連載
» 2008年05月28日 00時00分 公開

Windows Server 2008の基礎知識:第13回 より安全性の高いサーバ構築を可能にする「Server Core」 (3/5)

[井上孝司,著]

Server CoreをMMC管理ツールで管理する

 ここまで説明してきたように、Server Coreではあらゆる操作をコマンドで行わなければならない。これは、コマンド操作に慣れていないユーザーにとってはかなり難しく感じられるだろう。

 Server CoreのWindows Server 2008上でMMCベースの管理ツールを動作させることはできないが、実はほかのコンピュータで動作するMMC管理ツールを使って遠隔管理することは可能である(例外として、IISはMMC管理ツールでは管理できない)。

MMC管理ツールによるServer Coreの管理画面
従来のWindowsと同様、Server Coreインストールを行ったWindows Server 2008に対しても、MMC管理ツールによるリモート接続が可能だ。画面は、Windows Vistaから[イベント ビューア]管理ツールと[サービス]管理ツールを使って、Server Coreが動作しているコンピュータに接続した例。もちろん、リモート管理元のコンピュータにログオンしているユーザーは、リモート管理先のコンピュータに対する管理者権限を有していなければならない。

 MMC管理ツールによる遠隔管理そのものは、以前のバージョンのWindowsサーバやフルインストールしたWindows Server 2008に対しても有効なので、特に目新しいものではない。ただしServer Coreの場合、初期状態では遠隔管理に必要なRPC(Remote Procedure Call)の通信をWindowsファイアウォールでブロックする設定になっているので、その設定を変更する必要がある。具体的には、「受信の規則」で以下の3種類を有効にして、通過できるようにしなければならない。

  • リモートサービス管理(NP受信)
  • リモートサービス管理(RPC)
  • リモートサービス管理(RPC-EPMAP)

 これらを有効化すると、リモート管理が可能になる。以下で具体的な方法を述べるが、あくまで組織内部のサーバ(ファイアウォールの内側にあるサーバ)だけにしておいた方がよい。インターネット向けに公開するサーバなどでは、開けたポートを利用されて攻撃を受けてしまう危険性があるので、絶対に有効化してはいけない。

 この3種類のプロトコルは、Windows Server 2008のファイアウォールでは「リモート管理」というグループにまとめられている。そこで、そのグループに対してnetshコマンドで着信許可の設定を行うと、MMC管理コンソールによるリモート管理が可能になる。使用するコマンドは以下のとおりだ。

netsh advfirewall firewall set rule group="リモート管理" new enable=yes

 末尾の「enable=yes」を「enable=no」に変更すると、例外設定を無効化して着信を受け付けない状態に戻る。

 グループ名が分かっていれば、同様の書式でほかの例外設定グループについても、個別に有効化できる。グループ名については、フルインストールしたWindows Server 2008で[セキュリティが強化されたWindowsファイアウォール]管理ツールを実行することで確認できる。

 また、以下のコマンドを入力して、[セキュリティが強化されたWindowsファイアウォール]管理ツールによるリモート管理だけを許可する方法もある。

[セキュリティが強化されたWindowsファイアウォール]管理ツールの着信を許可する

netsh advfirewall set currentprofile settings remotemanagement enable

[セキュリティが強化されたWindowsファイアウォール]管理ツールの着信を禁止する

netsh advfirewall set currentprofile settings remotemanagement disable

 こうすると、その後のファイアウォールの例外設定に[セキュリティが強化されたWindowsファイアウォール]管理ツールによるリモート操作を利用できるので、一度に多数の例外設定を行う場合には便利だ。必要な設定がすべて完了したら、着信禁止のコマンドを入力して遠隔管理を行えない状態に戻しておく方が、セキュリティ面では好ましい。

 なおいずれの方法でも、MMCコンソールによるリモート接続に失敗することがある。そのときには以下のコマンドを入力して、先にユーザー認証させておくことで解決できる。

net use * \\<サーバ名>\c$ /u:<ユーザー名>

 サーバ名はServer Coreが動作するサーバを、ユーザー名はServer Coreが動作するサーバに対して管理者権限を持つユーザーを指定する。このコマンド操作に続いてパスワードの入力を求められるので、先に指定したユーザーに対応するパスワードを入力する。

Server CoreをRSAT で管理する

 マイクロソフトは、Windows Server 2008にWindows Vista SP1からActive Directoryなどのリモート管理を行うツールとして、RSAT(Remote Server Administration Tools)を無償公開した。

 Windows Server 2003までは管理ツールがWindowsインストール用の「*.MSI」ファイルになっていたため、Windows XPが動作するクライアントPCに管理ツールをインストールしてリモート管理を行えたが、Windows Server 2008の管理ツール群は機能の1つとして追加する形を採用しているため、同じ方法が利用できない。そこで、Windows Server 2003でのAdminpakに相当するツールとして、クライアントPCから管理作業を行う手段としてRSATを提供したということだ。

 このRSATは、以下からダウンロードできる。いずれも、Windows Vista SP1で動作する。

 ダウンロードしたファイルを実行してセットアップを行った後、コントロール・パネルの[プログラム]以下にある、[Windowsの機能の有効化または無効化]を実行する。そして、利用したい管理ツールについてチェック・ボックスをオンにすると、その管理ツールが[スタート]−[すべてのプログラム]−[管理ツール]、それと表示を有効にしている場合には[スタート]−[管理ツール]以下にも現れる。

 このツールを利用する方法でも、Server Coreをリモートから管理することが可能だ。

RSATのセットアップ後の[Windowsの機能の有効化または無効化]ダイアログ
ダウンロードしてきたRSATのファイルを実行してセットアップした後で、コントロール・パネルの[プログラム]以下にある、[Windowsの機能の有効化または無効化]を用いて、使用する管理ツールのチェック・ボックスをオンにする。

RSATをセットアップ後の[管理ツール]のメニュー
[スタート]メニューのプロパティを変更して、[管理ツール]を表示させた場合の例。すべての管理ツールを有効化したため、それらが[スタート]−[管理ツール]以下に現れている。これを使って、Server CoreのWindows Server 2008がリモート管理できる。

リモート・デスクトップ接続を可能にする設定

 Server Coreでも、リモート・デスクトップ接続を許可することができる。ただしリモート・デスクトップ接続した際に表示されるのは、Server CoreのWindows Server 2008にログオンしたときに表示されるものと同じ、コマンド・プロンプトが1つ存在するだけの画面だ。従って、遠隔地にあるコンピュータをコマンド操作したい場面でもなければ、リモート・デスクトップ接続を許可する必然性は乏しいかもしれない。

リモート・デスクトップ接続を有効にする:

cscript %windir%\system32\SCRegEdit.wsf /ar 0

リモート・デスクトップ接続を無効化する:

cscript %windir%\system32\SCRegEdit.wsf /ar 1

 なお、セキュリティ・レベルの強化を無効にしてRDP 5.x対応クライアントから接続できるようにするには、以下のコマンドを入力する。

cscript %windir%\system32\SCRegEdit.wsf /cs 0

 ここまでで、一通りのセットアップが可能になるはずだ。しかしサーバとして運用するには、用途に合わせた設定が必要になる。次からは、Server Coreに向いていると思われる用途からファイル・サーバとActive Directoryの読み取り専用ドメイン・コントローラ(RODC)の設定について説明していくことにする。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。