Windows Server 使い倒し塾

マイクロソフト株式会社の Windows Server プリセールス エンジニア チームの Blog (アーカイブ)です。最新記事は「Windows インフラチーム ブログ」を参照ください。

新サイトに移転しました

今後は Windows インフラチーム ブログ をご参照ください。 Windows Server だけでなく、インフラ関連の全般(Windows Client、System Center、Forefront)の情報も1つのサイトにて発信していきます。 どうそ よろしくお願いします。… Read more

FIM 2010 で実現するグループの効率的な管理

皆さん、こんにちは。 暑くてジメジメした日が続来ますね。ウチの犬は、なんと早くも夏バテを起こしてしまいました。人間にとっても犬にとっても辛い季節です。。。 今回、Forefront Identity Manager(FIM) 2010 を利用した、Active Directroy ドメインサービス(AD DS)上でのグループ管理機能について紹介させていただきます。 FIM 2010 では、 ID統合管理基盤として利用できる機能を提供していますが、パスワードセルフリセットをはじめとし、AD DS との親和性が非常に高い機能を提供しています。グループ管理機能も AD DS と親和性の高い機能を提供しています。(もちろん、グループオブジェクトは AD DS のみではなく、他のシステムに対しても同期を行う事は可能です。) FIM 2010 では、同期サービスによるバッチでのグループオブジェクトの一括処理(登録 / 変更 / 削除)やFIM ID 管理ポータルによるグループオブジェクトの作成 / 変更 / 削除が行え、特に FIM ID 管理ポータルでは、よりグループの管理が行いやすい管理機能を提供しています。今回は、FIM 2010 の ID 管理ポータルで提供しているグループに関する以下の機能を紹介させていただきます。 (1)様々な条件指定できるグループメンバーの設定 (2)ワークフローを利用した、申請ベースでのグループ参加 (3)Outlookを利用したメールベースでのグループ参加申請と承認 (4)検索フィルターによる様々な条件でのグループ検索 (1)様々な条件で指定するグループメンバーの設定 FIM ID 管理ポータルからは、セキュリティグループおよび配布グループを作成する事ができます。これを AD DS と同期させることで、AD DS 上にグループオブジェクトが作成されます。… Read more

Windows Server 2008 R2 RDS の構築・設計指針

みなさん、こんにちは。 ワールド カップの日本はとてつもなく悔しい終わり方で残念でした。ですが逆境の中、格上の国を相手に強いハートとチーム ワークで勝ち上がる様は、「俺たちのフィールド」を読んで毎回泣くスポ根漫画好きとしてはたまりませんでした。 さて、今回は RDS の導入にあたって、全体構成を決めるうえで必要となる指針についてお伝えします。 RD セッション ホスト (旧ターミナル サーバー) のサイジングは既にお伝えした通り (以前の記事) ですが、全体構成を決めるためにはその冗長化をどうとるか、さらにその他のコンポーネントをどう構成するかを考慮する必要があります。考慮すべき RDS の構成要素は以下です。 RD ライセンス サーバー RD セッション ホスト RD 接続ブローカー プロファイル共有、フォルダー リダイレクト用ファイル サーバー RD ゲートウェイ RD Web アクセス App-V for RDS たくさんありますね。 全体構成を決定するには、これらの役割、サイジング、冗長化方法、冗長化しない場合の影響、他のサーバーとの共存可否を理解する必要があります。本来であれば皆様のところに伺って直接解説させていただきたいのですが限界がありますので、以下資料としてまとめました。参考構成も入れていますのでご参考下さい。 ・Windows Server 2008 R2 リモート デスクトップ サービス (RDS) 評価・導入のポイント資料 (PDF, 3.5 MB) マイクロソフト 高田祐二… Read more

DirectAccess サイジングの指針

みなさま、こんにちは。 ワールドカップで少し寝不足気味の竹内です。こんばんわ。仕事から帰ってテレビをつけるとちょうど試合がやってて、ついつい見ちゃって気が付けば深夜の繰り返しです。 さて今回はDirectAccessのサイジングの指針についてお話しさせていただきます。これまで何度かDirectAccessの技術概要から注意点、さらには実際に構築する手順まで紹介してきました。これまでの記事を未確認の方は、そちらもぜひご覧ください→http://blogs.technet.com/b/windowsserverjp/archive/tags/directaccess/ 結論から言いますと、Quad CoreのCPU×2 (例えばIntel Xeon L5520, 2.26 GHzなど) でメモリ16GBのサーバーマシン1台で2,300ユーザーをカバーすることが可能です。もちろん、DirectAccessはリモートアクセスを提供する機能ですので冗長化の構成をとるべきなので、その場合にはUAGのアレイの機能を利用します。 すでにご存じのとおり、DirectAccessはインターネット上の通信をIPSecで暗号化するします。End to EdgeのIPSecを利用するのであれば、DirectAccess ServerのCPUが最も注目する点となります。 本日紹介したサイジングの指針は以下のTechNetサイト (英語) で公開されています。 Forefront UAG DirectAccess performance information http://technet.microsoft.com/en-us/library/ff723731.aspx マイクロソフト株式会社 竹内宏之… Read more

ADMT 3.2 リリース

Windows 2000のセキュリティ修正モジュールの提供も、残すところ7月の1回となりました。みなさま新しいOSへの移行準備は進められてますでしょうか?Windows 2000をP2Vで仮想化すれば、セキュリティリスクは防げるといった記事も見かけますが、そんなことはありませんのでご注意ください。 Windows Server 2008 R2 がボリュームライセンス(VL)でのご提供が始まったのが、昨年の9月1日ですから、そろそろ10か月経とうとしております。大変お待たせしましたが、ADMT 3.2 がやっとベータ版から正式版となりました。 ADMT 3.2 では 2008 R2 DCへの接続が可能になりました。(ADMT 3.1 では、2008 R2 の DC が存在していてもOKでしたが、接続先は2008のDCでなければなりませんでした) また、本バージョンでは 2008 R2 でのみ実行可能です。ためしに、2008 上でインストールしようと試みましたが、「有効な Win32アプリケーションではありません」とのエラーでインストールもできません。(2008 の 64bit でもNGです) 移行元、移行先のドメインとしては以下がサポート対象です。 移行先ドメイン : Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 移行元ドメイン : Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 Windows… Read more

NAP DHCP におけるサーバーの冗長化構成

みなさん、こんにちは。今回は NAP を DHCP 方式で構成する場合にサーバーを冗長化する方法についてご説明します。   DHCP サーバーを RADIUS クライアントとして構成 NAP の各種ドキュメントや書籍には、1台のマシンで DHCP サーバーとネットワーク ポリシー サーバー(NPS) を構成するパターンが記載されていますが、2つのマシンに分かれるケースについてはあまり触れられていません。実は NAP 環境では DHCP サーバーは RADIUS クライアントとして動作し、RADIUS サーバーである NPS と通信します。システム構成を図解すると下記のようになります。 DHCP サーバーを RADIUS クライアントとして構成するには、 Windows Server 2008 / 2008 R2 に「DHCP サーバー」とともに「ネットワーク ポリシー サーバー(NPS)」の役割もインストールする必要があります。少しややこしいですが、実は NPS とは RADIUS サーバー機能と RADIUS クライアント機能の両方を提供します。 ここでインストールする NPS は RADIUS クライアントのためのものです。   RADIUS クライアント側の NPS… Read more

クラウドや SaaS へのシングルサインオンを実現

みなさん、こんにちは。 ※ 今回も長文ですが、お時間の許す限りお付き合いいただければと思います。 ■ 切っても切れない「認証」という作業 コンピュータは、人間を遥かに凌駕する計算能力を持っていますが、人間なら瞬時に結果が出せるような、単純なことができなかったりします。 「認証」もその一つです。人間なら、知っている人の顔を見ればすぐに誰か分かるのに、コンピュータは、たとえいつも使う人が目の前に座っても、誰だか識別できませんね。ID とパスワードを入力して、ログオンすることで初めて認識してくれます。 コンピュータの個人識別技術が飛躍的な発展を遂げない限り、私たちはこれからも、毎回毎回、手間暇を掛けてコンピュータにログオンする作業をし続けなければなりません。 そこで、この作業を軽減してユーザーの生産性を上げるために、シングルサインオン(SSO)という機能を持ったソフトウェアが存在します。最初に 1 回、シングルサインオン機能に対してログオンしておけば、あとはそこで入力された個人識別情報を、様々なシステムにアクセスした際に自動的に送信することによって、ID やパスワードの入力を省略することができます。 ■ マイクロソフトのシングルサインオン製品って? これまで、たびたび「マイクロソフトのシングルサインオン製品を教えてください」というお問い合わせをいただくこともありました。しかし残念ながら、マイクロソフトはシングルサインオン製品というものを持ち合わせていません・・・と言うと、語弊があるかもしれません。 マイクロソフトは、高まるシングルサインオンのニーズに対して、今までこう言い続けてきました。 「Active Directory にシステムの認証を統合しましょう!そうすれば Windows 統合認証でシングルサインオンが実現できます!」 もちろん、これは真実ですし、究極のシングルサインオンソリューションであることは言うまでもありません。しかし現実には、Active Directory にすべての認証を集約するのは困難で、多くのお客様がこの課題に対して攻めあぐねています。 Active Directory に認証を集約するのが困難な理由は幾つかありますが、大きな障壁の一つになっているのがネットワークの問題です。Active Directory の認証機能は、組織内の専用ネットワークの範囲内に対して機能を提供することを主眼に設計されており、WAN 越えの認証を行おうとすると、なかなか一筋縄ではいきません。 ■ クラウド時代に注目されつつある認証技術「AD FS」 一方、クラウドサービスの本格化や、古くは ASP をはじめとする SaaS 型のオンラインサービスの利用が進む中で、せっかく整備した Active Directory のユーザー情報を使って、クラウドやオンラインサービスに認証できないものか?というニーズが出てきました。そこで、Windows Server 2003 R2 から地味に標準搭載され続けていた、AD FS(Active Directory フェデレーションサービス)に陽の目が当たりました。 AD FS に、SAML 2.0 や WS-Trust… Read more

続々登場!Active Directory Rights Management Services と連携する新ソリューション

皆さん、こんにちは。 今回は Active Directory Rights Management Services (AD RMS) と連携する新しいソリューションをご紹介します。 ※AD RMS はこれまでのブログの記事でも何回かご紹介させていただいておりますが、Windows OS 、Microsoft Office 製品などが標準で持っているセキュリティの機能です。機能の名前が表すように、この機能を使用することで、ファイルやメールについて利用者の行為を制限することが出来ます。たとえば、メールの転送を禁止したり、文書の印刷を出来なくするといった制御をすることが出来るようになります。利用することで強力に情報資産を保護することが出来るようになります。AD RMS は OS や Office が標準で持っている機能だけでも十分に強力ですが、AD RMS と連携するソリューションを組み合わせてご利用いただくことで、よりその導入効果を向上させることが出きます。ちなみに前回の投稿では、富士通エフサス様の RightsPia をご紹介しています。よろしければご覧ください。 今回ご紹介するのは、NEC 様のソリューションと RSA セキュリティ 様のソリューションです。NEC 様のソリューションを利用することで、AD RMS に標準では対応していないアプリケーションのファイルについても、AD RMS によって保護することが出来るようになります。クライアント PC 内の指定フォルダに格納されるファイルの自動的な暗号化や、サーバー (Office SharePoint Server) と連携してサーバーサイドでの自動的な暗号化を行うことも可能になります。非常に強力なソリューションです。日本電気株式会社文書保護ソリューションRSA セキュリティ様のソリューションを利用することで、各クライアントやサーバーに散在する重要な情報資産を AD RMS で自動的に保護することが出来るようになります。あらかじめ設定したポリシー内容にしたがって、ネットワークに散在する重要な情報資産を特定、保護することが可能になります。こちらも非常に強力なソリューションです。RSA セキュリティ株式会社RSA DLP(Data Loss Prevention)Suite当然の話ではありますが、Microsoft の製品でも、Exchange Server の最新版である Exchange 2010 ではトランスポートルールが拡張され、メールの… Read more

Best Practices Analyzer を提供するサーバーの役割が増えました

今回は Best Practice Analyzer ( ベスト プラクティス アナライザー:BPA) の追加情報をお知らせします。BPA とは、サーバーの構成をチェックして、標準的な環境でサーバーを理想的な構成とするガイドラインを示す機能です。 ※ BPA については以前こちらの記事でもお伝えしています。 BAP は、Windows Server 2008 R2 で新たにサーバーマネージャに統合された新機能で、これまでは、次のサーバーの役割で提供されていました。 Active Directory ドメインサービス Active Directory 証明書サービス DNS サーバー Remote Desktop Services Web サーバー (IIS) 新たに、次のサーバーの役割で BPA が提供されています。各役割用の BPA はダウンロードサイトから更新パッケージを入手してインストールしていただくことにより、利用できるようになります。 KB977238 : Hyper-V KB981111 : ファイル サービス KB981391 : Active Dreictory Rights Management サービス (AD RMS) KB977236… Read more

Forefront Identity Manager 2010 Update1提供開始

皆さんは、こんにちは。 GWは楽しく過ごされましたか?今年は犬と一緒に伊豆に行ってきました。 最近は(?)は、犬と泊まれるペンションが結構あり、ペンションの中まで犬と一緒に入れ、他の犬と一緒に遊べたりします。また、伊豆の方では、ペットOKな飲食店なども結構あり、犬を連れてご飯を食べに行けたりと、伊豆は、ペット連れには、嬉しいところでした。でも、行くときは事前にペットOKなお店を確認しておく必要があります。 さて、今回は、Forefront Identity Manager 2010 Update1の提供のご案内です。 4月26日にForefront Identity Manager 2010 Update1がリリースされています。ご評価等される場合は Update1 を適用し、ご利用ください。 Update1 のダウンロードは、Windows Update カタログからダウンロードできます。Windows Update カタログのサイトにアクセスしていただき、検索に “Forefront Identity Manager” と入力し検索していただくと、対象のモジュールが表示されます。 Update1 のモジュールは各コンポーネントごとに提供されているので、必要なモジュールをダウンロードしてご利用ください。→ダウンロードはここから 今回のダウンロードできるファイルを以下に示します。 コンポーネント ファイル名 サイズ FIM 2010 PCNS FIMPCNS_KB978864.msp (x86版とx64版を提供) 136 KB FIM 2010 Certificate Management Client  FIMCMClient_KB978864.msp (x86版とx64版を提供) 12.5 MB FIM 2010 Certificate Management FIMCM_KB978864.msp 8.2 MB FIM… Read more