第13回 より安全性の高いサーバ構築を可能にする「Server Core」Windows Server 2008の基礎知識(4/5 ページ)

» 2008年05月28日 00時00分 公開
[井上孝司]

Server Coreでファイル・サーバを構築する

 フルインストールしたWindows Server 2008でも同様だが、フォルダを共有するだけであれば、役割や機能の追加は必要ない。単にNET SHAREコマンドを使ってフォルダの共有を指示するだけだ。ただし、共有対象になるフォルダについては、事前にMDコマンド(フォルダの作成コマンド)を使って用意しておく必要がある。

 初期状態のServer Coreでは、WindowsファイアウォールによってWindowsファイル共有に使用するプロトコルの着信を拒否しているが、NET SHAREコマンドで共有設定を行うと、NBT(NetBIOS over TCP/IP)とダイレクト・ホスティングSMBのそれぞれについて、着信を受け付けるようになる。

 NET SHAREコマンドは、単に共有名とパスを指定して共有を指示するだけでなく、ユーザー/グループに対するアクセス権や、オフライン・フォルダ機能が使用するキャッシュの設定も行える。その際のコマンド・オプションを以下に示す。

NET SHAREコマンド:

NET SHARE <共有名>=<フォルダのパス名>

共有アクセス権の設定を付加:

NET SHARE <共有名>=<フォルダのパス名> /GRANT:<ユーザー名>,{READ | CHANGE | FULL}

 READは「読み取り専用」、CHANGEは「変更」、FULLは「フルコントロール」に対応する。

オフライン・キャッシュの設定を付加:

NET SHARE <共有名>=<フォルダのパス名> /CACHE:{Manual | Documents| Programs | None}

 Manualは「手動キャッシュ有効化」、Documentsは「ドキュメントの自動キャッシュ有効化」、Programsは「ドキュメントとプログラムの自動キャッシュ有効化」、Noneはキャッシュの無効化に対応する。

 このほか、「/REMARK:"テキスト"」で共有フォルダの説明文を設定する機能などがある。 一方、共有の停止は「NET SHARE <共有名> /DELETE」と入力すればよい。

Server CoreでRODCを構築する

 フルインストールのWindows Server 2008では、従来と同様にDCPROMO.EXEを実行してウィザード形式によるActive Directoryのドメイン・コントローラの構成が行える。Server Coreでもフルインストールと同様にActive Directoryのドメイン・コントローラを構成できるが、ウィザード形式による設定は行えない。そのうえ、Server Coreでドメイン・コンロトーラを構成するためには、応答ファイルを別途作成し、それを読み込ませる必要がある(ドメイン・コントローラを降格してActive Directoryから削除する場合についても同様)。応答ファイルは、フルインストールしたWindows Server 2008のドメイン・コントローラを構成するためのウィザードの最終画面でエクスポートするなどして、作成する必要がある。

 つまり、Server Coreを使ってドメイン・コントローラを構成するには、まずフルインストールしたWindows Server 2008を使って、ドメイン・コントローラの構成と降格に関する応答ファイルを作成しなければならないわけだ。しかも、降格用の応答ファイルを作成するには、まずドメイン・コントローラとして構成する必要がある。

 こうした事情を考慮すると、1台目のドメイン・コントローラをServer Coreで構成するのは現実的ではなく、追加のドメイン・コントローラに向いていると考えられる。その中でも特に、Active Directoryデータベースを一方的に受け取るだけのRODCが、Server Coreに向いていると考えられる。

 そこで、Server Coreインストールを行うサーバとは別にフルインストールのWindows Server 2008を用意して、そちらでRODCの追加と降格のそれぞれについて、応答ファイルを出力しておく。コンピュータの台数に余裕がない場合、仮想環境を使うか、同じコンピュータでフルインストールを行って応答ファイルを作成した後、Server Coreでインストールし直すことになる。

 そうして作成した応答ファイルを、Server Coreインストールを行ったWindows Server 2008にコピーする。この状態では、Administratorユーザーのパスワードとディレクトリ・サービス復元モードのパスワードが空白になっているので、コマンド・プロンプトで「notepad <応答ファイルのパス名>」と入力して、パスワードの設定を行う必要がある。

 応答ファイルでは、以下の2項目がいずれも空白になっているので、パスワードをそれぞれ平文で記述すればよい。

Password=
SafeModeAdminPassword=

 こうして応答ファイルの準備ができたら、以下のコマンドを入力してドメイン・コントローラとして構成する。降格のときにも、使用する応答ファイルが異なるだけでコマンド入力の内容は同じだ。

dcpromo /unattend:<応答ファイルのパス名>

 なおほかの役割や機能と異なり、Active Directoryドメイン・サービスはDCPROMO.EXEの実行によって、役割の追加とドメイン・コントローラの構成作業を一度にまとめて行うようになっている。そのため、ocsetupコマンドで役割を追加する操作は行わない(役割の追加については後述)。

 ウィザードでRODCの構成を行う過程で、DNSサーバをインストールするよう勧告してくる。これは、リモート・ブランチ側にDNSサーバがないと、DNSサーバを設置した拠点との間を結ぶWAN回線がダウンしたときに名前解決が行えなくなるためだ。その勧告に従ってDNSサーバの機能を同時に追加した場合、MMC管理ツールの[DNS]管理ツールを使って遠隔管理が可能になる。もっとも、Active Directory統合DNSならActive Directoryデータベースの同期によってDNSのゾーン情報も同期されるため、DNSだけをリモート管理する必然性は少ない。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。