【書籍】Windows Server 2008 実践ガイド (MVP 村嶋さん)

話は違うのですが、Imagine Cup ってご存知ですか?ワールドワイドで実施されている、マイクロソフト主催の学生向けの技術コンテストです。 Japan Team のBLOG 毎年、決勝戦が世界各地で開かれるのですが、今年はなんとエジプト!アカデミックチームは、明後日、カイロに向けて出発するようです。うらやますぃ…。 以下の写真は決勝戦が行われる会場(設営中)なのですが、ご覧のとおり、砂漠の中で行われます。真ん中に一番に大きく見えるのがカフラー王のピラミッドで、左右がメンカウラー王とクフ王のピラミッドです。スフィンクスはギリギリこの写真では判別できませんが、右端になります。ツアーで訪れると、通常、右にあるクフ王(実際には一番背が高い)のピラミッドの「向こう側」から入場してきますが、そこからだとこの写真のように3つのピラミッドを絶好のコンディションで見ることができません。このような絶好のビュースポットには、ラクダを雇ってたどり着くことになりますが、価格交渉が疲れるんですよねぇ(笑)。ここだけの話ですが、安くラクダツアーに参加するには、カイロにある日本人宿で申し込むのが良いです。この写真の右側には(切れていて見えないですが)らくだツアーの集落があります。 ちなみに、最近のエジプトのビザはシールだって知ってました?2007 2004 年に行ったときには普通の印紙だったんですけどね。昨年訪れたとき、私は知らずに、裏面を舐めまくってしまいました…(恥)。アカデミックチームのメンバーも同じ間違いをして恥をかくように、心から遠くから祈っています。 さて、何の話でしたっけ?あ、書籍でした。 MVPの村嶋さんが執筆された書籍、「Windows Server 2008 実践ガイド」がリリースされました。700ページで3800円!これは安いです。 なぜ、あえてここでご紹介しているかといいますと、かゆいところに手が届いているんですねぇ。すごく。 実践ガイドというだけあって、Windows Server を一から構築していく手順が書かれているのですが、手順にとどまらず、なぜそういう設定をするのか、いま何をやっているのかという点がきちんと解説されています。村嶋さんらしく、ネットワーク系の実装については、力が入っていますね。 マイクロソフトの情報は、とかく「新機能」に偏ったものになりがちなのですが、この書籍では本来のWinodws Serverをきちんと解説してくれています。 是非ともこの本を手にとって見てください。 あと、アカデミックチームの皆さんは気をつけていってらっしゃい!日本チームの優勝を祈っています!

1

【Management】KMS で 12293 エラー が出たら Software Licensing を再起動する

久しぶりにKMS(Key Management Service)に関する投稿です。 以下のコマンドを使用して、Windows Server にボリュームライセンスをインストールすると、サーバーは自動的にKMSとなります。 slmgr –ipk <ボリュームライセンスキー> KMSが正しく動作するには、KMSサーバーは DNSに  _VLMCS._tcp を登録できなければなりません。 私の手元の環境でKMSのテストをしていたところ、KMSサーバーのアプリケーションログに Event ID 12293(hr=0x800705B4) が出て、どうしてもDNSにサービスレコードを登録することができませんでした。 どうやらこれは、DNSへのレコード登録の際にタイムアウトが発生した..というものらしいのですが、再起動してもライセンスを再入力しても解決できませんでした。 そこで、ためしに Software Licensing  サービスを再起動してみたところ… あっさりと登録ができてしまいました。 こんな現象、どこかで見たことがありますね…そう、ADインストール直後です。DNSにAD関連のレコードが登録されないときも、NetLogonサービスを手動で再起動するという手がありました。 根本的な解決策ではないのですが、試してみてください。


【IDM】TechNet Magazine:Windows PowerShell でユーザー プロビジョニングを自動化する

とうとう7月になってしまいました。(失礼しました、なぜか勘違いしていました)みなさまいかがお過ごしでしょうか。わたしは、提出物に追われて胃が痛くなっています。 さて、TechNet Magazine で、「PowerShell によるユーザープロビジニングの自動化」に関する連載が、ひっそりと行われていたことをご存知でしょうか? プロビジョニングという大げさな言葉が使われてはいますが、実はさほど複雑なものではありません。 CSVファイルからデータを読み込み、PowerShellで加工してActive Directoryに登録するという一連の流れをPowerShellで実現しています(状態の変更や削除といった作業については触れられていません)。 第1回 CSVファイルの読み込み http://technet.microsoft.com/ja-jp/magazine/2009.03.windowspowershell.aspx 第2回 Active Directoryへのユーザー作成とExchange 2007 メールボックス作成 http://technet.microsoft.com/ja-jp/magazine/2009.04.windowspowershell.aspx 第3回 ファイルサーバーへのホームディレクトリの作成とアクセス権の設定 http://technet.microsoft.com/ja-jp/magazine/2009.05.powershell.aspx 第4回 ユーザーをセキュリティグループに参加させる http://technet.microsoft.com/ja-jp/magazine/2009.06.windowspowershell.aspx この全4回の連載を読破すれば、 プロビジョニングの基本的な考え方 PowerShellを使用したテキストファイルの操作方法 PowerShellを使用した基本的なActive Directoryの操作 PowerShellからDOSコマンドを呼び出す方法 が習得できるはずです。 お勧めです!


testtesttesttest

ネットワーク ポリシー サーバーがユーザーにアクセスを許可しました。 ユーザー: セキュリティ ID:   NULL SID アカウント名:   TSGW01\Administrator アカウント ドメイン:   – 完全修飾アカウント名: – クライアント コンピュータ: セキュリティ ID:   NULL SID アカウント名:   – 完全修飾アカウント名: – OS バージョン:   – 被呼端末 ID:  UserAuthType:PW 起呼端末 ID:  – NAS: NAS IPv4 アドレス:  – NAS IPv6 アドレス:  – NAS ID:   – NAS ポートの種類:   仮想  NAS ポート:   – RADIUS クライアント: クライアントのフレンドリ名:  TSGW01 クライアント IP アドレス:   192.168.120.4 認証の詳細: プロキシ ポリシー名:  ターミナルサーバーゲートウェイを介したターミナルサービスへの接続 ネットワーク ポリシー名:  – 認証プロバイダ:  <なし>  認証サーバー:  TS01.contoso.co.jp 認証の種類:  – EAP の種類:   – アカウントのセッション ID:  – 検疫情報: 結果:    – セッション ID:   – — ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。 詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。 ユーザー: セキュリティ ID:   NULL SID アカウント名:   TSGW01\Administrator アカウント ドメイン:   TSGW01 完全修飾アカウント名: TSGW01\Administrator クライアント コンピュータ: セキュリティ ID:   NULL SID アカウント名:   Vista-demo01 完全修飾アカウント名: – OS バージョン:   – 被呼端末 ID:  UserAuthType:PW 起呼端末 ID:  – NAS: NAS IPv4…


【Community】7/11 広島でPowerShell のリモーティング機能を解説します

どうにもお肌にツヤが無い、きょうこの頃です。 さて、イベントの告知をさせてください。 7月11日、広島のマイクロソフト中国支店にて、ヒーロー島との共催によりWindows 7 コミュニティ勉強会が開催されます。 Windows 7 コミュニティ勉強会 with Tech Fielders 中国編 http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032416507&Culture=ja-JP この中で、私は Windows 7 PowerShell Remoting 30連発 というセッションを担当します。 Windows7/Windows Server 2008 R2 の新しい機能として、Windows PowerShell 2.0 があります。 標準でエディタがついていたり、Active Directoryをはじめとする運用管理系のコマンドレットが増えたりと、ワクワク感いっぱいなのですが、運用管理者にとってうれしいのが リモーティング と呼ばれるリモートコンピュータの運用管理機能です。 Windows NT 4.0 のころ、リモートコンピュータの情報を取得するのは至難の業でした。コマンドが必ずしも  /Computer  オプションをサポートしていた時代ではなかったわけです。 当時、リモートでコマンドを実行させるのに流行った方法は、ATコマンド。ATでは \\ComputerName でリモートコンピュータを指定することができました。なので、例えば「10秒後」の時間を指定して投げることで、すこし時間差はあるもののリモートコンピュータでの実行結果を得ることができました。ATの亜種であるSOONコマンドでは、時間を指定するのではなく、「10秒後」という指定ができたので、大変使い勝手がよかったです。 そのほか、NT 4.0 のリソースキットの Remote.exe や rconsole/rclient なども使ったりしました。 その後、WSH 5.6 では Remote Script 機能がサポートされ、さらにリモートコンピュータに対する管理の幅は広がりました。 そして、今回のPowerShell…

1

【Hyper-V】スナップショットとコンピュータアカウントパスワードの微妙な関係

タイトルを見て、これから何が書かれるのか想像がついた方は、酸いも甘いも経験したActive Directory使いであると言えるでしょう。 実はHyper-Vがリリースされてから、「正式な対応があるのだろうか?」と疑問に思い続けてきたことがあります。それは… Hyper-Vでスナップショットを取った後で、コンピュータアカウントのパスワードがリセットされてしまったらどうなるのだろう? きっと、同じ疑問を持っている方は多いはずです。 ドメインに参加しているコンピュータは、ユーザーと同様に「コンピューターアカウント」と呼ばれるアカウントを持っています。ユーザーアカウントの場合、定期的に利用者自らがパスワードを変更しますが、コンピューターアカウントの場合にも同様に、規定で30日に1回、パスワードをリセットします。 このパスワードは、ADとコンピュータ自身の両方に保存されており、両者が食い違った場合には「不正なコンピュータ」であるとしてドメインにアクセスすることができなくなります。もちろん、ユーザーがそのコンピュータを使用してログオンすることもできません。 こうした問題が発生するのは、たとえば、クライアントにバックアップからディスクイメージを戻した場合です。そのバックアップイメージが前回の自動パスワードリセット前に取られたものであれば、再度ドメインに参加しなおさないとユーザーはログオンすることができません。 ※ドメインへの再参加ではなく、パスワードのリセットでいけたかどうか…ちょっと記憶にないです…どなたか経験者いらっしゃいますか?→ 2009.6.24 (参考) ドメインにログオンできない ~ セキュア チャネルの破損 ~ (Ask the Network & AD Support Team)  これと同じ問題が、Hyper-Vのスナップショットでも発生するはずだよなぁ…と考えていました。 実は、コレに対する現時点の回答が Windows Server Core Team のBLOGに投稿されました。 Running Hyper-V in a lab? Use Snapshots? Check this out! http://blogs.technet.com/askcore/archive/2009/06/03/running-hyper-v-in-a-lab-use-snapshots-check-this-out.aspx 対処法は、ずばり… コンピューターアカウントのパスワードリセットを無効にしてください とのこと…。あぁ、やはりそうきましたか..。 具体的にはコンピュータ側のレジストリを修正します。 DisablePasswordChange http://technet.microsoft.com/ja-jp/library/cc962289(en-us).aspx これによって、コンピューターはドメインコントローラとのパスワードリセットを行わなくなります。 ちなみに、パスワードの有効期間を(限りなく)長くする…という方法もあります。 MaximumPasswordAge http://technet.microsoft.com/ja-jp/library/cc937922(en-us).aspx なお、この設定はグループポリシーからも行えます。 [コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカル ポリシー]-[セキュリティオプション] の中の[ドメインメンバ:コンピュータアカウント パスワード: 定期的な変更を無効にする] コンピューターパスワードのリセットを無効にすることにより、もちろん、セキュリティレベルは落とすことになります。…


【相互運用性】マイクロソフトの相互運用性プロジェクトの全てがわかる~Interoperability Bridges & Labs Center

Interoperability Bridges & Labs Center というサイトをご存知でしょうか? なんとなく、バラバラといろんな相互運用性プロジェクトが存在しているような感じですが、このサイトでマイクロソフトの相互運用性に関するプロジェクトの全てを見ることができます。 このサイトはMicrosoft Interoperability Strategy Group が中心となって運営されており、活動の様子は以下のBLOGでも継続的に報告されています。 Microsoft Interoperability Strategy Group のBLOG Interoperability @ Microsoft 一見、開発系に占領されているように見えますが、いえいえ、ITPRO向けの相互運用性プロジェクトに関する情報も多く掲載されています。 ※2009/06/17 リンクを修正しました。失礼いたしました。 Apache-POI OpenXML Java API Azure Ruby SDK for .NET Services Azure-Java SDK for .NET Services Eclipse Tools for Silverlight Information Card for C Information Card for Java Information card for PHP Information…


【Hyper-V】統合サービスの「データ交換」ってなに? その2

前回の投稿はこちら 【Hyper-V】統合サービスの「データ交換」ってなに? では実際に、データ交換 機能を介して、ゲストOSの情報を取得してみましょう。 まずは以下の図をご覧ください。これは、ゲストOS上のレジストリエントリです。 ご覧いただくとお分かりのように、HKLM\Software\Microsoft\Virtual Machine\Auto 配下のエントリが表示されています。IPアドレスやOSのビルド番号、コンピュータ名などの基本的なOSの情報が格納されていることがわかります。 実は、ここに表示されているエントリは、ゲストOSにインストールされている「Hyper-V Data Exchange Service」によって生成されています。   統合サービスがインストールされたゲストOSのサービス。ちなみに、赤で囲んだサービスが、それぞれの統合サービス機能に対応している。 Hyper-V Data Exchange Service が起動するときに、OSの基本情報を収集し、このレジストリキー配下に書き込んでくれます。言い換えれば、このレジストリエントリをでたらめに書き換えても、Hyper-V Data Exchange Service を再起動すれば正しい値に戻すことが出来ます。 ホストOSを経由し、ゲストOSの「データ交換」を介して収集できる情報の1つが、ここに羅列されているレジストリエントリです。 以下の図はここまでの話をまとめたものです。 実際にAutoキー配下の値を取得するには、以下のようなコマンドを使用します(今回は PowerShellを使用しますが、WMI なので VBS を使用することもできます)。 まずはゲストOSの名前を使用して、以下のコマンドを実行します。これにより、Hyper-V上のゲストOSのインスタンスを取得できます($VM)。ここで使用しているのが、Msvm_ComputerSystem クラスであす。このクラスは通常使用する root\CIMV2 ネームスペースではなく、root\virtualication ネームスペースに定義されていることに注意してください。 PS C:\>$VM = Get-WmiObject -Namespace root\virtualization -Query "Select * From Msvm_ComputerSystem Where ElementName=’ゲストOSの名前’ " -ComputerName ホストコンピュータ名 -Credential administrator ちなみに、上のコマンドでは、別ドメインのサーバーを操作しているため –Credential…


【Hyper-V】統合サービスの「データ交換」ってなに?

Hyper-VのゲストOSに「統合サービス」をインストールすると、ゲストOSで以下の機能が使用できるようになります。 オペレーティングシステムのシャットダウン 時刻の同期 データ交換 ハードビート バックアップ(ボリュームスナップショット) これらの機能は、以下の画面から一部を無効にすることも可能です。 この中で、「データ交換」とはどんな機能なのか?というご質問をいただきました。実は、恥ずかしながら私もきちんと把握していなかったので調べてみました。 当初、ホストとゲストの間でファイルを交換できるのかな?と思いこんでおりましたが、どうやら違うようですね…。 要は、 ホストとゲストの間で情報を交換(実際にはレジストリの値)するしくみ です…といっても、なんだかよくわからないですよね。すみません。 ここで、以下の図をご覧ください。 ※上のPPTのクリップアートが気になる方は、ここをクリック! 管理者が操作するPCと、ゲストOSがネットワーク的に通信が可能であれば、WMIのWin32_OperatingSystem等を通じてゲストOSの情報を収集することが可能です。 しかし、ゲストOSが使用しているネットワークが「プライベート」であったり、IPアドレスの体系が全く異なる場合には、いくら管理者といえどもゲストOSに接続することができません。セキュアな環境を構築したいと考える場合には、ゲストOSが使用するネットワークカードは、物理ネットワークカードから切り離すことになるでしょう。それでも、ゲストOSが大量に存在する場合には、スクリプト等でちょちょいと「ゲストOSリスト」なんてものを作成したいはずです。 そんなときは、ホストOSを介してゲストOSの情報を収集することが可能です。これを実現してくれるのが、ゲストOSにインストールされた「データ交換」機能なのです。 ちなみに、「データ交換」機能は、直訳すれば「Data Exchange」ですが、WEB等で記事を探そうとすると、これではヒットしずらいようです。多くの記事では 「KVP Exchange」という言葉が使われています。KVPとは Key Value Pair のことで、ご想像とおりXML形式のデータを指しています。つまり、ゲストOSの情報を KVPで交換できるということを意味しています。 実際にデータ交換を行うには、おなじみ WMI(Windows Management Instrumentation)に用意された仮想マシン用のクラス(msvm_*)を使用します。つまり、スクリプトの出番であると..。   具体的な使い方は次の投稿で..。 つづき http://blogs.technet.com/b/junichia/archive/2009/06/13/3253986.aspx

1

【Management】FSRM 記憶域レポートの上限値を変更するには

FSRMはご存知でしょうか? ファイル サーバー リソース マネージャ です。Windows Server 2003 R2 から実装された機能で、ディレクトリレベルのクオーター管理機能やファイルスクリーン機能などが実装されています。無償で使えるすごく便利な機能なのですが、案外知られていないんですねぇ。 よろしければ、以前ThinkITで書いた記事もご覧ください。 参考までに、Windows Server 2008 R2 では「分類管理(File Classification Infrastructure)」という機能が実装されます。これは、ファイルが持つ各種属性(サイズ、作成日時、所有者など)によってファイルを分類するという機能です。ファイルごとにフォルダを分けるのは当然ながら、独自のスクリプトを走らせることでドキュメントのプロビジョニングを柔軟に行うことができます。たとえば、最終アクセスが1年前のファイルをバックアップ用フォルダに移動するとか、サイズの大きなファイルの所有者にメールを出すとか。 残念ながら日本語RC版では実装されていないようなのですが、特定の文字列を含んだOfficeファイルやTIFFファイルに対してアクションを起こすなんてことも可能になるようです。たとえば、xxx-xxxx-xxxx というパターンに合致する文字列が含まれている場合には、個人情報(この場合は電話番号を想定)が含まれているとして自動的に暗号化するとか…いやぁ、夢が膨らみますね。 さて、本題です。 FSRM の「記憶域レポート」という機能を使用すると、ハードディスク内のファイルを調査して、さまざまなレポートを出力することができます。 100MB以上のファイル一覧 所有者が junichia のファイル一覧 などなど。 これまでスクリプト等で対応してきた方には非常に有用な機能でして、是非ともお使いいただきたいのですが、ちょっとだけハマりがちな点があります。それは、レポートに表示されるファイルの数です。 Windows Server 2008/2008R2(RC)共に、規定では 1000 が設定されており、たとえ100MB以上のファイルが10000個あっても、レポートには1000個しか表示されません。これはちょっと困りますよね。 この上限値はスクリプトで変更することが可能です。スクリプトのサンプルが MS の Storage Team の BLOG に掲載されています。 A script to increase FSRM report limit http://blogs.technet.com/filecab/pages/a-script-to-increase-fsrm-report-limit.aspx が、ちょっと使い勝手が悪いところと、2008 R2 の 分類管理機能に関する上限値が実装されていなかったので、修正したものをこちらに 掲載しました。拡張子を…

2