英語版Windows Serverを日本語化する手順

Azureなどのクラウドが提供する仮想マシンの多くは英語版のOSしか利用できません。AWSの場合は、Community AMIとして日本語化されたものも選べるようですが、Azureにはありません。Azureには、中国語版が最近追加されたので、日本語版も追加される可能性はゼロではありませんが、可能性は低いでしょう。

そこで、以前「英語版Windows Server 2012 R2を日本語化する手順」というエントリを書きました。しかし、手順を紹介しただけで、画面ショットもありませんでした。

Windows Server 2019で操作手順が変わったため、改めて画面ショットも付けて書き直しました。

【図解】英語版Windowsの日本語化～画面ショット付き詳細手順～

今度は会社の公式ブログに載せてもらいました。

Windows Server 2019では[コントロールパネル]ではなく、[設定]を使います。Windows Server 2016では[コントロールパネル]と[設定]のどちらでも可能ですが、[設定]の手順がWindows Server 2016と微妙に違います。一方、コントロールパネルを使った手順はWindows Server 2012と同じなので、ブログではWindows Server 2019とWindows Server 2016以前の2つに分けています。

Windows Server「RemoteApp」のインストール先は統一してください

「マイクロソフトデスクトップ仮想化ソリューション(リモートデスクトップとVDI)」では、リモートデスクトップサービス(ターミナルサービス)とVDIについて扱っています。

このコース、セキュリティ強化の流れを受け、最近人気が上がってきています。

特に、アプリケーションウィンドウだけを表示する「RemoteApp」に興味を持つ方が多いようです。インターネット接続を行うアプリケーションを隔離することでセキュリティレベルを上げ、アプリケーションウィンドウだけを表示することで操作性を損なわない環境を実現できます。

負荷分散と高可用性を実現するため、RemoteAppを提供するアプリケーションサーバーは複数台設定できます。どのサーバーが選択されるかは、リモートデスクトップ接続ブローカーが決定するため、厳密な予測はできません。そのため、選択される可能性のあるすべてのサーバー(同一コレクション内のサーバーすべて)にアプリケーションをインストールしておく必要があります。

RemoteAppを設定する場合は、以下の手順で構成します。仮にSH1、SH2、SH3の3台で構成するとします。

1. 準備: 同一コレクション内のすべてのサーバー(SH1、SH2、SH3)にアプリケーションをインストール
   この時、インストール先は完全に同じパスにしてください。
2. RemoteAppの構成: コレクションに最初に追加されたサーバー(ここではSH1とする)からアプリケーションリストを入手
   SH1が停止している場合は、一覧表が作れないためエラーが表示されます。
3. RemoteAppの利用: リモートデスクトップWebアクセスからRemoteAppにアクセス
   適当なサーバーが選択され、アプリケーションが起動します。この時、アプリケーション登録時のパス(ここではSH1のパス)が利用されます。

もし、アプリケーションのインストール先がSH3だけ違う場合は、以下のようになります。

1. SH1に接続された場合→正常
2. SH2に接続された場合→正常
3. SH3に接続された場合→アプリケーション起動エラー

パスの情報が保存されているようですね。

▲動物の写真はページビューが上がるそうなので入れてみました。
ちなみに、外出先から電話して妹に操作してもらうことを「いもーとデスクトップ」と言うそうです。

Windows Server 2012 R2のデュアルパリティ (RAID 6)

Windows Server 2012から実装された「記憶域プール」や「重複除去」、「ファイルサーバーリソースマネージャ」などを組み合わせると、下手なストレージ製品よりも高機能なものができます。iSCSIターゲットサーバーも、マルチパスをサポートしていますし、スケールアウトファイルサーバーは、従来できなかった透過フェールオーバーを実現し、障害が発生してもネットワークの切断なしに別サーバーにフェールオーバーします。

記憶域プールには、もちろんRAID機能が含まれます。最近の流行は「2台壊れても大丈夫」というものです。同時に購入したディスクが同時に壊れることはしばしばあるためです。

Windows Server 2012 R2は「デュアルパリティ」を構成でき、最小限の物理ディスクで2台以下の障害に対応できます。

「デュアルパリティ」は「RAID 6と同じ」と説明されていますが、RAID 6は標準化されておらず、ベンダーごとに若干の差があります。

通常、RAID 6はパリティを2つ使うため、ディスク本数をn本とすると (n-2)本のデータを格納できるはずです。しかし、実際には(n-3)本のデータしか保存できません。

これは、パリティとして3台分のディスクを使うためです。

プレビュー版のWindows Server 2012 R2ではこのあたりの機能にバグがあり、混乱していました。現在でも、一部に誤解を招きそうな表記があります。

また、データディスクとしては4台必要です。これは、ディスクを2つのグループに分けて別々にパリティ計算行うためです。2つのグループに分けることで並列計算処理が可能になり、パフォーマンスを向上させているようです。

詳しくは、以下のドキュメントを参照してください。

Windows Server 2012 R2
記憶域スペースのアーキテクチャーと設計・管理のベストプラクティス

また、うまく説明したブログも発見したので紹介しておきます。

Windows Server 2012 R2 のデュアルパリティは、ストライプあたり３つのパリティストライプが存在

まとめると、Windows Server 2012 R2の「デュアルパリティ」は、

• パリティとして合計3台分のディスクを使う
• データ保存ディスクは最低4台(2台+2台)以上必要
• したがって、デュアルパリティ戦隊としては7台以上必要

となります。

このあたりの内容は1日の教育コース「Windows Server で構築する高機能ストレージサーバー」で扱っています。

ところが、大変申し訳ないことに、テキストでRAID 6の説明の一部にバグがあり、混乱させてしまっています(5台で構成できると書いてありますが、前述の通り7台必要です)。

既に受講していただいた方には大変申し訳ありませんでした。深くお詫び申し上げます。

Windows Server 2012 R2とWindows Server 2003の混在環境でログオンできない

「Windows環境マイグレーション実践」という1日の教育コースを提供しています。中心となるのは、Active Directoryドメインサービスの移行です。

旧バージョンとの混在環境は、過去に大きなトラブルがなかったこともあり、あまり重視していませんでしたが、今回は、かなり深刻な問題が報告されています。

Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない

現象が出るまでに時間がかかるため、気付かれなかったようです。以下を参考に対策をお願いします。

 

【現象】

Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメインコントローラーを追加すると、追加後、2 ヶ月程度経過した後に、ドメインのメンバーおよびドメインコントローラーでログオンができなくなる場合があります。

 

【背景】

ドメインのメンバーコンピュータは定期的にパスワードを自動的に変更してます。Windows Server 2012 R2では、パスワードの暗号化アルゴリズムが変更されており、古いコンピュータでは認識できません。

Active Directoryは認証に失敗した場合、メンバーに保存されている1つ前のパスワードを使って認証を行います(何らかのパスワード同期トラブルに備えての機能です)。

通常、コンピューターのパスワード更新間隔は30日なので、問題が発生するのは最大60日後ということになります。

Hebikuzureさんのブログ(Hebikuzure's Tech Memo)の以下の記事も参考にしてください。
自動的なコンピュータアカウントパスワード変更を無効にする方法

 

【解決方法】

■問題の予防

問題を未然に防ぐには、Windows Server 2012 R2 をドメインコントローラーとして追加する前に以下の対応を実施します。

1. ドメインコントローラーとして構成する予定のWindows Server 2012 R2に、Active Directoryドメインサービス役割を追加
2. 修正プログラムKB2989971を適用
3. ドメインコントローラーに昇格

役割を追加することで、Active Directoryドメインサービス用のファイルがインストールされます。このファイルに対して修正プログラムを提供することで、ドメインコントローラーに昇格するときは、修正済みのファイルが使われるようになります。

メンバーコンピューターの再起動は不要なので、この方法をおすすめします。

なお、KB2989971の修正プログラムを適用するためには、Windows Updateで配信されているKB2919355が適用されている必要があります。

【参考】http://support.microsoft.com/kb/2989971
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない

■事後対応

Windows Server 2012 R2のドメインコントローラーが既に追加されている場合は、以下の手順で対応します。

1. KB2989971を全ての Windows Server 2012 R2 のドメイン コントローラーに適用
2. 全てのドメインコントローラーに対して修正プログラムを適用後(再起動を含む)、ドメインコントローラーを含む全メンバーを再起動
   再起動時に、新機能に対応した暗号化キーを生成するため、問題が解消します。

このように、全サーバーの再起動が必要になってしまいます。

 

【その他】

• すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
• Windows Server 2012 R2のドメインコントローラーが存在しており、ログオンができないメンバー上でシステムイベントログにMicrosoft-Windows-Security-Kerberos の ID 4のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
• 詳細は、Windows サポート チームのブログ記事「Windows Server 2012 R2 をドメイン コントローラーとして Windows Server 2003 で構成された Active Directory ドメインに追加後、ログオン障害が発生する」をご覧ください。

ログオンスクリプトと遅延

最近のWindowsは、(利用者の要望に応えて)起動時間やログオン時間の高速化が図られています。

これに伴い、いろいろめんどくさいトラブルが起きます。

●スタートアップスクリプトの実行

起動時に動作するスクリプト(スタートアップスクリプト)は、非同期に実行されるようになっています。そのため、起動時間は高速化されますが、実行順序は保証されません。

参考: コンピューター スタートアップ スクリプトを割り当てる

●ログオンスクリプトの実行

ログオン時に動作するスクリプト(ログオンスクリプト)は、Windows 8.1からはログオン後に実行されるようになりました。

参考: Windows 8.1 ベースのコンピューターにユーザーがログオンした後、5 分間ログオン スクリプトが実行されません

従来と同じように実行するには、グループポリシーを変更する必要があります。ドメインコントローラーがWindows Server 2012以前の場合はグループポリシー管理エディタにこの設定項目がありません。

そこで、クライアントコンピューターのローカルグループポリシー(ローカルポリシー)を構成するか、あるいはWindows Server 2012 R2またはWindows 8.1でグループポリシー管理エディタを使って設定してください。

●PowerShellの実行

スクリプトの実行エンジンとしてPowerShellを使うことは想定されていなかったため、専用の設定タブがあります。PowerShellをスクリプト登録する場合は、こちらを使ってください。

フェールオーバー用の DHCP の構成 (Windows Server 2012)

公式コラムでは「Windows移行特集」が始まりました。第1回は「Windowsのマイグレーションと言えば」というタイトルで私が書いています。

英語の「migration」は、ごく一般的な言葉で「人や動物が移動する」ことを意味します。たとえば、アフリカ大陸で見られる「ヌー(Gnu)の大移動」は「The Great Migration」と呼ばれるそうです。UNIXからLinuxに移行することではありません。

GnuプロジェクトのツールがUNIXからLinuxにどんどん移植され、最近ではLinuxが中心になっていることに引っかけてみたんですが、社内では誰も突っ込んでくれませんでした(Gnuプロジェクトの創設者R. M. Stallmanは「Gnu Linuxと呼べ」と言っているので、最初は「WindowsからLinuxへの移行」と書いたのですが、「UNIXからLinusの方が面白い」と社外の方に指摘されて修正しました)。

さて今日の本題です。

Windows Server 2012から、DHCPサーバーの冗長構成(DHCPフェールオーバー)が可能になりました。もう高価で面倒なフェールオーバークラスターを構築する必要はありません。

DHCPフェールオーバーは、DHCPスコープあたり2台のサーバーで構成します。フェールオーバー後の動作を実際に試してみました。いずれも「ホットスタンバイモード」の場合です。

 

●正常時の動作

プライマリDHCPサーバーがIPアドレスをリースします。この情報はスタンバイDHCPサーバーのDHCPスコープに複製されます。

 

●フェールオーバー後の動作

プライマリDHCPが停止すると、一定時間後にスタンパイDHCPがスコープの制御を取得します。

ただし、この情報はDHCPクライアントには伝わりません。そのため、DHCPクライアントからのIPアドレス更新要求は常に自分がIPアドレスを取得したDHCPサーバー(プライマリDHCPサーバー)に対して行われます。

しかし、プライマリDHCPサーバーは停止しているため、更新要求は失敗します。

DHCPクライアントは、IPアドレスの有効期限直前になると、プライマリDHCPサーバーからの更新をあきらめ、新たにIPアドレスのリースをブロードキャストで要求します。

この時、スタンバイDHCPが応答しますが、スタンバイDHCPには既存のDHCPスコープ情報が複製されているため、DHCP要求に含まれるMACアドレスに対して、以前払い出したIPアドレスが再割り当てされます。

結果として、DHCPサーバーは変わりますが、IPアドレスその他のパラメータは以前と同じ情報が配布されます。これによりTCP/IP構成の連続性が保証されます。

 

●フェールバック時の動作

プライマリDHCPサーバーが復旧した場合、一定時間後にスコープの制御がプライマリDHCPサーバーに戻ります。もちろんスコープ情報もすべて複製されます。

スタンバイDHCPサーバーは待機状態になり、IPアドレスの更新要求に答えなくなります。その後はフェールオーバー時と同様の動作で、プライマリDHCPサーバーからIPアドレスを新たに(でも同じIPアドレスで)入手します。

 

●注意

DHCPサーバーがフェールオーバーしているときに、コマンド「ipconfig /renew」を実行すると、IPアドレスが更新できずエラーとなります。

手動でIPアドレスを更新する場合は、「ipconfig /release」を実行し、明示的にIPアドレスを解放してから「ipconfig /renew」を実行してください。

書籍紹介「プロが教えるWindows Server 2012システム管理」

MVPとしての活動報告をまとめていたら、この本がちょうど出版1年だったことを思い出しました。重版されて欲しいので、改めて紹介します。

「プロが教えるWindows Server 2012システム管理」
(アスキー・メディアワークス)

いろいろ説明するより、前書きを読んでもらった方がいいでしょう。

私は全体の監修と仮想化部分、第1章Windows Server概要、第11章Internet Information Servicesを担当しました。

---

本書は、マイクロソフトのオペレーティングシステム「Windows Server 2012」につ
いて解説したものである。「PC サーバー」としてスタートしたWindows NT は、バー
ジョンを重ねるたびに企業の基幹システムに必要な信頼性と拡張性を備えるようになり、現在ではUNIX/Linux と並んで、小規模な部門サーバーから企業の基幹システムまで広く採用されるようになった。

ただし、本書の読者層としては、比較的小規模な環境でWindows Server を利用する
システム管理者および、システムエンジニアを想定している。大規模環境では、IT ベン
ダーとのつきあいも深く、適切なサポートを受けている可能性が高い。それに対して、
小規模な組織では本書のような参考書に頼る割合が高いと判断したためである。

前提知識としては、Windows の操作経験に加え、OS とネットワークの基本的な知識
を想定しているが、初学者にもできるだけわかりやすいように配慮し、必要に応じて注釈や補足説明を加えた。また、若干冗長になっても、重要な概念は繰り返し説明している。

Windows Server の管理経験は前提としていないが、Windows Server 2012 の新機能
や、旧バージョンからの変更点については特に重点的に解説した。ただし紙幅の都合で、TCP/IP の一般的な技術など、Windows 固有ではない技術については十分な解説ができなかった。TCP/IP はインターネットの中核技術であり、Windows にとっても重要な技
術である。別途、適当な参考書で学習することをお勧めする。

Windows Server 2012 は、Windows 8 にあわせて操作性も大きく変わっているが、こ
れについては最小限の記述にとどめた。Windows 8 の操作体系は賛否両論あるが、コン
シューマー向けのPC はWindows 8 に移行することが必然であり、1 年もすれば違和感は
なくなるはずである。そうなれば、コントロールパネルの起動方法や、ログオフやシャットダウンの手順を長々と解説する意味はなくなる。現時点では、必要に応じてWindows 8 の参考書を参照してほしい。

本書は、3 部構成となっている。いくつかの内容は相互に関連しているため、順番に
読む必要はなく、興味のあるところだけを読んでいただいてかまわない。ただし、「第2
部Active Directory 編」は、Windows Server のセキュリティ原則を理解するためにき
わめて重要なパートなので、第1 部や第3 部を読んだあとでかまわないので、すべてに
目を通してほしい。

第1 部では、サーバー管理全般を扱う。インストールから基本構成まで、第1 部を読め
ばサーバーのひと通りの設定ができるようになるはずである。第1 部の各章は重複する
部分が少ないため、興味のある章だけを読んでいただいてかまわない。たとえば、サー
バーベンダーによってプリインストールされたWindows Server を使う場合、インストールの章を読む必要はないだろう。

第2 部ではActive Directory について解説し、ユーザー登録やセキュリティ管理の基
礎を扱う。マイクロソフト製品の多くは、Active Directory を前提に設計されている。
Windows Server 2012 も、Active Directory が必須となっているサービスは多い。ぜひ
全体に目を通してほしい。

第3 部は、仮想化について解説する。仮想化は、昨今のIT 業界でもっとも重要な技術
である。Windows Server にはさまざまな仮想化技術が採り入れられており、組み合わ
せて使うことも可能だ。興味のない部分であっても、新しいビジネスのヒントがつかめ
るかもしれない。できれば全体に目を通してほしい。

さて、ここで執筆担当者の簡単なプロフィールを紹介しておこう。第1 部を担当した
横山、河野、片岡、浅野、伊藤、神谷の6 名は、マイクロソフト認定トレーナー（MCT）
として、IT プロフェッショナル向けの講習会を担当している。何人かはマイクロソフト
が主催する各種技術カンファレンスの常連講師でもある。本書の執筆には、講習会を通
して多くのお客様と話をした経験が活かされている。

第2 部を執筆した小鮒、国井の2 名は、「マイクロソフトMVP」として表彰されて
いる。「マイクロソフトMVP」とは、コミュニティ活動を通してマイクロソフトの技術
を広く伝えることに貢献した人を表彰する制度のことである。表彰期間は1 年で、毎年
審査が行なわれ、専門分野ごとに認定される。小鮒は2003 年から2012 年までの10 年
間、国井は2006 年から2012 年の7 年間にわたってDirectory Services、つまりActive
Directory の専門家として認定された。両名は日本でも有数のActive Directory の専門
家ある。第2 部だけでも、本書の価値は十分あるだろう。なお、国井はマイクロソフト
認定トレーナー（MCT）でもある。

第3 部は、監修者を兼任して横山が担当した。横山は、2003 年から2011 年の9 年間
のあいだDirectory Services 分野の「マイクロソフトMVP」だった。2010 年ごろから
仮想化の仕事が増えたため、2012 年はVirtual Machines（Hyper-V）に専門分野を変更
した。Windows Server 2012 は、Hyper-V について特に多くの機能拡張が行なわれてい
るが、紙幅の都合ですべてを網羅することができなかったことが残念である。

本書には、書籍としての構成上の理由から記載を省略した機能も多くある。最後まで
議論したのは、高可用性を実現するための機能「フェールオーバークラスター」の扱いである。この機能は、Windows Server 2008 R2 まで上位版のエディションのみに含まれていた。本文中でも記載したとおり、Windows Server 2012 ではDatacenter とStandard
の各エディションで機能差がない。また、フェールオーバークラスターを構築するのに
不可欠な、ストレージ機能も標準となった。そのため、フェールオーバークラスターの
構築には、上位版であるEnterprise Edition やDatacenter Edition を調達する必要もな
ければ、SAN 製品を購入する必要もない。しかし、本書では小規模環境において高可用性の実現は一般的ではないと考え、解説を割愛した。

内容の取捨選択は、監修者である横山が最終決定を行なった。万一、重要な機能の解
説が欠落していたとしたら、すべて横山の責任である。

本書の執筆にあたり、グローバルナレッジネットワーク株式会社の山本晃氏からは、
ネットワーク技術について多くの助言をいただいた。また、筆者らの多くが所属するグ
ローバルナレッジネットワーク株式会社ソリューション1 部部長の福田真紀子氏には、
執筆作業に対し多大な配慮をして頂いた。ただし、本書の内容は勤務先とは無関係であ
り、あくまでも個人としてかかわったものである。

また、アスキー・メディアワークスの臼田良寛氏には、筆者たちの遅筆につきあい、適
切なコメントをつねに与えていただいた。深くお礼を申し上げたい。

2012 年12 月1 日
執筆者を代表して横山哲也

Windows Server 2012 集中アクセス制御

Windows Server 2012では、動的アクセス制御(ダイナミックアクセス制御)の機能が追加され、ファイルのセキュリティに集中アクセス制御が利用できます。

集中アクセス制御は、セキュリティ管理者があらかじめ決めておいたアクセス許可ポリシーを、利用者が選択する機能で、以下のような利点があります。

• 利用者は、ビジネス用語で記述されたラベルを使ってセキュリティを指定できる
• 管理者は、確実に正しいセキュリティを(ある程度)強制できる

集中アクセス制御は、ポリシーを決める操作と、ポリシーを割り当てる操作に大別されます。

ポリシーを決める操作は「Active Directory管理センター」と「グループポリシー管理エディタ」を使います。「Active Directory管理センター」の操作はすべてPowerShellに置き換え可能であり、管理ツール下にはPowerShell履歴を表示する機能もあります。

詳しくはマイクロソフトのWebサイト「Deploy a Central Access Policy (Demonstration Steps)」などをご覧ください。

展開は、ファイルやフォルダーのプロパティで行ないます。

先日、この時のPowerShellのコマンドを質問されて即答できませんでしたが、どうやらSet-Aclコマンドレットが拡張されたようです。

TechNetライブラリのPowerShellリファレンスにはSet-Aclの項目に –CentralAccessPolicy オプションが追加されたことが記載されていました。

またマイクロソフトのストレージチームのブログには「Getting started with Central Access Policies - Reducing security group complexity and achieving data access compliance using Dynamic Access Control」というエントリがあり、具体例が出ていました。

基本的に、Windowsの新機能はすべてPowerShellで実装されると考えてもらって構いません。既存のコマンドが廃止されてPowerShellに移行する場合もあります。「これがコマンドでできないかな」と思ったら、最初にPowerShellを調べてみてください。

大阪のみなさまへ: 9/25～ Windows Server 2012 コースのご案内

Windows Server 2012 R2 も完成し、来月にも一般入手可能という話ですが、多くの方はWindows Server 2012の評価を行なっている最中ではないかと思います。

幸い、Windows Server 2012 R2は、名前から想像できるように、それほど大きな違いはないので、まずはWindows Server 2012の導入を検討し、時期によってはR2にすることを考えればいいでしょう。

さて、Windows Server 2012関連の教育コースは昨年末から新機能を中心に解説する3日コースが実施され、今年から一般向けのマイクロソフト公式カリキュラム(MOC)が始まっています(まだR2には対応していません)。

MOCは、内容が広く深いのが利点ですが、基本的なことを学ぶだけでも合計15日間も必要になります。既にWindows Serverの知識をお持ちの方にとっては冗長な部分もあるでしょう。

日本オリジナルの「Windows Server 2012ソリューションアップデート」は,3日間で新機能を演習付きで学べるのでおすすめです。

新しい教育コースは大阪での実施が遅れがちですが、このコースは大阪でも実施しています。直近の日程は9月25日(水)からですので、機会があればぜひご受講ください(残念ながら担当は私ではありません)。

多くの場合、(幸か不幸か)大阪の方が受講者が少ないので、質問もしやすいかと思います。

なお、現在「MCSA: Windows Server 2012 チャレンジキャンペーン」を開催中です。

「Windows Server 2012ソリューションアップデート」ご受講の方に、MCP試験70-417(アップグレード)受験バウチャーチケットを差し上げています(2013年12月開催分まで)。

もし前提資格をお持ちであればMCP 70-417試験に合格することで、「MCSA: Windows Server 2012」として認定されます。この機会に受験と資格種時までどうぞ。

Windows Server 2012 Hyper-V ネットワーク仮想化

先日、一部のお客様向けにSystem CenterとHyper-V、そしてWindows Azureのセミナーを実施しました。

Windows Server 2012のHyper-Vは、System Center 2012 SP1から利用することを前提に構成されている機能があります。

NVGREを使ったネットワーク仮想化もそのひとつです。

NVGREの設定はPowerShellからのみ設定可能です。
それくらいならいいんですが、せっかく設定した内容をシャットダウンすると消えてしまうとか、構成手順が恐ろしく面倒とか、そもそも意味が分からないとか、さまざまなご意見を聞きます。

私も、時間内でうまく説明できず、申し訳ありませんでした、
何か良い資料はないかと探しているのですが、なかなか見つかりません。

「いい資料があれば紹介する」というお約束で、期限は切っていないのですが、あまりお待たせするのも申し訳ないので英語の資料を紹介しておきます。

• Implementing Enterprise-Scale Disaster Recovery with Hyper-V Replica, Windows Network Virtualization and Microsoft System Center 2012 SP1
• Deep Dive on Hyper-V Network Virtualization in Windows Server 2012 R2

後者は、タイトル通りWindows Server 2012 R2のお話です。

その他、マイクロソフトではさまざまな勉強会を開催しています。

エバンジェリストの高添修さんのブログ「高添はここにいます」などで告知されますので、注意して見ていてください。

たとえば「6月19日(水)は何の日? NVGRE (ネットワーク仮想化) をみっちり学ぶセミナーの日^^」のようなイベントは、これからも開催されると思います。

遅くなった上に、十分な情報ではなく、しかも終了後のイベント告知ということになってしましまい、本当に申し訳ありません。

何か追加の情報があれば、この場でお伝えしていきたいと思います。

NVGRE: Windows Server 2012 の Hyper-V を使ったネットワーク仮想化でブロードキャストが使えません

先週3月15日(金)、マイクロソフト主催の勉強会「Windows Server 2012 Community Day ～ Night Session～」に行ってきました。

テーマは「ネットワーク仮想化」で、Windows Server 2012 の Hyper-V に含まれるNVGREが中心でした。

NVGREを使うと、仮想マシンホストのIPアドレスとも、同じ仮想マシンホストを共有する別の仮想マシンのIPアドレスとも、一切干渉しない形でIPアドレスを割り振れます。つまり、データセンターそのものを仮想化できます。

• ただし、現時点でのNVGREは以下のような制約があります。
• PowerShellのコマンドレットでしか設定できない。
• 簡単な構成でも多くの設定が必要
• シャットダウンで設定が失われる
• 仮想マシンが移動しても、構成情報は自動的に変更されない。

かなり強い制約ですので、一般にはSystem Center 2012 SP1 Virtual Machine Managerを使って設定します。

さて、以前、私が「Windows Server 2012 ソリューションアップデート」を実施したとき、NVGREホストからのブロードキャストについて質問がありました。

「マルチキャストに変換して、他のホストに伝えられる」と答えたのですが、なんとこれが間違いでした。誤った情報を伝えてしまい、申し訳ありませんでした。

ドキュメントには確かに「マルチキャストに変換される」と書いてあるのですが(講習ではこの文章をそのまま伝えました)、Windows Server 2012には実装されておらず、別の仮想マシンホストへのブロードキャストは遮断されるそうです。

ARPはHyper-Vの仮想スイッチ代理応答を行います。仮想マシンをDHCPクライアントとして設定した場合は、仮想マシン内のSC2012VMM SP1＋DHCP Extensions機能が動作することで対応します。しかし、一般的なブロードキャストは届かない、ということです。

【追記】

当日の資料が 正式に公開されました。

Windows Server 2012 Community Day ～ Night Session ～

これに伴い、非公式なサイトの記述を削除しました。

m-step 70-417 試験対策講座の模擬試験解答

マイクロソフトのパートナ企業向けセミナーm-stepでWindows Server 2012のMCP試験対策講座をしています。
最後に模擬試験をするのですが、時間の都合で最後まで参加できない方もいらっしゃいます。
そこで、解答だけを書いておきます。

70-417対策講座模擬試験の解答です。

1. B
2. D
3. C
4. A
5. A
6. AB
7. B
8. C
9. FG
10. C
11. FGH
12. C
13. D
14. C
15. CD
16. AD
17. D
18. C
19. A
20. C
21. B
22. B
23. B
24. B
25. D
26. AC
27. A
28. CD
29. B
30. B

ファイルサーバーとしてのWindows Server 2012

今日は、マイクロソフトのパートナー向け無償セミナー「mstep」で、Windows Server 2012のファイルサーバー機能を紹介しました。

ファイルサーバーは、PCサーバー登場時から一貫してサポートされる機能で、現在でも重要な役割を担っています。

SharePointのようなWebベースのファイル共有システムもありますが、手軽さという点では従来のファイルサーバーにかないません。

さて、セミナー中、いくつか即答できない質問があったので、この場を借りてお答えします。いずれも明確な回答を発見することができませんでした。もしも、何らかの案件を扱う上での問題であれば、セミナー中に紹介した相談サービスを使うことも可能かもしれません。

Q: AD RMSのCALはWindows Server 2012用のものが必要か?

A: おそらく必要です。

ライセンス関係のご質問をよくいただきますが、即答できないことが多くて申し訳ありません。ライセンスは技術上の制約ではなく、契約上の問題なので変化することもあります。正確な解釈はマイクロソフトのライセンス相談窓口に問い合わせることをおすすめします。

マイクロソフトが公開してるドキュメント「Windows Server 2012 ライセンスと価格に関するよく寄せられる質問」のQ28にはこうあります。

リモート デスクトップ サービス (RDS) および Active Directory Rights Management サービス(ADRMS) のライセンス要件は、Windows Server 2012 でも変更はありません。ADRMS または RDS 機能にアクセスするお客様は、今後も Windows Server CAL に加えて ADRMS または RDS CAL を購入する必要があります。Windows Server のインスタンスにアクセスする CAL は、アクセス対象のサーバーと同等以上のバージョンであることが要求されます。

Q: 重複除去を有効にしたディスクを他のサーバーに付け替えて使えるか?

A: おそらく使えます。

そのものずばりの回答はなかったのですが「Backup and Restore Considerations for Deduplicated Volumes」によると、ブロックレベルのバックアップと復元ができるようです。ここから類推して、ディスクの付け替えも対応すると思われます。

ただし、明示的にできるともできないとも書いてないので、動作保証はしかねます。

【書籍】プロが教える Windows Server 2012システム管理

グローバルナレッジの社員が中心となって執筆した書籍『プロが教えるWindows Server 2012システム管理』の見本誌ができました(ただいま配送中で、実はまだ見ていないのですが)。

現在、グローバルナレッジの新しい教育コース「Windows Server 2012ソリューションアップデート」を受講していただいた方全員にプレゼントしています。よろしければご検討ください。

700Pを超える大作ですが、それでも多くの内容を割愛せざるを得ませんでした。特にフェールオーバークラスター関係が含まれないのは今でも悔やまれますが、章立ての最終決定は私がしたので、すべて横山の責任です。

比較的小規模な組織で、専任ではないIT管理者の方に読んでいただければと思っています。

著者一覧(担当章順)

• 横山哲也 ( 監修兼)
• 河野憲義
• 片岡正枝
• 伊藤将人
• 浅野ゆき子
• 神谷正
• 小鮒通成
• 国井傑

著者陣のうち、グローバルナレッジの講習を担当していないのは小鮒(こぶな)さんと国井さんです。私がお願いして担当してもらいました。

小鮒さんはSIベンダー系の会社の方で、Active Directory分野のマイクロソフトMVPを10年連続で受賞されています(おそらく4月には11年目に入るでしょう)。

国井さんは、我々と同じMCTですが、グローバルナレッジのお仕事はまだお願いしていませんが、彼もActive Directory分野のマイクロソフトMVPを7年連続で受賞されています。

監修した私は、小鮒さんより少し遅れてActive Directory分野のマイクロソフトMVPを9年間受賞し、昨年はVirtual MachineのMVPになりました。

第3部の「Active Directory編」は、この3名で担当していますので、特におすすめします。

プロが教える Windows Server 2012システム管理

Windows Server 2012 のサーバーマネージャー

Windows Server 2012の「サーバーマネージャー」で管理できるのは、Active Directoryドメイン内のWindows Server 2012だけ、と思っていたのですが、違うようです。

ただいま、Windows Server 2012の書籍を執筆中でして、その原稿をチェックしていて知りました(担当の方、どうもありがとうございます)。なお、私自身は検証していませんので、あしからずご了承ください。

●管理対象

• Windows Server 2003はオンラインまたはオフラインのみ表示可能
• Windows Server 2008/2008 R2はWindows Management Framework 3.0をインストールすれば管理可能

●ワークグループの場合

• Windowsファイアウォールで「Windows リモート管理 (HTTP 受信)」を有効化
• 管理されるサーバーで、以下のPowerShellコマンドレットを実行
  Set-Item WSMan:\localhost\Client\TrustedHosts 管理するサーバー –concatenate

書籍の発売は、来年を予定しています。詳細が決まれば正式に告知させていただきます。

Windows Server 2012のNICチーミング

今回も、保留していたお客様からの質問に対する回答です。

Windows Server 2012には、OSネイティブのNICチーミング機能が含まれます。これは、複数のNIC(同一速度のイーサネットに限られます)をまとめた仮想的なNICを作ることで、可用性と性能を向上させる機能です。

NICチーミングには、スイッチングハブ(スイッチ)の構成を必要とする「スイッチ依存モード」と、スイッチングハブの設定が不要な「スイッチ非依存モード」があります。スイッチ非依存モードは、同じスイッチでも別々のスイッチでも構成できます。

スイッチには、MACアドレステーブルが構成されますが、複数のポートに同じMACアドレスがあることは想定されていません。「スイッチ依存モード」はこの問題を解決するために、IEEE 802標準の規約を利用します。

一方のスイッチ非依存モードは、スイッチ側の設定が一切不要です。これは、以下の原理で動作しているためです。

まず、インバウンドデータ(チーミングNICへの着信)は、チーミングNIC構成時に自動的に選択された「プライマリNIC」のみが処理します。チーミングNICのMACアドレスはプライマリNICのMACアドレスになります。ARP要求に対する応答は単一NICのみが応答するため、スイッチは混乱しません。負荷分散モードでもプライマリNICは1枚に限定されます。

2枚のNICを使ったアクティブ・スタンバイ構成の場合、常にプライマリNICのMACアドレスが使われます。アクティブなNICのリンクがダウンした場合は、プライマリNICのMACアドレスがスタンバイ側で使われるため、チーミングNICのMACアドレスは(およびもちろんIPアドレスも)変化しません。同時には1枚のNICしか使わないので、アウトバウンド(チーミングNICからの発信)でも不都合は生じません。

負荷分散をしている場合のアウトバウンド接続(発信)は、指定のアルゴリズムによって負荷分散されます。この時、イーサネットフレームにはNICハードウェア固有のMACアドレスが使われ、スイッチのMACアドレステーブルにはこれが登録されます。単一IPアドレスに複数MACアドレスが対応してしまいますが、これで問題は起きないようです(理由は後述)。

図は、スイッチ非依存モード、アドレスによるハッシュでチーミングNICを構成し、負荷分散した状態で、ネットワークデータをキャプチャしたものです。送信元MACアドレスが2つあるので、赤と青で色分けしました。接続ごとに負荷分散されていることが分かります。

L2スイッチ内部では、MACアドレスとポートが紐付きますが、IPアドレスとは無関係です。ARPに対する応答はプライマリNICのみが行うため、IPアドレスとMACアドレスの対応も問題ありません。既存のARPテーブルと矛盾を起こす可能性はありますが、IPアドレスとMACアドレスの対応は、もともと変化する可能性があるものなので(たとえばフェールオーバークラスター)、こちらも問題にはならないはずです。

以上のことから分かるように、スイッチ非依存モードでは着信の負荷分散ができません。そのため、効果的に利用できるのは以下の場合に限られます。

• アクティブ/スタンバイモード…2枚のNICのうち、一方のみを使い、障害発生時に自動切り替え
• サーバーからの発信データが多い場合(たとえばWebサーバー)

以上です。見落としている条件があるかもしれませんので、お気づきの点があればブログにコメントをいただくか、メールアドレスをご存じの方はメールでお問い合わせください。

回答が遅くなって申し訳ありませんでした。

【参考】 http://www.aidanfinn.com/?p=12924 (英語)

Windows Server 2012 Hyper-VとNICチーミング

どうしても分からなかったので、ogawadさんに助けを求めました。

Windows Server 2012は、OSレベルでNICチーミングがサポートされます。チーミングされたNICは、1つのNICに見えるので、それをHyper-Vの外部仮想スイッチ(仮想ネットワーク)として割り当てることができます。

また、Hyper-V仮想マシンに割り当てた仮想NIC同士でもチーミングが可能です。つまり、複数の物理NICそれぞれに仮想スイッチを割り当てて、仮想マシン内でチーミングを行なうこともできます。

この時、仮想マシンでチーミングすると、仮想スイッチを通っているためVMで物理NICのリンクダウンが検出できないのではないか、というご質問をいただき、即答できないでいました。

結論を言うと、後者の場合でもリンクダウンを検出できます。

SR-IOVの有無とか、いろいろ考えてる前に試してみればすぐ分かることでした。お恥ずかしい限りです。

Hyper-V仮想マシンの設定に「NICチーミングを許可」する設定があります。これがオンになっていると、物理NICの状態を伝えてくれるようです。

逆に、SR-IOV を利用する場合、自身にスイッチ相当の機構が埋め込まれるので、利用するNICによっては、ホストOSにすらリンクダウンが通知されないものがあるそうです。

SR-IOVの方がハードウェア情報を伝えやすいと思っていたのですが、そうでもないようです。

SR-IOVについてはogawadさんのブログの「Windows Server 2012 Hyper-V の SR-IOV 構築手順 (3)」に詳しいので、そちらを参照してください。コメント欄には私の質問も載っていて、ちょっと格好悪いのですが、分からなかったものは仕方ありません。

ところがここでもうひとつの疑問が生まれます。物理NICのリンクがダウンしていても、仮想スイッチは生きているので、仮想マシン同士は通信できるはずです。しかし、チーミングドライバが物理NICのリンクダウンを伝えると、通信ができなくなってしまいます。

今度調べようと思っていたら、これまたogawadさんが調べてくれました。

ゲストチーミングしていない場合は、アップリンクとなる物理NICがダウンしても同一の仮想スイッチにつながっていれば引き続き通信できます(従来通りの動作です)。

ゲストチーミングしている場合は、アップリンクとなる物理NICがダウン(全滅)すると)、同一の仮想スイッチにつながっていても通信できないということです。これは、ゲストOSからリンクダウン状態として認識されるためのようです。

ogawadさん、いろいろどうもありがとうございました。

Windows Server 2012 Hyper-Vのレプリケーション

一部お客様向けに Windows Server 2012 の研修が始まり、私が担当しています。

さて、先週Hyper-Vレプリケーションで誤解を招く(というより、ほとんど間違っている)表現があったので、この場を借りて補足しておきます。

Windows Server 2012では、Hyper-V仮想マシンを他の物理マシンに連続的に複製できます。複製間隔はおよそ5分、さらに1時間に1回スナップショットを指定した世代分だけ残せます。

また、オプションとしてVSSによる「整合性のある」スナップショットを指定した時間毎に残せます(最短1時間)。

この複製は、前回との差分を複製しますが、実際に差分ディスクを作成するわけではありません。あくまでもイメージです。実際にはデータベースの「ログ」の方が近いようです(これもイメージですが)。

スナップショットを取ると、内部的に差分ディスクを作ります。しかし、5分に1回の複製は、スナップショットを作るわけではなく、差分ディスクも作成されません。

Windows Server 2012の新機能の詳細は、マイクロソフトTechNet Webサイト内の「Windows Server 2012」に掲載されています(日本語です)。