24H2罠シリーズの11ですw 前回のはこんな感じですw
前回の検証で、23H2で完璧にDCにログオンでき、かつ、AD配下のリソースへのアクセスができることを設定を逐次変更しながら確認し、うまくいったわけですが、その後、24H2において23H2と同様な設定にしテストしてみましたが、
「DCへのログオンエラーは回避できない」
という結果になりました。
まぁ、状況として元に戻ったってわけですが、こうなりますと、前回のブログで書いた設定以外で、24H2になってから追加された、あるいはデフォルトが変更されたもののうち、DCへのログオン認証でセキュリティ上の問題が発生しているということが推測されます。
以前、GEMINIとのやり取りで、エラーイベントとして記録されている情報だけでなく、ログオン時点での通信を解析することで何かがエラーになっていることを掴む必要があるということで、GEMINIから「WireSharkつかってみ?」ってことで解析したのですが、
KERBEROS認証
でつまづいていることまでは掴んでいます。とことん調べ上げることで対応することもできないわけではないでしょうけど、これ以上時間をかけるのもなんだし、そもそも論、
「AD環境が必要なのか?」
という部分では、今から20年以上前に導入した、「BackOffice」システムをずっと使いまわしてきていることと、当時よりもネットワーク構築が非常に楽になっていることもあって、小規模、少人数の会社においてAD環境を持つという必要性はほとんどないような気がしています。
その20年以上前では、社内のPCネットワーク環境を構築するためには、BackOfficeなどのパッケージネットワークシステムでサーバを立てて、それにクライアントをぶら下げる形で構築すれば、ほぼ苦労なく構築することができたわけです。
それが原因とまでは言いませんが、こうした社内ネットワークの構築が簡単になるにつれ、外部からウィルス感染しているファイルやデータを持ち込んでしまったり、また、電子メールに添付されている感染ファイルを開いたりすることで、あっという間にクライアントPCを乗っ取られ、バックドアを作られるなどの被害が出だしたわけで、現状では、サーバシステムだけではなく、クライアントPCのOSのセキュリティもかなり強固になってきています。
言い換えますと、緩い設定で動作していた古いネットワーク環境が、今回のような24H2へのOSアップデートで今までより数段上のセキュリティ設定になれば、想定できない不具合は出てくるわけです。本来は、ネットワーク環境の根幹部分のサーバOSも、最新のものに変えていくことが必要でしょうけど、そうなれば、共有しているファイルなどの処理で問題が出ることもあります。
まぁ、企業のこうしたシステムがおいそれと新しいシステムに載せ替えできないのは、
「アプリケーションが使えない」
という問題もはらんでいるので、古いシステムを使っているなんてけしからん!とまでは言えないってことです。
というわけで、弊社はこれまで、AD環境で社内ネットワーク環境を構築していましたが、今回の24H2でこのままネットワーク環境を引き続き運用していくということをやめようと決めましたw はい、ADを捨てて、WORKGROUPに戻すという感じです。
幸い、社内のデータ共有は、20数年前のような環境ではもはやなくなっています。ファイルサーバなんていう言葉はすでに死語かもしれませんし、当然、NASの導入されており、プラスでオンプレミスでのクラウドももっています。
マイクロソフトのBackOfficeシステムは、当初、LAN側の動作とWAN側の動作を一本化できることで利便性がありましたが、通信速度はもはや当時から考えれば信じられないくらいの速さですし、この速さにより、メンテナンスを考えればメールシステムを社内で抱えるよりも、外部のメールサーバをレンタルで利用すればよいわけですし、ローカルのメールアドレスと外部グローバルメールアドレスを一本化して利用することができるような、「Exchangeシステム」なんかもはや必要ないくらい、LAN側、WAN側を意識するような必要はないわけです。
※極端に言えば、もうグーグルアカウントでもいけんじゃね?ってレベルですw
とまぁ、ダラダラとかきましたけど、AD捨てますwww
ってことで、24H2の罠は、少なくともネットワーク環境では罠ではないようにしようと思います♪
