Today's topic:

Resetting WMI Repository

dos and dont's

Some people like Windows Management Instrumentation (WMI) because of its power - some just hate it. The ones who hate it often use as argument that the WMI repository is not really reliable and often gets corrupt / unusable.

Even though this may happen - it's not a usual scenario. Anyhow - if you face a corrupt WMI repository - you need to repair it.
The basic steps would be

• set WinMgmt service state to Disabled
• stop WinMgmt service
• walk through all dlls in %windir%system32wbem and re-register those
• call /regserver method on WMI private server executable (wmiprvse.exe)
• call /resetrepository method on WinMgmt service executable to  reset the WMI repository to the initial state and restore MOF files that contain the #pragma autorecover statement
• set WinMgmt service state to Auto
• start WinMgmt service
• walk through all relevant Windows Management Object Files (.mof) in %windir%system32wbem and all Windows Management Language Files (.mfl) in language subfolders of %windir%system32wbem and re-register them by mofcomp.exe calls.
• restart machine

There are various articles out there that describe how to do it - some even provide automation code. Unfortunately most of these disregard the fact that the purpose of some MOF files is to uninstall the WMI namespace / class defined in the MOF - they just run through all MOF files and register those.
Saying - if you mofcomp all MOF files found in the wbem folder - you may end up with an even more unusable WMI repository - just because you uninstalled necessary WMI data ...

How you detect MOFs / MFLs that are intended to uninstall WMI namespaces / classes?

Some MOFs / MFLs are very kind to the admins and have 'uninstall' or 'remove' as part of their name - but this does not detect all classes that uninstall WMI data. To reliably identify the MOFs / MFLs to be registered by mofcomp -> do the following:

• skip MOFs / MFLs that have 'autorecover' as part of their name
• skip MOFs / MFLs that have 'uninstall' or 'remove' as part of their name
• skip MOFs / MFLs that contain the #pragma autorecover statement (already handled by winmgmt /resetrepository)
• skip MOFs / MFLs that do not contain the #pragma autorecover statement but either #pragma deleteinstance or #pragma deleteclass statement(s)

To bring this all together in some PoSh code:

[code lang="powershell"]
function DisableService([System.ServiceProcess.ServiceController]$svc)
{ Set-Service -Name $svc.Name -StartupType Disabled }

function EnableServiceAuto([System.ServiceProcess.ServiceController]$svc)
{ Set-Service -Name $svc.Name -StartupType Automatic }

function StopService([System.ServiceProcess.ServiceController]$svc)
{
[string]$dep = ([string]::Empty)

foreach ($depsvc in $svc.DependentServices)
{ $dep += $depsvc.DisplayName + ", " }

Write-Host "Stopping $($svc.DisplayName) and its dependent services ($dep)"

$svc.Stop()

$svc.WaitForStatus([System.ServiceProcess.ServiceControllerStatus]::Stopped)

Write-Host "Stopped $($svc.DisplayName)"
}

function StartService([System.ServiceProcess.ServiceController]$svc, [bool]$handleDependentServices)
{
if ($handleDependentServices)
{ Write-Host "Starting $($svc.DisplayName) and its dependent services" }

else
{ Write-Host "Starting $($svc.DisplayName)" }

if (!$svc.Status -ne [System.ServiceProcess.ServiceControllerStatus]::Running)
{
try
{
$svc.Start()

$svc.WaitForStatus([System.ServiceProcess.ServiceControllerStatus]::Running)
}

catch { }
}

Write-Host "Started $($svc.DisplayName)"

if ($handleDependentServices)
{
foreach ($depsvc in $svc.DependentServices)
{ StartService $depsvc $handleDependentServices }
}
}

function RegSvr32([string]$path)
{
Write-Host "Registering $path"

regsvr32.exe $path /s
}

function RegisterMof([System.IO.FileSystemInfo]$item)
{
[bool]$register = $true

Write-Host "Inspecting: $($item.FullName)"

if ($item.Name.ToLowerInvariant().Contains('uninstall'))
{
$register = $false
Write-Host "Skipping - uninstall file: $($item.FullName)"
}

elseif ($item.Name.ToLowerInvariant().Contains('remove'))
{
$register = $false
Write-Host "Skipping - remove file: $($item.FullName)"
}

else
{
$txt = Get-Content $item.FullName

if ($txt.Contains('#pragma autorecover'))
{
$register = $false
Write-Host "Skipping - autorecover: $($item.FullName)"
}

elseif ($txt.Contains('#pragma deleteinstance'))
{
$register = $false
Write-Host "Skipping - deleteinstance: $($item.FullName)"
}

elseif ($txt.Contains('#pragma deleteclass'))
{
$register = $false
Write-Host "Skipping - deleteclass: $($item.FullName)"
}
}

if ($register)
{
Write-Host "Registering $($item.FullName)"
mofcomp $item.FullName
}
}

function HandleFSO([System.IO.FileSystemInfo]$item, [string]$targetExt)
{
if ($item.Extension -ne [string]::Empty)
{
if ($targetExt -eq 'dll')
{
if ($item.Extension.ToLowerInvariant() -eq '.dll')
{ RegSvr32 $item.FullName }
}

elseif ($targetExt -eq 'mof')
{
if (($item.Extension.ToLowerInvariant() -eq '.mof') -or ($item.Extension.ToLowerInvariant() -eq '.mfl'))
{ RegisterMof $item }
}
}
}

# get Winmgmt service
[System.ServiceProcess.ServiceController]$wmisvc = Get-Service 'winmgmt'

# disable winmgmt service
DisableService $wmisvc

# stop winmgmt service
StopService $wmisvc

# get wbem folder
[string]$wbempath = [Environment]::ExpandEnvironmentVariables("%windir%system32wbem")

[System.IO.FileSystemInfo[]]$itemlist = Get-ChildItem $wbempath -Recurse | Where-Object { $_.FullName.Contains('AutoRecover') -ne $true}

[System.IO.FileSystemInfo]$item = $null

# walk dlls
foreach ($item in $itemlist)
{ HandleFSO $item 'dll' }

# call /regserver method on WMI private server executable
wmiprvse /regserver

# call /resetrepository method on WinMgmt service executable
winmgmt /resetrepository

# enable winmgmt service
EnableServiceAuto $wmisvc

# start winmgmt service
StartService $wmisvc $true

# walk MOF / MFLs
foreach ($item in $itemlist)
{ HandleFSO $item 'mof' }
[/code]

Kudos to my dear colleague Constantin - one of the WMI haters :- )

Have fun resetting...

Michael
Have keyboard. Will travel.

Kyle Bisnett and Bill Curtis here. We are two Software Defined Network Blackbelts and Premier Field Engineers at Microsoft and specialize in Hybrid Cloud technologies, which includes Cloud Platform System, Azure Stack and WSSD/SDDC. Most importantly, we ensure it’s easy for our customers and partners to deploy and leverage Software Defined Networking (SDN), whether it’s within an enterprise or as part of a Partner Solution (WSSD).

Recently, our customer came to us asking questions about our SDN Load Balancers (SLB) as they were looking into using fewer physical appliances and deployments of the venerable Microsoft Network Load Balancing (NLB) with an SDN solution. In this blog, we will cover some common questions we received from this customer and others in the field about SDN SLB.

Briefly, what is Microsoft Software Defined Networking?

If you have deployed Windows Server 2016 and/or Windows Server 2019, chances are you’ve heard about Software Defined Networking (SDN) that comes at no additional cost in our Datacenter SKU. Also, if you’ve looked at our prior blogs, you have seen mentions about SDN going mainstream.

Microsoft SDN provides software-based network functions such as virtual networking with switching, routing, firewalling with micro-segmentation, third-party appliances, and of course load balancing – the subject of today’s post . These are all virtualized and highly optimized for availability and performance and, like Storage Spaces Direct, is a key component of the Windows Server Software Defines(WSSD)/Software Defined Datacenter (SDDC).

Why should I use Microsoft’s SDN Software Load Balancer?

...There are plenty of other SDN Load Balancer solutions that have been around for longer, right?

Microsoft SDN is an end-to-end solution. All the components work in harmony together, and you can leverage features that are a direct result of this synchronization, such as Direct Server Return (DSR), health-probing on the Hyper-V hosts, and NAT functionality. Keep in mind, the other benefit is from an administrative perspective as you no longer need worry about expensive support contracts, hardware upgrade cadences (these are just Windows VMs), and some of the odd items like Active/Passive. All SLB MUXs are always Active/Active whether it’s two or eight.

SDN in Server 20162019 is closely based on the SDN running in Microsoft Azure

Software Defined Networking is being utilized across 32 different global Azure datacenters. When you configure a Standard or Basic Load Balancer, Virtual Network (vNet), Site to Site VPN Connections and more in Microsoft Azure, you are using SDN architecture that has been ported over to SDN in Windows Server 20162019, and Azure Stack. Microsoft SDN is well-tested at scale and is very competitive with other SDN products in terms of performance and scalability.

Are the SLB MUXs highly available?

If so, how can I ensure it is checking my Guest VMs to ensure they are ‘up’ or ‘down’?

SLB MUXs are fault tolerant and utilize Border Gateway Protocol (BGP), which is a dynamic routing protocol that advertise all MUXs within the pool in a /32 subnet form to the top-of-rack switch. When a keep-alive metric is missed, BGP automatically removes the individual load balancer from the routing table. This is helpful in host outage or in case of individual MUX monthly patching.

So that’s great! We have fantastic fault tolerance for the MUX infrastructure, but how about our Guest VMs that leverage the SLB MUXs?

Well, we have a feature that is most known in the load balancing community as Health Probing, and our implementation is state-of-the-art. In Windows Server 2016 and above, we support both TCP probe-to- port and HTTP probe-to-port and URL.

Unlike traditional load balancer solutions where the probe originates on the appliance and is sent across the wire to the guest IP, SLB probes will originate on the host where that Guest VM IP is located and is sent directly from the SLB Host Agent running on the Hyper-V Host to the VM IP. This eliminates wire traffic and spreads the overhead of conducting health probes between the Hyper-V hosts within the SDN-enabled cluster.

How much performance can I expect from the load balancers?

Direct Server Return (DSR) is a fantastic feature. In the two scenarios below, you’ll see this in action. For external traffic, DSR can eliminate most of the outbound traffic going through a SLB MUX as it will send directly from the Hyper-V Host to the top-of-rack switchrouter. For internal load balancing, it can eliminate most traffic being received at the load balancer infrastructure and will be strictly VM to VM traffic after the initial packet. Let’s look at these scenarios:

External Load Balancing

For a Public Virtual IP (VIP) load balancing scenario, the initial packet will arrive at our public VIP on the Top of Rack Switch/Router, which will then be routed to one of our SLB MUXs, and then onto the host, and to the individual tenant VM. Now, on the outbound path, egress packet avoids the MUX infrastructure all together since the Hyper-V host has performed NAT on the packet and routed directly to the Top of Rack Switch. This increases available bandwidth for tenant and infrastructure workloads by 50% when compared to other appliances and solutions.

1. Internet traffic routed to a Public VIP comes in through the Top-of-Rack switchrouter, and, then using ECMP, a SLB MUX VM is chosen in which to route the traffic.
2. The SLB MUX VM then finds what Dynamic IPs (DIPs – the actual IPs of the VMs) the Public VIP is associated with. One of the DIPs is chosen, the traffic is encapsulated into VXLAN packets, and is then sent to the Hyper-V Host which owns the VM with the chosen DIP.
3. The Hyper-V Host receives the packets, removes the VXLAN encapsulation, and routes it to the VM.
4. When the VM sends a response packet, it is intercepted by the Hyper-V Host’s virtual switch, the response packet is re-written with the Public VIP IP, and routed directly to the Top-of-Rack switchrouter bypassing the SLB MUX VMs. This results in massive scalability as DSR eliminates the SLB MUX VM(s) from being a bottleneck for return traffic.

Internal Load Balancing

During the internal load balancing scenario, the initial packet will flow to the internal VIP, the SLB MUX will find the DIPs (guest VMs), encapsulate the packet using VXLAN, and send to the host which removes the encapsulation and forwards to the DIP, i.e. Tenant VM. Now, the best part, all traffic after this initial internal load balancing scenario will avoid the MUX and perform VM to VM traffic until a health event occurs such as a probe failure, etc. This can eliminate a large percentage of internal load balancing traffic.

1. The first internal VIP request goes through the SLB MUX to pick a DIP.
2. The SLB MUX detects that the source and destination are on the same VM Network and then the MUX sends a redirect packet to the source host.
3. The source host then sends subsequent packets for that session direct to the destination. The SLB MUX is bypassed completely!

How do I grant my business units access to a jump box within an isolated vNET?  Could I also grant Internet Access to all of the VMs without using a Gateway Connection?

If you have ever created a virtual machine in Microsoft Azure, you will have a Public IP and a Private IP. The private IP is used for Intra vNet traffic in Azure or can be used for Express Route and/or Site to Site. The public IP, however, is a NAT interface that you can expose RDP 3389 on. SDN has the same functionality to both inbound and outbound NAT. Outbound NAT is especially useful to give all your VMs within a vNet, internet access, but you do not need a Gateway connection for each vNet!

Inbound NAT

Let’s walk through how inbound NAT occurs: NAT will not terminate within the load balancer but on the Hyper-V host itself. When the Public VIP is created and configured, along with an external port, the SLB MUXs will start advertising the VIP by updating the routes using BGP to the Top of Rack switch. When a packet is destined for the Public VIP, it will forward this to an available MUX which will look up the DIPs and encapsulate the packet, using VXLAN to be forwarded to the Hyper-V host. The Hyper-V host will remove the encapsulation and re-write the packet, so the destination is now the DIP and internal port that you wish to use.

A great use of this feature that we see from the field is the “Our infrastructure team wishes to allow a business unit RDP access to multiple VMs inside of the ‘Finance’ vNet.” Within VMM, the infrastructure team can assign separate Public ports, I.e. 3340, 3341, etc. that still have the same back end port of 3389, but to different DIPs. This fulfills the requirement of RDP to a few jump boxes inside the vNet.

Can I use SDN Software Load Balancers on VMs that are not using Hyper-V Network Virtualization?

Yes! In some organizations, the extra configuration required for Hyper-V Network Virtualization (HNV) as well as the need for SDN RAS Gateways for HNV enabled networks to be configured so that VMs can communicate with the physical network can be overkill. Virtual Machines that are not using HNV VM Networks can still take advantage of SDN load balancing.

Microsoft Network Load Balancer can also be used, but it does not come close to providing all the robust features and scalability that SDN SLB provides, as mentioned above.

If the following criteria is met, SDN SLB can be used on non-HNV VMs:

• Top of Rack Switch is BGP capable
• Network Controller is deployed
• Hyper-V Hosts are managed by Network Controller
• Software Load Balancer MUX VMs have been deployed and onboarded by NC
• The VM Networks being used by the VMs that require load balancing are on a defined VLAN and are managed by Network Controller

How do I get started evaluating SDN Software Load Balancers?

Deploying SDN has never been easier!  As announced during our Top 10 Network Features series SDN has gone mainstream!

There are two methods for deploying SDN:

SDN Express

SDN Express now includes a GUI (see our SDN Goes Mainstream post)!  You can also deploy via PowerShell for environments not utilizing System Center Virtual Machine Manage (SCVMM). Additional details on how to deploy SDN using SDN Express are located here and scripts and other resources are in the Microsoft SDN repository on GitHub.

System Center Virtual Machine Manager 2016 or higher

SDN can also be deployed and managed by SCVMM 2016 and higher. Instructions for how to deploy SDN in SCVMM are located here and scripts and other resources are in the Microsoft SDN repository on GitHub.

How can Microsoft help my enterprise become part of SDN?

That's a great question and we are sure glad that our customer asked. There are a few different options listed below:

Premier Advisory Call

Ask your Technical Account Manager (TAM) who is assigned to your account to get you in touch with the Microsoft SDN Blackbelt community. We can hold a remote advisory call to discuss prerequisites and ensure that it will meet the requirements of your business. This is also a great time for a Q & A session!

Premier WorkshopPLUS: Windows Server: Software Defined Networking

This workshop is a full 4-day workshop that walks through planning, architecture, implementation, and operation of an SDN-enabled hybrid cloud. It includes labs that are hosted on our Learn on Demand platform, simply bring-your-own device and you gain access to all the content and labs. Also, coming towards end of this year, our Unified Support customers will have access to all the Blended Learning Unit (BLUs) video recordings we completed. It’s sort of like a Bill and Kyle SDN on-demand channel!

SDN Blackbelt Community

The SDN Blackbelt community is also here to assist remotely. We can certainly have an advisory call as mentioned and that should be your first step. However, if you have a quick question or need assistance, send us a quick note at SDNBlackbelt@microsoft.com and one of us will get back to you.

Summary

We hope you found this blog to be useful and the scenarios beneficial. There are some fantastic features gained from implementing SDN including the battle-tested and performant Software Load Balancing included in your datacenter SKU. Stay tuned for more Notes from the Field and check the tag below for the full series.  We plan to post future blogs that will discuss many other components of SDN!

Stay tuned and see you next time!

Kyle Bisnett and Bill Curtis

Today’s business environments are very different to those of 10+ years ago. Groove Server has been a trusted friend for peer-to-peer collaboration over a decade, but there are better ways to deliver against today’s business expectations and technical possibilities. It’s time to upgrade to a modern workpkace, taking advantage of ubiquitous connectivity and access to the cloud for scale, agility and performance.

For Groove Server 2010 end of support is October 13^th, 2020.

Groove is peer-to-peer collaborative software. Groove Server is a Windows-based software package that helps you deploy and administer Microsoft SharePoint Workspace when Groove peer workspaces are being used. Groove Server 2010 provides access to Groove Server Manager and Relay services through a hosted environment at a Microsoft data center.

What End of Support Means?

From October 13^th, 2020, Microsoft will no longer offer security updates, support or technical content updates for Groove Server 2010 and related products. The result?

• Groove 2010 and the workloads and applications running on it will become more expensive to operate
• Security patches and hotfixes will no longer be available, leaving servers and applications vulnerable to security threats and downtime
• Outdated software creates compliance risks

NOTE

Beginning with the release of Microsoft Office 2010, Groove adopts the support lifecycle of the Microsoft Office 2010 suites. Customers must be at the supported service pack level to receive support.

Moving Forward

Migrating from Groove is an ideal opportunity to transform your business and leverage the power, experience, and cloud innovation built into the modern Office 365 platform. SharePoint Online, OneDrive for Business, and Microsoft Teams provide the building blocks for your business to benefit from the power of the cloud on your terms whether deployed independently or in hybrid configuration. By migrating to Office 365 for business mobility, you won’t just avoid the cost and risk of running unsupported server software. You’ll gain access to powerful new capabilities that will help your business be more agile – like enterprise-grade security, file mobility, and access to the cloud.

Determining a migration path

Groove Server provided a broad array of capabilities that drove group-based communication and collaboration through a peer-to-peer model.  While these benefits enabled teams of individuals to connect regardless of network or network conditions, the world of connectivity has fundamentally changed since 2010.  In the age of ubiquitous connectivity that allows cloud services to deliver capability across organizational and network boundaries, solutions such as Microsoft Teams in Office 365 offer better capabilities and access through web and desktop clients as well as mobile apps.

For example, if Groove was primarily used for persistent chat and workspace capabilities choose Microsoft Teams.

Microsoft Teams is a complete chat and online meetings solution that allows you host audio, video, and web conferences, and chat with anyone inside or outside your organization.  In addition, Microsoft Teams makes teamwork easy, you can coauthor and share files with popular Office 365 apps like Word, Excel, PowerPoint, OneNote, SharePoint, and Power BI.  With Microsoft Teams you can also integrate apps from Microsoft and third-party partner services to tailor your process, increasing teamwork and productivity.

Learn more about Microsoft Teams at https://products.office.com/en-us/microsoft-teams/group-chat-software.

If Groove was primarily used for working with information offline choose OneDrive for Business and/or the SharePoint app. 

OneDrive connects you to all your files in Office 365, so you can share and work together from anywhere while protecting your work.  With OneDrive you can easily store, access and discover your personal and shared work files in Office 365, including Microsoft Teams, from all your devices. Edits you make offline are automatically uploaded next time you connect.  OneDrive also allows you to work faster and smarter with anyone inside or outside your organization. Securely share files and work together in real-time using Word, Excel and PowerPoint across web, mobile and desktop.

Learn more about OneDrive at https://products.office.com/en-us/onedrive-for-business/online-cloud-storage.

If Groove was primarily used for groups and calendaring, choose Office 365 Groups. 

Office 365 Groups is a service that works with the Office 365 tools you use already so you can collaborate with your teammates when writing documents, creating spreadsheets, working on project plans, scheduling meetings, or sending email.  Groups in Office 365 let you choose a set of people that you wish to collaborate with and easily set up a collection of resources for those people to share. Resources such as a shared Outlook inbox, shared calendar or a document library for collaborating on files.

Learn more about Office 365 Groups at https://support.office.com/en-us/article/learn-about-office-365-groups-b565caa1-5c40-40ef-9915-60fdb2d97fa2.

Resources

Transition to OneDrive for Business from the Groove-based sync client [https://support.office.com/en-us/article/Transition-from-the-previous-OneDrive-for-Business-Sync-Client-4100df3a-0c96-464f-b0a8-c20de34da6fa]

Algunos de ustedes me han preguntado desde hace tiempo sobre la virtualización de escritorio con Windows 10,  y estoy muy emocionado de que hace un par de semanas se hizo el anuncio de integrar Microsoft 365 con Azure para poder proporcionar una única experiencia de multi-session de Windows 10 dando como resultado Windows Virtual Desktop.

Esto nos permitirá contar con la mejor experiencia de escritorio virtual de Windows y Office en Azure.

Actualmente es el único servicio basado en la nube que ofrece una experiencia de Windows 10 multi-user, optimizado para Office 365 Pro Plus.

Con Windows Virtual Desktop podemos implementar y escalar Windows y Office en Azure en minutos con seguridad incorporada y reglas de cumplimiento.

Les dejo el enlace del anuncio en el blog Microsoft 365 adds modern desktop on azure y también el video de la sesión de Inspire donde se presentó.

Tengan por seguro que en cuanto tengamos más información estaré escribiendo sobre Windows Virtual Desktop.

Pueden registrarse aquí para participar en el public preview en cuanto esté disponible.

Saludos,

Hugo Rodriguez (HUGOR)

Recuerda enviar tus requerimientos de preventa o deployment a latampts@microsoft.com

こんにちは。Azure Identity チームの金森です。

今回は Azure AD Connect (AADC) ツールを利用している環境で "オンプレミス AD ユーザー B にセットしたメール アドレス値が同期先 AAD ユーザーに反映されない" という事象について AADC の動作仕様を元に解説します。今回 AADC の動作についての応用編となりますので、先に基本的な考え方については、以下の Blog もぜひご参照いただけたら嬉しいです。

Azure AD Connect : ディレクトリ同期の基本的なポイント
https://blogs.technet.microsoft.com/jpazureid/2018/05/09/synchronization-basic-point/

まず、AADC の基本的な動作を整理します。

• AADC は、オンプレミス AD と AAD 間の [中間データベース] の位置づけとなり、オンプレミス AD と AAD のディレクトリに対して、それぞれに対応した Connector と呼ばれるモジュールを作成して対話を行います。
• Connector は通信対象ディレクトリとやり取りするデータを、Connector Space (CS) と呼ばれるデータベースに一時的に格納 (ステージング) します。
• CS のデータを元に [あるオブジェクトがそれぞれのディレクトリに対してどのようなデータを持つか] という統合されたオブジェクト データが生成され、このデータは Metaverse (MV) と呼ばれるデータベースに格納されます

以上の動作は既定では30分毎に行われており、これは次のような流れで行われます。

Synchronization Service Manager での表示は下から上へ、となります。

1. Delta or Full Import : オンプレ AD からオブジェクト情報を Import する処理 (AD 用 CS にステージング)
2. Delta or Full Import : AAD からオブジェクト情報を Import する処理 (AAD 用 CS にステージング)
3. Delta or Full Synchronization : オンプレ AD 用 CS のデータを MV と同期して更新する
4. Delta or Full Synchronization : AAD 用 CS のデータを MV と同期して更新する
5. Export : 現在の MV のデータを元に更新された AAD 用 CS のデータを AAD へ Export する処理
6. Export : 現在の MV のデータを元に更新されたオンプレ AD 用 CS のデータをオンプレ AD へ Export する処理

AADC の管理画面である Synchronization Service Manager で見た場合のイメージを以下に示します。

同期済みユーザーの属性を変更する際の動作について

ここからは冒頭で記載しました同期済みのユーザーの属性を変更したが反映されないという事象について解説していきます。今回は、具体的にお問い合わせをいただきましたメール アドレスを例として、オンプレミス AD ユーザー A に設定されたメール アドレスをユーザー B に付け替えるようなケースを元に説明していきます。ここで先に AADC の同期動作を考える上で大事な特徴を挙げておきます。

ポイント : 1回の同期で [1 つの値] を [複数オブジェクト間で削除/追加] した場合、タイミングによっては追加した値が AAD ユーザー側に同期されない場合がある

この特徴を念頭に AADC で属性を変更する際の留意点を言ってしまうと削除する情報を先に AAD に同期して、追加する情報は後から同期しましょうということになるのですが、その心を説明します。

例えば、以下のような運用処理が行われたとします。

• オンプレミス AD ユーザー A を [旧 AD ユーザー] とします。
• オンプレミス AD ユーザー B を [新 AD ユーザー] とします。
• それぞれの AD ユーザーに呼応して、AAD 側にも2つの新旧ユーザー オブジェクトが同期により作成されています。
• [旧 AD ユーザー] が使用していたメール アドレスを [新 AD ユーザー] に使用させたいような状況が生じました。

この場合、オンプレミス AD 側では以下 2 つの操作を行います。

a. 旧 AD ユーザーのメール アドレス (mail) 属性をダミー値に変更 (null としても良いですが、今回はダミー値に変更することを前提で話を進めます)

b. 新 AD ユーザーのメール アドレス (mail) 属性に、旧 AD ユーザーが使用していたアドレス値をセット

上記 a、b の変更を 1 回のディレクトリ同期で処理した場合、AAD に向けて同期されるオブジェクトの順序によっては、新 AAD ユーザーに変更が反映しない場合があります。

前述の同期処理の [5. の AAD への Export] 時に a と b の処理を AAD に反映させる処理が試みられますが、a と b のどちらの処理が先に行われるかは担保されません。このとき b の処理 (新 AAD ユーザー オブジェクトへの同期) が先に行われると、新 AAD ユーザーに反映したかったメール アドレスが旧 AD ユーザーで利用されているために更新が行われず、結果として a の処理のみが行われて b の処理が行われません。この状況をもう少し詳しく記載したのが下図になります。

このような状態になった場合、"次回の同期で新 AD ユーザーの mail 属性値が改めて新 AAD の mail 属性に更新されるのでは？" と考える方もいるかもしれません。

しかし、次回の同期時には AD からの Import において、AADC の MV 情報は何も更新されないため、AADC は AAD に改めて Export すべき更新が無いと判断します。

つまり、次回同期でも新 AD ユーザーの mail 属性値は更新されず Null のままとなりオンプレミス AD の情報とも不整合が生じた状態となります。

この場合の対処としては、オンプレミス AD にて新 AD ユーザーの mail 属性値を変更して同期を行い、再度目的の値に戻して同期を行います。具体的な作業は次のとおりです。

• 新 AD ユーザーの mail 属性に一時的な値 (username-temp@contoso.com 等) をセットする
• この状態で一度 AADC による同期を行い、一時的なメール アドレス値を新 AAD ユーザーの mail 属性に反映させる
• 改めて新 AD ユーザーの mail 属性に本来セットしたかった値 (username@contoso.com 等) をセットする
• 再度 AADC による同期を行い、本来の目的であるメール アドレス値を新 AAD ユーザーの mail 属性に反映させる

そもそものお話として、上記のような症状が発生することが無いよう削除する情報を先に AAD に同期して、追加する情報は後から同期する運用をぜひ留意いただければ幸いです。

以下の技術情報でも、AADC のアーキテクチャに関する情報を公開しておりますので、興味を持っていただけた方はぜひ併せてご参照ください。

Azure AD Connect sync: アーキテクチャの概要
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/concept-azure-ad-connect-sync-architecture

上記内容が皆様の参考となりますと幸いです。どちら様も素敵な AAD ライフをお過ごしください。

ご不明な点等がありましたら、ぜひ弊社サポート サービスをご利用ください。

※本情報の内容（リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

（この記事は2018年8月30日にHybrid Cloud Best Practices Blogに掲載された記事Why it is important to create Azure support requestsの翻訳です。最新情報についてはリンク元のページをご参照ください。）

Azure ワークロードで何らかの異常が発生した場合は、サポート要求を作成することが重要です。たとえば、CSP パートナー様がお客様のワークロードを自社やお客様のデータセンターから Azure に移行し、その後 1 か月も経たないうちに、VM の実行速度が低下したり、サービス ログにエラーが記録されたり、Web アプリが数時間おきにクラッシュしたりするなどの異常が発生するようになった場合を想像していただければ、重要性がおわかりになるでしょう。

パブリック クラウドは非常に複雑で、どんな異常が発生してもおかしくありません。高水準の SLA が適用されているとは言え、あらゆる問題を防止できるわけではありません。バグが発生しないプログラムは夢物語に過ぎないので、Azure リソースで異常が発生した場合の対応や問い合わせ先について知っておく必要があります。

覚えておいていただきたいのは、次の 1 点です。Azure ワークロードで異常が発生した場合は、Azure ポータルでサポート要求を作成します。他に近道はありません。問題を解決するためは、サポート要求の作成が真っ先に必要です。

作成はすぐに完了します。Azure ポータルに移動して、[ヘルプとサポート] をクリックし、[問題の種類] から [Technical]、[Billing]、[Quotas]、[Subscription Management]  のいずれかを選択し、サブスクリプションやサポート プランを指定して、その他の詳細情報を入力します。

問題が発生したときは、マイクロソフトの担当者に直接問い合わせたり、ソーシャル ネットワークでマイクロソフトを非難したりする前に、まずはサポート要求を作成し、Azure サポート チームにご連絡ください。サポート チームが何らかの理由で対応できない場合は、チケット ID をお知らせいただくようお願いいたしますが、まずサポート要求の作成を必ず行ってください。エンジニアリング チームがチケット ID を基に問題発生時の状況を詳しく把握できれば、お問い合わせに効率良く対応できるようになります。

サポート要求を作成すると、マイクロソフトのヘルプデスクにチケットが割り当てられるだけでなく、同一リージョン内、同一ラック内、同一物理サーバー内の他のワークロード (Azure では他のユーザーのサービスも実行されています) の状況も含めて、お客様の環境に関する追加情報を収集および記録を行うスクリプト群が実行されます。多数のサービスと相互接続されているサービスでは、原因の特定は容易ではありません。サポート要求を作成すると、詳細なログが収集、保存され、サポート エンジニアが全体の状況を把握できるようになります。

注: CSP モデルでは、お客様のテクニカル サポートの窓口となるのは CSP パートナー様です。お客様は、Azure ポータルでサポート要求を直接作成することはできず、パートナー様が提供するオプションをご利用いただくことになります。CSP パートナー様は、お客様の代理としてサポート要求を作成し、問題をマイクロソフトにご連絡いただくことができます。CSP 間接モデルをご利用の CSP リセラー様の場合は、間接プロバイダー (販売店) 様が窓口となります。詳しくはこちらのページをご覧ください。

問題を早く解決したい場合は、パートナー様が簡単なトラブルシューティングを行い、問題の要因を検証してください。たとえば、VM で問題が発生した場合は、次のような簡単なテストを実施して、問題の原因を絞り込みます。

1. 同じ VM を Azure の他のリージョンで実行する - 問題が他のリージョンでも発生しているのか、または特定のリージョンのみかを判断します。
2. サイズを変更して他の VM ファミリを使用する - 別の基盤ハードウェアを使用します。
3. VM を作成し直す - ゲスト OS の構成に問題がある可能性があります。

いずれにせよ、まずは必ずサポート要求を作成し、Azure サポート エンジニアの指示に従ってください。エンジニアが質問をしたり、情報のご提供をお願いしたりする場合がありますが、問題解決のためにご協力をお願いいたします。

パートナー センターについて

CSP 直接モデルパートナー様や CSP 間接プロバイダー様の場合、パートナー センター側で問題が発生することもあります。Azure エンジニアリング チームとパートナー センター チームは互いに連携していますが、それぞれ独立したチームであり、テクニカル サポートのプロセスも異なります。Azure に関する問題のサポート要求をパートナー センター ポータルで作成しても、Azure ヘルプデスクのシステムでサポート要求が自動的に作成されることはなく、その逆も同様です。また、問題を担当する Azure エンジニアが CSP パートナー様への対応経験がない場合、パートナー センターについて詳しくない可能性もありますが、その担当者が特定の Azure サービスのエキスパートではないということではありません。

パートナー センターでサポート要求を作成するには、パートナー センター ポータルにサインインし、[Support]、[Partner support requests]、[New request]  の順に選択します。

問題発生時の手順をまとめると、次のとおりです。

1. パートナー センター ポータル、パートナー センターの API、CSP の請求、その他パートナー センターに関する問題が発生した場合は、パートナー センター ポータルでサポート要求を作成し、詳しい状況をお知らせください。
2. Azure リソース (VM、ストレージ、アカウント、Web アプリ) に関する問題、またはパートナー センターと関連のない問題が発生した場合は、問題が発生したお客様の代理として、Azure ポータルでサポート要求を作成してください。

昨日 10 月 10 日 (水) (日本時間) に、Internet Explorer / Microsoft Edge の累積セキュリティ更新プログラムを公開しました。

Internet Explorer / Microsoft Edge 向けの更新プログラム含め、今月の更新プログラムについては下記の資料をご覧ください。
2018 年 10 月のセキュリティ更新プログラム (月例)

====================================
■ Internet Explorer 累積更新の詳細情報
====================================
この更新プログラムの詳細については、以下の公開情報をご確認ください。

Cumulative security update for Internet Explorer: October 09, 2018
(日本語版) Internet Explorer 用の累積的なセキュリティ更新プログラム: 2018 年 10 月 9日

====================================
■ IE の更新プログラムを含む各 OS のロールアップの公開情報
====================================
各 OS のロールアップに関する修正や変更点に関しましては、以下の公開情報よりご確認いただくことが出来ます。

Windows Server 2008
Windows Server 2008 R2, Windows 7
Windows Server 2012
Windows Server 2012 R2, Windows 8.1
Windows 10 (Version 1507)
Windows 10 (Version 1607 - Anniversary Update), Windows Server 2016
Windows 10 (Version 1703 - Creators Update)
Windows 10 (Version 1709 - Fall Creators Update)
Windows 10 (Version 1803 - April 2018 Update)

====================================
■更新プログラムのダウンロード
====================================
各環境向けの Internet Explorer / Microsoft Edge の更新を含むアップデートは、Microsoft Update カタログよりダウンロードできます。

Internet Explorer の累積的なセキュリティ更新プログラム
セキュリティ マンスリー品質ロールアップ (Windows Server 2008)
セキュリティ マンスリー品質ロールアップ (Windows Server 2008 R2, Windows 7)
セキュリティ マンスリー品質ロールアップ (Windows Server 2012)
セキュリティ マンスリー品質ロールアップ (Windows Server 2012 R2, Windows 8.1)
Windows 10 (Version 1507)
Windows 10 (Version 1607 - Anniversary Update), Windows Server 2016
Windows 10 (Version 1703 - Creators Update)
Windows 10 (Version 1709 - Fall Creators Update)
Windows 10 (Version 1803 - April 2018 Update)

※ 1507 は LTSC (旧 LTSB) 向けです。
※ Windows 10 Version 1507 および Version 1511、Version 1607 (の Home および Pro エディション) はそれぞれ下記のとおり更新プログラムの提供が終了しています。安全にご利用いただくためにも Version 1703 以降への移行をご検討ください。
Windows 10 Version 1507 の CB/CBB のサービス終了
CB と CBB で Windows 10 Version 1511 のサービス終了 (2017 年 7 月 27 日)
Windows 10 バージョン 1607 半期チャネルのサポート終了 (2018 年 2 月 1日)
Windows 10 のサービスとサポートの変更 (2018 年 9 月 6日)

※ Windows 10 について
いくつかのバージョンではセキュリティ更新プログラムの適用の前に、最新のサービススタックの更新プログラムを適用する必要があります。
上記に記載した公開情報をご確認ください。

====================================
■バージョン情報
====================================
更新プログラムを適用すると、Internet Explorer 11 の更新バージョンに記載の公開情報の番号は以下のようになります。
- 各 OS 共通 : KB4462949

Internet Explorer ならびに Microsoft Edge をより安全にご利用いただくため、できるだけ早期に今月公開のセキュリティ更新プログラムを適用くださいますようお願いいたします。

執筆者: Tad Brockway (General Manager, Azure Storage & Azure Stack)

このポストは、2018 年 9 月 24 日に投稿された Introducing the public preview of larger Managed Disks sizes の翻訳です。

Azure Managed Disks は、仮想マシンでご利用いただける耐久性と可用性に優れた永続ストレージを提供するソリューションです。マイクロソフトは、パフォーマンス特性の異なる 3 種類のディスクをご用意しています。Premium SSD は、データベースやオンライン トランザクション システムなどの入出力処理の負荷が高いワークロードに最適な、高パフォーマンスと低レイテンシを実現するソリューションです。Standard SSD は、新たに追加されたエントリ レベルの SSD サービス レベルです。IOPS が比較的低い場合に安定したパフォーマンスを実現し、Web サーバーやデータ ウェアハウス アプリケーションに最適です。Standard HDD は、磁気ハード ドライブ上で提供されるコスト効率の高いディスクで、開発/テストのワークロードや利用頻度の低いストレージに最適です。

本日マイクロソフトは、Azure Managed Disks のすべてのディスク タイプで、容量とパフォーマンスの両方のスケーラビリティ目標を大幅に引き上げることを発表します。具体的には、Premium SSD で、最大のディスク サイズが 32 TiB に、ディスク IOPS が 20,000 IOPS に、帯域幅が 750 MBps に引き上げられます。VM ごとにサポートされる最大ディスク容量は 8 倍にもなり、VM の SKU とは無関係にストレージをより柔軟に拡張できるようになります。大容量のディスクが利用できれば、複数のディスクにわたる複雑な RAID 構成を管理する負担を解消できます。これにより、複数の Azure Disks をストライプ構成にすることなく、比較的大容量のディスク上で稼動しているアプリケーションを Azure に簡単に移行できるようになります。大容量のディスクのパフォーマンス目標が 3 倍になったことで、Premium SSD ではより幅広いトランザクション ワークロードを実行できるようになり、Standard SSD ではビッグ データのワークロードのパフォーマンスが向上します。

今回のリリースでは、Managed Disks に 9 つの新しい SKU が追加されます。以下の表で、新しい SKU のパフォーマンス目標をご確認ください。ディスク IOPS と帯域幅の期待値を達成するには、ディスク パフォーマンスを最適化する方法に関するガイダンスをご覧いただくことをお勧めします。

Premium SSD ディスク

Premium SSD は、一貫して高パフォーマンスと低レイテンシが求められる Dynamics AX や Dynamics CRM などのエンタープライズ アプリケーションや、SQL Server や MongoDB などのデータベース ワークロードに最適です。

Standard SSD ディスク

Standard SSD は、Web サーバー、低 IOPS のアプリケーション サーバー、低いレベルの IOPS で安定したパフォーマンスが求められるエンタープライズ アプリケーションに適しています。Standard SSD は現時点で、Azure が提供されているすべてのリージョンでご利用いただけます。

Standard HDD ディスク

磁気ドライブ上で提供される Standard HDD は、開発/テストのシナリオに適した最もコスト効率の高いソリューションです。

注:

1.   Standard SSD と Standard HDD の新しいディスク SKU でパフォーマンス目標を達成するには、こちらに記載されている推奨の VM シリーズをご利用ください。

利用を開始するには

Azure Powershell または Azure CLI を使用して、Managed Disks の新しいディスクを今すぐお試しください。Managed Disk の大容量ディスクのパブリック プレビューは、米国中西部でご利用いただけます。今後 1 か月の間に、プレビューの対象を他のリージョンにも拡大していく予定です。プレビューの対象となるリージョンの最新のリストについては Azure のディスクに関する FAQ を、プレビュー機能の利用に関する一般的な情報については Azure のプレビュー機能のガイドラインをご覧ください。Managed Disks をご利用でない場合は、今すぐ非管理対象ディスクから管理対象ディスクに変換して、上記の新しいサービスのご利用を始めてください。

Azure Disks のラインアップについては、こちらのページにアクセスしてください。価格の詳細については、Managed Disks の価格ページをご覧ください。

今後について

近日中に追加のシナリオのサポートを発表する予定ですので、どうぞご期待ください。以下のような機能強化が予定されています。

• Azure Portal における大容量のディスクのサポートと既存のディスクのサイズを増やせる機能
• Managed Disks で大容量ディスクに対応するためのインポート/エクスポート機能
• Azure Backup と Azure Site Recovery における 4 TiB を超える大容量ディスクのサポート

プレビューに関するフィードバックのお願い

今回ご紹介した機能について、皆様からのフィードバックをお待ちしております。AzureDisks@microsoft.com までメールでお寄せください。

最後までお読みいただきありがとうございました。
Azure Disks チーム

執筆者: Tad Brockway (General Manager, Azure Storage & Azure Stack)

このポストは、2018 年 9 月 24 日に投稿された Announcing Ultra SSD – the next generation of Azure Disks technology (preview) の翻訳です。

最も高負荷でミッション クリティカルなワークロードをクラウドに移行したい。そんなお客様のニーズに応えるべく、マイクロソフトはこのたび Microsoft Azure プラットフォーム向けの新しいディスク サービスを発表しました。Azure Ultra SSD は、入出力の負荷が最も高いワークロードにも対応できる新たなソリューションです。Ultra SSD はレイテンシが 1 ミリ秒以下というかつてないほどスケーラブルなパフォーマンスを実現する新しい Azure Managed Disks サービスであり、低レイテンシと高い IOPS が一貫して求められる非常に負荷の高いワークロードに適しています。Ultra SSD なら、最も要件の厳しいアプリケーションにも対応する業界最高レベルの IOPS、スループット、レイテンシをクラウド環境で実現できます。

Ultra SSD の登場により、Azure Virtual Machines でご利用いただける永続ディスクは、Ultra SSD、Premium SSD、Standard SSD、Standard HDD の 4 種類となりました。これは、業界で最も包括的なディスク サービスのラインナップといえます。なお、Azure Ultra SSD は現在、米国東部 2 リージョンでパブリック プレビューとして提供されています。ぜひこちらのフォーム (英語) に記入してアクセス権を申請していただき、ご利用を開始してください。

Ultra SSD Managed Disks のメリット

Ultra SSD は、他の Azure ディスク サービスの高い可用性はそのままに、最上位のパフォーマンスを実現するソリューションです。さらに、仮想マシンを再起動することなく、ディスク パフォーマンスを動的に調整することもできます。Ultra SSD は、SAP HANA や、SQL や Oracle といったトップ クラスのデータベース、トランザクションの多いワークロードなどの入出力処理の負荷が高いワークロードに適した設計となっています。

仮想マシン

Ultra SSD Disks は、Premium SSD に対応するすべての Azure Virtual Machines でご利用いただけます。ただし、プレビュー期間にサポートされる VM の種類は、ES/DS v3 VM インスタンスに限られます。

スケーラビリティ目標とパフォーマンス目標

Ultra SSD Disks は、4 GiB から 64 TiB までの固定サイズで提供され、IOPS とスループットを別個に構成できる柔軟なパフォーマンス構成モデルを採用しています。

では、主な特長をいくつか見ていきましょう。

• ストレージ容量

Ultra SSD では、4 GiB から 64 TiB までの幅広いサイズのディスクをご利用いただけます。

• IOPS

Ultra SSD では IOPS の上限として 300 IOPS/GiB、最大でディスクあたり 16 万 IOPS に対応できます。プロビジョニングした IOPS を実現するには、選択したディスクの IOPS が VM の IOPS を下回るようにしてください。また、ディスクあたり 8 万を超える IOPS を実現したい場合は、Ultra SSD プレビュー プログラムの一環として近日提供予定の、新しい種類の VM をプロビジョニングする必要があります。

• スループット

Ultra SSD Disks の場合、単一のディスクのスループット上限は、プロビジョニングされる 1 IOPS あたり 256 KiB/秒で、最大でディスクあたり 2,000 MB/秒 (MB/秒 = 1 秒あたり 10 の 6 乗バイト) になります。

次の表は、ディスク サイズごとにサポートされる構成をまとめたものです。

Ultra SSD Managed Disks のサービス内容

価格

Ultra SSD の価格は、プロビジョニング済みディスク サイズ、プロビジョニング済み IOPS、プロビジョニング済みスループットに応じて決まります。限定プレビューでご利用いただける新しい Ultra SSD の価格の詳細については、Azure Disks の価格に関するページをご覧ください。

利用を開始するには

Ultra SSD Disks は、Managed Disks として作成、管理できます。また、Ultra SSD Disks を使用した VM のデプロイには、Azure Resource Manager (ARM) テンプレートをご活用いただけます。プレビュー版 Ultra SSD Disks の利用を始める方法の詳細については、ドキュメントのページ (英語) をご覧ください。

マイクロソフトでは今後数週間のうちに、Portal のサポートを提供する予定です。また、ディスク スナップショット、Azure Backup、Azure Site Recovery、Virtual Machine Scale Sets、Azure Disk Encryption、ディスク タイプ間での移行といった開発中の追加機能も間もなく提供されます。ディスクに対するすべての操作の詳しい手順については、Managed Disks のドキュメントを参照してください。

現時点で、Ultra SSD は米国東部 2 リージョンでご利用いただけます。プレビューへの参加にご関心をお持ちの方は、こちらのフォーム (英語) に記入してアクセス権を申請してください。プレビュー期間中にはその他のリージョンも追加される予定ですので、ドキュメントのページ (英語) を引き続きチェックしてください。

In late June I was approached to record some short technical overview videos on Microsoft 365 Business, and now that they are recorded and published, it’s time to review them, and provide some additional resources and any important updates since the content was created. This is the twelfth video in the series, and the focus is on Windows Autopilot.

Windows Autopilot provides an alternative approach to device lifecycle management in the organisation, including assisting with the initial deployment and ongoing management and eventual device retirement. The capabilities of Windows Autopilot are constantly evolving, and this week coming at Microsoft Ignite there are several sessions which will cover some of the changes that have been introduced in recent Windows 10 releases. If you want to get a better idea of the new capbilities coming in Autopilot, it's good idea to sign up for the Windows Insider program  and sign up for the fast release or skip ahead if that option is available. This way you get to see the new capabilites that Windows 10 releases will enable, with Intune exposing some of these capabilitiess pretty early on. That leads in to what I will focus on in this post, the different ways you can get started with AutoPilot in Microsoft 365 Business.

The first option, and probably the safest starting point, is to use the Windows Autopilot capabilities exposed in the Microsoft 365 Business Admin Center. This is a safe, known option to choose. It may not expose everything that gets added to Windows Autopilot over time, but at least you know the features you are deploying are supporting on current WIndows 10 releases rather than accidentally trying to roll out a feature that's in preview.

Microsoft 365 Business Admin Center

Over time you will probably start depending more on some of the capabilities that Intune exposes. In the video you can see that I have made a few additional customisations that change the first sign in experience for the user, primarily highlighting how far through the different stages has progressed, as well as the ability to permit or block the user from accessing the desktop prior to the completion of the enrolment and device policies.

Managing Windows Autopilot with Intune 

For partners that want to register and configure devices across multiple tenants, the Partner Center can be used.

Windows Autopilot in the Partner Center

The final option is the original way of adding devices to the tenant, using Microsoft Store for Business. Moving forward this is probably the option you are least likely to use unless you have a very specific requirement to use that portal. While Microsoft 365 Business was in early preview, this was the recommended approach, but then it was integrated directly into the Admin Center.

Microsoft Store for Business

I'm keeping this post fairly light in order to be able to dig a bit deeper with Windows Autopilot content as Ignite 2018 progresses. I'll get a chance to spend some time with a few of the members of the Autopilot team, and see what guidance they are currently giving for organisations of all sizes.

注: この内容は一般の方を対象とした記述にしています。

今日はセキュリティ基本対策 5 か条の第 5 条「バックアップの取得を設定する」についてご紹介します。

第 1 条 最新の状態で利用する

第 2 条 アクションセンターで PC のセキュリティやメンテナンス状況に問題がないかを確認する

第 3 条 アカウントやパスワードを管理する

第 4 条 暗号化を行う

第 5 条 バックアップの取得を設定する

ビデオでもご確認確認いただけます。

セキュリティ基本対策5か条 - 5. バックアップの取得を設定する [YouTube]

バックアップはなぜ必要？

ランサムウェアにより PC 内のデータが暗号化されたり PC がロックされてしまったりした場合でも、バックアップを OneDrive などのクラウド上や USB メモリなどに定期的に取得しておくことでバックアップ時点でのデータを復旧することができます。

(ランサムウェアの画面。日本人を狙う場合は日本語表示のものが使われることも多い)

(バックアップからの復旧のイメージ)

いざという時にデータを確実に復旧できるよう、バックアップからの復旧テストも定期的に実施してください。

バックアップ先としてのクラウドの利用

バックアップの保存先としてクラウドを利用するのは 1 つの方法です。OneDrive などのデスクトップ クライアントを利用することで PC 上のデータとクラウド上のデータが自動同期され、バックアップされます。ただし PC 上のデータとクラウド上のデータが同期される場合、ランサムウェアに感染し暗号化された PC 上のファイルが最新バージョンとしてクラウド上に自動同期される可能性があります。そのためランサムウェアの感染を確認したら、直ちにネットワークを遮断することが重要です。

One Drive for Business / OneDrive ではバージョン履歴の機能を利用して、正常なバージョンのファイルを復元することができます。

(OneDrive for Business のバージョン履歴の画面)

(OneDrive のバージョン履歴の画面)

さらに安全を確保するために
コントロールされたフォルダー アクセスを活用する

コントロールされたフォルダー アクセス機能 (Controlled Folder Access) は、Windows 10 Fall Creators Update (1709) で追加されたセキュリティ機能で、ランサムウェア対策としても有効です。有効にすると、既定でドキュメントやその他の重要なデータが保存されている共通フォルダーを保護しますが、保護する対象のフォルダーは利用状況に合わせて Windows Defender セキュリティ センターから変更することができます。

コントロールされたフォルダー アクセスはフォルダーへのアクセスを制限し、承認されたアプリからのみアクセスを許可するようにします。そのため、悪意のあるアプリケーションによって、保護されたファイルやフォルダーが不正に変更されることがありません。もしランサムウェアが PC に侵入しても、「コントロールされたフォルダー アクセス」が有効になっていればランサムウェアによる暗号化を防ぐことができます。また、アクセスや変更の試みが確認された場合はユーザーに通知されます。

(アクセスや変更の試みが確認された場合のユーザーへの通知例)

ランサムウェア感染時の対処については、「ランサムウェア感染時の対処についての考察」も参考にしてください。

Now that Ignite is over and jetlag has mostly subsided it's time to highlight some of the sessions on Windows Server 2019 that will give you an idea of what's included.

Windows Server 2019: What’s new and what's next

Windows Server is a key component in Microsoft's hybrid and on-premises strategy and in this session, hear what's new in Windows Server 2019. Join us as we discuss the product roadmap, Semi-Annual Channel, and demo some exciting new features.

Windows Server 2019 deep dive

Hybrid at its core. Secure by design. With cloud application innovation and hyper-converged infrastructure built into the platform, backed by the world’s most trusted cloud, Azure, Microsoft presents Windows Server 2019. In this session Jeff Woolsey - Principal Program Manager - dives into the details of what makes Windows Server 2019 an exciting platform for IT pros and developers looking into modernizing their infrastructure and applications.

What's new in Remote Desktop Services on Windows Server 2019

Remote Desktop Services evolved along with Windows Server to become one of the main platforms for providing users centralized access to the applications they need. In this session, learn about the enhancements in Windows Server 2019 and how these combined with the power of Azure to fit your virtualization needs.

Retire your old file servers with Storage Migration Service in Windows Server 2019

Support for Windows Server 2008 ends in 15 months and Windows Server 2012 mainstream support ends in two weeks; what are you going to do about it? Windows Server 2019 introduces the new Storage Migration Service feature to help your organization seamlessly move off of legacy servers onto new targets on-premises and in Azure, without impacting your users, network, or security settings. Learn how to deploy the Storage Migration Service, its integration with Azure File Sync and Azure Migrate, and its future roadmap for NFS, SAN, NAS, and block. Then watch Ned migrate a legacy Windows Server to Windows Server 2019 in under five minutes while using the new Windows Admin Center management system!

Windows Server 2019 System Insights: Simplified ML for the intelligent edge

System Insights is a new feature and platform in Windows Server 2019, which introduces native predictive analytics capabilities to Windows Server. These predictive capabilities locally analyze Windows Server system data, helping you proactively detect and address problematic behavior in your deployments. In this session, learn how to manage these predictive capabilities, visualize prediction outputs using Windows Admin Center, create remediation actions, and even write your own capabilities to analyze system data.

Компания Microsoft выпустила обновления безопасности, закрывающие 49 уязвимостей, относящиеся к продуктам Microsoft Windows, Edge, Internet Explorer, Office, SharePoint Server, Exchange Server, SQL Server Management Studio и ChakraCore.

Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже.

Более подробная информация по уязвимостям с указанием количества, типа, способа обнародования, наличия рабочего эксплоита и рейтинга CVSS представлена в таблице ниже.

Обратите внимание

На следующие уязвимости и обновления безопасности следует обратить внимание:

Windows/Windows Server

CVE-2018-8423 | Microsoft JET Database Engine Remote Code Execution Vulnerability

CVE-2018-8493 | Windows TCP/IP Information Disclosure Vulnerability

CVE-2018-8453 | Win32k Elevation of Privilege Vulnerability

CVE-2018-8432 | Microsoft Graphics Components Remote Code Execution Vulnerability

Sharepoint Server

CVE-2018-8498 | Microsoft SharePoint Elevation of Privilege Vulnerability

SQL Server

Server Management Studio Vulnerabilities CVE-2018-8527 | CVE-2018-8532 | CVE-2018-8533

Microsoft Exchange Server

CVE-2018-8265 | Microsoft Exchange Remote Code Execution Vulnerability

CVE-2018-8448 | Microsoft Exchange Server Elevation of Privilege Vulnerability

CVE-2010-3190 | MFC Insecure Library Loading Vulnerability

Также стоит внимательно изучить свежую статью от команды разработчиков Exchange.

Рекомендательные документы

Были выпущены следующие рекомендательные документы по безопасности:

Security Advisory 180026 | Microsoft Office Defense in Depth Update

Дополнительная информация

Для Вашего удобства предлагаю загрузить сводную таблицу в формате Microsoft Excel, которая содержит всю информацию о данном выпуске бюллетеней безопасности Microsoft с возможностью фильтрации и поиска по всевозможным параметрам.

Вы также можете посмотреть запись нашего ежемесячного вебинара "Брифинг по безопасности", посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Артём Синицын

руководитель программ информационной безопасности, Microsoft

@ArtyomSinitsyn

みなさん、こんにちは。

.NET Framework での TLS 1.1 および 1.2 対応について、以前 .NET Framework で TLS1.1 および 1.2 を有効化する方法 という記事を投稿しています。
しかしながら、記載の内容がわかりづらいこと、また、記事の公開以降に Update できていなかった点があるため、まとめとして本記事を作成しました。
今後のご対応の一助となれましたら大変うれしく思います。

今年我們預計將有來自 100 多個國家的 100 萬名學生於 11 月 13 日 - 11 月 14 日在 Skype-a-thon 期間進行串聯。每一年， 這 48 小時的全球學習活動將全世界課堂彙集在一起，使用 Skype 加深學生對世界的理解，並協助他們成為世界公民。

參與的學生們將通過 Skype 旅行 進行 "線上旅行"，與數以千計的其他教室學生談論諸如保護、歷史、動物、電腦科學等主題，或簡單分享歌曲和舞蹈、遊戲、閱讀、故事和虛擬實地考察。

今年的活動額外的特別：今年微軟與非營利組織 WE 合作，只要每 400 個虛擬里程， 微軟將進行贊助給 WE 學校。WE 學校是一個免費的服務學習專案，幫助全球的學生與 WE 村落的學校建立一個整體、可持續的國際發展模式，幫助全球的學生。

WE 的模式將會影響五大支柱 - 教育、水、健康、食物和機會。微軟的捐贈將支援 WE 村落的教育支柱，為海外兒童提供教育機會、支援聯合國永續發展目標 #4 - 教育品質。如果我們達到 1400 萬個虛擬里程的目標，我們將可支援九個村莊合作夥伴社區中多達 3.5 萬名兒童。這些捐贈將根據每個村莊的獨特需求量身定制、從建造新教室和圖書館到學校用品，再到教師培訓。

WE 的聯合創始人 Craig Kielburger 和我們一樣興奮，最近與我分享說他迫不及待地想要 “擁抱在這次活動中創造的集體能量和激情，並將其轉化為成千上萬有需要的兒童的真正影響“。

除了教導孩子們回饋，Skype-a-Thon 仍是一種有趣和吸引人的方式，讓教師可以幫助學生建立同理心和同情心。Hearts on Fire 執行董事 Sara Arlotti 透過與 Skype-a-Thon 合力，激勵全球數千名學生參與在他們自己的社區中舉辦的關於同情心與變革的 #BeTheSpark 活動。她說，她相信年度課程 “透過將社會變革的搖滾明星帶入課堂，打開了學生和老師的心靈。”

立即報名！

1. 註冊並下載 Skype-a-Thon Step by Step 活動計劃 來幫助您組織和準備學生的虛擬 Skype 冒險。
   
2. 從過去帶領學生參與過 Skype-a-Thon Flipgrid 的老師那裡獲得想法並學習。
3. 在 11 月 13 至 14 日，安排與其他教室或是來自 Skype in the Classroom 網站的演講嘉賓進行 Skype 通話，以便將里程計入我們的目標。
4. 下載 Skype-a-Thon Teacher Toolkit，為您的班級提供從護照，證書，海報，多媒體範例和活動等資源，來追蹤您的里程以及你們與世界的每次聯繫所產生的影響。
5. 在活動前後在 Skype in the Classroom (@SkypeClassroom) 社群上利用 #skypeathon 和 #MicrosoftEDU 分享您的計畫與目標。可以參考我們的社群媒體指南。

想要了解更多關於您與您的班級是如何透過 WE 支援聯合國永續發展目標 #4 - 教育品質和其他的永續發展目標，請查看免費的 WE 學校服務學習工具包。

Skype-a-Thon 是我三年級學生在每個學年中的一大亮點！今年，除了將我們的里程增加到南極洲，印度等地之外，我們還將直接幫助世界各地的孩子們支持聯合國永續發展目標 #4 - 優質教育。我的班級將嘗試旅行 10,000 英里，這樣我們就可以幫助 WE Villages 中 25 名需要幫助的孩子！讓教師通過 #skypeathon 聚集到 #TeachSDGs 是幫助改善世界的重要一步。
- Amy Rosenstein，三年級老師，Ardsley，紐約，威徹斯特郡紐約學區

こんにちは。Azure Identity チームの三浦です。

今回は、 Windows Server 2019 の AD FS に関する新機能についてリンク にあります公開情報に多少補足を含めて翻訳してみました。

AD FS も Azure Active Directory の進化に合わせて様々な機能が追加されています。既存 AD FS サーバーの更新、新規導入を検討する中で本情報が参考になれば幸いです。

みなさま、こんにちは。WSUS サポート チームです。

今回は、Windows 10 の Windows Update 設定画面にある [更新プログラムのチェック] ボタンの無効化についてご紹介いたします。

Windows 10 において、手動で更新プログラムを取得したい場合、[設定] -> [更新とセキュリティ] -> [Windows Update] 画面を開き、[更新プログラムのチェック] ボタンをクリックすることで、即座に WSUS や Windows Update から更新プログラムを取得することができますが、社内の規定で「ユーザーが手動で更新プログラムの取得を行う操作を禁止したい」という運用をされたいというご要望もあるかと思います。

その場合は、次のグループ ポリシーを有効にすることで、[更新プログラムのチェック] ボタンをグレーアウトさせて、ボタンを無効化することができます。

[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
[Windows Update のすべての機能へのアクセスを削除する] : 有効

(対応するレジストリ値)
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
SetDisableUXWUAccess (0 : 無効、1 : 有効)

また、ボタンがクリックできるように元の状態に戻す場合は当該ポリシーを「無効」にする必要がありますが、誠に恐縮ながら「無効」にしてもグレーアウトのまま反映されないという既知の不具合がございます。

この不具合につきましては、既に修正した更新プログラムがリリースされており、次のバージョンであれば「無効」にすることで、再びクリックできるようになります。

・Windows 10 1709 + KB4343893 以降の更新プログラム適用済み (16299.637～)

・Windows 10 1803 + KB4340917 以降の更新プログラム適用済み (17134.191～)

・Windows 10 1809

Windows 10 1607, 1703 など修正されていないバージョンの場合は、お手数をおかけいたしますが、当該グループ ポリシーを未構成にして、SetDisableUXWUAccess レジストリ値が削除されることで、ボタンがクリックできるようになります。

ご不便をおかけいたしますが、何卒ご理解賜りますようお願い申し上げます。

A special guest post by cricket legend and founder of Spektacom Technologies, Anil Kumble. This post was co-authored by Tara Shankar Jana, Senior Technical Product Marketing Manager at Microsoft.

While cricket is an old sport with a dedicated following of fans across the globe, the game has been revolutionized in the 21^st century with the advent of the Twenty20 format. This shorter format has proven to be very popular, resulting in a massive growth of interest in the game and a big fan following worldwide. This has, in turn, led to increased competitiveness and the desire on the part of both professionals and amateurs alike to take their game quality to the next level.

As the popularity of the game has increased, so have innovative methods of improving batting techniques. This has resulted in a need for data-driven assistance for players, information that will allow them to digitally assess their quality of game.

Spektacom was born from the idea of using non-intrusive sensor technology to harness data from “power bats” and using that data to power insights driven by the cloud and artificial intelligence.

Before we highlight how Spektacom built this solution using Microsoft AI, there are a couple of important questions we must address first.

What Differentiation Can Technology and AI Create in the Sports Industry?

In the last several years, the industry has realized the value of data across almost every sport and found ways to collect and organize that data. Even though data collection has become an essential part of the sporting industry, it is insufficient to drive future success unless coupled with the ability to derive intelligent insights that can then be put to use. Data, when harnessed strategically with the help of intelligent technologies such as machine learning and predictive analytics, can help teams, leagues and governing bodies transform their sports through better insights and decision-making in three critical areas of the business, namely:

• Fan engagement and management.
• Team and player performance.
• Team operations and logistics.

For many professional sports teams and governing bodies, the factors that led to past success will not necessarily translate into future victories. The things that gave teams a competitive advantage in the past have now become table stakes. People are consuming sports in new ways and fans have come to expect highly personalized experiences, being able to track the sports content they want, whenever and wherever they want it. AI can help transform the way sports are played, teams are managed, and sports businesses are run. New capabilities such as machine learning, chatbots and more are helping improve even very traditional sports in unexpected new areas.

Spektacom's Solution

What Impact will Spektacom’s Technology Have on the Game?

Spektacom’s technology will help in a few critical areas of the game. It will:

• Enhance the fan experience and fan engagement with the sport.
• Enable broadcasters to use insights for detailed player analysis.
• Allow grassroots players and aspiring cricketers to increase their technical proficiency.
• Allow coaches to provide more focused guidance to individual players.
• Allow professional cricketers to further enhance their performance.

This technology has the capability to change the face of cricket as we know it. Prior to the introduction of this technology, there has not been an objective data-driven way to analyze a batsman’s performance.

Let’s take a closer look at the solution Spektacom has built, in partnership with Microsoft.

The Spektacom Solution

Introducing “power bats”, an innovative sensor-enabled bat that measures the quality of a player’s shot by capturing data and analyzing impact characteristics through wireless technology and cloud analytics.

This unique non-intrusive sensor platform weighs less than 5 grams and is applied behind the bat just like any ordinary sticker. Once affixed, it can measure the quality, speed, twist and swing of the bat as it comes in contact with the ball, and it can also compute the power transferred from the ball to bat at impact. These parameters are used to compute the quality of the shot – information that both professional and amateur players (as well as their coaches and other stakeholders) can use to improve player performance via instant feedback.The Spektacom solution is powered by Azure Sphere, Azure IoT Hub, Azure Event Hub, Azure Functions, Azure Cosmos DB and Azure Machine Learning.

The data from the power bats gets analyzed with powerful AI models developed in Azure and get transferred to the edge for continuous player feedback. In the case of the professional game, the sticker communicates using Bluetooth Low Energy (BLE) with an edge device called the Stump Box which is buried behind the wicket. The data from the stump box is transferred and analyzed in Azure and shot characteristics are provided to broadcasters in real-time. Since cricket stadiums have wireless access restrictions and stringent security requirements, to ensure secure communication between the bat, edge device and Azure, Stump Box has been powered by Microsoft’s Azure Sphere -based hardware platform. In case of amateur players, the smart bat pairs with the Spektacom mobile app to transfer and analyze sensor data in Azure.

Microsoft makes it easy for you to get going on your own innovative AI-based solutions – start today at the Microsoft AI Lab.

ML & AI Blog Team

Microsoft is aware of the time zone change for Volgograd Oblast, Russia. Volgograd will permanently switch from UTC+03:00 to UTC+04:00 on October 28, 2018. A new Windows time zone will be created to reflect this change. 

Our official policy statement can be found on the site at http://microsoft.com/time. 

Though we plan to release a data update, there is insufficient lead time before this change goes into effect.  Therefore, we offer the following guidance as a temporary workaround until such an update can be properly created, tested, distributed, and installed. 

Interim guidance for Volgograd 

Until an update is made available, we recommend our customers temporarily switch to time zone “(UTC+04:00) Saratov” beginning October 28, 2018 at 02:00 local time. Selecting this time zone will correctly reflect the current local time in Volgograd. 

Once an update is made available, we recommend customers to switch to the new time zone that will be introduced for Volgograd, which will appear as “(UTC+04:00) Volgograd”.  Selecting this time zone will correctly reflect the time in Volgograd, for events both before and after this change.

Tim Tetrick

Hello Microsoft Partners!

I was really excited to see Windows Virtual Desktop officially announced at Ignite a couple weeks back.  Windows Virtual Desktop (formally known at RDmi (Remote Desktop Modern Infrastructure)), is a new service that enables you to host a complete modern desktop experience on Azure with built-in security and compliance, and access it from any device.

Windows Virtual Desktop is the best virtualized Windows and Office experience delivered on Azure.  It is the only cloud-based service that delivers a multi-user Windows 10 experience, optimized for Office 365 ProPlus, and includes free Windows 7 Extended Security Updates. With Windows Virtual Desktop, you can deploy and scale Windows and Office on Azure in minutes, with built-in security and compliance.

I wanted to provide you with some resources to quickly get you up to speed on this new solution.

1. Read the blog post at Microsoft 365 adds modern desktop on Azure
2. Watch the Ignite session BRK2300 - Windows Virtual Desktop overview
3. Sign up to be notified when the Public Preview is available (coming soon!) at https://azure.microsoft.com/en-us/services/virtual-desktop/#sign-up

For additional information, you can check out

• Windows Virtual Desktop website
• Watch the Ignite session BRK3312 - Windows Virtual Desktop deep dive

Enjoy!