狠狠撸

狠狠撸Share a Scribd company logo

Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料]

Trainocate Japan, Ltd.
Trainocate Japan, Ltd.

震災以降、組織のBCP対策やITガバナンス強化のニーズが高まっています。Windows Server 2012 R2のグループポリシーやHyper-Vレプリカ、スケールアウト ファイルサーバーといった機能で実現できる、「今日から使える」ガバナンス強化方法をご紹介します。

1 of 37
Downloaded 20 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
グローバル ナレッジ ネットワーク株式会社 横山哲也 Windows Server 2012 R2による ガバナンス強化
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 ?2003年~ マイクロソフトMVP (Directory Services) ?2012年のみ「Virtual Machines」 ?好きなガバナンス機能 ?グループポリシー ?最近の著書?雑誌記事 ?プロが教えるWindows Server 2012システム管理(監修?共著) アスキーメディアワークス ?グループポリシー逆引きリファレンス厳選92(監修?共著) 日経BP ?ソーシャルメディア ?ブログ: ヨコヤマ企画(http://yp.g20k.jp) ?その他 Twitter & Facebook 2
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに ?目標 ?想定するリスクに対して、 適切なクライアント管理計画を選択する ?想定するリスクに対して、 適切なサーバーの障害?災害対策を選択する ?個人的なお勧め度合い ? ……ぜひ導入しましょう ? ……コスト(費用と手間)がかかりますがお勧め ? ……要件を満たせばお勧め ?簡単なデモは随時入れていきます 3
? 機能制限?自動設定 ? 更新プログラムの自動構成 ? WiFiアクセスポイント ? アクセス許可の拡張 ? ファイルの分類管理 ? ファイルの暗号化 ? ネットワークの暗号化 クライアント管理計画
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限?自動設定: グループポリシー ?グループポリシー ?コンピューターの構成の自動化(強制) ?ユーザーの構成の自動化(強制) ?Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限?自動設定: グループポリシーの利用 ?グループポリシーオブジェクト ?関連するポリシーの集合体 ?例: [スクリーンセーバーの強制]と[パスワード保護] ?ポリシー数 ?コンピューターの構成: 約2,000 ?ユーザーの構成: 約1,500 ?グループポリシーの[基本設定] ?Windows Server 2008からの新機能 ?従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 ?Windows Update ?WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 ?インターネット接続…WSUSにのみ必要 ?ネットワーク回線…BITSを使うので効率が良い ?Background Intelligent Transfer Services ?ディスク容量…配布したいものだけをダウンロード ?承認作業…条件を指定した自動承認可能 ?注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 ?透過的でセキュアな無線 LAN 環境を構築 ?ユーザーは一切の設定が不要 ?暗号化通信を強制 (暗号鍵の自動更新) ?Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ?接続先 SSID ?暗号化方式 ?認証方式 ?証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 ?集約型アクセス制御 ?Windows Server 2012 ファイルサーバー ?Windows Server 2012 Active Directory ?ファイル分類管理 (FCI) ?リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 ?管理者: Active Directory管理センター ?要求の種類の確認 ?リソースプロパティの確認 ?集約型アクセス規則の作成 ?集約型アクセスポリシーの作成 ?管理者: グループポリシー ?集約型アクセスポリシーの展開 ?利用者 ?アクセス許可の指定 11
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 ?従来のアクセス許可の課題 ?利用者はビジネスを知っているがACLは分からない ?集約型アクセス制御の利点 ?管理者がアクセス許可ポリシーを集中管理 ?利用者はアクセス許可ポリシーを1つ選ぶだけ 12 ?集約型アクセス制御の課題 ?設定階層が深い ?従来のNTFSは無効にならない(累積する) ?Windows Server 2012/Windows 8以降のみ利用可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) ?Step 1: 保存ファイルに属性を追加 ?フォルダーやファイル内容に対するルール設定 ?Step 2: 追加した属性を参照して実行 ?指定したフォルダーに移動 ?AD RMSによる暗号化 ?任意のコマンドを実行 ?利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 ?EFS…Windows 2000以降 ?目的: 個人ファイルの暗号化 ?欠点: 構築や回復手順が面倒(実質的に証明機関必須) ?その他…集中管理が困難 ?Officeパスワード ?ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS ?適用アプリケーション ?Word/Excel/PowerPoint/Outlook ?利用可能なユーザー ?社内ユーザー…社内RMSサーバーで認証 ?社外ユーザー…公開Web経由で認証 ?機能 ?暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) ?具体的には ?メニューの無効化 ?クリップボードの無効化 15
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 ?BitLockerドライブ暗号化 ?目的: ドライブ盗難による情報漏えいリスクを軽減 ?利用形態 ?TPMのみ…PCごと盗まれた場合は無力 ?TPM + パスワード…手軽?長いパスワードは利用困難 ?TPM + USBメモリキー…安全?USBメモリ必須 ?回復キー ?正常時に保存しておく(印刷したものを金庫に保管) ?Active Directoryに保存可能 ?付加機能 ?TPMによる起動システムの整合性確認(改ざん防止) 16
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go ?リムーバブルメディアの保護 ?パスワード利用 ?グループポリシーによる強制 17
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 ?共有フォルダーのアクセスを自動的に暗号化 ?Windows Server 2012からの新機能 ?サーバーマネージャーで構成 ?IP Security ?持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 ?暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 ?例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ ? 機能制限?自動設定 ? 更新プログラムの自動構成 ? WiFiアクセスポイント ? アクセス許可の拡張 ? ファイルの分類管理 ? ファイルの暗号化 ? ネットワークの暗号化 20
? システム管理者のパスワードポリシー強化 ? ブランチオフィスのドメインコントローラー管理 ? ファイルサーバーの障害対策 ? Hyper-VレプリカによるBCP ? AzureバックアップによるDR サーバーの障害?災害対策
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 ?従来のパスワードポリシー ?ドメイン単位 ?きめ細かなパスワードポリシー ?Windows Server 2008以降 ?セキュリティグループまたはユーザー単位のポリシー ?Windows Server 2012からGUI設定可 22
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ?ブランチオフィス(地方拠点)の問題点 ?低速WAN回線 ?少ないサーバーリソース ?比較的低い物理セキュリティ ?専任のシステム管理者不在 ?ブランチオフィスの現状 ?ドメインコントローラー兼ファイルサーバー ?パートタイムシステム管理者 23 ? DC盗難によるディレクトリ情報流出 ? 不慣れなファイルサーバー管理者がドメインを破壊
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 ?読み取り専用ドメインコントローラー (RODC) ?パスワードを原則保存しない ?ブランチ勤務の一般ユーザーのみ保存するように構成 ?ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること ?サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 ?操作ミスによる削除からの回復 ?ディスク障害対策 ?サーバー障害対策 25
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 ?以前のバージョン = 定期的なスナップショット ?実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 ?記憶域プールと仮想ディスク ?ミラー (2方向 & 3方向) ?パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) ?分散ファイルシステム ?DFS名前空間 ?DFS-R (複製) ?特徴 ?差分圧縮転送 ?スケールアウト可能(LAN/WAN) ?データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) ?従来の高可用性ファイル サーバー ?アクティブなノードは1台 ?Active / Passive ?スケール アウト ファイル サーバー ?メタデータの更新を特定のノードで管理 ?データ転送は複数のノードから行う ?Active / Active ?特徴 ?データの一貫性 ?スケールアウト可能(通常はLAN内) ?透過フェールオーバー(SMB 3.0) ?汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP ?Hyper-Vへの複製 ?Microsoft Azureへの複製 ?複製先のTCP/IP構成 ?DHCPクライアントとして構成 ?Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン ?複製間隔…30秒 / 5分 / 15分…常に差分複製 ?回復方法…いずれも手動 ?BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) ?Widows Serverバックアップの保存先を変更 ?Azureバックアップ (オンラインバックアップ) ?システム状態のバックアップ不可 32
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害?災害対策のまとめ ? システム管理者のパスワードポリシー強化 ? ブランチオフィスのドメインコントローラー管理 ? ファイルサーバーの障害対策 ? Hyper-VレプリカによるBCP ? AzureバックアップによるDR 33
本日のまとめ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー ?クライアント管理 ?グループポリシー ?WSUS ?集約型アクセス制御 ?ファイルの分類管理 ?AD RMS ?BitLocker ?SMB暗号化 ?IP Security ?サーバー管理 ?RODC ?以前のバージョン ?記憶域プール ?DFS-R ?スケールアウト ファイルサーバー ?Hyper-Vレプリカ ?Azureバックアップ 35
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36 ? http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング ? グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
Ad

Recommended

書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
書籍を執筆して気づいた Windows Server 2012 R2 過去のサーバーOSとの違い
wintechq
?
Ws2003からws2012 r2へのマイグレーション指南 140217
Ws2003からws2012 r2へのマイグレーション指南 140217
wintechq
?
150523 jpsps ws2012r2_top10_150523
150523 jpsps ws2012r2_top10_150523
wintechq
?
Windows Server 2012 R2 のすべて
Windows Server 2012 R2 のすべて
wintechq
?
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオ
junichi anno
?
Wsfc basic 130720
Wsfc basic 130720
wintechq
?
Windows Server 2003 サポート終了対策
Windows Server 2003 サポート終了対策
wintechq
?
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq
?
今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門
Trainocate Japan, Ltd.
?
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
active directory-slideshare
active directory-slideshare
Trainocate Japan, Ltd.
?
20170721 初めてのPowerShell
20170721 初めてのPowerShell
Trainocate Japan, Ltd.
?
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
?
おさらいActive directory 130330
おさらいActive directory 130330
wintechq
?
2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料
wintechq
?
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
?
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
Trainocate Japan, Ltd.
?
Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802
wintechq
?
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)
wind06106
?
奥颈苍诲辞飞蝉2003サポート终了対策
奥颈苍诲辞飞蝉2003サポート终了対策
Junji Yamamoto
?
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
junichi anno
?
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
?
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
wintechq
?
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
Trainocate Japan, Ltd.
?
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
?
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
Kimihiko Kitase
?

More Related Content

What's hot (20)

Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq
?
今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門
Trainocate Japan, Ltd.
?
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
active directory-slideshare
active directory-slideshare
Trainocate Japan, Ltd.
?
20170721 初めてのPowerShell
20170721 初めてのPowerShell
Trainocate Japan, Ltd.
?
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
?
おさらいActive directory 130330
おさらいActive directory 130330
wintechq
?
2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料
wintechq
?
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
?
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
Trainocate Japan, Ltd.
?
Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802
wintechq
?
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)
wind06106
?
奥颈苍诲辞飞蝉2003サポート终了対策
奥颈苍诲辞飞蝉2003サポート终了対策
Junji Yamamoto
?
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
junichi anno
?
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
?
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
wintechq
?
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
Trainocate Japan, Ltd.
?
Windows Server 2016 Active Directoryドメインサービス入門
Windows Server 2016 Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
Active directory の移行 (2011年6月の資料)
Active directory の移行 (2011年6月の資料)
wintechq
?
今さら聞けない!Windows server 2012 r2 hyper v入門
今さら聞けない!Windows server 2012 r2 hyper v入門
Trainocate Japan, Ltd.
?
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
?
active directory-slideshare
active directory-slideshare
Trainocate Japan, Ltd.
?
20170721 初めてのPowerShell
20170721 初めてのPowerShell
Trainocate Japan, Ltd.
?
AD設計の基礎から読み解くIaaS On AD
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
?
おさらいActive directory 130330
おさらいActive directory 130330
wintechq
?
2014年12月 ソネット bit-drive セミナー資料
2014年12月 ソネット bit-drive セミナー資料
wintechq
?
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
?
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
G tech2016 デジタルトランスフォーメーションを牽引するAzure+OSSのスキル習得ポイント
Trainocate Japan, Ltd.
?
Ws2012フェールオーバークラスタリングdeep dive 130802
Ws2012フェールオーバークラスタリングdeep dive 130802
wintechq
?
今さら聞けない!Active Directoryドメインサービス入門
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
?
Interact2015:Host Guardian Service ってなに?(仮)
Interact2015:Host Guardian Service ってなに?(仮)
wind06106
?
奥颈苍诲辞飞蝉2003サポート终了対策
奥颈苍诲辞飞蝉2003サポート终了対策
Junji Yamamoto
?
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Windows File Service 総復習-Windows Server 2012 R2編 第1版
junichi anno
?
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
?
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
Microsoft Azure 仮想マシンの マイクロソフトサーバーソフトウェアのサポート
wintechq
?
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
Trainocate Japan, Ltd.
?

Similar to Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料] (20)

App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
?
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
Kimihiko Kitase
?
地に足がついたクラウドのお话
地に足がついたクラウドのお话
Toshiaki Baba
?
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
Toshiaki Baba
?
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
Midokura
?
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
Kimihiko Kitase
?
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
Trainocate Japan, Ltd.
?
Sc2012概説 120512
Sc2012概説 120512
wintechq
?
闘う滨罢エンジニアのための尝颈苍耻虫セキュリティ讲座
闘う滨罢エンジニアのための尝颈苍耻虫セキュリティ讲座
Toshiharu Harada, Ph.D
?
痴惭飞补谤别と滨叠惭クラウドの提携で広がるハイブリッド?クラウドの世界
痴惭飞补谤别と滨叠惭クラウドの提携で広がるハイブリッド?クラウドの世界
Shinobu Yasuda
?
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
?
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
Yoshinori Sato
?
贩売店向けコールセンターシステム开発
贩売店向けコールセンターシステム开発
Cybozucommunity
?
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版
Osamu Takazoe
?
厂颁鲍骋闯第18回勉强会:よろしい、ならば痴惭惭だ
厂颁鲍骋闯第18回勉强会:よろしい、ならば痴惭惭だ
wind06106
?
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
?
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
wintechq
?
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
Masahiko Sada
?
次世代の公司滨罢インフラを支えるエンジニアとは
次世代の公司滨罢インフラを支えるエンジニアとは
Trainocate Japan, Ltd.
?
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
NTT DATA Technology & Innovation
?
App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウド
Takashi Kanai
?
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
乗り遅れるな!滨叠惭が本気で取り组む新世代クラウドサービスを彻底解説
Kimihiko Kitase
?
地に足がついたクラウドのお话
地に足がついたクラウドのお话
Toshiaki Baba
?
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
Toshiaki Baba
?
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
Midokura
?
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
Kimihiko Kitase
?
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
Trainocate Japan, Ltd.
?
Sc2012概説 120512
Sc2012概説 120512
wintechq
?
闘う滨罢エンジニアのための尝颈苍耻虫セキュリティ讲座
闘う滨罢エンジニアのための尝颈苍耻虫セキュリティ讲座
Toshiharu Harada, Ph.D
?
痴惭飞补谤别と滨叠惭クラウドの提携で広がるハイブリッド?クラウドの世界
痴惭飞补谤别と滨叠惭クラウドの提携で広がるハイブリッド?クラウドの世界
Shinobu Yasuda
?
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
?
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
Yoshinori Sato
?
贩売店向けコールセンターシステム开発
贩売店向けコールセンターシステム开発
Cybozucommunity
?
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版
Osamu Takazoe
?
厂颁鲍骋闯第18回勉强会:よろしい、ならば痴惭惭だ
厂颁鲍骋闯第18回勉强会:よろしい、ならば痴惭惭だ
wind06106
?
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
?
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
wintechq
?
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
Masahiko Sada
?
次世代の公司滨罢インフラを支えるエンジニアとは
次世代の公司滨罢インフラを支えるエンジニアとは
Trainocate Japan, Ltd.
?
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
NTT DATA Technology & Innovation
?
Ad

More from Trainocate Japan, Ltd. (20)

パネルディスカッション冲株式会社アーティファクト
パネルディスカッション冲株式会社アーティファクト
Trainocate Japan, Ltd.
?
はじめての笔辞飞别谤厂丑别濒濒
はじめての笔辞飞别谤厂丑别濒濒
Trainocate Japan, Ltd.
?
Microsoft Azureから使うLinux
Microsoft Azureから使うLinux
Trainocate Japan, Ltd.
?
础奥厂市场动向と求められる人材、その育成方法について
础奥厂市场动向と求められる人材、その育成方法について
Trainocate Japan, Ltd.
?
提案活动のグローバルメソッド プロポーザルマネジメント
提案活动のグローバルメソッド プロポーザルマネジメント
Trainocate Japan, Ltd.
?
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
Trainocate Japan, Ltd.
?
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
?
滨辞罢の技术的课题と実现のポイント~実装例?エンジニアリングのヒント
滨辞罢の技术的课题と実现のポイント~実装例?エンジニアリングのヒント
Trainocate Japan, Ltd.
?
ポスト?クラウド时代のトレンドと求められる人材
ポスト?クラウド时代のトレンドと求められる人材
Trainocate Japan, Ltd.
?
歴史的大転换时代の人材育成
歴史的大転换时代の人材育成
Trainocate Japan, Ltd.
?
いまさら闻けない础奥厂の基本
いまさら闻けない础奥厂の基本
Trainocate Japan, Ltd.
?
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
Trainocate Japan, Ltd.
?
今さら聞けないMicrosoft azure仮想マシン入門
今さら聞けないMicrosoft azure仮想マシン入門
Trainocate Japan, Ltd.
?
無料セミナー20170321 awsから始めるlinux入門
無料セミナー20170321 awsから始めるlinux入門
Trainocate Japan, Ltd.
?
Open stack活用に求められる人材と育成について2017 0314
Open stack活用に求められる人材と育成について2017 0314
Trainocate Japan, Ltd.
?
クラウド时代に必要とされる组织と人材育成について
クラウド时代に必要とされる组织と人材育成について
Trainocate Japan, Ltd.
?
G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎
Trainocate Japan, Ltd.
?
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
Trainocate Japan, Ltd.
?
G tech2016 クラウド时代に必要とされる组织と人材育成について
G tech2016 クラウド时代に必要とされる组织と人材育成について
Trainocate Japan, Ltd.
?
ラック社が考える、これからの「セキュリティ?エンジニア」とは
ラック社が考える、これからの「セキュリティ?エンジニア」とは
Trainocate Japan, Ltd.
?
パネルディスカッション冲株式会社アーティファクト
パネルディスカッション冲株式会社アーティファクト
Trainocate Japan, Ltd.
?
はじめての笔辞飞别谤厂丑别濒濒
はじめての笔辞飞别谤厂丑别濒濒
Trainocate Japan, Ltd.
?
Microsoft Azureから使うLinux
Microsoft Azureから使うLinux
Trainocate Japan, Ltd.
?
础奥厂市场动向と求められる人材、その育成方法について
础奥厂市场动向と求められる人材、その育成方法について
Trainocate Japan, Ltd.
?
提案活动のグローバルメソッド プロポーザルマネジメント
提案活动のグローバルメソッド プロポーザルマネジメント
Trainocate Japan, Ltd.
?
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
Trainocate Japan, Ltd.
?
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
Trainocate Japan, Ltd.
?
滨辞罢の技术的课题と実现のポイント~実装例?エンジニアリングのヒント
滨辞罢の技术的课题と実现のポイント~実装例?エンジニアリングのヒント
Trainocate Japan, Ltd.
?
ポスト?クラウド时代のトレンドと求められる人材
ポスト?クラウド时代のトレンドと求められる人材
Trainocate Japan, Ltd.
?
歴史的大転换时代の人材育成
歴史的大転换时代の人材育成
Trainocate Japan, Ltd.
?
いまさら闻けない础奥厂の基本
いまさら闻けない础奥厂の基本
Trainocate Japan, Ltd.
?
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
AWS White Belt Guide 目指せ黒帯!今から始める方への学び方ガイド
Trainocate Japan, Ltd.
?
今さら聞けないMicrosoft azure仮想マシン入門
今さら聞けないMicrosoft azure仮想マシン入門
Trainocate Japan, Ltd.
?
無料セミナー20170321 awsから始めるlinux入門
無料セミナー20170321 awsから始めるlinux入門
Trainocate Japan, Ltd.
?
Open stack活用に求められる人材と育成について2017 0314
Open stack活用に求められる人材と育成について2017 0314
Trainocate Japan, Ltd.
?
クラウド时代に必要とされる组织と人材育成について
クラウド时代に必要とされる组织と人材育成について
Trainocate Japan, Ltd.
?
G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎
Trainocate Japan, Ltd.
?
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
G tech2016 シスコのハイパーコンバージドインフラCisco Hyper-Flexと、その先にあるIoE/BigDataインフラの世界
Trainocate Japan, Ltd.
?
G tech2016 クラウド时代に必要とされる组织と人材育成について
G tech2016 クラウド时代に必要とされる组织と人材育成について
Trainocate Japan, Ltd.
?
ラック社が考える、これからの「セキュリティ?エンジニア」とは
ラック社が考える、これからの「セキュリティ?エンジニア」とは
Trainocate Japan, Ltd.
?
Ad

Windows Server 2012 R2によるガバナンス強化[グローバルナレッジ無料セミナー資料]

  • 2. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 ?2003年~ マイクロソフトMVP (Directory Services) ?2012年のみ「Virtual Machines」 ?好きなガバナンス機能 ?グループポリシー ?最近の著書?雑誌記事 ?プロが教えるWindows Server 2012システム管理(監修?共著) アスキーメディアワークス ?グループポリシー逆引きリファレンス厳選92(監修?共著) 日経BP ?ソーシャルメディア ?ブログ: ヨコヤマ企画(http://yp.g20k.jp) ?その他 Twitter & Facebook 2
  • 3. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに ?目標 ?想定するリスクに対して、 適切なクライアント管理計画を選択する ?想定するリスクに対して、 適切なサーバーの障害?災害対策を選択する ?個人的なお勧め度合い ? ……ぜひ導入しましょう ? ……コスト(費用と手間)がかかりますがお勧め ? ……要件を満たせばお勧め ?簡単なデモは随時入れていきます 3
  • 4. ? 機能制限?自動設定 ? 更新プログラムの自動構成 ? WiFiアクセスポイント ? アクセス許可の拡張 ? ファイルの分類管理 ? ファイルの暗号化 ? ネットワークの暗号化 クライアント管理計画
  • 5. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限?自動設定: グループポリシー ?グループポリシー ?コンピューターの構成の自動化(強制) ?ユーザーの構成の自動化(強制) ?Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
  • 6. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限?自動設定: グループポリシーの利用 ?グループポリシーオブジェクト ?関連するポリシーの集合体 ?例: [スクリーンセーバーの強制]と[パスワード保護] ?ポリシー数 ?コンピューターの構成: 約2,000 ?ユーザーの構成: 約1,500 ?グループポリシーの[基本設定] ?Windows Server 2008からの新機能 ?従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
  • 7. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 ?Windows Update ?WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
  • 8. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 ?インターネット接続…WSUSにのみ必要 ?ネットワーク回線…BITSを使うので効率が良い ?Background Intelligent Transfer Services ?ディスク容量…配布したいものだけをダウンロード ?承認作業…条件を指定した自動承認可能 ?注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
  • 9. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 ?透過的でセキュアな無線 LAN 環境を構築 ?ユーザーは一切の設定が不要 ?暗号化通信を強制 (暗号鍵の自動更新) ?Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ?接続先 SSID ?暗号化方式 ?認証方式 ?証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
  • 10. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 ?集約型アクセス制御 ?Windows Server 2012 ファイルサーバー ?Windows Server 2012 Active Directory ?ファイル分類管理 (FCI) ?リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
  • 11. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 ?管理者: Active Directory管理センター ?要求の種類の確認 ?リソースプロパティの確認 ?集約型アクセス規則の作成 ?集約型アクセスポリシーの作成 ?管理者: グループポリシー ?集約型アクセスポリシーの展開 ?利用者 ?アクセス許可の指定 11
  • 12. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 ?従来のアクセス許可の課題 ?利用者はビジネスを知っているがACLは分からない ?集約型アクセス制御の利点 ?管理者がアクセス許可ポリシーを集中管理 ?利用者はアクセス許可ポリシーを1つ選ぶだけ 12 ?集約型アクセス制御の課題 ?設定階層が深い ?従来のNTFSは無効にならない(累積する) ?Windows Server 2012/Windows 8以降のみ利用可能
  • 13. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) ?Step 1: 保存ファイルに属性を追加 ?フォルダーやファイル内容に対するルール設定 ?Step 2: 追加した属性を参照して実行 ?指定したフォルダーに移動 ?AD RMSによる暗号化 ?任意のコマンドを実行 ?利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
  • 14. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 ?EFS…Windows 2000以降 ?目的: 個人ファイルの暗号化 ?欠点: 構築や回復手順が面倒(実質的に証明機関必須) ?その他…集中管理が困難 ?Officeパスワード ?ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
  • 15. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS ?適用アプリケーション ?Word/Excel/PowerPoint/Outlook ?利用可能なユーザー ?社内ユーザー…社内RMSサーバーで認証 ?社外ユーザー…公開Web経由で認証 ?機能 ?暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) ?具体的には ?メニューの無効化 ?クリップボードの無効化 15
  • 16. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 ?BitLockerドライブ暗号化 ?目的: ドライブ盗難による情報漏えいリスクを軽減 ?利用形態 ?TPMのみ…PCごと盗まれた場合は無力 ?TPM + パスワード…手軽?長いパスワードは利用困難 ?TPM + USBメモリキー…安全?USBメモリ必須 ?回復キー ?正常時に保存しておく(印刷したものを金庫に保管) ?Active Directoryに保存可能 ?付加機能 ?TPMによる起動システムの整合性確認(改ざん防止) 16
  • 17. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go ?リムーバブルメディアの保護 ?パスワード利用 ?グループポリシーによる強制 17
  • 18. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
  • 19. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 ?共有フォルダーのアクセスを自動的に暗号化 ?Windows Server 2012からの新機能 ?サーバーマネージャーで構成 ?IP Security ?持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 ?暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 ?例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
  • 20. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ ? 機能制限?自動設定 ? 更新プログラムの自動構成 ? WiFiアクセスポイント ? アクセス許可の拡張 ? ファイルの分類管理 ? ファイルの暗号化 ? ネットワークの暗号化 20
  • 21. ? システム管理者のパスワードポリシー強化 ? ブランチオフィスのドメインコントローラー管理 ? ファイルサーバーの障害対策 ? Hyper-VレプリカによるBCP ? AzureバックアップによるDR サーバーの障害?災害対策
  • 22. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 ?従来のパスワードポリシー ?ドメイン単位 ?きめ細かなパスワードポリシー ?Windows Server 2008以降 ?セキュリティグループまたはユーザー単位のポリシー ?Windows Server 2012からGUI設定可 22
  • 23. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ?ブランチオフィス(地方拠点)の問題点 ?低速WAN回線 ?少ないサーバーリソース ?比較的低い物理セキュリティ ?専任のシステム管理者不在 ?ブランチオフィスの現状 ?ドメインコントローラー兼ファイルサーバー ?パートタイムシステム管理者 23 ? DC盗難によるディレクトリ情報流出 ? 不慣れなファイルサーバー管理者がドメインを破壊
  • 24. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 ?読み取り専用ドメインコントローラー (RODC) ?パスワードを原則保存しない ?ブランチ勤務の一般ユーザーのみ保存するように構成 ?ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること ?サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
  • 25. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 ?操作ミスによる削除からの回復 ?ディスク障害対策 ?サーバー障害対策 25
  • 26. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 ?以前のバージョン = 定期的なスナップショット ?実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
  • 27. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 ?記憶域プールと仮想ディスク ?ミラー (2方向 & 3方向) ?パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
  • 28. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) ?分散ファイルシステム ?DFS名前空間 ?DFS-R (複製) ?特徴 ?差分圧縮転送 ?スケールアウト可能(LAN/WAN) ?データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
  • 29. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) ?従来の高可用性ファイル サーバー ?アクティブなノードは1台 ?Active / Passive ?スケール アウト ファイル サーバー ?メタデータの更新を特定のノードで管理 ?データ転送は複数のノードから行う ?Active / Active ?特徴 ?データの一貫性 ?スケールアウト可能(通常はLAN内) ?透過フェールオーバー(SMB 3.0) ?汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
  • 30. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP ?Hyper-Vへの複製 ?Microsoft Azureへの複製 ?複製先のTCP/IP構成 ?DHCPクライアントとして構成 ?Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
  • 31. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン ?複製間隔…30秒 / 5分 / 15分…常に差分複製 ?回復方法…いずれも手動 ?BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
  • 32. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) ?Widows Serverバックアップの保存先を変更 ?Azureバックアップ (オンラインバックアップ) ?システム状態のバックアップ不可 32
  • 33. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害?災害対策のまとめ ? システム管理者のパスワードポリシー強化 ? ブランチオフィスのドメインコントローラー管理 ? ファイルサーバーの障害対策 ? Hyper-VレプリカによるBCP ? AzureバックアップによるDR 33
  • 35. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー ?クライアント管理 ?グループポリシー ?WSUS ?集約型アクセス制御 ?ファイルの分類管理 ?AD RMS ?BitLocker ?SMB暗号化 ?IP Security ?サーバー管理 ?RODC ?以前のバージョン ?記憶域プール ?DFS-R ?スケールアウト ファイルサーバー ?Hyper-Vレプリカ ?Azureバックアップ 35
  • 36. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36 ? http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング ? グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
  • 37. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
About
? 2025 狠狠撸