サーバ管理
※ 固定ページの画像がPHPのバージョンアップ及び移設で無くなってしまったようです。Windowsなんか画像無いとよくわからないし、悲しい。。
BGinfo
複数のサーバをリモートで操作するので、ホスト名を表示させたいのと、OSバージョンやサービスパック、ハードウェアスペックなども併せて表示させておきたいので、各サーバにBGinfoをインストールしておきます。
リモートデスクトップ接続設定
リモートでサーバにログインして作業するのはもちろんのこと、広いカレッジなのでクライアントもリモートで作業できるよう設定する必要があります。
サーバ
デフォルトだと1台しか接続できないので、同僚とバッティングする可能性がある為、同時接続数を変更します。
- [スタート] – [管理ツール] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホストの構成] をクリック。
- [接続] で、接続の名前を右クリックし、[プロパティ] をクリック。
- 接続の [プロパティ] ダイアログ ボックスの [ネットワーク アダプター] タブで [最大接続数] をクリックし、接続で許可する同時リモート接続数を入力。
クライアント
デフォルトでは、リモート接続は許可されていないので設定します。
①リモート接続を許可する
『スタートメニュー』を右クリック ⇒ 『システム』 ⇒ 『リモート設定』 をクリックして 『システムプロパティ』 を開き、 『リモート』 タブを選択します。その後、下記のようにリモート接続を許可します。
②ドメインネットワークからのリモートデスクトップの接続を許可する
『コントロールパネル』 ⇒ 『システムとセキュリティ』 ⇒ 『Windowsファイアウォール』 ⇒ 『Windows ファイアウォールを介したアプリまたは機能を許可』 をクリックします。下記のように、リモートデスクトップ欄のドメインにチェックを入れ、ドメインネットワークからの接続を許可します(下記はグループポリシーで設定したので、2行表示されています)。
③ドメインユーザでリモートデスクトップ接続を許可する
デフォルトではAdministrator以外のユーザでリモートログオンできません。各スタッフのユーザアカウントでログインして調査する必要が多々あるので、クライアントOS側の「リモートデスクトップ接続を許可するユーザ」にドメインユーザを追加します。
「System Properties」→「Remote」タブを開き、右下の「Select Users」をクリックし、ドメインユーザを追加。
④グループポリシーで全クライアントに設定する
上記内容を全てのクライアントに設定するには、Windowsサーバのグループポリシーで設定します。
| カテゴリー | 項目 | 設定 |
|---|---|---|
| コンピューターの構成/ポリシー/管理用テンプレート/Windowsコンポーネント/リモートデスクトップサービス/リモートデスクトップセッションホスト/接続 | ユーザーがリモートデスクトップサービスを使ってリモート接続することを許可する | 有効 |
| コンピューターの構成/ポリシー/管理用テンプレート/Windowsコンポーネント/リモートデスクトップサービス/リモートデスクトップセッションホスト/セキュリティ | リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする | 有効 |
| コンピューターの構成/ポリシー/管理用テンプレート/ネットワーク/ネットワーク接続/Windowsファイアウォール/ドメインプロファイル | 着信リモートデスクトップの例外を許可する | 有効 |
| コンピューターの構成/ポリシー/Windowsの設定/セキュリティの設定/制限されたグループ | Remote Desktop Usersグループを追加し、Domain Usersをメンバーに追加 | – |
設定後、コマンドプロンプトからグループポリシーの更新を行います。
C:\> gpupdate /force
参考
Tech グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)
DHCPサーバ
どのクライアントがどのIPアドレスを使用しているかを確認する場合は、netshコマンドを実行します。
C:\> netsh dhcp server scope 10.XX.XX.0 show clients 1 ;; 1:コンピュータ名も表示 Changed the current scope context to 10.XX.XX.0 scope. Type : N - NONE, D - DHCP B - BOOTP, U - UNSPECIFIED, R - RESERVATION IP ============================================================================================ IP Address - Subnet Mask - Unique ID - Lease Expires -Type -Name ============================================================================================ 10.XX.XX.101 - 255.255.254.0 - 00-0f-fe-cd-f8-cd -2017/10/27 07:34:09 AM -D- ADMG0001.XXXXX.XXXXX.XX.ac.bw 10.XX.XX.102 - 255.255.254.0 - 00-0f-fe-cd-f8-5c -2017/10/26 07:54:27 PM -D- ADMG0002.XXXXX.XXXXX.XX.ac.bw :
ファイルサーバ
共有フォルダの一覧と、どのフォルダを共有しているかをnet shareコマンドで確認しておきます。
C:\> net share Share name Resource Remark ------------------------------------------------------------------------------- ADMIN$ C:\Windows Remote Admin ADMINISTRATION$ D:\STAFF\NON-ACCADEMIC\ADMINISTRATION APPLIED SCIENCE$ D:\STAFF\ACCADEMIC\DEPARTMENTS\TECHNOLOGY\APPLIED SCIENCE :
削除したファイルを復元するシャドウコピーの設定をします。この機能により、クライアントPCのゴミ箱のように、削除したファイルを完全に削除せず、戻すことができます。
シェアフォルダのあるボリュームを選択し、Enableボタンをクリック後、Settingsボタンをクリック
Scheduleボタンをクリックして、スケジュールを設定
該当の共有フォルダを右クリックして、Properties画面を開き、Previous Versionsタブを開きます。今日削除してしまったファイルを復元したい場合は、昨日の日付のフォルダを開き、該当のファイルを任意の場所へコピーすることで、ファイルを復元できます。
Active Directory
1台目の仮想サーバに3台のWindowsサーバ(2008R2)が載っていて、DHCPサーバ兼親ドメコン、教職員用ドメコン、生徒用ドメコンとして使用されています。2台目の仮想サーバが空だったので、同様に3台のWindowsサーバ(2012R2)をインストールして、セカンダリのDHCP&ドメインコントローラーとして設定していきました。
Active Directoryにドメインコントローラーを追加
下記を参考に、Windows Server2012R2のActive Directoryにドメインコントローラーを追加します。
参考
Windows Server 2012 R2でActive Directoryにドメインコントローラーを追加する手順
DHCPリレーの設定(ip helper-address)
カレッジの端末は、IPアドレスを自動取得するよう設定しています。IPブロードキャストを使用して、同セグメント(VLAN)上のDHCPサーバを探すため、DHCPとは別セグメントにいる端末はIPアドレスを取得できません。スイッチ側で、DHCP要求を別セグメントへ転送する設定を行う必要があります。
# conf terminal (config)# vlan 1 (vlan-1)# ip helper-address XX.XX.XX.2 (vlan-1)# exit : vlanの数だけ設定 : # write memory # 設定を保存 # show run # 変更を確認 vlan 1 name "DEFAULT_VLAN" ip helper-address XX.XX.XX.1 # プライマリDHCPサーバ ip helper-address XX.XX.XX.2 # セカンダリDHCPサーバもDHCPリレーの設定がされたことを確認 :
参考
DHCPリレーの設定(ip helper-address)
Active Directoryからドメインコントローラーを削除
半年経っても同僚がWindows Server2012R2のライセンスを取得してこなかったので、、それが原因かは不明ですが、動かなくなりました。。Active Directoryのデータベースには壊れたドメコンの情報が残ったままなので、下記を参考にこれを削除しました。
参考
障害が発生したドメインコントローラの情報をActive Directoryから削除する
Group Policy
追加で設定したものを含め、代表的なものとしては下記を設定しています。Windows Server 2008R2 の為、インターネットオプションはIE8までしか設定できないので(クライアントPCはIE11を使用)、新たに Windows Server 2012R2 を再構築予定(一度構築したもののライセンス失効した為、同僚がライセンス取得してきたのを確認してから再度構築予定)。
| コンピュータ/ユーザ | ポリシー/基本設定 | 設定内容 |
|---|---|---|
| コンピュータの構成 | ポリシー | パスワードは6文字以上 |
| リモートデスクトップ接続を許可 | ||
| 自動更新の即時インストールを許可 | ||
| イントラネットのMicrosoft更新サービスの場所から署名付きの更新を許可する | ||
| 自動更新を構成する(自動ダウンロード、毎日21時にインストール) | ||
| Windows Update電源管理を有効にして、システムを(休止状態から)自動的に起動して、スケジュールされた更新プログラムをインストールする | ||
| イントラネットのMicrosoft更新サービスの場所を指定する(WSUSサーバを指定) | ||
| 自動更新による推奨アップデートの有効化 | ||
| 基本設定 | スリープしない(始業前にアンチウィルスソフトのアップデートが走るので) | |
| ユーザの構成 | ポリシー | プロキシ設定を有効にする(プロキシサーバを指定) |
| デスクトップ壁紙(カレッジのロゴを指定) | ||
| インターネットオプションの全般タブを非表示にする | ||
| インターネットオプションのセキュリティタブを非表示にする | ||
| インターネットオプションのプライバシータブを非表示にする | ||
| インターネットオプションのコンテンツタブを非表示にする | ||
| インターネットオプションのプログラムタブを非表示にする | ||
| インターネットオプションの詳細設定タブを非表示にする | ||
| 基本設定 | 隠しファイルとフォルダを表示しない | |
| 毎週金曜11時に全てのPCをシャットダウン | ||
| インターネットオプションのホームページをカレッジのポータルサイトに設定 | ||
| インターネットオプションのセキュリティレベルをMedium-highに設定 |
参考
コンピューターを設定時刻に自動でシャットダウンする
Windows Server 2008 R2 グループポリシーの基本設定6[電源オプション]
MSIファイルをWindows Active Directoryのグループポリシーでインストールする