【Windows】Windowsエクスペリエンスインデックスを計測

WindowsエクスペリエンスインデックスはPCの性能を10点満点スコア表示してくれる便利機能。
CPU、メモリ、ストレージなどを総合して評価してくれる。

PowerShellを管理者権限で起動

https://webmarks.info/ja/で見やすくというか、Windows7で表示されていた感じにできる。

【資格】MCP 70-742 Windows Server 2016 の識別 合格!

はじめてMCPというのを受けてみたぞ。

いわゆる赤本をメインで実機操作しながらという感じでやったよ。
あと、バウチャーっていう+4000円くらいでに2回まで受けられるやつチケットを買ってみたよ。
1回目はある程度いけるかな?くらいな感じの時に行って、試験直後に赤本に出た問題にふせん、それ以外のはなるべく問題のポイント暗記して、後で調べるという感じで。

初めて受けてみて、MCPはLPICとかとは結構問題の問いかけ方が違うというか、問題文長くて整理するのに疲れるね(ーー)
シナリオ試験といって、OU1にUser1が入っていて、それはGropu1に入っています。ここにGPO1を充てるにはどんな権限が必要か。みたいな感じだったかな。
あと、最初の15問くらいはYes/Noで答える問題が連続で出るんだけど、チャンス1回しかないんね。これ。問題振り返れないようになっているの。
個人的にActive Directoryって、結構誰でも講師くできるし、運用も簡単だけど、奥が深いから、そこを詳しくなってニッチな技術を身につけておきたいかったら、まずAD関連がほとんどの412から受けてみたよ。

ただ、赤本の問題は半分出てたか、出てないかくらいだった。
赤本パーフェクトに叩き込めば合格ラインには届くような気がするけど、結構苦戦しました。
次は70-740を受けようね。

【Active Directory】複数のUPNサフィックス構成

Active Directory環境においてユーザーの表記形式には次のようなものがあり、どちらの方法でもドメインへのログインができる。

・ドメイン名\ユーザー名(chase\administrator)
・ユーザー名@ドメイン名(administrator@chase.local)

このうち、ユーザー名@ドメイン名の記述方法をUPN(User Principal Name)といい、@より後ろの部分をUPNサフィックスという。
たとえばドメイン名が長かったら、osaka.west.contoso.comだったら毎回入力するのが大変。
だから、新しく短いUPNサフィックスを定義することで、短い入力でログインできるようになる。

サーバー側でActive Directoryドメインと信頼関係からプロパティを開き、別名を定義

 

対象ユーザのUPNサフィックスを変更

 

変更後のUPNサフィックスでログインできるかチェック


【Active Directory】FSRとDFS-R

Active Directoryインストール時に、SYSVOL共有フォルダがドメインことローラー上に作成される。
SYSVOLには、ログイオンスクリプト用ファイルや、グループポリシー設定ファイル等が格納されている。
同一ドメイン内のドメインコントローラは、FSRかDFS-RのレプリケーションによりSYSVOLを複製している。

・FSR(ファイル複製サービス)
以前から使用されていたレプリケーションサービスで、SYSVOLのレプリケーションを行う。
Windows Server 2016でも引き続き使用可能。

・DFS-R(分散ファイルシステム複製)
Windows Server 2003 R2からサポートされたファイルレプリケーションサービスで、Windows Server 2008からSYSVOLのレプリケーションにも使用されている。
DFS-Rを使用すると、SYSVOLをより高速でセキュアにレプリケーションすることができ、ドメイン機能レベルがWindows Server 2008以上に設定する必要がある。

なので、Active Directoryデータベースのレプリケーションとは別に、ファイルシステムのレプリケーションはDFS-Rでやってる。
というのは、ちょっとAD噛んでないと分からないことのような気がする。現に運用保守で触ってた時はこんなの意識してなかったしね。

【Active Directory】Active Directoryデータベーススナップショット

Active Directoryでは、過去のデータベースの状態を保存できるスナップショット機能がある。
スナップショットを作成しておくと、その時点の属性情報を確認できるので、廃棄済みオブジェクトやリサイクル済みオブジェクトを回復した後、消去されてしまった属性を主導で再設定する際に便利。
スナップショットは過去のある一時点のデータベースを参照するだけなので、属性を自動的に取り込むようなことはできない。

Active Directoryデータベースのスナップショットの作成から接続までの流れは、以下の通り。
① スナップショットの作成
② スナップショットのマウント
③ スナップショットの公開
④ スナップショットへ接続

 

① スナップショットの作成 & ② スナップショットのマウント

Cドライブにマウントされている

 

③ スナップショットの公開

 

④ スナップショットへ接続



 

スナップショット公開時のポートは389以外を指定する。通常のActive Directoryデータベースへの接続は389おldapで行われているから。
そういえば、以前のプロジェクトでAD移行担当だったけど、移行時にテンポラリOU作ってそこに削除対象のオブジェクトを突っ込んで、安定稼働したら消すっていうのをやってた。
消す前にこういうスナップショット取っておくといいんだろうなって思いました。

【Linux】nfsサーバのhardマウントとsoftマウント

nfsサーバのマウント時の方式として、hardマウントとsoftマウントがある。
デフォルトはhardマウント。ちょっと違いを整理したよ。

マウント方式 特徴
hard
intrオプションなし
・nfsサーバが応答するまで待つ。例えば、nfsサーバ通信段時に、dfコマンドを実行するとコマンドが返ってこなくなる。
・アプリケーションなどから、nfsマウント領域に対して、I/Oを発生させる仕組みがある場合、ハングしているように見える。
hard
intrオプションあり
・基本的に上記と同様
・ハング時に、SIGHUP、SIGINT、SIGQUITシグナルを送ることで、I/Oを中断できる。(Ctrl+Cで抜けれる)
soft ・nfsサーバが応答しない場合、タイムアウト時にエラーとなる。
・タイムアウト値は、timeoオプションで指定する

・基本的には、データ不整合を防ぐため、hardマウントが推奨される
・softマウントの場合、例えば、アプリケーションでDBに書きつつ、nfs領域にファイルライトがある処理があるとすると、DBには書いたけど、nfs領域にはファイル書けなかったという、不整合状態が起きてしまう(それを考慮されてアプリならOK)
・デフォルトはhard

【Active Directory】GPOを管理するための権限

GPOを管理するには権限が必要で、GPOの作成、編集、リンクなどの管理操作を行うためには、権限を持ったグループのメンバーであるか、個別に権限を与える必要がある。
サイトへリンクを行う場合、Enterprise AdminsかフォルストルートドメインのDomain Adminsメンバーである必要がある。

操作 グループ 個別の権限を付与する場所
作成 Domain Admins
Enterprise Admins
Group Policy Create Owners
「グループポリシーオブジェクト」の「委任」タブ
編集 Domain Admins
Enterprise Admins
GPOの選択時の「委任」タブ
リンク Domain Admins
Enterprise Admins
ドメイン、OU、サイト選択時の「委任」タブ

・「グループポリシーオブジェクト」の「委任」タブ

・GPOの洗濯時の「委任」タブ

・ドメイン、OU、サイト選択時の「委任」タブ

【Active Directory】パスワードレプリケーションポリシーは拒否判定のほうが強い

以下では、User2がAllowd RODC Password Replication Groupに所属しているからパスワードキャッシュが効くと思いきや、バイネームで拒否設定が入っていので、どっちが勝つのかなという疑問。

結果として、拒否設定のほうが強いので、パスワードキャッシュされなくなる。ということみたい。
こういう競合しそうな設定はセキュリティ的な観点からか、やっぱりできないほうが勝つようになっているのが王道なんだろう。って思った。

【Active Directory】パスワードレプリケーションポリシーの構成

規定では、アカウントのパスワードはRODCにレプリケートされず、書き込み可能ドメインコントローラーだけが、アカウントのパスワードを保持している。
なので、ブランチオフィスユーザーがドメインにサインインする際に、レプリケーション元に書き込み可能ドメインコントローラーにアクセスできる必要がある。
書き込み可能ドメインコントローラーとRODCとが通信断した場合、ブランチオフィスユーザーはサインインできなくなる。
それを解決するためのパスワードレプリケーションポリシーで、許可したアカウントのみRODCにてパスワードをキャッシュすることができるので、RODCだけでも認証できるようになる。

許可されているグループは「Allowd RODC Password Replication Group」だけ。

デフォルトだとメンバーもいない

パスワードレプリケーションポリシーに許可or拒否ユーザーを追加する場合


【Active Directory】RODCに対する管理者権限の委任

RODCに対して、ドメインの管理権限を与えることなく、コンピューターの管理権限のみを委任されたブランチオフィスユーザーのことを委任された管理者アカウントという。
RODCコンピューターの管理は、デバイスドライバーアップデート、ハードディスクのフォーマット、更新プログラム適用などローカルコンピューターに対しての作業のこと。
RODCコンピューターの管理権限を委任されたユーザーは、ローカルコンピューターに対するAdministratorsグループ権限、Active Directoryデータベースに対するUsersグループ権限が付与される。
つまり、コンピューターの保守作業はできるが、ドメインの保守作業はできない。
これにより、ブランチオフィスユーザーにRODCの管理を任せることができる。
この設定は、RDOCをファイルサーバーとして構成している場合などに便利。