Windows Server 使い倒し塾

Hyper-V 1.0 から Hyper-V 2.0 への移行 05 November 09 10:30 AM | Sysplag | (Comments Off)

こんにちは。先日実施された IT Pro Expo 2009 で無事 Windows Server 2008 R2 のラウンチイベントが終了しました。

私もマイクロソフトブースで説明員として対応させていただきましたが、既に多くのお客様から Hyper-V をご利用いただいているというお話を伺い、Hyper-V 2.0 にも大変興味をもっていただいていると感じました。

そこで今回は、Hyper-V 1.0 で構築した仮想環境を Windows Server 2008 R2 Hyper-V 2.0に移行について紹介したいと思います。

Hyper-V 1.0 で動作する（ Hyper-V 1.0 の統合サービスがインストールされた）仮想マシンは、そのままHyper-V 2.0 でも動作しますが、パフォーマンスの観点から、Hyper-V 2.0 の統合サービスに入れなおしていただくことをお勧めします。

※ ちなみに Hyper-V 1.0 の環境では、Hyper-V のペアレント OS のバージョンと仮想マシンにインストールした統合サービスにより、サポートするゲスト OS の種類が異なってきます。こちらの関係については、やや解りずらいですが US のサイト Version Compatibility for Integration Services（英語ページ）の表をご覧ください。

＊＊＊＊＊

仮想マシンの移行は、次の手順で行います。

1. Hyper-V 1.0 （移行元）での準備

仮想マシンを完全にシャットダウンする。（※）
仮想マシンが保存状態の場合は、保存状態から復元して仮想マシンをシャットダウンします。
スナップショットを削除または適用する。
仮想マシンに必要なスナップショットがある場合は、該当するスナップショットを適用してからシャットダウンします。不要なスナップショットは削除してください。

2. Hyper-V 1.0 から Hyepr-V 2.0 へアップグレード

次のいずれかの方法で、Hyper-V 1.0 の仮想マシンを Hyper-V 2.0 に移行します。
- ペアレント OS をインプレースアップグレード
- Hyper-V 1.0 でエクスポートした仮想マシンを Hyper-V 2.0 でインポート

3. Hyper-V 2.0 （移行先）での作業

新しい統合サービスをインストールします。
仮想マシンに接続して、[操作] メニューの [統合サービスセットアップディスクの挿入] を使用して vmguest.iso ファイルをマウントします。

以上で仮想マシンの移行は完了です。

（※）保存状態のまま移行してしまった仮想マシンの回避策

万が一、手順 1. で仮想マシンを保存状態のままアップグレードしてしまった場合は、次の方法で仮想マシンを救済することができます。

Hyper-V 1.0 で動作していた仮想マシンを保存状態のまま Hyper-V 2.0 の環境で動作させようとすると、エラーが表示され、仮想マシンを起動することができません。

このような場合には、Hyper-V マネージャで該当する仮想マシンを右クリックして [保存された状態を破棄] を選択します。

これにより仮想マシンを Windows エラー回復処理により起動することができるようになります。

＊＊＊＊＊

ご紹介した Hyper-V 1.0 から Hyper-V 2.0 への移行については、 KB も出ていますので合わせてご覧ください。

KB957256：Hyper-V を使用する Windows Server 2008 から Windows Server 2008 R2 へのアップグレードの方法について

また仮想環境がクラスタ構成の場合については、こちらの TechNet のサイトをご覧ください。

Windows Server 2008 R2 を実行するフェールオーバークラスターへの設定の移行

伊賀絵理子

Filed under: Hyper-V, Windows Server 2008 R2, Windows Server 2008

Forefront Identity Manager 2010 RC1 提供開始！！ 27 October 09 07:00 PM | Sysplag | (Comments Off)

皆さん、こんにちは。

気がつくと、もう 10 月の下旬ですね。11 月はウチの犬の誕生月です。いろいろありましたが、何とか無事に 1 年目を迎える事ができそうです。
ウチに来た時は、2kg しかなかった体重も 6 倍にもなり、さらにこれからの成長が楽しみな今日このごろです。。。

さて本題に移りますが、Forefront Identity Manager 2010（FIM 2010） RC1 が9/30 に提供され、ダウンロード可能になりました。

FIM 2010 RC1 のダウンロードはここから

FIM 2010 RC1 の技術情報（英語）はここから

●FIM 2010 とは

現行製品である、Identity Lyfecycle Manager 2007（ILM 2007）の次期バージョン製品で、様々なシステムと ID の同期を行い、一元的な ID 管理ができ、また証明書/スマートカード管理機能を備えた、 ID / 証明書の統合管理環境を実現する製品です。
ILM 2007 の要件や機能詳細はここからご確認ください。
これらの機能を踏襲し、さらにより使い易く拡張されたのが FIM 2010 です。
次期バージョンである FIM 2010 からは Forefront 製品群の一つとして提供される予定です。

●FIM 2010 の主な新機能とは

FIM 2010 の主な新機能は以下の通りです。
（1）ユーザー管理用のポータルの提供（図1）
・ユーザーやグループの追加/削除など編集がポータル画面から可能
・ワークフローによる申請ベースによるユーザーおよびグループメンテナンスが可能・ノンコーディングによるプロビジョニング環境を提供

図1 FIM 2010 RC1 ポータル画面

（2）セルフパスワードリセット機能（図2）
・パスワードを忘れた時にログイン画面からユーザー自身でパスワードの再設定が可能
・質問の内容や質問数および回答数は管理者が設定
・質問の回答はポータル画面から変更可能

図2 セルフパスワードリセット画面

（3）3rd パーティCA の管理用 API の提供
・ILM 2007 では、Windows CA のみ対応でしたが、 FIM 2010 から 3rd パーティのCAも利用できるように管理用APIを提供

FIM 2010 のグループ管理やパスワードセルフリセットなどは、Active Directory の管理コストを大幅に削減できる機能ではないかと思います。是非、この機会にご評価ください。
また、次の機会に FIM 2010 の機能をさらに報告できればと考えております。

中村仁吏

日経 BP 主催「使いやすく進化した Active Directory」Web セミナー放送終了後 QA 20 October 09 08:00 PM | Sysplag | (Comments Off)

皆さん、こんにちは。
あっという間に夏が終わり食べ物のおいしい季節になってきました。今や家電や本だけでなく新米ですらインターネットで買えるというのは驚きです。

さて、10/1 の日経 BP さん主催 Web セミナー「使いやすく進化した Active Directory」にご参加いただいた方、ありがとうございました。今回は、当日ご質問いただき、時間の関係でお答え出来なかった質問に回答させていただきます。ご参加できなかった方は以下から視聴可能ですのでよろしければどうぞ。説明とデモ 15 分、QA 15 分の計 30 分です。

デモで見せる! Windows Server 2008 R2 Web セミナー
http://special.nikkeibp.co.jp/ts/article/0i0f/102969/

以下、上記セミナーで取り上げられなかった質問とその回答です。

1. Active Directory の移行について

移行ツール ADMT のサポート

現行の ADMT 3.1 は残念ながら Windows Server 2008 R2 の AD 環境に対応していません。2008 R2 に対応した ADMT 3.2 を 2008 R2 RTM 後 3-6 か月後、つまり 2009 年 10 月 – 2010 年 1 月頃にリリース予定です。

Dcdiag.exe などのツールの変更はありますか？

2003 → 2008, 2008 R2 で Active Directory 周りのコマンドラインツール (Dcdiag, Dsquery 等) に大きな変更ありません。2008 および 2008 R2 のコマンドラインツールの一覧は以下にてご確認いただければと存じます。

Windows Server 2008 コマンドリファレンス
http://technet.microsoft.com/ja-jp/library/cc772390(WS.10).aspx

2. オフラインドメイン参加について

ブランチオフィスサイトとセントラルサイトとのネットワークが切断されている環境でも、ブランチオフィスサイトに配置された RODC でオフラインドメイン参加が可能か？

残念ながら不可能です。RODC 自身へ書きこむことはできませんので、書き込みを行う際には書き込み可能な DC への通信が必ず必要となります。通信が可能な場合はドメイン参加要求を書き込み可能な DC へフォワードします。

オフラインドメイン参加実施時に生成される中間ファイルのサイズ

数 KB のレベルです。手元の環境では 2.48 KB でした。

オフラインドメイン参加の設定ファイルは 1 台に対して 1 つでしょうか？ 1 つの設定ファイルで複数台の設定は可能でしょうか？

残念ながら 1 台に 1 つです。1 つの設定ファイルで複数台のオフラインドメイン参加を実行することは出来ません。

3. Active Directory PowerShell について

PowerShell のバッチファイル (.ps1) はタスクスケジューラーなどで実行できますか？

はい。実行可能です。以下のように powershell.exe へ引数としてバッチファイルを指定して実行します。

powershell.exe –noexist c:\scripts\test.ps1

詳しくは以下をご参照ください。

Hey, Scripting Guy! Windows PowerShell スクリプトを [ファイル名を指定して実行] ダイアログボックスやショートカットから実行する方法はありますか
http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/sept06/hey0926.mspx

Active Directory PowerShell は Web サービスベースということでしたが、アプリケーションから簡単に利用することが出来るのでしょうか？

簡単ではありませんが、技術的には可能です。仕様等詳しくは以下ご参照ください。

Active Directory Web Services Overview (英語)
http://blogs.msdn.com/adpowershell/archive/2009/04/06/active-directory-web-services-overview.aspx
[MS-ADDM]: Active Directory Web Services: Data Model and Common Elements (英語)
http://msdn.microsoft.com/en-us/library/dd304395(PROT.13).aspx

デモで使っていたツールは PowerGUI ですか？

いえ。Windows Server 2008 R2 へ標準搭載された PowerShell のエディター、Windows PowerShell 統合スクリプティング環境 (ISE) です。実行結果を確認しながらスクリプトを作成、編集、保存することが可能です。詳しくはこちらをご参照ください。

Windows PowerShell 2.0 の強化ポイント
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/powershell.mspx#resources02

4. Active Directory ごみ箱機能について

セキュリティグループだけを削除し、メンバーを削除していない場合、ごみ箱機能でメンバーシップも復活しますか？

はい。復活します。

DC01 (FSMO) でオブジェクトを削除。DC02 にはレプリケーションされていない。この DC01 でごみ箱からオブジェクトを戻した場合、 AD 同士不整合は起きないのでしょうか？

不整合は起きません。DC02 へは、オブジェクトが削除され戻された結果が複製されます。オブジェクトを削除して回復すると、Deleted Objects コンテナへ、 isRecycled 属性 True のオブジェクトが残りますのでそれが DC02 へ複製されます。

5. その他

Small Business Server 2008 R2 の発売予定が分かれば教えてください

ご質問ありがとうございます。残念ながら現時点でリリース予定は未定です。

以上です。
セミナーが終わっても回答できるとは、これまた便利ですね、インターネット。

マイクロソフト高田祐二

簡単・安全に社内ネットワークにリモート接続！DirectAccess (基本編)！ 16 October 09 05:45 PM | Sysplag | (Comments Off)

みなさん、こんにちは。

Windows 7 の一般発売までいよいよあと 7 日となりましたね。先日秋葉原をブラブラしているといたるところで Windows 7 の CM が流れていたり、目玉機能の紹介ポスターが貼ってあったりと盛り上がっていました。Windows Server 2008 R2 も同時発売ですのでよろしくお願いいたします (笑)

さて、以前 Windows 7 と Windows Server 2008 R2 の連携機能 BranchCache を紹介させていただきましたが、今回は DirectAccess の紹介をしたいと思います。

DirectAccess って？
社外に持ち出したモバイル PC をインターネットに接続するだけで、社内ネットワークと同様の環境を実現する仕組み。そういわば VPN みたいなリモート接続環境を提供する機能のことです。

VPN とはここが違う！3 つのポイント
1. インターネットに接続するだけで、自動で社内ネットワークに接続！
2. セットアップは自動で完了！グループポリシーベースの設定！
3. イントラネットへのアクセスとインターネットへのアクセスの分離！

DirectAccess の接続プロセス

DirectAccess クライアントが社外にいるのか社内にいるのかの確認
DirectAccess クライアントがネットワークに接続されると、管理者が指定したイントラネット Web サーバー*に接続を試みます。Web サイトにアクセスできれば、DirectAccess クライアントは社内ネットワークにいると判断し、DirectAccess の接続プロセスを終了します。つまり、通常の通信を行います。一方、Web サイトにアクセスできなければ、DirectAccess クライアントはインターネットに接続されていると判断し、DirectAccess の接続プロセスを続行します。(*DirectAccess クライアントの位置を確認するための Web サイトを「ネットワークロケーションサーバー」と言います)

DirectAccess サーバーへの接続
DirectAccess クライアントから DirectAccess サーバーに接続します。その際の接続方法は以下の 4 つです。DirectAccess クライアントがインターネットに接続した際に割り振られる IP アドレスによって自動で選択されます。

・IPv6 アドレスが割り振られた場合→IPv6 で接続
・パブリック IPv4 アドレスが割り振られた場合→6to4 で接続
・プライベート IPv4 アドレスが割り振られた場合→Teredo で接続
・ファイアウォールによって、6to4 や Teredo がブロックされている場合
→IP-HTTPS で接続

DirectAccess サーバーに接続後は、DirectAccess クライアントと DirectAccess サーバーが、コンピューター証明書を使用して相互認証を行います。接続が確立すると、Active Directory で適切なアクセス権が設定されているコンピューターやユーザーに DirectAccess を通じて接続を許可します。

システム要件
Direct Access クライアント:
・Windows 7 Enterprise, Ultimate (ドメイン参加済み)
Direct Access サーバー:
・Windows Server 2008 R2 Standard 以上 (Server Core 不可、NIC が 2 枚以上)
その他の要件
・Windows Server 2008 SP2 以降のドメインコントローラーと DNS が最低 1 台必要 (スマートカード認証を行う場合は、2008 R2 が必要)
・IPv4 の内部ネットワークで利用する場合は、接続サーバーで ISATAP を有効化するか、ネットワーク機器 (NAT-PT) または Unified Access Gateway (UAG) が必要。

いかがでしたでしょうか？ Windows Server 2008 R2 + Windows 7 で実現する新機能 DirectAccess を使うと、社外から社内ネットワークに簡単にアクセスすることができます。もちろん通信は IPsec によって暗号化されていますのでセキュリティも確保されています。次回の私の担当では発展編として DirectAccess の設定方法について紹介したいと思います。

マイクロソフト株式会社
竹内宏之

Windows 2000 Server の移行(その4)　セキュリティ更新プログラムの提供状況 10 October 09 01:30 PM | Sysplag | (Comments Off)

みなさん、こんにちは

昨日の台風ですが、皆さんご無事でしたでしょうか？
私が通勤に利用する路線は朝から15時まで運休で、自宅待機をしておりました。午前中は、電鉄会社のホームページを見てもタイムアウトでつながりにくいし、ほとんど仕事になりませんでした。出社をあきらめてからは、やっと仕事モードになりましたが。

さて、今回もしつこく Windows 2000 Server 移行のお話です。

■Windows 2000 サポート終了

マイクロソフトの Windows Server のブログでも、先日改めてサポート終了の記事が掲載されました。
Windows Server Division WebLog : Support changes coming July 2010 for Windows 2000 Server and Windows Server 2003

ここでは

Windows 2000 Server の延長サポートは 2010年7月13日で終了となり、”Self-Help Online Support”の利用のみが継続される
同様に Windows 2003, 2003 R2 はメインストリームサポートから、延長サポートフェーズに入る。セキュリティのホットフィックスは継続して提供される。

といった内容が書かれています。Windows 2000 の ”Self-Help Online Support” とは自分自身で解決するためのサポート、つまりナレッジベース等のリソースのみが利用可能ということです。

延長サポート中はマイクロソフトと特別な契約を行わない限り、セキュリティ問題以外のHotFixは提供されません。これが来年7月以降の Windows 2003 / 2003R2です。

また、延長サポートが終了すると、セキュリティ更新プログラムの提供も終了となります。これが、来年7月以降の Windows 2000 Server です。

では、最近1年間、どれくらいのセキュリティ更新プログラムが提供されているのか調べてみました。以下のグラフをご参照ください。

Windows 2000 の 2008年10月から2009年9月までのセキュリティ更新件数

緊急、重要だけで見ても毎月いくつかのセキュリティパッチが提供されていることがお分かりいただけると思います。

たとえば以下のような脆弱性の修正が行われました。

2009 年 9 月 :TCP/IP パケットを悪用した DoS 攻撃により、サービスが提供できなくなる可能性

2009 年 8 月 :リモートデスクトップ接続が悪用され、リモートから悪意のあるコードが実行される可能性

2009 年 6 月 :Windows カーネルを悪用し、完全なユーザー権限を持つ新たなアカウントが不正に作成される可能性

2009 年 1 月 :SMB プロトコルが悪用され、リモートから悪意のあるコードが実行される可能性

2008 年 10 月：不正な RPC リクエストにより、リモートから悪意のあるコードが実行される可能性

2008 年 10 月：ドメインコントローラーの機能を悪用し、リモートから悪意のあるコードが実行される可能性

延長サポートの終了とは、このセキュリティパッチが来年2010年7月14日以降提供されなくなるということです。セキュリティはウィルスチェックソフトだけでは守れません。ぜひ、早めの移行をお願いします。

■移行メリット

では、Windows 2000 から 2008 あるいは 2008 R2 へ移行する場合、どのようなメリットがあるのでしょう？

Windows 2000 でよく使われる機能は、AD、ファイルサーバー、プリントサーバー、DHCPサーバーといった基本機能だと思います。次に、これらの機能が標準のWindows Server やWindows CALのライセンスだけでどこまで使えるか、とくに Windows 2000ユーザーの皆様に評判の良い機能をお伝えしたいと思います。

ファイルサーバー機能

DFS-N(DFS名前空間)
ファイルサーバーの共有名にサーバーを指定する必要がなくなります。
ファイルサーバーの移行に合わせて名前空間も統合してはいかがでしょう？

DFS-R(DFS レプリケーション)
既存のファイルサーバーにもう1台ファイルサーバーを配置し、
ファイルの複製をおこないます。サーバーやネットワーク障害時に
複製先のファイルサーバーへ切り替えることもできます。
参考ブログ記事：ファイルサーバーを簡単に冗長化！！

フォルダ単位のQuota管理機能
フォルダ単位に、ユーザやグループへの保存サイズの上限を指定できます。

シャドーコピー
ファイルサーバー上で削除してしまったファイルをユーザが復活できます。

詳細はファイルサーバーの簡易提案書シリーズの「ファイルサーバー使い倒し術」資料にありますので、ぜひご参照ください。

Active Directory 機能

ADデータベースのスナップショット
ドメインコントローラのデータベースのスナップショット(バックアップ)を
取得し、必要に応じてLDAPクライアントから表示できる機能です。

ドメイン機能のサービス化
OSを再起動することなくADのDBメンテナンスが行えます。

ActiveDirectory管理センター
Windows Server 2008 R2 の新ツール。
ユーザーの追加、パスワードリセットといった日常業務が直感的に
操作できます。

そのほかにも

Windows Server 2008 R2 のDHCPサーバーでは正式にMacAddressフィルタリングがサポートされました。
参考ブログ記事：DHCP サーバーも着実に進化してます

Windows 2000 ユーザーの皆様にお伝えしたい機能はまたあらためて纏めたいと思います。

本日の記事は以上です。ではまたお会いしましょう。

石澤史明

Filed under: Windows 2000 からの移行

NAP に関する各種 Tips 07 October 09 11:30 AM | Sysplag | (Comments Off)

みなさん、こんにちは。今回は NAP（ネットワークアクセス保護）についての幾つか役に立つ情報・機能をご紹介します。

Windows 7 ではアクションセンターと連携

Windows XP, Vistaでは、NAP（Windows 標準 SHA/SHV）はセキュリティセンターと連携して動作していましたが、Windows 7 ではアクションセンター（セキュリティセンターの後継）と連携します。従来のセキュリティセンターではユーザーが NAP の状態を確認する事はできませんでしたが、Windows 7 アクションセンターでは、クライアントが制限された場合、NAP ステータスが表示され、アクションに誘導されるようになっています。

NAPSTAT で通知メッセージを再表示

NAP クライアントの状態が変化した時合（正常性評価 OK → NG、NG → OK）にタスクバーに通知メッセージが表示されますが、カーソルが別の場所にあると数秒後に消えてしまいます。NAPSTATコマンドを使えば、これを再度表示させることができます。NAP の動作確認の際に便利ですので、覚えておくと便利です。

SCCMで Windows Server を NAP クライアントに

Windows Server 2008 / 2008 R2 には NAP エージェント（Network Access Protection Agent サービス）が搭載されています。ただし、Windows Server には、セキュリティセンター／アクションセンターが搭載されていないため、OS 標準だけでは Windows SHA が利用できず NAP クライアントとして利用できません。SCCM (System Center Configuration Manager）を利用すれば、Windows Server を NAP クライアントとして利用できるようになります。SCCM 2007 R2 では NAP 用の SHA/SHV が提供されており、Windows Update / WSUS で扱えない更新プログラムの配布ができます。

実は私は仕事柄 Windows Server 2008 R2 をデスクトップ OS として使っているのですが、弊社の IT 部門は私の PC も取りこぼすことなく、NAP、SCCMでしっかり管理しています。

* SCCM SHA が英語なのは、ワールドワイドで統一管理されているため

[参考情報]
Configuration Manager のネットワークアクセス保護（Technet）
http://technet.microsoft.com/ja-jp/library/bb693725.aspx

Windows XP への SP3 適用はお早めに

Windows XP SP2を使用されている方も多いかと思いますが、SP2（サービスパックとして）のサポートライフサイクルは 2010年7月までです。SP3 の適用に合わせて NAP の導入はいかがでしょうか？

[参考情報]
Windows XP のプロダクトサポートライフサイクル
http://support.microsoft.com/lifecycle/?c2=1173

SoH の中身は？

SoH（Statement of Health, 状態ステートメント）は、NAP クライアントが自身の正常性状態を NPS（ネットワークポリシーサーバーに提示するメッセージです。SoH は DHCP 実施の場合は DHCP プロトコル、802.1実施の場合は PEAP に埋め込まれる形で、実施ポイント（DHCP サーバーや 802.1xスイッチ経由で）NPS に渡されます。これら標準プロトコル内に、メッセージを埋め込む事で、既存のネットワーク機器に特別な対応が必要ないように配慮されています。なお、この SoH メッセージ、プロトコル拡張の仕様は MSDN にて公開されていますので、興味のある方は参照してみてください。

[参考情報]
・NAP SoH and SSoH Messages
http://msdn.microsoft.com/en-us/library/aa506353.aspx
・Dynamic Host Configuration Protocol (DHCP) Extensions for NAP
http://msdn.microsoft.com/en-us/library/cc227316(PROT.13).aspx

以上、NAP に関するもろもろの情報を記載させていただきました。粒度がバラバラで申し訳ありません。

なお、NAP についてご存知ない方は、製品サイトを参照ください。
・Windows Server 2008 NAP
http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx
・Windows Server 2008 R2 NAP
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/network-access-protection.mspx

瀧本文男

Filed under: NAP

Active Directory の機能で実現する情報漏えい対策 03 October 09 01:30 PM | Sysplag | (Comments Off)

皆さん、こんにちは。

今回は Active Directory の機能、特に情報漏えいの対策として利用できるグループポリシーの機能を中心にご紹介させていただこうと思います。
今回はリムーバブル記憶装置の制御について OS のバージョンごとに簡単に整理してご紹介します。

まず、はじめに Windows XP についてです。
「情報漏えい対策ガイド」というホワイトペーパーを御存知でしょうか？
結構前 (2005 年公開) の資料ですが、意外と使える情報が掲載されています。

<情報漏えい対策ガイド>

こちらのホワイトペーパーの主な内容としては以下のような項目があります。

3. リムーバブル記憶装置の使用制限
4. 暗号化ファイルシステム (EFS) による情報漏えい対策
5. Active Directory に格納されている個人情報を隠す

項目中 EFS による暗号化というのは、なかなか導入が難しいところがありますが、それ以外、特にリムーバブル記憶装置の使用制限については、グループポリシーのカスタム ADM テンプレートもついており、導入が非常に容易です。
Windows Vista 以降では標準でリムーバブル記憶装置の制御をするためのグループポリシー設定項目が存在しますが、Windows XP の場合には標準の設定項目として存在しません。この情報漏えい対策ガイド付属の ADM を使えばグループポリシーの設定項目として Windows XP の端末についてもリムーバブル記憶装置を制御できるようになります。
以下のスクリーンショットは情報漏えい対策ガイドに付属の ADM を追加することで利用できるグループポリシーの設定項目です。

<情報漏えい対策ガイド付属の ADM>

こちらは [コンピューターの構成] としてコンピューター単位で設定可能な内容になりますが、リムーバブル記憶装置の使用禁止、もしくは書き込みのみ禁止など、基本的な制御はできるということがおわかりいただけるかと思います。

次に、Windows Vista /Windows 7 についてです。
Windows Vista 以降では、デバイスのインストールについてより柔軟に管理できます。たとえば、基本的にはデバイスの追加を許可しないように構成した上で、特定メーカーの特定機種についてはインストールを許可するように構成することができます。設定は標準のグループポリシーの設定項目として存在します。以下のスクリーンショットのような設定項目が存在します。

<デバイスのインストール制御>
こちらでは、デバイスドライバーのインストールについて制御が可能です。
こちらのポリシーではデバイスドライバーのインストールが既にされているものについては制御できませんが、デバイスドライバーがインストールされる前であれば、デバイスドライバーのインストールについて制御できます。
また、デバイスの ID による例外の設定も可能で、たとえば特定メーカーの特定の機種についてはインストールを許可するということも可能です。

<リムーバブル記憶域へのアクセス制御 (コンピューターポリシー)>
こちらでは、リムーバブル記憶域へのアクセスについて制御できます。
読み取り、書き込みなどの操作についてデバイスの種類ごとに制御できます。

<リムーバブル記憶域の制御 (ユーザーポリシー)>
こちらもリムーバブル記憶域へのアクセスについての制御ですが、ユーザーごとに設定することができます。

最後に Windows 7 (Enterprise,Ulitimate) のみで利用可能な機能について紹介します。
Windows 7 では、BitLocker To Go というリムーバブル記憶域において、暗号化することが可能な機能がサポートされました。こちらの機能についてもグループポリシーで制御できます。
たとえば、BitLocker To Go で暗号化されていないリムーバブル記憶域にはデータの書き込みは許可しないという設定を強制することができます。

<Windows 7 BitLocker To GO の制御>
Windows 7 の場合には、暗号化されていないリムバーブル記憶域への書き込みなどの制御が可能です。

今回は情報漏えい対策というところで Active Directory を活用したリムーバブル記憶域の制御についてご紹介しました。
特に「情報漏洩対策ガイド」についてはぜひ、内容についてご確認いただければと思います。

マイクロソフト株式会社
須澤英彰

マイクロソフトのシンクライアントソリューション 30 September 09 03:30 PM | Sysplag | (Comments Off)

こんにちは。今回はちょっとクライアントよりの内容を書きたいと思います。

先週の記事 [新しいシンクライアントの形 - VDI との付き合い方] で書かれていますが、最近「シンクライアント」を実現するためのソリューションとして、クライアント OS を仮想化して動作させる VDI (仮想デスクトップインフラ) 方式が、にわかに注目を集めてきています。

シンクライアントを実現するためのソリューションは多様で、これまでにもブレード PC 方式やターミナルサービスを利用したサーバーベース方式などが提供されてきました。

これら各方式の特徴を知り、利用環境に応じて最適なソリューションを選んでいただくべく、今回はシンクライアントの実装方式の違いを整理してみます。

シンクライアントの実現方式と特徴

シンクライアントの実現方式には、次のとおり大きく 3 種類の方式があります。

ターミナルサービス方式（Windows リモートデスクトップサービス）
・・・サーバー上でアプリケーションを実行します。
VDI 方式（Microsoft VDI）
・・・クライアント OS を仮想サーバー上で実行します。
ブレード PC 方式
・・・PC ハードウェアをブレード化して物理的に集約します。

それぞれの方式の特徴をまとめたものが、こちらのスライドになります。

シンクライアント方式の選択

どの方式を選択するかは、利用するアプリケーションやパフォーマンス要件などから決定していきます。

その際の考え方として、基本的にはターミナルサービス方式から検討されることをお勧めします。理由としては、3 方式のなかでターミナルサービス方式が最も集約率が高く、コストメリットがあり、実績も豊富であるからです。

ただターミナルサービス方式には対応アプリケーションの制約があるため、全てのアプリケーション環境に対応できない可能性があります。
そのような時には、App-V for TS を使うことにより回避できます。
詳しくは、以前の記事 [デモキット第三弾 Windows Server 2008 ターミナルサービス + App-V for TS デモ動画] で紹介しているのでご覧ください。

また、全てのクライアント環境をシンクライアント化するのではなく、必要なアプリケーションのみをシンクライアント化するという方法もあります。

シンクライアントとリッチクライアント（通常のクライアント OS）には、次のスライドに示すような特性があります。各業務の特性にふさわしい環境を柔軟に取り入れることにより、最適な環境を構築することができるのです。

シンクライアントの導入をご検討の際には、参考にしていただけると幸いです。

伊賀絵理子

PC の配置場所に応じて、接続するプリンタを自動的に切り替える 18 September 09 11:35 PM | Sysplag | (Comments Off)

今回は、Active Directory 環境下の Windows Server と Windows クライアントの機能を使ったソリューションを 1 つご紹介します。

ノート PC を抱えて支社・支店を頻繁に行き来するユーザーがいる組織は少なくないと思います。特に組織の規模が大きくなればなるほどその傾向は強まるでしょう。その時のユーザーと IT 部門双方にとっての悩みの一つが、プリンタです。

当然、普段良く使うプリンタは自分の PC に登録しているとして、全ての支社・支店のプリンタを完全登録している方は恐らくいないでしょう。したとしても、いざという時にどれがどこのプリンタか分からなくなってしまうこと請け合いです。

だからと言って、支社・支店でプリンタを使う度に一から登録作業をしていては時間がもったいないですね。それに、出張先でプリントアウトをしなければいけない時に限って、時間が無かったりするものです（資料を印刷し忘れてたとか）。

そこで役立つのが、タイトルにある「PC の配置場所に応じて、接続するプリンタを自動的に切り替える」方法です。

予めお断りしておきますが、クライアント PC の設定でなんとかする、という方法ではありません。Active Directory の機能（サイト単位でのグループポリシー）を利用することで、クライアント PC 上では一切何もすることなく、予めグループポリシーで設定されているプリンタを自動的に登録し、それ以外のプリンタは自動的に登録解除するというものです（自分で手動で登録したプリンタは除く）。

さらに、グループポリシーでも 2 つの方式があり、以前この blog でもご紹介したグループポリシー基本設定を利用する方法と、従来からあるグループポリシーの項目「展開されたプリンタ」を利用する方法があります。

それぞれの概要を一覧にするとこんな感じです。

方法	対応 OS	クライアント PC へのモジュール追加
グループポリシー基本設定	Windows XP SP2 以降	必要
グループポリシー項目「展開されたプリンタ」	Windows 2000 以降（2000 では一部制限あり）	不要

グループポリシー基本設定自体は前回ご紹介しましたので、今回は、従来からある設定方法によるプリンタの展開方法をご紹介しますが、それぞれの方法はグループポリシーのいじる部分が異なるだけで、サイト単位でのグループポリシーを構成するという大枠の考え方は、どちらも同じです。

それでは、設定手順をご説明しますね。

【ネットワーク構成】

まず、このシナリオのネットワーク構成です。Active Directory が導入済みのとある企業があるとします。この企業には東京本社と大阪支社の 2 つの拠点があり、それぞれのネットワークはサブネットで分かれていて、Active Directory のサイト分けがなされています。そして 2 つのサイトにそれぞれのグループポリシーがリンクされているものとします（手順が長くなるので、サイト分けとグループポリシーのリンク手順は割愛させていただきます。この辺りの設定は Active Directory の技術資料をご参照ください）。

そして、東京本社には「FX DC-II C4300」というプリンタが、大阪支社には「Canon LBP 5970」というプリンタがあり、それぞれの拠点サーバー（ここではドメインコントローラーと兼用）にてインストールが済んでいます（プリンタはあくまでもサンプルです。これが推奨機というわけではありません）。

クライアント PC は、東京本社でネットワークに接続した時には「FX DC-II C4300」を、大阪支社でネットワークに接続した時には「Canon LBP 5970」を自動的に登録し、ユーザーはプリンタの登録作業をすることなく、それぞれのネットワークに接続するだけで直ぐに印刷ができることがゴールです。

【設定手順】

それでは手順をご紹介します。

まず、グループポリシーに展開対象のプリンターを登録します。この手順では、Windows Server 2003 R2 以降に標準で含まれている管理コンソール「印刷の管理」を利用しますが、グループポリシーの [展開されたプリンタ] 項目に直接共有プリンタを設定することで、下記手順と同等のことが行えます。

「サーバーマネージャー」（Windows Server 2008 / 2008 R2 の場合）、または「印刷の管理」（Windows Server 2003 R2 の場合）スナップインを起動し、左側のツリーを [印刷の管理]-[プリントサーバー]-<サーバー名>-[プリンター] と展開します。中央のペインで、登録されているプリンタを右クリックし [グループポリシーの展開] をクリックします。

すると下のダイアログが表示されます。ここで [参照] ボタンをクリックします。

ポップアップでグループポリシーを選択するダイアログが表示されますので、プリンタを登録したいグループポリシーを選択します。ここでは、大阪支社のプリンタ「Canon LBP 5970」を大阪支社の配下にいるクライアント PC に展開したいので、大阪支社サイトにリンクされているグループポリシーを選択し、[OK] をクリックします。

元のダイアログに戻り、[この GPO が適用されるコンピューター（コンピューターごと）]にチェックを入れて、[追加] ボタンをクリックし、[OK] ボタンをクリックしてダイアログを閉じます。これにより、このサイトの配下にある PC はすべて（どのドメインユーザーかに関わらず）このプリンタが展開されるようになります。

※ Windows 2000 はユーザーごとのプリンタ登録のみサポートしていますので、対象に Windows 2000 クライアントが存在する場合は、「ユーザーごと」を選択する必要があります。

複数のグループポリシーに対して設定する場合は、この手順を繰り返し、最後に [OK] ボタンをクリックします。

すると、グループポリシーにプリンタの設定が書き込まれ、結果が表示されます。

実際にグループポリシーを確認してみると、このように設定されているのが分かります。

これと同じ手順を、東京本社のサイト GPO に対しても実施します（ここでは省略します）。

展開対象のクライアント PC が Windows Vista / 7 のみでしたら、以上で設定は完了ですが、Windows 2000 / XP / Windows Server 2003 に対しても展開する場合には、サーバー側で追加の設定が必要になります。

追加の設定は、Pushprinterconnections.exe というモジュールをスタートアップスクリプト or ログオンスクリプトに登録するというものです。これにより、クライアント PC 起動時に実行されるこのモジュールが、グループポリシーに設定されているプリンタの情報を読み取って、自動的にプリンタを登録します（Pushprinterconnections.exe は、Windows Server 2003 R2 管理パックに含まれています）。

追加の設定手順については、補足として下の方にまとめていますので、Windows 2000 / XP / 2003 が対象に含まれている場合にはご参考になさってください。対象が Windows Vista / 7 のみの場合には、このモジュールに相当する機能が標準で組み込まれているため、サーバー側で追加の設定は不要です。

では改めまして、まず東京本社（東京サイト）のネットワークに接続した状態で Windows 7 クライアントを起動し、ドメインユーザーでログオンした結果が、下のスクリーンショットです。

続いて、ネットワークを大阪支社（大阪サイト）に切り替えて再起動した後のスクリーンショットです。

このように、接続されたネットワークに応じて、自動的にプリンタ接続が切り替わっているのがお分かりいただけると思います。コマンドプロンプトのウィンドウに表示されている gpresult コマンドの実行結果にあるように、ちゃんとサイトごとに分けたグループポリシーを読み込んだ結果、その設定が適用されたわけです。

【補足】

Pushprinterconnections.exe を使用して、Windows 2000 / XP / 2003 にプリンタを自動展開する場合に必要なサーバー側の追加手順です（本手順の実行前に、予め Pushprinterconnections.exe を用意しておきます）。

展開対象のプリンタが設定されているグループポリシーを開き、[コンピューターの構成]-[ポリシー]-[Windows の設定]-[スクリプト（スタートアップ/シャットダウン）] を開き、右側のペインの [スタートアップ] をダブルクリックして開きます。

「スタートアップのプロパティ」で、[ファイルの表示] をクリックします。

エクスプローラーのウィンドウが表示されるので、ここに Pushprinterconnections.exe を配置します。

「スタートアップのプロパティ」ダイアログに戻り、[追加] ボタンをクリックし、[スクリプト名] テキストボックスに Pushprinterconnections.exe と入力し、[OK] ボタンをクリックします。

以上で、次回クライアント PC の起動時に、自動的に Pushprinterconnections.exe が実行され、プリンタが登録されるようになります。

なお、Pushprinterconnections.exe は、Windows Vista / 7 上で実行した場合は、自動的に終了するようになっていますので、プリンタの登録が二重に実行されたり、エラーが表示されたりといった心配はありません。

【参考情報】

以下に Windows Server でのプリンタの構成管理に関する参考 URL を挙げておきます。

ステップバイステップガイド - Windows Server 2008 の印刷の管理
http://technet.microsoft.com/ja-jp/library/cc753109(WS.10).aspx

Windows Server 2003 R2 印刷の管理機能の概要
http://technet.microsoft.com/ja-jp/library/cc758932(WS.10).aspx

マイクロソフト株式会社
山崎淳一

Filed under: Active Directory, プリントサーバー

新しいシンクライアントの形 - VDI との付き合い方 18 September 09 11:30 PM | Sysplag | (Comments Off)

こんにちは。今回は日頃 SI/ISV パートナー様やお客様とお話をする中で感じたことから、一つ記事を書かせていただきます。

■ 同じ IT でも、立場が違えば向き合い方がまるで違う

マイクロソフトという会社にいると、同じ IT を生業としているのにも関わらず、SI/ISV パートナー様や、情報システム部門のお客様と意識差を生じてしまうことがあります。

マイクロソフトは新しい IT （ソフトウェア）を生みだす立場で、パートナー様はそれを活用してエンドのお客様に IT を具現化し、エンドのお客様は IT を活用してビジネスに生かす立場なわけで、それぞれ IT への向き合い方が違うわけですから、当然といえば当然ですね。

私たち（マイクロソフトのプリセールスエンジニア）は、新しい IT が生まれる場所のそばにいる立場上、それをできる限り多くのパートナー様やエンドのお客様に知っていただき、その価値に気付いてもらうことが主な仕事です。

■ IT と温泉は同じ！？

これは温泉と同じようなものです。どんなに優れた効能の温泉でも、人が立ち入らない山奥の源泉でこんこんと湧いているだけでは、誰もその効能を享受することはできません。誰かが、ここは素晴らしい温泉で、浸かるとこんな効果があると多くの人に伝えることで、初めてその温泉を目的に人が訪れるようになるわけです。そして、源泉が浴槽に引かれ、浴槽までの道が整備され、近隣に温泉宿ができて温泉地が生まれて、継続的に多くの人がやってくるようになります。

これを IT に当てはめると、温泉（源泉）が新しい IT、温泉に浸かる人がお客様、そして浴槽や宿を構築・整備するのが SI/ISV パートナー様ですね。そして、その温泉の良さを広く伝えるのが、私たちプリセールスエンジニアの仕事です。

ちょっと違うところは、温泉は自然に湧いているのに対して、新しい IT は誰かが生み出しているというところです。もちろんマイクロソフトもその一部です。

■ 前置きが長くなりました

そんな新しい IT の源泉の一つが、件名に書いた「VDI」です。恥ずかしながら、私はこの VDI は既に割と一般的なものと勘違いしていました。マイクロソフト社内では（特に私の部署近辺では）仕事上の会話で普通に交わされている用語だったからです。ところが、パートナー様やお客様に「VDI という言葉をご存知ですか？」とお聞きすると、大多数の方が「知らない」と仰います。仮想化のご担当、クライアント PC のご担当など、VDI に比較的近いと思われる方々もそうです。それが、冒頭に書いた「同じ IT を扱う立場での意識差」として感じた所以です。

ということで、今回はまだまだご存じない方が大半と思われる、VDI についてご紹介したいと思います。

■ VDI = Virtual Desktop Infrastructure とは？

この VDI を日本語に訳すと「仮想デスクトップ基盤」となります。シンクライアントの一つの提供形態、ということになります。

シンクライアントとは、サーバー上に展開されたデスクトップ環境を、ネットワーク経由でクライアント端末上に表示し、ユーザーが操作する仕組みです。この時、実際のアプリケーションの処理などはサーバー側で行われ、クライアントはサーバーのデスクトップに対して、キーボードやマウスなどの入力操作と、デスクトップの画面表示を行うのみです（以下、この仕組みを「従来からのシンクライアント」と表記します）。

このサーバー側の仕組みを変えて、サーバー上で仮想マシンを用意し、各クライアント端末からはサーバーのデスクトップではなく、仮想マシンのデスクトップを利用する構成が VDI です。

これだけでは、VDI のどこが良いのかいまいちピンと来ないかもしれません。実際、シンクライアントを検討する際に、VDI は必ずしも最良の選択とは限りません。では、従来からのシンクライアントと比べ、VDI にはどのようなメリット・デメリットがあるのでしょうか？

■ VDI のメリット

アプリケーションの安定した動作が期待できる
VDI では、アプリケーションの稼働環境として OS のレベルから他のユーザーとは分離された環境が提供できますので、マルチユーザーやマルチインスタンスに対応しないアプリケーションも問題なく利用することができます。

クライアントの物理 H/W とデスクトップの管理を分けることができる
サーバー上にクライアント環境が OS 丸ごと一括して保存されているため、クライアント環境のメンテナンスが一か所でまとめて行えます。また、H/W のライフサイクルとデスクトップ環境のライフサイクルを分けて、別々に展開することが可能になります（これは従来からのシンクライアントも同様ですが）。さらに、サーバー上の仮想マシンならデバイスドライバも共通なため、「ある端末で起こる不具合が、別な端末では発生しない」という類の H/W 構成に起因するトラブルも無くなります。

■ VDI のデメリット

豊富なサーバーリソースが必要
従来からのシンクライアントと比べると、多数の仮想マシンをホストすることになりますので、それだけ潤沢な CPU、メモリ、HDD などのリソースが必要になります。

H/W 依存の環境を提供できない
これは従来からのシンクライアントでも一部当てはまることですが、仮想マシンは必要最低限の H/W を利用することしかできないため、特に描画系、音声処理系のアプリケーションなどではパフォーマンスが落ちる or そもそも使えない可能性があります。クライアント端末側で持っている H/W に処理をリダイレクトする機能なども一部搭載され始めていますが（リモートデスクトップ側の機能）、VDI はあくまでも限定的なオフィスワークのための提供形態とした方が良いでしょう。

■ リッチクライアント + シンクライアントという選択も

このように、VDI にはメリットだけではなく、決して無視できないデメリットも存在しますから、利用シナリオによっては VDI は全く適さない場合もあります。また、仮に VDI のデメリットが当てはまらない場合でも、これまでいわゆるリッチクライアント（普通のデスクトップ環境）で行っていた業務を、丸ごと全部シンクライアントに置き換えるには、サーバーインフラ周りの刷新、クライアント端末の置き換え、ユーザートレーニング（シンクライアントでできることとできないことの理解）など、多大なコスト負担と共に利用者の認識を変えてもらうことも必要です。

話が VDI とは逸れますが、そこでマイクロソフトでは、リッチクライアントとシンクライアントの「イイトコ取り」ということで、リモートデスクトップサービス（従来のターミナルサービス）を使った、ハイブリッド型のシンクライアントの導入をお勧めしています。つまり、リッチクライアントでないと厳しい業務は従来通り自分のローカル PC 上で行い、機密情報の取り扱いや、サーバー側で集中管理したいアプリケーションなど、シンクライアント的に提供したい機能は、リモートデスクトップサービスで公開する、といった適材適所での利用です。

今回の記事の趣旨とは離れますので、リモートデスクトップサービスの詳細には触れませんが、リッチクライアントとシンクライアントのハイブリッド型が、多くの場合にマッチする現実的な解であり、VDI やフルシンクライアント環境が最良の解となる例は、必ずしも多くないということだけはご認識いただければと思います。

■ Windows Server 2008 R2 が提供する VDI 機能

マイクロソフト製品で VDI を提供するためには、一般に以下のテクノロジーが必要です。

必要なコンポーネント	対応するマイクロソフトの製品・技術		説明
仮想化基盤	Windows Server 2008 R2	Hyper-V 2.0	仮想マシンをホストするサーバー環境
リモートデスクトップ		リモートデスクトップサービス ※	サーバーに入力と、デスクトップの画面表示
仮想マシンのセッション管理		RD 仮想化ホスト RD 接続ブローカー	仮想マシンを VDI 用に管理し、各クライアントと仮想マシンを引き合わせる
仮想マシンのメンテナンス仮想化基盤全般の管理	SCVMM (System Center Virtual Machine Manager) 2008 R2 （または手動）		仮想マシンを準備したり、削除する。その他仮想化基盤全般の管理
クライアント端末	Windows XP, Vista , 7 等

※ 旧：ターミナルサービス（Windows Server 2008 R2 では「リモートデスクトップサービス」という名称になります）

この表の通り、マイクロソフトの製品・技術（Windows Server + Windows クライアント）を組み合わせることによって VDI を構築することが可能ですが、これまで「仮想マシンのセッション管理」機能は提供が無く、自前でクライアントと仮想マシンの紐付けを設定するか、パートナーソリューションを利用する必要がありました。

しかし、Windows Server 2008 R2 では、ターミナルサービスの機能が拡張されて、新たに RD 仮想化ホスト という機能と、従来 TS セッションブローカー（Windows Server 2003 ではセッションディレクトリ）と呼ばれていたリモートデスクトップのセッション管理機能が、RD 接続ブローカーと名前を変え、VDI のための仮想マシンとセッションの管理機能を提供するようになります（赤字部分）。

つまり、Windows Server 2008 R2 では、OS に搭載されている標準機能だけで、最低限の VDI のサーバーサイド機能を提供できるようになります。ただし、多くの場合は、大量に必要となる仮想マシンの準備や仮想化基盤の運用管理作業を効率化するために、SCVMM (System Center Virtual Machine Manager) 2008 R2 や、ホスト OS の運用監視や管理を行う SCOM (System Center Operations Manager) 2007 R2、SCCM (System Center Configuration Manager) 2007 R2 のような管理製品も併せて必要になります。

■ VDI に必要な製品・ライセンス

この通り、マイクロソフト製品で VDI を構築する場合、様々な製品・テクノロジを横断的に使用します。いかがでしょう。・・・ちょっと複雑ですよね。そこでマイクロソフトでは、VDI に必要なライセンスを包含した VDI Suite ライセンスというものを提供しています。VDI Suite には Standard と Premium の 2 種類があります。

なお、VDI Suite にはクライアントの仮想 OS として利用するためのライセンスは含まれていませんので、VDI 環境で Windows クライアントを利用するためには、 VECD または VECD for SA というライセンスが併せて必要になります（マイクロソフトの VDI ではなく、他社の VDI 製品を利用して VDI を提供する場合も、VECD または VECD for SA は必要です）。

ライセンスに関しては、ここでの説明だけでは理解が不十分なところもあるかと思います。VDI Suite は、この blog の執筆時点では誕生して間もないライセンス体系ですので、これから順次情報が公開されていく予定です。詳細は下記リソースをご覧いただき、導入に当たっては十分なご検討をいただければと思います。

■ 参考情報

VDI に関しては、下記 @IT の記事もあわせてご参照いただくと理解が深まります。
http://www.atmarkit.co.jp/fwin2k/words/004vdi/vdi.html

さらに、Windows Server 2008 R2 の VDI 評価ガイドを以下のサイトよりダウンロードいただけます。http://www.microsoft.com/japan/windowsserver2008/prodinfo/R2/evaluations.mspx

VDI のライセンスを含めた解説については、以下のサイトをご参照ください。

Virtual Desktop Infrastructure Suite
http://www.microsoft.com/japan/windowsserver2008/r2/vdi-suite.mspx

Windows Vista Enterprise Centralized Desktop (VECD) のライセンス
http://www.microsoft.com/japan/virtualization/licensing/VECD.mspx

Core Infrastructure Server Suite (CIS)
http://www.microsoft.com/japan/windowsserver2008/r2/eci.mspx
※ CIS は、VDI のような大規模サーバー環境で利用可能な Suite ライセンスで、Windows Server のサーバーライセンスと、サーバーの運用管理に利用可能な System Center Server Management Suites、およびウィルス対策として Forefront Client Security のライセンスを含んでいます。

マイクロソフト株式会社
山崎淳一

Powershell Active Directory モジュールを活用しよう！！ (その２) 15 September 09 07:00 PM | Sysplag | (Comments Off)

皆さん、こんにちは。

先日、犬と一緒に温泉に行ってきました。犬専用の温泉風呂があるかのか！？と期待して行ったのですが、想像していたのとは異なり普通のバスタブにお湯を入れて利用するものでした。。。ちょっと微妙な感じでしたが、とりあえず楽しんできました！！やっぱり、温泉はいいですね。

で、今回ですが、前回に引き続き PowerShell 関係のネタを紹介させていただきます。ご存じの通り Windows Server 2008 R2 では、PowerShell は 2.0 にバージョンアップされております。その新機能の一つに Active Directory モジュールが新たに追加されていたりするのですが、その中で、 GUI の機能もいくつか追加されておりますので紹介したいと思います。

1.Windows Powershell ISE（Integrated Scripting Environment）

これまで、 Powershell には開発用 GUI は提供されていなかった為、直接コマンドプロンプト上で打ち込むか、テキストエディター等で ps1 ファイルを作成し実行するなど、作成に適した環境が提供されておりませんでした。
今回、この「Windows Powershell ISE」が提供されて事でより Powershell スクリプトの作成が簡単に作成できるようになりました。以下に Windows Powershell ISE の画面を示します。

Windows Powershell ISEの主な特徴は以下の通りです。
（1）コマンドやコメントおよび変数毎に構文が色別に分かりやすく表示
（2）タグ表示により複数のモジュールの利用が簡単
（3）ブレイクポイントの指定 / 解除や選択項目の実行などのデバック機能を搭載

などなど、非常に開発しやすい環境が提供されております。
使用時の注意事項としては、Windows Powershell ISE では標準で組み込まれているモジュールは Windows Powershell のコマンドのみとなっていますので、AD 関連のコマンドを実行しても、エラーが表示され実行されません。なので起動時に AD モジュールであれば、「Import-Module ActiveDirectory」を実行し AD モジュールを組み込んでいただく必要がありますのでご注意ください。

2.Out-GridViewコマンド
PowerShellスクリプトの実行結果からさらにデータの絞り込みや並べ替えができたらと思われた方は少なくないと思います。
通常ですと、Filterの構文を追記したりと構文の修正が発生しておりました。
Out-GridView コマンドを利用する事で出力されたデータを簡単に並べ替えや絞り込みを行う事が可能となっております。
利用方法も簡単で、出力系の構文に「｜ Out-GridView」を追加する事でデータがGridView 画面上に表示されデータ加工が可能となります。
以下に Get-Adobject コマンドでAD上のオブジェクトを検索した結果を GridView 画面に表示した画面を示します。
コマンド例：Get-ADObject -Searchbase "（ドメイン名）" -ldapFilter{(ObjectClass=User)} | Out-GridView

上記画面上の「Add criteria」ボタンを選択していただくと、表示されている項目ごとにデータをフィルタする事が可能です。
以下に、フィルタを指定した画面を示します。
指定したフィルタ例：Name が H または D で始まる User

指定できる条件は以下の通りです。
（1）contains
（2）dose not contain
（3）starts with
（4）eguals
（5）dose not equal
（6）ends with
（7）is empty
（8）is not empty

このように、出力されたデータを柔軟に加工できるようになっております。
ここで抽出されたデータを外部に保存する事はできませんが、データの条件を確認したり、データの内容を分析したりと様々な形で利用できるのではないかと思います。

今回は上記2つの機能について紹介させていただきました。是非ご利用してみてください。

中村仁吏

App-V for TS が RDS CAL / TS CAL へ包含されることに 08 September 09 07:00 PM | Sysplag | (Comments Off)

<10/1 Web セミナー Active Directory デモ + ライブ QA 好評参加登録受付中です。ご登録はこちらから>

皆さん、こんにちは。

2009 年夏衝撃が走ったのは政界だけではありません。今まで単体で販売していた App-V for TS が 2009 年 9 月 1 日付で 2008 R2 RDS CAL / 2008 TS CAL へ包含されることになりました。これで、2008 TS CAL をお持ちのお客様は追加コスト不要で App-V for TS を利用できるようになります。これは多くのお客様にとって Good News です。

その中で注意点をピックアップしますと、

App-V for TS は 2009 年 11 月以降販売されなくなる
2003 以前の TS CAL へは App-V for TS は含まれない

つまり、2008 R2 RDS CAL / 2008 TS CAL をお持ちでない (2003 TS CAL のみ取得済みなどの) お客様は、2009 年 11 月以降 App-V for TS CAL を単体で購入することが出来なくなります。したがって 2008 R2 RDS CAL を購入するか、2009 年 10 月中に App-V for TS CAL を購入する必要があります。

なお、既に App-V for TS を SA 付きで購入し、2009 年 9 月 1 日時点で SA 期間内であった場合は、App-V for TS CAL 4 つと RDS CAL 1 つと交換できる移行措置が設けられています。

また、App-V for Desktops (MDOP に含まれるクライアント用 App-V) のライセンスに変更はありません。

詳しくは以下 FAQ (英語) に記載しておりますのでご参照ください (英語で恐縮です)
Remote Desktop Services Licensing (英語)

App-V for TS のデモは以下から確認できます。
デモキット第三弾 Windows Server 2008 ターミナルサービス + App-V for TS デモ動画

なお、2008 R2 RDS CAL と 2008 TS CAL は同じものです。2008 TS CAL をお持ちであれば、2008 R2 RDS を利用可能です。

また 2009 年 9 月現在 App-V for TS は 64 bit 環境で動作しません。これは 2008 R2 上で現時点では動作しない、ということを意味します。ですがご安心ください。2010 年前半リリース予定の App-V for RDS 4.6 にて x64 環境をサポートします。現在すでにベータ版で動作しています。

最後に、 2008 x86 TS 上で現バージョン App-V for TS 4.5 を評価される場合は以下をご参考下さい。for Desktop のガイドがメインですが、仕組みは同じですので for TS でも同様にご利用いただけます。App-V クライアントが TS 上で動作するかクライアント PC 上で動作するかの違いだけです。

App-V 4.5 スタートアップガイド
 App-V ホワイトペーパー一覧 (日本語）
App-V / SoftGrid ホワイトペーパー一覧 (日本語)
統合のベストプラクティス : Microsoft SoftGrid Application Virtualization とターミナルサービス/Citrix Presentation Server

それでは、もう一つの衝撃、パンデミックに備えマスク買いに行きます。

マイクロソフト高田祐二

日経 BP 主催「Windows 7 との相乗効果～生産性を向上させる新機能～」Webinar フォローアップ 03 September 09 12:18 PM | Sysplag | (Comments Off)

先日、日経 BP さん主催の Webinar の 1 セッションとして、「Windows 7 との相乗効果～生産性を向上させる新機能～」と題した、BranchCache と DirectAccess 紹介セッションに登壇した山崎です。当日ご参加いただきました皆様、ありがとうございました！

Webinar とは、セミナー会場に足を運んで話を聞く Face to Face のスタイルのセミナーではなく、参加者が端末からブラウザを開き、 Live でストリーミング配信される動画を聴講するスタイルのセミナーです。

日々の業務に忙しい方でも、わざわざセミナー会場まで行く必要がなく、仕事の合間を縫って好きな場所から（ネットに接続できる環境なら）参加できるのが特長です。また、システムが対応していれば、チャットを使ってダイレクトに講師に質問を投げることもできます。

今回私のセッションでは、100 名近い方々のご参加をいただき、また非常に多くの質問をいただきました（日経 BP の担当の方もびっくりしていました）。QA 込みで 30 分という限られた時間だったため、一部の質問に回答するのが精一杯でしたので、フォローアップとして、特に多かった質問を中心にこの場で回答させていただきます。

なお、当日のセッションは以下の日経 BP さんのサイトよりご覧いただけます。高画質なデモビデオの視聴や、セミナー関連資料もダウンロード可能です。

Webinar 番組一覧｜Windows Server 2008 R2 徹底解剖｜ITPro Special
http://special.nikkeibp.co.jp/ts/article/0i0f/103126/

■ BranchCache に関する質問

- BranchCashe は RDB ベースの Web アプリケーションでも効果がありますか？ -

BranchCache の対象は SMB と HTTP/HTTPS ベースのファイルアクセスに対するキャッシングとなります。ですので、RDB のデータを直接読み書きするような通信には BranchCache は効きません。また、クライアントからアクセスがある度に、サーバーサイドのプログラムが RDB のデータを抽出し、ファイルを生成してクライアントにダウンロードさせるような Web アプリケーションの場合には、実質的に BranchCache は機能しません（毎回ファイルが新規に生成されるので、キャッシュが使われない）。

- BranchCache の機能は WAFS アプライアンスと同様と考えてよろしいでしょうか？ -

WAFS アプライアンスは、様々なデータキャッシング機構を備えており、WAN 越しのファイルアクセスに対するパフォーマンスや信頼性を多方面から上げる工夫がなされています。その中には、BranchCache のようにファイルそのもののキャッシュを貯め込む機構を持っているものも含まれていますので、そういった意味では WAFS アプライアンスの一機能と同様の効果を発揮する仕組みを BranchCache は持っていると言えますが、WAFS アプライアンスを完全に置き換えるような技術ではありません。

- BranchCache のキャッシュサーバーは、スタンダードでは NG でした。 -

本セミナーの資料には「サーバーのエディションは Standard 以上」と記載しており、セミナー中もそのようにご案内していましたが、ご指摘の通り Standard エディションではキャッシュサーバーを構成することはできません（ファイルサーバーとしては構築可能）。Windows Server 2008 R2 Enterprise/Datacenter がキャッシュサーバーの要件となります。大変申し訳ありません。お詫びして訂正させていただきます。

また、下記弊社サイトにて Enterprise のみがキャッシュサーバーとして利用できるという表記となっていましたが、こちらも併せて修正しました。

Windows Server 2008 R2 エディションの違い
http://www.microsoft.com/japan/windowsserver2008/r2/editions/features.mspx

- ファイルを変更してアップしたら？キャッシュの整合性は？ -

BranchCache では、まずキャッシュの有無を確認する前に、必ずオリジナルのファイルが存在するサーバーにファイルのハッシュをもらいに行きます。その次にキャッシュを確認し、そのハッシュに一致するキャッシュが存在すればキャッシュからダウンロードし、存在しなければオリジナルのファイルをダウンロードするという手順を踏みます。ファイルのハッシュ値はファイルが少しでも更新されれば必ず変わりますので、ユーザーは常に最新のファイルを入手することができます。

※ セッション資料より抜粋

- キャッシュサーバの H/W スペックはどれくらい必要ですか？ Disk、メモリなど -

現段階ではサイジングに関する指標は無いのですが、その役割の性質上、ディスクサイズとディスクアクセスパフォーマンスに重点を置いた H/W 選定をしていただければと思います（もちろん、クライアントとキャッシュサーバー間のネットワーク帯域は最も重要な要素です）。

■ DirectAccess に関する質問

- 容易に社外からアクセスできるようになることで情報漏洩につながらないか？（暗号化はきちんとしているか？第三者が偶然に社内ネットワークにはいってしまうことはないか？） -

- DirectAccess は現行の商用サービスと比べ、無償となる点がユーザメリットと考えてよろしいですか？技術的（またはセキュリティ的）なメリットもありますか？ -

セッション中にご紹介させていただきましたが、DirectAccess の通信は、IPSec での暗号化と、Active Directory を使用した接続端末認証が行われます（つまり、組織内で然るべき手順で Active Directory ドメインに参加したマネージド端末のみ DirectAccess を利用可能）。また、DirectAccess の通信を利用して組織内ネットワークにアクセスしようとした時に、IC カードによる認証を必要とするように構成し、確実なユーザー確認を実施することも可能です。

さらに、NAP（ネットワークアクセス保護）と連携した接続端末のセキュリティ整合性チェック（ウィルス対策の有無、ファイアウォールの有効無効、パッチの適用状況など）も行うことが可能です。

またちょっと話は逸れますが、管理者視点で見てみると、例えば長期外部常駐ユーザーの端末や、いつも日本全国各地を飛び回っている営業さんの端末など、なかなか組織内のネットワークに接続しないために管理がしづらい端末も、DirectAccess が有効なら、その端末がインターネットに接続さえすれば、グループポリシーの適用や、組織内に構成された WSUS や SCCM 等のパッチ配布サーバーからのパッチ適用、端末の構成情報収集なども行えるようになります。

この辺りは（従来の VPN サービスと比較しても） DirectAccess の導入メリットとも言えます。

- DirectAccess サーバーを Hyper-V で仮想化できるか？ -

はい、Hyper-V のゲストマシンに Windows Server 2008 R2 をインストールし、DirectAccess 機能を構成して DirectAccess サーバーとして運用することが可能です。

- DirectAccess は、DC、DNS、CA サービスは同一の Win2008 サーバで利用できますか？ -

はい、同一のマシンに Windows Server 2008 または 2008 R2 をインストールし、DC, DNS, CA を構成することができます。実際にリリースされているステップバイステップガイドでも、そのような構成になっています。

Step By Step Guide: Demonstrate DirectAccess in a Test Lab (英語)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8d47ed5f-d217-4d84-b698-f39360d82fac

余談ですが、DirectAccess 機能も含めて 1 台のマシンに収めることも可能です。通常 DC はバックエンドに配置し、なるべく DC は必要最小限のサーバーロールのみで構成するのがセオリーですので、推奨はできませんが・・・。

- XP や Vista での対応予定はありますか？ -

現在のところ、XP や Vista の対応予定はありません（BranchCache に関しても同様です）。申し訳ありません。今後何かアップデートがありましたらこの blog でも取り上げていきたいと思います。

- UAG を使用した場合でも DA サーバ側は IPv6 環境が必要になるのでしょうか？ -

IPv6 非対応の内部ネットワーク環境でも、ISATAP, NAT-PT, UAG といったテクノロジ／製品を利用した IPv4-IPv6 アドレス・プロトコル変換により DirectAccess が利用可能です。ISATAP は Windows Server 2003/XP 以降であれば標準で利用可能です。NAT-PT はこの機能を持ったネットワーク機器が販売されています。

※ セッション資料より抜粋

■ 番外

- 分かり易くたすかります。ありがとうございました。 -

こちらこそありがとうございました。私たちはマイクロソフトのテクノロジを分かりやすく説明して、ご採用いただき、そして皆様のビジネスがより良く回るようになることがゴールです（一番最後を忘れると、ただの押しつけ営業野郎になってしまいます）。そのような活動の中で、感謝の言葉をいただくことは明日への活力に繋がります（もっといいものを提案していこうという力になります）。

なお、この Webinar は 2008 R2 の新機能をご紹介する全 3 回のシリーズになっており、第 1 回は弊社高添が Hyper-V 2.0 の目玉機能である Live Migration をメインとした紹介を行っています。そして第 2 回が当セッション、第 3 回は私と同じチームでこの blog でも度々登場している高田が、Active Directory をテーマに登壇する予定です。10/1 開催予定とまだ少し先になりますが、是非今のうちからご登録の上、ご参加いただければと思います。

ご登録はこちらから↓
http://special.nikkeibp.co.jp/ts/article/0i0f/102969/

私も、事前にこの blog で当 Webinar をご案内すれば良かったと後悔中ですが、上記の通り、日経 BP さんのサイトからいつでも観ることができるようになっていますので、是非ご覧になってください。

マイクロソフト株式会社
山崎淳一

Windows 展開サービスを使った VHD の配信 01 September 09 10:15 AM | Sysplag | (Comments Off)

前回の石澤さんの投稿にもありますように Tech・Ed Japan 2009 のキーノートが Web で見ることができます。すごい高画質で会場と変わらぬ臨場感で見れますので、まだ見ていない、参加したけどもう一度見たい！という方は是非ご覧ください。

さて、本日のブログでは Tech・Ed のキーノートでもお見せした Windows 展開サービスを使った VHD の配信の設定方法を紹介したいと思います。

■準備
マシンを 2 台用意し、そのうち 1 台のマシンに Windows Server 2008 をインストールし、ドメインを構築します。さらに、DHCP と Windows 展開サービスの役割をインストールします。

VHD を Windows 展開サービス上に登録するには、以下の WDSUtil コマンドを実行します。(注: GUI の Windows 展開サービスコンソールからは VHD の追加はできません。)

WDSUtil.exe /Verbose /Progress /Add-Image /ImageFile: d:\VHD4WDS\WindowsServer2008R2.vhd /ImageType:Install /ImageGroup: VHD_Image

こちらのコマンドは、イメージグループ「VHD_Image」に VHD ファイル「d:\VHD4WDS\WindowsServer2008R2.vhd」を追加した例です。必要に応じてイメージグループと VHD のパスを変更して実行してください。

追加が完了するとイメージのプロパティの全般タブのファイル名に ***.vhd と表示され VHD ファイルが追加されていることが確認できます。↓

あとは通常の Windows 展開サービスと同様応答ファイルを作成して設定の自動化などが可能です。

以上の設定だけで Tech・Ed のキーノートでお見せした Windows 展開サービスを使った VHD の配信のデモ環境を作ることができます。

また、もうひとつの VHD を使ったデモ、VHD ブートの設定方法は以前のエントリーで紹介されていますのでそちらも是非参考にして下さい。

Windows Server 2008 R2 新機能 VHD ブートを試す
http://blogs.technet.com/windowsserverjp/archive/2009/04/01/3220297.aspx

キーノートの動画を見て興味を持った方は是非お手元の環境で試してみてください！

竹内宏之

Windows 2000 Server のバージョンアップ(その3) 既存環境の把握と新規構築 29 August 09 04:00 PM | Sysplag | (Comments Off)

本日(2009/8/28)で３日間の Teched 2009 が閉会しました。私は初日と最終日に行きましたが、なかなか盛り上がっていたのではないかと思います。(いま、会場の外でこのブログを書いています)

初日のキーノートがこちら(キーノートライブ中継)から見られます。Windows 7, Windows Server 2008 R2, Office 2010 のデモが盛りだくさんですので、ぜひご覧になってください。

特に Windows Server 2008 R2 は Core Parking による消費電力の削減(実際に消費電力を見ながらデモ）、VHDブート、そしてWDS(Windows 展開サービス）を使用したVHDファイルの展開のデモを行っています。ビデオの開始から 1:29:00 後頃から見られます。

さて、今回の記事は、Windows 2000のバージョンアップ第３弾としました。前回はインプレースアップグレードでしたが、今回は新規構築です。

インプレースでアップグレードしたほうがリスクも少ないし、移行の手間もかからないのに、なぜ新規構築なのでしょうか？

それは、特に、

以前のネットワークが細い時代に設計されたドメインが大量に残っており、しかも複雑
複数のドメインが乱立していて、信頼関係で結んではいるが、１つにしたい。
どのユーザオブジェクトが使われているかわからない
Admin権限を持つアカウントがパスワード無期限で登録されているが、使われているかわからない
とはいえ、そのアカウントを削除してシステムが止まると困る
利用しているかわからないグループがたくさん
GPOがいくつも登録されていて、きれいにしたい

など、一度ドメインやオブジェクトを整理したい要件がある場合に有用です。

方法としては、ADMTツールを使用して、ユーザーオブジェクトを現在のドメインから新しいドメインへコピーします。この方法をとることで、古いドメインとアプリケーションはそのままで、新しいドメインでアプリケーションテストをさっさと始めてしまう事ができます。

一発勝負だとかなり綿密な準備が必要ですが、この方法なら、実際にユーザが新ドメインへ移動するまで何度でもテストができます。移行する前ならば、新しいドメインを作り直すこともできます。
最悪、移行後、新しいドメインへログオンして利用できないアプリケーションがあった場合でも、古いドメインへログオンし直せば利用を継続することができます。(同一フォレスト内のドメイン間移動は、ADMTで移動するとユーザが移動元から無くなりますのでご注意ください）

ADMTによる新規ドメイン構築の方法については、こちらのTechnet資料(ADMT v3.1 を使用した Active Directory ドメインの移行と再構築)が分かりやすいです。

まずは、新規ドメインを構築し、テストを始めてみてはいかがでしょう？もちろん、テスト環境には Hyper-V がお勧めです。今なら Windows Server 2008 R2の評価版が最大240日利用できます。

今回は、いきなり、移行方法をお話ししましたが、その前にぜひ実施していただきたいのが現状環境の把握です。どんなドメインがあるか、ドメインごとの機能レベルは？、DCのOSバージョンは？、信頼関係は？、サイトリンクとコストは？など事前に押さえて置かなければなりません。その結果をもって、新規構築にするのか、インプレースアップグレードにするか決めるのがよいでしょう。

その時に有用なツールがADTD(Microsoft Active Directory Topology Diagrammer)です。ツール自体は英語ですが、日本語環境でも利用できます。

以前は、ADMapと呼ばれており、１０年近く前からあるツールなので、いまさら紹介？という感じですが、まだままだ利用価値の高いツールです。私も今まで何件もお客様に実施していただきました。

簡単にツールの使い方をご紹介します。

１）事前準備

以下の環境が必要です。

ドメインに参加した Windows PC(Server/Clientどちらでも）
- Visio 2003 or 2007(画面描画に必要です)
- .NET Framework 2.0

２）ADTDのダウンロードとインストール

３）ADTDの実行

ADTDをインストールしたPCでドメインへログオンし、ADTDを実行します。設定は以下を参考にしてください。

Domain Tab では GC Server名(どのGCでも構いません)を入力します。そのほか以下のオプションを有効にします。ドメインごとのユーザ数を数えるオプションを選択しましたが、登録されているユーザのが１万を超えるような場合には、実行時に時間がかかります。

OU Tab では以下を選択します。

Site Tabでは以下を選択します。サイトリンクや、サブネットも出力されます。

Applications Tab では以下を選択します。

もし、Exchange Serverが導入されている環境で、Exchangeの構成も見たい場合には Exchange Server Tab で以下を選択します。必要ない場合には「Draw Exchange Organization」のチェックをはずします。

Server Tab ではすべてをチェックします。これで、DCのWindowのバージョンやFQDN名なども一緒に表示されます。

最後に、右下の「Discover」を押して、画面の一番下のステータスバーに結果が表示されるまで待ちます。次に「Draw!」を押すと Visio が立ち上がり、ドメインやサイトの探索結果を表示してくれます。

Visioの結果は以下のようになります。

ドメインの機能レベル(Windows 2003ドメイン機能レベル)や、登録ユーザ数（45人）、FSMOのそれぞれのロールを持つDCの名前、そして、DCのWindowsバージョンなどが表示されています。

他にも、サイトの構成、OUのツリー構造など、それぞれ別のVisioファイルとしてマイドキュメントへ保存されます。

詳細お知りになりたい方は、MSのADサポートチームのブログ記事をご参照ください。今回の記事はそのブログから画像を転載しました。

管理者の方は一度社内のADでこのツールを実行してみることをお勧めします。想定していなかったドメインや、消したはずがDBから消えていないDC、サイトのサブネット設定の間違いなど、思わぬ結果が出ることが大半です。今まで管理者の方とこの結果を見ながらお話しした際に「そうです。この通りです。間違いありません」とおっしゃられたことは１度もありません。

本日の記事は以上です。ではまた次回おあいしましょう。

石澤史明

Filed under: Windows 2000 からの移行

Windows Server 使い倒し塾

Search

This Blog

Tags

Archives

Link

Syndication