Pages

Thursday, March 19, 2020

セルフサポートが困難に、マイクロソフトの古いサポート情報にどう対応すべきか? - ビジネス+IT


マイクロソフト公式サイトやサポート技術情報の変遷

 マイクロソフトのWebサイトは、数年前に完全に常時SSL/TLS化され、HTTPSでなければアクセスできなくなりました。また、マイクロソフトのオンラインドキュメントや公式ブログは、ここ数年で次のように変更されています。
【旧】 technet.microsot.com、msdn.microsoft.com
 ↓
【現在】 docs.microsoft.com
【旧】 blogs.technet.com、blogs.technet.microsoft.com
 ↓
【現在】 techcommunity.microsoft.com
【旧】 blogs.msdn.com、blogs.msdn.microsoft.com
 ↓
【現在】 devblogs.microsoft.com

 そして、オンラインセルフサポートの1つとして誰もが無料アクセスできる「サポート技術情報(Knowledge Base、KB)」と呼ばれていたものは、「Microsoftサポート(Microsoft Support)」のヘルプになり、URLは以下のように変更されました(ja-jp/やen-us/など言語/>の指定部分は省略できます)。以降では、このヘルプのドキュメントのことを、便宜上「Microsoftサポート情報」と表現します。
【旧】 support.microsoft.com/kb/文書番号/言語/>
 ↓
【現在】 support.microsoft.com/言語>/help/文書番号/

2019年8月のセキュリティアドバイザリへの影響

 Microsoftサポート情報は、製品のサポートポリシー上、サポート終了後も最低12か月利用可能(固定ライフサイクルポリシーに明記)とされていますが、実際にはそれ以上の長い期間利用可能になっています。古い製品対象にしたものについては削除されている場合がありますが、Windows NTやWindows XPを対象としたものでも今もなおアクセス可能なものは多くあります。

 2019年8月、セキュリティ強化を目的とした「Active Directoryドメインサービス(AD DS)」のドメインコントローラーや「Active Directoryライトウェイトディレクトリサービス(AD LDS)」の既定の挙動の変更を案内する以下のセキュリティアドバイザリADV190023が公開され、公式ブログを通じて周知が行われました(2020年2月末にAD LDSは対象から除外されました)。

 思うように周知されなかったのか、2020年3月に予定されていたWidows Updateのセキュリティ更新プログラムを用いた既定の挙動の変更の実施措置は、2020年後半に延期されました。

2019年8月のセキュリティアドバイザリADV190023

 このセキュリティアドバイザリはActive Directoryドメインのシステム管理者が対処すればよいもので、一般の利用者には関係ありません。影響を受ける可能性がある場合も、延期されたため時間的な猶予があるので、上記のセキュリティアドバイザリに従って必要なアクションを行ってください。

 今回、このセキュリティアドバイザリを取り上げたのは、セキュリティアドバイザリの「推奨される操作」で案内されている参照先のMicrosoftサポート情報に10年前のものがあり、マイクロソフトがその後行ってきたさまざまな変更がもろに影響し、読み解くのに一苦労するだろうと感じたからです。

 問題のMicrosoftサポート情報は、Windows Server 2008を対象におそらく2009年に初めて公開された以下のものです。“おそらく”と断ったのは、Microsoftサポート情報は最終更新日(この例の場合は2019年11月16日)は記載されていますが、公開日の情報はないからです。公開日が最終更新日で上書きされてしまうことも問題だと思いますが、内容にも各所に問題があります。

WINDOWS Server 2008 で LDAP 署名を有効にする方法(自動翻訳) https://support.microsoft.com/ja-jp/help/935834/
How to enable LDAP signing in Windows Server 2008
https://support.microsoft.com/en-us/help/935834/

 このMicrosoftサポート情報の問題を例に、正しく読み解くための留意点や、失われた情報にアクセスするためのヒントを紹介します。

 その前に、自動翻訳されたMicrosoftサポート情報には誤訳やミスが含まれるので、なるべくオリジナルの英語情報で確認することをおすすめします。たとえば、上記のMicrosoftサポート情報の日本語版で「desk.cpl」となっているものは、オリジナルでは「ldp.exe」です。「desk.cpl」はディスプレイの設定を呼び出すものなので、なぜこの文字列が入り込んだのか、なんとも不思議な自動翻訳システムです。

適用対象がWindows Server 2008/2008 R2だけどいいの?

 セキュリティアドバイザリADV190023が対象としているのは、Wndows Server 2008 SP2以降のAD DSのドメインコントローラー(LDAPサーバー)、およびWndows Server 2008 SP2およびWindows 7 SP1以降のクライアント(LDAPクライアント)です。

 しかし、問題となっているMicrosoftサポート情報は、Windows Server 2008/2008 R2のドメインコントローラーやAD LDSのLDAPサーバー向けに10年前に作成された内容であり(AD LDSはセキュリティアドバイザリの対象外です)、Windows Server 2012以降のドメインコントローラーやLDAPサーバーにも適用されるものか、ページトップの「適用対象(Applies to)」を参照しても判断できません(画面1)。

画像
画面1:2020年に行われるLDAPの既定のセキュリティ強化の影響範囲と、LDAP署名を事前にテストする方法を説明するMicrosoftサポート情報の適用範囲(Applies to)が異なる

 そこで筆者は、Windows Server 2016のテスト環境を構築して実際にこのMicrosoftサポート情報の内容を実施しました。レジストリのパスに一部ミスはありましたが、Windows Server 2012以降にも適用できるようです。

【次ページ】リンクをクリックするとMicrosoft DocsのトップにリダイレクトまたはHTTP403

Let's block ads! (Why?)



"情報" - Google ニュース
March 20, 2020 at 04:15AM
https://ift.tt/2x70KxA

セルフサポートが困難に、マイクロソフトの古いサポート情報にどう対応すべきか? - ビジネス+IT
"情報" - Google ニュース
https://ift.tt/37rUfCT
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update

No comments:

Post a Comment