SlideShare a Scribd company logo

Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料]

Trainocate Japan, Ltd.
Trainocate Japan, Ltd.

震災以降、組織のBCP対策やITガバナンス強化のニーズが高まっています。Windows Server 2012 R2のグループポリシーやHyper-Vレプリカ、スケールアウト ファイルサーバーといった機能で実現できる、「今日から使える」ガバナンス強化方法をご紹介します。

Software
1 of 37
Download to read offline
グローバル ナレッジ ネットワーク株式会社 横山哲也 Windows Server 2012 R2による ガバナンス強化
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなガバナンス機能 グループポリシー 最近の著書・雑誌記事 プロが教えるWindows Server 2012システム管理(監修・共著) アスキーメディアワークス グループポリシー逆引きリファレンス厳選92(監修・共著) 日経BP ソーシャルメディア ブログ: ヨコヤマ企画(http://yp.g20k.jp) その他 Twitter & Facebook 2
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに 目標 想定するリスクに対して、 適切なクライアント管理計画を選択する 想定するリスクに対して、 適切なサーバーの障害・災害対策を選択する 個人的なお勧め度合い  ……ぜひ導入しましょう  ……コスト(費用と手間)がかかりますがお勧め  ……要件を満たせばお勧め 簡単なデモは随時入れていきます 3
 機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 クライアント管理計画
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシー グループポリシー コンピューターの構成の自動化(強制) ユーザーの構成の自動化(強制) Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシーの利用 グループポリシーオブジェクト 関連するポリシーの集合体 例: [スクリーンセーバーの強制]と[パスワード保護] ポリシー数 コンピューターの構成: 約2,000 ユーザーの構成: 約1,500 グループポリシーの[基本設定] Windows Server 2008からの新機能 従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 Windows Update WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 インターネット接続…WSUSにのみ必要 ネットワーク回線…BITSを使うので効率が良い Background Intelligent Transfer Services ディスク容量…配布したいものだけをダウンロード 承認作業…条件を指定した自動承認可能 注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 透過的でセキュアな無線 LAN 環境を構築 ユーザーは一切の設定が不要 暗号化通信を強制 (暗号鍵の自動更新) Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ・接続先 SSID ・暗号化方式 ・認証方式 ・証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 集約型アクセス制御 Windows Server 2012 ファイルサーバー Windows Server 2012 Active Directory ファイル分類管理 (FCI) リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 管理者: Active Directory管理センター 要求の種類の確認 リソースプロパティの確認 集約型アクセス規則の作成 集約型アクセスポリシーの作成 管理者: グループポリシー 集約型アクセスポリシーの展開 利用者 アクセス許可の指定 11
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 従来のアクセス許可の課題 利用者はビジネスを知っているがACLは分からない 集約型アクセス制御の利点 管理者がアクセス許可ポリシーを集中管理 利用者はアクセス許可ポリシーを1つ選ぶだけ 12 集約型アクセス制御の課題 設定階層が深い 従来のNTFSは無効にならない(累積する) Windows Server 2012/Windows 8以降のみ利用可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) Step 1: 保存ファイルに属性を追加 フォルダーやファイル内容に対するルール設定 Step 2: 追加した属性を参照して実行 指定したフォルダーに移動 AD RMSによる暗号化 任意のコマンドを実行 利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 EFS…Windows 2000以降 目的: 個人ファイルの暗号化 欠点: 構築や回復手順が面倒(実質的に証明機関必須) その他…集中管理が困難 Officeパスワード ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS 適用アプリケーション Word/Excel/PowerPoint/Outlook 利用可能なユーザー 社内ユーザー…社内RMSサーバーで認証 社外ユーザー…公開Web経由で認証 機能 暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) 具体的には メニューの無効化 クリップボードの無効化 15
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 BitLockerドライブ暗号化 目的: ドライブ盗難による情報漏えいリスクを軽減 利用形態 TPMのみ…PCごと盗まれた場合は無力 TPM + パスワード…手軽・長いパスワードは利用困難 TPM + USBメモリキー…安全・USBメモリ必須 回復キー 正常時に保存しておく(印刷したものを金庫に保管) Active Directoryに保存可能 付加機能 TPMによる起動システムの整合性確認(改ざん防止) 16
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go リムーバブルメディアの保護 パスワード利用 グループポリシーによる強制 17
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 共有フォルダーのアクセスを自動的に暗号化 Windows Server 2012からの新機能 サーバーマネージャーで構成 IP Security 持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 20
 システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR サーバーの障害・災害対策
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 従来のパスワードポリシー ドメイン単位 きめ細かなパスワードポリシー Windows Server 2008以降 セキュリティグループまたはユーザー単位のポリシー Windows Server 2012からGUI設定可 22
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ブランチオフィス(地方拠点)の問題点 低速WAN回線 少ないサーバーリソース 比較的低い物理セキュリティ 専任のシステム管理者不在 ブランチオフィスの現状 ドメインコントローラー兼ファイルサーバー パートタイムシステム管理者 23  DC盗難によるディレクトリ情報流出  不慣れなファイルサーバー管理者がドメインを破壊
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 読み取り専用ドメインコントローラー (RODC) パスワードを原則保存しない ブランチ勤務の一般ユーザーのみ保存するように構成 ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 操作ミスによる削除からの回復 ディスク障害対策 サーバー障害対策 25
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 以前のバージョン = 定期的なスナップショット 実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 記憶域プールと仮想ディスク ミラー (2方向 & 3方向) パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) 分散ファイルシステム DFS名前空間 DFS-R (複製) 特徴 差分圧縮転送 スケールアウト可能(LAN/WAN) データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) 従来の高可用性ファイル サーバー アクティブなノードは1台 Active / Passive スケール アウト ファイル サーバー メタデータの更新を特定のノードで管理 データ転送は複数のノードから行う Active / Active 特徴 データの一貫性 スケールアウト可能(通常はLAN内) 透過フェールオーバー(SMB 3.0) 汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP Hyper-Vへの複製 Microsoft Azureへの複製 複製先のTCP/IP構成 DHCPクライアントとして構成 Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン 複製間隔…30秒 / 5分 / 15分…常に差分複製 回復方法…いずれも手動 BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) Widows Serverバックアップの保存先を変更 Azureバックアップ (オンラインバックアップ) システム状態のバックアップ不可 32
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害・災害対策のまとめ  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR 33
本日のまとめ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー クライアント管理 グループポリシー WSUS 集約型アクセス制御 ファイルの分類管理 AD RMS BitLocker SMB暗号化 IP Security サーバー管理 RODC 以前のバージョン 記憶域プール DFS-R スケールアウト ファイルサーバー Hyper-Vレプリカ Azureバックアップ 35
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36  http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング  グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.

Recommended

書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
wintechq
 
Ws2003からws2012 r2へのマイグレーション指南 140217
Ws2003からws2012 r2へのマイグレーション指南 140217Ws2003からws2012 r2へのマイグレーション指南 140217
Ws2003からws2012 r2へのマイグレーション指南 140217
wintechq
 
150523 jpsps ws2012r2_top10_150523
150523 jpsps ws2012r2_top10_150523150523 jpsps ws2012r2_top10_150523
150523 jpsps ws2012r2_top10_150523
wintechq
 
Windows Server 2012 R2 のすべて
Windows Server 2012 R2 のすべてWindows Server 2012 R2 のすべて
Windows Server 2012 R2 のすべて
wintechq
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオ
junichi anno
 
Wsfc basic 130720
Wsfc basic 130720Wsfc basic 130720
Wsfc basic 130720
wintechq
 
Windows Server 2003 サポート終了対策
Windows Server 2003 サポート終了対策Windows Server 2003 サポート終了対策
Windows Server 2003 サポート終了対策
wintechq
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 

Recommended

書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
wintechq
 
Ws2003からws2012 r2へのマイグレーション指南 140217
Ws2003からws2012 r2へのマイグレーション指南 140217Ws2003からws2012 r2へのマイグレーション指南 140217
Ws2003からws2012 r2へのマイグレーション指南 140217
wintechq
 
150523 jpsps ws2012r2_top10_150523
150523 jpsps ws2012r2_top10_150523150523 jpsps ws2012r2_top10_150523
150523 jpsps ws2012r2_top10_150523
wintechq
 
Windows Server 2012 R2 のすべて
Windows Server 2012 R2 のすべてWindows Server 2012 R2 のすべて
Windows Server 2012 R2 のすべて
wintechq
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオ
junichi anno
 
Wsfc basic 130720
Wsfc basic 130720Wsfc basic 130720
Wsfc basic 130720
wintechq
 
Windows Server 2003 サポート終了対策
Windows Server 2003 サポート終了対策Windows Server 2003 サポート終了対策
Windows Server 2003 サポート終了対策
wintechq
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 
Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq
 
今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門
Trainocate Japan, Ltd.
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshare
Trainocate Japan, Ltd.
 
20170721 初めてのPowerShell
20170721 初めてのPowerShell20170721 初めてのPowerShell
20170721 初めてのPowerShell
Trainocate Japan, Ltd.
 
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADAD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
 
おさらいActive directory 130330
おさらいActive directory 130330おさらいActive directory 130330
おさらいActive directory 130330
wintechq
 
2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料
wintechq
 
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
 
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイントG tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
Trainocate Japan, Ltd.
 
Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802
wintechq
 
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 
Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)
wind06106
 
Windows2003サポート終了対策
Windows2003サポート終了対策Windows2003サポート終了対策
Windows2003サポート終了対策
Junji Yamamoto
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
junichi anno
 
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
 
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポートMicrosoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
wintechq
 
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
Trainocate Japan, Ltd.
 
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
 
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
Kimihiko Kitase
 

More Related Content

What's hot

Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq
 
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
 
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポートMicrosoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
wintechq
 

What's hot (20)

Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
 
Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
 
今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshare
 
20170721 初めてのPowerShell
20170721 初めてのPowerShell20170721 初めてのPowerShell
20170721 初めてのPowerShell
 
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On ADAD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
 
おさらいActive directory 130330
おさらいActive directory 130330おさらいActive directory 130330
おさらいActive directory 130330
 
2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料
 
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
 
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイントG tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
 
Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802
 
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
 
Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)
 
Windows2003サポート終了対策
Windows2003サポート終了対策Windows2003サポート終了対策
Windows2003サポート終了対策
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
 
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
 
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポートMicrosoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
 
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
 

Similar to Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料]

App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
 
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
Trainocate Japan, Ltd.
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
Yoshinori Sato
 
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版
Osamu Takazoe
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
 

Similar to Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料] (20)

App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
 
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
 
地に足がついたクラウドのお話
地に足がついたクラウドのお話地に足がついたクラウドのお話
地に足がついたクラウドのお話
 
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
 
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
 
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
 
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
 
Sc2012概説 120512
Sc2012概説 120512Sc2012概説 120512
Sc2012概説 120512
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
 
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだ
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
 
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
 
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは 中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
 
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
 
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
 

More from Trainocate Japan, Ltd.

More from Trainocate Japan, Ltd. (20)

パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
 
はじめてのPowerShell
はじめてのPowerShellはじめてのPowerShell
はじめてのPowerShell
 
Microsoft Azureから使うLinux
Microsoft Azureから使うLinuxMicrosoft Azureから使うLinux
Microsoft Azureから使うLinux
 
AWS市場動向と求められる人材、その育成方法について
AWS市場動向と求められる人材、その育成方法についてAWS市場動向と求められる人材、その育成方法について
AWS市場動向と求められる人材、その育成方法について
 
提案活動のグローバルメソッド プロポーザルマネジメント
提案活動のグローバルメソッド プロポーザルマネジメント提案活動のグローバルメソッド プロポーザルマネジメント
提案活動のグローバルメソッド プロポーザルマネジメント
 
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
IoTの技術的課題と実現のポイント~実装例・エンジニアリングのヒント
IoTの技術的課題と実現のポイント~実装例・エンジニアリングのヒントIoTの技術的課題と実現のポイント~実装例・エンジニアリングのヒント
IoTの技術的課題と実現のポイント~実装例・エンジニアリングのヒント
 
ポスト・クラウド時代のトレンドと求められる人材
ポスト・クラウド時代のトレンドと求められる人材ポスト・クラウド時代のトレンドと求められる人材
ポスト・クラウド時代のトレンドと求められる人材
 
歴史的大転換時代の人材育成
歴史的大転換時代の人材育成歴史的大転換時代の人材育成
歴史的大転換時代の人材育成
 
いまさら聞けないAWSの基本
いまさら聞けないAWSの基本いまさら聞けないAWSの基本
いまさら聞けないAWSの基本
 
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイドAWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
 
今さら聞けないMicrosoft azure仮想マシン入門
今さら聞けないMicrosoft azure仮想マシン入門今さら聞けないMicrosoft azure仮想マシン入門
今さら聞けないMicrosoft azure仮想マシン入門
 
無料セミナー20170321 awsから始めるlinux入門
無料セミナー20170321 awsから始めるlinux入門無料セミナー20170321 awsから始めるlinux入門
無料セミナー20170321 awsから始めるlinux入門
 
Open stack活用に求められる人材と育成について2017 0314
Open stack活用に求められる人材と育成について2017 0314Open stack活用に求められる人材と育成について2017 0314
Open stack活用に求められる人材と育成について2017 0314
 
クラウド時代に必要とされる組織と人材育成について
クラウド時代に必要とされる組織と人材育成についてクラウド時代に必要とされる組織と人材育成について
クラウド時代に必要とされる組織と人材育成について
 
G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎
 
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
 
G tech2016 クラウド時代に必要とされる組織と人材育成について
G tech2016 クラウド時代に必要とされる組織と人材育成についてG tech2016 クラウド時代に必要とされる組織と人材育成について
G tech2016 クラウド時代に必要とされる組織と人材育成について
 
ラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とはラック社が考える、これからの「セキュリティ・エンジニア」とは
ラック社が考える、これからの「セキュリティ・エンジニア」とは
 

Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料]

  • 2. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなガバナンス機能 グループポリシー 最近の著書・雑誌記事 プロが教えるWindows Server 2012システム管理(監修・共著) アスキーメディアワークス グループポリシー逆引きリファレンス厳選92(監修・共著) 日経BP ソーシャルメディア ブログ: ヨコヤマ企画(http://yp.g20k.jp) その他 Twitter & Facebook 2
  • 3. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに 目標 想定するリスクに対して、 適切なクライアント管理計画を選択する 想定するリスクに対して、 適切なサーバーの障害・災害対策を選択する 個人的なお勧め度合い  ……ぜひ導入しましょう  ……コスト(費用と手間)がかかりますがお勧め  ……要件を満たせばお勧め 簡単なデモは随時入れていきます 3
  • 4.  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 クライアント管理計画
  • 5. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシー グループポリシー コンピューターの構成の自動化(強制) ユーザーの構成の自動化(強制) Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
  • 6. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシーの利用 グループポリシーオブジェクト 関連するポリシーの集合体 例: [スクリーンセーバーの強制]と[パスワード保護] ポリシー数 コンピューターの構成: 約2,000 ユーザーの構成: 約1,500 グループポリシーの[基本設定] Windows Server 2008からの新機能 従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
  • 7. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 Windows Update WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
  • 8. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 インターネット接続…WSUSにのみ必要 ネットワーク回線…BITSを使うので効率が良い Background Intelligent Transfer Services ディスク容量…配布したいものだけをダウンロード 承認作業…条件を指定した自動承認可能 注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
  • 9. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 透過的でセキュアな無線 LAN 環境を構築 ユーザーは一切の設定が不要 暗号化通信を強制 (暗号鍵の自動更新) Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ・接続先 SSID ・暗号化方式 ・認証方式 ・証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
  • 10. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 集約型アクセス制御 Windows Server 2012 ファイルサーバー Windows Server 2012 Active Directory ファイル分類管理 (FCI) リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
  • 11. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 管理者: Active Directory管理センター 要求の種類の確認 リソースプロパティの確認 集約型アクセス規則の作成 集約型アクセスポリシーの作成 管理者: グループポリシー 集約型アクセスポリシーの展開 利用者 アクセス許可の指定 11
  • 12. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 従来のアクセス許可の課題 利用者はビジネスを知っているがACLは分からない 集約型アクセス制御の利点 管理者がアクセス許可ポリシーを集中管理 利用者はアクセス許可ポリシーを1つ選ぶだけ 12 集約型アクセス制御の課題 設定階層が深い 従来のNTFSは無効にならない(累積する) Windows Server 2012/Windows 8以降のみ利用可能
  • 13. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) Step 1: 保存ファイルに属性を追加 フォルダーやファイル内容に対するルール設定 Step 2: 追加した属性を参照して実行 指定したフォルダーに移動 AD RMSによる暗号化 任意のコマンドを実行 利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
  • 14. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 EFS…Windows 2000以降 目的: 個人ファイルの暗号化 欠点: 構築や回復手順が面倒(実質的に証明機関必須) その他…集中管理が困難 Officeパスワード ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
  • 15. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS 適用アプリケーション Word/Excel/PowerPoint/Outlook 利用可能なユーザー 社内ユーザー…社内RMSサーバーで認証 社外ユーザー…公開Web経由で認証 機能 暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) 具体的には メニューの無効化 クリップボードの無効化 15
  • 16. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 BitLockerドライブ暗号化 目的: ドライブ盗難による情報漏えいリスクを軽減 利用形態 TPMのみ…PCごと盗まれた場合は無力 TPM + パスワード…手軽・長いパスワードは利用困難 TPM + USBメモリキー…安全・USBメモリ必須 回復キー 正常時に保存しておく(印刷したものを金庫に保管) Active Directoryに保存可能 付加機能 TPMによる起動システムの整合性確認(改ざん防止) 16
  • 17. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go リムーバブルメディアの保護 パスワード利用 グループポリシーによる強制 17
  • 18. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
  • 19. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 共有フォルダーのアクセスを自動的に暗号化 Windows Server 2012からの新機能 サーバーマネージャーで構成 IP Security 持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
  • 20. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 20
  • 21.  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR サーバーの障害・災害対策
  • 22. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 従来のパスワードポリシー ドメイン単位 きめ細かなパスワードポリシー Windows Server 2008以降 セキュリティグループまたはユーザー単位のポリシー Windows Server 2012からGUI設定可 22
  • 23. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ブランチオフィス(地方拠点)の問題点 低速WAN回線 少ないサーバーリソース 比較的低い物理セキュリティ 専任のシステム管理者不在 ブランチオフィスの現状 ドメインコントローラー兼ファイルサーバー パートタイムシステム管理者 23  DC盗難によるディレクトリ情報流出  不慣れなファイルサーバー管理者がドメインを破壊
  • 24. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 読み取り専用ドメインコントローラー (RODC) パスワードを原則保存しない ブランチ勤務の一般ユーザーのみ保存するように構成 ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
  • 25. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 操作ミスによる削除からの回復 ディスク障害対策 サーバー障害対策 25
  • 26. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 以前のバージョン = 定期的なスナップショット 実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
  • 27. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 記憶域プールと仮想ディスク ミラー (2方向 & 3方向) パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
  • 28. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) 分散ファイルシステム DFS名前空間 DFS-R (複製) 特徴 差分圧縮転送 スケールアウト可能(LAN/WAN) データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
  • 29. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) 従来の高可用性ファイル サーバー アクティブなノードは1台 Active / Passive スケール アウト ファイル サーバー メタデータの更新を特定のノードで管理 データ転送は複数のノードから行う Active / Active 特徴 データの一貫性 スケールアウト可能(通常はLAN内) 透過フェールオーバー(SMB 3.0) 汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
  • 30. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP Hyper-Vへの複製 Microsoft Azureへの複製 複製先のTCP/IP構成 DHCPクライアントとして構成 Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
  • 31. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン 複製間隔…30秒 / 5分 / 15分…常に差分複製 回復方法…いずれも手動 BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
  • 32. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) Widows Serverバックアップの保存先を変更 Azureバックアップ (オンラインバックアップ) システム状態のバックアップ不可 32
  • 33. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害・災害対策のまとめ  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR 33
  • 35. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー クライアント管理 グループポリシー WSUS 集約型アクセス制御 ファイルの分類管理 AD RMS BitLocker SMB暗号化 IP Security サーバー管理 RODC 以前のバージョン 記憶域プール DFS-R スケールアウト ファイルサーバー Hyper-Vレプリカ Azureバックアップ 35
  • 36. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36  http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング  グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
  • 37. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.