ドメイン参加時に次のメッセージが表示されて、失敗することがある。

ドメイン “ドメイン名” に参加中に次のエラーが発生しました:
同じ名前のアカウントが Active Directory に存在します。
アカウントの再利用はセキュリティ ポリシーによってブロックされました。

または

ドメインに参加できません。詳しくは、IT 管理者に問い合わせてください。

原因は、2022年10月リリースの更新プログラムによる仕様変更。
コンピューターオブジェクトの作成者(所有者)と、ドメイン参加操作の実行者が異なると、ドメイン参加に失敗する。

KB5020276 – Netjoin: ドメイン参加のセキュリティ強化の変更
https://support.microsoft.com/ja-jp/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8

対策は5つ。重ねて実施可。

1. コンピューターオブジェクトの作成者(所有者)でドメイン参加操作を実行する。
2. ドメイン参加操作の実行者でコンピューターオブジェクトを作る。
3. コンピューターオブジェクトの所有者をドメイン参加操作の実行者に変える。
 例:Dsacls <Computer DN> /TakeOwnership
4. レジストリを操作してセキュリティ強化前の状態にする。
 キーのパス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
 値の名前:NetJoinLegacyAccountReuse
 データ型:REG_DWORD
 設定値:1 (強化前) ※新方式は 2
5. 更新プログラムをアンインストールする。

Windows 10 1809以降では、リモートサーバー管理ツール(RSAT)などがオプション機能に再編されている。
オプション機能はWindows Updateサイトにアクセスしてダウンロードするが、WSUS利用時にはWSUSからインストールしようとする。
しかし、RASTはWSUSでの配布用に提供されていないため、WSUS環境ではRSATのインストールが次のエラーで失敗する。

  1. この機能を取得するには、管理者に問い合わせてください。
  2. エラーコード:0x8024500C

1.の原因:WSUSにアクセスしてみたもののRSATが見つからなかったため。
2.の原因:Windows Updateサイトにアクセスしようとしたが、ポリシーなどでアクセスが禁止されているため。

そこで、次のポリシーを編集して適用することで、WSUS環境でもRSATをインストール可能になる。

  1. コンピューターの構成 – 管理用テンプレート – Windowsコンポーネント – Windows Update
    インターネット上のWindows Updateに接続しない
    無効
  2. コンピューターの構成 – 管理用テンプレート – システム
    オプションコンポーネントのインストールおよびコンポーネントの修復のための設定を指定する
    有効
    チェック:Windows Server Update Services (WSUS) の代わりに、Windows Updateから修復コンテンツとオプションの機能を直接ダウンロードする

EFS DRAに必要な証明書は「.cer」ファイルと「.pfx」ファイル。
「cipher /r:<ファイル名>」コマンドで作成できる。

EFS DRA登録用の公開キーポリシーには「.pfx」ファイルだけあればよいし、そのポリシーをコンピュータに適用後に暗号化したファイルには、しっかりとDRAが登録されている。

しかし、DRAがDRAとして復号化を実行するためには、

  1. DRAのアカウントでコンピュータにログオン
  2. 「.cer」ファイルと「.pfx」ファイルをそれぞれ右クリック→インストール

という操作を実施しておく必要がある。
cipher /rコマンドで証明書ファイルを作成しても、実は証明書として本人にインポートされていないため、まだDRAではないのだった。

ということで、復号化しようとしたときに「指定されたファイルの暗号化を解除できませんでした」と表示された場合は、ファイルやフォルダーのアクセス権/所有権はほぼ関係がない。必要な証明書が足りないためだ。
証明書のファイルをなくしていたら・・・諦めて。無理。

参考:
efs – Windows Server 2012 DRA(データ復旧エージェント)アカウントがファイルを解読できません
https://tutorialmore.com/questions-362799.htm

WSUSからWindows 10の機能更新プログラムを適用しようとすると、「この更新ファイルのダウンロードに失敗しました。更新を承認できますが、ダウンロードが完了するまでコンピューターで利用できません。[ダウンロードの再試行]をクリックして、ダウンロードを再開して下さい。」と表示されて、ダウンロードが0%のまま進まず失敗する。

この原因はWSUSサーバー側の設定にある。

1. WSUS サーバーからの Windows 10 のアップグレードの配信
https://blogs.technet.microsoft.com/jpwsus/2016/02/11/wsus-windows-10/

特に「MIMEの種類」に「.esd application/octet-stream」を追加することを忘れずに。既定ではこの設定はない。

2.Windows Server 2012 / 2012 R2 WSUS 用の更新プログラム KB3159706 について
https://blogs.technet.microsoft.com/jpwsus/2016/05/26/kb3159706/

KB3159706(またはこれを含む更新プログラム)を適用後、コマンドを2つ実行する。

“C:\Program Files\Update Services\Tools\wsusutil.exe” postinstall /servicing
“C:\Program Files\Update Services\Tools\wsusutil.exe” postinstall SQL_INSTANCE_NAME=WID /servicing

さらに機能の追加で「HTTP アクティブ化」を追加する。

監査を設定していると、セキュリティイベントログに「システム監査ポリシーが変更されました。」で埋め尽くされる現象が発生。
次のファイルを消して再起動すると直った。
C:\Windows\security\audit\audit.csv

2019/01/26追記:
グループポリシーで「監査ポリシー」(詳細ではなく)がまったく反映されなくなる現象が残っていた。
一度でも「監査ポリシーの詳細な構成」を設定すると、その後詳細を「未構成」に戻しても、グループポリシーの実体フォルダにaudit.csvファイルが残ってしまうことが原因らしい。
「C:\Windows\security\audit\audit.csv」ファイルの削除に加えて、「監査ポリシー」を設定して、次のフォルダからaudit.csvファイルを削除してからgpupdate /forceを実行すると直った。

<SYSVOLフォルダ>\<ドメイン名>\Policies\{監査を設定したGPOのGUID}\Machine\Microsoft\Windows NT\Audit\audit.csv

放送からはとても想像できなかった、セキュリティ攻防の裏側。
侵入されて当たり前の環境で、データを守ることが趣旨だったのに、番組の編集で「侵入されない」に改変されてしまった。
実に残念なことだが、TVという娯楽メディアでは、これが限界なのだろう(決して認めている訳ではなく、諦めている)。
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について

その昔、Symantec AntiVirus(市販のものではなく5ライセンスのワークグループ向け)を使っていた。
不満はなかったけど、ワークグループ環境では集中管理機能を使えないので、あまり活用できていたとは言えなかった。
今は単体で遜色ない機能が無料で使えるとあって、avastを使っている。
軽量で高速な気がするのと、大きいトラブルもなく、またUIも洗練されてきて使いやすくなっているので、これから何かウイルス対策ソフトを選ぼうとしている人に勧めたい。
といっても、今時PCを買ったら何かしら入っているから、あえて乗り換えるスキモノ限定だけど。

「<私のメールアドレス>」
件名 「」大切なお知らせです。
本文 「」みずほダイレクトのご使用、有り難うございます。

「」みずほダイレクトのご使用、有り難うございます。このメールはみずほダイレクトご利用のお客様に配信しております。
この度、新たなセキュリティーシステムの導入に伴い、お客様情報の確認を行っています。ご面倒をお掛け
しますが必要事項の記入をお願いします。
手続きを怠るとみずほダイレクト使用中にエラーなどの発生が生じる可能性がありますので大至急、手続き
をお願いします。
———————————————————————————
———————————————————————————
「<私のメールアドレス>」以下URLより手続きにお進みください「」
www.mizuhobank.co.jp/

手続き「」を怠るとみずほダイレクト使用中にエラーなどの発生が生じる可能性がありますので大至急、更新手続きをお願いします。
ご面倒をお掛けいたしますがご協力お願いいたします。
みずほ銀行
操作にお困りの際は 0120-28-6079 一般ダイヤル(通話料有料)東京:03-5745-6353 大阪:06-6258-0044
商品関連のご質問は 0120-56-3143 一般ダイヤル(通話料有料)東京:03-5745-5051 大阪:06-6258-0012

平日・土・日・祝日 9時〜21時(1月1日〜3日と5月3日〜5日は除きます。)
※フリーダイヤルは携帯電話・PHSからもご利用いただけます。
※フリーダイヤルをご利用いただけない場合は、一般ダイヤル(通話料有料)をご利用ください。

Mizuho Banking Corporation. All Rights Reserved

Windows 7 (x64)でavast!(free版)を長年使っていますが、最近になってWindows Update後にデスクトップが正常に表示されなくなる現象が繰り返し発生したので、対処方法を書き残しておきます。

アバスト! 無料アンチウイルス | ウイルス対策ソフトウェアをダウンロード
http://www.avast.co.jp/free-antivirus-download

現象

  • avast!最新版の実行中にWindows Updateを実行して、再起動が必要な更新プログラムを適用する。
  • 再起動後「ようこそ」画面までは起動するが、デスクトップが表示されず黒い画面のままになる。事実上操作ができない。

対応

  1. HDDアクセスがなくなるまで待ってPCの電源を切る。可能であればWindows 7をリモートからシャットダウンする。
  2. Windows 7をセーフモードで起動する。ネットワーク接続やコマンドプロンプトは使用しない。
  3. Windows+Rキーを押して[ファイル名を指定して実行]を開き、次のコマンドを入力する。
    • Msconfig.exe
  4. [サービス]タブで[avast! Antivirus]のチェックをオフにする。
  5. [スタート]タブで[avast! Antivirus]のチェックをオフにする。
  6. Windows 7を再起動して、[コントロールパネル]-[プログラムと機能]を開く。
  7. [avast! Free Antivirus]を選択して[アンインストールと変更]を実行する。
  8. avast!の[修復]を実行する。これでプログラム、ウイルス定義、設定が初期化される。
  9. Windows 7を再起動して通常モードで起動し、正常に動作することを確認する。
  10. avast! UIを開いてプログラムとウイルス定義を更新する。必要に応じて設定を変更する。

それでも直らないときは

  1. 上記1〜7の手順を実行する。
  2. avast!の[アンインストール]を実行してアンインストールする。
  3. Windows 7を再起動して通常モードで起動し、正常に動作することを確認する。
  4. avast!の最新版を新規インストールしてユーザー登録を行い、avast!を更新する。