Windows Server2012 R2でのパスワードポリシー変更

Active Directoryで管理している時、パスワードポリシーの変更が必要になりました。変更の段取りです。

1. mmcで検索し、コンソールルートに追加
mmcを開き、スナップインの追加と削除から「グループポリシー管理エディタ」を追加します。

その時にグループポリシーオブジェクトの選択を聞かれるので、「Default Domain Policy」を選択します。

図のようにアカウントポリシーまでたどっていきます。

そこで色々変更できます。

参考
http://solomon-review.net/change-password-policy-windows-server-2012r2/
http://www.dell.com/support/article/jp/ja/jpbsd1/SLN296272/-windows--%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E7%92%B0%E5%A2%83%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8Bwindows-server-2012%E3%81%8A%E3%82%88%E3%81%B3windows-server-2012-r2%E3%81%A7%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E5%A4%89%E6%9B%B4%E6%89%8B%E9%A0%86?lang=JA

Windows Server 2012 R2でのUPKIサーバー証明書利用

Windows Server 2012 R2でのサーバー証明書利用についてのメモです。
NIIのUPKIを利用しているので、OpenSSLを利用してやっていきます。

1. OpenSSLのインストール
http://slproweb.com/products/Win32OpenSSL.html
にアクセスしてWindows用のインストーラを持ってきて、デフォルトでインストールしました。パスも通して起きます。
C:\OpenSSL-Win32\bin

コマンドプロンプトを開き、コマンドを確認します。
> openssl version

2. 秘密鍵の生成、CSRの生成
NIIの「証明書自動発行支援システムサーバ証明書インストールマニュアルIIS8.0・IIS8.5編-v1.3.pdf」を参考にしていきます。
秘密鍵をprivate.keyというファイル名で作ります。
> openssl genrsa -des3 -out private.key 2048
> openssl req –new –key private.key –sha1 –out servername.csr
DNの情報を入力します。これは資料のP13を参考にします。

C:\Users\Administrator>openssl req -new -key authentication.key -sha1 -out authentication.csr
Enter pass phrase for authentication.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:Academe
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Shizuoka Institute of
 Science and Technology
Organizational Unit Name (eg, section) []:Information Center
Common Name (e.g. server FQDN or YOUR name) []:mm.xxxx.ac.jp
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.

3. TSVファイルの作成とサーバー証明書の申請
https://certs.nii.ac.jp/tsv-tool/
にアクセスし、さっき作ったCSRファイルをアップロードして、必要な情報を入れます。
これを管理者に渡してサーバー証明書を作成してもらいます。
作成してもらうとメールがくるのでそこからサーバー証明書をダウンロードします。

4. ルート証明書と中間証明書の設定
ルート証明書を下記からダウンロードします。
https://repository.secomtrust.net/SC-Root1/index.html
マニュアルP14のように設定していきます。
次に中間証明書をインポートします。
今回sha1だったので、その中間証明書だけ入れたのですが、うまく認証されずsha2の中間証明書も入れたらうまくいきました。
https://repo1.secomtrust.net/sppca/nii/odca3/index.html

5. サーバー証明書のインポート
IISで取り込める形にします。
C:\Users\Administrator> openssl pkcs12 -export -inkey private.key -in mmm.xxxx.ac.jp.cer -out mmm.pfx
IISマネージャ->サーバー証明書->インポートでpfxファイルをインポートします。
次に、バインドでhttpsを追加します。

これでサーバーにhttps接続できることを確認します。

6. 証明書の確認
WindowsServer2012R2で証明書を確認しようとしたら、標準ツールみたいなものがなかったです。mmcと検索するとコンソールルートと言うものが開きます。
ファイル->スナップインの追加と削除->証明書 を選ぶと見れるようになりました(コンピュータアカウントを選択)。

7. クライアント証明書を要求しない
今の設定だとアクセスしたときにクライアント証明書を要求します。今回は学内なので、クライアント証明書の要求無しでやります。
クライアント証明書を無視にします。

VMWare FusionでのMigration

VMWare Fusionを使ってMigrationをしました。
具体的にはMacBookProで動いているVMWare FusionのWindowsServerをMacProで動いているFusionへ移動させました。

１．移動元の設定(WindowsServer)
MacBookPro上のWindowsServerにVMWare Fusion PC MIgration Agentを入れました。
Windows ServerのUACが有効になっている場合はダイアログが出て、無効にし再起動になります。再起動後、Agentを立ち上げると「IPアドレス:ポート番号」が出てきます。

２．移動先の設定(MacPro)
ファイル->PCを移行 で実施しますが、共有の部分でエラーが出ました。

ファイル共有で全員を読み書きにする必要がありそうです。これで約２０GのWindows Serverが約15分程度で移行できました。

ちょっと起動に時間がかかりましたが、無事起動しました。このやり方でVMの環境を集約していこうと思います。