連載
» 2008年05月28日 00時00分 公開

第13回 より安全性の高いサーバ構築を可能にする「Server Core」Windows Server 2008の基礎知識(5/5 ページ)

[井上孝司,著]
前のページへ 1|2|3|4|5       

Server Coreにおける役割・機能の追加と削除

 ここまで紹介した使い方では必要としなかったが、Server Coreにおける役割・機能の追加と削除について、簡単にまとめておこう。例えば、IISを利用したWebサーバを構築するような場合、役割・機能の追加によってIISに関連する役割の追加が必要になる。

 Server Coreで利用可能な役割・機能の一覧と、そのうちどれが組み込み済みになっているかは、oclistコマンドで確認できる。oclistコマンドの実行結果は、テキストによるツリー表示だ。その先頭部分を切り出した結果を以下に示す。

Microsoft-Windows-ServerCore-Package
未インストール:BitLocker
未インストール:BitLocker-RemoteAdminTool
未インストール:ClientForNFS-Base
未インストール:DFSN-Server
未インストール:DFSR-Infrastructure-ServerEdition
未インストール:DHCPServerCore
未インストール:DirectoryServices-ADAM-ServerCore
未インストール:DirectoryServices-DomainController-ServerFoundation
未インストール:DNS-Server-Core-Role
未インストール:FRS-Infrastructure
未インストール:IIS-WebServerRole
    |   
    |--- 未インストール:IIS-FTPPublishingService
    |        |   
    |        |--- 未インストール:IIS-FTPServer
    |        |   
    |   
    |   
    |--- 未インストール:IIS-WebServer
    |        |   
    |        |--- 未インストール:IIS-ApplicationDevelopment
    |        |        |   
    |        |        |--- 未インストール:IIS-ASP
    |        |        |   
    |        |        |   
    |        |        |--- 未インストール:IIS-CGI
    |        |        |   
    |        |        |   
    |        |        |--- 未インストール:IIS-ISAPIExtensions
    |        |        |        |   
    |        |        |        |--- 未インストール:IIS-ASP
    |        |        |        |   
    |        |        |   
    |        |        |   
    |        |        |--- 未インストール:IIS-ISAPIFilter
    |        |        |   
    |        |        |   
    |        |        |--- 未インストール:IIS-ServerSideIncludes
    |        |        |   
    |        |   
(以下略)

oclistコマンドの実行結果
利用可能な役割・機能が一覧表示される。未インストールの役割・機能は、追加することでServer Coreで利用可能になる。ただし、階層構造の上側から順番に追加する必要があるので、この一覧を保存しておき、追加時に参照できるようにしておくとよい。

 このように、単に「oclist」と入力すると一覧が表示されるが、1画面には収まりきらないので、「oclist | more」とするとよい。あるいは「oclist > foo.txt」のように、リダイレクト機能を使って一覧をテキスト・ファイルに書き出してもよいだろう。それをメモ帳で開いて参照すると、役割・機能の追加や削除を行う際のコマンド入力が楽になる。

 役割・機能の追加には、[Active Directoryドメイン サービス]以外はすべて、ocsetupコマンドを使用する。その際に、oclistで一覧を表示させた際に画面に現れていた更新名を指定する。更新名とはそれぞれの役割・機能に付けられた名前のことで、例えば「DHCPサーバ」の役割なら「DHCPServerCore」が該当する。これを使った追加・削除のコマンド入力は、以下のような内容になる。

役割・機能の追加:

start /w ocsetup <更新名>

役割・機能の削除:

start /w ocsetup <更新名> /uninstall

 更新名を入力する際に注意しなければならないのは、スペルだけでなく、大文字・小文字まで正しく入力しなければならない点だ(文字種を間違えただけでエラーになる)。そのため、最初にoclistコマンドの実行結果をテキスト・ファイルに書き出しておくと、そこから更新名だけをコピー&貼り付けできるため、入力ミスを回避するのに具合がよい。

 なお、先頭の「start /w」は、追加、あるいは削除が完了するまでコマンド・プロンプトに戻らないようにするための指定だ。これにより、確実に追加・削除を行える。

 役割によっては、複数の役割サービスによって階層構造を形成しているものがある。特にIISでは複雑な階層になっている。この場合、最上位階層から順番に、階層を1段階ずつ下がりながら追加していく必要がある。途中の階層を飛ばすと追加できないので注意していただきたい。

まとめ

 これまでWindows Serverでは、すべてのコンポーネントが用意されており、そこから不要な機能を停止したり、アンインストールしたりするという手法でセキュリティを高めてきた。例えばIISでは、IISロックダウン・ツールによって不要な機能を停止させたり、アンインストールしたりするといった具合だ。しかし紹介したようにServer Coreは、必要最小限のコンポーネントしかインストールせず、そこから必要な機能を積み上げていくという、従来とは逆の構築方法を採用している。

 そのため、これまでのWindows Serverとはアプローチが異なり、どうしてもサーバの構築や運用・管理についての慣れが必要となる。また、前述のように機能が限定されているため、おのずと用途が限られてくる点も、これまでのWindows Serverに慣れた管理者には使いにくい部分だろう。しかしServer Coreをうまく使いこなせれば、攻撃を受ける危険性が低く、管理工数が低減可能なサーバが構築できるはずだ。特に、今回紹介したファイル・サーバやRODCといった用途は、Server Coreに向いている。新規にファイル・サーバやRODCを構築する際は、Server Coreを検討対象に加えてみてはいかがだろうか。

【更新履歴】

【2008/09/26】ocsetupコマンドの使い方を、当初は「ocsetup /w<更新名>」と記述しておりましたが、正しくは「start /w ocsetup<更新名>」でした。お詫びして訂正いたします。



「  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 」のインデックス

  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 

前のページへ 1|2|3|4|5       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。