また、しばらくさぼってしまいまして失礼しました。
他のエバンジェリストやその他社員からも続々告知が出ていますが、Tech・Ed 2007 in Yokohama まで残すところ30日あまりです。
今年のTech・Edでは、私もセッションを担当します。
管理者不足とセキュリティに悩む小規模オフィスへの Active Directory 展開プラン ~ Windows Server 2008 の新機能「読み取り専用ドメイン コントローラ (RODC)」がもたらすメリット
8 月 24 日(金)8 月 23 日(木)
長いタイトルですよね(笑)。当初は、「ブランチオフィスにおける Active Dirctory 展開プラン」というタイトルだったのです。でも、これじゃ、正直、私はわからない...ということでタイトルを思い切り長くしてしまいました。ちょうど、「愛のままにわがままに僕は君だけを傷つけない」という長いタイトルの歌も流行っていますので、時流に乗りまくっているなぁ思います。
さて、このセッション、RODCを前面に出していますが、全体としては「ブランチオフィスをどうやって効率よく管理するか」に焦点を絞り、その効果的な解決策についてデモンストレーションを交えてご紹介します。
これからお客様にActive Diretoryを提案しようとされている IT Pro の皆さん、ぜひともここで情報を収集しておいてください。みなさんのソリューションにRODCが加わることで、提案の幅が大きく広がるはずです!
Tech・Ed 2007 YOKOHAMAhttp://www.microsoft.com/japan/teched/default.mspx
ドメイン内の管理を効率化する武器として愛されているグループポリシーですが、Windows Server 2008 beta3 では、管理可能な項目が 2700 もあります。
項目数は Windows Vista で 2600 程度でしたから、Server 2008 で増えた項目はさほどでもありませんが、そもそも 2700 という項目をどう管理するのかということに脅威を抱く方もいらっしゃるはずです。私も正直...どこから紹介してよいのか...(汗)。
グループポリシーの管理項目については Vista で大幅に強化されたため、Server 2008 ベータ3 ではあまり目立った追加項目は無いように見えますが、ターミナルサービスや、パスワード同期サービスに関する管理項目が強化されています。
では、その強化された項目を確認するにはどうしたらよいか...英語で恐縮ですが、以下のドキュメントが公開されています。
Group Policy Settings Reference Windows Server 2008 Beta 3http://www.microsoft.com/downloads/details.aspx?FamilyID=2043b94e-66cd-4b91-9e0f-68363245c495&DisplayLang=en
このドキュメントは Excel でできており、タイトルには「Windows Server 2008」と書かれてはいるものの、Windows XP 以降のグループポリシー管理項目が、ほぼすべて掲載されています。サポートされているプラットフォームやコンポーネントで絞り込むことが可能ですし、項目を設定後に再起動やログオフが必要かどうかまで記載されているため、非常に便利です。
以前公開されていた、以下のドキュメントでは絞り込みができなかったので、ぜひとも上記ドキュメントを使用してください。
Group Policy Settings Reference Windows Vista(以前のバージョン)http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-3328-4350-ade1-c0d9289f09ef&DisplayLang=en
すでにMVPの皆さんのblogでも報告されていますが、あらためてご報告します。WSUS 3.0 日本語版がリリースされました。
残念ながら日本語版のOverViewがリリースされていないので、ここで簡単にWSUS3.0 の新機能についてご紹介しておきます。
1. 管理コンソールの MMC スナップイン化従来 Web インターフェースで提供されていた管理コンソールが、スナップインとして Microsoft 管理コンソール (MMC) 3.0 から使用できるようになりました。これにより、コンソールの操作性が格段に向上しただけでなく、ローカル コンピュータに加えてリモートの WSUS サーバーを同じコンソールから管理することができます。2. インストールの簡略化と WSUS 2.0 からのアップグレードWSUS 3.0 のインストールは、ウィザードをたった 8 回クリックするだけで完了します。また、既存の設定を残したまま WSUS 2.0 から WSUS 3.0 に簡単にアップグレードができるほか、WSUS 2.0 を残して WSUS 3.0 のダウンストリーム サーバーとすることも可能です。なお、SUS からのアップグレードはサポートされませんので、いったん WSUS 2.0 にアップグレードしてから WSUS 3.0 にアップグレードするか、SUS を削除してから新しく WSUS 3.0 をインストールしてください。3. WSUS サーバーの監視と管理機能の強化WSUS 3.0 ではイベント ログにサーバー状態の詳細な情報を報告できるようになりました。Microsoft Operations Manager 2005 をお持ちの場合には、管理パックを使用して WSUS サーバーを監視することもできます。また、電子メールによる報告機能により、新しい更新プログラムに関する通知やサーバーの状態レポートを手元のコンピュータで受け取ることができます。そのほか、クリーンアップ ウィザードにより、古いコンピュータや更新ファイルの削除が簡単に行えるようになりました。さらに、WSUS 3.0 の管理対象コンピュータを複数のグループに所属させることができるようになりました。グループには階層構造を持たせることができ、上位グループに承認すれば、下位グループに承認が継承されます。4. レプリカ サーバー管理の改善WSUS を再インストールせずに匿名モードからレプリカ モードにサーバーを変更でるようになりました。また、ダウンストリーム サーバーの言語設定を独自に指定できるため、アップストリーム サーバーではすべての言語をダウンロードし、レプリカ サーバーでは日本語のみをダウンロードさせるといった運用が可能になりました。さらに、ダウンストリーム サーバーとの同期を最短 1 時間に 1 回とすることができるようになりました。5. 承認機能の強化WSUS 3.0 の自動承認ルールにより、ダウンロードした更新プログラムを、製品単位またはクラス単位で自動的に承認することができるようになりました。また、複数の承認ルールを作成することができるので、運用に合わせた細かい承認ルールを設定することができます。6. レポート機能の強化ダウンストリーム サーバーとその配下のコンピュータに対する更新プログラムの配布状況をアップストリーム サーバー上のレポートに含めることができるようになりました。また、同期レポートは、印刷可能な形式で表示したり、Excel 形式および PDF 形式で保存することができます。また、読み取り専用レポート機能により、レポートを参照するだけのユーザーを設定することができます。7. パフォーマンスと信頼性の向上WSUS 2.0 と比較し、レポート作成の性能が最大 50%、同期性能が最大 40% 向上しました。また、ネットワーク負荷分散 (NLB) と SQL Server クラスタのサポートにより、可用性を向上させることができるようになりました。このほか、API の強化により、WSUS にアクセスする独自のアプリケーションを作成することができます。最もわかりやすい?例で言えば、System Center Essentials 2007 の更新プログラム管理機能は、WSUS 3.0 のAPIを使用して開発されています。
今後、スクリプトを使用した管理事��を掲載したいと思いますので、興味のある方は楽しみにしてください。
WSUS 3.0 のダウンロードはこちらから。WSUS 3.0 のテクニカルライブラリはこちらから。
WSUS を管理するスクリプトをお探しの皆さんへ。
残念ながら JP の Script Center には公開されていませんが、USサイトには WSUS 関連のスクリプトが掲載されています。
今後、Script Center を含め US サイトとJP サイトの連携が強化される予定です。まだ詳細は私も把握していませんが、個人的にも大いに期待しています。ちなみに、US の Script Center は MSDN ライブラリのようなツリー構造で、かつスクリプトの検索もできるようになっています。RSSも有効なので、最新のスクリプトがすぐに把握できて便利です。
US の Script Center に掲載されているスクリプトは以下の通りです。
Windows Update│├ Client Side Management||│├ Software Update エージェントの設定画面を表示するスクリプト vbs│├ Software Update ウィザードの起動 vbs│├ 特定のアップデートモジュールを適用する vbs││ ※Exception がプロパティエラーになりますね│├ 自動更新の設定を表示する vbs ││ ※このスクリプトは、Tales from the Script で詳しく解説されています│├ Windows Update エージェントに設定されているプロキシーを表示する vbs│├ Windows Update エージェントの更新プログラムの検索に関する動作環境を表示する vbs│├ Windows Update エージェントの接続先sサーバ等に関する動作環境を表示する vbs││ ※RedirectURL と UIPluginClsid はプロパティエラーになりますね...│├ Windows Update エージェントの現在の状態を表示する vbs│├ 更新の履歴を表示する vbs│| ※Exception と UnmappedException はプロパティエラーになりますね...│├ 更新スケジュールの変更 vbs│├ ドライバーの更新があるかどうかを検索する vbs││ ※1行目の @ はエラーになるので @だけ削除してから実行しましょう│├ ソフトウェアの更新があるかどうかを検索する vbs│└ 更新IDを指定して、更新プログラムをアンインストールする vbs│└ Server Side Management | ├ Active Directory からOU情報を取得して WSUS の管理グループとしてインポートする PowerShell │ ※これ、面白いです。PowerShell だと、短いですなぁ。 ├ 承認された更新プログラムの一覧を表示する PowerShell ├ コンピュータが所属していない管理グループを削除する PowerShell ├ 再起動を要求されているコンピュータの一覧を表示する PowerShell ├ 独自に作成した更新プログラム(MSPファイル)を配布する PowerShell ├ WSUS 3.0 のデータベースを整理して性能を改善する T-SQL │ ※WSUS2.0では動かないようです ├ WSUS 3.0 で構成されたすべてのノードのサーバー情報を表示する PowerShell ├ WSUS 3.0 サーバーの管理コンピュータに関するサマリ情報を表示する PowerShell └ WSUS 3.0 サーバーと Windows Update サイトの同期を開始する PowerShell
参考サイトMSDN Windows Server Update Services http://msdn2.microsoft.com/en-us/library/bb267810.aspxTales from the Script 2005/07 http://www.microsoft.com/japan/technet/community/columns/scripts/sg0705.mspxHey, Scripting Guy 2004/09 http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/sept04/hey0929.mspxHey, Scripting Guy 2005/08 http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/aug05/hey0824.mspxサポート技術情報 Windowsupdate.log ファイルの解釈 http://support.microsoft.com/kb/902093/jaWSUS Product Team Blog http://blogs.technet.com/wsus/default.aspx
埋もれてしまいがちなドキュメントを紹介するコーナーです。
以前、ADFS と Siteminder との 連携による SSO ( single sign on ) の実現に関するドキュメントをご紹介しました。http://blogs.technet.com/junichia/archive/2007/05/22/adfs-siteminder-web-sso.aspx
今回新たに IBM社のTivoli との連携に関するドキュメントが公開されました。
Federation with IBM Tivoli Federated Identity Manager ステップバイステップ ガイドhttp://www.microsoft.com/downloads/details.aspx?FamilyID=c6f6d212-5625-4922-896f-6b6a3921dfd4&DisplayLang=en
このドキュメントのアブストラクトは以下のとおりです。
「WS-Federation Passive Requestor Profile により、ADFS は WEB システムのシングルサインオンを実現しています。もちろん、相手側は WS-Federation Passive Requestor Profile をサポートしていらば ADFS 環境である必要はありません。 IBM Tivoli Federated Identity Manager ( TFIM ) は Tivoli Access Manager の SSO 拡張機能ですが、これも WS-Federation Passice Requestor Profile をサポートしています。 これにより、ADFS と Tivoli の SSO による相互運用が可能になります。このステップバイステップを使用すれば、ADFS と TFIM をどうのように設定すれば SSO が可能になるかがわかります。」
2007年6月25日に行われた Security and Management Conference の模様が WebCast で配信開始されています。
当日のセッションは以下の通りです。まずは1時間程度のビデオをご覧いただき製品概要を把握していただくと、次のステップに進みやすいと思います。
Management 系├ IT 投資効果を最大化する DSI ~仮想化、自動化そしてモデリング~├ 管理者不足の小規模環境管理に最適のソリューション System Center Essentials のご紹介├ Systems Management Server 導入による IT ガバナンス支援と、次期バージョン System Center Configuration Manager の新機能について└ 企業内の IT サービス環境を包括的に管理する System Center Operations Manager 2007
Security系├ Windows プラットフォームセキュリティの重要性と Forefront 導入のメリット├ Forefront for Exchange Server、MOSS の導入によるセキュアな情報共有管理基盤├ 包括的なセキュリティ運用環境を実現する Forefront Client Security└ Forefront 製品群導入のメリット、ライセンスとサポート体制について