ゼロトラスト時代のMacServer(Profile Manager)とJamf proとMS(AD)との関係

 とりあえずは、これの通りだと感じた。

https://blog.animereview.jp/macos_in_to_the_azuread/

そして、

私的な推奨構成

＜オンプレミス＞

ADDS－ Jamf Proー　Mac

＜クラウド＞

Azure　－　Mac

若しくは

Azure　－　Jamf Connect　－　Mac

 さて、MacServer(Profile Manager)とJamf proの関係ですが

MacServer(Profile Manager)ではダメなのか？というと

MacServer(Profile Manager)はAD連携(参照)はMacの認証とログインのみとして利用できる。

 Jamf proはMDMまでできる。

また、Appleはサーバーについては他で統合していきたいと考えているようだ。

証拠にappleではHWとしてのサーバーは消え、Jamf proがさもApple製品のようにappleのページに記載されている。

そして、いつMacServer(Profile Manager)は消えるか分からないからMSやJamf proを使用していく方がハシゴを外されずに済むとみんなは考えているようだ。

海外の方々もそう考えているようだ。

https://www.jamf.com/jamf-nation/discussions/26975/opinion-mac-os-server

Windows7でTLS1.3を有効？にする

 メールサーバーの更新によりメールがTLS1.3でしか送受信できなくなった。

 Windows10ではできるがWindows7では送受信できなくなった。

最初はメーラーのバージョンが古いのが問題かと思ったが根本原因は違った。

 https://docs.microsoft.com/ja-jp/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-

現時点でWindowsOSはTSL1.2まで対応

ただ、TSL1.3でwindows10では送受信できてるということは、設定として1.2でできるように定義するとWindows7でもできるはず？

 ＿＿＿＿＿＿＿＿＿

Windows7のレジストリの設定でTLS1.2を定義してみた。

https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings

 まだ、送受信できない。

アプリ側＝メーラー側でTSL1.2を指定すると送受信できた。

アプリーOSは1.2でしかできなくて

OS－インタネットは1.3でも通信できる仕様にTLS1.2を定義するとなっていると推測。

VMware ESXi上のWindows10のスリープ設定

 通常スリープの設定は、

１、スタート

２、設定

３、システム

４、電源とスリープ

 

ここで、電源という項目とスリープという項目が左にでてくるのだが

スリープが出てこない。

どうも、WMToolsをインストールしないとスリープの項目が出てこないようだ。

 

 

 

SLAによるクラウド比較 Azure AWS GCP

 SLA

Azure　＞　GCP　＞　AWS

 

Azure　「保証」している　返金あり

GCP 　　「提供」している　金融債権で返す

AWS　　「努力」している　チケットで返す

Azureは日本語訳も常に最新

AWSは英語版より何年か遅れている。。　英語みろ

 

https://cloud-textbook.com/86/

 

正常にドメインコントローラを消せない時の原因の1つ

 正常な手順でドメインコントローラを削除したはずなのに、

オブジェクトが残っている。

サイトとサービスに残っているオブジェクトを消そうとするとこんなエラーが出てた

ADSIエディターで確認してみたら、赤枠のオブジェクトが削除されなかったドメインコントローラのオブジェクトにぶら下がっている。

 

調査するとこんなのが見つかる

https://docs.microsoft.com/en-us/windows/win32/ad/creating-a-service-connection-point

ホストにサービスをインストールすると追加されるみたい

 何かインストールしたのかと聞いたらバックアップを取るためになんぞかインストールしたらしい。

 あとは、SYSVOL 以外の DFS 共有を FRS レプリケーションしているような場合も残るらしい。

https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/0d93d14c-9c36-439d-abc8-10c488b0c360/dc123631242538477266841237512383124671253112500125171254012479?forum=activedirectoryja

 

ADのディレクトリ サービス復元モードのパスワードを忘れた時

 探さないとムリだと思い込んでいましたが、

ADのディレクトリ サービス復元モードのパスワードを忘れた時リセットできました。

 2008R2でも2016でもできたので2008R2以降はできると考えられます。

コマンドラインで

C:\>ntdsutil

ntdsutil: set dsrm password

Reset DSRM Administrator Password: reset password on server null

DS 復元モードの管理者アカウントのパスワードを入力してください: ***********

新しいパスワードの確認入力をしてください: ***********

パスワードは正しく設定されました。

・nullは対象がローカルの場合＝ローカルのホスト名を指定しても可能

・新しいDSRM用のパスワードを2回入力します。現在のパスワードは入力する必要はありません。

なお、GPOを設定変更すればパスワード無しにも変更可能です。

   https://news.mynavi.jp/itsearch/article/hardware/890

   ↑これを読んでできないと思い込んでた。

　　思い込み、良くない。

 

Windows10、2016のログオンの監査のイベントID

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/auditing/basic-audit-logon-events

528 ユーザーがコンピューターに正常にログオンしました。

529 ログオンに失敗します。 不明なユーザー名または既知のユーザー名を使ってログオンしようとしたときに、パスワードが正しくありません。

530 ログオンに失敗します。 ユーザーアカウントが許可されている時間外にログオンしようとした。

531 ログオンに失敗します。 無効なアカウントを使用してログオンが試みられました。

532 ログオンに失敗します。 有効期限が切れたアカウントを使用してログオンしようとした。

533 ログオンに失敗します。 このコンピューターではログオンが許可されていないユーザーによってログオンが試行されました。

534 ログオンに失敗します。 ユーザーが、許可されていない種類でログオンしようとしました。

535 ログオンに失敗します。 指定されたアカウントのパスワードの有効期限が切れています。

539 ログオンに失敗します。 ログオンしようとしたときに、アカウントがロックされました。

538 ユーザーのログオフプロセスが完了しました。

540 ユーザーがネットワークに正常にログオンしました。

551 ユーザーがログオフプロセスを開始しました。

548 ログオンに失敗します。 信頼されたドメインのセキュリティ ID (SID) が、クライアントのアカウントドメイン SID と一致しません。

552 ユーザーが別のユーザーとして既にログオンしているときに、明示的な資格情報を使用してコンピューターに正常にログオンしました。