グローバル カタログ:
\\ns3.nekoprint.mobi
サイト:
Default-First-Site-Name
 
 
《DFS Replication》SYSVOL_DFSR 共有の場合。
イベントID:1210 DFS レプリケーション サービスは、レプリケーション要求を受信する RPC リスナーを 正常にセットアップしました。 
 
イベントID:1206 DFS レプリケーション サービスは、ドメイン コントローラー ns2.nekoprint.mobi に正常に接続し、 構成オブジェクトにアクセスできました。
 
イベントID:5004 DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume の パートナー NS2 との着信接続を正常に確立しました。
 
 
《ファイル レプリケーション サービス》SYSVOL 共有の場合。
イベントID:13516 ファイル レプリケーション サービスが、これ以上、コンピューター NS2 がドメイン コントローラー になるのを妨げなくなりました。システム ボリュームは正しく初期化されて、 システム ボリュームが SYSVOL として共有される準備が 完了したという通知を Netlogon サービスが受けました。
 
////////////////////////////////////////////////////////// 
上記のイベントが最終的に出ていれば成功です。
 

残留オブジェクトの削除を行う方法

久々にちょっと重い腰を上げてみる(笑)
 
☆ここではコマンドプロンプト(管理者として実行)で【repadmin】を使います。
 
①まずは各サーバーのGUIDを以下のコマンドで抜き出します。
 
【 repadmin /showrepl 】

これでコマンドを入力したサーバーのGUIDと、入力方向の近隣サーバーのGUIDが抜き出せます。
 
②続いて残留オブジェクトをテストモードで削除可能かを確認します。
 
以下のコマンドを使用します。
【 repadmin /removelingeringobjects 】
 
が、少々引数についてなどが複雑なので細かく説明しますと、このコマンドのあとに続けて<残留オブジェクトの削除が必要な問題のある DC>と、<参照DCのGUID>と、<名前付きコンテキスト>と、テストモードの引数を続けて入力します。
 
-------------------------------------------------------
☆環境例
・問題のあるDC Windows Server 2008 R2 = ns2.nekoprint.mobi
・正常動作しているDC Windows Server 2012 R2 = ns3.nekoprint.mobi
 
 参照GUID = 87b1ec13-d9ca-4fc4-9fc9-7e9bcf2133c4
・名前付きコンテキスト = DC=nekoprint,DC=mobi
・テストモード用の引数 = /advisory_mode
 
-------------------------------------------------------
上記を使い例文を書きますと以下のようになります。
※1行として入力・実行します。
作業を行うDCはどちらでもいいのですが、ここでは上記の正常動作しているDC側から操作します。
 
repadmin /removelingeringobjects ns2.nekoprint.mobi 87b1ec13-d9ca-4fc4-9fc9-7e9bcf2133c4 DC=nekoprint,DC=mobi /advisory_mode
 
 
実行した結果、入力したコマンドのすぐ下に
 
「ns3.nekoprint.mobi 上で RemoveLingeringObjects に成功しました。」
 
と出れば成功である。
 
 
③つづいて本番である、残留オブジェクトの削除を行います。
これは上記のコマンドから /ADVISORY_MODE 部分を削除してから実行します。
 
 
repadmin /removelingeringobjects ns2.nekoprint.mobi 87b1ec13-d9ca-4fc4-9fc9-7e9bcf2133c4 DC=nekoprint,DC=mobi
 
 
これも成功したらテストモードと同様に
 
「ns3.nekoprint.mobi 上で RemoveLingeringObjects に成功しました。」
 
と表示されます。
 
 
④イベント ログの確認を行う。
イベントビューアを開き、アプリケーションとサービス ログ内にある、《ディレクトリ サービス》ログを確認します。
 
イベントID:1938、1942、1937 が最終的に出ていれば成功であるが、1943が出ていたらコマンド入力ミスの可能性もあるので、入力内容を確認し再度コマンドの実行を行います。
 
 
 
  
 
 
 
⑤次にレプリケーションを強制的に実行します。
ただし、DCの情報が正しいかを確認してから行うようにすること。
 
 
以下のコマンドを順に入力・実行します。
 
repadmin /replicate ns2.nekoprint.mobi ns3.nekoprint.mobi cn=schema,cn=configuration,dc=nekoprint,dc=mobi /force
 
repadmin /replicate ns2.nekoprint.mobi ns3.nekoprint.mobi DC=DomainDnsZones,DC=nekoprint,DC=mobi /force
 
repadmin /replicate ns2.nekoprint.mobi ns3.nekoprint.mobi DC=ForestDnsZones,DC=nekoprint,DC=mobi /force
 
repadmin /replicate ns2.nekoprint.mobi ns3.nekoprint.mobi cn=configuration,dc=nekoprint,dc=mobi /force
 
 
各コマンドの実行結果、「ns3.nekoprint.mobi から ns2.nekoprint.mobi への同期を完了しました。」と表示されれば成功である。
 
 
 
⑥ここまで行ったら、レプリケーションが正しく出来ているかを確認してみます。
 
以下のコマンドを入力し、実行します。
 
repadmin /showrepl
 
 
問題がなければ、同じ内容で以下のような表示が5つ確認できる。
---------------------------------------------------------
DC=DomainDnsZones,DC=nekoprint,DC=mobi
Default-First-Site-Name\NS2 (RPC 経由)
DSA オブジェクト GUID: e326cfd2-835e-4449-ab07-681840dfab07
yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。
---------------------------------------------------------
 
時々、時間の早いほうがRPC関係のログで失敗していることがあるが、数時間経過後に同じ動作を行えばすべて「yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。」が表示するはずである。
 
 
⑦以下のコマンドを入力・実行し、複製先のレプリケーションの状態を確認します。
 
dcdiag /s:ns2 /test:dfsrevent /v
 
(上記のコマンドで ns2 側のDFSR テストで失敗がないかを確認、もしくは dcdiag /s:ns2 /v で、ns2 側の現在のすべての状態で失敗がないかを確認)
 
 
エラーについては、コマンド実行後の直近のイベント生成時間を参照します。
イベントIDが 1722 もしくは 1753 エラーの場合は RPC サーバーにアクセスできない等のエラーによるものなので RPCエラーについては、以下のリンクにて対策を書いています。
 
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/10.html 
 

 
理想は、24時間以上経過後に同じコマンドを入力・実行したときの状態で問題がないかを確認します。24時間以内に何度も同じコマンドを入力しても同じエラーなどが表示されるだけだから。
 
 
⑧複製元のDCである ns3 側でも同様に【 dcdiag /test:dfsrevent /v 】を実行し、失敗していないかを確認する。
 
 
⑨イベント ログの確認
すべての DC においてイベントビューアを開き、アプリケーションとサービス ログ内にある、《ディレクトリ サービス》と《DFS Replication》ログをそれぞれ確認します。
 
////////////////////////////////////////////////////////// 
《ディレクトリ サービス》
イベントID:1394 Active Directory ドメイン サービス データベースの更新を妨げていたすべての問題が解決しました。 Active Directory ドメイン データベースへの新規更新に成功しています。Net Logon サービスが再開されました。
 
イベントID:1869 Active Directory ドメイン サービスにより、次のサイトでグローバル カタログが検出されました。

グローバル カタログ:
\\ns2.nekoprint.mobi
サイト:
Default-First-Site-Name
 
 
《DFS Replication》
イベントID:1210 DFS レプリケーション サービスは、レプリケーション要求を受信する RPC リスナーを 正常にセットアップしました。 
 
イベントID:1206 DFS レプリケーション サービスは、ドメイン コントローラー ns2.nekoprint.mobi に正常に接続し、 構成オブジェクトにアクセスできました。
 
イベントID:5004 DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume の パートナー NS3 との着信接続を正常に確立しました。
 
////////////////////////////////////////////////////////// 
上記のイベントが最終的に出れば成功であるが…。
 

DC間、ドメインメンバーでそれぞれ使用するポート まとめ

◆DC間で使用する最低限の通信ポート
※ Widnows Server 2008 以降
  
ポートを使用するサービス名、送信元プロトコルとポート、宛先プロトコルとポートの順です。
 
DNS 送信元 Any | 宛先 TCP/UDP 53
Kerberos 送信元 Any | 宛先 TCP/UDP 88
NTP 送信元 UDP 123 | 宛先 UDP 123
RPC-受信 送信元 Any | 宛先 TCP 135
RPC-EPMAP  送信元 Any | 宛先 TCP 49152-49158
LDAP 送信元 Any | 宛先 TCP/UDP 389
SMB 送信元 Any | 宛先 TCP 445
DFSR 送信元 Any | 宛先 TCP 5722
 
TCP 5722 は、DFSRを使用している場合に限ります。 
 
 
 
◆ドメインメンバーで使用する最低限のポート
※ Windows 7 以降、宛先はDCのポート番号
  
ポートを使用するサービス名、プロトコル、クライアント側で使用するプロトコルとポート、DC側で使用するプロトコルとポートの順です。
  
PING ICMP
DNS 送信元 Any | 宛先 TCP/UDP 53
Kerberos 送信元 Any | 宛先 TCP/UDP 88
NTP 送信元 UDP 123 | 宛先 UDP 123
RPC受信 送信元 Any | 宛先 TCP 135
RPC-EPMAP 送信元 Any | 宛先 TCP 49152-49158
NetBIOS-ns 送信元 UDP 137 | 宛先 TCP 137
NetBIOS-dgm 送信元 UDP 138 | 宛先 UDP 138
NetBIOS-ssn 送信元 Any | 宛先 TCP 139
LDAP 送信元 Any | 宛先 TCP/UDP 389
SMB 送信元 Any | 宛先 TCP 445
KPasswd 送信元 Any | 宛先 TCP 464
LDAP GC 送信元 Any | 宛先 TCP 3268
☆ LDAP SSL 送信元 Any | 宛先 TCP 636
☆ LDAP GC SSL 送信元 Any | 宛先 TCP 3269
☆ AD DS Web Services 送信元 Any | 宛先 TCP 9389
 
 
☆部分はあまり使うことはないかな笑
 
 
   
------------------
追記。SMB について
------------------
TCP 445 ポートはセキュリティ上、Windows 2003 以前のOSがない限り SMBv2 以降を使うようにし、
Windows Vista 以降のOSでは SMBv1 を使わないようにします。
 
※レジストリ編集箇所(テケトーに書く
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\
 
・Lanmanserver
 -Parameters
  -SMB1 DWORD 0
  -SMB2 DWORD 1
・LanmanWorkstation
 -DependOnService Multi_SZ Bowser/MRxSmb20/NSI
・mrxsmb10  
 -Start DWORD 4
 
 
※ちなみに XP や 2003 に同じレジストリを登録し、
mrxsmb20.sys を System32\Drivers に置いてもムダだった(笑)

GPOからIPSECの項目が消えていた…

ファイル 209-1.jpg
今年4月から配信の【Windows 10 Creators Update】後からIPSECの設定が非推奨になったせいか、GPOの項目から隠されたのには何か私を納得させるような正当な理由があるんだろうか…。
 
まぁ、管理コンソールから出せるからいいけど、そのうちその項目さえもなくなってしまうのか不安である。まだまだ使えるんだけどなぁ。 
  
ていうか気づくのが遅すぎ(笑)
アプデを配信4ヵ月後にしてたからってのが最大の理由だけども。
しかも、ローカルだと当たり前のように表示されたまんまだし('-')
ファイル 209-2.jpg

SYSVOL複製の変更方法…DFS-Rにする

DFS-R移行(SYSVOL複製方法変更)について、ちょっと忘れそうだからメモ。
 
SYSVOL複製(FRS,DFS-R)
 
必要条件 ※2012R2以降はFRS非推奨
・ドメインの機能レベル2008以降
 
①DFS-Rの状態確認
 dfsrmig /getglobalstate

ファイル 208-1.jpg

 
※DFS-R移行がまだ初期化されていません、が表示されるかを確認する
 
②DFS-Rを[開始]状態にする
 dfsrmig /setglobalstate 0
 
※これを行うことによりすべてのDCが[開始]状態に変更されいることを確認する
 
③DFS-Rの状態確認
 
 dfsrmig /getglobalstate
 
④すべてのDCの状態の確認
 dfsrmig /getmigrationstate

ファイル 208-2.jpg
 
⑤DFS-Rを[準備完了]状態にする
※すべてのDCで[開始]状態になってからこのコマンドを入力、実行する
 dfsrmig /setglobalstate 1

ファイル 208-3.jpg

※時間がかかることがある(15分程度~)
 
⑥すべてのDCのイベントビューアで下記のイベントログを確認
 
ID8010・・・移行準備開始を示すイベント
ID8014・・・移行準備完了を示すイベント
 
※移行準備完了すると[%windir%\SYSVOL_DFSR]フォルダーが作成される
 
⑦[リダイレクト]状態にする
 
 dfsrmig /setglobalstate 2
 
⑧すべてのDCのイベントビューアで下記のイベントログを確認
 
ID8015・・・リダイレクト処理開始を示すイベント
ID8017・・・リダイレクト処理完了を示すイベント
 
⑦[削除済み]状態にする
 
 dfsrmig /setglobalstate 3
 
⑧すべてのDCのイベントビューアで下記のイベントログを確認
 
ID8018・・・削除済み処理開始を示すイベント
ID8020・・・削除済み処理完了を示すイベント
 
⑨エラーがないかを確認する
⑩NTFRSサービスが無効になっているかを確認する
ファイル 208-4.jpg
 
 
最後に、ドメイン機能レベルが Windows Server 2008 以上で、SYSVOL の複製を既存の FRS サービスではなく、DFSR サービスを使用する場合にはDFSRで使用するポート【TCP 5722】を開放する
 
具体的には 以下の部分
・Windows Firewall でDFSレプリケーションをDC間で通過させる
  DFS レプリケーション (RPC 受信) 
  DFS レプリケーション (RPC-EPMAP)
 
・IPSECを利用している場合はポート【TCP 5722】をDC間で通過させる

受信の規則 と、送信の規則 のコレがわかんないからメモ

セキュリティが強化された Windows ファイアウォール ね。
@ から書かれてもわからないのだよ。
 
上段=Windows 2008 Windows 10などクライアント側での表示
下段=Windows 7、Windows Server 2012 R2 での表示
 ※新しい規則を作成しました
 
 
**************************************************
【受信の規則】
**************************************************
  
@C:\Windows\Microsoft.NET\Framework\v4.0.30319\\ServiceModelEvents.dll,-2000
Windows Communication Foundation Net.TCP リスナー アダプター (TCP 受信)
 
@RdpGroupPolicyExtension.dll,-101
リモート デスクトップ - RemoteFX (TCP 受信)
 
@FirewallAPI.dll,-25009
コア ネットワーク - ルーター要請 (ICMPv6-受信)
 
@FirewallAPI.dll,-25304
コア ネットワーク - IPv6 用動的ホスト構成プロトコル (DHCPV6-受信)
 
@FirewallAPI.dll,-25426
コア ネットワーク - IPHTTPS (TCP-受信)
 
@FirewallAPI.dll,-33039
リモート アシスタンス (PNRP-受信)
 
@FirewallAPI.dll,-28548
ファイルとプリンターの共有 (LLMNR UDP 受信)
 
@C:\Windows\Microsoft.NET\Framework\v4.0.30319\\ServiceModelEvents.dll,-2000
Windows Communication Foundation Net.TCP リスナー アダプター (TCP 受信)
 
@%systemroot%\system32\provsvc.dll,-200
ホームグループ受信
 
@%systemroot%\system32\provsvc.dll,-205
ホームグループ受信 (PNRP)
 
 
 
 
 
------------------------------------------ 
グループ:@ntfrsres.dll,-525
ファイル レプリケーション
------------------------------------------ 
@ntfrsres.dll,-530
ファイル レプリケーション (RPC-EPMAP)
 
@ntfrsres.dll,-526 
ファイル レプリケーション (RPC)
 
 
 
  
------------------------------------------ 
グループ:@wdssrv.dll,-1001
Windows 展開サービス
------------------------------------------ 
@wdssrv.dll,-1003
Windows 展開サービス (RPC-EPMAP)
 
@wdssrv.dll,-1005
Windows 展開サービス (RPC 受信)
 
@wdssrv.dll,-1007
Windows 展開サービス (UDP 受信)
 
@wdssrv.dll,-1009
Windows 展開サービス (NP 受信)
 
 
 
 
 
------------------------------------------ 
グループ:@ntdsmsg.dll,-1026
Windows セキュリティの構成ウィザード
------------------------------------------ 
@scwcmd.exe,-8001
SCW リモート アクセス ファイアウォール規則 - Scshost - 動的 RPC
 
@scwcmd.exe,-8003
SCW リモート アクセス ファイアウォール規則 - Scshost - エンドポイント RPC マッパ
 
@scwcmd.exe,-8005
SCW リモート アクセス ファイアウォール規則 - Svchost - TCP
 
@scwcmd.exe,-8007
SCW リモート アクセス ファイアウォール規則 - System - TCP
 
@scwcmd.exe,-8009
SCW リモート アクセス ファイアウォール規則 - System - UDP
 
 
 
 
 
------------------------------------------ 
グループ:@ntdsmsg.dll,-1026
DHCP サーバー
------------------------------------------ 
@%systemroot%\system32\dhcpssvc.dll,-102
DHCP サーバー v4 (UDP 受信)
 
@%systemroot%\system32\dhcpssvc.dll,-104
DHCP サーバー v6 (UDP 受信)
 
 
 
  
------------------------------------------ 
グループ@kdcsvc.dll,-1008
Kerberos キー配布センター
------------------------------------------ 
  
@kdcsvc.dll,-1002 
Kerberos キー配布センター - PCR (TCP 受信) 
 
@kdcsvc.dll,-1003 
Kerberos キー配布センター - PCR (UDP 受信)
 
@kdcsvc.dll,-1000
Kerberos キー配布センター (TCP 受信)
 
@kdcsvc.dll,-1001
Kerberos キー配布センター (UDP 受信)
 
 
 
 
 
------------------------------------------ 
グループ:@ntdsmsg.dll,-1026
Active Directory ドメイン サービス
------------------------------------------ 
 
@ntdsmsg.dll,-1000
Active Directory ドメイン コントローラ (RPC)
 
@ntdsmsg.dll,-1001
Active Directory ドメイン コントローラ (RPC-EPMAP)
 
@ntdsmsg.dll,-1002
Active Directory ドメイン コントローラ - LDAP (TCP 受信)
 
@ntdsmsg.dll,-1003
Active Directory ドメイン コントローラ - LDAP (UDP 受信)
 
@ntdsmsg.dll,-1004
Active Directory ドメイン コントローラ - セキュリティで保護された LDAP (TCP 受信)
 
@ntdsmsg.dll,-1005
Active Directory ドメイン コントローラ - グローバル カタログ用 LDAP (TCP 受信)
 
@ntdsmsg.dll,-1006
Active Directory ドメイン コントローラ - グローバル カタログ用のセキュリティで保護された LDAP (TCP 受信)
 
@ntdsmsg.dll,-1009
Active Directory ドメイン コントローラ - SAM/LSA (NP-UDP 受信)
 
@ntdsmsg.dll,-1010
Active Directory ドメイン コントローラ - SAM/LSA (NP-TCP 受信)
 
@ntdsmsg.dll,-1011
Active Directory ドメイン コントローラ - NetBIOS 名前解決 (UDP 受信)
 
@ntdsmsg.dll,-1012
Active Directory ドメイン コントローラ - W32Time (NTP-UDP 受信)
 
@ntdsmsg.dll,-1027
Active Directory ドメイン コントローラ - エコー要求 (ICMPv4 受信)
説明 @ntdsmsg.dll,-1028
エコー要求 (ping) を許可するための Active Directory ドメイン コントローラー サービスの受信規則です。
  
@ntdsmsg.dll,-1031
Active Directory ドメイン コントローラ - エコー要求 (ICMPv6 受信)
 
 
 
 
 
-----------------------------------------
グループ:@%systemroot%\ADWS\adwsres.dll,-4
Active Directory Web Services 
-----------------------------------------
 
@%systemroot%\ADWS\adwsres.dll,-5
Active Directory Web サービス (TCP-受信) 
 
 
 
 
-----------------------------------------
グループ:@dfsrress.dll,-525
DFS レプリケーション
-----------------------------------------
 
@dfsrress.dll,-526
DFS レプリケーション (RPC 受信)
 
@dfsrress.dll,-530
DFS レプリケーション (RPC-EPMAP)
  
 
 
 
 
-----------------------------------------
グループ:@dns.exe,-1012
DNS サービス
-----------------------------------------
 
@dns.exe,-1000
DNS (TCP、RPC エンドポイントマッパー)
  
@dns.exe,-1001
DNS (TCP、受信)
 
@dns.exe,-1002
DNS (UDP、受信)
 
@dns.exe,-1003
DNS (TCP、RPC 動的ポート)

 
 
 
  
**************************************************
【送信の規則】
**************************************************
 
@FirewallAPI.dll,-25427 
コア ネットワーク - IPHTTPS (TCP-送信)
 
@FirewallAPI.dll,-25305 
コア ネットワーク - IPv6 用動的ホスト構成プロトコル (DHCPV6-送信)
 
@FirewallAPI.dll,-28550
ファイルとプリンターの共有 (LLMNR UDP 送信)
 
@peerdistsh.dll,-10001
BranchCache コンテンツ取得 (HTTP-送信)
 
@peerdistsh.dll,-10003
BranchCache ピア検出 (WSD-送信)
 
@peerdistsh.dll,-10006
BranchCache ホスト型キャッシュ クライアント (HTTP-送信)
 
@%systemroot%\system32\provsvc.dll,-200
ホームグループ送信
 
@%systemroot%\system32\provsvc.dll,-205
ホームグループ送信 (PNRP)

@ntdsmsg.dll,-1029
Active Directory ドメイン コントローラ - エコー要求 (ICMPv4 送信)

@ntdsmsg.dll,-1033
Active Directory ドメイン コントローラ - エコー要求 (ICMPv6 送信)

@ntdsmsg.dll,-1007
Active Directory ドメイン コントローラ (TCP 送信)

@ntdsmsg.dll,-1008
Active Directory ドメイン コントローラ (UDP 送信)

@dns.exe,-1004
すべての送信 (TCP)

@dns.exe,-1005
すべての送信 (UDP)

 
 
他にもまだあるけど、使わないからムシ('-')
ここにある程度あるかな。
 
Windows 2008 から見たところ
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 
Windows 2012 R2 から見たところ
・ドメイン コントローラーで見た場合:
 HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\a\6CF876C7
・ローカル環境で見た場合:
 HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\1\6CF876C7
  
Windows 7 から見たところ
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\128\826182D0

Windows 8.1 から見たところ
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\6e\6CF876C7
 
Windows 10 から見たところ
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2\6CF876C7
 
 
ファイル 205-1.jpg
※画像は Windows 8.1 のもの

OptionalNames 内) は無効で、無視されました の対策

Windows 2008 SP2 で確認。
  
ログの名前: System
ソース: Server
日付: 2015/01/05 13:14:23
イベント ID: 2506
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピュータ: ns8.nekoprint.local
 
説明:
NS8 という名前の値 (サーバーのレジストリ キー OptionalNames 内) は無効で、無視されました。
値を変更するには、正しい種類の受容範囲の値に変更するか、または値を削除して
既定の値を使用してください。
この値は、正しい範囲を使わなかった古いプログラムによって設定された可能性があります。
 
イベント XML:

< Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
< System>
< Provider Name="Server" />
< EventID Qualifiers="32768">2506
< Level>3
< Task>0
< Keywords>0x80000000000000
< TimeCreated SystemTime="2015-01-05T04:14:23.000Z" />
< EventRecordID>178064
< Channel>System
< Computer>ns8.nekoprint.local
< Security />
< /System>
< EventData>
< Data>NS8
< Data>OptionalNames
< Binary>34000000
< /EventData>
< /Event>

---------------------------------------------
① レジストリ エディタを開く
 
② 該当箇所へ移動する。ココでは以下の場所。     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
 
③ OptionalNames を探し出し、編集する。
 
ファイル 204-1.jpg
 
 ここでは、NS8 があったので、削除をした。
 これは、Windows 2000 サーバーから、Windows 2008 サーバーへ移行した際に、
 コンピュータ名も変更したからではなかろうか('-')

Windows 7 Service Pack 1 インストール エラー:0x800f0826 対策

久々の更新なんだけど、とある会社で起こったことを今後の対策としてメモしています。
 
※ エラー番号:0x800b0101 の対策なら以下参照。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/200.html
 
 
  
その会社、もともとWindows 2000 Server をDCとして使っていました。
ところが2年前、Windows Server 2008 にサーバー移行しまして、
それから現在に至るまで2008DCでの運用をしていていました。
そこへ昨年2月にそれまでWindowsXPで業務をしていたPCが壊れてしまい、
新規で 「Windows 7 Professional」を1台だけ導入したそうで社長も大満足で運用しておりました。

そして、そんななか昨年リリースのService Pack1 を自動更新にてインストールしようとしたらしく、 

ファイル 202-1.jpg

インストールは正常に完了しませんでした 

不明なエラーが発生しました。(詳細)

エラー:0x800f0826

 
というエラーが表示されたんだそうで、それから先月(8月)まで何度もインストールを試みていたそうなのですが、
いっこうに成功する気配もなかったそうで、こちらに依頼をされたようでした。もうすぐSP2が出るし、新OSも出るというのに・・・
 
こちらもどういったものかわからなかったので、その手順を再現してもらおうと思い、何度か実行してもらったのですが、
インストールが終わり再起動してからService Pack の構成中 の3%か、7%のところで失敗しました、
と出るので、同じところだとすればグループポリシーが怪しいかな?と思ったので、
コンピュータの構成のグループポリシーをすべて外して再試行するとすんなりと成功してしまいました。
 
この日はそこの社長、以前から何度も失敗していたので「ウィルスにやられたのかな?」と言っていたのだけど、
心の中ではそれはないだろうなあ~と思いながら、「そうかもしれませんねえ」と適当に答えておきました。
ま、とりあえずその日はウィルスが原因ということにして自宅へ帰ったのですが、
ちょっと気になったのでVMマシンで再現してみようと思い、自宅で似たような環境を作って実験してみた結果、
やはりGPOでのコンピュータの構成で失敗してしまいました。
そしてさらに原因を突き止めようとあれこれとグループポリシーを作成と検証をしてみた結果、
 
Windows 7 に割り当てているポリシーのうち、1つでも必要条件に
「Microsoft Windows 2003、Windows XP、および Windows 2000のみ」や、
「Microsoft Windows 2000 のみ」 などという項目のグループポリシーが適用されていると失敗する―――
 
というでした。これは、考えてみたら当たり前のことですが、意外と盲点なのかな?と思ったりもしました。
Windows Server 2003 までの時代だったらシステムはそんなに変わっていなかったからなのかな?
「Microsoft Windows 2000 のみ」 のポリシー項目がWindows XP 用に作成した
グループポリシーにも割り振られてても気付かなかっただけなのかもですねぇ…
 
 
   
-----------------------------------------------------------
ファイアウォール グループ ポリシーに、WMIフィルターを設定する。 
-----------------------------------------------------------
ここでは、以下の条件を想定するとして・・・
ドメイン コントローラー
 Windows Server 2008 SP2
クライアント
 Windows 7 SP1
操作できるユーザーのグループ(いずれかに所属していればよい)
 Domain Admins
 Enterprise Admins
 Group Policy Creator Owners
 
  
①[グループ ポリシーの管理]を、Windows 7 端末より展開する。
②[グループ ポリシーの管理]ウィンドウ左側下方にある、WMI フィルターを右クリックし、「新規」をクリックする。
③[新しい WMI フィルター]ウィンドウが表示されるので、[名前]へわかりやすい名前をつける。
④「追加」をクリックする。
⑤以下の文字列を入力する。
 select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"
⑥「OK」をクリックする。
⑦「保存」をクリックし、[新しい WMI フィルター]ウィンドウを閉じる。
 
ファイル 202-4.jpg
 
⑧[グループ ポリシーの管理]ウィンドウに戻り、Windows FireWall ルールがあれば、そのポリシーを選択する。
⑨[スコープ]タブの下方にある、WMI フィルター処理へ、先ほど名前をつけたフィルターを選択する。
⑩[グループポリシーの管理]ウィンドウが表示されるので、「はい」をクリックする。
 
ファイル 202-5.jpg 
 
 
※WMI エラー 0x80041003 が出る場合には、こちらへ行って修正方法を確認する。
 
  
 
このWMI フィルターっていう設定、要はWindows Vista 以降用に作られたグループポリシー向けのもので、
Windows XP 以前のポリシーと混在させないためのものでして・・・
とはいっても、Windows Server 2003 にもあるんですけどね。 
意外と知らない方が多かったので、自分メモとして忘れないように加筆してみました。 
 
 
 
まとめ:現時点で 「Windows 7」 に割り当てているポリシーをもう一度確認すること。
次から新OSが出た場合にも必要条件を確認する。
 
 
必要条件に書いている内容「Windows 2003 のみ」、「Windows Vista 以降」や、
「Microsoft Windows 2000 Service Pack 3、Microsoft Windows XP Professional Service Pack 1、またはそれ以降」 など書かれている文章を改めて読み直すことが重要だと感じました。
『~、またはそれ以降』と書いていないもの、『~、のみ』という項目があればグループポリシーのチェックが必要である、と。
新OSではそういうことがないと思いますが、Windows8 Release Preview版でもう少し遊んでみようと思います。

たぶんそこの会社が、「Windows 2000」「Windows XP」「Windows 2008」
「Windows 7」など、混在環境だったから気づかなかっただけなのかな?と思いました。

後で担当者に聞けば、予想通り?で、グループポリシー編集はWindows2008から行なっていたそうで、
今度からはWindows 7の端末に「Windows 7用のリモートサーバー管理ツール」を
マイクロソフトのサイトからダウンロード・インストールしてもらったら、続いてコントロール パネルを開き、
「プログラム」-「プログラムと機能」-「Windows の機能の有効化または無効化」を実行して「Windows の機能」にある
「リモート サーバー管理ツール」-「グループポリシー管理ツール」を選んでおかないと使用できないので、
使用できる状態にして管理はWindows 7から実行してくださいね、とだけ言っておきました。
 
ファイル 202-2.jpg
 
「スタートメニュー」-「管理ツール」を押して以下の画像のように「グループポリシーの管理」が表示していれば成功です。
ファイル 202-3.png
 
※追記です。このPC、ほとんど内部向けのドメイン環境でのみの使用だそうで、
ウィルス対策ソフトは入れていないんだそうです。
 
 
 
 
 
 
 
------------------------------------------------------------
これは参考になる?
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/218.html

Windows 7 Service Pack 1 インストール エラー 0x800b0101

なぜか、下書きのまま2年以上も公開していなかった・・・
 
現在のシステム時計または署名ファイルのタイムスタンプで確認すると、必要な証明書の有効期限が過ぎています。
  
 
ファイル 200-1.jpg
画像を見る限り、証明書関連だと思うのですが、その対策を。
4つの方法を示しました。が、まずは一番下の、Windows Update で、
事前にインストールすべき更新が正しくできているかを見たほうがいいかと。※過信は禁物ね。
更新プログラムの確認 ボタンで再確認しよう。
 
また、Windows Update 自体、エラーで止まるという人は、方法2を実行してみれば解決するかもね。 
 
 
Service Pack 1 のインストールに失敗しました (エラー コード 0x800b0101)。 
 
 
 
----------------------------------------------------
方法1.
Windows Defender 操作する
① コントロール パネルを開き、Windows Defender を起動する。
 (表示方法を、カテゴリから大きいアイコン、または小さいアイコンに変更すると見つけやすい)
② 更新とスキャンを1度行っておく
③ Service Pack 1 のインストールを実行する
 
 
----------------------------------------------------
方法2.
キャッシュファイルを削除する (ファイルは全てバックアップを推奨)
① 以下の場所にある、ファイルを削除を行う
%Windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
 
%Windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
 
%Windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
 
%Windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
 
② レジストリ操作 以下の場所をバックアップし、キーを削除する
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates]
③ 管理者権限でコマンド プロンプトを開く
[スタート] - [プログラムとファイルの検索] に cmd と入力し、
表示される cmd を右クリック後、"管理者として実行" を選択する
④ 以下のコマンドを実行する【ユーザーアカウントキャッシュのクリア】
 
certutil -urlcache * delete
 
⑤ こちらから PsTools をダウンロードし、解凍する
⑥ 管理者権限でコマンド プロンプトを開く
[スタート] - [プログラムとファイルの検索] に cmd と入力し、
表示される cmd を右クリック後、"管理者として実行" を選択する
⑦ カレント ディレクトリを PsTools の解凍先に移動し、以下のコマンドを実行する
(デスクトップにおいた場合のカレントディレクトリ移動例:C:\Users\<ユーザー名>\Desktop\PSTools)
 
Psexec.exe -i -s cmd
 
⑧ システム権限で起動したコマンド プロンプトにて以下のコマンドを実行し、キャッシュをクリアする
 
certutil -urlcache * delete
 
⑨ Service Pack 1 のインストールを実行する
 
 

----------------------------------------------------
方法3.
システム更新準備ツールを使って Windows 破損エラーを解決する場合
(ムダだと思うけどね。ダウンロード、インストールが成功すれば完了。他操作なし。)
① 以下のリンク先よりダウンロード・インストールする
32 ビット版の Windows 7 SP1 および Windows 7 (x86 ベース)
64 ビット版の Windows 7 SP1 および Windows 7 (x64 ベース)
② Service Pack 1 のインストールを実行する
 
 
 
----------------------------------------------------
方法4.
ルート証明書の更新(手動)
① こちらから、OSに対応したファイルをダウンロード・インストールする
② Service Pack 1 のインストールを実行する
 

***************************************
2015/1/22追記
ここまでやってもダメな場合には、Windows 7 Service Pack 1 インストール前に必要なファイルが
本当にインストールされているかを確認する
 
  
ファイル 200-2.jpg
 
最低でもコレくらいは…
KB2618451、2011年12月12日
KB2660649、2012年5月7日
KB2659262、2012年5月7日
KB2658846、2012年5月7日
KB2691442、2012年7月9日
KB2719985、2012年7月9日
KB2749655、2012年10月8日
KB2661254、2012年10月9日 ←唯一の証明書関連の更新
KB2779562、2012年11月26日
KB2748349、2012年12月10日
KB2753842、2012年12月20日
KB2769369、2013年1月7日
KB2757638、2013年1月7日
KB2790655、2013年2月11日
KB2808735、2013年4月8日
 
更新ファイルをインストールし、再度Service Pack 1 をインストールしてみる。
 
 
   
ちなみに、こちらの環境では、証明書関連のエラーが表示されていたのにもかかわらず、
Windows Update が全部できていなかったいうオチでした〓■●ポテッ
で、無事Service Pack 1 のインストールができましたというお話。
 
 
 
 
 
 
------------------------------------------------------------
これは参考になる?
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/218.html

ページ移動