【Windows Server 2008】Windows Server 2003 の自動サイトカバレッジ(Automatic Site Coverage)機能による RODC への影響 その1

英語になってしまいますが、TechNet の Windows Server 2008 ライブラリに以下のドキュメントが掲載されています。 Domain Controllers Running Windows Server 2003 Perform Automatic Site Coverage for Sites with RODCshttp://technet2.microsoft.com/windowsserver2008/en/library/c0ec828b-7da2-4627-91a8-2a5312a3ceaa1033.mspx?mfr=true ドメイン内に Windows Server 2003 ドメインコントローラが存在する場合に自動サイトカバレッジ機能が及ぼす影響について書かれていますので、ちょいと解説しておきます。 #書き始めたら 自動サイトカバレッジ機能の説明だけで長くなってしまったので、2回に分けます。 Active Directory を初めて間もない方は、自動サイトカバレッジ機能についてご存知ないかもしれませんので、簡単に説明しておきます。 Active Directory にはDNS が必須であることはご存じのとおりです。 DNS にはおなじみの A レコード以外にさまざまなレコードがあります。Active Directory がインストールされると Netlogonサービスは、DNS上に自分自身を識別するためのレコードを登録します。これは、SRV レコードと呼ばれており、ldap サービスや kerberosサービスなどを提供してくれる「適切な」ドメインコントローラを識別するために利用されます。 このDNSへの登録プロセスや、登録されるレコードの種類、発見のプロセスについての詳細は割愛しますが、このあたりをご存じだと万が一のADトラブル時の対応に大きな威力を発揮します。AD に慣れてきて次のステップを目指している方は、(英語で恐縮なのですが)是非とも以下のドキュメントをご覧になってみてください。 How DNS Support for Active Directory Workshttp://technet2.microsoft.com/windowsserver/en/library/9d62e91d-75c3-4a77-ae93-a8804e9ff2a11033.mspx?mfr=true SRV レコードはサイト内の適切なドメインコントローラを発見する際にも使用され、DNS上では、以下のSRVレコードがエントリされています。…

1

【Windows Server 2008】WinRM Quickconfig って裏で何をやっている?

WinRM コマンドはWS-Management を使用してリモートコンピュータを管理を可能にするためのコマンドですが、quickconfig オプションを使用すると、自分自身をリモートから管理できるように環境設定を自動的に行ってくれます。 C:>winrm quickconfigWinRM は、管理用にこのコンピュータへのリモート アクセスを許可するように設定されていません。次の変更を行う必要があります。 このコンピュータ上のあらゆる IP への WS-Man 要求を受け付けるため、HTTP://* 上にWinRM リスナを作成します。WinRM ファイアウォールの例外を有効にします。 変更しますか [y / n]?  y WinRM はリモート管理用に更新されました。 結果、何がどうなったのかというと、以下の通りです。 ・Windows Remote Management (WS-Management)サービスが起動し、すべてのアドレスからの要求を80番ポートでListen これは、実際には、以下のコマンドが入力された状態です。 Winrm create winrm/config/listener?Address=*+Transport=HTTP  ・Firewall の受信ルールにある「Windows リモート管理(HTTP受信)」が有効になる これで http を使用したリモートからの WinRMを受け付けることができるようになります。 いったん実施した Quickconfig を無効にするには、上と逆の操作を行います。 ・リスナーを削除する  Winrm delete winrm/config/listener?Address=*+Transport=HTTP  ・Firewallルールを無効にする Firewall の受信ルールにある「Windows リモート管理(HTTP受信)」を無効にするか、以下のコマンドでルールを無効にする netsh advfirewall firewall set rule name=”Windows…

1

【Windows Server 2008】Server Core の管理をリモートのMMCから行うための準備

Server Core には基本的にコマンドプロンプトしか用意されていないため、ちょっと凝った管理をするためのコマンドを探そうとすると結構手間だったりもします。(もちろん、それが安全性を高めているわけですが) 既定では、リモートのMMCで接続することはできません。 何も設定しないまま [コンピュータの管理]等から Server Core に接続しようとすると、Firewall のログに TCP 445, 139 UDP 137 がブロックされた旨が出力されます。 接続を許可するには、Firewall の受信ルールを有効にしてあげる必要があります。 方法は2つあります。 <[セキュリティが強化された ファイアウォール] から行う場合> 事前に、以下の操作を行い、リモートコンピュータの 「セキュリティが強化されたファイアウォール」管理画面を起動します。 【Windows Server 2008】Server Core の Firewall の管理をリモートのMMCから実施するための準備http://blogs.technet.com/junichia/archive/2007/11/08/windows-server-2008-server-core-firewall-mmc.aspx [受信の規則]から以下の3つの規則を有効にする ・リモート管理(NP 受信)・リモート管理(RPC)・リモート管理(RPC-EPMAP) <コマンドプロンプトから行う場合> netsh advfirewall firewall set rule group=”リモート管理” new enable=yes これで、リモートコンピュータから、イベントログを確認したり、タスクを登録したりすることが可能になります。  

6

【Windows Server 2008】Server Core の Firewall の管理をリモートのMMCから実施するための準備

道場ツアーもひと段落し、あとは関西支店を残すのみとなりました。関西でご参加予定の皆様、よろしくお願いいたします。 軽ーいTIPSです。#単に私の覚書という話も…. ご存じのとおり、Windows Server 2008 の Server Core にはMMCが実装されていないので、GUIからFirewallの設定を行うことができません。つまり、Netsh コマンドを使用する必要があるわけです。 これが面倒だという場合には、リモートのMMCから接続して管理することもできます。が、事前に準備が必要です。 Server Core のコマンドプロンプト上で以下のコマンドを入力してください。 netsh advfirewall set currentprofile settings remotemanagement enable 逆に無効にするには、 netsh advfirewall set currentprofile settings remotemanagement disable となります。 Enable にした後で、MMC のスナップインに「 セキュリティが強化された Windows ファイアウォール」を追加し、対象となるコンピュータに Server Core のコンピュータ名を指定すればOKです。 (注)この操作で可能になるのは、Firewall の設定のみです。「コンピュータの管理」等を行うには、以下の操作が必要になりますのでご注意ください 【Windows Server 2008】Server Core の管理をリモートのMMCから行うための準備http://blogs.technet.com/junichia/archive/2007/11/08/windows-server-2008-server-core-mmc.aspx

1

お題募集~Back to the IT 1st round

先日ご案内しました 12月7日 の Back to the IT につきまして、皆様からのお題を募集したいと思います。 コメントからでも結構ですし、こちらからメールでいただいても結構です。もちろん匿名でも結構です。 第1回ということで、自己紹介をベースにゆるーく開催したいと考えておりますが、ゆるい中にも何かテーマがあるとお話も盛り上がります。これまでのマイクロソフトのセミナーではありえないテーマをお送りいただけますと幸いです。 (例) 「40歳を過ぎて、IT業界に対しておもうこと」「エンジニアとして息子(娘)に伝えたいこと」「若いエンジニアに物申す」「田舎のおふくろ(65歳・一人暮らし)にITを理解してもらう手法」「奥さん(旦那さん)に、残業の理由を伝えるためのステップバイステップ」 など、発想は自由で結構です。 最終的に「ITって、やっぱりいいね」「俺(私)ってすごいかも」という方向に持っていけることが理想です。  ご意見、ご要望お待ちしております!