【Windows】WebApplicationProxyサーバのサービスが起動しない

「ローカルコンピューターのWebアプリケーションプロキシサービスサービスを開始できません。エラー 401」と出る
サービス一覧からWebApplicationProxuサービスを起動しようとしたら出た。

これが正攻法なのか分からないけれど、、、結局AzureADConnectから、Webアプリケーションプロキシサーバーを再デプロイしたらいけた。

フェデレーション周りの動きは複雑で下手に設定いじると調査するのが大変だ。。。あんまりいじらないでおこう。

【PowerShell】ドメインに紐づいているグループポリシーすべてのリンク削除

全OUをなめて、それに紐づくGPOを一覧化して、Remove-GPLinkに渡してます。
Default Domain PolicyとDefault Domain Controllers Policyは外すと怒られるので除外しています。
別に外そうとしても外れないと思うけど。Default Domain Controllers Policyは外せたような気がする

【Powershell】ServerCore2019を漢らしくCUIでセットアップ

scconfigなんていらねえ!(いるけど)
ADもインストールしちゃう

【ActiveDirectory】サイト間の変更通知を有効化する

これ知らなかった。
サイト内のドメインコントローラーに対しては、アカウントロックやパスワード変更などが発生すると、15秒を待たずに緊急複製が行われる。
しかし、サイト外のドメインコントローラーには、緊急複製は行われずに通常と同様のサイトリンクのスケジュールに従ってレプリケーションされる。
サイト外ドメインコントローラーにも緊急複製を行う場合、変更通知機能を有効にする必要がある。

サイトとサービス→変更通知を有効にするサイトリンク

「USE_NOTIFY」とひょじされていればOK。

【ActiveDirectory】サイト作成

サイト作成方法を忘れている不届きものなので、反省として書きます。
TokyoとOsakaということで作ります。

TOKYOサイト作成

OSAKAサイト作成

TOKYO-OSAKAサイトリンク作成

それぞれ2台ともグローバルカタログサーバであることを確認
検索処理の可用性のために各サイト1台は作るとよいみたい

各ADサーバをTOKYO、OSAKAへ移動
サーバーオブジェクトを右クリ→移動



【ActiveDirectory】ADFSサーバ構築でつまずいたところ

検証&勉強のためにADFSをオンプレで作りました。WAPは作っておりません。
WindowsServer2016で構築。
忘れないようにとりあえず、メモっておこう。
あまりさらさないほうが良いきもするけど、画像にマスクするのが面倒くさいのでそのまま張ってしまう!

今回のフェデレーションサービス名は「chaseoffice365.neoultimate.black」ということになる。
フェデレーションサービス名とAzureADのディレクトリ名がごっちゃになりがちだけれど、基本的にフェデレーションサービス名しか設定しないという風に覚えておくとよいかも。

・Office365で別名ドメインで紐づけをしておく
登録時にDNSをチェックされるので、ドメインを契約しているDNSサーバにレコードを足す

・サーバ証明書のオブジェクト名は「sts.フェデレーションサービス名」

・「sts.フェデレーションサービス名」のDNSレコードを作ってADFSサーバのIPアドレスをAレコードで登録

・ログインさせたいユーザは、ユーザーログオン名の箇所をフェデレーションサービス名に合わせる

・最後、動作確認でOffice365にログインすると、証明書エラーが出たけどこのせい?

こちらのサイトを参考にさせていただきました。ありがとうございます。
https://miya1beginner.com/office365-federationid-adfs1

【ActiveDirectory】共有フォルダをActiveDirectoryのオブジェクトとして登録する

共有フォルダをActiveDirectoryに登録することで、ドメインメンバサーバ、クライアントPCから探しやすくすることができる。
初めて知ったのでメモっておこう。

まず、共有フォルダを作ります

ActiveDirectoryユーザーとコンピュータ→新規作成→共有フォルダ

必要に応じて、キーワードを登録しておくと探しやすくなる

クライアントからエクスプローラ→ネットワークを開く

ネットワークタブ→ActiveDirectoryの検索を選択

設定したキーワードで検索すると表示される

ネットワークパスをコピーして、エクスプローラで開く

検索してからクリックとかでネットワークデバイスとして追加されるわけではないんだね。

【ActiveDirectory】NetBIOSドメインとDNSドメインの違い

今日はActiveDirectoryのお勉強をする。

「test.local」というActiveDirectoryのドメインを例に考えてみる。
「test」と「test.local」は異なるもの。「test」は、NetBIOSドメイン名で、「test.local」はDNSドメイン名にあたるよ

ドメイン参加させるときに、「test」でも「test.local」でも、どちらでもドメイン参加できることがほとんどだと思う。
なぜなら、「test」はブロードキャストでの名前解決になるため、同一セグメントにADサーバがあれば、成功する。
一方で、「test.local」は、DNSサーバをADサーバに指定していれば、ADサーバ自身が名前解決をして、成功する。

ドメインの種類 名前解決の方法
test NetBIOSドメイン名 ブロードキャスト、Imhosts、WINS
test.local DNSドメイン名 DNS、hosts

結果、どっちでもいいんじゃね。と思われがちだけど、そうでもない。

「test.local」を入力して、ドメイン参加すべきなんだね。
なぜならば、ActiveDirectoryでは、すべてのコンピュータがDNSを利用して名前解決をして、ドメインを探すことができることが前提としているから。「test.local」でドメイン参加できるということは、つまりDNSによる名前解決のテストにもなっているんだね。

「「test.local」を入れて失敗した。「test」を入れたら成功した。」というパターンがあったとする。
これはとてもまずいことなんだね。DNSでの名前解決ができないと、Kerberos認証を使うことができないため、後々様々なトラブルを引き起こしてしまう可能性があるんだね。

逆パターンはOK。DNSでの名前解決成功という前提条件をクリアしているからだね。

【Active Directory】複数のUPNサフィックス構成

Active Directory環境においてユーザーの表記形式には次のようなものがあり、どちらの方法でもドメインへのログインができる。

・ドメイン名\ユーザー名(chase\administrator)
・ユーザー名@ドメイン名(administrator@chase.local)

このうち、ユーザー名@ドメイン名の記述方法をUPN(User Principal Name)といい、@より後ろの部分をUPNサフィックスという。
たとえばドメイン名が長かったら、osaka.west.contoso.comだったら毎回入力するのが大変。
だから、新しく短いUPNサフィックスを定義することで、短い入力でログインできるようになる。

サーバー側でActive Directoryドメインと信頼関係からプロパティを開き、別名を定義

 

対象ユーザのUPNサフィックスを変更

 

変更後のUPNサフィックスでログインできるかチェック