英語版Windows Serverを日本語化する手順

Azureなどのクラウドが提供する仮想マシンの多くは英語版のOSしか利用できません。AWSの場合は、Community AMIとして日本語化されたものも選べるようですが、Azureにはありません。Azureには、中国語版が最近追加されたので、日本語版も追加される可能性はゼロではありませんが、可能性は低いでしょう。

そこで、以前「英語版Windows Server 2012 R2を日本語化する手順」というエントリを書きました。しかし、手順を紹介しただけで、画面ショットもありませんでした。

Windows Server 2019で操作手順が変わったため、改めて画面ショットも付けて書き直しました。

【図解】英語版Windowsの日本語化～画面ショット付き詳細手順～

今度は会社の公式ブログに載せてもらいました。

Windows Server 2019では[コントロールパネル]ではなく、[設定]を使います。Windows Server 2016では[コントロールパネル]と[設定]のどちらでも可能ですが、[設定]の手順がWindows Server 2016と微妙に違います。一方、コントロールパネルを使った手順はWindows Server 2012と同じなので、ブログではWindows Server 2019とWindows Server 2016以前の2つに分けています。

リモートデスクトップ接続ファイルの電子署名

リモートデスクトップサービスに接続するための情報を保存したテキストファイル(RDP)は、改ざん防止のため電子署名を追加できます。

RDPファイルは、リモートデスクトップ接続クライアントで[オプション表示]を行うことで保存できます。

RDPファイルに接続先ホスト名まで保存しておけば、ダブルクリックするだけでホストに接続できます。

しかし、システム管理者が「ここに接続してね」と配布したRDPファイルを使ってみたら、接続先で個人情報を聞かれた、実はRDPファイルは改ざんされており、本来の接続先とは違うホストにつながるようになっていたらどうでしょう。かなり危険な状態になります。

RDPファイルに電子署名を付けることで、こうした危険性に気付きやすくなります。

▼署名なしのRDPファイルを実行した場合

いかにも怪しそうです。

▼署名付きのRDPファイルの場合

だいぶいい感じです。

署名付きRDPファイルの中身を直接書き換えてみます。

▼RDPファイルの接続先をメモ帳で変更

エラーになりました。ただし、セキュリティ上問題ない変更については警告は出ないみたいです。

RDPファイルの署名手順は意外に知られていないので紹介します。

基本的な作業は以下の3ステップです。

1. 証明書のインストール
2. 証明書の拇印(Thumbprint)の取得
3. RDPファイルに署名

1. 証明書のインストール

まず、RDPファイルに署名作業を行うコンピュータに電子証明書をインストールします。信頼できるコンピュータであれば何でも構いません。

2. 証明書の拇印(Thumbprint)の取得

次に、[証明書]の管理ツールを構成します。

1. MMCコマンドを実行
2. [ファイル]メニューから[スナップインの追加と削除]を選択 (またはCtrl-M)
3. [証明書]スナップインを選択した[追加]をクリック
4. [コンピューターアカウント]を選択して[次へ]をクリック
5. [ローカルコンピューター]を選択して[完了]をクリック
6. [OK]をクリック

次に、自分のコンピュータの証明書に含まれる「拇印(Thumbprint)」を取得します。

1. [コンソールルート]-[証明書(ローカルコンピューター)]-[個人]-[証明書]を展開
2. 自分のコンピューターをダブルクリック
3. [詳細]タブを選択
4. 一番下にある[拇印]を選択
5. 拇印を選択し、Ctrl-Cでクリップボードにコピー(右クリックメニューは出ない)

コピーした拇印からスペースを取り除き、すべて大文字にします。大文字しか受け付けないことはヘルプなどに記載されていないので注意してください。

PowerShellを使うことで、この作業を自動化できます。

【実行例】
$tp = "fc ff 52 c9 05 f9 ac b0 f0 86 6f f1 ad 4f ee ca ee 6b 0a 9b"
$tp = $tp.ToUpper().Replace(" ","")

赤字は実際の拇印に置き換えてください。

3. RDPファイルに署名

最後に、以下のコマンドを実行して、RDPファイルに署名を追加します(管理者権限が必要です)。

rdpsign /sha1 スペースを除いて大文字に変換した拇印 RDPファイル /v
(/vは詳細表示オプション)

【実行例】
rdpsign /sha1 FCFF<<中略>>0A9B  default.rdp /v

Hyper-VのDHCPガードの意味

Windows Server 2012以降のHyper-Vには「DHCPガード」という機能があります。説明には「承認されていない仮想マシンからのDHCPサーバーメッセージを削除します」とあります。

実際に、このチェックボックスをオンにすると、DHCPパケットが仮想マシン外に飛びません(DHCPサーバーとして実用的な動作はしません)。

▲DHCPサーバーガードの構成は仮想マシン単位で行う

Windows ServerにはDHCPサーバーをActive Directoryで承認する機能があるため、この「承認」も何らかの操作を指すと思っている人が多いようです。

実は、ここでいう「承認」は「管理者が正しいと判断する」という意味です。つまり、管理者が、正しいDHCPサーバーを立てたと思ったらチェックを外すという手順を意味します。

存在しない機能を探すのは難しいのですが、一応、それらしいものがありました。英語版TechNet Forumの「How to configure DHCP guard in Hyper-V 2012?」では、モデレータのBrian Ehlertさんがこう答えています。

Unauthorized and Authorized is a procedural / process phrase. It is not a technical phrase or any setting that can be applied.  It is the business decision to call machine authorized or not.

意訳

「承認されていない/承認されている」は手続きの順序を意味しており、技術的な方法や設定手順を意味するものではありません。「承認されている/いない」は、仮想マシンを構成するときのビジネス的な判断(DHCPサーバーにするかしないかを管理者が決めること)を意味します。

Hyper-V管理者と、仮想マシン管理者が同一の場合は意味を持ちませんが、以下のような運用を想定しています。

1. Hyper-V管理者が仮想マシンVMを作成
2. VM管理者はDHCPサーバーでないことをHyper-V管理者に通知
3. Hyper-V管理者が仮想マシンVMのDHCPガードを有効化
4. 誤ってVMにDHCPサーバーをインストールしてもDHCPパケットは廃棄される

英語版Windows Server 2012 R2を日本語化する手順

Microsoft AzureやAmazon Web Servicesといったクラウドサービスは、仮想マシンを簡単に入手でき、使った分だけ課金されます。

ただし、両者とも現時点では英語版のテンプレートしか用意されていません。英語版のまま使ってもいいのですが、操作マニュアルの作成をしたい場合は不便ですし、やはり日本語で使いたいという人も多いでしょう。

Windows Server 2012 R2は、以下の手順で言語を変更できます。管理ツールの画面も含めて完全に日本語化されるので便利です。

1. [スタート]ボタンを押し、[Control Panel]を起動
2. [Clock, Language and Region]の下の[Add a Language]をクリック
3. [Add a Language]をクリック
4. [Japanese]を選択し[Add]をクリック
5. [日本語]を選択し、[Move Up]をクリックして最優先言語に設定する
6. [日本語]の[Options]をクリック
7. [Download and install language pack]をクリックし、日本語言語パックをインストール
8. [Change date, time, or number format]をクリック
9. [Location]タブで[Japan]を選択
10. [Administrative]タブを選択
11. [Welcome screen and new user accounts]で[Copy settings]をクリック
12. ダイアログボックスで[Apply]をクリック
13. 2つのチェックボックスを有効にして[OK]をクリック
14. 再起動を促すダイアログボックスで[Cancel]をクリック
15. [Language for non-Unicode programs]で[Change system locale]をクリック
16. [Japanese (Japan)]を選択して[OK]をクリック
17. 再起動を促すダイアログボックスで[Restart now]をクリックし、再起動
18. 再起動が完了したら、仮想マシンに再接続

以上で日本語化が完了します。

さらに、以下のコマンドを実行して一般化しておけば、それをテンプレートとして保存して再利用できます。

cd c:\Windows\system32\Sysprep
sysprep /generalize /oobe /mode:vm /shutdown

/generalizeは一般化してIPアドレスやホスト名などの固有情報を抜き取ります。

/oobeは初期化作業(out-of-box experience)を省略します。

/mode:vmは起動サーバーを仮想マシンを仮定し、デバイスの初期化を最小限で済ませます。

/shutdownを指定しているため、SYSPREP実行後はシャットダウンが行われます。テンプレート(Microsoft Azureでは「マイイメージ」)の登録をしておけば、次にサーバーを作成する時ギャラリーから選ぶだけで済みます。

SYSPREP実行前にWebサーバーなどの役割を追加しておけば、展開後すぐにその役割が使用できます。

ただし、アプリケーションによってはSYSPREPに対応していないものがあります。

---

【2019/07/27追記】

Windows Server 2016/2019については以下をご覧ください。Windows Server 2012 R2と同様の手順も画面ショット付きで紹介しています。

【図解】英語版Windowsの日本語化～画面ショット付き詳細手順～

ログオンスクリプトと遅延

最近のWindowsは、(利用者の要望に応えて)起動時間やログオン時間の高速化が図られています。

これに伴い、いろいろめんどくさいトラブルが起きます。

●スタートアップスクリプトの実行

起動時に動作するスクリプト(スタートアップスクリプト)は、非同期に実行されるようになっています。そのため、起動時間は高速化されますが、実行順序は保証されません。

参考: コンピューター スタートアップ スクリプトを割り当てる

●ログオンスクリプトの実行

ログオン時に動作するスクリプト(ログオンスクリプト)は、Windows 8.1からはログオン後に実行されるようになりました。

参考: Windows 8.1 ベースのコンピューターにユーザーがログオンした後、5 分間ログオン スクリプトが実行されません

従来と同じように実行するには、グループポリシーを変更する必要があります。ドメインコントローラーがWindows Server 2012以前の場合はグループポリシー管理エディタにこの設定項目がありません。

そこで、クライアントコンピューターのローカルグループポリシー(ローカルポリシー)を構成するか、あるいはWindows Server 2012 R2またはWindows 8.1でグループポリシー管理エディタを使って設定してください。

●PowerShellの実行

スクリプトの実行エンジンとしてPowerShellを使うことは想定されていなかったため、専用の設定タブがあります。PowerShellをスクリプト登録する場合は、こちらを使ってください。

Hyper-V 仮想化環境での時刻同期

時刻同期は今ではサーバーの非常に重要な要件となりました。時刻が同期されていないと、各種のログの照合が難しくなるだけでなく、認証プロトコルが失敗することさえあります。

Hyper-Vを含め、多くの仮想化環境では、仮想マシンの時刻が遅れる傾向にあります。

昔「任天堂ゲームウォッチ」という携帯ゲームがありました。単機能なので、学校でゲーム機本体の交換を行った経験のある人もいるでしょう。ゲームウォッチは、名前の通り本来は時計なのですが、内蔵されたCPUでソフトウェア的に時刻情報を管理していたようです。頻繁にゲームを行うと、CPU割り込みが増え、表示時刻が遅れるという問題がありました。仮想環境でもこれと似たような問題が発生します。

ちなみにゲームウォッチの発売は1980年なので、このたとえ話は40歳代以上にしか分からないと思います。何しろファミリーコンピューター(ファミコン)以前の話です。

●Hyper-V統合サービスでの時刻同期

閑話休題、そこでHyper-Vでは「統合サービス」を仮想マシン上で動作させることで、時刻の遅れを防ぎます。

マイクロソフトのWebサイト「ヒント: Hyper-V 仮想化環境におけるゲスト OS の時刻同期について」によると、時刻同期は以下のように行われます(Windows Server 2008/2008 R2での記載ですが、2012でも同じだと思われます)。

• ゲストOSの時刻が、ホストOSより遅れている場合(5秒以上)
  強制的に時刻同期を行う
• ゲストOSの時刻とホストOSの時刻のずれが5 秒未満の場合
  時刻同期を行うかどうかは NTP (w32timeサービス) に委任
  統合サービスの時刻同期 はVM IC Time Synchronization Provider という名前の NTP Time Providerとして提供
• ゲストOSの時刻が、ホストOSの時刻より進んでいる場合(5秒以上)
  時刻同期しないので、必要に応じてNTPなど、他の時刻同期機構を利用

また、統合サービスの "時刻の同期" は、他の時刻ソース(他の NTP サーバー)の参照環境と共存可能なように実装されているそうです。

その他に、ゲストOSの起動時に同期します。ゲストOSの時刻はシャットダウンまたは保存時に停止するため、次に起動したときは必ず遅れています。つまり、メカニズムとしては「5秒以上遅れている場合」と同じです。

 

●NTPの構成

NTPのパラメータ調整はW32TMコマンドを使います。仮想マシンンに依存しない時刻同期については、私と同じDirectory ServicesのMicrosoft MVPである小鮒道成さんが書いた記事が参考になります。

「Windowsネットワーク時刻同期の基礎とノウハウ」

万一時刻がずれてしまったらどうするかということも問題になります。時刻変更の影響が予測できる場合で、許容できる程度のリスクであれば、一気に同期させるのもひとつの方法です。

時計を進めることは、遅らせることに比べてリスクが少ないと考えられます。通常、仮想マシンンは時刻が遅れるので、多くの場合は問題が出ません。

しかし、時刻変更の影響が予測できない場合や、リスクが大きい場合はどうすればいいでしょう。NTPのパラメータで調整できるならそうしてください。そうでなければ、人間が少しずつ時刻差を縮めていくしかありません。

 

●【追記】ドメインコントローラーの構成

仮想マシンドメインコントローラーでは特別な注意があります。

Microsoft TechNetのドキュメント「仮想化ドメイン コントローラーの展開に関する考慮事項」から引用します(太字は私の注釈)。

ドメイン コントローラーとして構成された仮想マシンでは、統合サービスを通じてホストとの時間の同期を無効にしてください。代わりに、既定の Windows タイム サービス (W32time) ドメイン階層時間の同期を使用してください。

ホスト時間の同期では、ゲスト オペレーティング システムは各自のシステム クロックをホスト オペレーティング システムのシステム クロックに同期させることができます。ドメイン コントローラーはそれぞれ独自の時間同期メカニズムを持っているので、ドメイン コントローラーとして構成された仮想マシンではホスト時間の同期を無効にする必要があります。ドメイン コントローラーが各自のソースから時間を同期させると同時にホストからも時間を同期させた場合、ドメイン コントローラーの時間が頻繁に変化する可能性があります。ドメイン コントローラーのタスクの多くはシステム時間に関連付けられているので、システム時間が突然変化した場合、それが原因で残留オブジェクトがディレクトリに残り、レプリケーションが停止する可能性があります。

Hyper-V マネージャーの [統合サービス] セクションにある仮想マシンの設定で [コンピューターの時計の同期] チェック ボックスをオフにすることで、ホスト時間の同期を無効にすることができます。

フェールオーバー用の DHCP の構成 (Windows Server 2012)

公式コラムでは「Windows移行特集」が始まりました。第1回は「Windowsのマイグレーションと言えば」というタイトルで私が書いています。

英語の「migration」は、ごく一般的な言葉で「人や動物が移動する」ことを意味します。たとえば、アフリカ大陸で見られる「ヌー(Gnu)の大移動」は「The Great Migration」と呼ばれるそうです。UNIXからLinuxに移行することではありません。

GnuプロジェクトのツールがUNIXからLinuxにどんどん移植され、最近ではLinuxが中心になっていることに引っかけてみたんですが、社内では誰も突っ込んでくれませんでした(Gnuプロジェクトの創設者R. M. Stallmanは「Gnu Linuxと呼べ」と言っているので、最初は「WindowsからLinuxへの移行」と書いたのですが、「UNIXからLinusの方が面白い」と社外の方に指摘されて修正しました)。

さて今日の本題です。

Windows Server 2012から、DHCPサーバーの冗長構成(DHCPフェールオーバー)が可能になりました。もう高価で面倒なフェールオーバークラスターを構築する必要はありません。

DHCPフェールオーバーは、DHCPスコープあたり2台のサーバーで構成します。フェールオーバー後の動作を実際に試してみました。いずれも「ホットスタンバイモード」の場合です。

 

●正常時の動作

プライマリDHCPサーバーがIPアドレスをリースします。この情報はスタンバイDHCPサーバーのDHCPスコープに複製されます。

 

●フェールオーバー後の動作

プライマリDHCPが停止すると、一定時間後にスタンパイDHCPがスコープの制御を取得します。

ただし、この情報はDHCPクライアントには伝わりません。そのため、DHCPクライアントからのIPアドレス更新要求は常に自分がIPアドレスを取得したDHCPサーバー(プライマリDHCPサーバー)に対して行われます。

しかし、プライマリDHCPサーバーは停止しているため、更新要求は失敗します。

DHCPクライアントは、IPアドレスの有効期限直前になると、プライマリDHCPサーバーからの更新をあきらめ、新たにIPアドレスのリースをブロードキャストで要求します。

この時、スタンバイDHCPが応答しますが、スタンバイDHCPには既存のDHCPスコープ情報が複製されているため、DHCP要求に含まれるMACアドレスに対して、以前払い出したIPアドレスが再割り当てされます。

結果として、DHCPサーバーは変わりますが、IPアドレスその他のパラメータは以前と同じ情報が配布されます。これによりTCP/IP構成の連続性が保証されます。

 

●フェールバック時の動作

プライマリDHCPサーバーが復旧した場合、一定時間後にスコープの制御がプライマリDHCPサーバーに戻ります。もちろんスコープ情報もすべて複製されます。

スタンバイDHCPサーバーは待機状態になり、IPアドレスの更新要求に答えなくなります。その後はフェールオーバー時と同様の動作で、プライマリDHCPサーバーからIPアドレスを新たに(でも同じIPアドレスで)入手します。

 

●注意

DHCPサーバーがフェールオーバーしているときに、コマンド「ipconfig /renew」を実行すると、IPアドレスが更新できずエラーとなります。

手動でIPアドレスを更新する場合は、「ipconfig /release」を実行し、明示的にIPアドレスを解放してから「ipconfig /renew」を実行してください。

書籍紹介「プロが教えるWindows Server 2012システム管理」

MVPとしての活動報告をまとめていたら、この本がちょうど出版1年だったことを思い出しました。重版されて欲しいので、改めて紹介します。

「プロが教えるWindows Server 2012システム管理」
(アスキー・メディアワークス)

いろいろ説明するより、前書きを読んでもらった方がいいでしょう。

私は全体の監修と仮想化部分、第1章Windows Server概要、第11章Internet Information Servicesを担当しました。

---

本書は、マイクロソフトのオペレーティングシステム「Windows Server 2012」につ
いて解説したものである。「PC サーバー」としてスタートしたWindows NT は、バー
ジョンを重ねるたびに企業の基幹システムに必要な信頼性と拡張性を備えるようになり、現在ではUNIX/Linux と並んで、小規模な部門サーバーから企業の基幹システムまで広く採用されるようになった。

ただし、本書の読者層としては、比較的小規模な環境でWindows Server を利用する
システム管理者および、システムエンジニアを想定している。大規模環境では、IT ベン
ダーとのつきあいも深く、適切なサポートを受けている可能性が高い。それに対して、
小規模な組織では本書のような参考書に頼る割合が高いと判断したためである。

前提知識としては、Windows の操作経験に加え、OS とネットワークの基本的な知識
を想定しているが、初学者にもできるだけわかりやすいように配慮し、必要に応じて注釈や補足説明を加えた。また、若干冗長になっても、重要な概念は繰り返し説明している。

Windows Server の管理経験は前提としていないが、Windows Server 2012 の新機能
や、旧バージョンからの変更点については特に重点的に解説した。ただし紙幅の都合で、TCP/IP の一般的な技術など、Windows 固有ではない技術については十分な解説ができなかった。TCP/IP はインターネットの中核技術であり、Windows にとっても重要な技
術である。別途、適当な参考書で学習することをお勧めする。

Windows Server 2012 は、Windows 8 にあわせて操作性も大きく変わっているが、こ
れについては最小限の記述にとどめた。Windows 8 の操作体系は賛否両論あるが、コン
シューマー向けのPC はWindows 8 に移行することが必然であり、1 年もすれば違和感は
なくなるはずである。そうなれば、コントロールパネルの起動方法や、ログオフやシャットダウンの手順を長々と解説する意味はなくなる。現時点では、必要に応じてWindows 8 の参考書を参照してほしい。

本書は、3 部構成となっている。いくつかの内容は相互に関連しているため、順番に
読む必要はなく、興味のあるところだけを読んでいただいてかまわない。ただし、「第2
部Active Directory 編」は、Windows Server のセキュリティ原則を理解するためにき
わめて重要なパートなので、第1 部や第3 部を読んだあとでかまわないので、すべてに
目を通してほしい。

第1 部では、サーバー管理全般を扱う。インストールから基本構成まで、第1 部を読め
ばサーバーのひと通りの設定ができるようになるはずである。第1 部の各章は重複する
部分が少ないため、興味のある章だけを読んでいただいてかまわない。たとえば、サー
バーベンダーによってプリインストールされたWindows Server を使う場合、インストールの章を読む必要はないだろう。

第2 部ではActive Directory について解説し、ユーザー登録やセキュリティ管理の基
礎を扱う。マイクロソフト製品の多くは、Active Directory を前提に設計されている。
Windows Server 2012 も、Active Directory が必須となっているサービスは多い。ぜひ
全体に目を通してほしい。

第3 部は、仮想化について解説する。仮想化は、昨今のIT 業界でもっとも重要な技術
である。Windows Server にはさまざまな仮想化技術が採り入れられており、組み合わ
せて使うことも可能だ。興味のない部分であっても、新しいビジネスのヒントがつかめ
るかもしれない。できれば全体に目を通してほしい。

さて、ここで執筆担当者の簡単なプロフィールを紹介しておこう。第1 部を担当した
横山、河野、片岡、浅野、伊藤、神谷の6 名は、マイクロソフト認定トレーナー（MCT）
として、IT プロフェッショナル向けの講習会を担当している。何人かはマイクロソフト
が主催する各種技術カンファレンスの常連講師でもある。本書の執筆には、講習会を通
して多くのお客様と話をした経験が活かされている。

第2 部を執筆した小鮒、国井の2 名は、「マイクロソフトMVP」として表彰されて
いる。「マイクロソフトMVP」とは、コミュニティ活動を通してマイクロソフトの技術
を広く伝えることに貢献した人を表彰する制度のことである。表彰期間は1 年で、毎年
審査が行なわれ、専門分野ごとに認定される。小鮒は2003 年から2012 年までの10 年
間、国井は2006 年から2012 年の7 年間にわたってDirectory Services、つまりActive
Directory の専門家として認定された。両名は日本でも有数のActive Directory の専門
家ある。第2 部だけでも、本書の価値は十分あるだろう。なお、国井はマイクロソフト
認定トレーナー（MCT）でもある。

第3 部は、監修者を兼任して横山が担当した。横山は、2003 年から2011 年の9 年間
のあいだDirectory Services 分野の「マイクロソフトMVP」だった。2010 年ごろから
仮想化の仕事が増えたため、2012 年はVirtual Machines（Hyper-V）に専門分野を変更
した。Windows Server 2012 は、Hyper-V について特に多くの機能拡張が行なわれてい
るが、紙幅の都合ですべてを網羅することができなかったことが残念である。

本書には、書籍としての構成上の理由から記載を省略した機能も多くある。最後まで
議論したのは、高可用性を実現するための機能「フェールオーバークラスター」の扱いである。この機能は、Windows Server 2008 R2 まで上位版のエディションのみに含まれていた。本文中でも記載したとおり、Windows Server 2012 ではDatacenter とStandard
の各エディションで機能差がない。また、フェールオーバークラスターを構築するのに
不可欠な、ストレージ機能も標準となった。そのため、フェールオーバークラスターの
構築には、上位版であるEnterprise Edition やDatacenter Edition を調達する必要もな
ければ、SAN 製品を購入する必要もない。しかし、本書では小規模環境において高可用性の実現は一般的ではないと考え、解説を割愛した。

内容の取捨選択は、監修者である横山が最終決定を行なった。万一、重要な機能の解
説が欠落していたとしたら、すべて横山の責任である。

本書の執筆にあたり、グローバルナレッジネットワーク株式会社の山本晃氏からは、
ネットワーク技術について多くの助言をいただいた。また、筆者らの多くが所属するグ
ローバルナレッジネットワーク株式会社ソリューション1 部部長の福田真紀子氏には、
執筆作業に対し多大な配慮をして頂いた。ただし、本書の内容は勤務先とは無関係であ
り、あくまでも個人としてかかわったものである。

また、アスキー・メディアワークスの臼田良寛氏には、筆者たちの遅筆につきあい、適
切なコメントをつねに与えていただいた。深くお礼を申し上げたい。

2012 年12 月1 日
執筆者を代表して横山哲也

Windows Server 2012 集中アクセス制御

Windows Server 2012では、動的アクセス制御(ダイナミックアクセス制御)の機能が追加され、ファイルのセキュリティに集中アクセス制御が利用できます。

集中アクセス制御は、セキュリティ管理者があらかじめ決めておいたアクセス許可ポリシーを、利用者が選択する機能で、以下のような利点があります。

• 利用者は、ビジネス用語で記述されたラベルを使ってセキュリティを指定できる
• 管理者は、確実に正しいセキュリティを(ある程度)強制できる

集中アクセス制御は、ポリシーを決める操作と、ポリシーを割り当てる操作に大別されます。

ポリシーを決める操作は「Active Directory管理センター」と「グループポリシー管理エディタ」を使います。「Active Directory管理センター」の操作はすべてPowerShellに置き換え可能であり、管理ツール下にはPowerShell履歴を表示する機能もあります。

詳しくはマイクロソフトのWebサイト「Deploy a Central Access Policy (Demonstration Steps)」などをご覧ください。

展開は、ファイルやフォルダーのプロパティで行ないます。

先日、この時のPowerShellのコマンドを質問されて即答できませんでしたが、どうやらSet-Aclコマンドレットが拡張されたようです。

TechNetライブラリのPowerShellリファレンスにはSet-Aclの項目に –CentralAccessPolicy オプションが追加されたことが記載されていました。

またマイクロソフトのストレージチームのブログには「Getting started with Central Access Policies - Reducing security group complexity and achieving data access compliance using Dynamic Access Control」というエントリがあり、具体例が出ていました。

基本的に、Windowsの新機能はすべてPowerShellで実装されると考えてもらって構いません。既存のコマンドが廃止されてPowerShellに移行する場合もあります。「これがコマンドでできないかな」と思ったら、最初にPowerShellを調べてみてください。

大阪のみなさまへ: 9/25～ Windows Server 2012 コースのご案内

Windows Server 2012 R2 も完成し、来月にも一般入手可能という話ですが、多くの方はWindows Server 2012の評価を行なっている最中ではないかと思います。

幸い、Windows Server 2012 R2は、名前から想像できるように、それほど大きな違いはないので、まずはWindows Server 2012の導入を検討し、時期によってはR2にすることを考えればいいでしょう。

さて、Windows Server 2012関連の教育コースは昨年末から新機能を中心に解説する3日コースが実施され、今年から一般向けのマイクロソフト公式カリキュラム(MOC)が始まっています(まだR2には対応していません)。

MOCは、内容が広く深いのが利点ですが、基本的なことを学ぶだけでも合計15日間も必要になります。既にWindows Serverの知識をお持ちの方にとっては冗長な部分もあるでしょう。

日本オリジナルの「Windows Server 2012ソリューションアップデート」は,3日間で新機能を演習付きで学べるのでおすすめです。

新しい教育コースは大阪での実施が遅れがちですが、このコースは大阪でも実施しています。直近の日程は9月25日(水)からですので、機会があればぜひご受講ください(残念ながら担当は私ではありません)。

多くの場合、(幸か不幸か)大阪の方が受講者が少ないので、質問もしやすいかと思います。

なお、現在「MCSA: Windows Server 2012 チャレンジキャンペーン」を開催中です。

「Windows Server 2012ソリューションアップデート」ご受講の方に、MCP試験70-417(アップグレード)受験バウチャーチケットを差し上げています(2013年12月開催分まで)。

もし前提資格をお持ちであればMCP 70-417試験に合格することで、「MCSA: Windows Server 2012」として認定されます。この機会に受験と資格種時までどうぞ。

Windows Server 2012 Hyper-V ネットワーク仮想化

先日、一部のお客様向けにSystem CenterとHyper-V、そしてWindows Azureのセミナーを実施しました。

Windows Server 2012のHyper-Vは、System Center 2012 SP1から利用することを前提に構成されている機能があります。

NVGREを使ったネットワーク仮想化もそのひとつです。

NVGREの設定はPowerShellからのみ設定可能です。
それくらいならいいんですが、せっかく設定した内容をシャットダウンすると消えてしまうとか、構成手順が恐ろしく面倒とか、そもそも意味が分からないとか、さまざまなご意見を聞きます。

私も、時間内でうまく説明できず、申し訳ありませんでした、
何か良い資料はないかと探しているのですが、なかなか見つかりません。

「いい資料があれば紹介する」というお約束で、期限は切っていないのですが、あまりお待たせするのも申し訳ないので英語の資料を紹介しておきます。

• Implementing Enterprise-Scale Disaster Recovery with Hyper-V Replica, Windows Network Virtualization and Microsoft System Center 2012 SP1
• Deep Dive on Hyper-V Network Virtualization in Windows Server 2012 R2

後者は、タイトル通りWindows Server 2012 R2のお話です。

その他、マイクロソフトではさまざまな勉強会を開催しています。

エバンジェリストの高添修さんのブログ「高添はここにいます」などで告知されますので、注意して見ていてください。

たとえば「6月19日(水)は何の日? NVGRE (ネットワーク仮想化) をみっちり学ぶセミナーの日^^」のようなイベントは、これからも開催されると思います。

遅くなった上に、十分な情報ではなく、しかも終了後のイベント告知ということになってしましまい、本当に申し訳ありません。

何か追加の情報があれば、この場でお伝えしていきたいと思います。

NVGRE: Windows Server 2012 の Hyper-V を使ったネットワーク仮想化でブロードキャストが使えません

先週3月15日(金)、マイクロソフト主催の勉強会「Windows Server 2012 Community Day ～ Night Session～」に行ってきました。

テーマは「ネットワーク仮想化」で、Windows Server 2012 の Hyper-V に含まれるNVGREが中心でした。

NVGREを使うと、仮想マシンホストのIPアドレスとも、同じ仮想マシンホストを共有する別の仮想マシンのIPアドレスとも、一切干渉しない形でIPアドレスを割り振れます。つまり、データセンターそのものを仮想化できます。

• ただし、現時点でのNVGREは以下のような制約があります。
• PowerShellのコマンドレットでしか設定できない。
• 簡単な構成でも多くの設定が必要
• シャットダウンで設定が失われる
• 仮想マシンが移動しても、構成情報は自動的に変更されない。

かなり強い制約ですので、一般にはSystem Center 2012 SP1 Virtual Machine Managerを使って設定します。

さて、以前、私が「Windows Server 2012 ソリューションアップデート」を実施したとき、NVGREホストからのブロードキャストについて質問がありました。

「マルチキャストに変換して、他のホストに伝えられる」と答えたのですが、なんとこれが間違いでした。誤った情報を伝えてしまい、申し訳ありませんでした。

ドキュメントには確かに「マルチキャストに変換される」と書いてあるのですが(講習ではこの文章をそのまま伝えました)、Windows Server 2012には実装されておらず、別の仮想マシンホストへのブロードキャストは遮断されるそうです。

ARPはHyper-Vの仮想スイッチ代理応答を行います。仮想マシンをDHCPクライアントとして設定した場合は、仮想マシン内のSC2012VMM SP1＋DHCP Extensions機能が動作することで対応します。しかし、一般的なブロードキャストは届かない、ということです。

【追記】

当日の資料が 正式に公開されました。

Windows Server 2012 Community Day ～ Night Session ～

これに伴い、非公式なサイトの記述を削除しました。

m-step 70-417 試験対策講座の模擬試験解答

マイクロソフトのパートナ企業向けセミナーm-stepでWindows Server 2012のMCP試験対策講座をしています。
最後に模擬試験をするのですが、時間の都合で最後まで参加できない方もいらっしゃいます。
そこで、解答だけを書いておきます。

70-417対策講座模擬試験の解答です。

1. B
2. D
3. C
4. A
5. A
6. AB
7. B
8. C
9. FG
10. C
11. FGH
12. C
13. D
14. C
15. CD
16. AD
17. D
18. C
19. A
20. C
21. B
22. B
23. B
24. B
25. D
26. AC
27. A
28. CD
29. B
30. B

ファイルサーバーとしてのWindows Server 2012

今日は、マイクロソフトのパートナー向け無償セミナー「mstep」で、Windows Server 2012のファイルサーバー機能を紹介しました。

ファイルサーバーは、PCサーバー登場時から一貫してサポートされる機能で、現在でも重要な役割を担っています。

SharePointのようなWebベースのファイル共有システムもありますが、手軽さという点では従来のファイルサーバーにかないません。

さて、セミナー中、いくつか即答できない質問があったので、この場を借りてお答えします。いずれも明確な回答を発見することができませんでした。もしも、何らかの案件を扱う上での問題であれば、セミナー中に紹介した相談サービスを使うことも可能かもしれません。

Q: AD RMSのCALはWindows Server 2012用のものが必要か?

A: おそらく必要です。

ライセンス関係のご質問をよくいただきますが、即答できないことが多くて申し訳ありません。ライセンスは技術上の制約ではなく、契約上の問題なので変化することもあります。正確な解釈はマイクロソフトのライセンス相談窓口に問い合わせることをおすすめします。

マイクロソフトが公開してるドキュメント「Windows Server 2012 ライセンスと価格に関するよく寄せられる質問」のQ28にはこうあります。

リモート デスクトップ サービス (RDS) および Active Directory Rights Management サービス(ADRMS) のライセンス要件は、Windows Server 2012 でも変更はありません。ADRMS または RDS 機能にアクセスするお客様は、今後も Windows Server CAL に加えて ADRMS または RDS CAL を購入する必要があります。Windows Server のインスタンスにアクセスする CAL は、アクセス対象のサーバーと同等以上のバージョンであることが要求されます。

Q: 重複除去を有効にしたディスクを他のサーバーに付け替えて使えるか?

A: おそらく使えます。

そのものずばりの回答はなかったのですが「Backup and Restore Considerations for Deduplicated Volumes」によると、ブロックレベルのバックアップと復元ができるようです。ここから類推して、ディスクの付け替えも対応すると思われます。

ただし、明示的にできるともできないとも書いてないので、動作保証はしかねます。

【書籍】プロが教える Windows Server 2012システム管理

グローバルナレッジの社員が中心となって執筆した書籍『プロが教えるWindows Server 2012システム管理』の見本誌ができました(ただいま配送中で、実はまだ見ていないのですが)。

現在、グローバルナレッジの新しい教育コース「Windows Server 2012ソリューションアップデート」を受講していただいた方全員にプレゼントしています。よろしければご検討ください。

700Pを超える大作ですが、それでも多くの内容を割愛せざるを得ませんでした。特にフェールオーバークラスター関係が含まれないのは今でも悔やまれますが、章立ての最終決定は私がしたので、すべて横山の責任です。

比較的小規模な組織で、専任ではないIT管理者の方に読んでいただければと思っています。

著者一覧(担当章順)

• 横山哲也 ( 監修兼)
• 河野憲義
• 片岡正枝
• 伊藤将人
• 浅野ゆき子
• 神谷正
• 小鮒通成
• 国井傑

著者陣のうち、グローバルナレッジの講習を担当していないのは小鮒(こぶな)さんと国井さんです。私がお願いして担当してもらいました。

小鮒さんはSIベンダー系の会社の方で、Active Directory分野のマイクロソフトMVPを10年連続で受賞されています(おそらく4月には11年目に入るでしょう)。

国井さんは、我々と同じMCTですが、グローバルナレッジのお仕事はまだお願いしていませんが、彼もActive Directory分野のマイクロソフトMVPを7年連続で受賞されています。

監修した私は、小鮒さんより少し遅れてActive Directory分野のマイクロソフトMVPを9年間受賞し、昨年はVirtual MachineのMVPになりました。

第3部の「Active Directory編」は、この3名で担当していますので、特におすすめします。

プロが教える Windows Server 2012システム管理

Windows Server 2012 のサーバーマネージャー

Windows Server 2012の「サーバーマネージャー」で管理できるのは、Active Directoryドメイン内のWindows Server 2012だけ、と思っていたのですが、違うようです。

ただいま、Windows Server 2012の書籍を執筆中でして、その原稿をチェックしていて知りました(担当の方、どうもありがとうございます)。なお、私自身は検証していませんので、あしからずご了承ください。

●管理対象

• Windows Server 2003はオンラインまたはオフラインのみ表示可能
• Windows Server 2008/2008 R2はWindows Management Framework 3.0をインストールすれば管理可能

●ワークグループの場合

• Windowsファイアウォールで「Windows リモート管理 (HTTP 受信)」を有効化
• 管理されるサーバーで、以下のPowerShellコマンドレットを実行
  Set-Item WSMan:\localhost\Client\TrustedHosts 管理するサーバー –concatenate

書籍の発売は、来年を予定しています。詳細が決まれば正式に告知させていただきます。

Windows Server 2012のNICチーミング

今回も、保留していたお客様からの質問に対する回答です。

Windows Server 2012には、OSネイティブのNICチーミング機能が含まれます。これは、複数のNIC(同一速度のイーサネットに限られます)をまとめた仮想的なNICを作ることで、可用性と性能を向上させる機能です。

NICチーミングには、スイッチングハブ(スイッチ)の構成を必要とする「スイッチ依存モード」と、スイッチングハブの設定が不要な「スイッチ非依存モード」があります。スイッチ非依存モードは、同じスイッチでも別々のスイッチでも構成できます。

スイッチには、MACアドレステーブルが構成されますが、複数のポートに同じMACアドレスがあることは想定されていません。「スイッチ依存モード」はこの問題を解決するために、IEEE 802標準の規約を利用します。

一方のスイッチ非依存モードは、スイッチ側の設定が一切不要です。これは、以下の原理で動作しているためです。

まず、インバウンドデータ(チーミングNICへの着信)は、チーミングNIC構成時に自動的に選択された「プライマリNIC」のみが処理します。チーミングNICのMACアドレスはプライマリNICのMACアドレスになります。ARP要求に対する応答は単一NICのみが応答するため、スイッチは混乱しません。負荷分散モードでもプライマリNICは1枚に限定されます。

2枚のNICを使ったアクティブ・スタンバイ構成の場合、常にプライマリNICのMACアドレスが使われます。アクティブなNICのリンクがダウンした場合は、プライマリNICのMACアドレスがスタンバイ側で使われるため、チーミングNICのMACアドレスは(およびもちろんIPアドレスも)変化しません。同時には1枚のNICしか使わないので、アウトバウンド(チーミングNICからの発信)でも不都合は生じません。

負荷分散をしている場合のアウトバウンド接続(発信)は、指定のアルゴリズムによって負荷分散されます。この時、イーサネットフレームにはNICハードウェア固有のMACアドレスが使われ、スイッチのMACアドレステーブルにはこれが登録されます。単一IPアドレスに複数MACアドレスが対応してしまいますが、これで問題は起きないようです(理由は後述)。

図は、スイッチ非依存モード、アドレスによるハッシュでチーミングNICを構成し、負荷分散した状態で、ネットワークデータをキャプチャしたものです。送信元MACアドレスが2つあるので、赤と青で色分けしました。接続ごとに負荷分散されていることが分かります。

L2スイッチ内部では、MACアドレスとポートが紐付きますが、IPアドレスとは無関係です。ARPに対する応答はプライマリNICのみが行うため、IPアドレスとMACアドレスの対応も問題ありません。既存のARPテーブルと矛盾を起こす可能性はありますが、IPアドレスとMACアドレスの対応は、もともと変化する可能性があるものなので(たとえばフェールオーバークラスター)、こちらも問題にはならないはずです。

以上のことから分かるように、スイッチ非依存モードでは着信の負荷分散ができません。そのため、効果的に利用できるのは以下の場合に限られます。

• アクティブ/スタンバイモード…2枚のNICのうち、一方のみを使い、障害発生時に自動切り替え
• サーバーからの発信データが多い場合(たとえばWebサーバー)

以上です。見落としている条件があるかもしれませんので、お気づきの点があればブログにコメントをいただくか、メールアドレスをご存じの方はメールでお問い合わせください。

回答が遅くなって申し訳ありませんでした。

【参考】 http://www.aidanfinn.com/?p=12924 (英語)

Windows Server 2012 Hyper-VとNICチーミング

どうしても分からなかったので、ogawadさんに助けを求めました。

Windows Server 2012は、OSレベルでNICチーミングがサポートされます。チーミングされたNICは、1つのNICに見えるので、それをHyper-Vの外部仮想スイッチ(仮想ネットワーク)として割り当てることができます。

また、Hyper-V仮想マシンに割り当てた仮想NIC同士でもチーミングが可能です。つまり、複数の物理NICそれぞれに仮想スイッチを割り当てて、仮想マシン内でチーミングを行なうこともできます。

この時、仮想マシンでチーミングすると、仮想スイッチを通っているためVMで物理NICのリンクダウンが検出できないのではないか、というご質問をいただき、即答できないでいました。

結論を言うと、後者の場合でもリンクダウンを検出できます。

SR-IOVの有無とか、いろいろ考えてる前に試してみればすぐ分かることでした。お恥ずかしい限りです。

Hyper-V仮想マシンの設定に「NICチーミングを許可」する設定があります。これがオンになっていると、物理NICの状態を伝えてくれるようです。

逆に、SR-IOV を利用する場合、自身にスイッチ相当の機構が埋め込まれるので、利用するNICによっては、ホストOSにすらリンクダウンが通知されないものがあるそうです。

SR-IOVの方がハードウェア情報を伝えやすいと思っていたのですが、そうでもないようです。

SR-IOVについてはogawadさんのブログの「Windows Server 2012 Hyper-V の SR-IOV 構築手順 (3)」に詳しいので、そちらを参照してください。コメント欄には私の質問も載っていて、ちょっと格好悪いのですが、分からなかったものは仕方ありません。

ところがここでもうひとつの疑問が生まれます。物理NICのリンクがダウンしていても、仮想スイッチは生きているので、仮想マシン同士は通信できるはずです。しかし、チーミングドライバが物理NICのリンクダウンを伝えると、通信ができなくなってしまいます。

今度調べようと思っていたら、これまたogawadさんが調べてくれました。

ゲストチーミングしていない場合は、アップリンクとなる物理NICがダウンしても同一の仮想スイッチにつながっていれば引き続き通信できます(従来通りの動作です)。

ゲストチーミングしている場合は、アップリンクとなる物理NICがダウン(全滅)すると)、同一の仮想スイッチにつながっていても通信できないということです。これは、ゲストOSからリンクダウン状態として認識されるためのようです。

ogawadさん、いろいろどうもありがとうございました。

Windows Server 2012 Hyper-Vのレプリケーション

一部お客様向けに Windows Server 2012 の研修が始まり、私が担当しています。

さて、先週Hyper-Vレプリケーションで誤解を招く(というより、ほとんど間違っている)表現があったので、この場を借りて補足しておきます。

Windows Server 2012では、Hyper-V仮想マシンを他の物理マシンに連続的に複製できます。複製間隔はおよそ5分、さらに1時間に1回スナップショットを指定した世代分だけ残せます。

また、オプションとしてVSSによる「整合性のある」スナップショットを指定した時間毎に残せます(最短1時間)。

この複製は、前回との差分を複製しますが、実際に差分ディスクを作成するわけではありません。あくまでもイメージです。実際にはデータベースの「ログ」の方が近いようです(これもイメージですが)。

スナップショットを取ると、内部的に差分ディスクを作ります。しかし、5分に1回の複製は、スナップショットを作るわけではなく、差分ディスクも作成されません。

Windows Server 2012の新機能の詳細は、マイクロソフトTechNet Webサイト内の「Windows Server 2012」に掲載されています(日本語です)。