SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Windows Server 2008 の検証環境作成時についてのメモ

without comments

2020/10 時点で Windows Server 2008 の検証環境を構築(サポートが切れていても検証で環境を構築しないといけないときがあるのです)していた際に気づいた内容のメモを。

久しぶりに古い OS を Windows Server 2019 から触ろうとしたら、いろいろと設定忘れていました。

本投稿では、Windows Server 2008 SP2 インストール直後の環境にたいして、最新の Windows Update を適用している Windows Server 2019 で接続を行っています。

リモートデスクトップによる接続

2008 でリモートデスクトップを有効にして、2019 から接続しようとすると次のエラーが発生します。

image

 

[Window Title]
リモート デスクトップ接続

[Content]
認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: 10.76.0.1
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

[OK]

 

Windows Server 2008 に対して、RDP で接続するためには、CVE-2018-0886 の CredSSP の更新プログラム の対応が必要となります。

これについては、Azure で Windows VM への RDP を試行したときのエラー: CredSSP 暗号化 oracle 修復 でも開設されていますね。

サーバー側で対応を行う場合、Windows Server 2008 に対しては Windows Server 2008、Windows Embedded POSReady 2009 および Windows Embedded Standard 2009 における CredSSP でリモートでコードが実行される脆弱性を解決するためのセキュリティ更新プログラムについて2018 年 3 月 14 日 のドキュメントが該当します。

Microsoft Update Catalog としては次の URI になります。

2008 の IE からこの URL にアクセスして、更新プログラムをダウンロードして適用しましょう。
(Hyper-V で 2008 を使用した場合、クリップボード経由でファイルのコピーができなくて面倒…。)

この更新プログラムをサーバー側で適用すれば、クライアント側の設定は変更しなくても接続ができるようになります。

 

Active Directory 用更新プログラムの適用

構築した Windows Server 2008 に AD DS をインストールする場合、KB949189 の存在を思い出します。
Windows Server 2008 SP2 であれば適用済みとなっていそうですので、SP2 を使用していれば問題はなさそうですが。

An additional domain controller that is running Windows Server 2008 and that has the Japanese language locale installed does not receive updates to some attributes on an object during inbound replication. There are steps that you can take to prevent this issue from occurring and steps that you can take to recover if the issue has already occurred. For more information, see article 949189 in the Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=114418). This issue does not affect domain controllers that run Windows Server 2008 R2.

ダウンロードリンクが 404 になっていそうなので、適用が必要な場合は、Microsoft Update Catalog から直接ダウンロードしたほうがよさそうです。

 

AD DS についての情報

Windows Server 2008 では、2008 の機能レベルをサポートしています。

2008 の機能レベルについては、Windows Server 2019 までをサポート していますので、2003 のドメインコントローラーが存在していなければ、Windows Server 2019 の AD DS を追加することもできます。

image

Windows Server 2012 R2 移行は SYSVOL の複製に FRS を使用するのは非推奨となり、Windows Server 2008 以上のドメインの機能レベルでは、DFS-R による複製となります。

最初から、2008 の機能レベルで、ドメインコントローラーを作成しているのであれば、DFS-R で作られているはずです。(ちなみに、2008 で dcpromo を実行した際に、初期で選択されている設定は 2000 です。)

2003 辺りからアップグレードを実施しているドメインコントローラーについては、SYSVOL の複製方法の変更の必要性を検討します。

 

テクニカルドキュメント

Windows Server のテクニカルドキュメントは富士通さんのドキュメントにお世話になることが多いので、まずはこちらを確認します

Windows Server 2008 からの移行については、 Windows Server 2016 Active Directory 移行の手引き でまとめられていますので、2008 の AD 移行については、このドキュメントを確認すると良いかと思います。

前述の DFSR への移行についても SYSYVOL 複製方式の変更として記載されています。

Written by Masayuki.Ozawa

10月 12th, 2020 at 8:37 pm

Posted in Windows Server

Tagged with

Leave a Reply