2025年7月3日木曜日

Windows Server 2025 Active Directory環境下で、Windows 11 23H2がADドメインから外れてしまう事象

Server 2025 Domain Controllers - Trust relationship issues on workstations after 30 days as "pwdLastSet" value unable to be updated

があると教えていただきました。

Windows Server 2025 Active Directoryにローリングアップグレード後、Windows 11 23H2がADドメインに参加していない状態となってしまいました。この際、上記の情報があると教えてもらった次第です。

ADドメインに参加しているコンピューターは、30日ごとにコンピューターアカウントのパスワードを更新する仕組みが既定で動きます。

Windows Server 2025 Active DirectoryとWindows 11 23H2の組み合わせだとこの辺りの動きがうまく無いようです。

Server 2025 Domain Controllers - Trust relationship issues on workstations after 30 days as "pwdLastSet" value unable to be updated

を見ると、Windows 11 24H2にアップグレードするか、グループポリシーによりコンピューターアカウントのパスワードを更新する仕組みを停止する「DisablePasswordChange」がワークアラウンドになります。なおDisablePasswordChangeのレジストリ値は、How to disable automatic machine account password changesに記載ありました。

2025年6月30日月曜日

複数フェーズからなるADの脆弱性対策「CVE-2025-26647 (Kerberos 認証) の保護」

CVE-2025-26647 (Kerberos 認証) の保護

上記は、2025年4月8日に公開されました。

本文に記載ありますが、本脆弱性は、3フェーズでADの脆弱性の対策が図られます。上記の内容をサマリして以下に記載します。

  • 脆弱性の概要:NTAuth ストアに存在しない認証局(CA)から発行された証明書を使って Kerberos 認証が行われると、セキュリティ上のリスクが生じる可能性があります。
  • 影響対象:altSecID 属性を使った証明書マッピングを行っているセキュリティプリンシパル。またADドメインコントローラーがこちらの影響を受けます。
  • 対策の段階的導入:

    1. 2025 年 4 月 8 日: 初期展開フェーズ – 監査モード
      初期展開フェーズ(監査モード)として、NTAuth チェックと監査ログ警告イベント(イベントID 45)が有効になります。このイベントID 45は、安全でない証明書を使用して Kerberos 認証要求を受信すると記録されます。
      この記録されたイベントを監視して、NTAuthストアに含まれていない影響を受ける証明機関を特定していくことも必要です。
    2. 2025 年 7 月: 既定で適用されるフェーズ
      このフェーズ(モード)では、NTAuthストアのチェックが既定の動作となります。が、AllowNtAuthPolicyBypassレジストリキー設定を使用することで監査モードに戻すことも可能エス。
      ただしこのモードでは、セキュリティ更新プログラムを完全に無効にする機能は削除されます
    3. 2025 年 10 月: 強制モード
      このモードになると、ADドメインコントローラーが安全でない証明書を使用してKerberos認証要求を受け取った場合、イベント D 21 がログに記録され、要求が拒否されます。
      またAllowNtAuthPolicyBypassレジストリキーに対するMicrosoft のサポートは中止されます。よって監査モードに戻すことはできません。

Windows Server Summit 2025のオンデマンドビデオが公開されています。

2025年4月に開催されたWindows Server Summit 2025のオンデマンドビデオが公開されています。

Windows Server Summit 2025

Windows Server 2025だけではなく、AD、AD CS、WAC、Azure Arc、Azure File Syncなどのセッションがありますよ。

2025年6月14日土曜日

Azure AI Foundry Local その4 Windows 11 on Hyper-Vで試す

注)本稿執筆時点では、プレビュー版です。今後、機能などが変わる場合がありますので、ご留意ください。

仮想マシンで Azure AI Foundry Localで試します。今回は、Hyper-V上のWindows 11にてAzure AI Foundry Localで試す形ですね。

CPUを使うモデル、NPUを使うモデルの順で確認します。

インストールは問題無く完了。

これまでの確認と同様に進めるので、まずはCPUを使うモデルを確認します。

英語のプロンプトを与えてみます。

2単語の出力で、3分ほどかかっていましたので、キャンセルしました。
上記のような感じで何回かリトライしました。が、当方の環境では非常にスローです。

最終的に、メモリ16GBで固定化し、ファイルサイズが最も軽量なモデルにしてみましたが、レスポンスが多少改善する程度です。

最新のCPUではどうなのかという点はあるものの、当方の環境(Intel(R) Xeon(R) CPU E5-2430 0 @ 2.20GHz)では、ある意味これが限界なのかも知れません。

Azure AI Foundry Local その3 Windows 11 on Parallels Desktopで試す

注)本稿執筆時点では、プレビュー版です。今後、機能などが変わる場合がありますので、ご留意ください。

仮想マシンで Azure AI Foundry Localで試します。今回は、MacOS上のParallels DesktopでWindows 11にてAzure AI Foundry Localで試す形ですね。

CPUを使うモデル、NPUを使うモデルの順で確認します。NPUを使うモデルについては、そもそも仮想マシンでも使えるの?、というかGPUが不透過なのでどういう挙動になるかが興味深いだけです。

インストールは、問題なく完了。

これまでの確認と同様に進めるので、まずはCPUを使うモデルを確認します。

英語のプロンプトを与えました。スムーズに回答返ってきます。途中経過を見るとCPUをしっかり使っていました。

日本語のプロンプトを与えました。途中経過を見るとCPUをしっかり使っていました。

ただし英語と比較しても日本語の場合、ちょっと重い感じで回答し始めました。メモリが6GBしかないからかも知れませんね。

結果としては、途中で回答ストップしてしまい、ブランクが続きました。ただしメモリが足りないからなのかなど、原因を推測するには情報不足とも思います。

NPUを使うモデルを試します。deepseek-r1-7bでは、モデルのロードに失敗しました。

Phi-4-mini-reasoning-qnn-npuは、どうでしょうか?

これもダメでした。