Mac
 Computer >> コンピューター >  >> システム >> Mac

ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

投稿者

  • ラーフル・アワティ

公開日:2023 年 8 月 14 日

ディレクトリ サービス復元モード (DSRM) は、Windows Server ドメイン コントローラーのセーフ モード ブート オプションです。 DSRM を使用すると、管理者は Active Directory (AD) データベースを修復、回復、または復元できます。 DSRM でドメイン コントローラーを再起動するとオフラインになるため、通常のサーバーとしてのみ機能します。

DSRM は、Windows オペレーティング システムのセーフ モードに似ています。ただし、これは Windows Server ドメイン コントローラーでのみ使用できます。 DSRM モードは、次のバージョンの Windows Server で使用できます。

  • Windows Server 2022。
  • Windows Server 2019。
  • Windows Server 2016。
  • Windows Server 2012 R2。
  • Windows Server 2008 R2。
  • Windows Server 2008。
  • Windows Server 2003。

DSRM の主な目的は、システム管理者がシステムにログインして AD データベースを復元または修復できるようにすることです。 DSRM を使用するには、管理者はパスワードを使用して DSRM ローカル管理者アカウントを作成する必要があります。サーバーの起動中、DSRM を使用してドメイン コントローラーにサインインする必要がある場合、およびシステム エラーまたは障害の後に AD バックアップを復元する必要がある場合は、そのアカウントを使用する必要があります。管理者アカウントのパスワードは、ドメイン コントローラーの展開中に変更されることはほとんどありません。ただし、Ntdsutil ツールを使用してサーバーを再起動しなくても、ドメイン内のどのサーバーでもリセットできます。

DSRM とセーフ モード

Windows Server ドメイン コントローラーの場合、DSRM はセーフ モードと同じではありません。 DSRM は、コントローラーがセーフ モードで起動しようとして起動できない場合に使用されます。一般に、DSRM が必要になるのは、AD が破損しており、管理者が通常の AD 資格情報を使用してログオンできない場合にのみです。このような状況では、AD は正常に起動しないため、特に AD ドメイン全体またはフォレスト全体の復元を実行する場合には DSRM が必要です。

管理者用の DSRM アカウントにログインするプロセス

DSRM でドメイン コントローラーを再起動するには、管理者は DSRM 管理者アカウントにログインする必要があります。このプロセスは次の手順で構成されます。

<オル>
  • DSRM を起動し、[ユーザーの切り替え]> [他のユーザー] をクリックします。
  • ログオン アカウント名として「.\Administrator」と入力します。
  • Ntdsutil コマンドライン ツールを使用して、.\Administrator アカウントの DSRM パスワードをリセットします。
  • AD サーバーが動作していない場合は、パスワード紛失回復ツールを使用して DSRM パスワードをリセットします。

    • DSRM アカウントにログインすると、最初のログオン プロンプトにアカウント名が MyDomain\Administrator として表示される場合があります。ただし、これは機能しないため、管理者ユーザーはまず [ユーザーの切り替え] をクリックし、名前 .\Administrator を手動で入力する必要があります。

    DSRM での手動起動は、BIOS 電源投入自己テスト画面の後、Windows ロゴが表示される前に F8 キーを繰り返し押すことによっても可能です。これを実行すると、ディレクトリ サービス復元モードや DS 復元モードなどの高度なブート オプションを含むテキスト メニューが開きます。管理者はオプションを選択し、Enter キーを押して DSRM を開始できます。

    ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート ドメイン コントローラーは、大規模な組織がネットワーク アクセスの認証と承認を保護するのに役立ちますが、コストがかかります。

    Windows Server で DSRM 管理者パスワードをリセットするプロセス

    AD が Windows Server にインストールされているとき、およびドメイン コントローラーの昇格プロセス中に、インストール ウィザードは管理者に DSRM パスワードを選択するように求めます。このパスワードは、後で問題が発生した場合に備えて、管理者にデータベースへのバックドアを提供します。パスワードは、DSRM でメンテナンスおよび回復タスクを実行するためにも不可欠です。ただし、ドメインやサービスへのアクセスは提供されません。

    管理者が DSRM パスワードを忘れたり紛失した場合は、Ntdsutil コマンド ライン ツールを使用してパスワードを変更できます。このツールは、Windows 2000 以降 Microsoft Windows の一部となっている Setpwd ユーティリティと統合されています。Windows Server で DSRM 管理者パスワードをリセットする手順は次のとおりです。

    <オル>
  • [スタート]> [ファイル名を指定して実行] をクリックし、「Ntdsutil」と入力して、[OK] をクリックします。
  • Ntdsutil コマンド プロンプトで、「set dsrm パスワード」と入力します。
  • DSRM コマンド プロンプトで、「サーバー null のパスワードをリセット」と入力して現在のサーバーのパスワードをリセットするか、サーバー「サーバー名」のパスワードをリセットして別のサーバーのパスワードをリセットします。
  • 新しいパスワードを入力します。
  • DSRM コマンド プロンプトで、「q」と入力します。
  • Ntdsutil コマンド プロンプトで、再度「q」と入力して終了します。

    • DSRM パスワードは、管理者が現在作業しているサーバー、またはドメイン内の別のドメイン コントローラーに対してリセットできます。パスワードが変更されるたびに、Windows イベント ID (4794) が生成されるため、他の承認された管理者はこれらの試行を確認し、管理者以外のユーザーまたは悪意のあるユーザーによって試行が行われたかどうかを判断できます。

    DSRM のセキュリティ リスク

    DSRM 管理者アカウントのパスワードは悪意のある侵入者によって悪用される可能性があり、組織に大きなセキュリティ リスクをもたらします。たとえば、攻撃者はパスワードを使用して、ドメイン コントローラーに永続的なバックドアを作成する可能性があります。このバックドアにより、企業ネットワーク内の永続性を維持し、いつでも AD にアクセスして機密リソースやデータにアクセスできるようになります。また、Windows のローカル ループ マルチキャスト名前解決機能を使用して、AD から認証情報を盗み、特権サービス アカウントを操作し、トラフィック パケットを傍受する可能性もあります。

    場合によっては、ハッカーは、未解決の脆弱性を悪用したり、ソーシャル エンジニアリングを通じて、特権アカウントのハッシュを盗んだり、特権を昇格したりすることもできます。 DSRM 管理者アカウントのパスワードを忘れたり紛失したり、デフォルトで使用すると、マルウェア攻撃、Lightweight Directory Access Protocol の偵察、さらにはドメイン支配のリスクも高まります。 AD への自由なアクセスにより、攻撃者が組織のバックアップ プロセスを侵害し、ntds.dit ファイルからすべての AD データを抽出できる可能性もあります。

    これらのリスクを回避するには、管理者ユーザーは DSRM アカウントのパスワードを定期的に更新する必要があります。さらに、デフォルトのパスワードを使用してはなりません。各ドメイン コントローラーに固有のアカウント パスワードを設定することも重要です。

    DSRM 管理者アカウントのパスワードを安全に保つためのその他の優れたセキュリティ対策には、次のようなものがあります。

    • レジストリで、HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior レジストリ キーの値を 1 に設定します。
    • レジストリで、HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior レジストリ キーの値が 2 に設定されていないことを確認します。
    • Windows イベント ID 4794 を監視し、発生した場合に管理者に通知するアラートを設定します。

    AD の一般的な問題のトラブルシューティングに使用できる手法と、レプリケーションのトラブルシューティングのヒントを学びます。

    ディレクトリ サービス復元モード (DSRM) について読み続ける

    • Windows 11 セーフ モードの仕組みといつ使用するか
    • Active Directory の回復方法を使用して回復する
    • DNS のバックアップと復元の実行方法を学ぶ
    • Linux および Windows の DNS サーバーのトラブルシューティング
    • AD グループ メンバーシップのバックアップと復元を実行する方法

    Microsoft ID とアクセス管理について詳しく知る

    • ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート
      セキュリティを強化するために Windows LAPS を展開する方法

      ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

      投稿者:ブライエン・ポージー

    • ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート
      ドメイン コントローラーとは何ですか?

      ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

      投稿者:ギャビン ライト

    • ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート
      セキュリティと速度を確保するために読み取り専用ドメイン コントローラーを展開する

      ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

      投稿者:デイモン・ガーン

    • ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート
      Windows Server 2025 に導入される新しい Active Directory 機能

      ディレクトリ サービス復元モード (DSRM):Windows サーバー ドメイン コントローラーのセキュア ブート

      投稿者:ブライエン・ポージー


    1. Mac の起動に時間がかかりますか? Mac の起動が遅い問題を修正

      MacBook Pro であろうと iMac であろうと、すべてのデバイスは、一定の時間が経過すると最終的に速度が低下します。これは通常、デバイスの電源を入れたときに、システム OS といくつかのハード ドライブ システム設定をロードする必要があるときに発生します。ソリッド ステート ドライブを使用しているかハード ドライブを使用しているかによって、通常は数秒かかります。それ以上かかる場合は、間違いなく Mac に問題があります。 Mac の起動が遅いのはなぜですか? マシンの速度が遅い理由はたくさんありますが、最大の理由は、ストレージ容量がいっぱい、スタートアップ プログラムが多すぎる

    2. Mac でキーチェーン パスワードをリセットする方法

      Apple には、パスワード マネージャーとしても機能するボールトにすべてのパスワードを保存するという優れた機能があります。これはキーチェーンと呼ばれ、Macbook から iPhone まで、Apple のすべてのデバイスにこの機能が含まれています。 Mac でキーチェーン パスワードを忘れた場合、残っている唯一の解決策はパスワードをリセットすることです。 また読む:iPhone に組み込まれている最適なパスワード マネージャーを使用して安全を確保する方法 では、Apple キーチェーンは正確には何を保存しているのでしょうか? Apple キーチェーンは、Mac、iPhone、および i