-
皆様、こんにちは
今回も引き続き、Windows 2000 からの移行に関する話題です。
これまで移行に関する記事をいくつか投稿してきました。今までの 移行関連エントリーは、このリンク(Windows 2000 からの移行)からご覧いただくことができます。
[ブローシャ]
今回の1つ目は、ブローシャです。
来年の7月以降、Windows 2000 Serverを使い続けると何が起きるのか。
Windows 2008 や 2008 R2 など新しい Windows Server を使うと、どうしてコスト削減ができるのか、セキュリティが向上するかについてお話してきました。
このような話題をブローシャにまとめました。
それが、「Windows 2000 Server をお使いの皆様」です。
10月末の ITPro Expo や弊社営業、パートナー様を通じてこのブローシャをお配りしていますが、1000部単位での増刷が続いています。100部単位で入手を希望されるパートナー様もいらっしゃいます。(ありがとうございます)
ブローシャを直接お配りするのは限界がありますので、ここで電子データで先行的に公開することにしました。
- Windows 2000 をご利用いただいている IT 部門の皆様
- Windows Server を展開いただいている パートナーの皆様
にご覧いただきたい内容です。
Windows 2000 移行ブローシャ(PDF)のダウンロードは以下のリンクをクリックしてください。
是非ご活用いただければ幸いです。
[セミナー]
Windows 2000 Server のアップグレードに関連して、先日 (11/13)「Windows 2000 Server アップグレードセミナー ~Windows Server 2008 R2 への移行方法と、新機能の利用メリット~」と題するセミナーを新宿で開催しました。100名の定員が、ほぼ一杯になるご登録をいただきました。
そこで、あらためて 12/11(金)に同じ内容で開催することにいたしました。
このセミナーでは、Windows 20008 /2008 R2 への移行メリット、Windows 2000 Server の移行方法のほか、パートナー様より、Windows 2008 への移行のコツを SI の実績からお話しいただきます。また、新サーバーへ移行したくても予算不足のためプロジェクト化に進めないお客様のため、サーバーレンタルプランのご紹介もいただきます。サーバーレンタルはリースと比べ、中途解約が可能、資産計上が不要などのメリットがあるそうです。
詳しい説明や、登録方法に関しては以下のリンクをご参照ください。
https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032431284
今回のエントリーは以上です。ではまたお会いしましょう。
石澤史明
-
皆さん、こんにちは。
今回は 仮想環境での Windows のライセンス認証についてご説明します。
ライセンス認証(プロダクト アクティベーションとも呼ばれます)とは、Windows に実装されている不正コピー対策のテクノロジーで、ソフトウェアを新規導入した際に認証を行う必要があります。(インストール時だけでなく短期間にハードウェア構成が大きく変わる場合には再認証が必要になる場合があります。)
従来のような物理環境では Windows を新規インストール時にライセンス認証を一度行うと、滅多なことでは再認証する必要はありませんでした。
仮想環境では、このライセンス認証が課題となる事があります。これについてよく質問をいただきますので、整理しておきたいと思います。
ゲストOS とライセンス認証の関係
Hyper-V などで仮想マシンを構成しゲスト OS を導入する場合には、各ゲスト OS ごとにライセンス認証する必要があります。
(時々質問されますが、Hyper-V ホストのペアレント OS 側 の ライセンス認証とは関係はありません。)
例えば、ゲストOS として Windows Server 2003 を導入する場合は、Windows Server 2003 用の メディア(CD-ROM)とそのメディア用のプロダクトキーを使用します。そしてインストール後に Windows Server 2003 としてライセンス認証を行う必要があります。
OS のバージョンとライセンス認証の関係
以下は、各 Windows OSのバージョン/購入形態と ライセンス認証が必要かどうかの関係です。(不要のケースは、OS 事体にライセンス認証の仕組みが実装されていません。)
<Windows Server>
・Windows 2000:不要
・Windows Server 2003 / 2003 R2:必要(VL 版のみ不要)
・Windows Server 2008 / 2008 R2:必要
<Windows Client>
・Windows 2000:不要
・Windows XP:必要(VL 版のみ不要)
・Windows Vista:必要
・Windows 7:必要
※ 3つの購入形態(OEM / FPP / VL)
・OEM:ハードウェアにプリインストールされたもの。
(ハードウェア出荷時にライセンス認証済の状態で出荷されるが、
再インストールやハードウェア構成の変更時にはライセンス認証が必要)
・FPP:店頭でパッケージの箱に入った形で販売されるもの。
・VL: ボリュームライセンス版。Open License、Select License、
Enterprise Agreement などの法人向けライセンス契約に基づき提供さ
れるもの。 (OS 一本毎ではなく、契約単位で共通のプロダクトキーが発
行)
※ Windows Server 2003 / XP のライセンス認証
VL 以外の OEM、FPP ではライセンス認証が必要です。
http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/activation.mspx
http://technet.microsoft.com/ja-jp/library/bb457054.aspx
※ ボリュームアクティベーション(VA)2.0
Windows Server 2008 / 2008 R2 / Vista / 7 の VL 版 ではVA 2.0という
ライセンス認証の仕組みを提供しており、次の2つの方法が提供されます。
・MAK 認証:
FPP のライセンス認証と同様に、インターネット上のライセンス認証
サーバーに接続 (または電話)にてライセンス認証します。
・KMS 認証:
KMS ホストと呼ぶライセンス認証サーバーを企業内に構築し、各 OS は
KMS ホストに対してライセンス認証します。
VA 2.0 の 詳細は下記 URL を 参照ください。
http://www.microsoft.com/japan/licensing/vl/activation/va/default.mspx
仮想環境によるライセンス認証の発生
仮想環境では、仮想マシンの移動や展開が容易に行われるため、ライセンス認証が頻繁に発生する可能性があります。
・P2V (物理環境から仮想マシンへの移行)
-- OS からみたハードウェア構成が大幅に変更になるため、殆どのケース
で再認証が必要。
・仮想マシンのプロビジョニング(マスターイメージから仮想マシンを展開)
-- コンピュータ固有の SID 重複を避けるためマスターイメージに Sysprep
の適用が必要であり、プロビジョニング後の起動時にライセンス認証が必要。
・仮想マシンの配置変更、構成変更
-- 別ホストへ仮想マシンを移動する場合、ゲスト OS から見たハードウェア
構成(NIC の MAC アドレス、CPU の種類など)が変わるケースがあり、
ケースによっては再認証が必要。
仮想環境では、VL 版をお勧です。Windows Server をゲストOS で利用する場合に VL 版を使用する主なメリットは次の通りです。
・Windows Server 2003 / 2003 R2 のライセンス認証が不要
・Windows Server 2008 / 2008 R2 では、KMS を使用する事により、
ライセンス認証のために都度インターネット接続や電話をする必要がない
・プロダクトキーが共通化されるので、仮想マシン毎にプロダクトキーを管理
する必要がない
関連情報
・Windows Server 2008 Hyper-V のライセンス(ゲストOS として Windows Server を使用する場合)
http://www.microsoft.com/japan/virtualization/licensing/HyperV.mspx
・既存サーバー OS の仮想化におけるライセンス(Windows Server を P2V する場合)
http://www.microsoft.com/japan/windowsserver2008/licensing-image.mspx
・Windows Server のダウングレード権
http://www.microsoft.com/japan/windowsserver2008/r2/downgrade-rights.mspx
・Virtual Desktop Infrastructure Suite (ゲストOS として Windows Client を使用する場合)
http://www.microsoft.com/japan/windowsserver2008/r2/vdi-suite.mspx
今回はライセンス認証についてはご説明しましたが、ライセンスそのもの(どういった場合にどんなライセンスが幾つ必要か)についてはご説明しておりません。こちらについては、上記 関連情報のライセンス説明、および 以前のブログ「Hyper-V(サーバー仮想化)のライセンスの理解を助ける卵理論 」もご参照ください。
http://blogs.technet.com/windowsserverjp/archive/2009/08/26/3275948.aspx
瀧本 文男
-
皆さん、こんにちは。
これまで何回か情報漏えい対策というテーマでこちらのブログに書かせていただきましたが、今回は情報漏えい対策を支援する新しいツールについてご紹介します。
Windows には情報資産を強力に保護するテクノロジーとして Active Directory Rights Management Services (AD RMS) があります。AD RMS について、よくご存じでない方のために、AD RMS のテクノロジーの特徴について簡単にまとめると以下のようになります。
・ファイル コンテンツに対するユーザーの操作権限について制御が可能
AD RMS を使用することでファイルについて、保存や印刷の禁止、コピー & ペーストなどの制御ができます。
これは情報 (ファイルやメール) が情報の所有者の手元を離れた後も、勝手に印刷させないなどの情報所有者の意志に基づく保護が可能になることを意味します。
・コンテンツのアクセスには認証が必要
1) 保護された情報には、正しく認証されたユーザーだけがアクセスできる
2) 認証には Active Directory ドメインサービスのユーザー、グループを利用 (SSO)
3) 認証した後は、認証情報をキャッシュすることが可能 (オフラインでもファイルを安全に利用可能)
※毎回認証するように構成することも可能 (オフライン利用不可の構成)
※コンテンツの参照について有効期限を設定することも可能
・ ファイルは暗号化
AES 128bit による暗号化がされています。
・ ユーザーの職責に応じた権限設定が可能
Active Directory のユーザー、グループに対し、各ユーザー、グループの持つ権限に応じた柔軟な権限設定が可能
・OS 標準のコンポーネントによる実装
Windows Vista 以降には RMS クライアントを標準搭載
Windows Server 2008 以降では RMS サービスを標準搭載
・Office Sharepoint Server との連携
MOSS との連携による RMS 設定の自動化
AD RMS についてわかりやすく解説している資料はこちらにありますので、よくご存じでない場合には、こちらの資料(ADRMS によるコンテンツ保護対策)をご覧ください。
以上、非常に前置きが長くなってしまいましたが、先日、この AD RMS の設定をファイルに対して一括で設定するためのツールがリリースされましたのでご紹介いたします。
Active Directory Rights Management Services Bulk Protection Tool
AD RMS の設定には、これまで以下の方法がありました。
・ユーザーによる設定 (ユーザーによるファイルの保護)
・Microsoft Office Sharepoint Server (MOSS) によるサーバーサイドでの自動設定
以上のような設定操作に加え、今回のツールのリリースで、特定フォルダー配下のファイルに対して、AD RMS の一括設定ができるようになります。
<Active Directory Rights Management Services Bulk Protection Tool>
ツールそのものは、コマンドラインから AD RMS の設定を行うことができるという非常にシンプルなものです。
バッチによる一括適用などには最適なツールになると思います。
「ファイルサーバーにあるファイルについて AD RMS による暗号化設定を一括で行いたい。」
「ユーザーのコンピューターの特定フォルダにあるファイルを確実に AD RMS による暗号化で保護したい。」
そういった利用にはまさしくピッタリのツールになります。
すでに AD RMS をご利用の方も、これから導入をお考えの方にも、ぜひご評価をいただければと思います。
きっと価値のあるツールであることをご理解いただけるかと思います。
須澤 英彰
-
こんにちは。先日実施された IT Pro Expo 2009 で無事 Windows Server 2008 R2 のラウンチイベントが終了しました。
私もマイクロソフト ブースで説明員として対応させていただきましたが、既に多くのお客様から Hyper-V をご利用いただいているというお話を伺い、Hyper-V 2.0 にも大変興味をもっていただいていると感じました。
そこで今回は、Hyper-V 1.0 で構築した仮想環境を Windows Server 2008 R2 Hyper-V 2.0に移行について紹介したいと思います。
Hyper-V 1.0 で動作する( Hyper-V 1.0 の統合サービスがインストールされた)仮想マシンは、そのままHyper-V 2.0 でも動作しますが、パフォーマンスの観点から、Hyper-V 2.0 の統合サービスに入れなおしていただくことをお勧めします。
※ ちなみに Hyper-V 1.0 の環境では、Hyper-V のペアレント OS のバージョンと仮想マシンにインストールした統合サービスにより、サポートするゲスト OS の種類が異なってきます。こちらの関係については、やや解りずらいですが US のサイト Version Compatibility for Integration Services(英語ページ)の表をご覧ください。
*****
仮想マシンの移行は、次の手順で行います。
1. Hyper-V 1.0 (移行元)での準備
- 仮想マシンを完全にシャットダウンする。 (※)
仮想マシンが保存状態の場合は、保存状態から復元して仮想マシンをシャットダウンします。
- スナップショットを削除または適用する。
仮想マシンに必要なスナップショットがある場合は、該当するスナップショットを適用してからシャットダウンします。不要なスナップショットは削除してください。
2. Hyper-V 1.0 から Hyepr-V 2.0 へアップグレード
- 次のいずれかの方法で、Hyper-V 1.0 の仮想マシンを Hyper-V 2.0 に移行します。
- ペアレント OS をインプレースアップグレード
- Hyper-V 1.0 でエクスポートした仮想マシンを Hyper-V 2.0 でインポート
3. Hyper-V 2.0 (移行先)での作業
- 新しい統合サービスをインストールします。
仮想マシンに接続して、[操作] メニューの [統合サービス セットアップ ディスクの挿入] を使用して vmguest.iso ファイルをマウントします。
以上で仮想マシンの移行は完了です。
(※)保存状態のまま移行してしまった仮想マシンの回避策
万が一、手順 1. で仮想マシンを保存状態のままアップグレードしてしまった場合は、次の方法で仮想マシンを救済することができます。
Hyper-V 1.0 で動作していた仮想マシンを保存状態のまま Hyper-V 2.0 の環境で動作させようとすると、エラーが表示され、仮想マシンを起動することができません。
このような場合には、Hyper-V マネージャで該当する仮想マシンを右クリックして [保存された状態を破棄] を選択します。
これにより仮想マシンを Windows エラー回復処理により起動することができるようになります。
*****
ご紹介した Hyper-V 1.0 から Hyper-V 2.0 への移行については、 KB も出ていますので合わせてご覧ください。
- KB957256:Hyper-V を使用する Windows Server 2008 から Windows Server 2008 R2 へのアップグレードの方法について
また仮想環境がクラスタ構成の場合については、こちらの TechNet のサイトをご覧ください。
伊賀 絵理子
-
皆さん、こんにちは。
気がつくと、もう 10 月の下旬ですね。11 月はウチの犬の誕生月です。いろいろありましたが、何とか無事に 1 年目を迎える事ができそうです。
ウチに来た時は、2kg しかなかった体重も 6 倍にもなり、さらにこれからの成長が楽しみな今日このごろです。。。
さて本題に移りますが、Forefront Identity Manager 2010(FIM 2010) RC1 が9/30 に提供され、ダウンロード可能になりました。
FIM 2010 RC1 のダウンロードはここから
FIM 2010 RC1 の技術情報(英語)はここから
●FIM 2010 とは
現行製品である、Identity Lyfecycle Manager 2007(ILM 2007)の次期バージョン製品で、様々なシステムと ID の同期を行い、一元的な ID 管理ができ、また証明書/スマートカード管理機能を備えた、 ID / 証明書の統合管理環境を実現する製品です。
ILM 2007 の要件や機能詳細はここからご確認ください。
これらの機能を踏襲し、さらにより使い易く拡張されたのが FIM 2010 です。
次期バージョンである FIM 2010 からは Forefront 製品群の一つとして提供される予定です。
●FIM 2010 の主な新機能とは
FIM 2010 の主な新機能は以下の通りです。
(1)ユーザー管理用のポータルの提供 (図1)
・ユーザーやグループの追加/削除など編集がポータル画面から可能
・ワークフローによる申請ベースによるユーザーおよびグループメンテナンスが可能 ・ノンコーディングによるプロビジョニング環境を提供
図1 FIM 2010 RC1 ポータル画面
(2)セルフパスワードリセット機能 (図2)
・パスワードを忘れた時にログイン画面からユーザー自身でパスワードの再設定が可能
・質問の内容や質問数および回答数は管理者が設定
・質問の回答はポータル画面から変更可能
図2 セルフパスワードリセット画面
(3)3rd パーティCA の管理用 API の提供
・ILM 2007 では、Windows CA のみ対応でしたが、 FIM 2010 から 3rd パーティのCAも利用できるように管理用APIを提供
FIM 2010 のグループ管理やパスワードセルフリセットなどは、Active Directory の管理コストを大幅に削減できる機能ではないかと思います。是非、この機会にご評価ください。
また、次の機会に FIM 2010 の機能をさらに報告できればと考えております。
中村仁吏
-
皆さん、こんにちは。
あっという間に夏が終わり食べ物のおいしい季節になってきました。今や家電や本だけでなく新米ですらインターネットで買えるというのは驚きです。
さて、10/1 の日経 BP さん主催 Web セミナー「使いやすく進化した Active Directory」にご参加いただいた方、ありがとうございました。今回は、当日ご質問いただき、時間の関係でお答え出来なかった質問に回答させていただきます。ご参加できなかった方は以下から視聴可能ですのでよろしければどうぞ。説明とデモ 15 分、QA 15 分の計 30 分です。
デモで見せる! Windows Server 2008 R2 Web セミナー
http://special.nikkeibp.co.jp/ts/article/0i0f/102969/
以下、上記セミナーで取り上げられなかった質問とその回答です。
1. Active Directory の移行について
現行の ADMT 3.1 は残念ながら Windows Server 2008 R2 の AD 環境に対応していません。2008 R2 に対応した ADMT 3.2 を 2008 R2 RTM 後 3-6 か月後、つまり 2009 年 10 月 – 2010 年 1 月頃にリリース予定です。
- Dcdiag.exe などのツールの変更はありますか?
2003 → 2008, 2008 R2 で Active Directory 周りのコマンド ライン ツール (Dcdiag, Dsquery 等) に大きな変更ありません。2008 および 2008 R2 のコマンド ライン ツールの一覧は以下にてご確認いただければと存じます。
Windows Server 2008 コマンド リファレンス
http://technet.microsoft.com/ja-jp/library/cc772390(WS.10).aspx
2. オフライン ドメイン参加について
- ブランチ オフィス サイトとセントラル サイトとのネットワークが切断されている環境でも、ブランチ オフィス サイトに配置された RODC でオフライン ドメイン参加が可能か?
残念ながら不可能です。RODC 自身へ書きこむことはできませんので、書き込みを行う際には書き込み可能な DC への通信が必ず必要となります。通信が可能な場合はドメイン参加要求を書き込み可能な DC へフォワードします。
- オフライン ドメイン参加実施時に生成される中間ファイルのサイズ
数 KB のレベルです。手元の環境では 2.48 KB でした。
- オフライン ドメイン参加の設定ファイルは 1 台に対して 1 つでしょうか? 1 つの設定ファイルで複数台の設定は可能でしょうか?
残念ながら 1 台に 1 つです。1 つの設定ファイルで複数台のオフライン ドメイン参加を実行することは出来ません。
3. Active Directory PowerShell について
- PowerShell のバッチ ファイル (.ps1) はタスク スケジューラーなどで実行できますか?
はい。実行可能です。以下のように powershell.exe へ引数としてバッチ ファイルを指定して実行します。
powershell.exe –noexist c:\scripts\test.ps1
詳しくは以下をご参照ください。
Hey, Scripting Guy! Windows PowerShell スクリプトを [ファイル名を指定して実行] ダイアログ ボックスやショートカットから実行する方法はありますか
http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/sept06/hey0926.mspx
- Active Directory PowerShell は Web サービス ベースということでしたが、アプリケーションから簡単に利用することが出来るのでしょうか?
簡単ではありませんが、技術的には可能です。仕様等詳しくは以下ご参照ください。
Active Directory Web Services Overview (英語)
http://blogs.msdn.com/adpowershell/archive/2009/04/06/active-directory-web-services-overview.aspx
[MS-ADDM]: Active Directory Web Services: Data Model and Common Elements (英語)
http://msdn.microsoft.com/en-us/library/dd304395(PROT.13).aspx
- デモで使っていたツールは PowerGUI ですか?
いえ。Windows Server 2008 R2 へ標準搭載された PowerShell のエディター、Windows PowerShell 統合スクリプティング環境 (ISE) です。実行結果を確認しながらスクリプトを作成、編集、保存することが可能です。詳しくはこちらをご参照ください。
Windows PowerShell 2.0 の強化ポイント
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/powershell.mspx#resources02
4. Active Directory ごみ箱機能について
- セキュリティ グループだけを削除し、メンバーを削除していない場合、ごみ箱機能でメンバーシップも復活しますか?
はい。復活します。
- DC01 (FSMO) でオブジェクトを削除。DC02 にはレプリケーションされていない。この DC01 でごみ箱からオブジェクトを戻した場合、 AD 同士不整合は起きないのでしょうか?
不整合は起きません。DC02 へは、オブジェクトが削除され戻された結果が複製されます。オブジェクトを削除して回復すると、Deleted Objects コンテナへ、 isRecycled 属性 True のオブジェクトが残りますのでそれが DC02 へ複製されます。
5. その他
- Small Business Server 2008 R2 の発売予定が分かれば教えてください
ご質問ありがとうございます。残念ながら現時点でリリース予定は未定です。
以上です。
セミナーが終わっても回答できるとは、これまた便利ですね、インターネット。
マイクロソフト 高田祐二
-
みなさん、こんにちは。
Windows 7 の一般発売までいよいよあと 7 日となりましたね。先日秋葉原をブラブラしているといたるところで Windows 7 の CM が流れていたり、目玉機能の紹介ポスターが貼ってあったりと盛り上がっていました。Windows Server 2008 R2 も同時発売ですのでよろしくお願いいたします (笑)
さて、以前 Windows 7 と Windows Server 2008 R2 の連携機能 BranchCache を紹介させていただきましたが、今回は DirectAccess の紹介をしたいと思います。
- DirectAccess って?
社外に持ち出したモバイル PC をインターネットに接続するだけで、社内ネットワークと同様の環境を実現する仕組み。そういわば VPN みたいなリモート接続環境を提供する機能のことです。
- VPN とはここが違う!3 つのポイント
1. インターネットに接続するだけで、自動で社内ネットワークに接続!
2. セットアップは自動で完了!グループポリシーベースの設定!
3. イントラネットへのアクセスとインターネットへのアクセスの分離!
- DirectAccess の接続プロセス
DirectAccess クライアントが社外にいるのか社内にいるのかの確認
DirectAccess クライアントがネットワークに接続されると、管理者が指定したイントラネット Web サーバー*に接続を試みます。Web サイトにアクセスできれば、DirectAccess クライアントは社内ネットワークにいると判断し、DirectAccess の接続プロセスを終了します。つまり、通常の通信を行います。一方、Web サイトにアクセスできなければ、DirectAccess クライアントはインターネットに接続されていると判断し、DirectAccess の接続プロセスを続行します。(*DirectAccess クライアントの位置を確認するための Web サイトを「ネットワークロケーションサーバー」と言います)
DirectAccess サーバーへの接続
DirectAccess クライアントから DirectAccess サーバーに接続します。その際の接続方法は以下の 4 つです。DirectAccess クライアントがインターネットに接続した際に割り振られる IP アドレスによって自動で選択されます。
・IPv6 アドレスが割り振られた場合→IPv6 で接続
・パブリック IPv4 アドレスが割り振られた場合→6to4 で接続
・プライベート IPv4 アドレスが割り振られた場合→Teredo で接続
・ファイアウォールによって、6to4 や Teredo がブロックされている場合
→IP-HTTPS で接続
DirectAccess サーバーに接続後は、DirectAccess クライアントと DirectAccess サーバーが、コンピューター証明書を使用して相互認証を行います。接続が確立すると、Active Directory で適切なアクセス権が設定されているコンピューターやユーザーに DirectAccess を通じて接続を許可します。
- システム要件
Direct Access クライアント:
・Windows 7 Enterprise, Ultimate (ドメイン参加済み)
Direct Access サーバー:
・Windows Server 2008 R2 Standard 以上 (Server Core 不可、NIC が 2 枚以上)
その他の要件
・Windows Server 2008 SP2 以降のドメインコントローラーと DNS が最低 1 台必要 (スマートカード認証を行う場合は、2008 R2 が必要)
・IPv4 の内部ネットワークで利用する場合は、接続サーバーで ISATAP を有効化するか、ネットワーク機器 (NAT-PT) または Unified Access Gateway (UAG) が必要。
いかがでしたでしょうか? Windows Server 2008 R2 + Windows 7 で実現する新機能 DirectAccess を使うと、社外から社内ネットワークに簡単にアクセスすることができます。もちろん通信は IPsec によって暗号化されていますのでセキュリティも確保されています。次回の私の担当では発展編として DirectAccess の設定方法について紹介したいと思います。
マイクロソフト株式会社
竹内宏之
-
みなさん、こんにちは
昨日の台風ですが、皆さんご無事でしたでしょうか?
私が通勤に利用する路線は朝から15時まで運休で、自宅待機をしておりました。午前中は、電鉄会社のホームページを見てもタイムアウトでつながりにくいし、ほとんど仕事になりませんでした。出社をあきらめてからは、やっと仕事モードになりましたが。
さて、今回もしつこく Windows 2000 Server 移行のお話です。
■Windows 2000 サポート終了
マイクロソフトの Windows Server のブログでも、先日改めてサポート終了の記事が掲載されました。
Windows Server Division WebLog : Support changes coming July 2010 for Windows 2000 Server and Windows Server 2003
ここでは
-
Windows 2000 Server の延長サポートは 2010年7月13日で終了となり、”Self-Help Online Support”の利用のみが継続される
-
同様に Windows 2003, 2003 R2 はメインストリームサポートから、延長サポートフェーズに入る。セキュリティのホットフィックスは継続して提供される。
といった内容が書かれています。Windows 2000 の ”Self-Help Online Support” とは自分自身で解決するためのサポート、つまりナレッジベース等のリソースのみが利用可能ということです。
延長サポート中はマイクロソフトと特別な契約を行わない限り、セキュリティ問題以外のHotFixは提供されません。これが来年7月以降の Windows 2003 / 2003R2です。
また、延長サポートが終了すると、セキュリティ更新プログラムの提供も終了となります。これが、来年7月以降の Windows 2000 Server です。
では、最近1年間、どれくらいのセキュリティ更新プログラムが提供されているのか調べてみました。以下のグラフをご参照ください。
Windows 2000 の 2008年10月から2009年9月までのセキュリティ更新件数
緊急、重要だけで見ても毎月いくつかのセキュリティパッチが提供されていることがお分かりいただけると思います。
たとえば以下のような脆弱性の修正が行われました。
2009 年 9 月 :TCP/IP パケットを悪用した DoS 攻撃により、サービスが提供できなくなる可能性
2009 年 8 月 :リモート デスクトップ接続が悪用され、リモートから悪意のあるコードが実行される可能性
2009 年 6 月 :Windows カーネルを悪用し、完全なユーザー権限を持つ新たなアカウントが不正に作成される可能性
2009 年 1 月 :SMB プロトコルが悪用され、リモートから悪意のあるコードが実行される可能性
2008 年 10 月:不正な RPC リクエストにより、リモートから悪意のあるコードが実行される可能性
2008 年 10 月:ドメイン コントローラーの機能を悪用し、リモートから悪意のあるコードが実行される可能性
延長サポートの終了とは、このセキュリティパッチが来年2010年7月14日以降提供されなくなるということです。セキュリティはウィルスチェックソフトだけでは守れません。ぜひ、早めの移行をお願いします。
■移行メリット
では、Windows 2000 から 2008 あるいは 2008 R2 へ移行する場合、どのようなメリットがあるのでしょう?
Windows 2000 でよく使われる機能は、AD、ファイルサーバー、プリントサーバー、DHCPサーバーといった基本機能だと思います。次に、これらの機能が標準のWindows Server やWindows CALのライセンスだけでどこまで使えるか、とくに Windows 2000ユーザーの皆様に評判の良い機能をお伝えしたいと思います。
ファイルサーバー機能
DFS-N(DFS名前空間)
ファイルサーバーの共有名にサーバーを指定する必要がなくなります。
ファイルサーバーの移行に合わせて名前空間も統合してはいかがでしょう?
DFS-R(DFS レプリケーション)
既存のファイルサーバーにもう1台ファイルサーバーを配置し、
ファイルの複製をおこないます。サーバーやネットワーク障害時に
複製先のファイルサーバーへ切り替えることもできます。
参考ブログ記事:ファイルサーバーを簡単に冗長化!!
フォルダ単位のQuota管理機能
フォルダ単位に、ユーザやグループへの保存サイズの上限を指定できます。
シャドーコピー
ファイルサーバー上で削除してしまったファイルをユーザが復活できます。
詳細はファイルサーバーの簡易提案書シリーズの「ファイル サーバー使い倒し術」資料にありますので、ぜひご参照ください。
Active Directory 機能
ADデータベースのスナップショット
ドメインコントローラのデータベースのスナップショット(バックアップ)を
取得し、必要に応じてLDAPクライアントから表示できる機能です。
ドメイン機能のサービス化
OSを再起動することなくADのDBメンテナンスが行えます。
ActiveDirectory管理センター
Windows Server 2008 R2 の新ツール。
ユーザーの追加、パスワードリセットといった日常業務が直感的に
操作できます。
そのほかにも
Windows Server 2008 R2 のDHCPサーバーでは正式にMacAddressフィルタリングがサポートされました。
参考ブログ記事:DHCP サーバーも着実に進化してます
Windows 2000 ユーザーの皆様にお伝えしたい機能はまたあらためて纏めたいと思います。
本日の記事は以上です。ではまたお会いしましょう。
石澤史明
-
みなさん、こんにちは。今回は NAP(ネットワークアクセス保護)についての幾つか役に立つ情報・機能をご紹介します。
Windows 7 ではアクションセンターと連携
Windows XP, Vistaでは、NAP(Windows 標準 SHA/SHV)はセキュリティセンターと連携して動作していましたが、Windows 7 ではアクションセンター(セキュリティセンターの後継)と連携します。従来のセキュリティセンターではユーザーが NAP の状態を確認する事はできませんでしたが、Windows 7 アクションセンターでは、クライアントが制限された場合、NAP ステータスが表示され、アクションに誘導されるようになっています。
NAPSTAT で通知メッセージを再表示
NAP クライアントの状態が変化した時合(正常性評価 OK → NG、NG → OK)にタスクバーに通知メッセージが表示されますが、カーソルが別の場所にあると数秒後に消えてしまいます。NAPSTATコマンドを使えば、これを再度表示させることができます。NAP の動作確認の際に便利ですので、覚えておくと便利です。
SCCMで Windows Server を NAP クライアントに
Windows Server 2008 / 2008 R2 には NAP エージェント(Network Access Protection Agent サービス)が搭載されています。ただし、Windows Server には、セキュリティセンター/アクションセンターが搭載されていないため、OS 標準だけでは Windows SHA が利用できず NAP クライアントとして利用できません。SCCM (System Center Configuration Manager)を利用すれば、Windows Server を NAP クライアントとして利用できるようになります。SCCM 2007 R2 では NAP 用の SHA/SHV が提供されており、Windows Update / WSUS で扱えない更新プログラムの配布ができます。
実は私は仕事柄 Windows Server 2008 R2 をデスクトップ OS として使っているのですが、弊社の IT 部門は私の PC も取りこぼすことなく、NAP、SCCMでしっかり管理しています。
* SCCM SHA が英語なのは、ワールドワイドで統一管理されているため
[参考情報]
Configuration Manager のネットワーク アクセス保護(Technet)
http://technet.microsoft.com/ja-jp/library/bb693725.aspx
Windows XP への SP3 適用はお早めに
Windows XP SP2を使用されている方も多いかと思いますが、SP2(サービスパックとして)のサポートライフサイクルは 2010年7月までです。SP3 の適用に合わせて NAP の導入はいかがでしょうか?
[参考情報]
Windows XP のプロダクト サポート ライフサイクル
http://support.microsoft.com/lifecycle/?c2=1173
SoH の中身は?
SoH(Statement of Health, 状態ステートメント)は、NAP クライアントが自身の正常性状態を NPS(ネットワークポリシーサーバーに提示するメッセージです。SoH は DHCP 実施の場合は DHCP プロトコル、802.1実施の場合は PEAP に埋め込まれる形で、実施ポイント(DHCP サーバーや 802.1xスイッチ経由で)NPS に渡されます。これら標準プロトコル内に、メッセージを埋め込む事で、既存のネットワーク機器に特別な対応が必要ないように配慮されています。なお、この SoH メッセージ、プロトコル拡張の仕様は MSDN にて公開されていますので、興味のある方は参照してみてください。
[参考情報]
・NAP SoH and SSoH Messages
http://msdn.microsoft.com/en-us/library/aa506353.aspx
・Dynamic Host Configuration Protocol (DHCP) Extensions for NAP
http://msdn.microsoft.com/en-us/library/cc227316(PROT.13).aspx
以上、NAP に関するもろもろの情報を記載させていただきました。粒度がバラバラで申し訳ありません。
なお、NAP についてご存知ない方は、製品サイトを参照ください。
・Windows Server 2008 NAP
http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx
・Windows Server 2008 R2 NAP
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/network-access-protection.mspx
瀧本 文男
-
皆さん、こんにちは。
今回は Active Directory の機能、特に情報漏えいの対策として利用できるグループ ポリシーの機能を中心にご紹介させていただこうと思います。
今回は リムーバブル記憶装置の制御について OS のバージョンごとに簡単に整理してご紹介します。
まず、はじめに Windows XP についてです。
「情報漏えい対策ガイド」というホワイトペーパーを御存知でしょうか?
結構前 (2005 年公開) の資料ですが、意外と使える情報が掲載されています。
<情報漏えい対策ガイド>
こちらのホワイトペーパーの主な内容としては以下のような項目があります。
3. リムーバブル記憶装置の使用制限
4. 暗号化ファイルシステム (EFS) による情報漏えい対策
5. Active Directory に格納されている個人情報を隠す
項目中 EFS による暗号化というのは、なかなか導入が難しいところがありますが、それ以外、特にリムーバブル記憶装置の使用制限については、グループ ポリシーのカスタム ADM テンプレートもついており、導入が非常に容易です。
Windows Vista 以降では標準でリムーバブル記憶装置の制御をするためのグループポリシー設定項目が存在しますが、Windows XP の場合には標準の設定項目として存在しません。この情報漏えい対策ガイド付属の ADM を使えばグループポリシーの設定項目として Windows XP の端末についてもリムーバブル記憶装置を制御できるようになります。
以下のスクリーンショットは情報漏えい対策ガイドに付属の ADM を追加することで利用できるグループ ポリシーの設定項目です。
<情報漏えい対策ガイド付属の ADM>
こちらは [コンピューターの構成] としてコンピューター単位で設定可能な内容になりますが、リムーバブル記憶装置の使用禁止、もしくは書き込みのみ禁止など、基本的な制御はできるということがおわかりいただけるかと思います。
次に、Windows Vista /Windows 7 についてです。
Windows Vista 以降では、デバイスのインストールについてより柔軟に管理できます。たとえば、基本的にはデバイスの追加を許可しないように構成した上で、特定メーカーの特定機種についてはインストールを許可するように構成することができます。設定は標準のグループポリシーの設定項目として存在します。以下のスクリーンショットのような設定項目が存在します。
<デバイスのインストール制御>
こちらでは、デバイスドライバーのインストールについて制御が可能です。
こちらのポリシーではデバイスドライバーのインストールが既にされているものについては制御できませんが、デバイスドライバーがインストールされる前であれば、デバイスドライバーのインストールについて制御できます。
また、デバイスの ID による例外の設定も可能で、たとえば特定メーカーの特定の機種についてはインストールを許可するということも可能です。
<リムーバブル記憶域へのアクセス制御 (コンピューターポリシー)>
こちらでは、リムーバブル記憶域へのアクセスについて制御できます。
読み取り、書き込みなどの操作についてデバイスの種類ごとに制御できます。
<リムーバブル記憶域の制御 (ユーザーポリシー)>
こちらもリムーバブル記憶域へのアクセスについての制御ですが、ユーザーごとに設定することができます。
最後に Windows 7 (Enterprise,Ulitimate) のみで利用可能な機能について紹介します。
Windows 7 では、BitLocker To Go というリムーバブル記憶域において、暗号化することが可能な機能がサポートされました。こちらの機能についてもグループポリシーで制御できます。
たとえば、BitLocker To Go で暗号化されていないリムーバブル記憶域にはデータの書き込みは許可しないという設定を強制することができます。
<Windows 7 BitLocker To GO の制御>
Windows 7 の場合には、暗号化されていないリムバーブル記憶域への書き込みなどの制御が可能です。
今回は情報漏えい対策というところで Active Directory を活用したリムーバブル記憶域の制御についてご紹介しました。
特に「情報漏洩対策ガイド」についてはぜひ、内容についてご確認いただければと思います。
マイクロソフト株式会社
須澤 英彰
-
こんにちは。今回はちょっとクライアントよりの内容を書きたいと思います。
先週の記事 [新しいシンクライアントの形 - VDI との付き合い方] で書かれていますが、最近「シンクライアント」を実現するためのソリューションとして、クライアント OS を仮想化して動作させる VDI (仮想デスクトップインフラ) 方式が、にわかに注目を集めてきています。
シンクライアントを実現するためのソリューションは多様で、これまでにもブレード PC 方式やターミナルサービスを利用したサーバーベース方式などが提供されてきました。
これら各方式の特徴を知り、利用環境に応じて最適なソリューションを選んでいただくべく、今回はシンクライアントの実装方式の違いを整理してみます。
シンクライアントの実現方式には、次のとおり大きく 3 種類の方式があります。
- ターミナルサービス方式(Windows リモートデスクトップ サービス)
・・・サーバー上でアプリケーションを実行します。
- VDI 方式(Microsoft VDI)
・・・クライアント OS を仮想サーバー上で実行します。
- ブレード PC 方式
・・・PC ハードウェアをブレード化して物理的に集約します。
それぞれの方式の特徴をまとめたものが、こちらのスライドになります。
どの方式を選択するかは、利用するアプリケーションやパフォーマンス要件などから決定していきます。
その際の考え方として、基本的にはターミナルサービス方式から検討されることをお勧めします。理由としては、3 方式のなかでターミナルサービス方式が最も集約率が高く、コストメリットがあり、実績も豊富であるからです。
ただターミナルサービス方式には対応アプリケーションの制約があるため、全てのアプリケーション環境に対応できない可能性があります。
そのような時には、App-V for TS を使うことにより回避できます。
詳しくは、以前の記事 [デモ キット第三弾 Windows Server 2008 ターミナル サービス + App-V for TS デモ動画] で紹介しているのでご覧ください。
また、全てのクライアント環境をシンクライアント化するのではなく、必要なアプリケーションのみをシンクライアント化するという方法もあります。
シンクライアントとリッチクライアント(通常のクライアント OS)には、次のスライドに示すような特性があります。各業務の特性にふさわしい環境を柔軟に取り入れることにより、最適な環境を構築することができるのです。
シンクライアントの導入をご検討の際には、参考にしていただけると幸いです。
伊賀 絵理子
-
今回は、Active Directory 環境下の Windows Server と Windows クライアントの機能を使ったソリューションを 1 つご紹介します。
ノート PC を抱えて支社・支店を頻繁に行き来するユーザーがいる組織は少なくないと思います。特に組織の規模が大きくなればなるほどその傾向は強まるでしょう。その時のユーザーと IT 部門双方にとっての悩みの一つが、プリンタです。
当然、普段良く使うプリンタは自分の PC に登録しているとして、全ての支社・支店のプリンタを完全登録している方は恐らくいないでしょう。したとしても、いざという時にどれがどこのプリンタか分からなくなってしまうこと請け合いです。
だからと言って、支社・支店でプリンタを使う度に一から登録作業をしていては時間がもったいないですね。それに、出張先でプリントアウトをしなければいけない時に限って、時間が無かったりするものです(資料を印刷し忘れてたとか)。
そこで役立つのが、タイトルにある「PC の配置場所に応じて、接続するプリンタを自動的に切り替える」方法です。
予めお断りしておきますが、クライアント PC の設定でなんとかする、という方法ではありません。Active Directory の機能(サイト単位でのグループポリシー)を利用することで、クライアント PC 上では一切何もすることなく、予めグループポリシーで設定されているプリンタを自動的に登録し、それ以外のプリンタは自動的に登録解除するというものです(自分で手動で登録したプリンタは除く)。
さらに、グループポリシーでも 2 つの方式があり、以前この blog でもご紹介したグループポリシー基本設定を利用する方法と、従来からあるグループポリシーの項目「展開されたプリンタ」を利用する方法があります。
それぞれの概要を一覧にするとこんな感じです。
| 方法 | 対応 OS | クライアント PC へのモジュール追加 |
| グループポリシー基本設定 | Windows XP SP2 以降 | 必要 |
| グループポリシー項目「展開されたプリンタ」 | Windows 2000 以降
(2000 では一部制限あり) | 不要 |
グループポリシー基本設定自体は前回ご紹介しましたので、今回は、従来からある設定方法によるプリンタの展開方法をご紹介しますが、それぞれの方法はグループポリシーのいじる部分が異なるだけで、サイト単位でのグループポリシーを構成するという大枠の考え方は、どちらも同じです。
それでは、設定手順をご説明しますね。
【ネットワーク構成】
まず、このシナリオのネットワーク構成です。Active Directory が導入済みのとある企業があるとします。この企業には東京本社と大阪支社の 2 つの拠点があり、それぞれのネットワークはサブネットで分かれていて、Active Directory のサイト分けがなされています。そして 2 つのサイトにそれぞれのグループポリシーがリンクされているものとします(手順が長くなるので、サイト分けとグループポリシーのリンク手順は割愛させていただきます。この辺りの設定は Active Directory の技術資料をご参照ください)。
そして、東京本社には「FX DC-II C4300」というプリンタが、大阪支社には「Canon LBP 5970」というプリンタがあり、それぞれの拠点サーバー(ここではドメインコントローラーと兼用)にてインストールが済んでいます(プリンタはあくまでもサンプルです。これが推奨機というわけではありません)。
クライアント PC は、東京本社でネットワークに接続した時には「FX DC-II C4300」を、大阪支社でネットワークに接続した時には「Canon LBP 5970」を自動的に登録し、ユーザーはプリンタの登録作業をすることなく、それぞれのネットワークに接続するだけで直ぐに印刷ができることがゴールです。
【設定手順】
それでは手順をご紹介します。
まず、グループポリシーに展開対象のプリンターを登録します。この手順では、Windows Server 2003 R2 以降に標準で含まれている管理コンソール「印刷の管理」を利用しますが、グループポリシーの [展開されたプリンタ] 項目に直接共有プリンタを設定することで、下記手順と同等のことが行えます。
「サーバーマネージャー」(Windows Server 2008 / 2008 R2 の場合)、または「印刷の管理」(Windows Server 2003 R2 の場合)スナップインを起動し、左側のツリーを [印刷の管理]-[プリント サーバー]-<サーバー名>-[プリンター] と展開します。中央のペインで、登録されているプリンタを右クリックし [グループ ポリシーの展開] をクリックします。
すると下のダイアログが表示されます。ここで [参照] ボタンをクリックします。
ポップアップでグループポリシーを選択するダイアログが表示されますので、プリンタを登録したいグループポリシーを選択します。ここでは、大阪支社のプリンタ「Canon LBP 5970」を大阪支社の配下にいるクライアント PC に展開したいので、大阪支社サイトにリンクされているグループポリシーを選択し、[OK] をクリックします。
元のダイアログに戻り、[この GPO が適用されるコンピューター(コンピューターごと)]にチェックを入れて、[追加] ボタンをクリックし、[OK] ボタンをクリックしてダイアログを閉じます。これにより、このサイトの配下にある PC はすべて(どのドメインユーザーかに関わらず)このプリンタが展開されるようになります。
※ Windows 2000 はユーザーごとのプリンタ登録のみサポートしていますので、対象に Windows 2000 クライアントが存在する場合は、「ユーザーごと」を選択する必要があります。
複数のグループポリシーに対して設定する場合は、この手順を繰り返し、最後に [OK] ボタンをクリックします。
すると、グループポリシーにプリンタの設定が書き込まれ、結果が表示されます。
実際にグループポリシーを確認してみると、このように設定されているのが分かります。
これと同じ手順を、東京本社のサイト GPO に対しても実施します(ここでは省略します)。
展開対象のクライアント PC が Windows Vista / 7 のみでしたら、以上で設定は完了ですが、Windows 2000 / XP / Windows Server 2003 に対しても展開する場合には、サーバー側で追加の設定が必要になります。
追加の設定は、Pushprinterconnections.exe というモジュールをスタートアップスクリプト or ログオンスクリプトに登録するというものです。これにより、クライアント PC 起動時に実行されるこのモジュールが、グループポリシーに設定されているプリンタの情報を読み取って、自動的にプリンタを登録します(Pushprinterconnections.exe は、Windows Server 2003 R2 管理パックに含まれています)。
追加の設定手順については、補足として下の方にまとめていますので、Windows 2000 / XP / 2003 が対象に含まれている場合にはご参考になさってください。対象が Windows Vista / 7 のみの場合には、このモジュールに相当する機能が標準で組み込まれているため、サーバー側で追加の設定は不要です。
では改めまして、まず東京本社(東京サイト)のネットワークに接続した状態で Windows 7 クライアントを起動し、ドメインユーザーでログオンした結果が、下のスクリーンショットです。
続いて、ネットワークを大阪支社(大阪サイト)に切り替えて再起動した後のスクリーンショットです。
このように、接続されたネットワークに応じて、自動的にプリンタ接続が切り替わっているのがお分かりいただけると思います。コマンドプロンプトのウィンドウに表示されている gpresult コマンドの実行結果にあるように、ちゃんとサイトごとに分けたグループポリシーを読み込んだ結果、その設定が適用されたわけです。
【補足】
Pushprinterconnections.exe を使用して、Windows 2000 / XP / 2003 にプリンタを自動展開する場合に必要なサーバー側の追加手順です(本手順の実行前に、予め Pushprinterconnections.exe を用意しておきます)。
展開対象のプリンタが設定されているグループポリシーを開き、[コンピューターの構成]-[ポリシー]-[Windows の設定]-[スクリプト(スタートアップ/シャットダウン)] を開き、右側のペインの [スタートアップ] をダブルクリックして開きます。
「スタートアップのプロパティ」で、[ファイルの表示] をクリックします。
エクスプローラーのウィンドウが表示されるので、ここに Pushprinterconnections.exe を配置します。
「スタートアップのプロパティ」ダイアログに戻り、[追加] ボタンをクリックし、[スクリプト名] テキストボックスに Pushprinterconnections.exe と入力し、[OK] ボタンをクリックします。
以上で、次回クライアント PC の起動時に、自動的に Pushprinterconnections.exe が実行され、プリンタが登録されるようになります。
なお、Pushprinterconnections.exe は、Windows Vista / 7 上で実行した場合は、自動的に終了するようになっていますので、プリンタの登録が二重に実行されたり、エラーが表示されたりといった心配はありません。
【参考情報】
以下に Windows Server でのプリンタの構成管理に関する参考 URL を挙げておきます。
ステップ バイ ステップ ガイド - Windows Server 2008 の印刷の管理
http://technet.microsoft.com/ja-jp/library/cc753109(WS.10).aspx
Windows Server 2003 R2 印刷の管理機能の概要
http://technet.microsoft.com/ja-jp/library/cc758932(WS.10).aspx
マイクロソフト株式会社
山崎 淳一
-
こんにちは。今回は日頃 SI/ISV パートナー様やお客様とお話をする中で感じたことから、一つ記事を書かせていただきます。
■ 同じ IT でも、立場が違えば向き合い方がまるで違う
マイクロソフトという会社にいると、同じ IT を生業としているのにも関わらず、SI/ISV パートナー様や、情報システム部門のお客様と意識差を生じてしまうことがあります。
マイクロソフトは新しい IT (ソフトウェア)を生みだす立場で、パートナー様はそれを活用してエンドのお客様に IT を具現化し、エンドのお客様は IT を活用してビジネスに生かす立場なわけで、それぞれ IT への向き合い方が違うわけですから、当然といえば当然ですね。
私たち(マイクロソフトのプリセールス エンジニア)は、新しい IT が生まれる場所のそばにいる立場上、それをできる限り多くのパートナー様やエンドのお客様に知っていただき、その価値に気付いてもらうことが主な仕事です。
■ IT と温泉は同じ!?
これは温泉と同じようなものです。どんなに優れた効能の温泉でも、人が立ち入らない山奥の源泉でこんこんと湧いているだけでは、誰もその効能を享受することはできません。誰かが、ここは素晴らしい温泉で、浸かるとこんな効果があると多くの人に伝えることで、初めてその温泉を目的に人が訪れるようになるわけです。そして、源泉が浴槽に引かれ、浴槽までの道が整備され、近隣に温泉宿ができて温泉地が生まれて、継続的に多くの人がやってくるようになります。
これを IT に当てはめると、温泉(源泉)が新しい IT、温泉に浸かる人がお客様、そして浴槽や宿を構築・整備するのが SI/ISV パートナー様ですね。そして、その温泉の良さを広く伝えるのが、私たちプリセールス エンジニアの仕事です。
ちょっと違うところは、温泉は自然に湧いているのに対して、新しい IT は誰かが生み出しているというところです。もちろんマイクロソフトもその一部です。
■ 前置きが長くなりました
そんな新しい IT の源泉の一つが、件名に書いた「VDI」です。恥ずかしながら、私はこの VDI は既に割と一般的なものと勘違いしていました。マイクロソフト社内では(特に私の部署近辺では)仕事上の会話で普通に交わされている用語だったからです。ところが、パートナー様やお客様に 「VDI という言葉をご存知ですか?」とお聞きすると、大多数の方が「知らない」と仰います。仮想化のご担当、クライアント PC のご担当など、VDI に比較的近いと思われる方々もそうです。それが、冒頭に書いた「同じ IT を扱う立場での意識差」として感じた所以です。
ということで、今回はまだまだご存じない方が大半と思われる、VDI についてご紹介したいと思います。
■ VDI = Virtual Desktop Infrastructure とは?
この VDI を日本語に訳すと「仮想デスクトップ基盤」となります。シンクライアントの一つの提供形態、ということになります。
シンクライアントとは、サーバー上に展開されたデスクトップ環境を、ネットワーク経由でクライアント端末上に表示し、ユーザーが操作する仕組みです。この時、実際のアプリケーションの処理などはサーバー側で行われ、クライアントはサーバーのデスクトップに対して、キーボードやマウスなどの入力操作と、デスクトップの画面表示を行うのみです(以下、この仕組みを「従来からのシンクライアント」と表記します)。
このサーバー側の仕組みを変えて、サーバー上で仮想マシンを用意し、各クライアント端末からはサーバーのデスクトップではなく、仮想マシンのデスクトップを利用する構成が VDI です。
これだけでは、VDI のどこが良いのかいまいちピンと来ないかもしれません。実際、シンクライアントを検討する際に、VDI は必ずしも最良の選択とは限りません。では、従来からのシンクライアントと比べ、VDI にはどのようなメリット・デメリットがあるのでしょうか?
■ VDI のメリット
アプリケーションの安定した動作が期待できる
VDI では、アプリケーションの稼働環境として OS のレベルから他のユーザーとは分離された環境が提供できますので、マルチユーザーやマルチインスタンスに対応しないアプリケーションも問題なく利用することができます。
クライアントの物理 H/W とデスクトップの管理を分けることができる
サーバー上にクライアント環境が OS 丸ごと一括して保存されているため、クライアント環境のメンテナンスが一か所でまとめて行えます。また、H/W のライフサイクルとデスクトップ環境のライフサイクルを分けて、別々に展開することが可能になります(これは従来からのシンクライアントも同様ですが)。さらに、サーバー上の仮想マシンならデバイスドライバも共通なため、「ある端末で起こる不具合が、別な端末では発生しない」という類の H/W 構成に起因するトラブルも無くなります。
■ VDI のデメリット
豊富なサーバーリソースが必要
従来からのシンクライアントと比べると、多数の仮想マシンをホストすることになりますので、それだけ潤沢な CPU、メモリ、HDD などのリソースが必要になります。
H/W 依存の環境を提供できない
これは従来からのシンクライアントでも一部当てはまることですが、仮想マシンは必要最低限の H/W を利用することしかできないため、特に描画系、音声処理系のアプリケーションなどではパフォーマンスが落ちる or そもそも使えない可能性があります。クライアント端末側で持っている H/W に処理をリダイレクトする機能なども一部搭載され始めていますが(リモートデスクトップ側の機能)、VDI はあくまでも限定的なオフィスワークのための提供形態とした方が良いでしょう。
■ リッチクライアント + シンクライアントという選択も
このように、VDI にはメリットだけではなく、決して無視できないデメリットも存在しますから、利用シナリオによっては VDI は全く適さない場合もあります。また、仮に VDI のデメリットが当てはまらない場合でも、これまでいわゆるリッチクライアント(普通のデスクトップ環境)で行っていた業務を、丸ごと全部シンクライアントに置き換えるには、サーバーインフラ周りの刷新、クライアント端末の置き換え、ユーザートレーニング(シンクライアントでできることとできないことの理解)など、多大なコスト負担と共に利用者の認識を変えてもらうことも必要です。
話が VDI とは逸れますが、そこでマイクロソフトでは、リッチクライアントとシンクライアントの「イイトコ取り」ということで、リモートデスクトップサービス(従来のターミナルサービス)を使った、ハイブリッド型のシンクライアントの導入をお勧めしています。つまり、リッチクライアントでないと厳しい業務は従来通り自分のローカル PC 上で行い、機密情報の取り扱いや、サーバー側で集中管理したいアプリケーションなど、シンクライアント的に提供したい機能は、リモートデスクトップサービスで公開する、といった適材適所での利用です。
今回の記事の趣旨とは離れますので、リモートデスクトップサービスの詳細には触れませんが、リッチクライアントとシンクライアントのハイブリッド型が、多くの場合にマッチする現実的な解であり、VDI やフルシンクライアント環境が最良の解となる例は、必ずしも多くないということだけはご認識いただければと思います。
■ Windows Server 2008 R2 が提供する VDI 機能
マイクロソフト製品で VDI を提供するためには、一般に以下のテクノロジーが必要です。
| 必要なコンポーネント | 対応するマイクロソフトの製品・技術 | 説明 |
| 仮想化基盤 | Windows Server 2008 R2 | Hyper-V 2.0 | 仮想マシンをホストするサーバー環境 |
| リモートデスクトップ | リモートデスクトップサービス ※ | サーバーに入力と、デスクトップの画面表示 |
| 仮想マシンのセッション管理 | RD 仮想化ホスト
RD 接続ブローカー | 仮想マシンを VDI 用に管理し、各クライアントと仮想マシンを引き合わせる |
仮想マシンのメンテナンス
仮想化基盤全般の管理 | SCVMM (System Center Virtual Machine Manager) 2008 R2
(または手動) | 仮想マシンを準備したり、削除する。その他仮想化基盤全般の管理 |
| クライアント端末 | Windows XP, Vista , 7 等 | |
※ 旧:ターミナルサービス(Windows Server 2008 R2 では「リモート デスクトップ サービス」という名称になります)
この表の通り、マイクロソフトの製品・技術(Windows Server + Windows クライアント)を組み合わせることによって VDI を構築することが可能ですが、これまで「仮想マシンのセッション管理」機能は提供が無く、自前でクライアントと仮想マシンの紐付けを設定するか、パートナーソリューションを利用する必要がありました。
しかし、Windows Server 2008 R2 では、ターミナルサービスの機能が拡張されて、新たに RD 仮想化ホスト という機能と、従来 TS セッションブローカー(Windows Server 2003 ではセッションディレクトリ)と呼ばれていたリモートデスクトップのセッション管理機能が、RD 接続ブローカーと名前を変え、VDI のための仮想マシンとセッションの管理機能を提供するようになります(赤字部分)。
つまり、Windows Server 2008 R2 では、OS に搭載されている標準機能だけで、最低限の VDI のサーバーサイド機能を提供できるようになります。ただし、多くの場合は、大量に必要となる仮想マシンの準備や仮想化基盤の運用管理作業を効率化するために、SCVMM (System Center Virtual Machine Manager) 2008 R2 や、ホスト OS の運用監視や管理を行う SCOM (System Center Operations Manager) 2007 R2、SCCM (System Center Configuration Manager) 2007 R2 のような管理製品も併せて必要になります。
■ VDI に必要な製品・ライセンス
この通り、マイクロソフト製品で VDI を構築する場合、様々な製品・テクノロジを横断的に使用します。いかがでしょう。・・・ちょっと複雑ですよね。そこでマイクロソフトでは、VDI に必要なライセンスを包含した VDI Suite ライセンスというものを提供しています。VDI Suite には Standard と Premium の 2 種類があります。
なお、VDI Suite にはクライアントの仮想 OS として利用するためのライセンスは含まれていませんので、VDI 環境で Windows クライアントを利用するためには、 VECD または VECD for SA というライセンスが併せて必要になります(マイクロソフトの VDI ではなく、他社の VDI 製品を利用して VDI を提供する場合も、VECD または VECD for SA は必要です)。
ライセンスに関しては、ここでの説明だけでは理解が不十分なところもあるかと思います。VDI Suite は、この blog の執筆時点では誕生して間もないライセンス体系ですので、これから順次情報が公開されていく予定です。詳細は下記リソースをご覧いただき、導入に当たっては十分なご検討をいただければと思います。
■ 参考情報
VDI に関しては、下記 @IT の記事もあわせてご参照いただくと理解が深まります。
http://www.atmarkit.co.jp/fwin2k/words/004vdi/vdi.html
さらに、Windows Server 2008 R2 の VDI 評価ガイドを以下のサイトよりダウンロードいただけます。http://www.microsoft.com/japan/windowsserver2008/prodinfo/R2/evaluations.mspx
VDI のライセンスを含めた解説については、以下のサイトをご参照ください。
Virtual Desktop Infrastructure Suite
http://www.microsoft.com/japan/windowsserver2008/r2/vdi-suite.mspx
Windows Vista Enterprise Centralized Desktop (VECD) のライセンス
http://www.microsoft.com/japan/virtualization/licensing/VECD.mspx
Core Infrastructure Server Suite (CIS)
http://www.microsoft.com/japan/windowsserver2008/r2/eci.mspx
※ CIS は、VDI のような大規模サーバー環境で利用可能な Suite ライセンスで、Windows Server のサーバーライセンスと、サーバーの運用管理に利用可能な System Center Server Management Suites、およびウィルス対策として Forefront Client Security のライセンスを含んでいます。
マイクロソフト株式会社
山崎 淳一
-
皆さん、こんにちは。
先日、犬と一緒に温泉に行ってきました。犬専用の温泉風呂があるかのか!?と期待して行ったのですが、想像していたのとは異なり普通のバスタブにお湯を入れて利用するものでした。。。ちょっと微妙な感じでしたが、とりあえず楽しんできました!!やっぱり、温泉はいいですね。
で、今回ですが、前回に引き続き PowerShell 関係のネタを紹介させていただきます。 ご存じの通り Windows Server 2008 R2 では 、PowerShell は 2.0 にバージョンアップされております。 その新機能の一つに Active Directory モジュールが新たに追加されていたりするのですが、 その中で、 GUI の機能もいくつか追加されておりますので紹介したいと思います。
1.Windows Powershell ISE(Integrated Scripting Environment)
これまで、 Powershell には開発用 GUI は提供されていなかった為、直接コマンドプロンプト上で打ち込むか、テキストエディター等で ps1 ファイルを作成し実行するなど、作成に適した環境が提供されておりませんでした。
今回、この「Windows Powershell ISE」 が提供されて事でより Powershell スクリプトの作成が簡単に作成できるようになりました。以下に Windows Powershell ISE の画面を示します。
Windows Powershell ISEの主な特徴は以下の通りです。
(1)コマンドやコメントおよび変数毎に構文が色別に分かりやすく表示
(2)タグ表示により複数のモジュールの利用が簡単
(3)ブレイクポイントの指定 / 解除や選択項目の実行などのデバック機能を搭載
などなど、非常に開発しやすい環境が提供されております。
使用時の注意事項としては、Windows Powershell ISE では標準で組み込まれているモジュールは Windows Powershell のコマンドのみとなっていますので、AD 関連のコマンドを実行しても、エラーが表示され実行されません。なので起動時に AD モジュールであれば、 「Import-Module ActiveDirectory」を実行し AD モジュールを組み込んでいただく必要がありますのでご注意ください。
2.Out-GridViewコマンド
PowerShellスクリプトの実行結果からさらにデータの絞り込みや並べ替えができたらと思われた方は少なくないと思います。
通常ですと、Filterの構文を追記したりと構文の修正が発生しておりました。
Out-GridView コマンドを利用する事で出力されたデータを簡単に並べ替えや絞り込みを行う事が可能となっております。
利用方法も簡単で、出力系の構文に「| Out-GridView」を追加する事でデータがGridView 画面上に表示されデータ加工が可能となります。
以下に Get-Adobject コマンド でAD上のオブジェクトを検索した結果を GridView 画面に表示した画面を示します。
コマンド例:Get-ADObject -Searchbase "(ドメイン名)" -ldapFilter{(ObjectClass=User)} | Out-GridView
上記画面上の「Add criteria」ボタンを選択していただくと、表示されている項目ごとにデータをフィルタする事が可能です。
以下に、フィルタを指定した画面を示します。
指定したフィルタ例:Name が H または D で始まる User
指定できる条件は以下の通りです。
(1)contains
(2)dose not contain
(3)starts with
(4)eguals
(5)dose not equal
(6)ends with
(7)is empty
(8)is not empty
このように、出力されたデータを柔軟に加工できるようになっております。
ここで抽出されたデータを外部に保存する事はできませんが、データの条件を確認したり、データの内容を分析したりと様々な形で利用できるのではないかと思います。
今回は上記2つの機能について紹介させていただきました。是非ご利用してみてください。
中村 仁吏
-
<10/1 Web セミナー Active Directory デモ + ライブ QA 好評参加登録受付中です。ご登録はこちらから>
皆さん、こんにちは。
2009 年夏衝撃が走ったのは政界だけではありません。今まで単体で販売していた App-V for TS が 2009 年 9 月 1 日付で 2008 R2 RDS CAL / 2008 TS CAL へ包含されることになりました。これで、2008 TS CAL をお持ちのお客様は追加コスト不要で App-V for TS を利用できるようになります。これは多くのお客様にとって Good News です。
その中で注意点をピックアップしますと、
- App-V for TS は 2009 年 11 月以降販売されなくなる
- 2003 以前の TS CAL へは App-V for TS は含まれない
つまり、2008 R2 RDS CAL / 2008 TS CAL をお持ちでない (2003 TS CAL のみ取得済みなどの) お客様 は、2009 年 11 月以降 App-V for TS CAL を単体で購入することが出来なくなります。したがって 2008 R2 RDS CAL を購入するか、2009 年 10 月中に App-V for TS CAL を購入する必要があります。
なお、既に App-V for TS を SA 付きで購入し、2009 年 9 月 1 日時点で SA 期間内であった場合は、App-V for TS CAL 4 つと RDS CAL 1 つと交換できる移行措置が設けられています。
また、App-V for Desktops (MDOP に含まれるクライアント用 App-V) のライセンスに変更はありません。
詳しくは以下 FAQ (英語) に記載しておりますのでご参照ください (英語で恐縮です)
Remote Desktop Services Licensing (英語)
App-V for TS のデモは以下から確認できます。
デモ キット第三弾 Windows Server 2008 ターミナル サービス + App-V for TS デモ動画
なお、2008 R2 RDS CAL と 2008 TS CAL は同じものです。2008 TS CAL をお持ちであれば、2008 R2 RDS を利用可能です。
また 2009 年 9 月現在 App-V for TS は 64 bit 環境で動作しません。これは 2008 R2 上で現時点では動作しない、ということを意味します。ですがご安心ください。2010 年前半リリース予定の App-V for RDS 4.6 にて x64 環境をサポートします。現在すでにベータ版で動作しています。
最後に、 2008 x86 TS 上で現バージョン App-V for TS 4.5 を評価される場合は以下をご参考下さい。for Desktop のガイドがメインですが、仕組みは同じですので for TS でも同様にご利用いただけます。App-V クライアントが TS 上で動作するかクライアント PC 上で動作するかの違いだけです。
App-V 4.5 スタートアップ ガイド
App-V ホワイト ペーパー 一覧 (日本語)
App-V / SoftGrid ホワイト ペーパー 一覧 (日本語)
統合のベスト プラクティス : Microsoft SoftGrid Application Virtualization と ターミナル サービス/Citrix Presentation Server
それでは、もう一つの衝撃、パンデミックに備えマスク買いに行きます。
マイクロソフト 高田祐二
