Win Win Windowsコラム
第17回: コンピューターが提供するサービスをできるだけ止めないようにするには?
執筆:加藤 由利子
どのようなものでも形あるものはいつか壊れます。普段便利に使っているものほど壊れて使えなくなってしまうととても困ります。コンピュータも同じです。
特に、電子メールサーバーのように多数の人が利用するサービスを提供するコンピュータが壊れてしまうとその影響は非常に大きくなります。壊れてしまってから対処するには復旧に時間がかかるので、普段から対応策を考えておくことが大切です。
対策の1つは、「同じサービスをすぐに提供できるように代替機を用意する」ことです。
しかし、単に予備機を用意して何の準備もしていなければ、復旧に時間がかかり過ぎます。障害発生時に電源入れればすぐに使えるようOSやサービスはインストール済みのコンピュータを準備しておくだけでも足りません。障害を起こしたサーバーが行っていた処理やデータを滞りなく引き継ぐことも求められるからです。
携帯電話を買い換えることを考えてみてください。最低でも電話帳の移行が必要でしょうし、待ち受け画面を好みのものに変えたい人も多いはずです。
障害を起こしても、すぐに予備機に切り替える機能として、Windows Server 2008 R2には「フェールオーバークラスター機能」が用意されています。フェールオーバークラスターはMicrosoft Cluster Service(MSCS)とも呼ばれ、Windows NT Server 4.0 Enterprise Editionに初めて搭載されました。
フェールオーバークラスターは、2台以上のWindows Serverコンピュータを用意し、グループ(クラスター)化します。クラスターを形成するコンピュータを「ノード」と呼びます。各ノードには同じOSやサービスをインストールしておきます。
フェールオーバークラスターでは1台のノードがサービスを提供します。このノードをアクティブノードと呼びます。もう1台はスタンバイノードと呼ばれ、アクティブノードで障害が発生したらすぐに処理を引き継げるように待機します。あらかじめ「引き継ぎの準備」をしておくことで、アクティブノードが停止すると、スタンバイノードで自動的にサービスが開始されます。引き継ぎの準備をするための情報は、アクティブノードとスタンバイノードの両方から利用できる領域に保存します。通常は、すべてのノードから物理的にアクセス可能な「共有ディスク」に保存します。Windows Server 2008 R2では、共有ディスクとしてファイバーチャネルやiSCSIが利用できます。
フェールオーバークラスター環境をあらかじめ構築することにより、障害発生時に管理者が対処することなく自動的にサービスの復旧を行うことができます。
フェールオーバークラスター機能は電子メールサーバーサービスを提供するMicrosoft Exchange Serverやデータベースサービスを提供するMicrosoft SQL Serverなどで利用できます。また、Windows Server 2008から搭載されたHyper-Vでは、仮想マシンは稼働中のまま、仮想マシンを動かすコンピュータを変更する「クイックマイグレーション」、「ライブマイグレーション」機能を実現するインフラとしてフェールオーバークラスターが利用されています。
グローバルナレッジでは、「Windows Server 2008フェールオーバークラスター実装、管理、保守 ~Windows Server 2008 R2対応~」コースを提供しています。このコースでは、フェールオーバークラスター環境の構築から運用、管理、保守までを効率的に学習して頂けます。ご受講を、ぜひご検討ください。
[Windows Server 2008 R2運用管理][2011年11月 8日配信]
Win Win Windowsコラム
第16回: 管理権限の委任 ~共同管理と分散管理~
執筆:河野 憲義
何の記事だったか忘れてしまったのですが、「Active Directoryが登場して10年経過、これは当初の設計思想が良かったから・・・」というような事が書かれていました(編集者注)。
「他に選択肢が無かったから・・・」など、賛否両論あるのかもしれませんが、10年経ったというのは事実です。言い変えれば、10年後の要望にも対応できるように、様々な機能が搭載されていたからと言えるのかもしれません。
様々な機能で真っ先に出てくるのは「グループポリシー」でしょうか。しかし「委任」もポイントが高いのではないかと感じています。
◇ ◇ ◇ ◇ ◇
さて、「パスワードは定期的に変更してください」と言われていますが、ユーザー アカウントのパスワードは、どなたが変更していますか?
A. 各ユーザー自身で自分のパスワードを変更する
B. システム管理者が各ユーザーのパスワードを変更する
もちろんAのパターンが一般的で、Bのパターンは有り得ないですね。
でも、これってよく考えたら不思議ではありませんか? パスワードはユーザー アカウントの属性として、Active Directoryに保存されています。それを管理者権限の無い一般ユーザーが変更しています。
「なるほど、言われてみれば変だぞ。」
「良く分からないが、そういうものなのだろう。」
実は、これが委任の基本です。仕組みは簡単で、[パスワードの変更]というアクセス許可が、ユーザー(本人)に許可されているのです。同じようなアクセス許可を与えることで、パスワードだけでなく、部署名や電話番号といった他のユーザー アカウント属性も、自分自身で変更可能になります。
部署名や電話番号が変わった場合、その変更をシステム管理者側で行うのは大変です。またユーザー側も、システム管理者に変更を依頼するのは面倒です。
委任を効果的に活用することで、システム管理者の労力を軽減すると同時に、一般ユーザーでも気軽に変更できるメリットが生まれます。部署名や電話番号はOutlookのアドレス帳に表示できます。これらの保守をユーザー自身で行うようにすれば、システム管理者とユーザーの双方にとって有益なのではないでしょうか。
◇ ◇ ◇ ◇ ◇
Active Directoryには様々な機能が搭載されていますから、1人のシステム管理者だけで運用していくのは大変ですね。
ある程度の規模を持つActive Directoryは、部署単位や拠点単位に分け、複数人で「分散管理」するのが常套手段と言えるでしょう。この際、管理担当者のアカウントをAdministratorsグループに登録、と考えがちですが、これでは「分散管理」ではなく「共同管理」になってしまいます。
ご存知の通りAdministratorsグループには、すべての管理権限が付与されています。すべてを管理できるということは、ある部署や拠点の管理担当者が、誤って別の部署や拠点の設定を変更してしまう懸念が出てきます。この場合、人レベルでは分散管理かもしれませんが、システムレベルでは分散管理になっていないことになります。
システムレベルで分散管理を実現するには、先ほどの「委任」が役立ちます。ある部署や拠点のシステム管理担当者には、その部署や拠点のアクセス許可のみを許可するようにします。こうすることで、誤って別の部署や拠点の設定を変更してしまうことを防止できます。
複数人で分散管理する場合、「委任」を有効に活用することで、明確な責任分担が反映されたシステム運用が可能になります。
◇ ◇ ◇ ◇ ◇
システム管理者と一般ユーザー、複数人のシステム管理者。この2つの観点から「委任」を眺めてみました。これら「委任」については次の認定コースで取り上げています。よろしければ参加をご検討ください。教室でお待ちしています。
【編集者注】
マイクロソフト主催の「Active Directory 10周年」イベントのパネルディスカッションで、横山哲也(グローバルナレッジネットワーク)が発言した内容だと思われます。
当日の様子は、マイクロソフトの高添さんのブログ「Active Directory 10 周年記念 ~ Active Directory 有名人たちが語る 10 年~」をご覧ください。
[Active Directory Windows Server 2008 R2運用管理][2011年10月 7日配信]
Win Win Windowsコラム
第15回: リモートデスクトップとビジネス継続性
執筆:横山哲也
震災以後、このコラムもストップしていましたが、今月から再開します。引き続きよろしくお願いします。
日経コンピュータ誌の記事「私物の業務利用、禁止・黙認から脱却する企業」によると、私物PCの業務使用を解禁したり、自宅勤務に個人所有PCの利用を許可したりする企業が増えているそうです。しかし、セキュリティの観点から無条件に解禁することはできません。私物PCのセキュリティは、企業内のPCに比べてどうしても甘くなりがちだからです。
私物PCの利用を許可した企業の多くは、いわゆる「シンクライアント」技術を利用しています。シンクライアントは、キーボードやマウス操作と画面描画だけを担当し、データやアプリケーションはサーバー上にあるものを利用します。そのため、万一クライアントPCにセキュリティ問題があっても、サーバーに影響が及ぶ可能性を最小限に抑えることができます。
シンクライアントの代表はマイクロソフトの「リモートデスクトップサービス」とCitrix社の製品群です。今回はリモートデスクトップサービスを中心に紹介します。
●リモートデスクトップサービス
リモートデスクトップサービスは、1台のサーバーを複数の利用者で共有します。個人データは同じサーバー上に保存されますが、アクセス許可が設定されているので許可なく他人のファイルを読むことはできません。
リモートデスクトップサービスは、アプリケーションとデータの管理を少数のサーバーに集中できるので、少ない投資で効率よく管理でき、高いセキュリティが実現できます。ただし、一部のアプリケーションはリモートデスクトップサービスに対応していません。また、利用者が自由にアプリケーションをインストールしたり再起動したりはできません(勝手に再起動されたら同時に使っている他の人は困りますよね)。
リモートデスクトップサービスはWindows Serverの標準機能ですが、利用にあたっては別途リモートデスクトップクライアントアクセスライセンス(RD CAL)が必要です。
●VDI(仮想デスクトップインフラストラクチャ)
VDI(仮想デスクトップインフラストラクチャ)は、リモートデスクトップサービスと同じネットワーク技術を使いますが、接続先はサーバーではなくWindows 7やWindows XPなどのクライアントPCです。ただし、物理的なPCではなく仮想マシンを使います。
マイクロソフトが提供するVDIでは、仮想マシンの構成にHyper-Vを使います。また、適切な仮想マシンを選択するためにリモートデスクトップサービスも利用します。少々複雑な構成になりますが、一度構築してしまえば運用は簡単です。
VDIは、リモートデスクトップサービスと同様のセキュリティ機能を持ち、利用者は(管理者が許可した範囲で)仮想マシンを自由に構成できます。仮想マシン毎にアプリケーションをインストールしたり、修正プログラムを適用したりする必要はありますが、Active Directoryとグループポリシーを使えばそれほど面倒ではないでしょう。
●多様なクライアント
リモートデスクトップサービスもVDIも、幅広いクライアントを利用できます。iPadやWindows Phoneでも使えます(個人的にはスマートフォンでWindowsの画面操作をするのは遠慮したいと思いますが、緊急時には役に立つこともあるでしょう。
セキュリティを保ちつつ、自宅勤務環境を安価に構築できるリモートデスクトップサービスやVDIは、災害やパンデミック時のビジネス継続性実現に大きく貢献するはずです。
リモートデスクトップサービスとVDIの詳細は「マイクロソフト クライアント仮想化ソリューション ~リモートデスクトップとVDI~」 コースで扱っています。自分ではなかなか体験できないVDI環境の構築演習もありますので、ぜひ受講をご検討ください。
[Windows Server 2008 R2運用管理][2011年9月21日配信]
Win Win Windowsコラム
第4回: 大きな楽をするためのちょっとした努力
執筆:目時 秀典
私の会社は、IT技術教育を提供しています。しかし、社内の仕組みはITを駆使した理想的な環境かというと、そうでもありません。システム管理者や開発者の立場から見ると、日々の業務の中では、「なぜ、こんな処理を手作業で?」とか、「これって、ちょっと工夫すれば自動化できるよね。」といった処理が散見されるのです。単純なルールで動いている業務を、毎回仕方なく手作業でこなしている方は多いのではないでしょうか。
単純な業務を自動化することを妨げる要因としては、
・自動化するためのプログラミングの知識がない
・プログラミングとシステム管理の連携方法がわからない
・開発環境が充実していない
などいろいろなものがあるでしょう。
そこで、おすすめなのはWindows PowerShellです。
Windows PowerShellはWindows環境で使用できる新しいコマンドライン ツールです。無償で入手できて、システム管理系のコマンドが充実し、コマンド同士を連携させて、複雑な処理でも簡潔に指定できる特徴を持ちます。
※ Windows PowerShellはバージョン1.0としてWindows Server 2008から標準装備され、Windows 7、Windows Server 2008 R2からはバージョン2.0として標準装備されています。Windows VistaやWindows Server 2003などにはマイクロソフト社のサイトからダウンロードしてインストールすることができます。
UnixやLinuxの管理知識がある方には、Windows環境でもbashのような操作ができるようになったと言えば分かりやすいでしょうか。ただし、PowerShellの出力は単純な文字列ではなく、オブジェクトであるという点が、従来のシェルとの大きな違いです。Windows PowerShellは.NET Frameworkと統合されているので、Framework内のすべてのオブジェクトにアクセスできます。
難しい用語は抜きにして、話題を自動化に戻しますと、私の会社では、ちょっとした自動化処理には、Windows PowerShellを利用することにしました。例えば、PowerShellスクリプトを定期タスクとしてスケジュールし、毎朝9時にデータベースから必要なデータを抽出し、これをHTMLメールに成形して集客状況レポートとして関係者に通知します。また、共有領域に置かれたExcelファイルの内容を3時間おきに解析して、XMLドキュメントに成形して、Webアプリケーションへ転送し、WebページとしてExcelの内容を社内で共有しています。修正や機能改善はスクリプトをメモ帳で編集するだけです。
この仕組みによって、従来は各社員が必要に応じて自分で調べなければならない情報が、定期的にメールやWebサーバーから取得できるようになりました。ユーザーが自分で取得するプル型の情報取得方法を、システムがユーザーに通知するプッシュ型へ変え、データへのアクセス方法を単純化したのです。
システム管理者やシステム開発者は、PowerShellの使い方を学ぶというちょっとした努力で、単純な業務プロセスが自動化され、ユーザーは煩わしい手作業処理から解放されます。もちろん、管理者のルーチンワークも自動化できます。恩恵を受けるユーザーの数が多いほど、組織としては大きな楽を得たことになります。PowerShellの基本操作を覚えることで、Windows環境の管理作業や、システム環境と連携した小回りのきく自動化のツールが作成できます。
Exchange Server 2007、Exchange Server 2010、SharePoint Server 2010、IIS、ActiveDirectoryなど、PowerShellから管理するサーバー製品も増えてきています。管理する対象が違っていても、PowerShellからの操作方法が統一されているので、あるサーバーの管理方法を覚えてしまえば、他のサーバーも似たような操作で管理することができます。例えば、Active Directoryのユーザー一覧を取得するには、Get-ADUserですが、SharePoint Serverのユーザー一覧は Get-SPUserです。
★★★★★★★★
Windows PowerShellは、これからのWindows管理ツールの主流となります。PowerShellの基本操作を修得するだけでも今後の管理業務を効率化し、大きな楽をするための1歩になります。
プログラミング経験のないシステム管理者の方でもPowerShell操作ができるようになるための、Windows PowerShell 1日コースを提供しております。
「Windowsシステム管理の自動化 ~Windows PowerShellを使用した効率的な管理~ 」
目時 秀典
グローバル ナレッジ ネットワーク株式会社で、
Microsoft .NET Framework環境の開発関連コースの企画、実施、開発などを担当。
社内情報系システムの設計、開発や社内ツール開発も行う。
著書に
「基礎からのASP.NET」(ソフトバンククリエイティブ)
「Windows PowerShell 実践システム管理ガイド」(日経BPソフトプレス)
がある。
[運用管理][2010年5月31日配信]
.NET Framework
