Windows Server バックアップ に関して~その1~

コメントを残す

Windows Server 2008 になってからバックアップツールに大幅な変更がありました。今までのNtbackupツールは使用できなくなり新しいバックアップツールであるWindows Server バックアップを使用することになります。

それでは今までNtbackupツールを使用してバックアップしたデータは一切復元することはできないのか?これに関してはマイクロソフトはWindows NT バックアップ/復元ユーティリティを提供していますのでそれをインストールすれば復元のみできるということになります。

このツールの注意点としては、Windows NT バックアップ/復元ユーティリティをインストールして実行する前に、リムーバブル記憶域の管理機能をオンにするか、インストールする必要があります。

注意: リムーバブル記憶域の管理を有効にしないと、NTSMAPI.dll エラーが発生することがあります

Windows Server 2008 の場合は、「リムーバブル記憶域マネージャ」を「機能」から追加

Windows Server バックアップは今までと同じ使い方をすることはできないかもしれません。というのも、そもそもこの新しいバックアップツールの基本的な使用方法は「ディスク to ディスク」になるからです。

そんなこともあり、テープ装置のサポートは無くなりました~~~

ただし、APIはサポートするので今後もテープ装置を使用したいのであればサードパーティ製のバックアップソフトを使用すれば使えます。

Windows Server バックアップのポイント

  • Windows Server バックアップは Windows Server 2003 R2 以前のNTバックアップとは全く異なるテクノロジーを採用し、バックアップ形式も異なる
  • バックアップ形式はVirtual PCやVirtual Serverの仮想ディスク形式のVHDを採用
  • D2D(ディスクツーディスク)が基本で、ローカルの空き固定ディスク、USBやIEEE1394などで接続された外部リムーバルディスク、DVDメディア、ネットワークの共有がサポート
  • テープ装置の廃止
  • バックアップメニューは「バックアップスケジュール」と「1回だけのバックアップ」がある
  • スケジュール実行ではディスクのみバックアップ可能
  • スケジュール実行でディスクを指定するとバックアップ専用ディスクとなり、フォーマット後はマウントが解除される
  • バックアップにはHDD全体か、ボリューム単位でバックアップできる(システムステートのみのバックアップは不可能)
  • NTバックアップとは互換性がない
    (ただし、Windows NT バックアップ/復元ユーティリティが提供されている)
  • より柔軟なバックアップを行うにはコマンドライン版「wbadmin」を使用する

復元には「ファイルおよびフォルダ」と「ボリューム」がある。前者は指定したファイル、フォルダのみを復元し、後者は指定したボリューム全体を復元する。

なお、以下のシステムフォルダは元の場所には復元できない。

%systemdrive%Boot
%systemdrive%Program Files
%systemdrive%System Volume Information
%systemdrive%Users
%systemdrive%Windows

これらのフォルダを元の場所に復元したい場合はシステム回復環境(WinRE)を実行する必要がある

次回はもう少し突っ込んだ考察を入れてみたいと思います。

初めてのSystem Centerシリーズ

コメントを残す

今回、初めてSystem Centerシリーズを使うことになりました。

このSystem Centerには様々な製品が存在します。

実はHyper-V関連のコース準備をしているのですが、System Centerも使うので初体験です。今回はHyper-Vを管理するSystem Center Virtual Machine Manager 2008(SCVMM)を導入です。しかし、この製品だけではフル機能を使うことができないのでSystem Center Operations Manager 2007(SCOM)も一緒に導入しました。

今回のインストール順序としては(ホストはWindows Server 2008 Enterprise x64)

  1. SQL Server 2005
    SQL Server データベースサービス
    Reporting Services
  2. SQL Server 2005 SP3
  3. SCOM2007
  4. SCOM2007 SP1
  5. 管理パックのインポート
  6. SCVMM2008
  7. SCVMM2008とSCOM2007連携管理ツール

こんな順番でインストールしました。

さてここで重要なこととしては、SCVMM2008とSCOM2007との連携には条件があります。

SCOM2007SP1は必須

あらかじめ次の管理パックをDLしインストールしておく必要がある。

管理パックインストール

  • Microsoft.SQLServer.Library
  • Microsoft.SQLServer.2005.Monitoring
  • Microsoft.SQLServer.2005.Discovery
  • Microsoft.Windows.InternetInformationServices.CommonLibraty
  • Microsofft.Windows.InternetInformationServices.2003

ここで管理パックをマイクロソフトよりDLする必要がありますが、日本語のSystem Center管理サイトより検索すると1個前のバージョンであるMOM2005の管理パックをDLするように促されます。実はこれが罠で、初めての私はこれがSCOM2007でも使用できるもんだと思ってしまったんです・・・しかし、調べてみるとアーキテクチャが変わっているので使えないことが判明。んでヘルプで調べるとコンバートができるとか書いてあるのでわざわざコンバートしなくてはいけないのかな?とか思っちゃいました。その後調べてみる英語版のテックネットサイトからDLできることがわかりました。ここからSCOM2007の管理パックをDLしてインストールしてやっと前提条件が整います。このあと、SCVMMのインストール画面よりOperations Managerの構成を選択するとSCVMMの管理パックとともにインストールしてくれます。

これでやっとSCVMM2008の環境ができました~~~

さてこれからいろいろといじってみます。

iSCSIを使う~その1~

コメントを残す

Windows Server 2008ではiSCSIイニシエーターが付属しています。

これを使用すると外部ディスクをあたかも自分のディスクのように使用できるというすぐれものになります。しかし、外部ディスクであるiSCSI Targetがないと使用できません。

このiSCSIを使用することによってクラスタなどを簡単に使用することが可能になります(複数台の端末で共有ディスクを使用することができるため)。

マイクロソフトでもこのiSCSI Targetに相当する製品があるのですが、一般ユーザーが使うには敷居が高いというか、価格が高い。またストレージ製品でもあるのですが安いものでも数十万単位になります。

現在、Hyper-Vのコースの準備をしているのですが、Hyper-Vのクラスタ環境を使用したデモを考えていてどうしてもiSCSIを使用したくて悩んでいました。いろいろ調べた結果、LinuxならiSCSI Targetを簡単に作ることができるようなのでチャレンジしました。

今回使用したLinuxはUbunts8.10になります。

まずはイメージをダウンロードして、CDを作成します。

その後CDから起動してLinuxをインストール。

このUbuntsですが、Windowsしか使っていない人でもメニューがしっかりしているのでなんとなくわかります。

その後「アプリケーション」>「アクセサリ」>「端末」よりコマンドを実行

  • #apt-get update
  • #apt-get install iscsitartget

これでインストール完了(うまくいかないときの注意点としてはインターネットに直接つながっているかを確認。また権限が足りない場合は先頭にsudoを付けてください)

あとは設定ファイルを変更するだけです。設定ファイルを変更するにはエディタを使うと簡単なので私の場合はsudo geditでエディタを起動して編集しました。

設定ファイルは/etc/ietd.confにあります。

ターゲット名は適当でいいのですがこんな感じ

Target iqn.2009-04.hdd:storage.ubunts

そしてLUNの設定

私の場合は2つのLUNを作成しました。

Lun 0 Path=/home/iscsi-img0,Type=fileio

Lun 1 Path=/home/iscsi-img1,Type=fileio

これらの行を追加して完了。

最後にファイルを作成します。

  • #sudo dd if=/dev/zero of=/home/iscsi-img0 bs=1G count=5
  • #sudo dd if=/dev/zero of=/home/iscsi-img1 bs=1G count=5

countの数値を変えることによって大きさを変更可能です。この例では5Gのファイルを作成しています。

これでiSCSI Targetの設定は完了です。あとは環境にあったIPアドレスに変更すればWindows Server 2008からiSCSIが使用できます。

とりあえずiSCSIを試しに使ってみたいのであればこれで十分ですね。

Outlook 2007ではデフォルトゲートウェイが必要

コメントを残す

さて、トラブル対応の続きです。

実は、ネットワークの大幅変更がありクライアントのデフォルトゲートウェイをなくしました。その後、数名がExchange 2007サーバーに接続できないということが起こったんです。

そこでトラブルシューティングです。

なぜかクライアントソフトがOutlook 2003ならつながるんです。エラーが発生する端末のクライアントソフトウェアはOutlook 2007です。当社ではDHCPを使用しているので試しにデフォルトゲートウェイをRUOTE ADDコマンドで追加しました。しかし治らない・・・

その後つながらない人がどんどん増えてきました~~~~

どうやらDHCPのリース更新でデフォルトゲートウェイが無くなった人がつながらなくなることがわかりました。ということでクライアントにはデフォルトゲートウェイを追加することにしました。たとえ同じセグメントにExchnageがあっても必要なんですね。

参考情報

Error messages when you try to connect Outlook 2007 to Exchange Server: “The action cannot be completed” or “Your Microsoft Exchange Server is unavailable” or “Cannot start Microsoft Office Outlook”

わかったことはExchange 2007とOutlook 2007の組み合わせの際には必ずクライアントにはデフォルトゲートウェイを入れないといけないということでした。

なんだかな~~~

電子メールアドレスポリシーの構成エラー

1件のフィードバック

最近なかなかブログの更新ができていません(涙)

というのも、私の所属している会社の親会社が変わってしまってその変更などを行っていてなかなか時間が取れずにいました。

ちなみに今までは

NRIラーニングネットワーク株式会社(野村総合研究所グループ)でしたが、2009年4月1日よりエディフィストラーニング株式会社(キヤノンマーケティングジャパングループ)に変わりました。引き続きよろしくお願いいたします。

さてその移行作業中に発生したトラブルについて知っておいたほうがいいトラブルがありましたので書いておきます。

当社ではExchange 2007を使用しています。

現在Exchange 2003とExchange 2007が共存していて最終的にはExchange 2003を削除する予定です。

そこで体験したトラブルとしては、Exchange 2007 で配布グループを作成しようとすると、電子メールアドレスポリシーのエラーが表示され、配布グループの作成ができない。およびメールボックスの移動(2003→2007)の際も同様のエラーが出たんです。

そして調査してい見ると原因はSystem Attendant サービスが正常動作していない場合に表示されるエラーということでした。

が、サービスを見てみると開始となっているではありませんか!

これが厄介で、見た目上はサービスは起動しているのですが、実際には起動していない?そんな時は再起動すればほとんど治ります。

ただし、メールサーバーをそう簡単に再起動することはできないのでまいった・・・

まとめ

再起動後は必ず配布グループなどをいじってみて確実にSAが上がっているのを確認したほうが良いですね!

ネットワークアクセス保護(NAP)~その3~ DHCP NAP編

コメントを残す

それではDHCP NAPに関して解説していきます。

クライアント側の準備

クライアント側ではDHCP NAPに限らず、全てのNAP接続においての要件があります。それは

  • セキュリティセンター
  • Network Access protection Agentサービス
  • NAP実施クライアント(napclcfg.msc)

が動作していなくてはなりません。ちなみに対応クライアントはVistaおよびXP SP3になります。

*注意 XP SP3にはNAP実施クライアント(napclcfg.msc)は入っていませんのでグループポリシーでの適用が基本になります。

セキュリティセンターおよびNetwork Access protection Agentサービスは、管理ツールのサービスより起動します。そしてnapclcfg.mscより実施クライアント>DHCP検疫強制クライアントを有効にします。

DHCP NAP22

これでクライアント側の準備はOKです。

サーバー側の準備(NAPサーバー)

役割の追加よりNAPサーバーをインストールします。

その後SHVの設定を行う必要があります。これはネットワークポリシーサーバー>ネットワークアクセス保護>システム正常性検証ツール>Windowsセキュリティ正常性ツールより行います。

DHCP NAP1

今回はFWが有効な場合セキュリティ準拠という設定にします。

次に正常性ポリシーの作成です。ここで準拠と非準拠のポリシーを作成します。

DHCP NAP2  DHCP NAP3

次にネットワークポリシーを作成します。ここでは準拠する場合と非準拠の場合の動作を設定します。

DHCP NAP5

条件には先ほど作成した正常性ポリシーを使用して、準拠の場合と非準拠の場合を分けることができますね!

DHCP NAP6  DHCP NAP7

認証方法の構成では「コンピュータの正常性チェックのみを実行する」にチェックをいれ、そのほかのチェックは全て外します。ここがある意味ポイントになります。

DHCP NAP8

制約は特にないのでここはスルー

DHCP NAP9

そして、最後にNAP強制の設定を行いますが、準拠の場合はこのまま~

DHCP NAP10

これで準拠時のポリシー完成です。

DHCP NAP11

次に非準拠時のポリシーを作成します。ポイントはNAP強制時の動作になります。ここでは制限付きアクセスを許可するにチェックを入れます。そして通常は自動修復にもチェックを入れましょう。そうすれば、クライアントが非準拠になっても自動的に準拠する状態に変化します。

DHCP NAP16

さて、これで通常はNAPの構成は終了になりますが、ここである設定ができます。それは修復ネットワークを作成することができるんです。「修復サーバーグループとトラブルシューティングのURL」の構成よりグループ名とアドレスを指定します。そうするとこのグループに登録したサーバーに対して非準拠時でもアクセスできるようになります。

DHCP NAP18

サーバー側の準備(DHCPサーバー)

役割の追加よりDHCPサーバーをインストールします。ここで注意が必要なのは、NAPサーバーと同じサーバー上にDHCPサーバーをインストールするならば問題はないのですが、他のサーバーにDHCPサーバーをインストールする場合はNAPプロキシーの設定をしてNAPサーバーに状態を転送させなくてはならない問題があります。

通常のスコープを作成しましょう。

DHCP NAP19

そしてネットワークアクセス保護を有効にします。

DHCP NAP20

あとは、非準拠時の設定を行う必要があります。スコープオプションの詳細設定タブ>ユーザークラス>規定のネットワークアクセス保護クラスに非準拠時の設定を行います。

DHCP NAP21

これで準備が終わりました。

クライアントの動作

ではまず準拠時のクライアントから

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
システムの検疫の状態 . . . . . : 制限なし

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.0.0
リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:12:18
デフォルト ゲートウェイ . . . . . : 10.10.0.254
DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限なし

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
0.0.0.0          0.0.0.0      10.10.0.254       10.10.0.50     20
10.10.0.0      255.255.0.0        リンク上        10.10.0.50    276
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.255.255  255.255.255.255        リンク上        10.10.0.50    276
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

次に非準拠のクライアント

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
restricted.Woodgrovebank.com
システムの検疫の状態 . . . . . : 制限あり

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.255.255
   リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:09:41
デフォルト ゲートウェイ . . . . . :
   DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限あり

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
10.10.0.24  255.255.255.255        リンク上        10.10.0.50     21
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.0.90  255.255.255.255        リンク上        10.10.0.50     21
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

まとめ

準拠時は特に問題なくネットワークに接続できます。いうなれば、これがセキュリティで保護されたネットワークになります。そして非準拠時には自分が所属しているネットワークのルートが消えて自分自身にしか通信ができません。さらにデフォルトゲートウェイがある場合はこれもなくなります。この例では、0.0.0.0と10.10.0.0/16が消えてますよね。ただし修復ネットワークが設定してある場合はそのルートが追加されます。この例では10.10.0.90/32が追加されています。

修復ネットワークの作成方法としては別のアプローチもあります。それはDHCP側のオプション設定において、[121 クラスレス静的ルート]を設定する方法です。

こうやってみると、DHCP NAP はルーティングテーブルを制御することによって論理ネットワークを作っていることがわかりますね~

ネットワークアクセス保護(NAP)~その2~

コメントを残す

久々の更新になります。

それでは、NAPの基本的な仕組みについて考えてみます。

NAPを行うためにはクライアントおよびサーバーに何らかの仕組みが必要になります。それでは、まずはクライアントが準拠すべきポリシー(正常性)に関して考えてみます。

クライアントとサーバーではどのような仕組みが必要になるのでしょうか?

これから様々な用語が出てきますのでご注意ください。

ポリシー判断の仕組み

まずはクライアント側ではポリシーを判断するためのシステム正常性エージェント(SHA)が動作しています。このSHAに対応したものが、サーバー上でシステム正常性ツール(SHV)として動作しています。よって、クライアントのSHAがポリシーの判断をしてサーバーのSHVに対して結果を送信することになります。この更新情報が正常性ステートメント(SoH)となります。

ではクライアントのSHAに相当するものは何か?ということになりますが、VistaやXP SP3ではセキュリティセンターが相当します。サーバー側はSHVがネットワークポリシーサーバー(NPS)に入っています。

SHV

このSHVを見るとわかると思われますが、クライアント側のセキュリティセンターで判断できる項目が並んでいますよね!

サーバー側のSHVに基づいてクライアントのSHAが正常性の判断をしてSoHを送信するというメカニズムですね。

ではここで考えなくてはいけないのが、この正常性の判断によってネットワークアクセス保護(NAP)は何をするのか?ですね。

基本的にNAPにおける考え方は次のようになります。

論理的なNW

NAPでは論理的に3つのNWを作成することになります。それぞれのNWの呼び名は異なりますが、制限付きNWは正常性に関しては非準拠か、もしくは非対応のクライアントが所属することになります。そしてセキュリティで保護されたNWは正常に準拠したクライアントのみ所属します。それでは非準拠のクライアントは何らかの方法で準拠させなくてはなりません。ということで、準拠するための仕組みを整えるNWである境界NW(修復NW)を作るわけです。

このネットワークを作成するのが実施サーバー/実施デバイスになります。

マイクロソフトがサポートしているのは、おもに4つの方法になります。

  • DHCP NAP
  • VPN NAP
  • 802.1x NAP
  • IPSec NAP

になります。要するに上記4つの方法のどれかを使用して論理的なNWを作るわけですね~

まとめ

NAPでは論理的なNWを作り、クライアントの正常性の状態にしたがって所属するNWが異なることによりセキュリティを確保する仕組みなることが分かったと思われます。

ここで知っといてほしいことは、SHAとSHVは対になるということです。現在のところマイクロソフトが提供しているSHAとSHVしかありませんが、今後は他ベンダーがこのNAPに対応したSHAとSHVを提供することにより、正常性の判断の仕組みが増えることになるでしょう。

NPS

NPSのシステム正常性ツール(SHV)に現在はWindows セキュリティ正常性ツールしかありませんが、サードパーティ製のSHVが増えるとここの項目が増えるということになりますね。当然、クライアント側にもSHAに相当するものがないといけませんが・・・

また今回の説明ではSHAがSHVに対してSoHを送信すると書きましたが、厳密には複数のSoHを送信することが想定されますので、ネットワーク上には複数のSoHをまとめた”SSoH”が送信されることになります。

ネットワークアクセス保護(NAP)~その1~

コメントを残す

Windows Server 2008の目玉となる大きな機能として、NAPがあります。

そもそも、NAPとはなんでしょう?

それは、企業が決めたセキュリティポリシーに準拠していない端末が、企業のネットワーク(社内ネットワーク)にアクセスするのを防ぎたいという目的のために作られた機能になります。

ここで間違えてはいけないのが、悪意のあるユーザーが企業ネットワークに接続するのを防ぐためのものではないということです。

実はWindows Server 2003の時代にも同じような機能を提供していました。

それはネットワークアクセス検疫制御というものです。

これも紆余曲折があって、当初はリソースキットで提供されていたコンポーネントが、この機能をサポートするためにSP1に入ってきました。

仕組み的にはこんな感じ

NW検疫制御

VPN環境において、クライアント上にスクリプト(企業が要求するポリシーチェックを行う)を動作させて、OKならば通常NWに接続し、NGならば制限されたNWに接続させます。この制限されたNW上には、スクリプトをクリヤーするための仕組みを入れておきます。例えば、最新のウイルス定義ファイルをファイルサーバーに保存しておいたり、Webサーバーを構築しておき、作業手順を記載しておくなど。そして、条件をクリヤーしたら通常NWに接続させる仕組みになります。

ここで問題になるのは、スクリプト(企業が要求するポリシーチェックを行う)を企業の管理者が作成しなくてはいけないということになります。また、接続方法もVPNのみということで、構築要件がかなり厳しく簡単には構成はできませんでした。

それを踏まえて、マイクロソフトではWindows Server 2008でNAPという機能を追加しました。

NAPでは上記のような仕組みをあらかじめ用意することにより、管理者の手間を大幅に削減し、簡単に導入できるようになりました(ここでいう簡単にとはWindows Server 2003で提供されていたネットワークアクセス検疫制御よりもということです)。

ではこれからNAPの仕組みについて考えてみたいと思います。

P.S. 最近本業の方が忙しくてなかなか更新ができていません。このテーマは長丁場になるかな?

Windows Server 2008 の便利な機能(HDD編)

2件の返信

システムの運用をしていると、ハードディスクのパーティションを拡張や縮小などしたい・・・

というニーズはあったと思います。

Windows Server 2003 の時はハードディスクの拡張はdiskpartコマンドを使用することによりできました。ただし、システムドライブは除く。

(参考)ベーシック ボリュームを拡張する

もしくはサードパーティ製の製品(Drive Imageなど)を使用していたんではないでしょうか?

実はWindows Server 2008 ではハードディスクの拡大、縮小がサポートされたんです。

ディクスの管理より対象のパーティションを選択して右クリックします。

HDD1

そしてボリュームの拡張もしくは圧縮を選択することができます。

HDD2

そして適切な数値を入力します。

HDD3

今回は縮小をしてみました。

まとめ

何気にこんなところが機能アップしていました。特にシステム領域も縮小、拡大がサポートされたのがGOODです。例えば、とりあえずフルでシステム領域をとってしまって、後からBitLockerを使ったハードディスク暗号化をしたい場合、専用パーティションを作成することができますね!