none
Windows2008R2のRDP,WMI,ADSI接続方法について RRS feed

  • 質問

  • 平素よりお世話になっております。ラック小西です。

    RDP,WMI,ADSI接続方法について質問があります。ご対応お願いします。
    環境:
    ADサーバ:Windows2008サーバ
    管理サーバ:Windows 2008サーバ
    ターゲットサーバ:Windows 2008R2サーバ
    設定済み項目
    リモートデスクトップ:有効、UAC:無効、F/W:無効 

    管理サーバとターゲットサーバがアクセスします。ターゲットサーバと管理サーバの設定方法をご教示下さい。

    RDP接続(3389)、WMI接続(135、1024~65535)、ADSI接続(389、445)

    上記、3つの接続を満たすADサーバ、ターゲットサーバの設定方法をご教示下さい。
    1.RDP接続に関しては、リモートデスクトップを有効にしており、問題ないと考えています。
    2.WMI接続に関しては、Windows Management Instrumentationサービスが開始しており
    WMI コントロールからtestuser(ローカル、ドメイン)を追加し、アクセス許可を承認する。
    3.ADSI接続について、設定方法をご教示下さい。ローカル、ドメインユーザともに設定方法をご教示下さい。
    4.ポート設定など必要ありますでしょうか。必要ないと考えています。

    4点について、ご対応お願いします。

    2013年6月13日 17:10

回答

  • チャブーンです。

    まず、このフォーラムですが、ボランティアによる一般向けフォーラムであり、MSからの正式回答は得られませんし、回答者に指示もできません。有償レベルのサービスを想定されているのでしたら、パートナーフォーラムに質問し直してください。詳細はしたのリンクをご覧ください。

    http://social.technet.microsoft.com/Forums/ja-JP/announceja/thread/714402f2-360b-4e5d-a3cf-658636c0b494

    で、一応の答えですが、注意が必要と思われる点のみ列挙します。

    1. リモートデスクトップ接続が有効になっていれば基本問題ありませんが、「Remote Desktop Users」グループにユーザを登録する必要があります。ローカルAdministratorsグループにあるユーザは大丈夫「でした」が、KB2592687(RDP8.0更新)を適用した場合、ローカルAdministratorsグループを含め、「Remote Desktop Users」グループへの追加が必須になるので注意してください。
    2. コメントのとおりで基本問題ありませんが、ドメインアカウントとローカルアカウントで同じユーザ名を用意しておく理由がよくわかりません。どちらか一方を用意しておけば、ローカルレベルでは動くはずなので。
    3. ADSI接続?での事前の設定は特にありません。ただし、接続に使うアカウントの権限でできることは制限されます。たとえばローカルの制限ユーザで接続することもできますが、SAM内容の変更はできません。パススルー認証できるよう、クライアント側にも同じローカルユーザ(testuser?)を登録し、それで繋いでください。ドメインアカウントのADSI接続は検索で見つけられると思うので、ローカルアカウントのPowerShellスクリプトを書いておきます。
      [ADSI]"WinNT://<サーバ名またはIPアドレス>/<ユーザ名>"|Format-List *
    4. ADSIのポートですが、ローカルSAMの場合、135/tcpとエフェメラルポートまたは445/tcpでつなぎに行きます。


    2013年6月17日 2:06
    モデレータ
  • チャブーンです。

    しばらくフォーラムに返信ができませんでした。すみません。

    > 特に設定なしでも、管理サーバとターゲットサーバはADSI接続できると認識して問題ないでしょうか。

    ドメインに参加しているマシン(メンバーサーバ)であれば、管理要件上 135/TCPと445/TCPがあいているはずなので、この要件を満たしていれば大丈夫と思います。

    あわせて、いくつか訂正させてください。WinNTプロバイダADSI接続については、NBTベースの名前解決のみになり、DNSベースの名前解決は想定されていませんので139/tcpは使われません。また。WinNTプロバイダADSI接続ポートですが135/TCPとエフェメラルポート(これに接続できない場合、445/TCP)が使われます。これはADSIがRPCとして提供されているためです。

    > アカウントを制限する場合に、上記のPowerShellスクリプトを都度実行する認識で問題ないでしょうか。

    前回のサンプルは、単に「対象マシンのローカルアカウントを検索し(該当するものを)表示する」というもので、それ以上のものではありません。「アカウントを制限する」というのが具体的に何を指しているかわからないので、何とも言えませんが、(Administratorとかではない)特定のユーザでADSI接続をしたい、というだけなら、相手側サーバのローカルアカウントと操作側マシンのローカルアカウントに同じユーザ名/パスワードのアカウントを作成し、操作側にこのユーザでログオンすれば動作します。このユーザは管理者アカウントである必要はなく、制限ユーザで問題ありません。スクリプトで制限する、という類ではないことはご理解ください。

    • 回答の候補に設定 佐伯玲 2013年7月9日 2:55
    • 回答としてマーク 佐伯玲 2013年7月16日 4:39
    2013年7月1日 3:50
    モデレータ

すべての返信

  • チャブーンです。

    まず、このフォーラムですが、ボランティアによる一般向けフォーラムであり、MSからの正式回答は得られませんし、回答者に指示もできません。有償レベルのサービスを想定されているのでしたら、パートナーフォーラムに質問し直してください。詳細はしたのリンクをご覧ください。

    http://social.technet.microsoft.com/Forums/ja-JP/announceja/thread/714402f2-360b-4e5d-a3cf-658636c0b494

    で、一応の答えですが、注意が必要と思われる点のみ列挙します。

    1. リモートデスクトップ接続が有効になっていれば基本問題ありませんが、「Remote Desktop Users」グループにユーザを登録する必要があります。ローカルAdministratorsグループにあるユーザは大丈夫「でした」が、KB2592687(RDP8.0更新)を適用した場合、ローカルAdministratorsグループを含め、「Remote Desktop Users」グループへの追加が必須になるので注意してください。
    2. コメントのとおりで基本問題ありませんが、ドメインアカウントとローカルアカウントで同じユーザ名を用意しておく理由がよくわかりません。どちらか一方を用意しておけば、ローカルレベルでは動くはずなので。
    3. ADSI接続?での事前の設定は特にありません。ただし、接続に使うアカウントの権限でできることは制限されます。たとえばローカルの制限ユーザで接続することもできますが、SAM内容の変更はできません。パススルー認証できるよう、クライアント側にも同じローカルユーザ(testuser?)を登録し、それで繋いでください。ドメインアカウントのADSI接続は検索で見つけられると思うので、ローカルアカウントのPowerShellスクリプトを書いておきます。
      [ADSI]"WinNT://<サーバ名またはIPアドレス>/<ユーザ名>"|Format-List *
    4. ADSIのポートですが、ローカルSAMの場合、135/tcpとエフェメラルポートまたは445/tcpでつなぎに行きます。


    2013年6月17日 2:06
    モデレータ
  • チャブーン様

    ご回答ありがとうございます。

    1,2,4について理解しました。

    >ADSI接続?での事前の設定は特にありません。

    特に設定なしでも、管理サーバとターゲットサーバはADSI接続できると認識して問題ないでしょうか。

    アカウントを制限する場合に、上記のPowerShellスクリプトを都度実行する認識で問題ないでしょうか。

    以上、よろしくお願いします。

    2013年6月24日 2:51
  • チャブーンです。

    しばらくフォーラムに返信ができませんでした。すみません。

    > 特に設定なしでも、管理サーバとターゲットサーバはADSI接続できると認識して問題ないでしょうか。

    ドメインに参加しているマシン(メンバーサーバ)であれば、管理要件上 135/TCPと445/TCPがあいているはずなので、この要件を満たしていれば大丈夫と思います。

    あわせて、いくつか訂正させてください。WinNTプロバイダADSI接続については、NBTベースの名前解決のみになり、DNSベースの名前解決は想定されていませんので139/tcpは使われません。また。WinNTプロバイダADSI接続ポートですが135/TCPとエフェメラルポート(これに接続できない場合、445/TCP)が使われます。これはADSIがRPCとして提供されているためです。

    > アカウントを制限する場合に、上記のPowerShellスクリプトを都度実行する認識で問題ないでしょうか。

    前回のサンプルは、単に「対象マシンのローカルアカウントを検索し(該当するものを)表示する」というもので、それ以上のものではありません。「アカウントを制限する」というのが具体的に何を指しているかわからないので、何とも言えませんが、(Administratorとかではない)特定のユーザでADSI接続をしたい、というだけなら、相手側サーバのローカルアカウントと操作側マシンのローカルアカウントに同じユーザ名/パスワードのアカウントを作成し、操作側にこのユーザでログオンすれば動作します。このユーザは管理者アカウントである必要はなく、制限ユーザで問題ありません。スクリプトで制限する、という類ではないことはご理解ください。

    • 回答の候補に設定 佐伯玲 2013年7月9日 2:55
    • 回答としてマーク 佐伯玲 2013年7月16日 4:39
    2013年7月1日 3:50
    モデレータ
  • こんにちは、3051383 さん
    フォーラムオペレータの佐伯 玲 です。

    その後チャブーン さんからさらに寄せられた情報はご確認いただけましたでしょうか?
    ご参考になる情報ではないかと思い私の方で「回答としてマーク」とさせていただきました。

    追加でご質問等ございましたら引き続きこちらのスレッドへご返信くださいませ。

    宜しくお願い致します。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年7月16日 4:39