Upload
junichi-anno
View
7.305
Download
2
Embed Size (px)
DESCRIPTION
はじめてWindows Serverを使う方のためのご紹介資料
Citation preview
5人そろったらはじめましょう
はじめての WINDOWS SERVER
マイクロソフト株式会社エバンジェリスト
安納 順一(あんのう じゅんいち)http://blogs.technet.com/junichia/
2
目次
1. Windows Server とは何者か?
2. ファイルサーバーとしてのWindows Server
3. 認証基盤としてのWindows Server
4. クライアント構成管理基盤としてのWindows Server
WINDOWS SERVER とは何者か?
4
WINDOWS と WINDOWS SERVER は違う?
Windows
Windows Client Windows Server
Windows Server 2008 R2
Windows Server 2008Windows Server 2003 R2Windows Server 2003Windows 2000 ServerWindows NT 4.0Windows NT 3.51Windows NT 3.5Windows NT 3.1
Windows 7
Windows VistaWindows XPWindows MeWindows 98Windows 95Windows 3.1Windows 3.0Windows 2.11Windows 2.1Windows 2.0 最近仲間入り
Windows Azure
5
サーバーとしての機能が大幅に増強されている
同時アクセス数
クライアントOSは最大10ユーザー
値段が違う
Server
WINDOWS SERVER は何が違うのか
Client画面系
基本的な操作方法は同じ見た目もほぼ同じ動くソフトウェアも大体同じ※ゲームをのぞけばClientで動くソフトウェアはサーバーでも動く(OSのコアが同じ → ドライバが共通)
6
WINDOWS SERVER の用途
ファイルサービスデータの格納庫
認証サービス(Active Directory)ユーザーの管理アクセス権の管理
構成管理サービス(Group Policy)クライアントの管理
Windows Server の3大サービス
もちろんほかにも...標準機能が盛りだくさん
6
WEBサービス、仮想サービス、プリントサービス、クライアント配信サービス、権限管理サービス、証明書サービス、ターミナルサービス、検疫サービス、フェデレーションサービス、パッチ管理サービス、DHCPサービス などなど...
ネットワーク機器以外の全てインフラをカバー
7
WINDOWS SERVER と 役割
Windows Server 2008
Active Directory
DNS
素の Windows Server はク○ープを入れないコーヒーのようなもの「役割」を追加することで Windows Server に性格付けができる
1つのサーバーに多くの役割を入れすぎるとかえって管理が複雑に...
DHCP NAPFile
ServiceWEB ・・・
8
(余談)最近の流行は仮想化
Windows Server 2008
Intel VT/AMD-V
Hyper-V(仮想化サービス)
Windows Server 2008
Windows Server 2008
Windows Server 2008
Windows Server 2008
HOST
Guest
Active Directory
DNS DHCP NAPWWW WWW
Network Load Balance
9
DEMO 1Windows Server 2008 のインストールWindows Server 2008 の初期設定
コンピューター名の設定IPアドレス/DNSの設定
※Hyper-V上で行ってみましょう
junichiajunichia administrator
administratorDC01
FS01Win7
ファイルサーバーとしてのWINDOWS SERVER
11
何ができるのか?
データの集中管理と共有
スクリーン機能
不要なファイルを保存させない機能
クオーター管理
容量制限
分散ファイルシステム(DFS) with Active Directory
ファイルサーバーを2台以上で構成し信頼性を向上
ファイルサーバーを分散させて1つに見せる
ブランチキャッシュ(2008R2+Win7)
地方の営業所にデータをキャッシュ
12
データの集中管理と共有
俗に言うファイルサーバー機能認証は個々のサーバーで行う
FS01
FS02
FS03
13
DEMO 2ファイルサービス 役割の追加
junichiajunichia administrator
administratorDC01
FS01Win7
14
(参考)「ファイルサーバー」として使う前に
[コントロールパネル]-[フォルダ オプション]
[すべてのファイルとフォルダを表示する]:有効
[共有ウィザードを使用する]:無効
[常にメニューを表示する]:有効
[登録されている拡張子は表示しない]:無効
Windows Server のエクスプローラも一般ユーザー向けのインターフェースにチューニングされてしまっている
15
(参考)「役割」について
Windows Server 2008 では、「役割」や「機能」を追加することで、サーバーでできる事が決まります
16
(参考)「役割」と「役割サービス」「役割」は複数のサービスに分かれている場合がある「役割」を追加した後で「役割サービス」を追加するには、[サーバーマ
ネージャ]で「役割サービスの追加」を行う。
「ファイル サービス」役割配下の 役割サービス
17
フォルダ、共有、ユーザー、アクセス権ファイルサーバーとして使えるようにするには、以下の設定が必要共有フォルダの作成
フォルダ 単位で共有設定を行うことユーザーの作成
リモートから共有フォルダを使用するユーザーを作成するアクセス権の設定
共有フォルダへのアクセス権限を設定するUser01:読み取りAdmin:フルコントロール など
アクセス権には2種類共有フォルダのアクセス権ファイルシステムのアクセス権
フォルダユーザー
1台のサーバー内で完結
18
共有アクセス権とファイルシステムアクセス権
共有アクセス権
ファイルシステムのアクセス権
共有アクセス権 :リモートからの接続許可ファイルシステムのアクセス権 :ファイルシステム内の使用許可
リモートユーザー
一般的には「共有アクセス」は緩く、「ファイルシステム」できつく
19
規定のアクセス権
共有フォルダのアクセス権Everyone:読み取り
ファイルシステムのアクセス権SYSTEM
このフォルダ/サブフォルダ/ファイル:FULLAdministrators
このフォルダ/サブフォルダ/ファイル:FULLUsers
このフォルダ/サブフォルダ/ファイル:読み取りと実行このフォルダ/サブフォルダ:データの書き込み、データの追加
Creator Ownerサブフォルダ/ファイル:FULL
20
「別のユーザー」を指定するには
<コンピュータ名>\<ユーザー名>
FS01 User01
FS01\User01
21
DEMO 3共有フォルダを作成ユーザーを作成アクセス権を付与
※2台のサーバーに対して行ってみます
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
yamada
22
ファイルサーバーの運用をサポートする機能~リソースマネージャー
22
ファイルスクリーン保存させたくないファイルの拡張子を指定
クオータ容量の上限を設定
無駄に容量を増やさない
ディスクの使用量をレポートする
記憶域レポートの管理使用量を定期的に自動生成&メール送信
23
DEMO 4リソースマネージャー(役割サービス)の追加
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
yamada
24
ファイルスクリーン
指定した拡張子を持つファイルを保存させないようにする機能容量の大きなファイル(動画、静止画、音声など)著作権に抵触しそうなファイル(動画、静止画、音声など)容量増大を招きそうなファイル(動画、静止画、音声など)危険なファイル(実行ファイルなど)
どのファイルを制限するか制限時の動作
保存させない(アクティブ)保存させるけど警告を出す(パッシブ)
メール送信イベントログコマンド実行
25
クオータ
指定したフォルダの最大容量を指定できる全てのユーザーに適用される(管理者も例外ではない)
フォルダの最大容量(サブフォルダにも適用)容量オーバー時の動作
保存させない(ハード)保存させるけど警告を出す(ソフト)
メール送信イベントログコマンド実行
参考コマンドを使用して容量制限を拡張することが可能
dirquota.exe quota modify /path:c:\home\anno /sourcetemplate: “テンプレート名”
26
記憶域レポート
26
ディスクの使用状況をレポートとして出力DHTML/HTML/XML/CSV/TXT
出力したい情報を選択クオータの使用率ファイルグループごとのファイルファイルスクリーン処理の監査最近アクセスされていないファイル最近アクセスしたファイル重複しているファイル所有者ごとのファイル大きいサイズのファイル
スケジューリング週に1回、毎日12時に実行 など
メールの送信先
27
DEMO 5ファイルスクリーンクオータ記憶域レポート
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
yamada
認証基盤としてActive Directory による認証とアクセス管理の統合
29
Active Directoryの基本機能
30
分散管理の問題点ユーザーをサーバー個別に管理
管理作業の煩雑さミスの発生プロビジョニングの非徹底利用者の利便性低下
管理者個々にログオン個々にパスワード変更
31
認証を統合するとこうなる
管理者はActive Directoryのみを管理すればよい個々のファイルサーバーは初期設定のみシングルサインオンによりユーザーのログオンは一度だけ
管理者ADにログオンした後はすべてのサーバーにSSO
Active Directory
32
ACTIVE DIRECTORY って?
Windows Server に実装されているディレクトリサービス(vs SunJava DS , OpenDS, Novel eDirectory, OpenLDAP, Oracle...)
ユーザー認証基盤、情報ストアクライアント管理基盤他のサーバー製品との連携(Exchange,SharePoint,System Center など)
LDAP Kerberos
NIS
CA
NTLM Radius
+
Windowsの世界だけにとどまらない利用を前提
33
疑問:ACTIVE DIRECTORY は大規模システム用でしょ?
NO! です
Active Directory の目的はユーザー管理を「効率化」するためだけのものではありません
使い勝手の向上安全性の向上
可能性の拡大
規模の大小とは関係ありません
Windows Server には標準で 5CAL(クライアントアクセスライセンス)が付いています
5人そろったらActive Directory!
34
疑問:ACTIVE DIRECTORY って難しいでしょ?
No! です
Active Directory は「ITをシンプルにする」ために開発されたディレクトリサービスです。
必要なスキル
低
高
規模(ユーザー数)
小 大
20
1000~
少人数こそ簡単に使えます!
35
DEMO 6Active Directory のインストール
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
36
ACTIVE DIRECTORY で何ができるのか?ユーザーの認証
クライアントPCへのログオンWEBアプリケーションを使用するときのログオンシングルサインオンドキュメントのRights Management など
クライアントの認証許可されたクライアントを使用しているかどうかをチェック
ユーザーとグループの集中管理情報の一元管理有効期限管理やロックパスワードポリシーの管理 など
クライアントの集中管理クライアントOSの構成管理(Group Policy)
各種サーバーのアクセスコントロール用として認証スイッチ 用RADIUSサーバーとして検疫サーバー 用のバックエンド認証サーバー など
37
ACTIVE DIRECTORY を構築するに当たり
事前に決めておくこと
固定のIPアドレスDNS Server が必須
Dynamic DNSである必要がある※安心してください 秘策があります
事前に決めておくことDNSドメイン名
(例) win.corp-domain.co.jpコンピュータ名(ホスト名)管理者のパスワード
用語AD
Active Directory のことドメインコントローラ(DC)
Active Directoryがインストールされたサーバーのこと
38
用語の解説
ADActive Directory のこと
ドメインActive Directory の影響が及ぶ範囲のこと物理的なネットワークとは全く関係ない政党のようなもの(ドメインを作る=政党を作る)
「ドメインに参加する」Active Directory の影響下に置かれること政党に所属するようなもの数多の恩恵も多いかわりに、締め付けも発生
ドメインコントローラー(DC)Active Directory をインストールしたWindows Serverのことドメイン内のユーザーやコンピュータを集中管理する総裁に相当?倒れたら大騒ぎになるので、影武者が必要。
Domain Adminsドメインの管理者グループこのグループに所属しているとドメイン内で絶大な権力を持つ党三役に相当。影でDCを動かしている。
39
小規模であれば(時間をかけた)設計はいりません!DNSドメインは既存ドメインの「子ドメイン」とするDNSはActive Directoryで兼用し、既存DNSにForwardWindowsクライアントはADのDNSを参照
ACTIVE DIRECTORYの設計について
企業の外部DNS企業の内部DNS
Active Directory 兼 DNS
win.corp-domain.co.jp
corp-domain.co.jp
既存
forward
40
信頼性を高めるために
どんなに小規模でも、最低2台のドメインコントローラを立てましょう高価なサーバーマシンである必要はありません
PCレベルで十分です(ただし365日24時間運用が前提)
複製
マルチマスターレプリケーションアカウント、DNSをはじめ、同じ情報を複製しあう
Active Directory 兼 DNS
生きているActive Directoryを自動的に認証サーバーとして使用する
41
大規模な場合はこんな構成もできます
本社サイト
DMZ
栃木サイト 大阪サイト
サイト内で閉じた認証WANを超えた認証を抑止
RODCでインターネットから認証地方をRODCで構成
書き込みができないDCパスワードを保持しない
※これで1つのドメインです
42
DEMO 7user01 アカウントをドメインに作成ドメインに参加
ファイルサーバー(FS01)クライアント(Win7)
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
43
ドメインに参加すると
「ドメインに参加する」とは...Active Directory ドメインの管理下に置かれるドメインのadministratorがクライアントに対する管理権限を持つクライアントの管理者はクライアント内の管理権限を持つクライアントはドメイン内のリソースを使えるようになる
DC
administrator
管理管理
ドメイン外のクライアント
44
ローカルログオンとドメインログオンの違い
どこに「ログオン」するかで、権限の及ぶ範囲が異なることに注意ローカルログオン(<クライアント名>\<ユーザー名>)
クライアントに登録したユーザーでログオンすること権限の範囲はクライアント内部で簡潔
ドメインログオン(<ドメイン名>\<ユーザー名>)ドメインに作成したユーザーでログオンすること
権限の範囲はドメイン全体(アクセス権の許す限り)
45
「グループによるアクセス権の管理」で効率化
業務フォルダ
ReadOnlyUsers
ReadWriteGroup
経理部スタッフ
人事部スタッフ
人事部管理職
アクセス権はローカルグループで設定グローバルグループをローカルグループに所属させる
46
DEMO 8アクセス権の確認グループによるアクセス権の制御
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
ドキュメント管理者
情報システム部
47
DEMO 9Active Directoryでユーザーのプロビジョニング
無効化パスワードのリセット有効期限の設定
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
ドキュメント管理者
情報システム部
48
分散ファイルシステム
ー Active Directoryがあるとこんなこともできます
49
DEMO 10分散ファイルシステム(役割サービス)のインストール
DFS名前空間DFSレプリケーション
名前空間の作成レプリケーションの作成
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
ドキュメント管理者
情報システム部
50
分散ファイルシステム(DFS)
複数のファイルサーバーを仮想的に統合名前空間
ファイルサーバーを多重化レプリケーショングループ
用語DFS
Distributed File System の略日本語では「分散ファイルシステム」
名前空間クライアントから接続するときの仮想的なパスのことファイルサーバーが複数存在しても一意な名前空間を作成できる
レプリケーショングループ複数のサーバーで構成されるグループで、このメンバー間でデー
タの複製が行われるメンバーサーバー
レプリケーショングループのメンバーのことグループメンバー同士でデータを複製しあう
51
複数のファイルサーバーを仮想的に統合
こんなニーズを解決しますファルサーバーが複数になると接続が面倒クライアントからは1台のサーバーに見せたい
\\FS01\報告書
\\FS02\ホームディレクトリ
\\FS03\社内共通ドキュメント
\\CONTOSO\共有
52
ファイルサーバーを多重化
こんなニーズを解決しますファイルサーバーの負荷が高い(負荷を分散したい)ファイルサーバーの信頼性を高めたい(片方が落ちてもいいように)遠隔地からのアクセスがある(支店では支店のサーバーを使いたい)
\\FS01\報告書
\\CONTOSO\共有
\\FS02\報告書
自動的に振り分けられる
53
データ収集
こんなニーズを解決します地方にあるサーバーのログファイルを定期的に収集したい日中はネットワークが重たいので夜間に行いたいいったん一台のサーバーにデータを集めてからバックアップしたい
複製
54
DISTRIBUTED FILE LOCKING について
一方で編集されているときに、他のサーバー上のファイルをロックする機能
残念ながらできません。。。
そのかわり...といってはなんですが...Windows Server 2008 R2 からは、
「 Read-Only replicated folders 」
が実装される予定です。
55
Hosted Cacheー拠点サーバーにキャッシュ
Distributed Cacheークライアントにキャッシュ
(余談)ブランチキャッシュについて地方の拠点に対し、効率的にファイルを転送する方法Windows Server 2008 R2 + Windows Server 7
拠点にサーバーを用意する必要がないクライアントのグループポリシーを有効にするだけですぐに利用可能キャッシュされた内容はクライアントオフラインにするだけで削除される
Filer
中規模以上の拠点に対して推奨される構成
集中管理されたキャッシュ:拠点にすでに存在するサーバーでキャッシュの集中管理が可能
キャッシュに対する高い可用性
支店全体のキャッシュをカバー
クライアント構成管理基盤として56
57
DEMO 11ドメイン :パスワードの長さを16文字に強制するコンピュータ:無操作時の自動スリープ移行ユーザー :IE のホームページとプロキシー設定
:WINNYを使わせない:コントロールパネルを使わせない
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
ドキュメント管理者
情報システム部
58
クライアントの構成管理とは以下をドメインコントローラで集中管理すること
セキュリティ関連パスワードの複雑さ通信の暗号化強度ログの保存期間 など
インストールされているソフトウェアの環境構成Office の環境設定Internet Explorer の環境設定Windows関連コンポーネントの環境設定レジストリ や ini ファイルの設定 など
OSの環境コントロールパネル内の各種設定シェル(エクスプローラ)の動作設定 など
ユーザープロファイルの構成デスクトップの設定アプリケーション利用の許可と拒否プリンターの接続アプリケーションの動作設定
グループポリシー
59
グループポリシーの概念
コンピュータ起動
電源ボタンON
ログオン画面
ユーザーログオン
「コンピュータポリシー」と「ユーザーポリシー」
60
OU:システム管理者
部門ごとにポリシーが異なる場合
ユーザーとコンピュータを部門ごとに分割する→ OU(Organizational Unit)を使用
OU:Domain Controllers
OU:経理課
規定
OU:Clients
GPO : Group Policy Object
GPO
GPO
GPO
GPO
GPO
OU:業務部
一切の設定無し
業務アプリの設定ゲーム等の起動禁止
プリンタドライバのインストール
パスワードポリシー
IEのプロキシとホームページ設定
GPO業務部共通ホーム
ページ設定
61
DEMO 12部門ごとにポリシーを作成
junichiajunichia administrator
administratorDC01
FS01Win7
yamada
CONSOTO.CO.JP
user01
ドキュメント管理者
情報システム部
62
(参考)グループポリシー基本設定ー Group Policy Preferences
ログオンスクリプトやスタートアップスクリプトで頻繁に使用する機能を、グループポリシー管理エディタに組み込んだもの
スクリプトによる構成管理からの開放
Windows Server 2008 / Windows Vista SP1 必須※適用先は XP/2003 SP1 以降/ Vista / 2008
Windows Server World 7月号(5月末発売号)にて特集
まとめ63
64
まとめ
• 少人数こそ効率化を考えましょう
• 少人数だからこそコストがかからない方法があります
• 少人数だからといって「高機能」をあきらめる必要はありません
• 最大の目標は設計をしないことです
65
参考資料
第1回 ここまでできる!標準サービスhttp://thinkit.jp/article/752/1/
第2回 DFSによるファイルサーバー可用性の向上http://thinkit.jp/article/789/1/
第3回 グループポリシーを使ってらくらく管理http://thinkit.jp/article/805/1/
66