中小 Active Directory 管理者の皆様こんにちは。
Windows10のメジャーアップデートを実行すると「リモート管理ツール」が居なくなるっていうアレ、毎回毎回どうにかならんですかね。　しかも、再インストールするとコンポーネントが欠けてるとか…　KB出てるけど、要するに不具合でしょ(^-^#)ﾋﾞｷｨ

というわけでそういう話題です。
KB出てるけど、そちらで効果がなかった場合はこちらで回復してくださいませ。

症状

「リモートサーバー管理ツール」がインストールされたWindows10をアップデートすると、ツールが消される。　これ自体は仕様なので、アップデート後のバージョンに適合する管理ツールを取得してインストールすれば良い。

　https://www.microsoft.com/ja-JP/download/details.aspx?id=45520

んだけど、現時点でカレントの「1709用（WindowsTH-RSAT_WS_1709-x64.msu）」を実行すると、なぜか「DNS」が欠けた状態でインストールされるんだ…。(^-^#)

管理ツール「DNS」の実ファイル名は「%SystemRoot%\system32\dnsmgmt.msc」。なんだけど、これ自体がPC内に存在しない。つまり、インストールされていないというわけ。

このとき「Windowsの機能」を確認すると、チェックボックスはONになっている。OFF->ONしても状況は変わらず、効果なし。

普通の対処法

該当するKBが出てます。
自動翻訳がガタガタだが、気にせず原語版の通りに実行しましょう(^-^#)

https://support.microsoft.com/ja-jp/help/4055558/rsat-missing-dns-server-tool-in-windows-10-version-1709

要約すると、まずは更新プログラム「KB2693643」をアンインストール。エラーが出るけど構わずにOKボタンを押し、再起動させて先に進む。
あとの手順はくだくだ書いてもKBの通りなので、ダウンロードからファイルの設置・実行については省略。　要するに、KBに記された下記の3ファイルが、ローカルPCの同一フォルダに並んだ状態にして処理を始めれば良い。

• WindowsTH-RSAT_WS_1709-x64.msu（管理ツールのインストーラー。赤文字は環境にあわせて）
• unattend_x64.xml（KBのサンプルをコピペして保存）
• installx64.bat（KBのサンプルをコピペして保存）

それでもダメだったら？

つまり、自分の環境ではダメだったわけだが(^-^#) ﾋﾞｷﾋﾞｷ

まあ、自分の環境はCBBの都合で、周回遅れの1703にアップデートされてる。
1703に1709のプログラムを実行したから駄目だったのか？　いやそうでもないだろう（きっと）
というわけで先ほどのバッチファイルをじっくり見てみる。

まず、バッチファイルの末尾の行

　　[rmdir ex /s /q]

を消して再実行すると、バッチファイル内で展開された一時フォルダが消されずに残る。
すると、一時フォルダ（つまり、インストーラー）の階層内にはにちゃんとDNS管理ツールの実体、「dnsmgmt.msc」が存在することがわかった。

なんて長いフォルダ名なんだ（怒）
ともあれ、インストールという処理は要するにファイルコピーなのであるから、この実体をしかるべき場所に置いてやれば良い。

そこにあるファイル、および依存性があってかつ現在のPCに足りないファイルを、それぞれ下記の場所にコピーする。日本語環境でない人は赤文字部分を自分のロケールへ変更。

• 本体 (dnsmgmt.msc)

  場所：(一時フォルダ)\ex\ex\amd64_microsoft-windows-d..er-snapin.resources_31bf3856ad364e35_10.0.16299.2_ja-jp_4a92b34b2bab1df4 コピー先：%SystemRoot%\system32

• 本体が参照するDLLファイル(dnsmgr.dll)

  場所：(一時フォルダ)\ex\ex\amd64_microsoft-windows-dns-server-snapin_31bf3856ad364e35_10.0.16299.2_none_946c2f555824ecef コピー先：%SystemRoot%\system32

コピーしたファイルがdllの場合、置くだけではレジストリに入らないので下記コマンドで登録する。

　　> cd %SystemRoot%\System32
　　> regsvr32 dnsmgr.dll

ちなみに、最初にコピーした「dnsmgmt.msc」は中身がXMLなので、これをエディタで見ると、動作に必要なファイル（の、クラスID）がわかる仕組みらしい。
クラスIDが示すファイルが何なのかは、たとえばDNS管理ツールががまともに動く別のPCでregeditを実行して探す（怒）そうするとDLLファイル名が特定できるよ…。

以上で動作条件がそろったはずなので、Cortanaあたりからフルパスで起動してみる。

　　[%SystemRoot%\System32\dnsmgmt.msc]

そうすると、アイコンは怪しいながらも一応DNSコンソールが起動するようになった。管理できるようになったよ母ちゃん！

ところで右ペイン、前からこんなアイコンだっけ？　忘れたけど、中身が使用に耐えればいいや…。

あとはショートカット類とスタートメニューのなんちゃって登録をする。
「管理ツール」の一覧に出すには、

• さきほどの dnsmgmt.msc をコピーして、デスクトップにショートカットを作成
• 作成したショートカットを、「DNS」とでもリネームする
• [コントロール パネル\システムとセキュリティ\管理ツール]の場所に管理者でペースト

スタートメニューに出すには、普通に右クリックして登録。あ、名前が「dnsmgmt」で登録されてしまった。　もっとWindowsに詳しければこのへんを正しく登録して、自動で復活するようにできるんだろうけど、もうそのへんは諦める。
DNSマネージャーが使えればいいんだ…。　もういいんだ…。

最後に

ところで、最新の1709を使っている人を含め、この面倒くさい不具合って何だったの？
KB出すのもいいけど、おおもとの配布ファイルも直してくださいお願い。 

スポンサー

メーカーリカバリーの古いWindows8を、8.1にアップデートした。
さんざん更新したので、ディスククリーンアップで現れるシステムファイルを全処分した。
遅い言われると嫌だったので、念をいれてデフラグもした。
…きっと、そのなかのどれかが駄目だったんだろうな。
最終的にBitLockerを有効化して再起動したところで、"真っ青で何もない画面" に出会ったわけです。ぐぬぬ～。

現象

この状況は、BitLockerでPINを入力するように設定したPCが、PIN入力画面ではなく「全部真っ青」な画面を表示するというもの。
入力欄が無いので大変ショッキングですが、構わずにPINを入力すると、一応起動するよ…。
入力欄が透明、または背景色で塗りつぶされている状況のようです。

Win10ならば、過去のとある更新プログラムに関連してこの状況が起きることがわかっており、対応策もおっけーです。
→　これ

しかし、今回問題が起きているのはWindows8.1。
Win10用の更新プログラムは当てられず、かといって、先のURLに記載のある代替コマンド

　> bfsvc.exe %windir\boot /v

をそのまんま実行しても効果がない。
どうする？
再構築なのか？　…という前に１つだけ試してみたら、うまくいったので書いておきます。

Windows8.1で「PIN入力時の真っ青画面」を直す

Windows10についての、先のURLには重要なヒントが書かれています。
「コンピューターの起動に必要なフォントファイルがシステム パーティションに正しく同期されていることを確認します」と。
つまり、現在のシステムパーティションが正しくない。不足したものを補えば直る。
これと同じことを Windows8.1 の流儀で実行すればいいんじゃないかな。
そうだ。bcdbootコマンドでシステムパーティションを修復する方法が、ちょうどこの部分に相当するはずだ。

というわけで、BitLocker の PIN入力で画面真っ青になったWindows8.1の対応はこんな感じです。
あ、当然ながら「現在のOSが（起動画面以外は）最新で正常」という前提に立っているので、怪しい場合は実行を避けてください。

1. まず、現在のBitLockerを解除（次の手順の障害になると思われたので）
2. Win8.1ブートメディアから起動して、コンピューターの修復モードでWinPE（コマンドプロンプト）に入る
   画面パス：「コンピューターを修復する→トラブルシューティング→詳細オプション→コマンドプロンプト」
3. 情報を確認後、システムパーティションをフォーマットする
   > diskpart
   > list volume
   結果はこんな感じ。環境により結果が異なるので、Windowsパーティションのドライブ文字と、システムパーティションのボリューム番号を特定しておく。
   

   
   以下は赤文字の部分を環境にあわせて読み替えてください。
   > select volume 2　←システムパーティションを選択
   > format FS=FAT32 LABEL="SYSTEM" QUICK　←既存と同じ設定でクイックフォーマット
   > exit

4. Windowsパーティションの情報をシステムパーティションへコピーする
   >bcdboot c:\windows /l ja-JP
   →「ブートファイルは正常に作成されました」と表示されたら、WinPEを抜けて再起動。

5. Windowsが起動したら、あらためてBitLockerを有効化してみる。
   PINを設定して…　再起動…

…　ナオッター！(；´Д｀)

後から思えば、大げさに修復モードにしなくても、ログインしたまま最後の手順4だけ実行すれば良かったんじゃね？　という気もするけれど、まあいいか…大は小を兼ねるってことで…。

スポンサー

「細かすぎるほどのログが出るんです。ともかく逐一の記録が全部取れているので、まずは安心なんですよ。詳しくはテクニカルサポートへ」

…などどいうザックリしたトークで、中小企業担当者への売り込みは大丈夫と思っている（らしき）営業諸兄の多いこと、多いこと。
でもまぁ本当なら正式に使い倒してやんよと思って、新しくなったOffice365 管理センターから OneDrive for Businessまわりの「監査ログ」（管理者とユーザーのアクティビティ）を真面目に見てみたわけです。

欲しいログについて考えてみる

OneDriveへのアクセス経路は主に２種類あります。

• Office365のブラウザ画面から、「メニュー→OneDrive」と進むもの。
  ここへは、ドラッグ＆ドロップでアップロードしたり、ブラウザ上でファイルを共有・改廃したりします。
• PCに同期フォルダを作成し、PC上で行う改廃をOneDriveへ常に同期させておくもの。

情報漏洩を気にする側としては、どちらも相当嬉しくない機能ですが、今回主に書くのは後者のほう。OneDrive for Business 同期フォルダのあるPCで、あるファイルを改廃するとします。

「監査ログを取る」といって管理者が思い浮かべるのは、こんな感じじゃないかな。

実際に取れる内容

実際に同期フォルダで操作を行い、Office365セキュリティパネル「ファイルとフォルダーのアクティビティ」「同期アクティビティ」を検索すると、こんな感じに取れます。括弧内の文言はログをダウンロードした際のオペレーション名。
（画面上は日本語/日本時刻でも、ファイルでダウンロードすると英語/太平洋標準時になるんだよな…orz）

ん？　少なくね？
具体的には、「開く」「閉じる」と「上書き保存」が足りなくね？ 

そう、少ないです。これはOffice365の監査内容選択画面でも確認できます。
現在、同期に関して取れるログのバリエーションは下記に限られます。
蛇足ですが、同期クライアントが古いとログそのものが出なかったりします。

これに対し、もう１つのアクセス経路、Webブラウザからのアクセスの場合はもう少し細かいバリエーションがあります。

まあこれだけ取れていれば、冒頭の営業ご担当のトークは間違っていない。
ただし、当てはまるのはブラウザ経由で改廃したときだけなんだな。

PC上で改廃して同期する場合と、ブラウザへログインして改廃した場合とで、取れるログが違う。記録のタイミングも違う。このことには注意する必要があります。

OneDrive同期フォルダ上で行う改廃を監査したい時の注意点をまとめるとこんな感じ

• 上書き保存は（オンラインで実行されていても）ログに出ない。
  ファイルを閉じてはじめて、「FileSyncUploadedFull」の発生が記録される。
• PCがオフラインであれば、ファイルを閉じても当然アップロードされないので、その時点ではログに出ない。

PCのタスクバー通知領域にある同期クライアントのアイコンをよく見ると、確かにファイルの編集中はずっと「同期中マーク」が出ており、アップロードされていないことがわかります。

そのログは正しいのか？

さて、ここで問題…。

1. 上書き保存をしてからしばらく放置し、そしてファイルを閉じた場合、
   ログの更新日時はいつになるのか？
2. このPCがオフラインで改廃したファイルは、いつの、どんな改廃として記録されているのか？

１も２も、記録されるのは「FileSyncUploadedFull」の発生日時、それだけです。
つまり、実際にユーザーが改廃・保存した日時ではない。
しかも、起動しっぱなしのPCでファイルを開きっぱなしだと、いつまでもログが上がってこない。

さんざん改廃したファイルのはずが、「最後にアップロードされた日時」という、たった1件のログになるわけです。もう一度書くけど、「閉じられた後に、ファイルが壊れていなければ、オンラインになった後で」という条件つきで。

「細けえことはいいんだよ」って言えるだろうか？

すわ、なんらかの事故が起きた。　ユーザーAの勤務状況と、受付端末の改廃履歴を突き合わせたくなった。
彼がその場で真面目に勤務していれば、間断なく報告書が更新されているはずだ。報告書はOneDrive同期フォルダを経由して、クラウドへ逐次アップロードされているから安心。

そんな風に思って、取り寄せてみた受付端末のログは、そして最新であるはずのクラウド上のファイルは……。

………。

ってなことになるんですけど。

今のところ、「強力な監査ログ」なーんて宣伝されても、あまり都合のいい想像をしないほうが良いですわよ奥様。
監査ログをうたうものが現れたら、それが何を監査するのか、自分の期待値と合っているのか、よくよく確認するこってす。合っているならハッピーです。
そして、ある日に失望したとしても、はたまたホッと安心したとしても、この手のサービスは勝手にバージョンアップしやがるので、折に触れて確認を怠らないこってす。

めんどくさい！

スポンサー