6. サーバ構築・管理(Windows)

任国で構築/管理したWindowsサーバについて記載していきます。

サーバ管理

BGinfo

複数のサーバをリモートで操作するので、ホスト名を表示させたいのと、OSバージョンやサービスパック、ハードウェアスペックなども併せて表示させておきたいので、各サーバにBGinfoをインストールしておきます。

リモートデスクトップ接続設定

リモートでサーバにログインして作業するのはもちろんのこと、広いカレッジなのでクライアントもリモートで作業できるよう設定する必要があります。

サーバ
デフォルトだと1台しか接続できないので、同僚とバッティングする可能性がある為、同時接続数を変更します。

  1. [スタート] – [管理ツール] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホストの構成] をクリック。
  2. [接続] で、接続の名前を右クリックし、[プロパティ] をクリック。
  3. 接続の [プロパティ] ダイアログ ボックスの [ネットワーク アダプター] タブで [最大接続数] をクリックし、接続で許可する同時リモート接続数を入力。

クライアント
デフォルトでは、リモート接続は許可されていないので設定します。

①リモート接続を許可する
『スタートメニュー』を右クリック ⇒ 『システム』 ⇒ 『リモート設定』 をクリックして 『システムプロパティ』 を開き、 『リモート』 タブを選択します。その後、下記のようにリモート接続を許可します。

②ドメインネットワークからのリモートデスクトップの接続を許可する
『コントロールパネル』 ⇒ 『システムとセキュリティ』 ⇒ 『Windowsファイアウォール』 ⇒ 『Windows ファイアウォールを介したアプリまたは機能を許可』 をクリックします。下記のように、リモートデスクトップ欄のドメインにチェックを入れ、ドメインネットワークからの接続を許可します(下記はグループポリシーで設定したので、2行表示されています)。

③ドメインユーザでリモートデスクトップ接続を許可する
デフォルトではAdministrator以外のユーザでリモートログオンできません。各スタッフのユーザアカウントでログインして調査する必要が多々あるので、クライアントOS側の「リモートデスクトップ接続を許可するユーザ」にドメインユーザを追加します。

「System Properties」→「Remote」タブを開き、右下の「Select Users」をクリックし、ドメインユーザを追加。

④グループポリシーで全クライアントに設定する
上記内容を全てのクライアントに設定するには、Windowsサーバのグループポリシーで設定します。

グループポリシーでの設定
カテゴリー 項目 設定
コンピューターの構成/ポリシー/管理用テンプレート/Windowsコンポーネント/リモートデスクトップサービス/リモートデスクトップセッションホスト/接続 ユーザーがリモートデスクトップサービスを使ってリモート接続することを許可する 有効
コンピューターの構成/ポリシー/管理用テンプレート/Windowsコンポーネント/リモートデスクトップサービス/リモートデスクトップセッションホスト/セキュリティ リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする 有効
コンピューターの構成/ポリシー/管理用テンプレート/ネットワーク/ネットワーク接続/Windowsファイアウォール/ドメインプロファイル 着信リモートデスクトップの例外を許可する 有効
コンピューターの構成/ポリシー/Windowsの設定/セキュリティの設定/制限されたグループ Remote Desktop Usersグループを追加し、Domain Usersをメンバーに追加

設定後、コマンドプロンプトからグループポリシーの更新を行います。

C:\> gpupdate /force

参考
Windows 10 でリモートデスクトップ接続を許可したが接続ができない
【Windows Server 2012R2】Windows7用のリモートデスクトップグループポリシー
Tech グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)

DHCPサーバ

どのクライアントがどのIPアドレスを使用しているかを確認する場合は、netshコマンドを実行します。

C:\>netsh dhcp server scope 10.XX.XX.0 show clients 1	;; 1:コンピュータ名も表示

Changed the current scope context to 10.XX.XX.0 scope.

Type : N - NONE, D - DHCP B - BOOTP, U - UNSPECIFIED, R - RESERVATION IP
============================================================================================
IP Address      - Subnet Mask    - Unique ID           - Lease Expires        -Type -Name
============================================================================================

10.XX.XX.101    - 255.255.254.0  - 00-0f-fe-cd-f8-cd   -2017/10/27 07:34:09 AM  -D-  ADMG0001.XXXXX.XXXXX.XX.ac.bw
10.XX.XX.102    - 255.255.254.0  - 00-0f-fe-cd-f8-5c   -2017/10/26 07:54:27 PM  -D-  ADMG0002.XXXXX.XXXXX.XX.ac.bw
  :

ファイルサーバ

共有フォルダの一覧と、どのフォルダを共有しているかをnet shareコマンドで確認しておきます。

C:\>net share
Share name			Resource										Remark
-------------------------------------------------------------------------------
ADMIN$				C:\Windows										Remote Admin
ADMINISTRATION$		D:\STAFF\NON-ACCADEMIC\ADMINISTRATION
APPLIED SCIENCE$	D:\STAFF\ACCADEMIC\DEPARTMENTS\TECHNOLOGY\APPLIED SCIENCE
  :

削除したファイルを復元するシャドウコピーの設定をします。この機能により、クライアントPCのゴミ箱のように、削除したファイルを完全に削除せず、戻すことができます。

シェアフォルダのあるボリュームを選択し、Enableボタンをクリック後、Settingsボタンをクリック

Scheduleボタンをクリックして、スケジュールを設定

該当の共有フォルダを右クリックして、Properties画面を開き、Previous Versionsタブを開きます。今日削除してしまったファイルを復元したい場合は、昨日の日付のフォルダを開き、該当のファイルを任意の場所へコピーすることで、ファイルを復元できます。

Active Directory

1台目の仮想サーバに3台のWindowsサーバ(2008R2)が載っていて、DHCPサーバ兼親ドメコン、職員用ドメコン、生徒用ドメコンとして使用されています。2台目の仮想サーバが空だったので、同様に3台のWindowsサーバ(2012R2)をインストールして、セカンダリのDHCP&ドメインコントローラーとして設定していきました。

Active Directoryにドメインコントローラーを追加
下記を参考に、Windows Server2012R2のActive Directoryにドメインコントローラーを追加します。

参考
Windows Server 2012 R2でActive Directoryにドメインコントローラーを追加する手順

DHCPリレーの設定(ip helper-address)
カレッジの端末は、IPアドレスを自動取得するよう設定しています。IPブロードキャストを使用して、同セグメント(VLAN)上のDHCPサーバを探すため、DHCPとは別セグメントにいる端末はIPアドレスを取得できません。スイッチ側で、DHCP要求を別セグメントへ転送する設定を行う必要があります。

# conf terminal
(config)# vlan 1
(vlan-1)# ip helper-address XX.XX.XX.2
(vlan-1)# exit
  :
vlanの数だけ設定
  :
# write memory						# 設定を保存
# show run							# 変更を確認
vlan 1
   name "DEFAULT_VLAN"
   ip helper-address XX.XX.XX.1		# プライマリDHCPサーバ
   ip helper-address XX.XX.XX.2		# セカンダリDHCPサーバもDHCPリレーの設定がされたことを確認
  :

参考
DHCPリレーの設定(ip helper-address)

Active Directoryからドメインコントローラーを削除
半年経っても同僚がWindows Server2012R2のライセンスを取得してこなかったので、それが原因かは不明ですが、動かなくなりました。。Active Directoryのデータベースには壊れたドメコンの情報が残ったままなので、下記を参考にこれを削除しました。

参考
障害が発生したドメインコントローラの情報をActive Directoryから削除する

Group Policy

追加で設定したものを含め、代表的なものとしては下記を設定しています。Windows Server 2008R2 の為、インターネットオプションはIE8までしか設定できないので(クライアントPCはIE11を使用)、新たに Windows Server 2012R2 を再構築予定(一度構築したもののライセンス失効した為、同僚がライセンス取得してきたのを確認してから再度構築予定)。

Group Policy 設定項目
コンピュータ/ユーザ ポリシー/基本設定 設定内容
コンピュータの構成 ポリシー パスワードは6文字以上
リモートデスクトップ接続を許可
自動更新の即時インストールを許可
イントラネットのMicrosoft更新サービスの場所から署名付きの更新を許可する
自動更新を構成する(自動ダウンロード、毎日21時にインストール)
Windows Update電源管理を有効にして、システムを(休止状態から)自動的に起動して、スケジュールされた更新プログラムをインストールする
イントラネットのMicrosoft更新サービスの場所を指定する(WSUSサーバを指定)
自動更新による推奨アップデートの有効化
基本設定 スリープしない(始業前にアンチウィルスソフトのアップデートが走るので)
ユーザの構成 ポリシー プロキシ設定を有効にする(プロキシサーバを指定)
デスクトップ壁紙(カレッジのロゴを指定)
インターネットオプションの全般タブを非表示にする
インターネットオプションのセキュリティタブを非表示にする
インターネットオプションのプライバシータブを非表示にする
インターネットオプションのコンテンツタブを非表示にする
インターネットオプションのプログラムタブを非表示にする
インターネットオプションの詳細設定タブを非表示にする
基本設定 隠しファイルとフォルダを表示しない
毎週金曜11時に全てのPCをシャットダウン
インターネットオプションのホームページをカレッジのポータルサイトに設定
インターネットオプションのセキュリティレベルをMedium-highに設定

参考
コンピューターを設定時刻に自動でシャットダウンする
Windows Server 2008 R2 グループポリシーの基本設定6[電源オプション]
MSIファイルをWindows Active Directoryのグループポリシーでインストールする