(この記事は 2015 年 7 月 27 日に Exchange Team Blog に投稿された記事 Exchange TLS & SSL Best Practicesの翻訳です。最新情報については、翻訳元の記事をご参照ください。)

Exchange 実行時の最優先課題はセキュリティです。これは、オンプレミス環境でも、クラウド環境でも、ハイブリッド環境でも同様です。マイクロソフトは、お客様が現在の環境を適切に保護できるように、必要な情報を提供しています。

TLS 1.0 のサポートを無効にしたほうがよいとの複数の指摘が外部から寄せられています。2016 年の夏までに TLS 1.0 を無効にするように促すものもあれば、社内用アプリケーションでは TLS 1.0 を使用すべきでないというものもあります (Exchange は SMTP 経由で外部と接続しているため、通常このような方法では使用されません)。どちらも TLS 1.1 および 1.2 の導入促進を意図した善意の指摘だと考えられますが、実際マイクロソフトでは、現時点で Exchange Server 上の TLS 1.0 無効化を推奨していません。

TLS 1.1 および 1.2 は TLS 1.0 よりも上位のバージョンであるものの、業界内でのさまざまな緩和策により、実際のリスクはやや大げさに見積もられている可能性があります。さらに、セキュリティはイエス・ノーの判断ではありません。つまり、TLS 1.0 を無効にしたからといって、セキュリティ面の欠点が解決されるわけではないのです。マイクロソフトでは、TLS 1.1 および 1.2 が Exchange をはじめとする多様なクライアントで問題なく機能するよう、引き続き取り組んでいきます。

今回は、多くのお客様がまだ実践していない最新のベスト プラクティスをご紹介したいと思います。より安全な環境を実現するためには、まず、組織における TLS の認識を高めることが重要です。現時点で Exchange の TLS 1.0 の無効化はお勧めしませんが、他に実践可能なステップがあります。一般には SSL 3.0 が無効な状態で、マシンが随時更新され、適切な暗号を使っていれば、TLS 1.0 の安全性が低下することはありません。現時点での推奨事項は次のとおりです。

• サポートされているバージョンの OS、クライアント、ブラウザー、Exchange を展開する
•  Internet Explorer で SSL 3.0 を無効にしてあらゆるテストを実行する
• クライアントで SSL 3.0 のサポートを無効にする
• サーバーで SSL 3.0 のサポートを無効にする
• TLS 1.2 の暗号化と AES/3DS の優先度を上げる
• RC4 暗号化はなるべく無効にする
• チェーン内で MD5/MD2 証明書のハッシュを使用しない
• 新しい証明書キーの作成時に RSA-2048 を使用する
• 証明書の新規取得時または更新時には  SHA 256 ビット以上のものを入手する
• 使用中の Exchange バージョンのサポート内容を確認する
• ツールを使用してテストおよび検証を行う
• 明示的な TLS と暗黙的な TLS を混同しない
• 現時点では Exchange サーバー上の TLS 1.0 を無効にしない

それでは、各項目について詳しく見ていきましょう。

サポートされているバージョンの OS、クライアント、ブラウザー、Exchange を展開する

どのような環境でも、安全性を確保するためにはまず、すべてのサーバー、デバイス、クライアント、アプリケーションを最新の状態に更新します。Exchange の推奨事項に従っているにもかかわらず発生する不具合は、多くの場合、互換性のないデバイス (プリンター、ファイアウォール、ロード バランサー) やソフトウェア (メーラーなど) に対してベンダーが提供している更新を適用すると簡単に解決できます。

Exchange の場合は Windows の更新と Exchange の更新を定期的に確認し、適用してください。なぜなら、環境のセキュリティ強度は、その環境内の最も弱い部分によって決まるからです。また、古いソフトウェアでは最新の TLS や暗号化の強みを活かせません。ファイアウォール、古い Linux MTA、ロード バランサー、一般的なメーラー ソフトウェアがすべて更新され、多機能プリンターが最新のファームウェアに更新されていることを確認してください。

Internet Explorer で SSL 3.0 を無効にしてあらゆるテストを実行する

まずブラウザーで SSL 3.0 を無効にすることをお勧めします。SSL 3.0 が無効であれば、ユーザーがどのページを閲覧しようと安全性が確保されます。また、Web サイトやアプリケーションが正常に動作するかどうかのテストも簡単に実行できます。現在 SSL 3.0 を使用しているサイトはまだ存在しますが、随時廃止されていくでしょう。Internet Explorer で現在の環境をテストする方法については、KB3009008をご覧ください。

クライアントで SSL 3.0 のサポートを無効にする

テストが完了したら、すべてのクライアントのセキュア チャネル (SCHANNEL) レイヤーでも SSL 3.0 を無効にする (英語)ことを検討してください。また、クライアントで TLS 1.1 および 1.2 が有効になっていることを確認してください。多くの場合、クライアントとサーバーの両方でサポートされている最新のバージョンが使用されます。安全性を強化するには、まずこれを行います。TLS 1.1 および 1.2 は、現在サポートされているすべてのバージョンの Windows に対応していますが、古いバージョンの Windows では既定で無効になっている場合があります。

SCHANNEL のレジストリを変更する方法は、SCHANNEL API を使用するアプリケーションでのみ有効です。サード パーティやオープン ソースのセキュリティ API (OpenSSL など) を使用するアプリケーションは、SCHANNEL のレジストリ キーを参照しません。なお、変更を有効にするには再起動が必要です。

サーバーで SSL 3.0 のサポートを無効にする

次に、Exchange を含むすべてのサーバー上で SSL 3.0 を無効にします。マイクロソフト セキュリティ アドバイザリの「推奨するアクション」をすべて実行します。サーバーはクライアントの場合とサーバーの場合があるため、すべてのステップを実行することをお勧めします。また、サーバーで TLS 1.1 および 1.2 が有効になっていることを確認してください。

最低限 TLS 1.0 はサポートされているため、この処理は問題なく実行することができます。Exchange と Windows は、どちらも 10 年以上前から TLS 1.0 をサポートしています。クライアントとサーバー上で SSL 3.0 を無効にした場合でも、TLS 1.0 自体は脆弱とは見なされません。実際、長年ほとんどの Exchange セッションで TLS 1.0 以上が使用されています。SSL 3.0 にダウングレードするだけで、現在のセッションを無効にすることができます。10 年以上使用しているクライアントやデバイスでない限り、SSL 3.0 を無効にしてもそれほど影響はありません。

通常、これらの推奨事項は組織レベルで既に実施されているはずです。それでもなお、SSL 3.0 の脆弱性 (通称 POODLE) があるため、最初のセッション ネゴシエーションの間、クライアントとサーバー間のトラフィックを遮断する必要があります。これは難しくはありませんが、重要な作業です。外出の多いユーザーやホットスポットを利用するモバイル デバイスにとっては深刻な問題になります。多くのお客様がメールのリモート アクセスを利用していることからも、Exchange 管理者の対応が求められます。モバイル デバイス ベンダーによっては、SSL 3.0 を無効にする方法を公開していない場合もあるため、サーバー側で SSL 3.0 を無効にすることによって、少なくとも Exchange リソースの安全性は確保してください。

さらに、TLS 1.1 および 1.2 のサポートを有効にすることも強くお勧めします。当面、TLS 1.0 は有効のままにしておきましょう。Windows、アプリケーション、クライアントでサポートされている限り、クライアントとアプリケーションでは最も安全なオプションを選択する必要があります。

Office 365 では、これらの変更は完了しており、SSL 3.0 はいずれのプロトコルでも使用することができません。

TLS 1.2 の暗号化と AES/3DS の優先度を上げる

この処理は、Office 365 で、よりブルート フォース攻撃に強いとされる最新の暗号化を優先的に使用するステップに基づいています。暗号化は最も安全性が高い方法ですが、1 つを有効にすると他のものは無効になります。最大限の互換性を得るために、クライアントにいくつかの選択肢を提供します。通常、最も安全性の低いものを無効にし、残りはオプションとして残しておきます。暗号化のネゴシエーションは次のように行われます。

1. クライアントがサポートする暗号化の優先順リストを渡す
2. サーバーは最良の暗号化を選択し、応答する (サーバー側に最終的な決定権)

サーバー上でリストの順序を変更すると、安全性の低い暗号化を使用するリスクを最小限に抑えられますが、完全に無効にすることをお勧めします。暗号化を変更するには、こちらのレジストリ キーを使用します。詳細はこちらをご覧ください。

RC4 暗号化はなるべく無効にする

多くの暗号化を無効にすると、一部のクライアントが正常に動作しなくなる可能性があります。それでも、RC4 暗号化スイートはぜひ無効にすることをお勧めします。これは非常に脆弱な暗号化スイートです。RC4 を無効化すると、古いサーバーやクライアントとの互換性がなくなる可能性があるため、注意が必要です。しかし、現在サポートされている Windows のバージョンは、かなり以前から RC4 から 3DES と AES に移行しているため、影響は最小限で済むでしょう。Office 365 でのセキュリティの強化は現在進行中であり、間もなく完了する予定です。

チェーン内で MD5/MD2 証明書のハッシュを使用しない

暗号化は使用する証明書チェーンに依存しています。チェーン内で安全でない署名アルゴリズムを使用しているホストに接続しようとすると、問題が発生することがあります。たとえば、Office 365 の SMTP トランスポートは、MD5 や MD2 のハッシュを使用しているホストには接続できません。これは最新の暗号化がサポートされていないことが原因です。チェーン内の証明書についても同様です。この問題が SMTP で発生するのは、Exchange がクライアントとして機能しており、古い SMTP システムやファイアウォールが現在も広く使用されていることが理由となっています。

新しい証明書キーの作成時に RSA-2048 を使用しない

証明書の更新または再発行時には注意が必要です。まず、要求を作成するときは必ず 2,048 ビット RSA を使用してください。これより低いレベルの暗号化は安全と見なされません。

証明書の新規取得時または更新時には SHA 256 ビット以上のものを入手する

次に、署名アルゴリズムが SHA1 の場合は、証明書の更新時に SHA2 に変更してください。なお、証明書の更新時期が迫っている場合は特に対応する必要はありませんが、数年先まで更新する予定がない場合は今すぐ新しい署名アルゴリズムに変更することをお勧めします。

Exchange の証明書はブラウザーまたは証明書マネージャー (Microsoft Management Console、MMC) で確認できます。

このサンプル証明書は、Windows Server 2012 R2 が実行されている環境で、Exchange Server 2013 によって生成されました。2,048 ビットの RSA キーと、RSA SHA256 (SHA-2) 署名アルゴリズムを使用しています。

Exchange のサポート内容を確認する

一部のアプリケーションで新しいプロトコルを利用するには、再コンパイルとテストが必要になります。Exchange および Windows ベースのクライアントのあらゆる部分をくまなくテストしてください。現在、Exchange Server には次の制限事項があります。

• SMTP– Exchange サーバー インフラストラクチャの主な要素です。Exchange Server 2013 CU8 および Exchange Server 2010 SP3 RU9 では、TLS 1.1 および 1.2 のサポートが追加されています。最新の暗号化および最新の TLS のサポートを追加するには、更新を適用する必要があります。

• POP/IMAP– あまり頻繁に使用されません。使用する場合は、Exchange Server 2016 のプレビューでは TLS 1.1 および 1.2 のオンプレミスしかサポートされない点に注意してください。この問題は将来の CU で修正される予定です。適切な方法でリクエストをいただければ、この問題の優先順位はより高くなります。Office 365 では既にサポートされています。
• HTTPS (OWA、Outlook、EWS、Remote PS など)– TLS 1.1 および 1.2 のサポート状況は、IIS でのサポート状況に依存します。Windows Server 2008 R2 以上では、TLS 1.1 および 1.2 の両方がサポートされますが、それ以外のバージョンの Windows では、初期設定で有効になっている場合と無効になっている場合があります。もう 1 つ重要な点は、最新バージョンの Exchange Server では、CAS とメールボックス間の HTTPS プロキシで TLS 1.0 が必要です。このため、CAS とメールボックス間で TLS 1.0 を無効にすると、プロキシに障害が発生します。この問題は Exchange Server 2016 のプレビューでは解決されています。この問題は将来の CU で修正される予定です。サポート宛てにリクエストをお寄せください。現時点では推奨されていませんが、専用のロールがある場合はクライアントと CAS 間で TLS 1.0 を無効にすることも可能です。クライアントでサポートされていれば、Office 365 では TLS 1.1 および 1.2 がサポートされます。
•          クライアント– TLS 1.0 はほぼ 100% サポートされている汎用プロトコルです。TLS 1.1 および 1.2 の普及は進んでいますが、多くの Exchange クライアントはまだ TLS 1.0 にしか対応していないのが現状です。現在マイクロソフトでは、Windows 8.0 以上で実行中の Outlook に関するさまざまな問題を追跡しています。これらの問題は間もなく解決される予定ですが、広く普及している Windows 7 環境では、TLS 1.0 の無効化はお勧めしていません。現段階で、マイクロソフトは、TLS 1.0 なしで稼働するその他のクライアントの包括的なテストをまだ完了していないためです。

ツールを使ってテストおよび検証を行う

サーバーとクライアントのテスト用のさまざまなツールや Web サイトがありますので、活用することを強くお勧めします。等級/スコア付けシステムを提供するものや、合否判定を行うものなどがあります。マイクロソフトでは、「セキュリティはリスクとトレードオフである」という考えに基づいて、スコア付けシステムを提供するものをお勧めしています。POODLE の完全なテストが行えず、TLS 1.0 が有害と見なされる場合もあります。最新の情報を基に、結果を判断してください。

マイクロソフトでは、全体的な脆弱性テストを実施すると同時に、特定の項目 (暗号化の順序、個々の TLS/SSL のバージョンなど) についてもチェックできるツールをお勧めしています。SSLLabs (英語)という優れた外部 Web サイトもお勧めです。このサイトでは、複数のクライアントをシミュレートして、既知のクライアントとの互換性の問題を警告します。たとえば、以下の結果では、古いバージョンの Android クライアントで TLS 1.0 を無効にした場合に、問題が発生する可能性が高いことがわかります。

インターネットの残りの部分と比較する方法もわかります。これは HTTPS に最適です。ほとんどの証明書ベンダーは、それぞれカバー範囲の異なるテスト ツールを提供しています。

追加プロトコルをテストするツールもあります。以下に、ポート 993 の IMAP (「SSL バインディング」。下記参照) に対するテスト結果を示します。

ご覧のように、ポート 993 でも TLS 1.0 と AES256 が使用されています。

明示的な TLS と暗黙的な TLS を混同しない。

一般に、人はものごとを省略する傾向にあります。TLS 1.0 に STARTTLS (明示的な TLS) のプロトコル単位の実装オプション サポートが追加されたときも同様です。「明示的な TLS」の登場前は、サーバー アプリケーション レベルのプロトコルが、安全性の低いオプションに加えて SSL/TLS を実装する必要がある場合、マシン上の別々のポートを占有する必要がありました。これを「暗黙的な TLS」と呼びます。次の表をご覧ください。

* HTTP は明示的な TLS を実装しません。明示的な TLS はステートレスであり、オーバーヘッドが大きすぎるためです。
** Exchange では、SMTPS (暗黙的な TLS) はサポート対象外です。

TLS を最初に実装したプロトコルは ESMTP でした。その結果、SMTP は同一ポート上でクライアントとサーバーの両方をサポートできるようになると同時に、便宜的な TLS/SSL も簡単に実装できるようになりました。ポート 465 は、Exchange Server 2013 で 3 つのトランスポート ロールの 1 つとして既定で再利用されていますが、実際 Exchange では SMTPS (ポート 465) はサポートされていません。一方、POP および IMAP については、明示的なオプションと暗黙的なオプションの両方がサポートされています。

問題は、STARTTLS が TLS 1.0 までサポートされなかった点にあります。そのため、一部のユーザーは「明示的な TLS」と「TLS」を混同し、一部のメール アプリケーションでは、これらが区別されていません。ポート 995 および 993 を無効にしても SSL 3.0 は無効になりません (SSL ではなく、暗黙的な POPS と IMAPS が無効化されます)。また、TLS 1.x に必要なポート 110 および 143 (明示的な TLS) も有効にはなりません。紛らわしい用語ですが、これらはほぼ無関係の概念です。この問題は、Exchange にも影響があります。

しかし、SSL 3.0 は無効化されないため、ポートや暗黙/明示の設定を変更する必要はありません。Exchange Server を保護するには、SCHANNEL レジストリ設定を変更してください。

現時点では Exchange サーバー上の TLS 1.0 を無効にしない

2015 年 7 月現在、Exchange では TLS 1.0 がサポートされています。さらに、次の最小要件が満たされている場合は、TLS 1.1 および 1.2 もサポートされます。

現時点では、Exchange Server 2016 はまだ一般提供されておらず (ラボ使用のみ)、最も普及している Windows バージョンは Windows 7 なので、TLS 1.0 を完全に無効にするのは得策ではありません。TLS 1.0 を無効にすると、(TLS 1.1 および 1.2 がサポートされないため) POP/IMAP も無効になります。また、メールボックス サーバー ロールを割り当てられている Exchange サーバーでは、TLS 1.0 を無効化することはできません。TLS 1.0 を無効にすると、一般的なモバイル デバイスやクライアントで互換性の問題が発生します。また、一部のインターネット メールが使えなくなる可能性があります。

SSL 3.0 を無効にし、組織に最適な暗号化順序を決定することで、安全性が確保され、POODLE 攻撃の心配はありません。マイクロソフトは、TLS 1.1 および 1.2 の完全なサポートに向けて取り組んでいます。TLS 1.3 はまだドラフト段階です。詳細については、今後の発表をお待ちください。現段階では、上記に従っていただければ問題ありません。

Windows Server 2012 R2 で Exchange Server 2013 を使用した Exchange ラボ テストでは、SSL 3.0 の無効化と RC4 暗号化の削除のみで、最高の評価が得られました。これは、現在リリースされている Exchange で、一般的なクライアントに影響を及ぼさないことを条件に得られるスコアとほぼ同じです。

この設定は、最新のセキュリティ要件を満たすと同時に、この 10 年間にリリースされたほぼすべてのクライアントおよびデバイスと互換性があります。もちろん、セキュリティを確保するには、新たな脅威や脆弱性に常に注意する必要があることも忘れてはなりません。今後も、引き続きセキュリティ情報や更新情報にご注目ください。

Scott Landry
Exchange サポート部門シニア プログラム マネージャー

The Dynamics CRM Service module provides Articles entity that serves as very useful knowledge repository for users and empowers them to guide customers in most efficient manner. For background, here is the document which describes the Articles usage.

Search functionality of this Articles feature relies on SQL Server Full-Text Searchfeature and leverages the contains() function as described in the Full-Text Search feature page. We came across an interesting scenario through a customer report as well as internal testing. Searching for specific keywords does not show expected published articles.

Here is screenshot of such example for keyword “use”, there are published articles with keyword "use" in the grid:

However, search results doesn’t show any of those when search for "use" keyword:

Figured SQL query formulated by CRM for above search and executed directly in SQL Management Studio, no records returned! Looking deeper, this turned out expected behavior from SQL standpoint. SQL Server uses Stopwords to prevent a full-text index from becoming bloated. SQL Server has a mechanism that discards commonly occurring strings (Stopwords) that do not help the search. The TechNet article below describes this feature and how to customize or disable usage of Stopwords.

Configure and Manage Stopwords and Stoplists for Full-Text Search -https://technet.microsoft.com/en-us/library/ms142551(v=sql.110).aspx

While there could be multiple options available for administering SQL Stopwords and Stoplists here is one approach that can help to tweak system Stoplist to meet the requirements. The following are step by step instructions along with screenshots for making it easy to follow.

1. Create a new Full-Text Stoplist from context menu shown in below screenshot

2. Choose to create from System Stoplist (can be an empty one too but that’s not recommended as it bloats Full-Text index size). If empty Stoplist is created then remaining steps to delete stopword should be skipped.

3. Right click on new stop list and get to properties window below, delete Stopword you don’t require. Here I removed “use”

4. Attach this custom stop list to Article entity Full-Text index

ALTER FULLTEXT INDEX ON dbo.documentindex SET STOPLIST = MyStopList;

Note: Above command attaches the custom Stoplist to dbo.documentindex that’s tied to knowledge base Articles. Custom Stoplist should be attached to the Full-Text index tied to the entity for which default Stoplist is drawing unexpected results. For example, below is the command to attach custom Stoplist to Account entity Full-Text Index:

ALTER FULLTEXT INDEX ON dbo.Accountbase SET STOPLIST = MyStopList;

5. Rebuild CRMFullTextCatalog from context menu option

6. You can see the difference in output of below queries showing ‘use’ keyword present in system Stoplist but not in our custom Stoplist.

select * fromsys.fulltext_system_stopwords

where language_id = 1033 and stopword='use'

select * fromsys.fulltext_stopwordsMyStopList

wherelanguage_id = 1033 and stopword='use'

Now searching by “use” keyword in CRM should yield expected results.

At the time of writing this custom Stoplist is possible only with CRM On-Premise environment but not with CRM Online.

Hope this helps! Cheers!

Bhavesh Shastri

みなさま、こんにちは。WSUS サポート チームです。

WSUS サーバーを長期間運用している、または自動承認規則で製品などにフィルターをかけずに運用していると、知らない間に更新プログラムのインストーラー (コンテンツ ファイル) が多くダウンロードされており、「ディスク サイズの空き容量がない！」といったトラブルが発生することがあります。WSUS は自動でメンテナンスを行う機能を持っておりませんので、ディスク サイズの空き容量が少なくなった場合は、「サーバー クリーンアップ ウィザード」を実行して、不要なファイルを削除する必要があります。

でも、「サーバー クリーンアップ ウィザードを実行しても、あまり不要なファイルが削除されない！空き容量が増えない！」という結果になったことはありませんしょうか。

そこで今回は、WSUS で不要な更新プログラムのインストーラーを確実に削除するためのポイントについてご紹介いたします。

・「サーバー クリーンアップ ウィザード」で WSUS で不要な更新プログラムのインストーラーを削除する
・「サーバー クリーンアップ ウィザード」実行後も 更新プログラムのインストーラーが削除できない場合

「サーバー クリーンアップ ウィザード」で WSUS で不要な更新プログラムのインストーラーを削除する
サーバー クリーンアップ ウィザード項目で「不要な更新ファイル」を実行することで、不要な更新ファイルを削除することができますが、削除対象となる更新プログラムは「拒否済み」のステータスとなっている必要があります。
そのため、以下の流れで不要な更新プログラムのインストーラーを削除します。

(作業の流れ)
STEP1 : 更新プログラムを「拒否済み」とする
↓
STEP2 : サーバー クリーンアップ ウィザードで「不要な更新ファイル」を実行する

「サーバー クリーンアップ ウィザード」実行後も更新プログラムのインストーラーが削除できない場合
上記流れで「サーバー クリーンアップ ウィザード」を実行した場合でも、更新プログラムのインストーラーが削除できないことがあります。代表的な要因は以下の通りです。

＜要因 1 : WSUS オプション設定が既定から変更されている＞
WSUS オプションの「更新ファイルと更新言語」にて、「更新プログラムが承認されている場合にのみ、更新ファイルをこのサーバーにダウンロードします」のチェックが既定では「オン」です。この設定が、「オフ」の構成の場合には、このままクリーンアップを実行しても「拒否済み」の更新プログラムのインストーラーを削除することは出来ません。このような構成の場合には、既定の「オン」に変更し、クリーンアップウィザード実施後に、再度、「オフ」に戻します。
 

＜要因 2 : 「拒否済み」とした更新プログラムのインストーラーが他の更新プログラムで利用されており、かつ、インストール承認を行っている＞
例として、以下の更新プログラムは、同一のインストーラーを利用しています。このような更新プログラムは、一方を「拒否済み」としても、もう一方で「インストール承認」済みの場合には、更新プログラムのインストーラーを削除することが出来ません。
Windows 7 for x64-based Systems 用の更新プログラム (KB974431)
Windows Server 2008 R2 x64 Edition 用の更新プログラム (KB974431)

見分け方としては、WSUS 管理コンソールで、「拒否済み」としても、ファイルの状態列はインストール承認ステータスのままとなります。
 

＜要因 3 : 子 WSUS が「自律」の構成である もしくは 過去に「自律」の 子 WSUS が存在していた＞
親子 WSUS 構成で、子 WSUS が「自律」の場合、子 WSUS 側で親 WSUS とは異なる承認情報を保持できます。たとえば、親 WSUS 側では未承認の更新プログラムも、子 WSUS が必要とすれば、親 WSUS は Microsoft Update カタログから更新プログラムのダウンロードを行います。このような処理に伴い、「子 WSUS の要求によりダウンロードした」ものであることを示すフラグを、データベース内のファイル情報に対して設定します。

このフラグが設定されたファイルは、親 WSUS 側でサーバー クリーン アップウィザードを実行しても削除されないよう設計されています。過去に子 WSUS が存在し、現在はすでに登録解除を行っている場合にもこの状態は変化いたしません。このため、サーバー クリーンアップ ウィザードでこのフラグが設定された不要な更新プログラムのインストーラーを削除できるようにするためには、データベースに対して SQL を発行し、フラグを解除する作業が必要になります。

子 WSUS 側で必要とした更新プログラムの有無の確認方法 と 設定されたフラグを解除する方法 (※)をご紹介します。
(※ 重要) データーベース内の情報を変更する操作となりますので、事前に必ず WSUS データーベースのバックアップをご実施ください。
WSUS 3.0 SP2 をデータベースごと移行する方法について
http://blogs.technet.com/b/jpwsus/archive/2012/09/20/wsus-sql-migration.aspx

<< 子 WSUS 側で必要とした更新プログラムの有無の確認 と 設定されたフラグを解除する方法>>
親 WSUS 側で子 WSUS によって必要とされている更新プログラムの有無は、WSUS 管理コンソールから目視で確認をすることができません。以下の手順にて、フラグが設定されている更新プログラムが存在するか確認します。

補足：
手順は、WSUS のデータベースが、SQL Server であるか Windows Internal Database (WID) で
あるかで異なります。どちらのデータベースを現在利用しているかにつきましては、WSUS サーバーの
以下のレジストリから判断できます。
%computername%\MICROSOFT##SSEE となっていれば、WID です。それ以外は SQL Server です。

******
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup]
- SqlServerName (REG_EXPAND_SZ)
******

SQL Server 環境の手順
1. SQL Server Management Studio を起動し、WSUS のデータベースを実行しているデータベース エンジンに接続します。
2. Microsoft SQL Server Management Studio 画面が起動したら、画面左ペインの[データベース] ツリーを展開します。
3. [SUSDB] を右クリックし [新しいクエリ] をクリックします。
4. 右ペインに表示された新しいクエリ画面に、以下のとおり入力し、ツールバーの [実行] をクリックするかもしくは F5 キーを押して、実行を開始します。
SELECT COUNT(DSSRequestedDownload) FROM dbo.tbFileOnServer WHERE DSSRequestedDownload = 1

※この結果、2 行目に表示される数値が 0 以外であれば、フラグの設定を持つ更新プログラムのが存在しています。
その場合は引き続き下記の手順をご実施します。

＜手順＞
5. 引き続き下記 2 件のコマンドを順に実行します。
update tbfileOnServer set actualstate=1 where (actualstate=8 or actualstate=9 or actualstate=10) and DSSRequestedDownload = 1
update tbFileOnServer set DSSRequestedDownload = 0 WHERE DSSRequestedDownload = 1

6. 正しく変更されたかの確認のために、下記コマンドを実行します。
SELECT COUNT(DSSRequestedDownload) FROM dbo.tbFileOnServer WHERE DSSRequestedDownload = 1

結果が 0 なら正しく変更されています。

WID 環境の手順
1. 管理者権限でコマンドプロンプトを起動します。
2. 下記コマンドにてフォルダを移動します。
cd /d %ProgramFiles%\Update Services\setup

3. 引き続き下記コマンドを実行します。executesql.exe は実行結果をプロンプト画面に表示しませんので、出力先ファイル名を指定し、その内容を確認する手順となります。「一行として」投入してください。

executesql.exe -S %computername%\MICROSOFT##SSEE -d "SUSDB" -Q "SELECT COUNT(DSSRequestedDownload) FROM dbo.tbFileOnServer WHERE DSSRequestedDownload = 1"  -l result1.txt

4. 以下のコマンドを実行して出力ファイル内容を確認します。
TYPE result1.txt

結果出力例)
<no name>
10591

※この結果、2 行目に表示される数値が 0 以外であれば、フラグの設定を持つ更新プログラムのが存在しています。
その場合は引き続き下記の手順をご実施します。

＜手順＞
5. 引き続き下記2件のコマンドを順に実行します。
executesql.exe -S %computername%\MICROSOFT##SSEE -d "SUSDB" -Q "update tbfileOnServer set actualstate=1 where (actualstate=8 or actualstate=9 or actualstate=10) and DSSRequestedDownload = 1"

executesql.exe -S %computername%\MICROSOFT##SSEE -d "SUSDB" -Q "update tbFileOnServer set DSSRequestedDownload = 0 WHERE DSSRequestedDownload = 1"

6. 正しく変更されたかの確認のため、下記コマンドを実行します。
末尾のファイル名 result2.txt は任意の名前で結構です。
executesql.exe -S %computername%\MICROSOFT##SSEE -d "SUSDB" -Q "SELECT COUNT(DSSRequestedDownload) FROM dbo.tbFileOnServer WHERE DSSRequestedDownload = 1" -l result2.txt

7. 以下のコマンドを実行してファイル内容を確認します。
2 行目に表示される数値が 0 なら正しく変更されています。

TYPE result2.txt

結果出力例)
<no name>
0

こんにちは。Internet Explorer サポートの 杉谷です。

Internet Explorer 10 以降、input type ="text" や "password" で指定されたボックス内に以下のようなボタンが表示されるようになりました。

　
　・input type ="text" ：テキスト消去ボタン（クリアボタン）

　　　　

　・input type ="password"：パスワード表示ボタン（revealボタン）

　　　　
　
この表示はCSSの擬似要素（HTML 上に明示的な定義をしなくても、ブラウザーにより提供される要素）により表示されています。

　※IE10 から対応できる擬似要素の CSS 定義の一覧は以下のページにてご確認頂けます。

　　◇Pseudo-elements
　　　http://msdn.microsoft.com/en-us/library/windows/apps/hh767361.aspx

本ブログでは以下にそれぞれのボタンを非表示にする方法をご紹介します。

■『クリアボタン』を非表示にする方法
=========================================================
以下のサンプルのように『-ms-clear』要素を指定します。

~~~~~~~~~~ sample.html ~~~~~~~~~~
<html>
<head>

<style type="text/css">
::-ms-clear {display: none;}
</style>
</head>

<body>
<input type="text">
</body>
</html>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

クリアボタンは、テキストボックスの幅を基準として、ドキュメントモードやフォント等によって閾値を設けて表示しています。このためテキストボックスの幅を小さくすることで非表示することも可能です。

但し、閾値の具体的な判断ロジック詳細は公開されていないため、各環境毎に検証等を頂く必要があります。

■『reveal ボタン』を非表示する方法
=========================================================
以下の2つの方法があります。

　1.グループポリシーを構成する
　2.『-ms-reveal』要素を指定する

1.【グループポリシーを構成する】
-------------------------------------------
以下のポリシーを"有効"に構成することで『reveal ボタン』を非表示にできます。

　場所：[管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能]
　項目：[パスワードを表示するボタンを非表示にする]

※本項目は、IE10 以降がインストールされた環境のポリシーテンプレートに存在します。
※Windows 10 環境では、IE11 でのみ本項目が有効です。（Microsoft Edge では 反映されません）

2.【『-ms-reveal』要素を指定する】
---------------------------------------------
以下のサンプルのように『-ms-reveal』要素を指定します。

~~~~~~~~~~ sample2.html ~~~~~~~~~~
<html>
<head>

<style type="text/css">
::-ms-reveal {display: none;}
</style>
</head>

<body>
<input type="password">
</body>
</html>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

=========================================================
『-ms-clear』『-ms-reveal』要素は、ドキュメントモードが IE10 標準以降で有効となります。
このためドキュメントモードが IE9 標準以前で表示されているコンテンツでは、各要素で表示を制御することができませんのでご注意ください。

　※Microsoft Edge ではドキュメントモードの概念はありませんので各要素は有効です。

なお、Windows 10 + IE11 のエンタープライズ モード下では要素の有無に関わらず各ボタンが非表示となります。

以上です。
ご紹介した内容が皆さまお役に立ちましたら幸いです。

It’s quite useful to have a catalogue of names that can be put to different uses. Codenames are frequently reused, and there was a time when every new product had to have a snazzy moniker – remember Daytona, Natal or more recently Spartan?

As well as the more public ones, there are all kinds of internal project and product codenames that never make it out into the wild. Nowadays, openly referring to old products exclusively by their pre-release code names is no longer a sign of authority and more an indication of being a wazzock.

Product names, on the other hand, sometimes get reused, though not often by the same company. Microsoft, however, took the original Surface name from the table-computer(now PixelSense) and applied it to tablet computers, and has also now renamed ZuneXbox Music to Groove(not to be confused with this Groove), featuring the Windows 10 app called Groove Music and a subscription service called the Groove Music Pass. If you already had Xbox Music content, you need do nothing – it’s a rebranding exercise and some fresh new app functionality. If you don’t have Win10 or a Music Pass, check out the web player to see what’s available.

Great News! Groove Music Pass users can now play with Sonos, so there’s no need to keep a Spotify (… Deezer, et al) subscription if you’re already a Groove Music Pass user. If you’re tired of waiting for Sonos to release a proper controller app for Windows Phone or Windows 8/10, then check out Andy Pennell’s Phonos. Or take to Sonos’ forums to ask what’s happening, though be prepared for a wall of silence neither confirming nor denying if and when a Windows Phone app is coming.

Readers with long memories might recall where “Groove” came from – it was the product of Groove Networks, brainchild of erstwhile Lotus Notes inventor, Ray Ozzie, whose company was acquired by Microsoft 10 years ago, largely to get the man himself. Along came the baggage of the (frankly horrid) Groove 3.1 then Groove 2007, which begat Sharepoint Workspace and was subsequently deep-sixed as a separate product line. Or so you may have thought.

If you dig around in Task Manager(CTRL-SHIFT-ESC to jump there quickly, keyboardinjas),or better still, use the excellent Process Explorer from SysInternals, you’ll see something interesting…

That’s right – the bones of Groove live on in OneDrive for Business, at least for now – the plan being to unify the OneDrive for Business and consumer OneDrive sync engines. Good thing too.

Summary: Ed Wilson, Microsoft Scripting Guy, talks about the new compressed file cmdlets in Windows PowerShell 5.0 on Windows 10.

Microsoft Scripting Guy, Ed Wilson, is here. It finally happened. I ran out of Gunpowder Green tea over the weekend. I have been making lots of Gunpowder Green tea with hibiscus flowers, rose hips, lemon grass, and other combinations, and then chilling it down. It works great for the central Florida August afternoons (and indeed sometimes early morning and even late at night).

I still have lots of black tea, lots of herbs, and even a pound or so of Oolong tea. So I have decided I am going to use the Oolong tea to make iced tea. I know, I know. It seems like a sort of a waste, but the truth is that tea leaves will go bad—or at least they will lose their wonderful taste after about six months. That is why it is important to store them properly. Setting out the tea in a glass jar may look nice, but that is about the worst thing in the world you can do.

So, rather than let the Oolong tea go bad (or at least loose its wonderful flavor), I have decided to make probably the most expensive iced tea in the world. I will let you know how it goes. It is on my agenda for next week. I am thinking about Oolong tea, jasmine flowers, and lemon grass to start with. I have also ordered a ginger grater, and I might put a bit of ginger root in the tea. I will have to be really careful with my recipe though—otherwise I could end up ruining the taste of a nice bit of Oolong.

Yesterday in New Feature in PowerShell 5: Compress Files, I talked a little bit about finding and using the Compress-Archive cmdlet (function) in Windows PowerShell 5.0.

To be honest, I really don’t like the verbs, compress and expand, for these functions. I keep expecting it to be something like New-ZipFile. Even New-CompressedArchive would make sense because I really am creating a new archive (.zip file) and not compressing an archive. I am compressing files, but not really an archive. I am creating a new archive that happens to contain compressed files. Oh well, I can always create an alias if I want to. This technique is shown here:

New-Alias -Name New-ZipFile -Value Compress-Archive -Description "makes sense to me"

Note 
I do not recommend doing this too much because if you get used to always using New-ZipFile instead of Compress-Archive, you will end up using it in a script or somewhere your custom alias does not exist. If you can keep things straight, or if interoperability is a non-issue, you can create any alias and call things whatever you want.
On the other hand, this is a perfectly valid technique. Other Microsoft teams have introduced new aliases for old cmdlets (in the next release of the product) when it turns out the name they picked for their cmdlet "didn’t really work."
I was really annoyed when the new alias appeared on a certification exam. The cmdlet I had always used was the answer, but I did not notice that they added an alias—and therefore, I ended up guessing at the answer on the exam. I wrote a note at the end of the exam—for whatever good that might have done.

Compress multiple files to single archive

The Compress-Archive cmdlet accepts an array of strings for the file to compress. This means that I can supply an array of strings and compress them into a single archive. But the best way to do this is simply to pipe the results from the Get-ChildItem cmdlet to the Compress-Archive cmdlet and simply specify the destination.

This means that the Compress-Archive cmdlet immediately becomes incredibly flexible. Because I have written lots of posts about using Get-ChildItem to find all kinds of files, I can now simply use those commands and create single archives (.zip files) that contains all those well-filtered files. Here is a simple example where I archive all the text files in a single folder:

PS C:\> gci c:\fso\*.txt | Compress-Archive -DestinationPath c:\fso\myarchive.zip

PS C:\> gci C:\fso\myarchive.zip

    Directory: C:\fso

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        8/10/2015  10:50 AM        1320793 myarchive.zip

What do I have in my archive?

Finding out what is in the archive can be as simple as navigating to the folder and opening it in Windows Explorer (as I did yesterday). But I can also use the .NET Framework to do this. Unfortunately, the assembly to do this is not loaded by default (although if working with .zip files is a regular requirement, I would definitely add the assembly to the profile).

I load the assembly, then use a static method to find out what is in the .zip file:

PS C:\> Add-Type -AssemblyName "system.io.compression.filesystem"

PS C:\> [io.compression.zipfile]::OpenRead("c:\fso\myarchive.zip").entries.name

A File with a `in the name.txt

AMoreComplete.txt

AnEmptyFile.txt

batteryReport.txt

ChangedMyFile.txt

connecttype.txt

CopyOfmyfile.txt

csidl.txt

decodedSimple.txt

decodeMOreComplete.txt

encodedSimple.txt

encodeMoreComplete.txt

epcisar.txt

mixed.txt

modload.txt

myfile.txt

myprocesses.txt

MyServiceStatus.txt

newfile.txt

process.txt

psreadline.txt

selectProcess.txt

Simple.txt

verbose.txt

What doesn’t work for verifying the contents of an archive?

Get-ChildItem –Recurse

Get-ChildItem –Force

Get-ChildItrem –Force –Recurse –Depth 10

These are shown here:

PS C:\> gci C:\fso\myarchive.zip -Recurse

    Directory: C:\fso

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        8/10/2015  10:50 AM        1320793 myarchive.zip 

PS C:\> gci C:\fso\myarchive.zip -Recurse -Force

    Directory: C:\fso

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        8/10/2015  10:50 AM        1320793 myarchive.zip

PS C:\> gci C:\fso\myarchive.zip -Recurse -Force -Depth 10

    Directory: C:\fso

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        8/10/2015  10:50 AM        1320793 myarchive.zip

Expand a .zip file with Windows PowerShell 5.0

To expand a .zip file by using Windows PowerShell 5.0, I call the Expand-Archive cmdlet (function). I can specify a destination folder that does not exist. This is pretty cool. The command is shown here:

Expand-Archive C:\fso\myarchive.zip -DestinationPath c:\fso\expanded

When I have expanded the archive, I can then use Get-ChildItem to see what files are there. In this command, dir is an alias for Get-ChildItem:

PS C:\> dir C:\fso\expanded\

    Directory: C:\fso\expanded

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        8/10/2015  11:20 AM             27 A File with a `in the name.txt

-a----        8/10/2015  11:20 AM            303 AMoreComplete.txt

-a----        8/10/2015  11:20 AM             77 AnEmptyFile.txt

<output truncated>

That is all there is to using the compression cmdlets. Join me tomorrow when I will talk about cool stuff.

I invite you to follow me on Twitter and Facebook. If you have any questions, send email to me at scripter@microsoft.com, or post your questions on the Official Scripting Guys Forum. See you tomorrow. Until then, peace.

Ed Wilson, Microsoft Scripting Guy 

Tenuous title link aside, here's a collection of scripts and steps that will help you hydrate a test lab. The scripts are designed to mirror an exiting environment.

Plant Your Forest

If you have the luxury of an Azure subscription take a look at the below forest build script. It will allow you to add member servers and clients, in addition to domain controllers. There's also a link to an Azure Automation Account Runbook to do the same in the Q & A section.

Build an Active Directory Forest in Microsoft Azure

If you don't have an Azure subscription then sign up for a free trial. Not an option? Have a look at this:

Create AD Forest with PowerShell

Right, once you have your forest it's time to populate it with 'stuff'.

Let it grow, let it grow,

Let it blossom, let it flow...

To Me, To OU

Now, let's create an OU structure. This will ensure our User and Group Policy imports are successful later on.

Here's a script to dump the OU structure from our existing domain:

Dump AD OU Structure Script

And, here's a script to mirror that structure to the new forest:

Mirror AD OU Structure Script

Vox Populi

Ah, the plebeian masses! Here's how to dump users:

Dump AD User Accounts Script

And, here's how to mirror those users to the test forest:

Mirror AD User Accounts Script

Group Policy

This script dumps policies, SoM, WMI filters and much, much more:

Comprehensive Group Policy Backup Script

Consider using the Migration Table option. Here's the sister import script:

Comprehensive Group Policy Import Script

And, that's it (for now). Groups and computers are on the to-do list. As is a module and / or a master hydration script.

こんにちは。Windows プラットフォーム サポートの鎌滝です。

クラスター環境で FailoverClustering ID : 1069もしくは ID : 1573のイベントが記録され、ディスク リソースがオンラインにならない、といったお問い合わせをいただきます。

そのような事象の原因のひとつとして、フィルター ドライバーの競合がございます。

フィルター ドライバーの競合が原因のお問い合わせの中で、Data Protection Manager (DPM) とウイルス対策ソフトの競合により、ディスクのオンラインができない問題が複数報告されております。

  [DPM] DPM と特定のウイルス対策ソフトの競合について
  http://blogs.technet.com/b/systemcenterjp/archive/2012/04/10/3491184.aspx

今回のブログでは、このような事象が与える影響について、クラスターの観点でご紹介いたします。

このフィルター ドライバーの競合が発生すると、ディスクのオンラインに時間がかかるようになります。
OS 領域のディスクのように、OS が起動するタイミングでオンラインになるディスクは競合するフィルター ドライバーがロードされる前にオンライン処理が行われるため、時間がかかることはありません。
しかしながら、クラスターが制御する共有ディスクはフェールオーバーなどタイミングでオンラインになることがあります。
このタイミングではすべてのフィルター ドライバーがすでにロードされているので、オンラインの処理に時間がかかり、結果的にディスク リソースのオンライン タイムアウトが起こるため、前述のエラー イベントが記録されます。

ディスク リソースがオンラインにならないことにより、目に見えるクラスターの挙動としては以下のような事象があげられます。

   1. 役割を開始できない
   2. フェールオーバーが失敗する
   3. グループの移動 (手動でのフェールオーバー) およびクラスター コア リソース (クラスター グループ) の移動ができない

このような事象が発生した時、ディスクがオンラインにできないことが原因であるかどうかを確認するため、以下のどちらかもしくは両方のイベント ログが記録されているかどうかを確認します。

■ イベント ログ

上記が確認でき、さらに DPM のフィルター ドライバーとウィルス対策ソフトがインストールされている環境の場合、フィルター ドライバーの競合の可能性を疑います。
さらに 切り分けを進めるには、影響を受けそうなフィルター ドライバーをアンインストールして、 事象が再現するかを確認する方法が有効です。

ご参考として過去弊社にお問い合わせのいただいた際に確認できた競合するドライバーとして、トレンドマイクロ社製のウイルス対策ソフトの報告がございました。
トレンドマイクロ社で以下のような情報を公開しております。
当情報を参照し、対象の製品をご利用であればレジストリー キーの変更で事象が改善するかを確認してください。

  Microsoft Cluster resources fail when the OfficeScan client is running
  http://esupport.trendmicro.com/solution/en-us/1058335.aspx
  - 免責事項
    上記リンクは、マイクロソフトのサイトではございませんため、設定につきましての責任は負いかねます。
    設定にあたってのご質問や懸念点につきましては、制作元との十分なご協議の上、実施いただくことを推奨いたします。

Heute ist Bundesliga-Start! Wir stellen Euch die heißesten Apps für Windows und Windows Phone vor.

Onefootball

Onefootball ist die umfangreichste Fußball-Applikation und ein absolutes Muss für jeden Fußball-Fan.

Die App deckt über 100 internationale Fußball-Ligen und Wettbewerbe live und in unschlagbarem Detail ab. Unter anderem: Bundesliga, 2. Bundesliga, DFB Pokal, Premier League, Serie A, La Liga, Ligue 1, Champions League, WM Qualifikation ... und viele, viele mehr! Der Fokus liegt dabei vor allem auf dem Austausch unter Fußballfans aus der ganzen Welt. Live kann hier vor, während und nach dem Spiel gemeinsam gejubelt, geschrien und diskutiert werden. Zum Mitfiebern und Kommentieren muss man sich einfach nur einloggen – schon kann es losgehen!

kicker

kicker bietet die perfekte App, um bei Fußball, Basketball, Handball und Eishockey immer auf dem aktuellsten Stand zu sein.  Hintergrundinformationen, ausführliche LIVE-Berichterstattung und Analysen. Nicht nur für die Bundesliga, sondern für zahlreiche internationale Ligen und Wettbewerbe. Videos und Fotostrecken bilden zudem eine wunderbare multimediale Ergänzung.

Sportschau

Neben Nachrichten, Live-Tickern, Ergebnissen und Tabellen glänzt die Sportschau-App auch durch ihre multimedialen Elemente: Video-Livestreaming, Bildergalerien, Audios-on-Demand sowie Doping-Live-Ticker und Audio-Livestreams der ARD-Bundesligakonferenz ergänzen die Ergebnisse, Tabellen und Hintergrundinformationen zu vielen Sportarten

SPORT1.fm

Egal ob im Auto, in der Bahn oder im Urlaub: Sport1.fm ist das Sportradio, das Sportfans rund um die Uhr mit Sportnachrichten, Talks, Expertenrunden sowie mit Live-Berichterstattung informiert und unterhält. Sport1.fm überträgt alle Spiele der Fußball Bundesliga und 2. Liga live und in voller Länge, einzeln oder in der großen SPORT1.fm-Konferenz. Dazu gibt es umfangreiche Hintergrund-Informationen, Interviews und Berichte vor, während und nach dem Spieltag. Und nicht nur die Fußball-Bundesliga wird übertragen, sondern auch Live-Spiele der Beko Basketball Bundesliga und der DKB Handball-Bundesliga. Sport1.fm berichtet jeden Tag von 7 bis 20 Uhr live aus der Welt des Sports mit Informationen, Meinungen und Hintergründen. Mit SPORT1.fm verpasst du keines deiner Spiele. Und auch TV-Formate überträgt Sport1.fm live im Radio. Montag bis Freitag präsentiert SPORT1.fm zusätzlich eine Stunde des Kult-Sportradio 360. Eine Stunde Klartext ohne Wenn und Aber.

Ein Beitrag von Felix Böpple (@felix_unterwegs) sowie Nina Eller (@nina_eller)
Trainee Business & Consumer Communications sowie Intern bei Microsoft Deutschland

Gavin Payne is a principal architect for Coeo, a SQL Server and Azure professional services company, and a Microsoft Certified Architect and Microsoft Certified Master. His role is to guide and lead organisations through data platform transformation and cloud adoption programmes. 

The post-recession years have shown business leaders that everything around them is changing. The way they sell, what they sell and how they sell. A new generation of technology and innovation is both to thank, and to blame. Now is the time to stop merely approving of such innovation, and to begin benefiting from it. As part of their roadmaps, IT Pros should be making business-wide plans to adopt Microsoft’s last major update to Windows, Windows 10.

Windows 10 is more than just the latest version of a PC’s operating system; it’s an IT modernisation toolkit. It brings the technical functionality businesses need to support their users of today and tomorrow. It allows them to be productive at work, at home or in the cloud. It’s the last major release of Windows and is the answer to many people's problems with Windows 8.

No more big releases, no waiting for Windows 11

IT is quickly moving to a version-less world. In the same way that we don’t know what version of Bing or Office365 we’re using, soon we won’t know which version of Windows we’re using either. Microsoft has said Windows 10 will be the last major release of its desktop operating system. In the future, updates will be just that – changes slowly made to our Windows 10 platform.

Tactically, this might make IT administrators manage Windows updates more closely. Strategically, this means IT leaders can’t wait for Windows 11. They can no longer say “we’ve only just upgraded so we’re going to wait for the next version”; their strategic planning approaches can now change for the better.
They can bring longer term stability to their end-user computing roadmap. It provides them with an opportunity to catch-up whether they're currently using Windows XP, 7, 8 or 8.1, and for once have a good chance of using a single major version of Windows across the whole business.

Cloud ready as we’re already cloud adopters

Within almost every organisation, cloud adoption has now happened. Perhaps not strategically, but cloud services are being used. Most start with application services, then email, then authentication and infrastructure services.

Windows 10 provides as many opportunities to integrate with Microsoft’s cloud services as it does with its on-premises server software. The operating system allows Azure directory services to authenticate and manage devices – tablets, phones as well as PCs – and use Microsoft’s online services to authenticate users.  Right now, deploying Azure based Active Directory services are amongst the hottest infrastructure projects for the organisations I work with - end users can benefit from seamless integration with Office365, Skype and OneDrive. My expectation is that Windows 10's ability to provide a single user experience, wherever the user is and whatever device they're using, will be one of the fastest adopted new features over the next year.

However an organisation expands its Microsoft infrastructure into the cloud, Windows 10 should provide businesses with the reassurance that it’s ready and waiting with a set of single sign on, authentication and management functionalities designed to work with Microsoft’s Azure, Office 365 and online services.

Windows 10 is about tomorrow as well as today

Few business or IT strategies currently need all of the new functionality in Windows 10. Nevertheless, deploying Windows 10 brings, for the first time in a long time, the balance of technical functionality and planning stability that businesses look for. We can upgrade without expecting Windows 11 to appear in two years’ time and ruin our upgrade plans.

A common request from customers is to be able to monitor an application and to display information about that application in a distributed application and on a variety of dashboards. So to do this effectively, you might need to create:

• A class for the application
• A registry based discovery for the application
• Groups \ relationships for:

• • Computer Group for Application
  • Instance Group for Application
  • Health Service Watcher Group for Application
  • Operating System Group for Application

• Dependency Roll ups for Group Health
• Distributed Application with relationships and Dependency Rolls ups
  

How long does it take to create all of this?

Distributed Application

Alert and State View Dashboard

Manually create a Dashboard based on the groups

With the attached snippet, less than a minute.

So how does this work?

1. Start Visual Studio and create a new Project. In My example, I'm going to call this GD.MyApp1
   
   
2. Add a reference to the Microsoft.SystemCenter.InstanceGroup.Library Management Pack
   
   
3. Add a Snippet Template Item (Add New Item, Snippet Template). The default template will appear. Delete the contents and copy and paste the contents of this text file into the window and Save and Build
   
   
   
4. Add a Snippet Data Item (Add New Item, Snippet Data).
   
    
   
5. Choose Select snippet type and select the Snippet Template that we created in step 3.
    
   
   
6. Click "Click Here to add a new item" and add in the following information (Class Namespace = GD.MyApp1, Display Name = GD My Application 1 and Registry Key = SOFTWARE\SCOMDiscoveryData\Frag1)
   
   
   
7. Save, Build and export (sealed) the Management Pack to a SCOM Dev environment to play with.
   

This delivers a simple service model for your application. You'll need to create some monitors targeted at the application class to see health roll up in the Distributed Application but the computer and health service groups and dashboard should populate immediately.

I'm really interested in feedback on this and if it is of interest then I can add snippets for other common scenarios:

• My Application also has databases that need to be included in the Distributed Application
  
  
• My Application also has websites that need to be included in the Distributed Application

I'll be starting a series of Visual Studio Authoring articles in the near future and will look to build this snippet as part of the series. I'll then look at how I converted the project into a snippet template and build up snippets for monitoring.

Disclaimer:
All information on this blog is provided on an as-is basis with no warranties and for informational purposes only. Use at your own risk.

The opinions and views expressed in this blog are those of the author and do not necessarily state or reflect those of my employer.

在六月二十四日時，我們發布了 Android 版的 Office ，並得到了空前的迴響。在過去的三週內，已經有百萬的用戶經由 Google Play 商店、 Samsung Galaxy 、或是中國當地的 App 商店下載。我們也樂見用戶們對於App都有很高的評分，現在在Google Play 已有四顆星以上的評價。在此我們團隊向各位使用者獻上最誠摯的感謝。

我們非常感謝您的回應（讚美與批評指教皆是），且我們將您們在部落格、App商店以及直接從產品移交的回應皆已瀏覽完畢，我們決定在 Office Blog 中回應常見問題以利意見上的整合。

1. Android 版 Office 會支援 Android 4.4 以下的版本嗎?

新的 Android 版 Office 只支援4.4或以上的版本，對於使用較舊 OS 版本的用戶來說，我們會繼續在 Google Play 商店提供原本的 Office Mobile 。

2. 何時會支援新的 Android M OS ?

Android M OS 還在測試階段，我們計劃在兩到三週內提供支援服務。

3. 我的Android手機裡還有舊的 Office Mobile ，我可以保留並繼續使用嗎？

當然！現存的 Office Mobile 用戶可以繼續在他們的 Android 裝置上使用。然而，我們建議使用 Android 4.4 OS (KitKat) 或以上的使用者下載新的 Word, Excel, PowerPoint App 。

4. 這些App能在哪些地區以及哪些語言環境下使用呢？

目前 Android 版 Office 能在下列的語境下使用：

保加利亞語、加泰羅尼亞語、克羅地亞語、捷克語、丹麥語、荷蘭語、英語、芬蘭語、法語、德語（美）、希臘語、匈牙利語、菲律賓與、義大利語、日本語、韓語、拉脫維亞語、立陶宛語、挪威語、波蘭語、葡萄牙語（巴西）、羅馬尼亞語、俄語、賽爾維亞語（拉丁）、簡體中文、斯洛伐克語、斯洛維尼亞語、西班牙語、瑞典語、繁體中文、土耳其語、烏克蘭語。

點開此連結可以看到支援Android 版 Office 的地區。

 5.   何時這些App會支援阿拉伯語、希伯來語這些從右寫到左的語言呢？

快要可以使用了！我們已經聽到您的回覆，且我們計畫在今年秋天提供對於右到左語言(阿拉伯語等)以及複雜文字描繪(泰文等)有需求的地方用戶支援。我們計劃提供雙向的、在頁面上可轉換的內容支援、直行的文體以及對齊功能。此外在使用上，我們將提供阿拉伯語、希伯來語、以及泰語的翻譯。我們盡力使用最恰當的方式呈現使用者介面，並將之作鏡像處理。也就是說，我們會把左至右的指令換成右至左的指令。

App將會提供以下語言使用： 阿拉伯語、希伯來語、印度語系（印地文、泰米爾語、泰盧固語、卡納達語、馬拉雅拉姆語）、波斯語、越南語、以及泰語。

此外還有以下地區：埃及利亞、巴林、埃及、以色列、約旦、科威特、黎巴嫩、摩洛哥、阿曼、卡達爾、沙烏地阿拉伯、塔吉克斯坦、泰國、突尼西亞以及葉門。

6. 我需要訂購 Office 365 才可以使用 Android 版 Office 嗎？

答案是「不一定，需要看情況而定」。

對於一般用戶來說（或是我們常稱為“非商業用途”），我們免費提供基礎的檢視、新增以及編輯功能，但是有一些比較進階的功能只有 Office 365的訂戶才可以享有，您可以在這裡檢視。

對於商業或企業用戶，檢視與列印是免費的，但您需要具有 Office 365 訂購身份才能夠新增或編輯文件。您可以在這裡檢閱相關的規定。

幾個月前，我們在部落格中發布了一篇有關手機App的文章，您可以從這裡得到更多資訊。

7.   我可以不登入就直接使用App嗎？

您無須登入便可檢視文件，但我們建議您使用 Microsoft 帳號或 Office 365 使用者 ID 登入，以便使用編輯功能。

8.   我要如何提出我喜愛的功能的需求？

我們絕對是想要聽到您的回應，且這些回應絕對會影響我們決定。你可以將您的需求提交至我們新的意見區裡（word.uservoice.com, excel.uservoice.com, powerpoint.uservoice.com, outlook.uservoice.com,  onenote.uservoice.com.）。

9.   我有技術問題，該去何處詢問？

您可以在support.office.com/home/contact尋求協助。另外，您也能從產品中的回覆工具直接提出問題（在左上角的笑臉符號）

感謝每一位願意花時間給予我們回應的用戶。請您持續的提問並回應，我們會繼續讓Android 版 Office變得更好。

Tusen takk til alle som deltok på MPN partner brief onsdag 8. april.

Dette var agenda for briefen:

Bizskype er en frittstående tjeneste som Microsoft Partnere kan tilby markedet umiddelbart. Effektiv aktivering av kundens eksisterende Office miljø.

SMB kunder kjøper tjenesten fordi vi demonstrerer at Office med Telefoni effektiviserer og forenkler deres hverdag. Kunde case finner du her.

Agenda for webinaret

• Salgsbudskapet - Office med Telefoni

• Lisensiering og Tele aktører

• Forhandler portal

• Cash Back- Insentiv program

Vedlagt finner du presentasjonen fra sesjonen og opptaket finner du her.(Please visit the site to view this video)

Range of sales and technical training taking has been announced to take place in September, covering various aspects of Windows 10 and the associated opportunities for partners. Take a look below for details and registration.

Moving to ‘Windows 10 as a Service’

This is an opportune time for businesses to review and change the way they deliver corporate resources to their users.In this workshop Microsoft will share with you the business benefits of moving to ‘Windows as a Service’ and address concerns around the challenges being thrown up by an ever expanding mobile workforce.

This training is free and is a combined Technical and Sales event. 

9:00-9:15 - Welcome & Intro
9:15-10:30 - Windows 10 Overview
10:30-10:45 - Break
10:45-11:30 - Windows Security
11:30–12:15 - Deployment and Management
12:15-13:00 - Lunch
13:00-14:00 - Windows as a Service
14:00-14:30 - The evolving threat to security
14:30-15:00 - Break
15:30-16:00 - Securing your business
16:00-16:30 - Managing your business
16:30-17:00 - Summary Q & A / Close

Date: 14th September 2015

Location: Microsoft TVP Reading

Windows 10 Technical Training (Enterprise) – Level 200 – 300

With Windows 10 being released, more customers are asking about it and looking to start their proof of concepts so they can evaluate how it can best fit in their organization. This is a great opportunity for you start engaging with customers to drive project and managed services opportunities.

Ideal for Windows deployment partners, this course will cover the technical aspects of Windows 10. Learn how to deploy and manage Windows 10 and the security features you can use to help protect a customer’s data, identity, and devices. You will come away with a better understanding of how Windows is becoming more like a service and how new features will be added over time. After this training you should be able to walk into your customer’s organization and help them deploy Windows 10.

Date: 15th September 2015 – 16th September 2015

Location: Microsoft TVP Reading

Windows 10 Technical Training (Enterprise) – Level 200 – 300

With Windows 10 being released, more customers are asking about it and looking to start their proof of concepts so they can evaluate how it can best fit in their organization. This is a great opportunity for you start engaging with customers to drive project and managed services opportunities.

Ideal for Windows deployment partners, this course will cover the technical aspects of Windows 10. Learn how to deploy and manage Windows 10 and the security features you can use to help protect a customer’s data, identity, and devices. You will come away with a better understanding of how Windows is becoming more like a service and how new features will be added over time. After this training you should be able to walk into your customer’s organization and help them deploy Windows 10

Date: 21st September 2015 – 22nd September 2015

Location:  Wychwood Park, Weston Crewe Cheshire CW2 5GP

It's been a while since my last post. I will try to touch the subject of SPF in O365 today.

How does it work?

An SPF record is a text (TXT) record that helps prevent spoofing and phishing by verifying the domain name from which email messages are sent. SPF records validate the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain.
Domain administrators publish SPF records in DNS. The SPF record identifies authorized outbound email servers. Destination email systems verify that messages originate from authorized outbound email servers.

from: Customize an SPF record to validate outbound email sent from your domain

From vs Mail From:

The SMTP MAIL FROM, otherwise known as the RFC 5321.MailFrom. This is the email address that is used to do SPF checks, and if the mail cannot be delivered, the path where the bounced message is delivered to. It is this email address that goes into the Return-Path in the message headers.
The From: address in the message headers, otherwise known as the RFC 5322.From. This is the email address that is displayed in the mail client.

How should it look like?

In case you are only using Office 365 for outbound emails, you should only have the recommended TXT record:
v=spf1 include:spf.protection.outlook.com -all
If you have multiple outbound mail servers, you should include the IP address for each mail server in the TXT record:
v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Now, getting pass the basics, there are a few quirks that you should probably be aware.

1. Email forwarding breaks SPF:

2. Try to avoid weak SPF validation on shared IP:

3. The maximum number of DNS lookups for the SPF record is 10. So please be careful on how long will your record be, since you might see some SPF errors regarding this.

4. If you know all of the authorized IP addresses, they should be added using the –all (Fail) qualifier. If you’re not sure that you have the complete list of IP addresses then you should use the ~all (SoftFail) qualifier.

5. In case you are sending messages smarthosted through Office 365 or even if you have a Hybrid environment and you are sending emails to a different Office 365 organization, you will have to add the on-premise IP address in your SPF record AND spf.protection.outlook.com. 
A little bit of digging and getting in some details regarding the Inbound Connector that you have to create for those examples, gets things much more interesting. Following the same example as above, when you are smarhosting your messages through EOP and you don't match your Inbound On-premise Connector (i.e. sending domain does not match the connector's scope; certificate/IP does not match with the one added on the connector) the email will not be attributed to your organization - so no Outbound Relay through EOP. Having this in mind, the IP that the SPF checks is the one from your on-premise organization (not EOP).
Why this? Simple...to make the world a better place and to tackle issues regarding spoofing and anti-spam in general.

6. When your Return-Path is blank <>, then the SPF check falls back to EHLO/HELO string - RFC 4408. In this case, please make sure you add your connecting IP AND EHLO/HELO string used in the SMTP transaction. There is no problem with EOP to Internet messages, since EOP has SPF records included in protection.outlook.com for all EHLO/HELO strings.

Dieser Gastbeitrag wurde uns freundlicherweise vom Education Support Center zur Verfügung gestellt. Autor ist Iris Braselmann.

Provisioning ist eine neue Methode um Geräte zu konfigurieren, die neu in das Unternehmen hinzukommen. Damit sollen der Arbeitsaufwand und die Kosten im Deployment von neuen Geräten reduziert werden.

Vorteile vonProvisioning?

• Handelsübliche Geräte konfigurieren ohneReimaging
• Provisioning kann auf Mobile als auch auf Desktopversionen angewendet werden
• Eine Netzwerkverbindung wird nicht benötigt
• Provisioningist kein komplexer Vorgang. D.h. man muss sich nicht erst tief in die Materie einarbeiten um Provisioning anwenden zu können.
• Es ist kompatibel mitbestehenden Lösungen wie .MDT oder SCCM. Kann aber auch ohne verwendet werden.

Das Provisioning funktioniert über sogenannte Packages, welche über ein neues Tool erstellt werden können. Dieses Tool nennt sich Windows ImagingandConfigurationDesigner (ICD-Tool) und ist in der Windows ADK enthalten. Die Preview zur Windows ADK ist bereits verfügbar und konnte bisher über das Download Center bezogen werden. Der Downloadort hat sich jedoch geändert und ist unter [1] verfügbar.

Es soll dabei unerheblich sein ob es sich bei den Geräten die neu hinzukommen um ein Windows Phone oder einen Desktop PC handelt. Packages können für Desktop- und Handyversion bereitgestellt werden.

Windows Imaging and Configuration Designer (ICD-Tool)

Das neue ICD-Tool erstellt die für das Provisioning benötigten Packages. In diesen werden Anwendungen, Einstellungen, Treiber, Language Packs, Windows Updates und andere unternehmensspezifische Konfigurationen festgelegt und hinzugefügt. Anschließend erfolgt die Fertigstellung des Paketes, dass dann dem Benutzer übermittelt werden kann.

Doch wie kann das Package dem Benutzer übermittelt werden?

Das Verteilen des Packages ist recht unkompliziert. Die .ppkg kann beispielsweise per E-Mail an den User versandt werden. Es kann auch als First Run Experience in den Bootvorgang eingeschlossen werden. Unter Mobilen Geräten ist die Übertragung mittels NFC möglich. Oder wenn Imaging eine Option ist, kann das Package ins Image eingebaut werden.

Beachten sollte man, dass das ICD-Tool sich noch in der Testphase befindet. Es sind also noch einige Fehler darin enthalten, die ausgebügelt werden müssen. Wer sich die generelle Vorgehensweise jedoch schon eimal anschauen möchte, kann sich die Preview herunterladen.

Im Folgenden werde ich ein Provisioning Package erstellen. Dafür habe ich mir den Windows Imaging and Configuration Designer über ADK heruntergeladen und installiert.

Bereits auf der Startseite wird mir vorgeschlagen ein neues Provisioning Package anzulegen.

Als erstes möchte der Package Assistent, dass ich ein neues Projekt für das Package anlege.

Ich nenne dieses in meinem Beispiel „Deployment Project“ und wähle einen beliebigen Pfad.

Als nächstes habe ich die Möglichkeit eine Windows Package für das Windows Phone zu erstellen oder wie in meinem Fall für die Desktop Version. Deswegen wähle ich „Windows Common“ Edition aus. Ein bereits bestehendes Provisioning möchte ich nicht importieren. Würde ich ein solches importieren, könnte ich dieses direkt daran anschließen und einfach weitere spezifikationen durchführen.

Das Projekt wurde jetzt erstellt und ich kann nun Spezifikationen durchführen, wie beispielsweise Anwendungen, Treiber, Language Packs und anderes zu integrieren.

Auch sehr interessant sind die Windows Updates. Gerade wenn ich nicht alle Updates neu beziehen möchte.

Als weiteren spannenden Punkt finden wir die Einstellungen. Beispielsweise gäbe es hier den Punkt „Allow Camera“ um per default den Zugriff auf die Kamera zu erlauben oder zu verweigern.

Ein weiteres Highlith finden wir unter UpgradeEditionProductKey.

D.h. ich habe jetzt die Möglichkeit beispielsweise einen Produktkey für die Windows 10 Enterprise Version einzugeben. Wird das Package beispielsweise auf einer Windows 10 Pro Maschine ausgeführt, ändert sich die Version von Pro auf Enterprise.

ICD Highlights:

In die Packages können Anwendungen, Einstellungen, Treiber, etc. eingebettet werden. Ein paar Highlights möchte ich jedoch noch hervorheben.

• Edition Upgrade: ES wird möglich sein über die Packages einen Wechsel zwischen den Windows 10 Editionen durchzuführen. So kann beispielsweise ein Windows Pro User auf eine Windows 10 Enterprise Version umsteigen.
• Initial Setup: Computernamen können im Voraus spezifiziert werden mitprefix + random oder serial namen. Sowie
• Firstruntime experience kann unterdrückt werden.
• Managementenrollment: MDM enrollment mit Username und Passwort. Initialisieren eines Domain Joins oder Azure Active Directory Account.
• Win32 Anwendungsskripte:PowerShell- und andere Skripte können mit dem Package eingebettet werden und werden bei Verteilung ausgeführt. Funktioniert auch mit MSI Packages.

Zum Thema Windows 10 Deployment gibt es in der Microsoft Virtual Academy den Kurs Einführung in Windows 10 Deployment.

Das zweite Modul geht unter anderem auf das Thema Provisioning ein:

[1] http://blogs.technet.com/b/msdeployment/archive/2015/03/02/microsoft-deployment-toolkit-2013-update-1-preview-now-available.aspx