2013年1月17日木曜日

【書籍】プロが教える Windows Server 2012システム管理

グローバルナレッジの社員が中心となって執筆した書籍『プロが教えるWindows Server 2012システム管理』の見本誌ができました(ただいま配送中で、実はまだ見ていないのですが)。

現在、グローバルナレッジの新しい教育コース「Windows Server 2012ソリューションアップデート」を受講していただいた方全員にプレゼントしています。よろしければご検討ください。

Win2012書籍

700Pを超える大作ですが、それでも多くの内容を割愛せざるを得ませんでした。特にフェールオーバークラスター関係が含まれないのは今でも悔やまれますが、章立ての最終決定は私がしたので、すべて横山の責任です。

比較的小規模な組織で、専任ではないIT管理者の方に読んでいただければと思っています。

著者一覧(担当章順)

  • 横山哲也 ( 監修兼)
  • 河野憲義
  • 片岡正枝
  • 伊藤将人
  • 浅野ゆき子
  • 神谷正
  • 小鮒通成
  • 国井傑

著者陣のうち、グローバルナレッジの講習を担当していないのは小鮒(こぶな)さんと国井さんです。私がお願いして担当してもらいました。

小鮒さんはSIベンダー系の会社の方で、Active Directory分野のマイクロソフトMVPを10年連続で受賞されています(おそらく4月には11年目に入るでしょう)。

国井さんは、我々と同じMCTですが、グローバルナレッジのお仕事はまだお願いしていませんが、彼もActive Directory分野のマイクロソフトMVPを7年連続で受賞されています。

監修した私は、小鮒さんより少し遅れてActive Directory分野のマイクロソフトMVPを9年間受賞し、昨年はVirtual MachineのMVPになりました。

第3部の「Active Directory編」は、この3名で担当していますので、特におすすめします。

プロが教える Windows Server 2012システム管理

2013年1月12日土曜日

Hyper-Vのリモート管理(少し古い記事です)

Windows Server 2008のHyper-V管理ツールは、原則としてドメイン環境でないと利用できませんが、これをワークグループで使用する方法です。

昔書いた記事で、少し古くなってしまいました。Windows Server 2012では検証していませんのでご了承ください。


Hyper-Vをインストールすると、一部のファイアウォールルールが自動的に構成され、別のコンピューターからリモート管理ができるようになります。

しかし、これではワークグループ環境でリモート管理を行うには十分ではありません。

以下のような構成が必要です。

Part 1 サーバー側での設定

  1. ユーザーアカウントの作成
    管理するコンピュータと、管理されるHyper-Vで同じユーザー名とパスワードのアカウントを作成
  2. ファイアウォールルールの構成
    "Windows Management Instrumentation (WMI)" グループに所属するルールをすべて有効(許可)にします。
    受信ルールが3つ、送信ルールが1つの合計4つです。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
  3. DCOMセキュリティの構成
    ・dcomcnfgコマンドを実行
    ・[コンソールルート]-[コンポーネントサービス]-[コンピュータ]の下にある[マイコンピュータ]のプロパティを表示
    ・[COMセキュリティ]タブの[起動とアクティブ化のアクセス許可]で[制限の編集]をクリック
    ★この画面は紛らわしい選択肢が多いので注意してください。
    ・管理者として設定したいユーザーまたはグループを追加して、[リモートからの起動]と[リモートからのアクティブ化]を有効化([ローカルからの起動]は最初から選択されています)
  4. WMIセキュリティの構成
    ・サーバーマネージャで[構成]-[WMIコントロール]を右クリックしてプロパティを表示
    ・[セキュリティ]タブを選択
    ・[Root]-[CIMv2]を選択
    ・[セキュリティ]をクリック
    ・ユーザーを追加し[アカウントの有効化]が選択されていることを確認
    ・[詳細設定]をクリック
    ・追加したユーザーを選択し[編集]をクリック
    ・[適用先]を[この名前空間のみ]から[この名前空間と副名前空間]に変更
    ・[リモートの有効化]を選択
    ・[これらのアクセス許可を、このコンテナの中にあるオブジェクトコンテナにのみ適用する]を選択
    ・[OK]をクリック
    ・同様の手順をRoot\virtualizationに対しても実行
  5. Hyper-Vの権利の構成
    ・コマンドプロンプトからAZMan.mscを起動
    ・[承認マネージャ]を右クリックし、[承認ストアを開く]を選択
    ・承認ストアとして[XMLファイル]を選択し、[C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml]を指定して[OK]をクリック
    ・[承認マネージャ]-[InitialStore.xml]-[Hyper-V services]-[役割の割り当て]-[Administrator]を右クリック
    ・[ユーザーとグループの割り当て]から[WindowsとActive Directoryを使用]を選択
    ・管理権限を与えたいユーザーを指定して[OK]をクリック
    ・再起動

Part 2 クライアント側(管理ツールを実行するコンピュータ)での設定

  1. WMI用のファイアウォールルールの構成
    Part 1 の2と同様、クライアントでも "Windows Management Instrumentation (WMI)" グループに所属するルールをすべて有効化(許可)。
    Windows Vistaの場合は受信の規則が6つ、送信の規則が2つで、合計8つのルールが構成されます。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
  2. MMC用のファイアウォールルールの構成
    以下のコマンドを実行し、MMCに対してファイアウォールの例外規則を設定します。
    コマンドは以下の通りです。もちろんGUIでも構いません。
    Netsh firewall add allowedprogram program=%windir%\system32\mmc.exe name="Microsoft Management Console"
  3. DCOMセキュリティの構成
    ワークグループや信頼関係のないドメインの場合に必要です。同一ドメインの場合や信頼関係のあるドメインの場合には必要ありません。
    ・dcomcnfgコマンドを実行
    ・[コンソールルート]-[コンポーネントサービス]-[コンピュータ]の下にある[マイコンピュータ]のプロパティを表示
    ・[COMセキュリティ]タブの[アクセス許可]で[制限の編集]をクリック
    ・ANONYMOUS LOGONに[リモートアクセス]を許可([ローカルアクセス]は最初から選択されている)
    ・必要なだけ[OK]をクリックしてダイアログボックスを終了

以上で、Hyper-Vをリモートから管理するための準備が完了しました。

【参考資料】

今見たら、情報が更新されているようです。正確に知りたい方は、英語ですが、ぜひこちらをどうぞ。

2013年1月1日火曜日

新年の挨拶とブログ分離のお知らせ

あけましておめでとうございます。

今年は、Windows Server 2012の日本語MCP試験が始まります。また、System Center 2012 SP1が登場し、Windows Server 2012をサポートします。

特に、System Center Virtual Machine Manager 2012 SP1は、Windows Server 2012のみサポートという思い切った製品となります。

マイクロソフトの公式カリキュラムもWindows Server 2012に対応したものが登場し、本格的な普及の年となるでしょう。

これを機会に、本ブログはマイクロソフト技術と、弊社の教育サービスのサポートに特化し、直接関係ないものは別のブログ「ヨコヤマ企画(分室)」に移行します。

グローバルナレッジネットワークの定期開催教育コースを受講いただいた方には「Global Square」という会員サイトを通して質問ができます。しかし、講義中に保留した質問の回答や補足説明、本来あっては行けないことですが講義中の間違いなどは、従来通り、このブログで提供していきます。

とはいえ、ブログとしての特性上、一切脱線をしないというわけではありません。適度に話を広げながら、楽しんでいただけるように努力します。

また、「ヨコヤマ企画(分室)」ではIT系以外の話題に加え、特定の会社の製品やサービスについても言及したいと思っています。

更新頻度は、相変わらずのスローペースですが、お付き合いいただければ幸いです。