Hello, it's me again.

Following the idea of my other post on Active Directory Management Pack – Addendum for Trust Monitoring, I went ahead with the troubleshooting and resolved an issue with the Active Directory Federation Services 2012 R2 that one of my customers is having.

Basically, the issue is that the current MP version, that you can download from HERE, raise an alert saying that the "MEX Endpoint Is Unreachable" even when it is fully OK.

The issue for this false positive seems to be that the script does not exclude from the check, those servers whose role is not "PrimaryComputer". Having that said, I created a modified version of the script (and of whatever is needed to run it) and put it into a simple addendum MP that contains the following:

• A DataSource module which contains the fixes script used to perform the check only on PrimaryServer role
• A UnitMonitorType which parses the output from the DataSource module
• A UnitMonitor which contains the script body and reports on the MEX health by creating an alert in case the status is not good.
• A pre-defined override to disable the original monitor.

This addendum MP, only works with the MP version released by Microsoft for Active Directory Federation Services 2012 R2. To use it, just import it. No need for additional overrides or configuration.

If you want to give it a try, download the Zip file from the link below and import it.

I hope this addendum will relieve your pain, a bit.

Thanks

Microsoft.ActiveDirectoryFederationServices.2012.R2.Addendum.xml

In der letzten Woche haben Microsofts Hardware-Partner auf der #IFA2017 eine große Bandbreite an Geräten mit Windows 10 vorgestellt, die zum Weihnachtsgeschäft verfügbar werden. In diesem Blog zeigen wir Euch eine Auswahl der coolsten PCs und Laptops, die aktuell in Berlin zu sehen sind.

Die diesjährige IFA steht für Microsoft ganz im Zeichen der neuen Windows Mixed Reality Headsets von Partnern wie Acer, Dell, Lenovo, HP und ASUS. Neben den zukunftsweisenden Geräten, von denen erste bereits mit dem Rollout des Windows 10 Fall Creators Update am 17. Oktober 2017 verfügbar werden, präsentieren unsere Partner auf der Messe eine Vielzahl moderner PCs mit Windows 10.

Die vorgestellten Devices sind vorbereitet für moderne Windows 10-Funktionen wie Windows Ink, Cortana oder Windows Hello. Hardwareseitig sind sie auf dem Stand der Technik und kommen je nach Ausstattung mit der 8. Generation von Intels Core i7 Prozessoren, neuesten NVIDIA-Grafikkarten, ausdauernden Akkus sowie hochauflösenden OLED- und 4K-Bildschirmen.

Premium 2in1-Geräte

Das Lenovo Yoga 920 ist ein 2in1-Laptop aus dem High-End-Segment. Es kommt mit einem hochwertigen Unibody-Gehäuse aus Metall und einem geringen Gewicht von nur 1,37 Kilogramm. Trotz der hochwertigen Verarbeitung ist der Laptop mit einer Gehäusedicke von 13,95 Millimetern sehr schlank. Der 4K-IPS-Touch-Bildschirm erlaubt hohe Auflösungen und die Bedienung mittels Stift. Cortana-Sprachbefehle registriert das Gerät aus einer Entfernung bis zu vier Metern.

Pioniercharakter besitzt das Acer Switch 7 Black Edition: Das 2in1 besitzt keinen Grafikchip, sondern eine externe NVIDIA Geforce MX150 Grafikkarte. Somit eignet es sich besonders für Anwender, die auch von unterwegs rechenintensive Aufgaben erledigen müssen. Dank einer Lüfter-losen Kühlung bleibt das Switch 7 auch bei hoher Belastung ein ruhiger Begleiter. Außerdem kommt es mit einem batterielosen Pen.

Mit dem ZenBook Flip 14 zeigt ASUS einen sehr flachen 2in1-Laptop mit 360-Grad-Touchscreen. Obwohl es nur 13,9 Millimeter dünn ist, bietet das Flip 14 ganze 16 GB Arbeitsspeicher, eine Akkulaufzeit von 13 Stunden und ein Audio-System von Harman und Kardon.

2in1-Devices für jeden Tag

Das Dell Inspiron 7000 gibt es als 13-Zoll- oder 15-Zoll-Variante mit einem Gehäuse aus gebürstetem Aluminium. Im Fokus steht das hochauflösende 4K-IPS-Display, das Multi-Touch für zehn Finger unterstützt. Mit an Bord sind eine NVIDIA GeForce 940MX Grafikkarte, DDR4-Arbeitsspeicher und moderne Anschlüsse wie USB-C.

Das Lenovo Miix 520 ist ein wahres Arbeitstier. Erhältlich ist das Detachable mit IPS-Touchscreen je nach Modell mit Intel Core i7 Prozessoren der 8. Generation, LTE, bis zu 16 GB DDR4-Arbeitsspeicher und einer Speicherkapazität von bis zu 1TB (PCIe SSD). Trotz der umfassenden Ausstattung ist es bloß 15,9 Millimeter dünn und wiegt nur 1,26 Kilogramm.

Business-PCs & All-in-Ones

HPs ProBook 430 G4 Serie eignet sich für die professionelle Nutzung im Büro wie im Außendienst. Es bietet genügend Akkulaufzeit für einen ganzen Arbeitstag, eine mit Aluminium verstärkte Tastatur und kommt ab Werk mit vorinstalliertem Windows 10 Pro.

Der Acer Aspire S24 ist ein All-in-One mit einem sehr dünnen Full-HD-IPS Display. Der kippbare Bildschirm hat ein Seitenprofil von nur 5,97 Millimetern. Ein äußerst schmaler Displayrand von nur 2,7 Millimetern ermöglicht zudem eine Bildschirmfläche von 90 Prozent auf der Vorderseite. Außerdem besitzt das S24 eine Auflagefläche zum kabellosen Laden von mobilen Geräten.

Windows 10 S PCs

Das Fujitsu Lifebook P727 ist ein 2in1-Gerät mit Windows 10 S, einer speziellen Konfiguration von Windows 10 Pro, optimiert für höchste Sicherheit und Leistungsfähigkeit. Über einen mitgelieferten Stift lassen sich digitalen Notizen verfassen, Dokumente bearbeiten, Diagramme erstellen und vieles mehr. Damit immer genug Strom zur Verfügung steht, ist der Akku im Standby-Modus austauschbar.

Surface Laptop vereint Mobilität, Performance und elegantes Design in einem schlanken Gerät. Hochwertige Materialkombinationen sorgen für eine komfortable Bedienung: Mit „Alcantara“ überzogen, ermöglicht die Tastatur ein angenehmes Schreibgefühl.

Gaming-Laptops

ASUS zeigt mit dem ROG Chimera ein leistungsstarkes Gaming-Notebook mit Windows 10, das mit einem hochauflösenden und schnell reagierenden 17-Zoll-Weitwinkel-Display ausgestattet ist. Außerdem läuft es mit dem aktuellsten Intel Core i7-7820HK Prozessor und einer GeForce GTX 1080 Grafikkarte. Dank integriertem Xbox Wireless verbinden Gamer ihr Xbox-Zubehör ohne zusätzliche Adapter mit dem Rechner.

Der Dell Inspiron 15 7000 Gaming Laptop besitzt eine separate NVIDIA GeForce GTX 1060 Grafikkarte und kommt mit dem innovativen Max-Q-Design von NVIDIA. Zwei spezielle Lüfter halten das System während des Spielens kühl und leise. Dieses ermöglicht hohe Leistung in einem kompakten Format.

Alle Device-Highlights der diesjährigen IFA gibt es noch bis zum 6. September 2017 auf den Ständen von Microsoft und seinen Partnern zu sehen. Infos und Bildmaterial zu den Geräten gibt es unter https://aka.ms/ifa2017_presskit oder auf dem Windows Blog.

Ein Beitrag von Irene Nadler
Communications Manager Devices und Services

There is no direct Powershell module for HP servers available yet but the CLI tools can help us here. You can also use SCOM where a management is available for HP to monitor health of HP hardware. if you have not SCOM running we can work with Powershell and execute the HP CLI tools and check the reported states of disks

we need some global params a.e. to store in a logfile the results

$localhost="SERVERNAME"
Get-item ".log.txt" -ea 0 | Remove-Item -ea 0
$logfile=".log.txt"
$programpath='C:Program FilesHPhpssaclibin'


we can build a function to be able to call that later in our script:


function CheckSmartArray {
Write-Host " "
Write-Host "Checking SmartArray on system"$localhost"" -foregroundcolor green
C:WindowsSystem32cmd.exe /c "C:Program FilesHPhpssaclibinhpssacli.exe" controller slot=0 physicaldrive all show
}


now do we want to check that daily manually? or would be an automated solution like sending a mail in case of a failure? Ok, lets build the SMTP parameters so we can grab the results from HP CLI


function SentDiskDrivefailedviaMail {
$Logs=Get-Content $logfile
$smtpServer = "smtp.contoso.com"
$smtpFrom = "datacenterteam@contoso.com"
$SMTPPort = "25"
$Username = "datacenterteam@contoso.com"
$Password = "ContosoPassword1"
$smtpTo = "datacenterteam@contoso.com"
$messageSubject = "Disk Drive failed at $localhost"
[string]$messagebody = ""

foreach ($log in $logs )
{
$messagebody = $messagebody + $log + "`r`n"
}
Write-Host "Failed Disk found on Server $servername - starting to sent mail to $smtpTo via $smtpServer ...." -ForegroundColor red
$smtp = New-Object Net.Mail.SmtpClient($smtpServer)
$smtp.Credentials = New-Object System.Net.NetworkCredential($Username, $Password);
$smtp.Send($smtpFrom,$smtpTo,$messagesubject,$messagebody)
Write-Host "mail sent completed " -ForegroundColor green
Write-Host " "
}

Now we have 2 functions which can be called and executed, lets finalize the script. first we need to analyze the log for failed disk and if true, build mail object and transfer via SMTP


CheckSmartArray | out-file -filepath $logfile -append

[array]$logcontent=gc $logfile
foreach ($line in $logcontent) {
if ($line -match "Failed") {
Write-Host " "
write-host "failed disk found at $localhost " -foregroundcolor red
write-host "detailed logs can be found $logfile " -foregroundcolor red
Write-Host " "
SentDiskDrivefailedviaMail
}
}

here you can find the HP “Configuring Arrays on HP Smart Array Controllers Reference Guide“ for further details

http://h10032.www1.hp.com/ctg/Manual/c02289065.pdf

Hope this helps,

Ramazan

Part of our Microsoft Baseline Security Analyzer offering is retrieving a list of missing security updates. Today I would like to share the script to remotely do this in your infrastructure with you.The first step before this script can be executed is downloading the actual cab file that can be used to scan for updates from here: https://support.microsoft.com/en-us/help/926464/a-new-version-of-the-windows-update-offline-scan-file--wsusscn2-cab--i. The script which we will examine closer will attempt an automatic download of the cab file.

The second step is downloading the actual script itself, which is hosted on GitHub: https://github.com/nyanhp/GetMissingUpdates

Let's go over this simple script step by step.

param
(
    [Parameter(Mandatory = $true)]
    [System.String[]]
    $ComputerName,

    [Parameter(Mandatory = $true, ParameterSetName = 'Path')]
    [System.String]
    $Path,

    # As of Sep 2017 http://go.microsoft.com/fwlink/?linkid=74689
    [Parameter(Mandatory = $true, ParameterSetName = 'Url')]
    [System.String]
    $DownloadUri,

    [Parameter()]
    [System.String]
    $UpdateSearchFilter = 'IsHidden = 0',

    [Parameter()]
    [pscredential]
    $Credential
)

The parameters should be quite clear. A list of computer names to connect to, either the source path or the download link to the wsusscn2.cab, the update search filter as well as a credential in case Kerberos is not available. If the parameter set 'Url' is chosen, the script will attempt to download the cab file to [System.IO.Path]::GetTempPath().

In general, the script will copy the wsusscn2.cab to all targets first. How long this step takes depends entirely on you: If the administrative share can be accessed, we will use Copy-Item. If it is not available, but the source system has at least WMF5.0 installed and the target system is running at least WMF3 we will make use of the new ToSession parameter of Copy-Item. If all else fails, we will use Lee Holmes' methods Send-File and Write-File to stream the file via WinRM to our targets. These methods range from fastest to slowest in this order.

try
{
    $osRoot = Invoke-Command -Session $session -ScriptBlock { $env:SystemDrive } -ErrorAction Stop
}
catch
{
    Write-Host ('Error retrieving OS root path from {0}. Assuming issue with the connection. Error was {1}' -f $computer, $_.Exception.Message)
    Write-Error -Message ('Error retrieving OS root path from {0}. Assuming issue with the connection. Error was {1}' -f $computer, $_.Exception.Message)
}

try
{
    $osPSVersion = Invoke-Command -Session $session -ScriptBlock { $PSVersionTable.PSVersion.Major } -ErrorAction Stop
}
 catch
{
    Write-Host ('Error retrieving OS Powershell version from {0}. Assuming issue with the connection. Error was {1}' -f $computer, $_.Exception.Message)
    Write-Error -Message ('Error retrieving OS Powershell version from {0}. Assuming issue with the connection. Error was {1}' -f $computer, $_.Exception.Message)
}

$adminShare = '\{0}{1}$' -f $computer, ($osRoot -replace '[:\]')
$useSmb = Test-Path $adminShare

$destination = (Join-Path -Path $osRoot -ChildPath wsusscn2.cab)

On the target, a script block is executed. In this block, we instanciate the COM classes Microsoft.Update.Session and Microsoft.Update.ServiceManager and make use of a couple of methods to initiate the offline scan.
First of all, an UpdateManager object is needed that knows the offline scan cab file:

$UpdateService = $UpdateServiceManager.AddScanPackageService("Offline Sync Service", $Destination)

Afterwards an UpdateSearcher will be created with the offline scan repository. Notice here the ServiceID which is set to the GUID of the updater service. The server selection value of three classifies this as an unmanaged server ( https://msdn.microsoft.com/en-us/library/windows/desktop/aa387280(v=vs.85).aspx ).

$UpdateSearcher = $UpdateSession.CreateUpdateSearcher()
$UpdateSearcher.ServerSelection = 3
$UpdateSearcher.ServiceID = $UpdateService.ServiceID

Lastly, the updates are located by using a search filter:

$SearchResult = $UpdateSearcher.Search($UpdateSearchFilter)

.GetMissingUpdates.ps1 -ComputerName serverA,serverB,serverC -Path D:wsusscn2.cab -Credential (Get-Credential) -Verbose

Applies to: Exchange Online, Exchange Online Protection.

This scenario is addressed to companies that generate high mail flows or use multiple applications to relay emails.

Many admins are at some point facing a situation where analyzing a complex transport scenario is needed, this being translated into generating lengthy message traces.

The purpose of this article is to help Office 365 administrators generate message trace CSVs that contain more than 5000 lines each.

Microsoft documented the limitation of the 5000 results in a message trace in the following TechNet article: https://technet.microsoft.com/en-us/library/jj200712(v=exchg.150).aspx

The following script is using the parameters: “-Page” and “-PageSize” to go around this 5000 limitation:

https://technet.microsoft.com/en-us/library/jj200704(v=exchg.160).aspx

By declaring the -PageSize to the maximum allowed value of 5000 and using the parameter -Page we force the trace generation to move to another page, incrementally, once the 5000 lines are filled with data.

DISCLAIMER: This application is a sample application. The sample is provided "as is" without warranty of any kind. Microsoft further disclaims all implied warranties including without limitation any implied warranties of merchantability or of fitness for a particular purpose. The entire risk arising out of the use or performance of the samples remains with you. in no event, shall Microsoft or its suppliers be liable for any damages whatsoever (including, without limitation, damages for loss of business profits, business interruption, loss of business information, or other pecuniary loss arising out of the use of or inability to use the samples, even if Microsoft has been advised of the possibility of such damages. Because some states do not allow the exclusion or limitation of liability for consequential or incidental damages, the above limitation may not apply to you.

Before running the below script, you must meet the following prerequisites:

Global Admin permissions on Exchange Online.

PowerShell access to the Office 365 tenant.

The same logic applies to Get-MessageTraceDetailed : https://technet.microsoft.com/en-us/library/jj200681(v=exchg.160).aspx

In addition to this sample transcript you can use all the parameters accepted by the Get-MessageTrace Get-MessageTraceDetailed cmdlets.

みなさま、こんにちは。WSUS サポート チームです。

今回は WSUS で「削除の承認」を設定しても Windows 10 のクライアントに反映されない事象について紹介します。問題の修正については、さらに開発部門から進展が得られた場合には、本ブログを更新する予定です。ご不便をおかけしますが、何卒ご了承賜りますようお願い申し上げます。

- 事象の概要

WSUS サーバー上で更新プログラムの「削除の承認」を実施しても、Windows 10 クライアントで更新プログラムのアンインストールが行われません。

- 対処方法

Windows 10 バージョン 1703 以降の環境においては、本不具合が修正されております。

それ以前のバージョンでは現時点で本不具合は修正されていないため、更新プログラムのアンインストールについては、下記のようなコマンドをスタートアップ スクリプトやシャットダウン スクリプトに仕掛けて、アンインストールを実施する必要があります。

- 実行コマンド

wusa.exe /uninstall <対象の更新プログラムの MSU ファイルのパス> /quiet /norestart

みなさま、こんにちは。WSUS サポート チームです。

今秋にも Windows 10 Fall Creators Update のリリースが予定されておりますが、Windows 10 の展開も進み、更新プログラムやアップグレードの配信についてどうするか検討されているお客様も多いのではないでしょうか。Windows 10 においては、更新プログラムが累積型となり、サイズが大きくなっております。また、アップグレード用の更新プログラム (機能更新プログラムと呼びます)  も数 GB のファイル サイズとなりますので、WSUS クライアントと WSUS サーバー間のネットワーク帯域を逼迫させないためにどうすべきか議論にあがることもあるかと存じます。

WSUS 環境におけるネットワーク帯域制御については、こちらのブログ記事が役に立ちますが、この設定に加えて、そもそも WSUS サーバーからファイルをダウンロードする際のネットワーク トラフィックを抑えることができないかとお思いの事もあるかと思います。現時点において、ダウンロードする際のネットワーク トラフィックを抑える方法としては、次の 3 つがあります。

1. 高速インストール ファイルを有効にする
2. BranchCache を使用する
3. 配信の最適化を使用する

1. と 2. については、Windows 10 リリース以前から存在する方法ですので、ご存じの方も多いのではないでしょうか。(Windows 10 1607 以降で BranchCache を利用する際の条件については、こちらのブログ記事が役立ちますので、ご参照ください。) 3. の配信の最適化については、Windows 10 から導入された機能であり、当サポート チームにも配信の最適化がどういう機能か教えて欲しいというお問い合わせを多くいただくようになりました。

そこで、今回は全 3 回にわたって、「配信の最適化」の機能について説明いたしますので、検討の際にお役立ていただけますと幸いです。第 1 回は「概要篇」です。第 2 回は「グループポリシー篇」、第 3 回は「効果測定篇」を予定しております。

概要

「配信の最適化」 (Delivery Optimization : DO) とは、Windows 10 から導入された P2P 型の配布方法です。Windows 10 のアップグレードや累積形式の更新プログラムを配信した際に、世界的なネットワーク負荷高騰が発生してしまうことを防ぐために実装された機能であり、ホーム ユーザーまたは 数十台規模のスモール ビジネス環境での利用を主に想定しています。本機能を利用すると、品質更新プログラムや機能更新プログラムのダウンロードをインターネットや WSUS だけでなく、ピアとなるクライアントのキャッシュから細かく分割されたファイル単位で分散してダウンロードします。また、Windows 10 1607 から更新プログラムをダウンロードする既定のコンポーネントは、BITS から DO に変わりました。この機能は WSUS 環境でも使用することができます。

(参考情報)

Windows Update の配信の最適化に関する FAQ

動作フロー

WSUS 環境における、配信の最適化の動作フローは次の通りです。重要なポイントとしては、WSUS 環境であっても、配信の最適化を使用してダウンロード ソースのピアとなるクライアント端末を探すために、インターネットへの接続が必要になる、ということです。この点が BranchCache と大きく異なります。

1. クライアント A は WSUS に更新プログラムのチェックを行います。
2. WSUS は、更新プログラムの情報をクライアント A に返します。
3. クライアント A は Delivery Optimization のクラウド サービスにダウンロード ソースを要求します。
4. Delivery Optimization のクラウド サービスは、ダウンロード ソースの候補としてクライアント B と C を返します。
5. クライアント A は、クライアント B と C から、分割された更新プログラムのファイルを要求します。
6. クライアント A の要求に対して、B、C が応答します。応答がない場合は、WSUS からファイルをダウンロードします。
7. クライアント A は、分割された更新プログラムのハッシュをチェックします。ハッシュが異なる分割ファイルは破棄します。
8. クライアント A は、インストール前にすべてのファイルのハッシュをチェックします。

ポート要件

配信の最適化を使用するためのポート要件は次の通りです。

・クライアント -> インターネット(HTTP  80、HTTPS 443)
・クライアント <-> クライアント (TCP 7680)
・クライアント <-> クライアント (UDP 3544) ※
※ NAT を超えた P2P を使用する場合。また、Teredo サービスを有効にする必要があります。

なお、クライアント -> インターネットにおいては、次の URL に対して、HTTP RANGE 要求を許可するようにプロキシを構成する必要があります。

• *.download.windowsupdate.com
• *.au.windowsupdate.com
• *.tlu.dl.delivery.mp.microsoft.com

(参考情報)

Windows の更新のためのプロキシの要件

前提条件

配信の最適化を使用するためには、次の前提条件を満たす必要があります。

1. ディスクの容量が 32 GB 以上であること。
2. メモリが 4 GB 以上であること。
3. ダウンロードする ファイルが 100 MB 以上であること。
4. ダウンロードするファイル サイズの x2 以上の空きディスク領域があること。

なお、1. ～ 3. の前提条件については、Windows 10 1703 からグループ ポリシーを使用して設定変更可能です。

(参考情報)

Windows 10, Delivery Optimization, and WSUS: Take #2

ログ

配信の最適化に関するログは、%windir%Logsdosvc に ETL 形式で保存されますが、こちらは現在のところ、シンボルが公開されておりませんので、お客様ご自身でデコードして、解析いただくことはできません。また、パフォーマンス カウンターも用意されておりませんので、ピアからダウンロードしているかどうかを正確に確認する場合は、パケットを解析していただく必要があります。但し、ファイルがキャッシュされているかどうかであれば、次のフォルダーにファイルが存在するかどうかでご確認いただけますので、まずはこちらをご確認ください。

%windir%SoftwareDistributionDeliveryOptimization

当該フォルダー配下に実体となるファイルとメタデータである pieceshash ファイルが配置されます。

また、Windows 10 1703 からジョブを確認するための次の PowerShell コマンドが用意されました。

• Get-DeliveryOptimizationStatus
• Get-DeliveryOptimizationPerfSnap

こちらのコマンドの出力結果の詳細は第三回「効果測定篇」で説明する予定です。なお、Windows 10 1703 以前の Windows 10 でも、次のレジストリ値より、DO ジョブの確認可能です。こちらも参考までにお役立てください。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDeliveryOptimizationJobs

「概要篇」は以上です。Windows 10 から実装された機能ですので、ビルド毎に新しい機能が搭載されている状況ではありますが、今後のご検討の際に是非ともお役立てください。次回は「グループポリシー篇」です。

(免責事項)
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

みなさま、こんにちは。WSUS サポート チームです。

今回は WSUS サポート チームに、多くご質問いただく内容の 1 つである WSUS レポートに表示される「状態」の項目について説明いたします。WSUS のレポートからクライアントへの更新プログラムの配信可否を確認出来る、非常に便利かつ強力な機能です。

WSUS のレポートや管理コンソールに表示される「状態」情報には、以下 (A) (B) の 2 種類の表記があります。

(A) 詳細表示

下記の詳細レポート画面に表示される内容です。個々の更新プログラム毎の具体的な状態を示します。

(B) サマリー表記

下記の４種類に集計(サマライズ)した表記です。表形式レポートのほか、管理コンソールの更新ビューの「状態」フィルターなどに表示されている情報です。

本表記にて全てのクライアントが「インストール済みまたは該当しない」に該当している場合には、配信が必要なクライアントには全て配信が完了出来ているものと判断できます。

※ ただし、通常のレポートや管理コンソール上での表記には、更新プログラムをインストール承認していない (配信対象としていない) クライアントもカウントの対象となっているため、ご注意ください。更新プログラムをインストール承認しているクライアントに限定して、レポートを表示する場合には、管理コンソール上の [レポート] メニューより [承認済み更新プログラムについての更新状態 (表形式)] や [承認済み更新プログラムについてのコンピューターの状態 (表形式)] を利用します。

それぞれの「状態」について詳細を案内しますので、是非普段のご運用にご活用してください。

(A) 詳細表示

下記 (A-1) ～ (A-7) の 7 通りが存在し、それぞれ以下のクライアントの状態を示します。

(A-1) ダウンロード済み

クライアントに対して、その更新プログラムが適用可能であり、クライアントにダウンロードされているが、未インストールである。

(A-2) 失敗

クライアントで、その更新プログラムのインストールが失敗した。

(A-3) インストール済み

その更新プログラムがクライアントにインストールされた。

(A-4) 再起動の保留中

その更新プログラムのインストールはクライアントで実行された。しかし、クライアントを再起動するまで更新プログラムはインストール完了できない。

(A-5) 適用なし

実際に更新プログラムがインストール済みのケースを含め、以下のようなケースが含まれます

- システムが対象外

そもそも適用の前提条件を満たさない。OS やアプリケーションの種類、バージョンなどが対象外である。

- システム更新済み

システムが、その更新プログラム適用済みと同等か、それ以降の状態にあるとみなすことがでできる。このケースには、さらに次のケースが含まれます。

・インストール済み

該当の更新プログラムを 実際にインストール完了した経緯がある。

・より新しい更新がインストール済み

該当の更新プログラムのインストール経緯に関わらず、その更新プログラムの内容を含む

(置き換える) 後続の更新プログラムがインストール済みである。

(A-6) インストールされていません

クライアントに対して、その更新プログラムが適用可能であるが、

クライアントにダウンロードおよびインストールされていない。

(A-7) 状態の報告なし

クライアントにおいて、その更新プログラムの状態が不明である。

具体的には、以下のようなケースの場合に「状態の報告なし」との表示になります。

該当の更新プログラムのカタログ情報が WSUS サーバーへ着信して以降

- まだクライアントが一度も WSUS サーバーにアクセスしていない

- クライアントは WSUS サーバーにアクセスを行ったが、その検出結果 (レポート情報) を WSUS サーバーへ一度も報告していない

- クライアントは WSUS サーバーにアクセスを行い、その検出結果 (レポート情報) を WSUS サーバーへ報告したことがあるが、該当の更新プログラムが「拒否済み」になったことにより 該当情報が WSUS サーバー内で破棄された

(B) サマリー表記

上記 (A-1)～(A-7) を、管理上の観点から 下記 (B-1)～(B-4) の４種類に集計 (サマライズ) した表記です。表形式レポートのほか、管理コンソールの更新ビューの「状態」フィルターなどに表示されている情報です。

(B-1) 必要

-----------------------------------------------------------

(A-1) ダウンロード済み

(A-4) 再起動の保留中

(A-6) インストールされていません

(B-2) インストール済みまたは該当しない

-----------------------------------------------------------

(A-3) インストール済み

(A-5) 適用なし

(B-3) 失敗

-----------------------------------------------------------

(A-2) 失敗

(B-4) 状態の報告なし

-----------------------------------------------------------

(A-7) 状態の報告なし

~ 参考情報 ~

- Update Status Report Terminology for WSUS 3.0 SP2

http://technet.microsoft.com/en-us/library/dd939917(WS.10).aspx

こんにちは。WSUS サポート チームです。

Windows 10 がリリースされてから月日が立ち、WSUS で Windows 10 を管理されるお客様も増えてきています。

このブログ記事では、そんなお客様に向けて Windows 10 の管理に関してこれまで公開してきたブログや公開情報を纏めて紹介します。これからも順次更新していきますので、乞うご期待ください！

Windows 10 のサポート モデル

LTSC 以外の Windows 10 を管理する場合には、WaaS のサポート モデルに沿って、必ず継続的にアップグレードをする必要があります。基本的な WaaS (Windows as a Service) の考え方は、下記の公開情報にて紹介しているので、ご参考としてください。

- サービスとしての Windows のクイック ガイド

https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-quick-start

また、各 Windows 10 バージョンのサポート期間は下記にて紹介しています。

- Windows ライフサイクルのファクト シート

https://support.microsoft.com/ja-jp/help/13853/windows-lifecycle-fact-sheet

各バージョンや更新プログラムのリリース履歴については、下記の公開情報を用意しています。

- Windows 10 のリリース情報

https://technet.microsoft.com/ja-jp/windows/release-info.aspx

- Windows 10 の更新履歴

https://support.microsoft.com/ja-jp/help/4018124/windows-10-update-history

設計時のTips

WSUS サーバー側のTips

WSUS からアップグレードを配信するためには、事前に準備が必要です。詳細は下記ブログで紹介しています。

- WSUS サーバーからの Windows 10 のアップグレードの配信

https://blogs.technet.microsoft.com/jpwsus/2016/02/11/wsus-windows-10/

また、各 OS の WSUS の最新バージョンについては下記ブログで紹介しているため、基本的に最新バージョンを利用することをご検討ください。

- WSUS サーバーのバージョン番号について

https://blogs.technet.microsoft.com/jpwsus/2016/02/16/wsus-18/

アップグレードや更新プログラムの累積化に伴って Windows 10 では更新プログラムのサイズが大きくなっています。WSUS 利用時のネットワーク帯域制御方法については下記で紹介しています。

- WSUS 環境のネットワーク帯域制御について

https://blogs.technet.microsoft.com/jpwsus/2012/03/15/wsus-4/

- Windows 10 バージョン 1607 の環境にて BranchCache を利用する際の条件

https://blogs.technet.microsoft.com/jpwsus/2017/03/15/win10-1607-branchcache/

- 配信の最適化について #1 概要篇

https://blogs.technet.microsoft.com/jpwsus/2017/09/04/aboutdo_1/

Windows 10 を管理するためにオプションにて選択する製品については、下記にて紹介しています。

- WSUS で選択する Windows 10 の製品分類について

https://blogs.technet.microsoft.com/jpwsus/2016/09/23/wsus-windows-10-product/

- Windows 10 LTSB の 更新プログラムを WSUS で同期する際の注意事項について

https://blogs.technet.microsoft.com/jpwsus/2017/08/09/windows-10-ltsb/

クライアント側の Tips

クライアント側での自動更新の動作の制御については、下記ブログで紹介しています。

- Windows 10 の Windows Update の自動更新設定

https://blogs.technet.microsoft.com/jpwsus/2015/09/17/windows-10-windows-update/

また、以下のブログは Windows 10 向けのものではありませんが、グループ ポリシーの動作に変化はありませんので、ご参考としてください。

- WSUS クライアントのグループ ポリシー : その 1 – 基本編

https://blogs.technet.microsoft.com/jpwsus/2015/03/24/wsus-1/

- WSUS クライアントのグループ ポリシー : その 2 – Windows 8 / Windows Server 2012 以降編

https://blogs.technet.microsoft.com/jpwsus/2015/03/24/wsus-2-windows-8-windows-server-2012/

WSUS サーバーとクライアントの間にプロキシが存在する場合には、必ずネットワーク環境に合わせて適切にプロキシを構成する必要があります。下記の情報をご確認ください。

- プロキシ サーバー経由での Windows Update へのアクセスについて

https://blogs.technet.microsoft.com/jpwsus/2017/05/17/proxy-settings/

よくお問い合わせいただく既知の問題

よくお問い合わせをいただく既知の問題については、ブログを用意していますのでご参考としてください。

WSUS サーバー側の問題

- Windows 10 を管理している環境で WSUS サーバー の負荷が高騰する

https://blogs.technet.microsoft.com/jpwsus/2017/08/30/win10-high/

クライアント側の問題

- Windows 10 バージョン1607 で更新プログラム適用後の自動再起動が実施されない

https://blogs.technet.microsoft.com/jpwsus/2017/07/10/win10-reboot/

- Windows 10 機能更新プログラムインストール後の再起動について

https://blogs.technet.microsoft.com/jpwsus/2017/07/07/update-and-restart/

- Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について

https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

- Windows 10 バージョン 1607 および Windows Server 2016 の環境で、更新プログラムのダウンロードが途中から進まなくなる問題について

https://blogs.technet.microsoft.com/jpwsus/2016/10/28/win10-stop-download/

- 「削除の承認」が Windows 10 / Windows Server 2016 のクライアントに反映されない事象について

https://blogs.technet.microsoft.com/jpwsus/2017/09/04/cant-delete-win10/

The goal of this blog is to share some information learned (the hard way) from recent customer engagement. Hopefully these tips will save you time and accelerate future MBAM deployments. MBAM has dependencies on SQL Server, IIS web services and Active Directory. As a result, it's important to set expectations up front regarding collaboration needs with other teams as this may be required. Like most, I always evaluate products in my lab first as to accelerate overall learning process and better forecast production requirements.

Insights into My Lab

I'm using Windows Server 2016 as a Hyper-V host which supports UEFI and virtual Trusted Platform Module (TPM). Important to note, this is only available in generation 2 virtual machines. Additionally, I have a Domain Controller, MBAM Server and Windows 10 Client (vTPM). As a result, I can evaluate and deploy MBAM without any hardware requirements (which is awesome). Please ensure on Windows 10 client to check "Enable Secure Boot" and "Enable Trusted Platform Module." (*MBAM and encryption within VMs is for evaluation only)

Handy documentation

Deploying MBAM 2.5 in a stand-alone configuration provides step-by-step with videos. Do yourself a favor and DO NOT skip any steps.

MBAM version chart provides clear understanding of patch levels for MBAM.

Common Troubleshooting Issues Encountered When Configuring MBAM 2.5 (Thank you Bill Spears)

How to Deploy the MBAM Client as Part of a Windows Deployment automate, automate, automate

Evaluating MBAM 2.5 in a Test Environment – configures MBAM client to check in every minute which can be very helpful

MBAM Database configuration – minimum permissions – detailed explanation of SQL permissions, review before MBAM configuration

TIPS

On a fresh deployment, install MBAM immediately followed by latest rollup, before configuring MBAM. The reason is rollups for MBAM only take effect when the add feature wizard is run (This will ensure you're up-to-date from the start). Similarly, existing MBAM deployments require rollup to be installed followed by removal and then re-addition of features via MBAM wizard. Failure to follow this approach will likely lead to inconsistent and unexpected behavior as version mismatch may occur. Please ensure the MBAM client is also up-to-date.

[Existing MBAM deployment patching procedure]

1st Remove feature (do this by opening the MBAM Server Configuration Tool, then select Remove Features)

2nd Remove MDOP MBAM from Control Panel | Programs and Features

3rd Install MBAM 2.5 SP1 RTM

4th Install June 2017 (or latest rollup) Server Update

5th Configure MBAM features using Server Configurator

6th Deploy the Client Update rollup

You can verify MBAM Server patch level and all features match by comparing version numbers in following locations:

HKLMSOFTWAREMicrosoftMBAM ServerInstalled and HKLMSOFTWAREMicrosoftMBAM ServerVersion

* If you plan on using SQL 2016 you must ensure MBAM at least June 2017 servicing release (KB4018510).

Notice final screen on the MBAM configuration wizard offers an export to PowerShell feature. This can greatly ease the burden of administration during product maintenance periods instead of manually inputting all the fields. (tedious and error prone)

Any IIS install from Server Manager created default website which is configured on port 80. Remove this website or change port to something else. Failure to do so will lead to error during web site creation.

Deploying MBAM 2.5 in a stand-alone configuration states "SQL Server Reporting Services must be installed and configured in "native" mode and not in unconfigured or "SharePoint". You'll need to record URL for SQL Reporting Services prior to MBAM configuration, make sure you can hit it via web page. If you installed SQL in unconfigured mode, you will need to setup SQL Server Reporting Services yourself before starting.

At the time of this writing, the MDOP Group Policy to enforce encryption immediately on Operating System volume does not work in virtual environment. If you find yourself thinking everything is in order but BitLocker encryption is not starting, that's the reason. (This is one scenario where physical is required) I recommend link above How to Deploy the MBAM Client as Part of a Windows Deployment and use MDT to kick off encryption in the start restore phase of the deployment itself. I also make sure the MBAM client is patched and have added application as a step in my task sequence. The script also provides easy method to alter BitLocker cipher strength to align with your security team requirements.

Review blog above "MBAM Database configuration – minimum permissions" about SQL permission requirements. There is nothing more frustrating than running MBAM configuration wizard only to find out permissions are incorrect.

Post installation

So, you took our advice and followed every tip and step from guide above and you've got MBAM installed! As a part of your certification process you find compliance information is not populated in MBAM among other issues. Please see Common Troubleshooting Issues Encountered When Configuring MBAM 2.5 and ensure items outlined are checked and double checked. The following log locations should be clean.

Event Viewer – Applications and Services Logs – Microsoft – Windows – MBAM (Admin and Operational)

Advanced troubleshooting example when things don't go as planned

Remember when I said, learned the hard way… I installed the latest rollup for MBAM Server after (should have been before) all features were configured which meant my MBAM installation was really 2.5 SP1 RTM not patched with latest rollup. I didn't know this at the time of course and observed the following errors in event log channel.

[Admin Log on Client]

Error    8/2/2017 11:52           Microsoft-Windows-MBAM   4            TransferStatusDataFailed      "An error occurred while sending encryption status data."  -2143485933 or WS_E_ENDPOINT_FAULT_RECEIVED

This appears to be an error from MBAM web service and doesn't provide enough insight into root cause. On the server, you'll find a directory structure where MBAM website resides such as:

Each folder contains files with extension SVCLOG. You'll need a tool such as SvcTraceViewer.exe to read them. The rule of thumb is SVCLOGs which are 0 bytes are error free. In my case, logs were under the Compliance Status Service and looked like:

SvcTraceViewer generated message "PostKeyRecoveryInfo: Status info message deserialization failed for DEVMBAMCLIENT$"

The domain is "DEV" and client NetBIOS name is MBAMClient so while the record is from our troubled machine, it's not enough information to clearly understand RCA. Next step is collecting a simple network trace from our client. Since we have MBAM agent configured to check in every minute, we should be able to collect information very quickly. Typically, my approach is to use inbox ETW provider to collect network trace. (no need to install any tools etc.) I used the following commands from elevated command prompt.

ipconfig /flushdns

klist purge

netsh trace start capture = yes

<repro issue or wait 2 minutes and wait for error event creation in MBAM event log>

netsh trace stop

This will create a .ETL trace file in temp directory. You can use Microsoft Message Analyzer to read trace or export into format readable by Wireshark.

Looking at the time in the trace, we can see event every 60 seconds which aligns with our MBAM client lab configuration. We can also see 500 Internal Server Error. Inspecting error details within Wireshark, we find breakthrough in the case 'XTS-AES 256' is not a valid value for CipherStrengthType message.

MBAM 2.5 SP1 RTM doesn't support 'XTS-AES 256' because it was released at a later point in time with Windows 10 1607. I then found my MBAM Server didn't have latest binaries because at the time I wasn't aware of correct patching procedures outlined above. I was finally able to resolve errors by using MBAM configuration wizard to remove and then re-add features, verifying MBAM Server had latest rollup per links above.

Thanks for reading!

Dave Guenthner and Bill Spears

SEO Key words:

MBAM, MBAM 2.5, Microsoft BitLocker Administration and Monitoring ,servicing, XTS-AES 256, SvcTraceViewer.exe, troubleshooting tips

In case you are not already aware of this:
When you use the cool new scheduled Maintenance feature  in OpsMgr 2016 for an object it will overwrite any existing Maintenance duration for this object!

Let me show you a brief example:

In my lab I will place a server into a longer maintenance duration for several days (e.g. for a long term hardware maintenance):

Now imagine that somebody creates a shorter, scheduled Maintenance (in my exmple: 15 min) for this particular server (directly or via a group), e.g. for a weekly Maintenance window :

Once the scheduled maintenance task has been running...

... the maintenance window on our server has been reset to the time frame of the scheduled maintenance task and the original duration has been overwritten:

Please keep in mind:

The scheduled Maintenance mode will not check, if an object is already in Maintenance. It simply overwrites the existing Maintenance duration with its own duration.

Visual C++ 2005 Redistributables can be downloaded from the below locations

x86

8.0.50727.42: https://www.microsoft.com/en-in/download/details.aspx?id=3387

8.0.56336: https://www.microsoft.com/en-in/download/details.aspx?id=5638

8.0.59193: https://www.microsoft.com/en-in/download/details.aspx?id=14431

8.0.61001: https://www.microsoft.com/en-in/download/details.aspx?id=26347

x64

8.0.50727.42: http://www.microsoft.com/en-in/download/details.aspx?id=21254

8.0.56336: https://www.microsoft.com/en-in/download/details.aspx?id=18471

8.0.59192: https://www.microsoft.com/en-in/download/details.aspx?id=14431

8.0.61000: https://www.microsoft.com/en-in/download/details.aspx?id=26347

Visual C++ 2008 Redistributables can be downloaded from the below locations

x86

9.0.21022: https://www.microsoft.com/en-in/download/details.aspx?id=29

9.0.21022.218: https://www.microsoft.com/en-in/download/details.aspx?id=10430

9.0.30411.0: https://www.microsoft.com/en-in/download/details.aspx?id=10015

9.0.30729.17: https://www.microsoft.com/en-in/download/details.aspx?id=5582

9.0.30729.4148: https://www.microsoft.com/en-us/download/details.aspx?id=11895

9.0.30729.6161: https://www.microsoft.com/en-us/download/details.aspx?id=26368

x64

9.0.21022: https://www.microsoft.com/en-in/download/details.aspx?id=15336

9.0.21022.218: https://www.microsoft.com/en-in/download/details.aspx?id=10430

9.0.30411.0: https://www.microsoft.com/en-in/download/details.aspx?id=16771

9.0.30729.17: https://www.microsoft.com/en-in/download/details.aspx?id=2092

9.0.30729.4148: https://www.microsoft.com/en-us/download/details.aspx?id=11895

9.0.30729.6161: https://www.microsoft.com/en-us/download/details.aspx?id=26368

Visual C++ 2010 Redistributables can be downloaded from the below locations

x86

10.0.30319: https://www.microsoft.com/en-in/download/details.aspx?id=5555

10.0.30319.415: https://www.microsoft.com/en-us/download/details.aspx?id=21576

10.0.40219: https://www.microsoft.com/en-us/download/details.aspx?id=8328

10.0.40219.325: https://www.microsoft.com/en-au/download/details.aspx?id=26999

x64

10.0.30319: https://www.microsoft.com/en-in/download/details.aspx?id=14632

10.0.30319.415: https://www.microsoft.com/en-us/download/details.aspx?id=21576

10.0.40219: https://www.microsoft.com/en-us/download/details.aspx?id=13523

10.0.40219.325: https://www.microsoft.com/en-au/download/details.aspx?id=26999

Visual C++ 2012 Redistributables can be downloaded from the below locations

x86

11.0.61030: https://www.microsoft.com/en-us/download/details.aspx?id=30679

x64

11.0.61030: https://www.microsoft.com/en-us/download/details.aspx?id=30679

In a previous post we explained how to install the KB2982006:

Prerequisite (KB2982006) not satisfied when trying to install Skype for Business Server 2015
https://blogs.technet.microsoft.com/uclobby/2015/07/11/prerequisite-kb2982006-not-satisfied-when-trying-to-install-sfb-server-2015/

However, in a recent deployment with all the Windows Updates installed, including the KB2919442 and KB2919355,  we couldn't install the KB2982006:

We also got the same error in the Event Viewer > Windows Logs > Setup:

Log Name: Setup
Source: Microsoft-Windows-WUSA
Date: 04/09/2017 18:48:44
Event ID: 3
Task Category: None
Level: Error
Keywords:
User: RECOREAdministrator
Computer: sfbstd.recore.lab
Description:
Windows update could not be installed because of error 2149842967 "" (Command line: ""C:Windowssystem32wusa.exe" "C:UCLobbyWindows8.1-KB2982006-x64.msu" ")

The good news is we can use the DISM tool to manually add the KB2982006.

Before using DISM we need to make sure that KB2919442 and KB2919355 are already installed:

Get-Hotfix KB2919442,KB2919355,KB2982006

Please note that we cannot use a .msu file if we use the Online switch with DISM:

dism /Online /Add-Package /PackagePath:C:UCLobbyWindows8.1-KB2982006-x64.msu

We have to expand the .msu file first using the steps described here:

How to use DISM to install a hotfix from within Windows
https://blogs.technet.microsoft.com/askcore/2011/02/15/how-to-use-dism-to-install-a-hotfix-from-within-windows/

An easy way is to create a folder and copy the Windows8.1-KB2982006-x64.msu file and also create a KB2982006 sub-folder:

Then we expand the .msu with the following cmdlet:

Expand -F:* C:UCLobbyWindows8.1-KB2982006-x64.msu C:UCLobbyKB2982006
https://technet.microsoft.com/en-gb/library/cc722332(v=ws.10).aspx

Since we have a .cab file we can proceed and manually add the KB2982006 with DISM:

dism /Online /Add-Package /PackagePath:C:UCLobbyKB2982006Windows8.1-KB2982006-x64.cab

With Get-Hotfix we confirm that KB2919442, KB2919355 and KB2982006 are installed:

Get-Hotfix KB2919442,KB2919355,KB2982006

Finally, we run Step 2 and confirm that the check for KB2982006 is successful:

こんにちは、Exchange Server サポートの渡辺です。
今回は Exchange Online におけるマルウェア検体のご提供手順に変更がございましたので、ご紹介させていただきます。

これまで Exchange Online でマルウェアの可能性があるメールを受信した場合や、逆にマルウェアでは無いにも関わらずマルウェアとして判定されてしまった場合には、以下のブログでもご紹介しております Microsoft Malware Protection Center (MMPC) より、検体をご提出いただいておりました。

Title : Exchange Online でマルウェアを受信した場合の対策について
URL : https://blogs.technet.microsoft.com/exchangeteamjp/2015/11/16/exchange-online-7/

しかしながら、先月よりマルウェアの検体提出については、MMPC ではなく Windows Defender Security Inteligence を利用する形に変更されており、ご提供いただく際の手順等も変更されております。
基本的には入力いただく内容に大きな変更はございませんが、以下にご提供いただく際の手順をお纏めしておりますので、ご提供いただく際の参考としていただけますと幸いです。
 
Windows Defender Security Inteligence でマルウェアのサンプルを提出する手順
=====================================
1. 以下の URL にアクセスします。

  https://www.microsoft.com/en-us/wdsi/filesubmission

2. 検体をご提出いただくユーザーの種類を選択し、"Continue" をクリックします。
  プライベートでご利用されているお客様 : Home customer
  ビジネスでご利用されているお客様 : Enterprise customer
  自社製品の開発等で検証を実施されたいお客様 : Software developer

3. Microsoft アカウントでログインします。

4. 必要事項を入力し、"Continue" をクリックします。
  基本的な入力項目は以下となりますので、ご参考ください。
  ※ (*) は入力必須の項目です

  Company Name (*) :
    会社名を入力してください。

  Do you have a Microsoft support case number? :
    弊社にお問合せいただいている場合は、"Yes" を選択し、お問合せ番号を入力してください。
    お問合せいただいてない場合は、"No" を選択してください。

  Subscription Access ID :
    マイクロソフトのセキュリティ製品をご利用中で、Subscription Access ID (SAID) をお持ちの場合に入力してください。

  Select the file (*) :
    サンプルとしてご提供いただくファイルを選択してください。

  Should this file be removed from our database at a certain date? :
    弊社にご提供いただいたファイルを削除する日を指定する場合は "Yes" を選択し、日にちを指定してください。
    特に指定が無い場合は、"No" を選択します。

  Do you believe this file contains malware? :
    マルウェアの可能性があるファイルをお寄せいただく場合は、"Yes" を選択します。
    誤ってマルウェアとして検知されたファイルをお寄せいただく場合は、"No" を選択します。

  Select the Microsoft security product used to scan the file (*) :
    マルウェアを検知した製品・サービスを選択します。
    Exchange Online の場合は、"Office 365 and Exchange Online Protection" を選択してください。

  Detection name (*) :
    マルウェアとして検知された際の名前を入力します。例 : X97M/Dropper

  Additional information (*) :
    その他に検知された内容に関する情報があれば、入力します。

5. 入力した内容の確認ページが表示されますので、問題が無ければ "Submit" をクリックして、アップロードしてください。
 
引き続き Exchange Online では複数のマルウェア対策エンジンを使用することでセキュリティ強化と誤検知の削減に努めてまいりますが、万が一疑わしいメッセージを受信した場合には、安易にメッセージを開かず、上記手順に基づき早急な検体提出にご協力をいただけますようお願いいたします。
今後とも、弊社サポート ブログをよろしくお願いいたします。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

2017 年 6 月 22 日、日本ワムネット株式会社 (以下、日本ワムネット) が新サービス「DIRECT! EXTREME (ディレクト エクストリーム)」の発表を行いました。これは 1 ファイル最大 2 TB という超大容量ファイルを、ファイル数無制限で高速転送できるというもの。その技術支援パートナーとして、サービス基盤に Microsoft Azure を提案したのが、株式会社インテック (以下、インテック) です。

それではなぜ Azure が採用されることになったのでしょうか。そしてそれによって得られたメリットとは？インテックでこの案件に携わってきた君塚 修 氏と渡辺 涼 氏にお話を伺いました。

写真左より、インテック ネットワーク＆アウトソーシング事業本部 クラウドサービス事業部長 君塚 修 氏、同社 首都圏産業本部 MCI営業部 主任 渡辺 涼 氏

インテックの会社概要と「DIRECT! EXTREME (ディレクトエクストリーム)」について

――　まず御社の概要についてお教えください。

君塚　インテックは、ICT 技術の研究および開発からアウトソーシングまでの一貫した「ビジネス領域」をトータル ソリューションとして提供している IT 企業です。事業領域は技術研究から ICT コンサルティング、ソフトウェア開発、システム インテグレーション、ネットワーク サービス、アウトソーシング サービスと幅広く、クラウド サービス「EINS WAVE (アインス ウェーブ)」という統合ブランドで提供しています。お客様は公共/行政や金融、製造、流通、医療、メディアと多岐にわたっています。

――　2017 年 6 月に日本ワムネット様が発表された「DIRECT! EXTREME」のプレス リリースにも、技術支援パートナーとしてコメントを寄せていますね。

君塚　はい、当社の常務執行役員である倉田がコメントを述べています。

――　この「DIRECT! EXTREME」とは、どのようなサービスなのですか。

君塚　超大容量データを高速転送するサービスです。日本ワムネット様は 1999 年の設立以来、大容量データ転送サービスとして「WAM!NET Direct!」を提供しており、コンテンツ業界の標準インフラになっていますが、「DIRECT! EXTREME」はその後継サービスに位置付けられるものです。

――　サービスの特長は？

君塚　最大の特長は、1 ファイルあたり最大 2 TB の超大容量データを、独自の UDP プロトコルとオン ザ フライ機能によって、安定的に高速転送できる点にあります。一度に転送できるファイル数は無制限で、アーカイブされたデジタル資産をまるごと転送することも可能です。また SSL 暗号化、AES 暗号化によるセキュリティ確保や、自動化ツールによる業務効率化なども実現しており、すべてのアクションはログとして記録されます。さらにワムネット サポート センターによって、トラフィックを 24 時間 365 日体制で監視しており、信頼性もきわめて高くなっています。

サービス基盤として Azure を採用するまでの経緯

――　そのサービス基盤として Azure を活用されているということですが、その選定はどのように行われたのですか。

渡辺　2016 年 4 月に当社が技術支援パートナーとして選ばれましたが、既に 2016 年 2 月には、複数のクラウド サービスを候補に挙げて、比較検討を開始しています。候補となったのは Azure の他、Amazon Web Services と国内事業者 2 社を含む、合計 4 社のサービスです。それぞれを実際に使って大容量ファイルの転送試験を行い、最終的に Azure の採用に至りました。

――　Azure が選ばれた理由は？

渡辺　最も重視したのは転送スピードの速さと、安定性の高さです。他のサービスは、十分な帯域が確保できなかったり、スピードのバラツキが生じるといった問題がありましたが、Azure はトラフィックを大量に流した場合でも、高速転送を安定的に行えました。このようなことは、CPU 性能やコア数、メモリー容量といったスペック上の数値では、なかなか把握できません。高速なデータ転送を行う場合には、安定的な帯域と十分な I/O 性能の確保が重要になるからです。

――　御社でもクラウド サービスを提供していますが、なぜあえて Azure や Amazon Web Services を候補にしたのですか。

君塚　確かに自社ブランドのクラウド サービスもありますが、当社は常にオープンなマルチ クラウド戦略に基づき、お客様に最適なものを提案するというスタンスを貫いているからです。

渡辺　実は検証前から、商用サービスに求められる十分なスケールを確保するには、Azure のようなメガ クラウドでないと難しいのではないかと考えていました。今回は念のため国内サービスも候補に挙げたのですが、やはり満足のいく結果にはなりませんでした。

君塚　旧来型のシステムを堅牢に管理したいというニーズに対しては、自社のクラウド サービスを提案するケースも少なくありません。しかし今回は転送スピードの速さとパフォーマンスの安定性、そしてスケーラビリティが重視されていたため、メガ クラウドの提案に至りました。重要なことは、適材適所でクラウド サービスを使い分けることだと考えています。

――　Azure の採用が決まったのはいつですか。

渡辺　当社が技術支援パートナーに採用されてから、すぐのことです。その後 2016 年 4 月から要件定義を行い、開発が進められていきました。2016 年 10 月には単体テスト、2017 年 2 月にはシステム テストを開始。2017 年 8 月からサービス提供予定です。

LSP でもあるインテックが CSP を提案した理由

――　Azure をどのような形で利用していますか。

渡辺　IaaS と PaaS の両方の機能を利用しています。サービスのフロントエンドとなる Web サーバーとデータ転送を行う配信エンジンは、Linux が走る仮想マシン上で動いています。アップロードされたデータを格納するストレージは、PaaS として提供されている Azure Storage を使用しています。また、アプリケーションにて実装するオート スケール機能と連携し、負荷が増減した場合には、自動的に仮想マシンを増減させて対応できるようにしています。

――　今回のライセンス提供は CSP (Cloud Solution Provider) プログラムで行われているそうですね。インテック様は LSP (Licensing Solution Partner) にも認定されていますが、なぜ CSP での提供を選択したのですか。

君塚　日本ワムネット様が負担するコストを最適化したいと考えたためです。「DIRECT! EXTREME」のようなサービスは、今後どんどん容量が増大することが予測されます。これに柔軟かつきめ細やかに対応していくには、月額課金で契約の自動更新が行われる CSP が最適だと判断しました。日本ワムネット様からも、月額課金モデルならお客様から受け取るサービス料金とコストを連動させやすく、「コスト超過になるリスクを回避できる」という評価をいただいています。

――　Azure の提案によって、他に得られたメリットはありますか。

渡辺　Azure による本番サービス提供開始はこれからなので、実際に得られたメリット挙げるのはまだ難しい状況です。ただ、事前の負荷テストで安定的に高速なデータ転送が行えることや、アプリケーションにて実装するオート スケール機能と連携して、サービスに耐えうる大規模のサーバーが問題なく起動および稼働することは確認されており、3 年後を想定した負荷にも現在の構成で十分に対応できることがわかっています。これは大きなメリットだと思います。

君塚　日本ワムネット様の選定理由の 1 つとして、リージョンの多さも挙げられていたのですが、これは今後のメリットにつながっていくはずです。「DIRECT! EXTREME」のサービスはまず国内で提供される予定ですが、将来は世界展開が計画されているからです。また Azure には機械学習やデータ分析などの PaaS 機能が用意されており、これらを活用することで、より付加価値の高いサービスが提供できることにも期待が寄せられています。Azure には Media Services のような強力なメディア系機能もありますが、将来はこれを活用することも視野に入っているようです。

今後の展望

――　最後に、この案件に関する今後の展望や期待についてお教えください。

君塚　「DIRECT! EXTREME」の利用企業が順調に増えていくことを期待しています。最近では企業が取り扱うデータの機密性が高まる一方で、ビッグ データや IoT、映像データなどによる大容量化も進んでいます。「WAM!NET Direct!」はコンテンツ業界の標準インフラになっていますが、「DIRECT! EXTREME」はより広い領域で活用されるのではないかと思います。

――　日本ワムネット様のプレス リリースでは、3 年後に年間 5 億円の販売を見込んでいるとありますが、それ以上に成長する可能性もありそうですね。

君塚　そうなると嬉しいですね。マイクロソフトはしっかりとしたパートナー制度を確立しており、協同マーケティングにも力を入れています。日本ワムネット様も、マイクロソフトとの協業によって販路を増やしたいというお考えがあるようです。このようなマーケティング面でも、一緒に取り組みを進められればと思います。

――　本日はありがとうございました。

＜関連するサービス＞

EINS/MCS (=Multi Cloud Service)

インテック以外の大手クラウド サービスの請求代行と各種サポートをインテックが行うサービスです。本サービスをご利用いただくことで、柔軟性の高いインフラ基盤を構築できます。

株式会社インテック

お客さまの経営戦略に沿った情報化戦略の立案からシステムの企画、開発、アウトソーシング、サービス提供、運用保守まで、IT 分野において幅広く事業を展開しています。特に、データセンター事業は、東京、横浜、大阪、富山などのデータセンターを高速回線で接続した高信頼性サービスを提供しています。インテックは、創業以来 50 余年にわたって培ってきた技術力をもとに、安全・安心、便利で Smart な、心地よい社会の実現を目指し、挑戦を続けてまいります。

One if the greatest things about working for a company like Microsoft is the number of people that work together to discuss, identify and solve problems. For this particular problem was just four of us ( Jeramy Evers, Mark Trammell, Paul Ray and myself ) discussing a better solution for administrators to place their servers in Maintenance Mode while they are on the server about to perform some type of work. Yes, yes I know there are plenty of scripts out there already that do something like this, but if there is a SCOM Agent already installed on it and it is healthy, then why not place it into Maintenance Mode from the server?

Here is is solution we came up with:

I am going to place this server into Maintenance Mode:

First we loaded the “Start-MaintenanceMode.ps1” either on the desktop or in a location that everyone has access to, or at least the system / application administrators. If you right click on the script and “Run with PowerShell”

When the PowerShell window pops open, it may ask you to change the “Execution Policy”. select “Y” if you would like to continue with setting the system in Maintenance Mode

When the “SCOMManagementServerName:” appears, enter one of the management servers.

The next thing that appears is the “Minutes:”, enter the amount of time you would like to place the system in Maintenance Mode. Note that you cannot place a system in maintenance mode less than 5 minutes.

If you see the following message, you shouldn’t worry to much since the script will call out and import the “operationsmanager” module.

If I go back to my Console I will see the system in Maintenance Mode

That is it.

If you want to require people to provide comments each time they place a system, you can change the “$False” to “$True” for line 56.

Pretty simple, you can download the script here.

This script has been tested and works fro SCOM 2012 R2 and SCOM 2016.

日本マイクロソフト株式会社 (本社：東京都港区) は、Xbox One および Windows 10 PC 用アクション アドベンチャー ゲーム『Super Lucky’s Tale』を 2017 年 11 月 7 日 (火) に、パッケージ版参考価格 2,900 円 (税抜 / Xbox One のみ)、ダウンロード版参考価格 2,686 円 (税抜) で発売します。

『Super Lucky’s Tale』は、だれでも楽しめる遊び場がいっぱいのアクション ゲームです。主人公のラッキーは、楽観的で、活発で、愛らしいヒーロー。ラッキーは、自分の持っている力を見つけ、妹といっしょにジンクスから「時代の本」を取り戻すために、冒険に旅立ちます。ジンクスは、ずる賢い謎めいた悪者のようで、世界を作り替えようとしています。その目的とは何なのでしょうか。

『Super Lucky’s Tale』について:

愉快な冒険の遊び場へようこそ! 『Super Lucky’s Tale』は、だれでも楽しめる遊び場がいっぱいのアクション ゲームです。主人公のラッキーは、楽観的で、活発で、愛らしいヒーロー。ラッキーは、自分の持っている力を見つけ、妹といっしょにジンクスから「時代の本」を取り戻すために、冒険に旅立ちます。ジンクスは、ずる賢い謎めいた悪者のようで、世界を作り替えようとしています。さて、いったい何のために?

主な特徴:

かわいいキャラクターがたくさん:

登場する楽しい冒険ラッキーは、ジンクスのいたずら好きな子供たち、キティ リターにも立ち向かわなければなりません。彼らはちょっと自分勝手なところがあるので、ジンクスの言うことさえも聞かないことがあります。冒険の途中、ラッキーはいろいろな友だちや仲間にも出会います。場違いな雪男、おかしなお化け、土を耕す毛虫の群れ。時代の本には、魅力的な友だちがたくさん登場します。

おどろきのチャレンジがいっぱい:

カーニバルのアトラクション ミニゲームやハラハラドキドキの風船玉障害物コースでスキルを試そう。忘れた頃にやってくる「ジンクス レベル」では、ラッキーは命がけの難しいゲームにチャレンジしなければなりません。ラッキーお得意の穴掘りで、新しい世界の隠された秘密を解き明かしてみよう。何が起こるかわからないキツネの穴に飛び込んだり、意地悪な横スクロールのチャレンジ レベルに挑戦してボーナス リワードを獲得しよう。

みんなが冒険を楽しめる:

小さい子でもアクション アドベンチャー好きの人でも、みんなが楽しめるチャレンジが盛りだくさん。お馴染みのアクション アドベンチャーのプレイ スタイルで冒険を楽しもう。

Xbox Play Anywhere:

ダウンロード版を一度購入すれば、追加費用無しで Xbox One と Windows 10 PC でゲームをプレイできます。もちろん、セーブ データやゲーム追加コンテンツ、実績も引き継ぎできます。

製品基本情報:

こんにちは、Windows Platform サポートチームです。

本稿では UWF (Unified Write Filter) とエクスプローラー (Explorer) の機能の動作の兼合いによって生じる現象についてご報告致します。
以下現象は Windows 8/Windows 8.1/Windows 10 で発生する可能性がございます。

- 現象

UWF を有効にしてから 6 ヶ月が経過すると、エクスプローラーの一部の通知アイコンが表示されないことがあります。

これは、エクスプローラーがアイコンをロードした最終日時と現在の日時を比較し、6 ヶ月以上差異がある場合、通知アイコンを無効なものとみなして表示しないために発生します。
UWF が有効な場合、アイコンをロードした日時が UWF によって破棄されるために更新されず、UWF を有効化してから 6 ヶ月経過すると本現象が発生します。
UWF には除外設定がありますが、アイコンの最終ロード日時はレジストリ ハイブ ファイル (C:Users<User Name>NTUSER.DAT) に含まれ、このファイル (NTUSER.DAT) は UWF のシステム整合性の制限のために除外することはできません。

- 回避策

以下のレジストリを設定することで、既定の 6 ヶ月の閾値を変更することが可能です。

キー：HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsCurrentVersionTrayNotify
名前 : Icon Cleanup Time
タイプ : DWORD
値 : <設定したい閾値を月単位で指定します>
※ 例えば、120 (10進数) を指定した場合、10 年 (=120ヶ月÷12) が閾値となります。

既に UWF が有効な環境の場合、一度 UWF を無効化した後に、上記レジストリを設定して再度 UWF を有効化する必要があります。
これから展開する場合には、既定のユーザー プロファイルに反映する必要があります。

- 参考情報

Unified Write Filter (UWF) feature
https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter

※抜粋※
File and folder exclusions
You cannot add exclusions for the following items:
・Users<User Name>NTUSER.DAT

CopyProfile による既定のユーザー プロファイルのカスタマイズ
https://msdn.microsoft.com/ja-jp/library/hh825135.aspx?f=255&MSPPError=-2147217396

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

Dear All,

Welcome to TechNet Wiki Tuesday – TNWiki Article Spotlight.

Today, in this blog post, we are going to discuss Onion Architecture In ASP.NET Core MVC  by Sandeep Shekhawat.

In this article, Sandeep Shekhawat has explained in detail about Onion Architecture in ASP.NET Core.

The Onion Architecture term was coined by Jeffrey Palermo in 2008. This architecture provides a better way to build applications for better testability, maintainability, and dependability on the infrastructures like databases and services. This architecture's main aim is to address the challenges faced with 3-tier architecture or n-tier architecture, and to provide a solution for common problems, like coupling and separation of concerns. There are two types of coupling - tight coupling and loose coupling.

What we can learn from this article?

This article explains:

• Advantages of Onion Architecture
• Why Onion Architecture
• Onion Architecture Layers
• Onion Architecture Project Structure
• Implement Onion Architecture
• Demo program

If you are looking to get started with Onion Architecture in ASP.NET Core, then this is a good article as it explains it step-by-step with images. Here is the article's link: Onion Architecture In ASP.NET Core MVC  by Sandeep Shekhawat. I hope you all enjoy reading this article.

See you all soon in another blog post.

Thank you all.

Yours,
Syed Shanu
MSDN Profile | MVP Profile | Facebook | Twitter |
TechNet Wiki the community where we all join hands to share Microsoft-related information.