2013年1月12日土曜日

Hyper-Vのリモート管理(少し古い記事です)

Windows Server 2008のHyper-V管理ツールは、原則としてドメイン環境でないと利用できませんが、これをワークグループで使用する方法です。

昔書いた記事で、少し古くなってしまいました。Windows Server 2012では検証していませんのでご了承ください。


Hyper-Vをインストールすると、一部のファイアウォールルールが自動的に構成され、別のコンピューターからリモート管理ができるようになります。

しかし、これではワークグループ環境でリモート管理を行うには十分ではありません。

以下のような構成が必要です。

Part 1 サーバー側での設定

  1. ユーザーアカウントの作成
    管理するコンピュータと、管理されるHyper-Vで同じユーザー名とパスワードのアカウントを作成
  2. ファイアウォールルールの構成
    "Windows Management Instrumentation (WMI)" グループに所属するルールをすべて有効(許可)にします。
    受信ルールが3つ、送信ルールが1つの合計4つです。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
  3. DCOMセキュリティの構成
    ・dcomcnfgコマンドを実行
    ・[コンソールルート]-[コンポーネントサービス]-[コンピュータ]の下にある[マイコンピュータ]のプロパティを表示
    ・[COMセキュリティ]タブの[起動とアクティブ化のアクセス許可]で[制限の編集]をクリック
    ★この画面は紛らわしい選択肢が多いので注意してください。
    ・管理者として設定したいユーザーまたはグループを追加して、[リモートからの起動]と[リモートからのアクティブ化]を有効化([ローカルからの起動]は最初から選択されています)
  4. WMIセキュリティの構成
    ・サーバーマネージャで[構成]-[WMIコントロール]を右クリックしてプロパティを表示
    ・[セキュリティ]タブを選択
    ・[Root]-[CIMv2]を選択
    ・[セキュリティ]をクリック
    ・ユーザーを追加し[アカウントの有効化]が選択されていることを確認
    ・[詳細設定]をクリック
    ・追加したユーザーを選択し[編集]をクリック
    ・[適用先]を[この名前空間のみ]から[この名前空間と副名前空間]に変更
    ・[リモートの有効化]を選択
    ・[これらのアクセス許可を、このコンテナの中にあるオブジェクトコンテナにのみ適用する]を選択
    ・[OK]をクリック
    ・同様の手順をRoot\virtualizationに対しても実行
  5. Hyper-Vの権利の構成
    ・コマンドプロンプトからAZMan.mscを起動
    ・[承認マネージャ]を右クリックし、[承認ストアを開く]を選択
    ・承認ストアとして[XMLファイル]を選択し、[C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml]を指定して[OK]をクリック
    ・[承認マネージャ]-[InitialStore.xml]-[Hyper-V services]-[役割の割り当て]-[Administrator]を右クリック
    ・[ユーザーとグループの割り当て]から[WindowsとActive Directoryを使用]を選択
    ・管理権限を与えたいユーザーを指定して[OK]をクリック
    ・再起動

Part 2 クライアント側(管理ツールを実行するコンピュータ)での設定

  1. WMI用のファイアウォールルールの構成
    Part 1 の2と同様、クライアントでも "Windows Management Instrumentation (WMI)" グループに所属するルールをすべて有効化(許可)。
    Windows Vistaの場合は受信の規則が6つ、送信の規則が2つで、合計8つのルールが構成されます。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
  2. MMC用のファイアウォールルールの構成
    以下のコマンドを実行し、MMCに対してファイアウォールの例外規則を設定します。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    Netsh firewall add allowedprogram program=%windir%\system32\mmc.exe name="Microsoft Management Console"
  3. DCOMセキュリティの構成
    ワークグループや信頼関係のないドメインの場合に必要です。同一ドメインの場合や信頼関係のあるドメインの場合には必要ありません。
    ・dcomcnfgコマンドを実行
    ・[コンソールルート]-[コンポーネントサービス]-[コンピュータ]の下にある[マイコンピュータ]のプロパティを表示
    ・[COMセキュリティ]タブの[アクセス許可]で[制限の編集]をクリック
    ・ANONYMOUS LOGONに[リモートアクセス]を許可([ローカルアクセス]は最初から選択されている)
    ・必要なだけ[OK]をクリックしてダイアログボックスを終了

以上で、Hyper-Vをリモートから管理するための準備が完了しました。

【参考資料】

今見たら、情報が更新されているようです。正確に知りたい方は、英語ですが、ぜひこちらをどうぞ。