初めてのSystem Centerシリーズ

コメントを残す

今回、初めてSystem Centerシリーズを使うことになりました。

このSystem Centerには様々な製品が存在します。

実はHyper-V関連のコース準備をしているのですが、System Centerも使うので初体験です。今回はHyper-Vを管理するSystem Center Virtual Machine Manager 2008(SCVMM)を導入です。しかし、この製品だけではフル機能を使うことができないのでSystem Center Operations Manager 2007(SCOM)も一緒に導入しました。

今回のインストール順序としては(ホストはWindows Server 2008 Enterprise x64)

  1. SQL Server 2005
    SQL Server データベースサービス
    Reporting Services
  2. SQL Server 2005 SP3
  3. SCOM2007
  4. SCOM2007 SP1
  5. 管理パックのインポート
  6. SCVMM2008
  7. SCVMM2008とSCOM2007連携管理ツール

こんな順番でインストールしました。

さてここで重要なこととしては、SCVMM2008とSCOM2007との連携には条件があります。

SCOM2007SP1は必須

あらかじめ次の管理パックをDLしインストールしておく必要がある。

管理パックインストール

  • Microsoft.SQLServer.Library
  • Microsoft.SQLServer.2005.Monitoring
  • Microsoft.SQLServer.2005.Discovery
  • Microsoft.Windows.InternetInformationServices.CommonLibraty
  • Microsofft.Windows.InternetInformationServices.2003

ここで管理パックをマイクロソフトよりDLする必要がありますが、日本語のSystem Center管理サイトより検索すると1個前のバージョンであるMOM2005の管理パックをDLするように促されます。実はこれが罠で、初めての私はこれがSCOM2007でも使用できるもんだと思ってしまったんです・・・しかし、調べてみるとアーキテクチャが変わっているので使えないことが判明。んでヘルプで調べるとコンバートができるとか書いてあるのでわざわざコンバートしなくてはいけないのかな?とか思っちゃいました。その後調べてみる英語版のテックネットサイトからDLできることがわかりました。ここからSCOM2007の管理パックをDLしてインストールしてやっと前提条件が整います。このあと、SCVMMのインストール画面よりOperations Managerの構成を選択するとSCVMMの管理パックとともにインストールしてくれます。

これでやっとSCVMM2008の環境ができました~~~

さてこれからいろいろといじってみます。

iSCSIを使う~その1~

コメントを残す

Windows Server 2008ではiSCSIイニシエーターが付属しています。

これを使用すると外部ディスクをあたかも自分のディスクのように使用できるというすぐれものになります。しかし、外部ディスクであるiSCSI Targetがないと使用できません。

このiSCSIを使用することによってクラスタなどを簡単に使用することが可能になります(複数台の端末で共有ディスクを使用することができるため)。

マイクロソフトでもこのiSCSI Targetに相当する製品があるのですが、一般ユーザーが使うには敷居が高いというか、価格が高い。またストレージ製品でもあるのですが安いものでも数十万単位になります。

現在、Hyper-Vのコースの準備をしているのですが、Hyper-Vのクラスタ環境を使用したデモを考えていてどうしてもiSCSIを使用したくて悩んでいました。いろいろ調べた結果、LinuxならiSCSI Targetを簡単に作ることができるようなのでチャレンジしました。

今回使用したLinuxはUbunts8.10になります。

まずはイメージをダウンロードして、CDを作成します。

その後CDから起動してLinuxをインストール。

このUbuntsですが、Windowsしか使っていない人でもメニューがしっかりしているのでなんとなくわかります。

その後「アプリケーション」>「アクセサリ」>「端末」よりコマンドを実行

  • #apt-get update
  • #apt-get install iscsitartget

これでインストール完了(うまくいかないときの注意点としてはインターネットに直接つながっているかを確認。また権限が足りない場合は先頭にsudoを付けてください)

あとは設定ファイルを変更するだけです。設定ファイルを変更するにはエディタを使うと簡単なので私の場合はsudo geditでエディタを起動して編集しました。

設定ファイルは/etc/ietd.confにあります。

ターゲット名は適当でいいのですがこんな感じ

Target iqn.2009-04.hdd:storage.ubunts

そしてLUNの設定

私の場合は2つのLUNを作成しました。

Lun 0 Path=/home/iscsi-img0,Type=fileio

Lun 1 Path=/home/iscsi-img1,Type=fileio

これらの行を追加して完了。

最後にファイルを作成します。

  • #sudo dd if=/dev/zero of=/home/iscsi-img0 bs=1G count=5
  • #sudo dd if=/dev/zero of=/home/iscsi-img1 bs=1G count=5

countの数値を変えることによって大きさを変更可能です。この例では5Gのファイルを作成しています。

これでiSCSI Targetの設定は完了です。あとは環境にあったIPアドレスに変更すればWindows Server 2008からiSCSIが使用できます。

とりあえずiSCSIを試しに使ってみたいのであればこれで十分ですね。

Outlook 2007ではデフォルトゲートウェイが必要

コメントを残す

さて、トラブル対応の続きです。

実は、ネットワークの大幅変更がありクライアントのデフォルトゲートウェイをなくしました。その後、数名がExchange 2007サーバーに接続できないということが起こったんです。

そこでトラブルシューティングです。

なぜかクライアントソフトがOutlook 2003ならつながるんです。エラーが発生する端末のクライアントソフトウェアはOutlook 2007です。当社ではDHCPを使用しているので試しにデフォルトゲートウェイをRUOTE ADDコマンドで追加しました。しかし治らない・・・

その後つながらない人がどんどん増えてきました~~~~

どうやらDHCPのリース更新でデフォルトゲートウェイが無くなった人がつながらなくなることがわかりました。ということでクライアントにはデフォルトゲートウェイを追加することにしました。たとえ同じセグメントにExchnageがあっても必要なんですね。

参考情報

Error messages when you try to connect Outlook 2007 to Exchange Server: “The action cannot be completed” or “Your Microsoft Exchange Server is unavailable” or “Cannot start Microsoft Office Outlook”

わかったことはExchange 2007とOutlook 2007の組み合わせの際には必ずクライアントにはデフォルトゲートウェイを入れないといけないということでした。

なんだかな~~~

電子メールアドレスポリシーの構成エラー

1件のフィードバック

最近なかなかブログの更新ができていません(涙)

というのも、私の所属している会社の親会社が変わってしまってその変更などを行っていてなかなか時間が取れずにいました。

ちなみに今までは

NRIラーニングネットワーク株式会社(野村総合研究所グループ)でしたが、2009年4月1日よりエディフィストラーニング株式会社(キヤノンマーケティングジャパングループ)に変わりました。引き続きよろしくお願いいたします。

さてその移行作業中に発生したトラブルについて知っておいたほうがいいトラブルがありましたので書いておきます。

当社ではExchange 2007を使用しています。

現在Exchange 2003とExchange 2007が共存していて最終的にはExchange 2003を削除する予定です。

そこで体験したトラブルとしては、Exchange 2007 で配布グループを作成しようとすると、電子メールアドレスポリシーのエラーが表示され、配布グループの作成ができない。およびメールボックスの移動(2003→2007)の際も同様のエラーが出たんです。

そして調査してい見ると原因はSystem Attendant サービスが正常動作していない場合に表示されるエラーということでした。

が、サービスを見てみると開始となっているではありませんか!

これが厄介で、見た目上はサービスは起動しているのですが、実際には起動していない?そんな時は再起動すればほとんど治ります。

ただし、メールサーバーをそう簡単に再起動することはできないのでまいった・・・

まとめ

再起動後は必ず配布グループなどをいじってみて確実にSAが上がっているのを確認したほうが良いですね!

ネットワークアクセス保護(NAP)~その3~ DHCP NAP編

コメントを残す

それではDHCP NAPに関して解説していきます。

クライアント側の準備

クライアント側ではDHCP NAPに限らず、全てのNAP接続においての要件があります。それは

  • セキュリティセンター
  • Network Access protection Agentサービス
  • NAP実施クライアント(napclcfg.msc)

が動作していなくてはなりません。ちなみに対応クライアントはVistaおよびXP SP3になります。

*注意 XP SP3にはNAP実施クライアント(napclcfg.msc)は入っていませんのでグループポリシーでの適用が基本になります。

セキュリティセンターおよびNetwork Access protection Agentサービスは、管理ツールのサービスより起動します。そしてnapclcfg.mscより実施クライアント>DHCP検疫強制クライアントを有効にします。

DHCP NAP22

これでクライアント側の準備はOKです。

サーバー側の準備(NAPサーバー)

役割の追加よりNAPサーバーをインストールします。

その後SHVの設定を行う必要があります。これはネットワークポリシーサーバー>ネットワークアクセス保護>システム正常性検証ツール>Windowsセキュリティ正常性ツールより行います。

DHCP NAP1

今回はFWが有効な場合セキュリティ準拠という設定にします。

次に正常性ポリシーの作成です。ここで準拠と非準拠のポリシーを作成します。

DHCP NAP2  DHCP NAP3

次にネットワークポリシーを作成します。ここでは準拠する場合と非準拠の場合の動作を設定します。

DHCP NAP5

条件には先ほど作成した正常性ポリシーを使用して、準拠の場合と非準拠の場合を分けることができますね!

DHCP NAP6  DHCP NAP7

認証方法の構成では「コンピュータの正常性チェックのみを実行する」にチェックをいれ、そのほかのチェックは全て外します。ここがある意味ポイントになります。

DHCP NAP8

制約は特にないのでここはスルー

DHCP NAP9

そして、最後にNAP強制の設定を行いますが、準拠の場合はこのまま~

DHCP NAP10

これで準拠時のポリシー完成です。

DHCP NAP11

次に非準拠時のポリシーを作成します。ポイントはNAP強制時の動作になります。ここでは制限付きアクセスを許可するにチェックを入れます。そして通常は自動修復にもチェックを入れましょう。そうすれば、クライアントが非準拠になっても自動的に準拠する状態に変化します。

DHCP NAP16

さて、これで通常はNAPの構成は終了になりますが、ここである設定ができます。それは修復ネットワークを作成することができるんです。「修復サーバーグループとトラブルシューティングのURL」の構成よりグループ名とアドレスを指定します。そうするとこのグループに登録したサーバーに対して非準拠時でもアクセスできるようになります。

DHCP NAP18

サーバー側の準備(DHCPサーバー)

役割の追加よりDHCPサーバーをインストールします。ここで注意が必要なのは、NAPサーバーと同じサーバー上にDHCPサーバーをインストールするならば問題はないのですが、他のサーバーにDHCPサーバーをインストールする場合はNAPプロキシーの設定をしてNAPサーバーに状態を転送させなくてはならない問題があります。

通常のスコープを作成しましょう。

DHCP NAP19

そしてネットワークアクセス保護を有効にします。

DHCP NAP20

あとは、非準拠時の設定を行う必要があります。スコープオプションの詳細設定タブ>ユーザークラス>規定のネットワークアクセス保護クラスに非準拠時の設定を行います。

DHCP NAP21

これで準備が終わりました。

クライアントの動作

ではまず準拠時のクライアントから

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
システムの検疫の状態 . . . . . : 制限なし

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.0.0
リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:12:18
デフォルト ゲートウェイ . . . . . : 10.10.0.254
DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限なし

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : WoodgroveBank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
0.0.0.0          0.0.0.0      10.10.0.254       10.10.0.50     20
10.10.0.0      255.255.0.0        リンク上        10.10.0.50    276
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.255.255  255.255.255.255        リンク上        10.10.0.50    276
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

次に非準拠のクライアント

ipconfig /all の結果

Windows IP 構成

ホスト名 . . . . . . . . . . . . : NYC-CL1
プライマリ DNS サフィックス . . . . . . . : WoodgroveBank.com
ノード タイプ . . . . . . . . . . . . : ハイブリッド
IP ルーティング有効 . . . . . . . . : いいえ
WINS プロキシ有効 . . . . . . . . : いいえ
DNS サフィックス検索一覧 . . . . . . : WoodgroveBank.com
restricted.Woodgrovebank.com
システムの検疫の状態 . . . . . : 制限あり

イーサネット アダプタ ローカル エリア接続:

接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
物理アドレス. . . . . . . . . . . : 00-03-FF-FF-EA-84
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
リンクローカル IPv6 アドレス. . . . : fe80::7511:d80d:97aa:8298%10(優先)
IPv4 アドレス . . . . . . . . . . : 10.10.0.50(優先)
サブネット マスク . . . . . . . . : 255.255.255.255
   リース取得. . . . . . . . . . . . : 2008年5月28日 15:08:47
リースの有効期限. . . . . . . . . : 2008年6月3日 15:09:41
デフォルト ゲートウェイ . . . . . :
   DHCP サーバー . . . . . . . . . . : 10.10.0.24
DNS サーバー. . . . . . . . . . . : 10.10.0.10
検疫の状態 . . . . . . . . . . : 制限あり

プライマリ WINS サーバー. . . . . : 10.10.0.10
NetBIOS over TCP/IP . . . . . . . : 有効

Tunnel adapter ローカル エリア接続*:

メディアの状態. . . . . . . . . . : メディアは接続されていません
接続固有の DNS サフィックス . . . : restricted.Woodgrovebank.com
説明. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理アドレス. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 有効 . . . . . . . . . . . . : いいえ
自動構成有効. . . . . . . . . . . : はい

route print の結果

===========================================================================
インターフェイス一覧
10 …00 03 ff ff ea 84 …… Intel 21140-Based PCI Fast Ethernet Adapter (Emulated)
1 ……………………… Software Loopback Interface 1
11 …00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
===========================================================================

IPv4 ルート テーブル
===========================================================================
アクティブ ルート:
ネットワーク宛先        ネットマスク          ゲートウェイ       インターフェイス  メトリック
10.10.0.24  255.255.255.255        リンク上        10.10.0.50     21
10.10.0.50  255.255.255.255        リンク上        10.10.0.50    276
10.10.0.90  255.255.255.255        リンク上        10.10.0.50     21
127.0.0.0        255.0.0.0        リンク上         127.0.0.1    306
127.0.0.1  255.255.255.255        リンク上         127.0.0.1    306
127.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上         127.0.0.1    306
224.0.0.0        240.0.0.0        リンク上        10.10.0.50    276
255.255.255.255  255.255.255.255        リンク上         127.0.0.1    306
255.255.255.255  255.255.255.255        リンク上        10.10.0.50    276
===========================================================================
固定ルート:
なし

IPv6 ルート テーブル
===========================================================================
アクティブ ルート:
If メトリック ネットワーク宛先      ゲートウェイ
1    306 ::1/128                  リンク上
10    276 fe80::/64                リンク上
10    276 fe80::7511:d80d:97aa:8298/128
リンク上
1    306 ff00::/8                 リンク上
10    276 ff00::/8                 リンク上
===========================================================================
固定ルート:
なし

まとめ

準拠時は特に問題なくネットワークに接続できます。いうなれば、これがセキュリティで保護されたネットワークになります。そして非準拠時には自分が所属しているネットワークのルートが消えて自分自身にしか通信ができません。さらにデフォルトゲートウェイがある場合はこれもなくなります。この例では、0.0.0.0と10.10.0.0/16が消えてますよね。ただし修復ネットワークが設定してある場合はそのルートが追加されます。この例では10.10.0.90/32が追加されています。

修復ネットワークの作成方法としては別のアプローチもあります。それはDHCP側のオプション設定において、[121 クラスレス静的ルート]を設定する方法です。

こうやってみると、DHCP NAP はルーティングテーブルを制御することによって論理ネットワークを作っていることがわかりますね~

ネットワークアクセス保護(NAP)~その2~

コメントを残す

久々の更新になります。

それでは、NAPの基本的な仕組みについて考えてみます。

NAPを行うためにはクライアントおよびサーバーに何らかの仕組みが必要になります。それでは、まずはクライアントが準拠すべきポリシー(正常性)に関して考えてみます。

クライアントとサーバーではどのような仕組みが必要になるのでしょうか?

これから様々な用語が出てきますのでご注意ください。

ポリシー判断の仕組み

まずはクライアント側ではポリシーを判断するためのシステム正常性エージェント(SHA)が動作しています。このSHAに対応したものが、サーバー上でシステム正常性ツール(SHV)として動作しています。よって、クライアントのSHAがポリシーの判断をしてサーバーのSHVに対して結果を送信することになります。この更新情報が正常性ステートメント(SoH)となります。

ではクライアントのSHAに相当するものは何か?ということになりますが、VistaやXP SP3ではセキュリティセンターが相当します。サーバー側はSHVがネットワークポリシーサーバー(NPS)に入っています。

SHV

このSHVを見るとわかると思われますが、クライアント側のセキュリティセンターで判断できる項目が並んでいますよね!

サーバー側のSHVに基づいてクライアントのSHAが正常性の判断をしてSoHを送信するというメカニズムですね。

ではここで考えなくてはいけないのが、この正常性の判断によってネットワークアクセス保護(NAP)は何をするのか?ですね。

基本的にNAPにおける考え方は次のようになります。

論理的なNW

NAPでは論理的に3つのNWを作成することになります。それぞれのNWの呼び名は異なりますが、制限付きNWは正常性に関しては非準拠か、もしくは非対応のクライアントが所属することになります。そしてセキュリティで保護されたNWは正常に準拠したクライアントのみ所属します。それでは非準拠のクライアントは何らかの方法で準拠させなくてはなりません。ということで、準拠するための仕組みを整えるNWである境界NW(修復NW)を作るわけです。

このネットワークを作成するのが実施サーバー/実施デバイスになります。

マイクロソフトがサポートしているのは、おもに4つの方法になります。

  • DHCP NAP
  • VPN NAP
  • 802.1x NAP
  • IPSec NAP

になります。要するに上記4つの方法のどれかを使用して論理的なNWを作るわけですね~

まとめ

NAPでは論理的なNWを作り、クライアントの正常性の状態にしたがって所属するNWが異なることによりセキュリティを確保する仕組みなることが分かったと思われます。

ここで知っといてほしいことは、SHAとSHVは対になるということです。現在のところマイクロソフトが提供しているSHAとSHVしかありませんが、今後は他ベンダーがこのNAPに対応したSHAとSHVを提供することにより、正常性の判断の仕組みが増えることになるでしょう。

NPS

NPSのシステム正常性ツール(SHV)に現在はWindows セキュリティ正常性ツールしかありませんが、サードパーティ製のSHVが増えるとここの項目が増えるということになりますね。当然、クライアント側にもSHAに相当するものがないといけませんが・・・

また今回の説明ではSHAがSHVに対してSoHを送信すると書きましたが、厳密には複数のSoHを送信することが想定されますので、ネットワーク上には複数のSoHをまとめた”SSoH”が送信されることになります。

ネットワークアクセス保護(NAP)~その1~

コメントを残す

Windows Server 2008の目玉となる大きな機能として、NAPがあります。

そもそも、NAPとはなんでしょう?

それは、企業が決めたセキュリティポリシーに準拠していない端末が、企業のネットワーク(社内ネットワーク)にアクセスするのを防ぎたいという目的のために作られた機能になります。

ここで間違えてはいけないのが、悪意のあるユーザーが企業ネットワークに接続するのを防ぐためのものではないということです。

実はWindows Server 2003の時代にも同じような機能を提供していました。

それはネットワークアクセス検疫制御というものです。

これも紆余曲折があって、当初はリソースキットで提供されていたコンポーネントが、この機能をサポートするためにSP1に入ってきました。

仕組み的にはこんな感じ

NW検疫制御

VPN環境において、クライアント上にスクリプト(企業が要求するポリシーチェックを行う)を動作させて、OKならば通常NWに接続し、NGならば制限されたNWに接続させます。この制限されたNW上には、スクリプトをクリヤーするための仕組みを入れておきます。例えば、最新のウイルス定義ファイルをファイルサーバーに保存しておいたり、Webサーバーを構築しておき、作業手順を記載しておくなど。そして、条件をクリヤーしたら通常NWに接続させる仕組みになります。

ここで問題になるのは、スクリプト(企業が要求するポリシーチェックを行う)を企業の管理者が作成しなくてはいけないということになります。また、接続方法もVPNのみということで、構築要件がかなり厳しく簡単には構成はできませんでした。

それを踏まえて、マイクロソフトではWindows Server 2008でNAPという機能を追加しました。

NAPでは上記のような仕組みをあらかじめ用意することにより、管理者の手間を大幅に削減し、簡単に導入できるようになりました(ここでいう簡単にとはWindows Server 2003で提供されていたネットワークアクセス検疫制御よりもということです)。

ではこれからNAPの仕組みについて考えてみたいと思います。

P.S. 最近本業の方が忙しくてなかなか更新ができていません。このテーマは長丁場になるかな?

Windows Server 2008 の便利な機能(HDD編)

2件の返信

システムの運用をしていると、ハードディスクのパーティションを拡張や縮小などしたい・・・

というニーズはあったと思います。

Windows Server 2003 の時はハードディスクの拡張はdiskpartコマンドを使用することによりできました。ただし、システムドライブは除く。

(参考)ベーシック ボリュームを拡張する

もしくはサードパーティ製の製品(Drive Imageなど)を使用していたんではないでしょうか?

実はWindows Server 2008 ではハードディスクの拡大、縮小がサポートされたんです。

ディクスの管理より対象のパーティションを選択して右クリックします。

HDD1

そしてボリュームの拡張もしくは圧縮を選択することができます。

HDD2

そして適切な数値を入力します。

HDD3

今回は縮小をしてみました。

まとめ

何気にこんなところが機能アップしていました。特にシステム領域も縮小、拡大がサポートされたのがGOODです。例えば、とりあえずフルでシステム領域をとってしまって、後からBitLockerを使ったハードディスク暗号化をしたい場合、専用パーティションを作成することができますね!

DHCP ServerでMACアドレスフィルタリングを行う

コメントを残す

Windows Server 2008で提供されているDHCPサーバーではMACアドレスによるフィルタリングはサポートされていません。これはNTの時代から変わっていませんね。

実際問題、私がSEをしていた頃に登録したMACアドレスにしかIPアドレスの配布をしたくないというお客様がいて、サードパーティ製のDHCPサーバーを購入して対応した記憶があります。

先日Windows Server 使い倒し塾のブログを見ていたら、なんとフリーのツールを使用することによってWindows Server 2003以降(2008も含む)のDHCPサーバーでMACアドレスフィルタリングを使用できるようなんです。

そのツールとはCallout DLLというものです。Microsoft Windows DHCP Team Blogにて紹介がされています。

CallOutHP

そして、さらにリンクがあり、Connect The Worldをクリックします。

CallOutHP1

そして一番下にDownloadのリンクがありますのでそこからツールをダウンロードします。

そして32ビットと64ビット版がありますので使用する方をダウンロードしてDHCPサーバーに対してインストールします。見た目は全くかわりませんね~

変わる場所はレジストリになります。

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDHCPServerParameters

この中のパラメータがCallOut DLLに影響を及ぼすようです。

  • CalloutDlls:ツールのパス
  • CalloutEnabled:1の場合は起動で、0にすればロードされません
  • CalloutErrorLogFile:ログファイルのパス
  • CalloutInfoLogFile:情報ファイルのパス
  • CalloutMACAddressListFile:これが肝のアクセス制御ファイルのパス

デフォルトではc:WindowsSystem32dhcp 配下に設定されていることがregeditから確認できます。

reg  File

そして実際の操作に関しては次の2通りがあります。

  • 許可リスト:DHCPを使用する全ての端末MACを登録する
  • 拒否リスト:DHCPを使用させない端末のMACを登録する

このリストの記載方法は次の通り

#MACList.txt
MAC_ACTION = {ALLOW / DENY}
#List of MAC Addresses:
000a0c0d1254 #lab-server1
000d0c4a6723 #lab-server2

これはREADMEに記載してあるものなんですが、先頭に#があるのはコメントですね。そしてMAC_ACTIONに許可もしくは拒否を設定する。そこでちょっとはまったのが、その書き方なんです。これって

MAC_ACTION = ALLOW

でうまくいくと思ったんですが、何度やってもうまくいきませんでした。試しに

MAC_ACTION = {ALLOW}

としたらうまくいきました。

あとは、クライアントのMACアドレスを登録すればうまく動きます。いや~、これはこれで便利ですね。

まとめ

今までこのような機能のニーズはあったにも関わらず、マイクロソフトのDHCPではサポートしていませんでした。が、Windows Server 2008 R2 のDHCPサーバーはMACアドレスフィルターをサポートするようです。