3-2 認証情報 + WPR 採取 (ユーザー切り替え)

目次

本記事はマイクロソフト社員によって公開されております。

情報採取について

本情報採取では、スクリプトを利用して、認証関連のデバッグ ログ及び、ネットワーク パケット、イベント ログを含むシステム情報や構成情報を採取します。
なお、本手順はユーザーログオン時の情報採取のため、[ユーザーの切り替え] を利用する手順となっております。
もしも [ユーザーの切り替え] が利用できない環境の場合には、管理者ユーザーのセッションで情報採取を行い、
セッション切断後、事象発生ユーザーにてログオンを行い、事象再現後に再度管理者ユーザーで再接続する形で情報採取を実施ください。
※ セッション切断は ログオフ とは異なりますのでご注意ください。

[0] 事前準備

[1] TSS.ps1 の実行

[2] 事象の再現

[3] TSS.ps1 ログの採取停止

主な注意事項

1. ログ採取には最大で 20GB ほどのログが出力される可能性がありますので十分な空き容量を確保した上で実施ください。また、長時間の情報採取は想定していないため、事象の再現ステップや再現タイミングが明確になっていることを前提としています。
2. TSS スクリプトを実行時に最新バージョンのスクリプトが存在する場合には WARNING が出力されます。また、TSS スクリプトをダウンロードしてから 30 日以上経過した場合、スクリプトの実行がブロックされます。その場合には、最新の TSS スクリプトを再度ダウンロードするか、TSS.ps1 -Update コマンドにて最新版をダウンロードしてください。
3. Microsoft Defender for Endpoint (MDE) などの Endpoint detection and response (EDR) 製品を導入されている環境で TSS スクリプトを実行する場合、ツール内で実行されるコマンドに起因して検知されることがありますが、その際は静観していただけますようお願いいたします。

情報採取ツール TSS に関してよく寄せられる質問

情報採取を行うツール TSS に関する一般的なご質問を以下のページにお纏めしています。必要に応じてご参照ください。

• TSS に関するご質問
• TSS 実行時のエラー関するご質問

情報採取手順

[0] 事前準備

1. 対象マシンに管理者権限を保持するアカウントでログオンします。

2. 以下のサイト リンクをクリックし TSS.zip をダウンロードします。
   ※ 2024年7月8日以降ツールの入手方法の変更が計画されています。該当 URL にアクセスできない場合、サポート リクエストを発行の上、担当エンジニアまでご連絡ください。

   TSS ダウンロード リンク

3. 情報採取を実行するマシンの任意の場所に、解凍した TSS フォルダーを配置します。

[1] TSS.ps1 の実行

1. PowerShell を管理者権限で実行します。

2. 以下のコマンドを実行し、PowerShell スクリプト実行ポリシーをプロセス レベルに設定します。
   ※ プロセス レベルの変更は、現在の PowerShell セッションのみ対象となります。他のセッションへの影響はございませんのでご安心ください。

   Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned -Force
   

3. 以下のコマンドを実行し、インターネットからダウンロードしたファイルのブロックを解除します。
   ※ 以下は TSS.zip を C ドライブ直下に展開した場合の例でございます。展開した場所に応じてパスを変更していただきますようお願いいたします。

   Get-ChildItem -Recurse -Path C:\TSS\*.ps* | Unblock-File -Confirm:$false
   

4. [事前準備]にて、TSS フォルダーを配置したディレクトリに移動します。
   ※ 例として C ドライブ直下に解凍したファイルを配置した場合のコマンドを記します。

   cd c:\TSS
   

5. 以下のコマンドを実行し、情報採取を開始します。
   ※ 使用許諾の確認 (End User License Agreement) が表示された際には内容を確認の上、同意いただける場合は [Accept] ボタンをクリックしていただきますようお願い申し上げます。
   ※ 「[Action] We need your consent to continue the data collection, please enter Y or N」と出力されることがありますが、ログ採取に同意いただける場合には " Y " を入力してください。
   ※ 情報採取中は時刻情報を表示する「TSS Clock」が画面上に表示されますが、" × " ボタンで閉じないようお願いいたします。

   .\TSS.ps1 -Start -Scenario ADS_AUTH -ADS_Profile -Basic -PSR -WPR CPU
   

   ※ 既定では、C:\MS_DATA フォルダーにログが出力されますが、"-LogFolderPath" オプションを指定することで、任意のログ出力先を指定することが可能です。以下に例をご案内いたしますので、必要に応じてご活用ください。

   ## 例 1 (E:\Output フォルダーにログ保存先を指定する場合)
   .\TSS.ps1 -Start -Scenario ADS_AUTH -ADS_Profile -Basic -PSR -WPR CPU -LogFolderPath E:\Output
   
   ## 例 2 (\\Server\Share フォルダーを指定する場合)
   .\TSS.ps1 -Start -Scenario ADS_AUTH -ADS_Profile -Basic -PSR -WPR CPU -LogFolderPath \\Server\Share
   

6. 「We need your consent to allow Problem Step Recording and-or Screen-Video recording, please answer Y or N」と出力されます。
   ※ 事象発生時の画面ショットを記録いただきたく、 " Y " を入力していただけますと幸いです。

7. 「Reproduce the issue and enter ‘Y’ key AFTER finishing the repo (with window focus here) [Y]? 」と出力されます。
   事象を再現させた後に " Y " を入力しますので、この状態のまま放置し、[2] 事象の再現 にお進みください。
   事象を再現させる前に " Y " を入力し、ログ採取ができなかった場合は、再度ステップ 5 のコマンドの実行からお願いいたします。

[2] 事象の再現

1. [ユーザーの切り替え] から事象発生ユーザーにてログオンを行い、事象を再現させます。このとき以下の情報をメモとして残しておきます。

   ・ユーザー名
   ・ログオンを実施した時刻 (可能な限り正確な時刻をメモとして残しておいていただきますようお願いいたします。)

2. ログオンができた場合、ユーザー権限でコマンド プロンプトを開き、以下のコマンドを実行します。

   md C:\MS_DATA\UserInfo  
   cd C:\MS_DATA\UserInfo  
   gpresult /h %COMPUTERNAME%_%USERNAME%_gpresult.html  
   gpresult /z > %COMPUTERNAME%_%USERNAME%_gpr.txt  
   whoami /all > %COMPUTERNAME%_%USERNAME%_whoami.txt  
   whoami /upn > %COMPUTERNAME%_%USERNAME%_upn.txt  
   dsregcmd /status > %COMPUTERNAME%_%USERNAME%_dsregcmd.txt  
   cmdkey /list > %COMPUTERNAME%_%USERNAME%_cmdkey.txt  
   klist > %COMPUTERNAME%_%USERNAME%_klist.txt  
   klist cloud_debug > %COMPUTERNAME%_%USERNAME%_klist_cloud.txt  
   certutil -v -user -store my > %COMPUTERNAME%_%USERNAME%_mystore.txt  
   reg export HKCU %COMPUTERNAME%_%USERNAME%_hkcu.hiv  
   

3. 対象のユーザーからログオフします。

[3] TSS.ps1 ログの採取停止

1. 管理者ユーザーで再度ログオンします。

2. [1] TSS.ps1 の実行 作業手順ステップ 7 にて実行中の PowerShell の画面をアクティブにし、" Y " を入力します。
   ※ 停止処理が完了するまで数分かかりますのでしばらくお待ちください。
   ※ 万が一、スクリプトが正常に停止出来ない場合には、再度、.\TSS.ps1 -Stop コマンドを実行ください。

3. “C:\MS_DATA” 配下に " TSS_HOSTNAME_YYMMDD_hhmmss_ADS_AUTH.zip " という名前の zip ファイルが出力されていることを確認しましたら、本 zip ファイルを弊社へご提供下さい。
   ※ " C:\MS_DATA " 配下に zip ファイル以外のフォルダーが出力されている場合は、zip ファイルと併せてすべて弊社までお寄せください。

4. [2] 事象の再現 作業手順ステップ 1 で残しておいた以下の情報も併せて弊社にお寄せください。

   ・ユーザー名 ・ログオンを実施した時刻

5. 移動ユーザー プロファイルやフォルダー リダイレクトを利用している場合は、以下の情報も追加でお寄せください。

   ・プロファイルを格納しているファイル サーバーの IP アドレス
   ・プロファイルを格納しているファイル サーバーの共有パス

手順は以上でございます。
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。