Active Directory AZURE VPN セキュリティ

AzureのvmをオンプレのADに参加させてみた

Active Directory

接続環境

Azure側仮想マシン

Windows Server 2012 R2 Datacenter

オンプレ側ドメインコントローラー

Windows Server 2003 R2 Standard Edition SP2    2台

(Hyper-V 仮想化環境上のVM)

オンプレとAZUREはVPN構築済み

エラー表示

「セマフォがタイムアウトしました。」

Azureの仮想マシンWindows Server 2012R2をオンプレのADに参加させようとした

「セマフォがタイムアウトしました。」

対策実施事項

Azure VMで共有の詳細設定(共有の設定がないとドメイン参加できない)

コントロールパネル > ネットワークと共有センター > 共有の詳細設定の変更

「ネットワーク探索を有効にする」が有効にならない

オンプレのDNSサーバーを設定したらRDP接続が切れた PING応答もなくなってしまった

再起動したら復活したが依然として 「ネットワーク探索を有効にする」が有効にならない

Azure VMでネットワーク探索を有効にできない対策

https://www.projectgroup.info/tips/Windows/comm_0065.html を参考にさせていただきました。

Windows サービスの以下のサービスを自動起動に変更してOK
・Function Discovery Resource Publication
・SSDP Discovery
・UPnP Device Host

AZURE VPNゲートウェイの設定速度が遅い?確認してみた

試しに「SKU」を ”standard”にしてもドメイン参加できなかった

”standard”では課金が大きいので”Basic”に戻した

Azureポータル画面でドメイン参加時のパケット確認

389/tcp、389/udp、88/tcp、88/udp のパケットが流れるのか確認してみた。問題なさそう。

「チェック」ボタン押すと「アクセス許可」になるが「読み込んでいます…」はそのまま。解りずらい。

オンプレのFortigateでパケットキャプチャーしてみた

オンプレのドメインに参加する時、はたしてパケットが流れているのかFortigateで確認してみた

FortigateのCLIで下記を投入(port8:ドメコンセグメントのFortiGateインターフェース 10.1.0.5:AzureのVM)

# diagnose sniffer packet port8 ‘host 10.1.0.5’ 4 0|

結果:(AAA.AAA.AAA.AAA:ドメコンAのIP BBB.BBB.BBB.BBB:ドメコンBのIP)

ドメイン参加失敗するがAzure VMとオンプレドメコン間でパケットのやり取りは存在する様だ

1035.896599 port8 -- 10.1.0.5.52970 -> AAA.AAA.AAA.AAA.53: udp 53 (DNS)
1035.898083 port8 -- AAA.AAA.AAA.AAA.53 -> 10.1.0.5.52970: udp 165 (DNS)
1035.976435 port8 -- 10.1.0.5.61010 -> AAA.AAA.AAA.AAA.53: udp 38 (DNS?)
1035.976879 port8 -- AAA.AAA.AAA.AAA.53 -> 10.1.0.5.61010: udp 54 (DNS?)
1036.055974 port8 -- 10.1.0.5.61012 -> AAA.AAA.AAA.AAA.389: udp 157 (LDAP)
1036.056491 port8 -- AAA.AAA.AAA.AAA.389 -> 10.1.0.5.61012: udp 166 (LDAP)
1045.307923 port8 -- 10.1.0.5.65386 -> AAA.AAA.AAA.AAA.53: udp 53 (DNS)
1045.308414 port8 -- AAA.AAA.AAA.AAA.53 -> 10.1.0.5.65386: udp 165 (DNS)
1045.386929 port8 -- 10.1.0.5.65387 -> AAA.AAA.AAA.AAA.389: udp 157 (LDAP)
1045.387500 port8 -- AAA.AAA.AAA.AAA.389 -> 10.1.0.5.65387: udp 166 (LDAP)
1045.513919 port8 -- 10.1.0.5.65388 -> AAA.AAA.AAA.AAA.389: udp 197 (LDAP)
1045.514771 port8 -- AAA.AAA.AAA.AAA.389 -> 10.1.0.5.65388: udp 176 (LDAP)
1045.638539 port8 -- 10.1.0.5.65389 -> AAA.AAA.AAA.AAA.389: udp 197 (LDAP)
1045.639183 port8 -- AAA.AAA.AAA.AAA.389 -> 10.1.0.5.65389: udp 176 (LDAP)
1046.051265 port8 -- 10.1.0.5.65390 -> BBB.BBB.BBB.BBB.389: udp 197 (LDAP)
1046.051822 port8 -- BBB.BBB.BBB.BBB.389 -> 10.1.0.5.65390: udp 176 (LDAP)
1046.465553 port8 -- 10.1.0.5.65391 -> AAA.AAA.AAA.AAA.389: udp 157 (LDAP)
1046.466108 port8 -- AAA.AAA.AAA.AAA.389 -> 10.1.0.5.65391: udp 166 (LDAP)
1046.585209 port8 -- 10.1.0.5.62325 -> AAA.AAA.AAA.AAA.53: udp 38 (LDAP)
1046.585590 port8 -- AAA.AAA.AAA.AAA.53 -> 10.1.0.5.62325: udp 54 (LDAP)
1046.765944 port8 -- 10.1.0.5.49279 -> AAA.AAA.AAA.AAA.445: syn 3379188983
1046.766215 port8 -- AAA.AAA.AAA.AAA.445 -> 10.1.0.5.49279: syn 473135606 ack 3379188984
1046.845742 port8 -- 10.1.0.5.49279 -> AAA.AAA.AAA.AAA.445: ack 473135607
1046.845745 port8 -- 10.1.0.5.49279 -> AAA.AAA.AAA.AAA.445: psh 3379188984 ack 473135607
1067.391027 port8 -- 10.1.0.5.49279 -> AAA.AAA.AAA.AAA.445: rst 3379189096 ack 473135607アウトしました。

追加でAzure VM Windows10でドメイン参加 やはり失敗

なんと、SMB2以上が必要とある。2012R2の場合はこのメッセージは出ないが。。。

https://go.microsoft.com/fwlink/?linkid=852747 を参照してみた。

Windows 10 Fall Creators Update と Windows Server バージョン 1709 (RS3) 以降のバージョン では、既定でサーバー メッセージ ブロック バージョン 1 (SMBv1) ネットワーク プロトコルがインストールされなくなりました。 2007 年以降、このバージョンは SMBv2 以降のプロトコルに置き換えられました。 マイクロソフトは 2014 年に SMBv1 プロトコルの非推奨を発表しました。

検証の為 今回急ぎAzureにインストールしたWin10のバージョンは 「Windows 10 Pro Version 1803 」で、これに該当する!ドメイン参加できないのは、どうもSMBプロトコルに何か関係しているのか?

オンプレ(ドメイン参加OK)とAzure(ドメイン参加失敗)のパケット採取してみた

フリーのWiresharkを使ってオンプレのWindows 7(ドメイン参加OK)とAzure Win2012R2,Win10(ドメイン参加失敗)NICのパケットキャプチャー取得比較してみた

Windows 7(ドメイン参加OK)のキャプチャー状況 SMBプロトコルをドメコンとやり取りしてる

Windows 2012 R2 ドメイン参加失敗時のキャプチャー状況 SMB2プロトコルが1か所しか無い

Windows 10 のキャプチャー状況 SMBプロトコルのやり取りが1か所のみ確認できるがドメイン参加失敗

SMB1.0プロトコルの追加

Windows 2012 R2 にSMB1.0追加

Windows10 にSMB1.0追加(取り敢えず言語は英語のまま)

ようやくドメイン参加成功!

ドメコン2台がWindows Server 2003 R2 Standard Edition SP2

SMB2.0をサポートしていない事がドメイン参加できない原因であった。

マイクロソフトの2003のサポートはとっくに切れてる。ドメコン追加してバージョン上げたいのだが失敗すると業務止まってしまうし。

今までのところ特に問題なかったのだが、そろそろ真剣にバージョンアップ考えないといけないか~。。。

追記:2019/05/09

物理PC Windows 10 Pro はSMB 1.0インストール済みだった

従ってPCキッティング後すぐにADに参加できた。
Windows 10 Proのバージョンは 1809
AzureのVMと国内調達のPCではOSの仕様が違う様だ。
Azure上にVMを構築する場合は日本語化も必要だし、国内のクラウドの場合はどうなのだろう?
たしか、自動で日本語化していたと思う。

コメント