Server」カテゴリーアーカイブ

Windows Server バックアップ に関して~その3~

コメントを残す

Windows Server バックアップ ではシステムステートのバックアップはできなくなりました。

しかし、WindowsServer2008バックアップコマンドラインツール(wbadmin)を使用すれば可能です。

以下サポートされるコマンド

enable backup
スケジュールされた毎日バックアップを修正または有効にする

disable backup
スケジュールされた毎日のバックアップの実行を無効にする

start backup
1回限りのバックアップを実行する

stop job
現在実行中のバックアップまたは回復を停止する

get versions
指定した場所から回復可能なバックアップの詳細を一覧にする

get items
バックアップに含まれる項目の一覧を表示する

start recovery
回復を実行する

get status
現在実行中のジョブ状態を報告する

get disks
現在オンラインのディスク一覧を表示する

start systemstaterecovery
システム状態の回復を実行する

start systemstatebackup
システム状態のバックアップを実行する

delete systemstatebackup
システム状態のバックアップを削除する

restore catalog
バックアップカタログを回復する

delete catalog
バックアップカタログを削除する

<例>

システム状態を Eドライブにバックアップするには、以下のように入力する。
(フォルダ指定はできない)

wbadmin start systemstatebackup -backupTarget:E:

システム状態にはまず以下のものが含まれていている

・レジストリ
・COM+クラス登録データベース
・システムファイルを含むブートファイル
・証明書サービスデータベース
・Active Directoryドメインサービス
・SYSVOLフォルダ
・クラスタサービス情報
・Microsoft Internet Information Services(IIS)のmeta-directory
・Windowsファイル保護(WFP)下にあるシステムファイル

さらに構成次第で含まれるデータが増える

バックアップ時に作成されたログを確認
%windir%LogsWindowsServerBackupSystemStateBackup DD-MM-YYYY hh-mm-ss.log

バックアップの作成場所は指定したドライブの

WindowsImageBackupマシン名SystemStateBackupBackup YYYY-MM-DD hhmmss

になっていて、バックアップファイルの形式はボリューム単位のバックアップの時と同様にvhdファイルとなってる

復元はstart systemstaterecoveryコマンドを使用する

wbadmin get versionsで復元に使用するバージョン識別子を確認する

<例>

wbadmin start systemstaterecovery -version:03/31/2005-09:00

バックアップにActive Directoryドメインサービスのコンポーネントが含まれている場合はWindows Server 2008をディレクトリサービス復元モードで起動してから Wbadmin start systemstaterecoveryを実行する必要がある。
バックアップにActive Directoryドメインサービスのコンポーネントが含まれていない場合は通常モードのままで復元を実行できる。

考察

そもそも、システムステートはOS全体の6割以上を占めます。WindowsServer2008バックアップコマンドラインツールを使用すればバックアップ可能ですが、毎回OS全体を検索してシステムステートの情報をピックアップしてそれをVHD化する作業が発生します。これに時間がかかるわけです。だったらOSが含まれているボリューム全体のバックアップしたほうが効率がいいですよね~たぶんこんなことからシステムステートのバックアップがGUIのツールから省かれたんだろうと推測できます。ちなみにシステムステートの復元はボリュームのバックアップからもできます。

Windows Server バックアップ に関して~その2~

1件のフィードバック

さて、Windows Server バックアップは今までとは全く違うテクノロジを使用していることは前回お話しいたしました。

特に着目すべきテクノロジは

  • ボリュームシャドウコピー(VSS)
  • ブロックレベルバックアップ

になります。

VSSに関して簡単に解説すると、もともとはアプリケーションが使用中のファイルはバックアップが取れなかったので、夜間などにメールやDBのサービスを止めてバックアップを取らざるをえなかった問題を解決するためのテクノロジとなります。これはスナップショットや復元ポイントと呼ばれることもあります。

運用に関して考慮すべきはこのテクノロジによってどのように今までと変わったか?になります。

何度も書きますがWindows Server バックアップの基本は「ディスク to ディスク」になります。これはなぜかというと、VSSテクノロジを活用するためには直接接続されたディスクが必要だからになります。

バックアップの操作は単純で「スケジュールされたバックアップ」と「1回限りのバックアップ」の2通りになります。

Win2008Backup

バックアップ元となるデータに関してですが、今まではファイルやフォルダ単位でのバックアップは可能でしたがこれからは、ボリューム単位か全体のどちらかになります。ただしリストアに関してはファイル、フォルダ単位は可能です。

1回限りのバックアップではVSSは使用されません。このことから世代管理はできないということになります。ですので、NASなどにバックアップを取ろうと思ったら毎回異なる接続先を指定しないといけません。同じ接続先では以前のバックアップファイルが上書きされるということになります。

更にCD/DVDもサポートしているのですが、これはリストアの際ボリューム単位のみなので注意が必要です。

スケジュールされたバックアップでは最低1日1回のバックアップを自動で行います。必要に応じて回数を増やすことができます(30分単位)。バックアップ専用HDDには最大512個のバックアップを格納することができます。

さて、ここで重要なことがあります。

このスケジュールされたバックアップでは完全バックアップが基本です。ただし増分バックアップに変更することも可能です。しかし、推奨は完全バックアップになります。

単純に完全バックアップを毎日取るということは、1TのHDDを用意して、元データが100Gだと10日で満杯になる計算ですよね~しかし、これがならないのです。ここがすごいところで、VSSによって前回の完全バックアップの差分がHDDに格納されるのです。ですのでHDDの中身を見てみると完全バックアップによって作成された最新のVHDファイルは1個しかありません。あとは差分のVSSファイルがたまっているのがわかります。そして新しいブロックレベルバックアップを使用することにより高速なバックアップが可能となっています。先ほどバックアップ専用HDDには512個のバックアップを格納することができると書いたのですが、これはVSSの制限なんですね~

このような動作を行うので、今までのバックアップとは違うことがおわかりいただけたんではないでしょうか?

使ってみるとすごい便利ですよ~(ただし今までと同じ考えでのバックアップではないので運用を変える必要があるかもしれませんが)

iSCSIを使う~その2~

コメントを残す

な、な、なんと、Windows Storage Server 2008 と iSCSI ソフトウェアターゲットやユーティリティが、TechNet サブスクリプションおよび MSDN サブスクリプションからダウンロードできるようになりました。

MSエバンジェリストの田辺さんのブログで紹介されていました。

これはうれしい~~~

実は、前回Ubuntsを使ってのiSCSIを使うことを紹介したのですが、普通にiSCSI接続をしてHDDを使えるのですが、クラスタでは認識しなかったのです(涙)んであきらめかけていた今日この頃でしたが、一筋の光が見えてきました。

とはいっても、有料のTechNet サブスクリプションに入っていることが条件ですが

早速ダウンロードして検証してみなくては

Windows Server バックアップ に関して~その1~

コメントを残す

Windows Server 2008 になってからバックアップツールに大幅な変更がありました。今までのNtbackupツールは使用できなくなり新しいバックアップツールであるWindows Server バックアップを使用することになります。

それでは今までNtbackupツールを使用してバックアップしたデータは一切復元することはできないのか?これに関してはマイクロソフトはWindows NT バックアップ/復元ユーティリティを提供していますのでそれをインストールすれば復元のみできるということになります。

このツールの注意点としては、Windows NT バックアップ/復元ユーティリティをインストールして実行する前に、リムーバブル記憶域の管理機能をオンにするか、インストールする必要があります。

注意: リムーバブル記憶域の管理を有効にしないと、NTSMAPI.dll エラーが発生することがあります

Windows Server 2008 の場合は、「リムーバブル記憶域マネージャ」を「機能」から追加

Windows Server バックアップは今までと同じ使い方をすることはできないかもしれません。というのも、そもそもこの新しいバックアップツールの基本的な使用方法は「ディスク to ディスク」になるからです。

そんなこともあり、テープ装置のサポートは無くなりました~~~

ただし、APIはサポートするので今後もテープ装置を使用したいのであればサードパーティ製のバックアップソフトを使用すれば使えます。

Windows Server バックアップのポイント

  • Windows Server バックアップは Windows Server 2003 R2 以前のNTバックアップとは全く異なるテクノロジーを採用し、バックアップ形式も異なる
  • バックアップ形式はVirtual PCやVirtual Serverの仮想ディスク形式のVHDを採用
  • D2D(ディスクツーディスク)が基本で、ローカルの空き固定ディスク、USBやIEEE1394などで接続された外部リムーバルディスク、DVDメディア、ネットワークの共有がサポート
  • テープ装置の廃止
  • バックアップメニューは「バックアップスケジュール」と「1回だけのバックアップ」がある
  • スケジュール実行ではディスクのみバックアップ可能
  • スケジュール実行でディスクを指定するとバックアップ専用ディスクとなり、フォーマット後はマウントが解除される
  • バックアップにはHDD全体か、ボリューム単位でバックアップできる(システムステートのみのバックアップは不可能)
  • NTバックアップとは互換性がない
    (ただし、Windows NT バックアップ/復元ユーティリティが提供されている)
  • より柔軟なバックアップを行うにはコマンドライン版「wbadmin」を使用する

復元には「ファイルおよびフォルダ」と「ボリューム」がある。前者は指定したファイル、フォルダのみを復元し、後者は指定したボリューム全体を復元する。

なお、以下のシステムフォルダは元の場所には復元できない。

%systemdrive%Boot
%systemdrive%Program Files
%systemdrive%System Volume Information
%systemdrive%Users
%systemdrive%Windows

これらのフォルダを元の場所に復元したい場合はシステム回復環境(WinRE)を実行する必要がある

次回はもう少し突っ込んだ考察を入れてみたいと思います。

iSCSIを使う~その1~

コメントを残す

Windows Server 2008ではiSCSIイニシエーターが付属しています。

これを使用すると外部ディスクをあたかも自分のディスクのように使用できるというすぐれものになります。しかし、外部ディスクであるiSCSI Targetがないと使用できません。

このiSCSIを使用することによってクラスタなどを簡単に使用することが可能になります(複数台の端末で共有ディスクを使用することができるため)。

マイクロソフトでもこのiSCSI Targetに相当する製品があるのですが、一般ユーザーが使うには敷居が高いというか、価格が高い。またストレージ製品でもあるのですが安いものでも数十万単位になります。

現在、Hyper-Vのコースの準備をしているのですが、Hyper-Vのクラスタ環境を使用したデモを考えていてどうしてもiSCSIを使用したくて悩んでいました。いろいろ調べた結果、LinuxならiSCSI Targetを簡単に作ることができるようなのでチャレンジしました。

今回使用したLinuxはUbunts8.10になります。

まずはイメージをダウンロードして、CDを作成します。

その後CDから起動してLinuxをインストール。

このUbuntsですが、Windowsしか使っていない人でもメニューがしっかりしているのでなんとなくわかります。

その後「アプリケーション」>「アクセサリ」>「端末」よりコマンドを実行

  • #apt-get update
  • #apt-get install iscsitartget

これでインストール完了(うまくいかないときの注意点としてはインターネットに直接つながっているかを確認。また権限が足りない場合は先頭にsudoを付けてください)

あとは設定ファイルを変更するだけです。設定ファイルを変更するにはエディタを使うと簡単なので私の場合はsudo geditでエディタを起動して編集しました。

設定ファイルは/etc/ietd.confにあります。

ターゲット名は適当でいいのですがこんな感じ

Target iqn.2009-04.hdd:storage.ubunts

そしてLUNの設定

私の場合は2つのLUNを作成しました。

Lun 0 Path=/home/iscsi-img0,Type=fileio

Lun 1 Path=/home/iscsi-img1,Type=fileio

これらの行を追加して完了。

最後にファイルを作成します。

  • #sudo dd if=/dev/zero of=/home/iscsi-img0 bs=1G count=5
  • #sudo dd if=/dev/zero of=/home/iscsi-img1 bs=1G count=5

countの数値を変えることによって大きさを変更可能です。この例では5Gのファイルを作成しています。

これでiSCSI Targetの設定は完了です。あとは環境にあったIPアドレスに変更すればWindows Server 2008からiSCSIが使用できます。

とりあえずiSCSIを試しに使ってみたいのであればこれで十分ですね。

ネットワークアクセス保護(NAP)~その3~ DHCP NAP編

コメントを残す

それではDHCP NAPに関して解説していきます。

クライアント側の準備

クライアント側ではDHCP NAPに限らず、全てのNAP接続においての要件があります。それは

  • セキュリティセンター
  • Network Access protection Agentサービス
  • NAP実施クライアント(napclcfg.msc)

が動作していなくてはなりません。ちなみに対応クライアントはVistaおよびXP SP3になります。

*注意 XP SP3にはNAP実施クライアント(napclcfg.msc)は入っていませんのでグループポリシーでの適用が基本になります。

セキュリティセンターおよびNetwork Access protection Agentサービスは、管理ツールのサービスより起動します。そしてnapclcfg.mscより実施クライアント>DHCP検疫強制クライアントを有効にします。

DHCP NAP22

これでクライアント側の準備はOKです。

サーバー側の準備(NAPサーバー)

役割の追加よりNAPサーバーをインストールします。

その後SHVの設定を行う必要があります。これはネットワークポリシーサーバー>ネットワークアクセス保護>システム正常性検証ツール>Windowsセキュリティ正常性ツールより行います。

DHCP NAP1

今回はFWが有効な場合セキュリティ準拠という設定にします。

次に正常性ポリシーの作成です。ここで準拠と非準拠のポリシーを作成します。

DHCP NAP2  DHCP NAP3

次にネットワークポリシーを作成します。ここでは準拠する場合と非準拠の場合の動作を設定します。

DHCP NAP5

条件には先ほど作成した正常性ポリシーを使用して、準拠の場合と非準拠の場合を分けることができますね!

DHCP NAP6  DHCP NAP7

認証方法の構成では「コンピュータの正常性チェックのみを実行する」にチェックをいれ、そのほかのチェックは全て外します。ここがある意味ポイントになります。

DHCP NAP8

制約は特にないのでここはスルー

DHCP NAP9

そして、最後にNAP強制の設定を行いますが、準拠の場合はこのまま~

DHCP NAP10

これで準拠時のポリシー完成です。

DHCP NAP11

次に非準拠時のポリシーを作成します。ポイントはNAP強制時の動作になります。ここでは制限付きアクセスを許可するにチェックを入れます。そして通常は自動修復にもチェックを入れましょう。そうすれば、クライアントが非準拠になっても自動的に準拠する状態に変化します。

DHCP NAP16

さて、これで通常はNAPの構成は終了になりますが、ここである設定ができます。それは修復ネットワークを作成することができるんです。「修復サーバーグループとトラブルシューティングのURL」の構成よりグループ名とアドレスを指定します。そうするとこのグループに登録したサーバーに対して非準拠時でもアクセスできるようになります。

DHCP NAP18

サーバー側の準備(DHCPサーバー)

役割の追加よりDHCPサーバーをインストールします。ここで注意が必要なのは、NAPサーバーと同じサーバー上にDHCPサーバーをインストールするならば問題はないのですが、他のサーバーにDHCPサーバーをインストールする場合はNAPプロキシーの設定をしてNAPサーバーに状態を転送させなくてはならない問題があります。

通常のスコープを作成しましょう。

DHCP NAP19

そしてネットワークアクセス保護を有効にします。

DHCP NAP20

あとは、非準拠時の設定を行う必要があります。スコープオプションの詳細設定タブ>ユーザークラス>規定のネットワークアクセス保護クラスに非準拠時の設定を行います。

DHCP NAP21

これで準備が終わりました。

クライアントの動作

ではまず準拠時のクライアントから

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
システムの検疫の状態 . . . . . : 制限なし

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.0.0
リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:12:18
デフォルト ゲートウェイ . . . . . : 10.10.0.254
DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限なし

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
0.0.0.0          0.0.0.0      10.10.0.254       10.10.0.50     20
10.10.0.0      255.255.0.0        リンク上        10.10.0.50    276
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.255.255  255.255.255.255        リンク上        10.10.0.50    276
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

次に非準拠のクライアント

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
restricted.Woodgrovebank.com
システムの検疫の状態 . . . . . : 制限あり

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.255.255
   リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:09:41
デフォルト ゲートウェイ . . . . . :
   DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限あり

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
10.10.0.24  255.255.255.255        リンク上        10.10.0.50     21
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.0.90  255.255.255.255        リンク上        10.10.0.50     21
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

まとめ

準拠時は特に問題なくネットワークに接続できます。いうなれば、これがセキュリティで保護されたネットワークになります。そして非準拠時には自分が所属しているネットワークのルートが消えて自分自身にしか通信ができません。さらにデフォルトゲートウェイがある場合はこれもなくなります。この例では、0.0.0.0と10.10.0.0/16が消えてますよね。ただし修復ネットワークが設定してある場合はそのルートが追加されます。この例では10.10.0.90/32が追加されています。

修復ネットワークの作成方法としては別のアプローチもあります。それはDHCP側のオプション設定において、[121 クラスレス静的ルート]を設定する方法です。

こうやってみると、DHCP NAP はルーティングテーブルを制御することによって論理ネットワークを作っていることがわかりますね~

ネットワークアクセス保護(NAP)~その2~

コメントを残す

久々の更新になります。

それでは、NAPの基本的な仕組みについて考えてみます。

NAPを行うためにはクライアントおよびサーバーに何らかの仕組みが必要になります。それでは、まずはクライアントが準拠すべきポリシー(正常性)に関して考えてみます。

クライアントとサーバーではどのような仕組みが必要になるのでしょうか?

これから様々な用語が出てきますのでご注意ください。

ポリシー判断の仕組み

まずはクライアント側ではポリシーを判断するためのシステム正常性エージェント(SHA)が動作しています。このSHAに対応したものが、サーバー上でシステム正常性ツール(SHV)として動作しています。よって、クライアントのSHAがポリシーの判断をしてサーバーのSHVに対して結果を送信することになります。この更新情報が正常性ステートメント(SoH)となります。

ではクライアントのSHAに相当するものは何か?ということになりますが、VistaやXP SP3ではセキュリティセンターが相当します。サーバー側はSHVがネットワークポリシーサーバー(NPS)に入っています。

SHV

このSHVを見るとわかると思われますが、クライアント側のセキュリティセンターで判断できる項目が並んでいますよね!

サーバー側のSHVに基づいてクライアントのSHAが正常性の判断をしてSoHを送信するというメカニズムですね。

ではここで考えなくてはいけないのが、この正常性の判断によってネットワークアクセス保護(NAP)は何をするのか?ですね。

基本的にNAPにおける考え方は次のようになります。

論理的なNW

NAPでは論理的に3つのNWを作成することになります。それぞれのNWの呼び名は異なりますが、制限付きNWは正常性に関しては非準拠か、もしくは非対応のクライアントが所属することになります。そしてセキュリティで保護されたNWは正常に準拠したクライアントのみ所属します。それでは非準拠のクライアントは何らかの方法で準拠させなくてはなりません。ということで、準拠するための仕組みを整えるNWである境界NW(修復NW)を作るわけです。

このネットワークを作成するのが実施サーバー/実施デバイスになります。

マイクロソフトがサポートしているのは、おもに4つの方法になります。

  • DHCP NAP
  • VPN NAP
  • 802.1x NAP
  • IPSec NAP

になります。要するに上記4つの方法のどれかを使用して論理的なNWを作るわけですね~

まとめ

NAPでは論理的なNWを作り、クライアントの正常性の状態にしたがって所属するNWが異なることによりセキュリティを確保する仕組みなることが分かったと思われます。

ここで知っといてほしいことは、SHAとSHVは対になるということです。現在のところマイクロソフトが提供しているSHAとSHVしかありませんが、今後は他ベンダーがこのNAPに対応したSHAとSHVを提供することにより、正常性の判断の仕組みが増えることになるでしょう。

NPS

NPSのシステム正常性ツール(SHV)に現在はWindows セキュリティ正常性ツールしかありませんが、サードパーティ製のSHVが増えるとここの項目が増えるということになりますね。当然、クライアント側にもSHAに相当するものがないといけませんが・・・

また今回の説明ではSHAがSHVに対してSoHを送信すると書きましたが、厳密には複数のSoHを送信することが想定されますので、ネットワーク上には複数のSoHをまとめた”SSoH”が送信されることになります。

ネットワークアクセス保護(NAP)~その1~

コメントを残す

Windows Server 2008の目玉となる大きな機能として、NAPがあります。

そもそも、NAPとはなんでしょう?

それは、企業が決めたセキュリティポリシーに準拠していない端末が、企業のネットワーク(社内ネットワーク)にアクセスするのを防ぎたいという目的のために作られた機能になります。

ここで間違えてはいけないのが、悪意のあるユーザーが企業ネットワークに接続するのを防ぐためのものではないということです。

実はWindows Server 2003の時代にも同じような機能を提供していました。

それはネットワークアクセス検疫制御というものです。

これも紆余曲折があって、当初はリソースキットで提供されていたコンポーネントが、この機能をサポートするためにSP1に入ってきました。

仕組み的にはこんな感じ

NW検疫制御

VPN環境において、クライアント上にスクリプト(企業が要求するポリシーチェックを行う)を動作させて、OKならば通常NWに接続し、NGならば制限されたNWに接続させます。この制限されたNW上には、スクリプトをクリヤーするための仕組みを入れておきます。例えば、最新のウイルス定義ファイルをファイルサーバーに保存しておいたり、Webサーバーを構築しておき、作業手順を記載しておくなど。そして、条件をクリヤーしたら通常NWに接続させる仕組みになります。

ここで問題になるのは、スクリプト(企業が要求するポリシーチェックを行う)を企業の管理者が作成しなくてはいけないということになります。また、接続方法もVPNのみということで、構築要件がかなり厳しく簡単には構成はできませんでした。

それを踏まえて、マイクロソフトではWindows Server 2008でNAPという機能を追加しました。

NAPでは上記のような仕組みをあらかじめ用意することにより、管理者の手間を大幅に削減し、簡単に導入できるようになりました(ここでいう簡単にとはWindows Server 2003で提供されていたネットワークアクセス検疫制御よりもということです)。

ではこれからNAPの仕組みについて考えてみたいと思います。

P.S. 最近本業の方が忙しくてなかなか更新ができていません。このテーマは長丁場になるかな?

Windows Server 2008 の便利な機能(HDD編)

2件の返信

システムの運用をしていると、ハードディスクのパーティションを拡張や縮小などしたい・・・

というニーズはあったと思います。

Windows Server 2003 の時はハードディスクの拡張はdiskpartコマンドを使用することによりできました。ただし、システムドライブは除く。

(参考)ベーシック ボリュームを拡張する

もしくはサードパーティ製の製品(Drive Imageなど)を使用していたんではないでしょうか?

実はWindows Server 2008 ではハードディスクの拡大、縮小がサポートされたんです。

ディクスの管理より対象のパーティションを選択して右クリックします。

HDD1

そしてボリュームの拡張もしくは圧縮を選択することができます。

HDD2

そして適切な数値を入力します。

HDD3

今回は縮小をしてみました。

まとめ

何気にこんなところが機能アップしていました。特にシステム領域も縮小、拡大がサポートされたのがGOODです。例えば、とりあえずフルでシステム領域をとってしまって、後からBitLockerを使ったハードディスク暗号化をしたい場合、専用パーティションを作成することができますね!

DHCP ServerでMACアドレスフィルタリングを行う

コメントを残す

Windows Server 2008で提供されているDHCPサーバーではMACアドレスによるフィルタリングはサポートされていません。これはNTの時代から変わっていませんね。

実際問題、私がSEをしていた頃に登録したMACアドレスにしかIPアドレスの配布をしたくないというお客様がいて、サードパーティ製のDHCPサーバーを購入して対応した記憶があります。

先日Windows Server 使い倒し塾のブログを見ていたら、なんとフリーのツールを使用することによってWindows Server 2003以降(2008も含む)のDHCPサーバーでMACアドレスフィルタリングを使用できるようなんです。

そのツールとはCallout DLLというものです。Microsoft Windows DHCP Team Blogにて紹介がされています。

CallOutHP

そして、さらにリンクがあり、Connect The Worldをクリックします。

CallOutHP1

そして一番下にDownloadのリンクがありますのでそこからツールをダウンロードします。

そして32ビットと64ビット版がありますので使用する方をダウンロードしてDHCPサーバーに対してインストールします。見た目は全くかわりませんね~

変わる場所はレジストリになります。

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDHCPServerParameters

この中のパラメータがCallOut DLLに影響を及ぼすようです。

  • CalloutDlls:ツールのパス
  • CalloutEnabled:1の場合は起動で、0にすればロードされません
  • CalloutErrorLogFile:ログファイルのパス
  • CalloutInfoLogFile:情報ファイルのパス
  • CalloutMACAddressListFile:これが肝のアクセス制御ファイルのパス

デフォルトではc:WindowsSystem32dhcp 配下に設定されていることがregeditから確認できます。

reg  File

そして実際の操作に関しては次の2通りがあります。

  • 許可リスト:DHCPを使用する全ての端末MACを登録する
  • 拒否リスト:DHCPを使用させない端末のMACを登録する

このリストの記載方法は次の通り

#MACList.txt
MAC_ACTION = {ALLOW / DENY}
#List of MAC Addresses:
000a0c0d1254 #lab-server1
000d0c4a6723 #lab-server2

これはREADMEに記載してあるものなんですが、先頭に#があるのはコメントですね。そしてMAC_ACTIONに許可もしくは拒否を設定する。そこでちょっとはまったのが、その書き方なんです。これって

MAC_ACTION = ALLOW

でうまくいくと思ったんですが、何度やってもうまくいきませんでした。試しに

MAC_ACTION = {ALLOW}

としたらうまくいきました。

あとは、クライアントのMACアドレスを登録すればうまく動きます。いや~、これはこれで便利ですね。

まとめ

今までこのような機能のニーズはあったにも関わらず、マイクロソフトのDHCPではサポートしていませんでした。が、Windows Server 2008 R2 のDHCPサーバーはMACアドレスフィルターをサポートするようです。