More Related Content Similar to はじめてのWindows Server (20) More from junichi anno (20) はじめてのWindows Server2. 目次 Windows Server とは何者か? ファイルサーバーとしてのWindows Server 認証基盤としてのWindows Server クライアント構成管理基盤としてのWindows Server 4. Windows と Windows Server は違う? Windows WindowsClient Windows Server Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 R2 Windows Server 2003 Windows 2000 Server Windows NT 4.0 Windows NT 3.51 Windows NT 3.5 Windows NT 3.1 Windows 7 Windows Vista Windows XP Windows Me Windows 98 Windows 95 Windows 3.1 Windows 3.0 Windows 2.11 Windows 2.1 Windows 2.0 最近仲間入り Windows Azure 6. Windows Server の用途 ネットワーク機器以外の全てインフラをカバー Windows Server の3大サービス ファイルサービス データの格納庫 認証サービス(Active Directory) ユーザーの管理 アクセス権の管理 構成管理サービス(Group Policy) クライアントの管理 もちろんほかにも...標準機能が盛りだくさん WEBサービス、仮想サービス、プリントサービス、クライアント配信サービス、権限管理サービス、証明書サービス、ターミナルサービス、検疫サービス、フェデレーションサービス、パッチ管理サービス、DHCPサービス などなど... 6 7. Windows Server と 役割 素の Windows Server はク○ープを入れないコーヒーのようなもの 「役割」を追加することで Windows Server に性格付けができる 1つのサーバーに多くの役割を入れすぎるとかえって管理が複雑に... Active Directory DNS DHCP NAP File Service WEB ・・・ Windows Server 2008 8. (余談)最近の流行は仮想化 Active Directory DNS DHCP NAP WWW WWW Network Load Balance Windows Server 2008 Windows Server 2008 Windows Server 2008 Windows Server 2008 Guest Hyper-V(仮想化サービス) Windows Server 2008 HOST Intel VT/AMD-V 9. DEMO1 Windows Server 2008 のインストール Windows Server2008 の初期設定 コンピューター名の設定 IPアドレス/DNSの設定 ※Hyper-V上で行ってみましょう DC01 administrator administrator junichia junichia FS01 Win7 11. 何ができるのか? データの集中管理と共有 スクリーン機能 不要なファイルを保存させない機能 クオーター管理 容量制限 分散ファイルシステム(DFS)with Active Directory ファイルサーバーを2台以上で構成し信頼性を向上 ファイルサーバーを分散させて1つに見せる ブランチキャッシュ(2008R2+Win7) 地方の営業所にデータをキャッシュ 14. (参考)「ファイルサーバー」として使う前に Windows Server のエクスプローラも一般ユーザー向けのインターフェースにチューニングされてしまっている [コントロールパネル]-[フォルダ オプション] [すべてのファイルとフォルダを表示する]:有効 [共有ウィザードを使用する]:無効 [常にメニューを表示する]:有効 [登録されている拡張子は表示しない]:無効 19. 規定のアクセス権 共有フォルダのアクセス権 Everyone:読み取り ファイルシステムのアクセス権 SYSTEM このフォルダ/サブフォルダ/ファイル:FULL Administrators このフォルダ/サブフォルダ/ファイル:FULL Users このフォルダ/サブフォルダ/ファイル:読み取りと実行 このフォルダ/サブフォルダ:データの書き込み、データの追加 Creator Owner サブフォルダ/ファイル:FULL これが肝 21. DEMO3 共有フォルダを作成 ユーザーを作成 アクセス権を付与 ※2台のサーバーに対して行ってみます DC01 administrator yamada administrator junichia junichia yamada FS01 Win7 24. ファイルスクリーン 指定した拡張子を持つファイルを保存させないようにする機能 容量の大きなファイル(動画、静止画、音声など) 著作権に抵触しそうなファイル(動画、静止画、音声など) 容量増大を招きそうなファイル(動画、静止画、音声など) 危険なファイル(実行ファイルなど) スクリーン設定 どのファイルを制限するか 制限時の動作 保存させない(アクティブ) 保存させるけど警告を出す(パッシブ) メール送信 イベントログ コマンド実行 25. クオータ 指定したフォルダの最大容量を指定できる 全てのユーザーに適用される(管理者も例外ではない) クオータ設定 フォルダの最大容量(サブフォルダにも適用) 容量オーバー時の動作 保存させない(ハード) 保存させるけど警告を出す(ソフト) メール送信 イベントログ コマンド実行 参考 コマンドを使用して容量制限を拡張することが可能 dirquota.exe quota modify /path:c:omenno /sourcetemplate: “テンプレート名” 26. 記憶域レポート ディスクの使用状況をレポートとして出力 DHTML/HTML/XML/CSV/TXT 出力したい情報を選択 クオータの使用率 ファイルグループごとのファイル ファイルスクリーン処理の監査 最近アクセスされていないファイル 最近アクセスしたファイル 重複しているファイル 所有者ごとのファイル 大きいサイズのファイル スケジューリング 週に1回、毎日12時に実行 など メールの送信先 26 27. DEMO5 ファイルスクリーン クオータ 記憶域レポート DC01 administrator yamada administrator junichia junichia yamada FS01 Win7 32. Active Directory って? Windows Server に実装されているディレクトリサービス (vsSunJavaDS , OpenDS, Novel eDirectory, OpenLDAP, Oracle...) ユーザー認証基盤、情報ストア クライアント管理基盤 他のサーバー製品との連携(Exchange,SharePoint,System Center など) Windowsの世界だけにとどまらない利用を前提 LDAP Kerberos CA NIS NTLM Radius + Windows管理技術 33. 疑問:Active Directory は大規模システム用でしょ? NO! です Active Directory の目的は ユーザー管理を「効率化」するためだけのものではありません 使い勝手の向上 安全性の向上 規模の大小とは 関係ありません 可能性の拡大 Windows Serverには 標準で 5CAL(クライアントアクセスライセンス)が付いています 5人そろったらActive Directory! 35. DEMO6 Active Directory のインストール DC01 CONSOTO.CO.JP administrator DNS administrator junichia junichia yamada FS01 Win7 36. Active Directory で何ができるのか? ユーザーの認証 クライアントPCへのログオン WEBアプリケーションを使用するときのログオン シングルサインオン ドキュメントのRights Management など クライアントの認証 許可されたクライアントを使用しているかどうかをチェック ユーザーとグループの集中管理 情報の一元管理 有効期限管理やロック パスワードポリシーの管理 など クライアントの集中管理 クライアントOSの構成管理(Group Policy) 各種サーバーのアクセスコントロール用として 認証スイッチ 用RADIUSサーバーとして 検疫サーバー 用のバックエンド認証サーバー など 37. Active Directory を構築するに当たり 事前に決めておくこと 固定のIPアドレス DNSServer が必須 Dynamic DNSである必要がある ※安心してください 秘策があります 事前に決めておくこと DNSドメイン名 (例) win.corp-domain.co.jp コンピュータ名(ホスト名) 管理者のパスワード 用語 AD Active Directory のこと ドメインコントローラ(DC) Active Directoryがインストールされたサーバーのこと 38. 用語の解説 AD Active Directory のこと ドメイン Active Directory の影響が及ぶ範囲のこと 物理的なネットワークとは全く関係ない 政党のようなもの(ドメインを作る=政党を作る) 「ドメインに参加する」 Active Directory の影響下に置かれること 政党に所属するようなもの 数多の恩恵も多いかわりに、締め付けも発生 ドメインコントローラー(DC) Active Directory をインストールしたWindows Serverのこと ドメイン内のユーザーやコンピュータを集中管理する 総裁に相当?倒れたら大騒ぎになるので、影武者が必要。 Domain Admins ドメインの管理者グループ このグループに所属しているとドメイン内で絶大な権力を持つ 党三役に相当。影でDCを動かしている。 42. DEMO7 user01 アカウントをドメインに作成 ドメインに参加 ファイルサーバー(FS01) クライアント(Win7) DC01 CONSOTO.CO.JP administrator user01 DNS administrator junichia junichia yamada FS01 Win7 43. ドメインに参加すると 「ドメインに参加する」とは... Active Directory ドメインの管理下に置かれる ドメインのadministratorがクライアントに対する管理権限を持つ クライアントの管理者はクライアント内の管理権限を持つ クライアントはドメイン内のリソースを使えるようになる 一番強い権限 ドメイン外のクライアント administrator 管理権限無し 利用 管理 管理 DC 利用 利用 ドメインの壁 46. DEMO8 アクセス権の確認 グループによるアクセス権の制御 DC01 CONSOTO.CO.JP administrator user01 DNS 情報システム部 administrator junichia junichia yamada FS01 Win7 ドキュメント管理者 50. 分散ファイルシステム(DFS) 複数のファイルサーバーを仮想的に統合 名前空間 ファイルサーバーを多重化 レプリケーショングループ 用語 DFS Distributed File System の略 日本語では「分散ファイルシステム」 名前空間 クライアントから接続するときの仮想的なパスのこと ファイルサーバーが複数存在しても一意な名前空間を作成できる レプリケーショングループ 複数のサーバーで構成されるグループで、このメンバー間でデータの複製が行われる メンバーサーバー レプリケーショングループのメンバーのこと グループメンバー同士でデータを複製しあう 54. Distributed File Lockingについて 一方で編集されているときに、 他のサーバー上のファイルをロックする機能 残念ながらできません。。。 そのかわり...といってはなんですが... Windows Server 2008 R2 からは、 「 Read-Only replicated folders 」 が実装される予定です。 55. (余談)ブランチキャッシュについて 地方の拠点に対し、効率的にファイルを転送する方法 Windows Server 2008 R2+ Windows Server 7 Filer Hosted Cache ー拠点サーバーにキャッシュ Distributed Cache ークライアントにキャッシュ 中規模以上の拠点に対して推奨される構成 集中管理されたキャッシュ:拠点にすでに存在するサーバーでキャッシュの集中管理が可能 キャッシュに対する高い可用性 支店全体のキャッシュをカバー 拠点にサーバーを用意する必要がない クライアントのグループポリシーを有効にするだけですぐに利用可能 キャッシュされた内容はクライアントオフラインにするだけで削除される 58. クライアントの構成管理とは 以下をドメインコントローラで集中管理すること グループポリシー セキュリティ関連 パスワードの複雑さ 通信の暗号化強度 ログの保存期間 など OSの環境 コントロールパネル内の各種設定 シェル(エクスプローラ)の動作設定 など インストールされているソフトウェアの環境構成 Office の環境設定 Internet Explorer の環境設定 Windows関連コンポーネントの環境設定 レジストリ や ini ファイルの設定 など ユーザープロファイルの構成 デスクトップの設定 アプリケーション利用の許可と拒否 プリンターの接続 アプリケーションの動作設定 60. 部門ごとにポリシーが異なる場合 ユーザーとコンピュータを部門ごとに分割する -> OU(Organizational Unit)を使用 IEのプロキシとホームページ設定 DomainROOT GPO OU:Domain Controllers パスワードポリシー 規定 GPO プリンタドライバのインストール OU:Clients GPO 業務部共通ホームページ設定 GPO OU:業務部 OU:経理課 業務アプリの設定 ゲーム等の起動禁止 GPO 一切の設定無し OU:システム管理者 GPO GPO:Group Policy Object 61. DEMO12 部門ごとにポリシーを作成 DC01 CONSOTO.CO.JP administrator user01 DNS 情報システム部 administrator junichia junichia yamada FS01 Win7 ドキュメント管理者 62. (参考)グループポリシー基本設定 ーGroup PolicyPreferences ログオンスクリプトやスタートアップスクリプトで頻繁に使用する機能を、グループポリシー管理エディタに組み込んだもの スクリプトによる構成管理からの開放 Windows Server 2008 / Windows Vista SP1 必須※適用先は XP/2003 SP1 以降/ Vista / 2008 Windows Server World 7月号(5月末発売号)にて特集