Trainocate Japan, Ltd.

Win Win Windows
ホーム > Win Win Windows > Windows Server

Win Win Windowsコラム
認証と認可とActive Directory
執筆:横山哲也

 皆さんは、自分の身分証明書をお持ちでしょうか。おそらく、運転免許証パスポートを使う方が多いのではないかと思います。私もどちらかを使っています。

 

 ちょっと変わった身分証明書として、無線従事者免許証があります。これは、パスポートを申請するとき、1点で有効な本人確認書類ですが(法律で決まっています)、有効期限がありません。私もアマチュア無線技士の無線従事者免許証を持っていますが、40年ほど前の写真であり、さすがに使う気にはなれません。

無線従事者免許証
▲無線従事者免許証(電話級(現在の第4級)、電信級(現在の第3級)、第2級)
私の身分証明に使えると思いますか?


 さて、ほとんどの身分証明書は、身元確認の機能に加えて「どんなことが許可されるか」を示しています。たとえば、運転免許証は運転可能な車の種別が記載され、運転の条件(眼鏡等)が指定されています。

 

 でも、レンタルビデオの会員証を作るのに運転要件は必要ありません。本来は、本人確認と、何ができるかという能力の確認は別のものです。

 

 IT分野では、本人確認を「認証(Authentication)」能力の確認を「認可(Authorize)」と呼んで区別しています(「認可」の代わりに「承認」を使う場合もあります)。

 

 空港で「Authorized Person Only」と書いてあれば、それは「認可された人だけが入れる場所」であり、「関係者以外立入禁止」の意味です。Authorizeのニュアンスがお分かりいただけるでしょうか。

 

 認可を行うには、認証が不可欠です。認証できなかった人に、何かの権利を与えることはできません。「関係者以外立入禁止」の場所に、身分証明書なしに入ろうとしたら止められるでしょう。

 

 認証ができても、認可されなければ、やはり権利は与えられません。私が空港に行って「Authorized Person Only」に入ろうとして、運転免許証を提示しても入れてくれないでしょう。本人確認ができても、空港関係者(=空港管理の認可済)ではないからです。

 

 そういえば、昔のパスポートには「北朝鮮(朝鮮民主主義人民共和国)を除く全ての国と地域で有効」という意味の言葉が書いてありました(調べたら1991年より前だそうです)。つまり、一般のパスポートでは北朝鮮に行く権利がなかった(認可されていなかった)のです。

 

 このように、認証と認可は密接な関係があり、認証なしに認可は成り立ちません

 

 企業内のITシステムでは、認証システムとしてActive Directoryドメインサービス(AD DS)を使うことが多いようです。AD DSはWindows 2000とともに登場した古いシステムですが、現在に至るまでアーキテクチャを大きく変えずに使われ続けています。

 

 WindowsがAD DSに参加すると、AD DSの認証情報が利用できるようになります。AD DSの「ドメイン」とは、認証情報が有効な範囲(領域:ドメイン)の意味です。社員証が身分証明書として使える範囲は会社内だけでしょう。この場合、会社がドメインとなります。

 

 Active Directoryは昔から人気のある研修ですが、最近また増えているようです。その背景には、マイナンバーの導入や、個人情報保護の強化などがあるようです。

 

 無料セミナー「今さら聞けない! Windows Server 2012 R2 Active Directory入門」も、毎回満席になります。内容は「今さら聞けない」の言葉通り、基本的なことばかりですが、改めて勉強したいということのようです。

 

 グローバルナレッジでは、演習付きのActive Directory研修として、1日に凝縮した「Active Directory最小構成実践」や、マイクロソフト公式カリキュラムをアレンジした4日間の「Windows Server 2012 Active Directoryの実装と管理」を提供しています。

 

 Active Directoryが社内に導入されているところは多いようですが、十分に生かし切れていない例も散見されます。この機会にグローバルナレッジの教育コースを受講してみてはどうでしょう。

 

 なお、マイクロソフトではActive Directory提供15年を記念したイベントが開催されます(私は、セッションスピーカとして参加します)。詳細はマイクロソフトの社員ブログ「3/18 Active Directory 15th 記念カンファレンス 最終セッションリスト」をご覧ください。既に満席ですが、キャンセル待ちは可能なようです。懇親会もあるので、会場でお会いできる方はお会いしましょう。

あくびねこ
▲写真と本文は関係ありません

[Active Directory Windows Server][2016年3月 8日配信]

Win Win Windowsコラム
急速に普及する Windows Server 2012 R2
執筆:横山哲也

新しい靴は気持ちがいいものですが、慣れるまで違和感がある場合もあります。長い距離を歩くことが分かっているときに、新品の靴をいきなり履く人は少ないでしょう。


ITの世界も同じです。「サーバーOSは、最新版が出ても、しばらく様子を見る」という方がたくさんいらっしゃいました。中には「1つ前のバージョンを使う」という方もいらっしゃいました。


しかし、新しいOSにはたくさんの魅力的な機能が詰まっています。どうしたらいいでしょう。


聞くところによると、ランニングシューズは新品が最高の性能で、サイズさえ合っていれば新品が一番いいそうです(考えてみれば当たり前ですね)。ただし、サイズが正確に合っていることが条件です。専門店では正確なサイズ測定もしてくれるようですね。ただし、オーダーメイドでもない限り、売っている靴が足のサイズと正確に一致するはずもありません。足の形もさまざまですから、ある程度の履きならしは必要です。

どれくらいのならし期間が必要なのかはよく分かりませんが、ランニングシューズの場合は、革靴よりはずっと短くて済むはずです。最近の靴は優秀なので、ふつうに歩くだけならならし期間は不要かもしれません。


サーバーOSも、最新版が最も高機能になっていることは間違いありません。まあ、たまに余計な機能がついているっていうこともありますが、それは別の問題です。

ビジネスの変化が加速しているせいか、ここ数年は最新版のOSを採用する企業が増えているように思います。特にWindows Server 2012 R2は評判が良いようです。

Windows Server 2012 R2のカーネル部分は、Windows 8.1に相当します。GUIもWindows 8.1に準じているため、操作面から敬遠する人もいるようですが、管理ツールは(サーバーマネージャーを除いて)ほとんど変わっていませんので、今まで通りの使い方もできます。


Windows Server 2012 R2の研修はいくつかあります。

マイクロソフト認定教育コースは、豊富な情報量と多くの演習を通して広く深く学べますが、日程も長い傾向にあります。今までWindows Server 2003や2008を使ってきた方にとっては冗長な内容も含まれます。また、グローバルナレッジで受講する場合、演習環境はWindows Server 2012 R2になっているものの(「Windows Server 2012ソリューションアップデート」を除く)、マイクロソフトから提供されるテキストはWindows Server 2012のままという場合もあります。


グローバルナレッジでは、既にWindows Serverの管理経験があり、特定の機能のみを重点的に学習したい方に対して以下の教育コースを提供しています。

いずれも1日または2日で完結しますので、日程の確保もしやすいのではないでしょうか。

マイクロソフト認定教育コースとグローバルナレッジのオリジナル教育コースは、どちらも特徴があり、目的に合わせて選んでいただければと思います。

[Windows ServerWindows Server 2012][2015年3月17日配信]

Win Win Windowsコラム
第47回 [Windows移行特集6]サーバー役割の移行
執筆:横山哲也

今回は、サーバー役割の移行についてのお話です。
 

1日の教育コース「Windows Server環境マイグレーション実践」では、以下の内容を扱っています。
 

  • Active Directoryマイグレーション
  • ユーザーアカウントマイグレーション
  • クライアントマイグレーション
  • サーバーマイグレーション

このうち、もっとも要望が多いのがActive Directoryドメインおよび、ドメインアカウントのマイグレーションです。日本では、Windows Server 2003時代にActive Directoryドメインサービスを全社導入したところが多いようです。
 

しかし、Windows 2000時代に部門単位で試験的に導入された会社もよく聞きます。
 

Activ Directoryは、既存の複数ドメイン(フォレスト)を統合することは出来ず、ただ相互に信頼関係を結べるだけです。複数ドメインの管理は何かと面倒なので、Windows Server 2012の導入を機会に統合したいと考える方が多いようです。
 

ドメインの移行は、当然ユーザーアカウントの移行が伴います。これが「ユーザーマイグレーション」です。
 

これに対して、ユーザーが使っていたクライアント(たとえばWindows XPやWindows 7)の移行「クライアントマイグレーション」はそれほど需要がありません。
 

クライアントPCは、移行ではなく、置き換えが多いからかもしれません。多くの企業で、新しいPCを社内ネットワークにつなぐための標準的な手順が確立しています。クライアント移行は、こうした標準的な手順に従うことで、容易に移行(置き換え)ができます。
 

また、グループポリシーを使っていれば、クライアントPCの構成はほぼ自動化できるので、アプリケーションがインストールされた新しいPCをドメインに参加させれば、大半の作業は完了します。
 

これに対して、サーバー役割の移行は需要の大きなテーマです。
 

一部のサーバーアプリケーションは、複製機能を内蔵しているため、簡単に移行できます。
 

たとえば、Active Directoryドメインサービス役割(ドメインコントローラー)の移行は、以下の手順で行います(第43回 [Windows移行特集2] Active Directory マイグレーション~アップグレード準備~も合わせてお読みください)。
 

  1. 既存ドメインの準備
  2. 新ドメインコントローラーの追加
  3. 旧ドメインコントローラーの削除

DNSサーバーなども同様の手順で可能です。
 

しかし、複製機能を持たない役割は、これほど簡単ではありません。そこで、Windows Serverには「サーバー移行ツール」というものが付属します。
 

サーバー移行ツールは、PowerShellのスクリプトで、基本的な利用手順は以下の通りです。
 

  1. 移行先: 機能の追加とツールの展開
  2. 移行元: ツールのインストール
  3. 双方: ツールの実行


 

サーバーマイグレーションツールの動作

あらかじめ、移行先(最新OS)でツールを展開し、それを移行元(古いOS)にインストールすることで、移行元と移行先の双方でツールが利用可能になります。
 

実際の移行は、ファイル経由の場合とネットワーク経由の場合があります。
 

ファイル経由の場合、ネットワーク回線の速度に依存しないため、安定した転送が可能ですが、一時的なストレージを必要とする欠点があります。
 

ファイル経由マイグレーション

一方、ネットワーク経由の移行は、非常に手軽な反面、回線速度によっては移行に長い時間がかかります。
 

ネットワーク経由マイグレーション
 

一般には、サーバーの置き換えは同一LAN内で行われるため、ネットワーク経由の移行の方が楽だと思われます。
 

Windows環境マイグレーション実践」コースでは、ファイルサーバーの移行の演習があります。ファイル本体はもちろん、アクセス許可リスト(ACL)なども正しく移行できるのは、そのように作ったから当たり前とは言え、なかなか面白いものです。
 

サーバー移行ツールには、ローカルグループの移行機能もあるため、ローカルグループを使ったアクセス許可も問題ありません。
 

ただし、サーバー移行ツールはPowerShellによるコマンドラインツールなので、Windows Server 2008時代にあったFSMT(File Server Migration Tool)のように対話的に構成する機能はありません。
 

FSMTの動作要件はWindows Server 2003からWindows Server 2008 R2ですが、Windows Server 2012でも動作するようです。「Windows環境マイグレーション実践」コースでは扱っていませんが、興味のある方はご自身のリスクで試してみてください。
 

[Windows ServerWindows Server 2008 R2Windows Server 2012][2014年7月17日配信]

Win Win Windowsコラム
第37回 Windows Serverでファイルのアクセス許可を効果的に構成する冴えたやり方
執筆:横山哲也

ファイルやフォルダーに対するアクセス許可は、昔から管理者の悩みの種でした。Windows Serverでは、2種類のグループを効果的に使うことでこの問題を解決します。

グループの効果的な利用手順を「グループ戦略」と呼びます。最も広く使われているグループ戦略は「A-G-DL-P」または「I-G-DL-A」と呼ばれる構成です。ここは試験に出ます。

ファイルのアクセス許可を個人単位で行うことが望ましいと思っている人は少ないと思います。個人的には「こいつだけには見せたくない」とか「同じ部署だけど、仲のいい彼女にだけ見て欲しい」とか、そういうこともあるかもしれませんが、それでは仕事が進みません(その方が仕事が進むケースもある、という反論はこらえてください)。

グループ単位でアクセス許可を設定するとき、たいていの人は部署を基準に考えます。たとえば、商品カタログは営業部が作成するので、営業部に読み書きの許可を与えよう、という具合です。

でも、それが間違いなんです。

ある日、こんな通達が回ってきます。

今まで、カタログは営業部が担当してきたが、単なる製品情報だけでなく、会社としてのメッセージも掲載することにした。
そこで、今後はカタログ編集の許可はマーケティング部門に与える。

ファイルサーバーの管理者は、早速カタログのアクセス許可を変更し始めます。

まず、カタログの元原稿を保存したフォルダー。これは従来通り営業部の人が読み書きできますが、それに加えてマーケティング部も読み書きが必要です。

次に、カタログの版下原稿、これはマーケティング部に読み書きの許可が必要で、営業部や読み取りだけができます。

その他、いろんなフォルダーの設定変更が必要ですが、たいてい漏れてしまいます。

そこで役に立つのが、部署(人)と役割(仕事)を分ける考え方です。

「カタログ制作」という仕事に対して、「カタログ編集」という役割と「カタログ参照」という役割を考えます。従来は、営業部がカタログ編集の役割を持っていたのが、これからはカタログ参照の役割だけになり、マーケティング部がカタログ編集の役割を担当するようになったと考えます。

個々のファイルやフォルダーではなく、役割が変わったと考えれば、役割の割り当てを変えるだけで済むはずです。この考え方がA-G-DL-P戦略です。

A-G-DL-P戦略

AGDLP戦略は、最初にユーザーアカウント(A)をグローバルグループ(G)で分類します。次に、アクセス許可に利用するドメインローカルグループ(DL)を作成し、グローバルグループをドメインローカルグループに配置します。そして、ドメインローカルグループにアクセス許可(P)を割り当てます。

最近は、アカウント(A)の代わりにアイデンティティ(I)、アクセス許可(P)の代わりにアクセス(A)を使い、「I-G-DL-A」とも呼びます。

AGDLP

例を見てみましょう。

図の環境では以下の構成が必要です。

  • ファイルサーバーに商品カタログを保存する共有フォルダーを用意する
  • 商品カタログフォルダーへのアクセス許可は次の表のように設定したい

役割

アクセス許可

対象となる部署

カタログ参照

読み取り

営業部、マーケティング部

カタログ編集

読み取りと書き込み

開発部

これを元に、以下のような構成を行います。

グループの構成

グループ一覧

スコープ

メンバー

G_Sales

グローバル

営業部のユーザー全員

G_Marketing

グローバル

マーケティング部のユーザー全員

G_Develop

グローバル

開発部のユーザー全員

DL_Catalog_Readers

ドメイン
ローカル

G_SalesG_Marketing

DL_Catalog_Editors

ドメイン
ローカル

G_Develop

商品カタログフォルダーのアクセス許可

許可を与えるグループ(役割)

アクセス許可

DL_Catalog_Readers

読み取り

DL_Catalog_Editors

読み取り、書き込み

商品カタログフォルダーに対して、情報システム部のメンバーへの読み取りおよび書き込み許可(編集の権利)を追加する場合、この環境では、以下のようにグループメンバーの構成だけを行えばよく、フォルダーがいくらたくさんあってもアクセス許可を変更する必要はありません。

  • 情報システム部用グローバルグループ(G_IT)を作成し、情報システム部のユーザーをメンバーに追加
  • DL_Catalog_EditorsグループのメンバーにG_ITを追加

このように、ユーザーの分類に利用するグループとアクセス許可に利用するグループ(役割)を分けることにより、アクセス許可の追加や変更をする場合の柔軟性が増します。

アクセス許可の詳細は、教育コース「Windows Server 2008システム管理基礎(前編) ~Windows Server 2008 R2対応~」で紹介しています。Windows Server 2012への対応はもう少しお待ちください。

A-G-DL-P戦略の問題点

このように、柔軟な構成が可能なA-G-DL-P戦略ですが大きな問題があります。それは、概念が非常に理解しにくいということです。特に分類を示すGと、役割を示すDLの区別が難しいようです。

たとえば、マーケティング部員は「参照者(Readers)」という役割を持ち、開発部員は「編集者(Editors)」という役割を持ちます。しかし、普段から部署と役割を分離して考えている人はほとんどいません。組織の役割が変更になり、マーケティング部で編集作業を担当するようになって、初めて問題に気付くわけです。

通常、アクセス許可を設定するのは現場の人ですかが、現場の人はITの専門家ではありませんので、こんな複雑な、それこそMCP試験に出題されるようなレベルのことは知りませんし、本来は知る必要もないはずです。

そこで登場したのがWindows Server 2012から使える「集中型アクセス制御」ですが、これについてはまた別の機会に紹介しましょう。

教育コース「Windows Server 2012 ソリューション アップデート ~MCP 70-417対応~」でも紹介しています。

[Active Directory Windows Server][2014年3月 5日配信]

Win Win Windowsコラム
第25回 トラブルシューティングの極意
執筆:横山哲也

Windows Server 2012が完成し、ボリュームライセンスとしての提供が始まっていますが、多くの方はWindows Server 2008 R2をお使いではないかと思います。お待たせしました「Windows Server 2008 R2トラブルシューティング(基礎編)」コースが開催されます。


これを記念して、今回は「トラブルシューティングの極意」を紹介しましょう。かなりの誇大広告ですが、参考になれば幸いです。


知識の分類方法にはいくつもの流儀がありますが、私が好きなのは「浅い知識」と「深い知識」です。


浅い知識とは、「理屈はわからないが即座に使える知識」です。「夕焼けの翌日は晴れる」「月食の日は満月」「猫が顔を洗うと雨が降る」など、経験的なものが多いようですが、ウソも混じっているので注意が必要です。


偏西風の影響により、日本の天気は西から東に変化します。夕焼けは西の空が晴れていることを意味するので、翌日は晴れの確率が上がります。


月食は、太陽光が地球にさえぎられて起きるものです。つまり、地球の背後に太陽が来て、正面に月が来るわけですから、必ず満月になります。


一方、猫が顔を洗うのは湿気を嫌うからなので、雨の確率が高いと説明されています。でも猫が顔を洗うのは湿気だけが原因ではありませんから、こちらはかなり不正確です。大体、猫って暇さえあれば身体をなめていますかから、あまりあてになりません(まあ、猫はたいてい暇なんですが)。


深い知識は、「理論的に導かれる論理的な推論の結果」です。途中経過を省いて暗記してしまうと「浅い知識」になります。たとえば、彗星の軌道予測や、航空機の設計などは深い知識が必要です。


浅い知識と深い知識はどちらも利点と欠点があります。浅い知識は「こうすればこうなる」「こんな時はこうする」という単純な結びつきを持つため、考える時間が必要ありませんが、根本的に間違っている可能性もあります。一方、深い知識は、理論的な裏付けがあるので正確ですが、複雑な計算をしなければならないなど、結果を得るのに時間がかかります。


さて、トラブルシューティングはどのような知識が必要でしょう。多くの方は、浅い知識をたくさん学びたいと思っていらっしゃるようです。でも、最初から浅い知識だけを習得するのはあまりお勧めできません。


理論的な裏付けがあればいいのですが、特にWindowsには怪しい経験則もたくさんあります。


例えば、Active Directoryで「よくわからないエラーが出たらDNSを疑え」は、たいていの場合真実です。これはActive Directoryは、動作基盤としてDNSを使っているため、DNSがエラーを起こすと動作基盤を失い、適切なエラーの判断ができなくなるためです。しかし「問題があったら再起動しろ」はお勧めしません。多くのトラブルは再起動で解決しますが、その原因はさまざまであり、再起動しても根本的な原因が解決するわけではないからです。もちろん、たまにしか起きないエラーの調査に何日もかけるより再起動した方が早いのは理解できます。現場の対応として再起動が最善であることは多いでしょう。でも、再起動を前提にするのはちょっと違うと思うのです。


Windows Serverに関する深い知識を得るための一番の方法は、「Windows Server 2008システム管理基礎(前編)」「Windows Server 2008システム管理基礎(後編)」などの基礎コースを受講することです。これで「深い知識」が得られます。しかし、実際のトラブルに直面したときに「深い知識」だけでは時間が足りません。経験がないと、知識と現象が結びつかないからです。


Windows Server 2008 R2トラブルシューティング(基礎編)」では、理論に裏付けされた「浅い知識」の一部を紹介することで、深い知識を「現場で役立つ知識」に転換する練習を行います。また、多くのトラブルシューティングツールを使って、現象を特定することを目指します。トラブルの原因が特定できれば、トラブルシューティングの作業は8割がた終わったようなものです。


講習会で使うツールの一部を紹介しましょう。


ユーザーエラーを起こすプログラム
ゼロ除算例外とメモリ保護例外を起こすプログラム。ユーザーモードのエラーの挙動を理解するためのアプリケーションで、デモに使います。


STOPエラー(ブルースクリーン)の簡単な解析
マイクロソフト純正のWinDBGを使った初歩的な解析を行ないます。
エラーを起こすために、SysinternalsのNotMyFaultを利用します。NotMyFaultの詳細は「死の青い画面」をお読みください。


パフォーマンス分析
メモリを消費し続けるプログラム、CPUをひたすら消費するプログラム、何もしないプログラムを起動して、ボトルネックになっているプロセスを発見します。


パケットキャプチャ
マイクロソフトが公開している「ネットワークモニター」を使って、データパケットの簡単な解析を行います。


Windows PE起動ディスクの作成
CD-ROMから起動することで、Windows PE互換システムを実行します。演習では、Windows PEをカスタマイズして、ISOイメージを作成し仮想マシンから起動します。


RAIDの復旧
仮想マシンの利点を活かして、RAIDシステムの破壊と復旧を行ないます。


なかなか面白い内容に仕上がっていると自負しているのですが、いかがでしょう。


ところで、STOPエラーを起こすプログラム「NotMyFault.exe」は、米国人がトラブルを起こした時の定番台詞だそうです。「(壊れたのは)私のせいじゃありません」という感じですね。日本では「何もしていません」に相当するのでしょうか。


このNotMyFaultが呼び出してSTOPエラーを起こすデバイスドライバがMyFault.Sysです。「私のせいでした(ごめんなさい)」という感じですね。


そして、NotMyFaultでは、STOPエラーの背景色を変更できます。通常は青ですが(だから「ブルースクリーン」と呼びます)、これを赤や黄など好きな色に変えられます。何の意味もありません。なお、Windows Server 2012ではSTOPエラーは起きるものの、色は変わりませんでした。


NotMyFaultを作ったマーク・ルシノビッチ氏は他に「ブルースクリーンセーバー」というツールも作っています。スクリーンセーバーなんですが、STOPエラーから再起動の画面を再現します。わかっていてもちょっとぎょっとしますね。ぜひ同僚を驚かせてみてください。なお、ブルースクリーンセーバーは何の役にも立たないので、講習会では扱いません。

[Windows ServerWindows Server 2008 R2][2012年8月20日配信]

※Microsoft、Windowsは、米国Microsoft社の登録商標です。
※Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
※PMI、PMP、PMBOKは、プロジェクトマネジメント協会(Project Management Institute, Inc.)の登録商標です。
※ITIL®はAXELOS Limited の登録商標です。
※American Management Association は、米国アメリカン マネジメント アソシエーションの登録商標です。
※BOOT CAMP、NEW TRAIN、Glovalueはトレノケート株式会社の登録商標です。
※その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。

© Trainocate Japan, Ltd. 2008-2017, All Rights Reserved.
  • Get ADOBE READER