注意!
インストール・設定の基本部分は参考になればと思いますが、詳細な設定等はあくまで私個人の好みなので、必要なければ読み流して頂くようお願いします。
事情としては、以前のServerマシンを廃棄するため、新たに購入したノートブック(DELL INSPIRON 6400)にWindowsServer2003R2を新規にインストールした状況メモです。
事前に用意するもの
最低限必要なもの。ドライバ類とか、もちろんMicrosoftWindowsServer製品版は必須です。
《MicrosoftWindowsServer2003R2(5CAL)製品版》
こればっかりは購入するしか方法がない。試用版をダウンロードする手もあるけど、それじゃずーと使えないでしょ。もちろん個人使用だから、StandardEdition(5CAL)で十分。"R2"でなくても構わないけど、後からSP2あてなきゃならないので。
《DELL INSPIRON6400付属のインストールCD-ROM(DVD-ROM)類》
・再インストール用CD WindowsXP HOME Edition SP2 (A00)
・ドライバーインストール用DVD (DVD for Reinstalling ・・・ Computer Software A02)
・MediaDirect3 DVD
・Roxio Creator & MyDVD9.0DE
《インテルチップセットソフトウェア》
http://support.intel.co.jp/jp/support/chipsets/sb/CS-022034.htm
から"954GMExpress"を選択して、インストレーションユーティリティを落とす。
《SDA Standard Compliant SD Host Controller ドライバ》
Windows2003デフォルトではSDカードコントローラが認識しません。"sbbus.inf"等々がないからなんだろう。ということで、TOSHIBADynabookのもので代用します。
http://dynabook.com/assistpc/download/w2k/navigate/equium/5150/e515read2.htm
《Ricoh R5C832ドライバ関連》
SD/MMC/MS/Pro/xD のカードが認識出来ないので最新のドライバを入手
http://www.alphadownloads.com/drivers/hdd-storage-drivers/ricoh-rc-card-reader-driver-for-vista-bit--a-3495.html(でも現状MMC認識できず。。保留中)
《Intel 945GM Graphics Controller》
DELLサイトから改良版を入手します。
http://support2.jp.dell.com/jp/jp/download/search.asp?sid=InspironI6400/E1505
Intel 945GM ビデオドライバ v.6.14.10.4634 (R135765.EXE)
最新版(Intel 945GM Graphics コントローラドライバ v.6.14.10.4814)だとOSチェックが入ってWindowsServer2003ではインストール出来ませんでした。
《oeminfo.ini・oemlogo.bmp》
とりあえず、一度何も考えないで WindowsXP HOME Edition インストールしちゃいます。そして起動。そこで"C:\WINDOWS\System32\oeminfo.ini"と"oemlogo.bmp"を退避 。
《IntelliPoint Software・IntelliType Pro Software》
Microsoftサイトからマウスドライバ(IntelliPoint Software)とキーボードドライバ(IntelliType Pro Software)を入手します。
http://www.microsoft.com/japan/hardware/default.mspx
キーボードドライバは、前面の音量ボタンとDVD系のボタンを制御するためなんです。DELL純正の「Dell QuickSet」は必要ない機能が付いてて嫌なもんで。
インストール開始(MediaDirect3設定)
WindowsServer2003R2 を新規にインストールします。
ですが、INSPIRON6400には、MediaDirect3ってのが入っていてちょっと面倒なのです。ようはこれってメディア系のアプリで、Windowsが起動していなくてもDVDとか観れるように...なんたらかんたらです。こんなもん必要がないっと思ったら、単純にクリーンインストールすればいい。でもまあせっかくですから。
まず、For Reinstalling DELL MediaDirect3 DVDを入れてPCを起動します。[F2]キーを押下してBIOSの設定します。CD-ROM媒体から初期起動するように設定を変更するってことです。
(1)[Boot Sequence]を選択
(2)[CD/DVD/CD-RW Drive]を[U]or[D]キーで上げ下げして一番上に持っていく
(3)[Esc]キー押下して[Save/Exit]選択終了
そしたら、MediaDirect3の英語画面が表示されて、ここでパーティションを切ることになります。システム領域(16GB)と作業領域の2分割します。しかし先頭5MBと最後尾2048MBは勝手に設定されてしまうんです。これ後から消さないように。
(1)最初の画面で、[2 Specify the size of ...]を選ぶ
(2)How large ... (in GB)? って表示されたら、16GBにする
(3)確認の英語画面で[Y]と押下
(4)終了画面が表示
この終了画面が表示されたら、このDVD-ROMを抜いて、WindowsServer2003R2 CD-ROMに差し替えます。
ここで左上に"press any key to boot from CD"が表示されている間に、[Enter]キーを叩かないと停止してしまいます。これでハマりますから注意です。
ちなみに自動起動だと思って、ほっておいた私は何度もこの一連の操作を繰り返して途中CD-ROMを自体を読み込めなくなって、呆然としましたけど。(電源落としてじっと待つか、他のCD・DVDをダミーで読ませるかすると復旧しました)
これでやっと本来のインストール作業に進みます。
インストール開始(WindowsServer2003R2セットアップ)
WindowsServer2003R2を新規にインストールします。
(1)キーボードの選択
(2)パーティション作成
システム領域(C:)に16GB、作業用領域(D:)を残り全部
先に設定したMediaDirect3 で勝手に設定されてます。
先頭の47MBはドライブの情報を持っている(MBR)とMediaDirect3の起動情報が入っているんでしょうか、消さないことです。
(C:)をシステム領域として WindowsServer2003をインストール
(D:)を作業用領域
(F:MEDIADIRECT[FAT32])はOSを起動していなくてもMediaDirect3を動かす領域でしょう。これも消せないです。消すとWindows上で後からMediaDirect3をインストールすることも出来なくなります。
(3)ディスクのフォーマット
システム領域(C:)をNTFSフォーマット
システム領域(C:)はNTFS必須です。作業用領域(D:)はFATでも構いませんが、接続するクライアントが98系でなければNTFSにするべきです。領域(D:)はここではフォーマットしません。インストール終了後にOSから管理ツールでフォーマットします。
(4)インストールファイルのコピー (自動)
(5)再起動
ここでまたブラックスクリーンで"press any key to boot from CD"が表示されますが、ここでは叩きません。絶対に。
WindowsServer2003セットアップウィザードの開始
ブルースクリーンから変わってWindowsインターフェイスの画面になります。
(1)地域と言語のオプション
時刻表示 "tt.h.mm.ss" に設定
(2)ソフトウェアの個人用設定
名前(任意) Microsoft Windows Server 2003R2
組織(省略可)
(3)プロダクトキー
(4)ライセンスモード
同時使用ユーザー数"256"で設定
購入したCALを設定する。
ライセンスモードは後から変更可能。でも「接続デバイス数または接続ユーザー数」から「同時使用ユーザー数」へは変更できない。また反対への変更は1度きりしか出来ないから注意が必要。
(自宅のローカルな環境で使用するなら接続するクライアント数を見越して64とか勝手に設定すればいい。そんなに繋がないけど。。初期値の5のままだと6台目が同時接続出来なくなる。しかしソフトウェア承諾違反になるので知〜らないっと)
(5)コンピュータ名とAdministratorのパスワード
コンピュータ名(15文字) Inspiron6400i
Administratorのパスワードはここでは設定しない。空白のままで。
(6)日付と時刻の設定
(7)ネットワークの設定
"カスタム設定"を選択。
本来ならインターネットプロトコル(TCP/IP)のプロパティからIPアドレスを入力。
IPアドレス - 192.168.xxx.xxx
サブネットマスク - 255.255.255.0
デフォルトゲートウェイ - 192.168.xxx.zzz
優先DNSサーバー - 192.168.xxx.xxx
代替DNSサーバー - 空白
絶対標準設定にしないこと。インストーラーに勝手なことをさせてはいけません。
デフォルトゲートウェイってのはインターネットに繋がる入口or出口の意味。普通ならルーターのアドレスということになるかと。優先DNSサーバーには自分のIPアドレスを設定。代替DNSサーバーにプロバイダのDNSサーバーのアドレスを設定したいとこですけど、ここでは入力しません。それにLANケーブルも抜いておきます。
実は、このINSPIRON6400はLANボード(Broadcom440x10/100)がこの時点で認識されていません。設定画面に出てきてるのは、IEEE1394コントローラのネットワーク設定なのです。ということで、カスタム設定を選択してIPアドレス等は入力しないで進みます。
でも「詳細設定」の「DNS」タブで
"プライマリDNSサフィックスの親サフィックスを追加する"
"この接続のアドレスをDNSに登録する" この2つの"レ"だけは外しておきます。
DNSを設定した後のいかがわしい挙動を避けるためです。
(8)ワークグループまたはドメイン名
"このコンンピュータはネットワーク上にないか、ドメインのないネットワークに・・・"を選ぶ。
ワークグループ名は初期値のまま"WORKGROUP"で
まずはスタンドアロン(ドメインに属さない)サーバーにします。っていうかドメインありません。そのためドメインは設定しないでワークグループを設定します。
(9)コンポーネントのインストール (自動)
Windows2000までは、ここでコンポーネントのインストールを選択出来たんだけど、無くなったみたいですね。基本設定しかインストールされません。だから後からアニメーションカーソルとかWindows付属のアクセサリ系なんかも追加インストールしなきゃなりません。
サーバー固有のコンポーネントはOS立ち上がってからウィザードに従って行えばいいので問題ないけど。(不必要なサーバーコンポーネントは入れないのが基本)
(10)「スタート」メニュー項目のインストール (自動)
(11)WIndowsServer2003セットアップウィザードの完了
(12)再起動
ハードウェアデバイスの設定
インストールが終了して、WindowsServer2003ログオン画面が立ち上がります。
Administratorでログオンすると、セキュリティの設定・更新の必要性の画面が表示されますが無視します。ここで画面表示が800×600のままになっているので、最大表示に変更しておきます。だって狭いデスクトップじゃやり難くてしょうがない。
まずは自分自身のハードウェアデバイスの設定から。
「コントロールパネル」 - 「システム」 - 「ハードウェア」タブの「デバイスマネージャ」から確認します。結構"!"マークが付いてますが、ひとつひとつやっていきますか。
(1)Dell ResourceCDのインストール
ドライバーインストール用DVD (DVD for Reinstalling ・・・ Computer Software A02)を挿入します。自動でDell ResourceCDがインストールされます。
Dell ResourceCDが起動したら、
[検索基準]欄の[システム モデル]で[Inspiron MM061]を選択。
[オペレーティングシステム]はとりあえず[Windows XP]を選択。
[検索基準]欄の[トピック]で[すべて]を選択して、必要なファイルの一覧を表示します。
これでやっと次からデバイスのインストールを開始出来ますが、絶対以下の順番で行うこと。
(2)Dell Notebook System Software
[Dell Notebook System Software Rev:A21]を選んで解凍・実行(自動)
これOSチェックがかかってインストール出来ません。
"C:\dell\drivers\R120806\setup.exe"のプロパティを、互換モード"WindowsXP"に変更します。そして実行。あれっまたまた実行出来ない。そしたら、互換モードを外します。今度何故かはうまくいくんです。意味不明&ちゃんとインストール出来てんの?
再起動がかかるので、このタイミングでBIOSの設定を元に戻しておきます。
BIOS起動中に[F2]or[F12]キー押下、[Boot Sequence]で[CD/DVD/CD-RW Drive]を[U]or[D]キーで元に戻す。
(3)Intel Mobile Chipset
Intel Mobile Chipset Rev:A09は行いません。
最新バージョンのインテルチップセットソフトウェアで行います。
事前に用意したIntelインストレーションユーティリティ"infinst_autol.exe"を"C:\dell"にコピーして実行。
(4)Ricoh R5C832
通常なら2段ある下のほうの、[Ricoh R5C832 Rev:A00]なんだけど、行いません。
事前に用意したドライバで代替します。
TOSHIBADynabook用SDカードコントローラー"e515sdh2.exe"を実行します。解凍場所を"C:\dell"配下にすれば"C:\dell\sdhc"というフォルダが出来上がります。
「コントロールパネル」 - 「システム」 - 「ハードウェア」タブの「デバイスマネージャ」から、"!" PCI Device のドライバ更新をかけます。
[ドライバの更新]から以下の選択肢を選んで進む。
"いいえ今回は接続しません"
"一覧または特定の場所からインストールする(詳細)"
"次の場所を含める"で先の"C:\dell\sbhc"を入力して、ドライバを1度作成します。
もう一度デバイスマネージャからどのドライバを選択し直し、"Ricoh Secure Digital host controller"に変更。
"Ricoh_R5C832_XP_VT.zip"を展開して"C:\dell\Ricoh_R5C832_XP_VT"フォルダを作ります。その中の"setup.exe"を実行してRicho R5C832ドライバを作成。以下のドライバが出来ていれば一応OKかな。でも、MMC認識しません。調査中です。
IDE ATA/ATAP コントローラの配下に
- Ricoh Memory Stick Controller
- Ricoh SD/MMC Host Controller
- Ricoh xD-Picture Card Controller
(5)Intel 945GM Graphics Controller
[Intel 945GM Graphics Controller Rev:A01]は行いません。改良版にします。
ダウンロードした"R135765.EXE"を解凍実行(自動)
(6)オーディオドライバ
[SIGMATEL STAC 92XX C-Major HD Audio Rev:A06]を選んで解凍・実行(自動)
(7)内蔵56Kモデム ドライバ
[Conexant D110,HDA,MDC,v.92 modem Rev:A05]を選んで解凍・実行(自動)
(8)内蔵10/100 LAN (ネットワーク) ドライバ
[Broadcom 440x 10/100 Integrated Controller Rev:A02]を選んで解凍・実行(自動)
やっとLANドライバがインストール出来たのでネットワーク設定をしておきます。
「コントロールパネル」 - 「ネットワークとインタネット接続」 - 「ネットワーク接続」 - 「ローカルエリア接続」のプロパティから、
「インターネットプロトコル(TCP/IP)」のプロパティで、IPアドレスを設定。
「詳細設定」の「DNS」タブで
"プライマリDNSサフィックスの親サフィックスを追加する"
"この接続のアドレスをDNSに登録する" この2つの"レ"だけは外しておきます。
「詳細設定」の「オプション」タブで、"TCP/IPフィルタリングを有効"にします。とりあえず。
(9)Synaptics Touchpad ドライバ
[Synaptics Touchpad Rev:A17]を選んで解凍・実行(自動)
(10)Dell QuickSet
こんなものインストールしません。
ここでダウンロードしたMicrosoftマウスドライバ・キーボードドライバをインストール
Dell QuickSetってノートブック用の管理ツールみたいなもの。いらない。でも前面ボタンのコントロール表示くらいさせたいから、Microsoft Intelli Type Softwareで代替です。
インストール時の製品選択で、"Media・・・"と入っているものにすれば、音量ボタンでWindows画面の下あたりに音量レベルが表示されます。
デバイスマネージャーの「キーボード」を確認すると、"101/102英語キーボードまたは・・・"あれれ英語?
「ドライバ」タブから「ドライバの更新」でアップグレードウィザード開始。既知のドライバを表示して一覧から再選択。"日本語PS/2キーボード(106/109キーCtrl+英数)"に変更。
(11)Dell OS Tools
インストールしません。
後から、Java Runtime Environment 6.0系をインストールすれば良い。
(12)Roxio Creator Dell Edition 等の付属ソフト
必要なし!
DVDライティングソフトだろうけど、変な管理ツールが付属していて邪魔になる。特に自動アップデート機能みたいなものがアンインストール出来なくなって消えない。
セキュリティソフトはお好みでどうぞ。私は付属してませんでしたから。でも試用版なんでしょ。
(13)Media Direct 3
MediaDirect3 DVD(For Reinstalling Dell Media Direct 3)をドライブに挿入。
エクスプローラでDVD内"\Dell Kit\Dell Kit.exe"を起動してインストールします。
[入手可能なDell MediaDirect(TM)アップデートをチェックしますか?]と表示されたら、[後でチェックします]を選択
[ディスプレイ形式の選択]と表示されたら、[ワイドスクリーン(16:9)]を選択
[音声出力の選択]と表示されたら、該当する出力デバイスを選択
[音声ファイルの検索]と表示されたら、[音声ファイルの検索を行う]をクリック
[MediaDirect(TM)Expressへのアクセスをブロックするためにパスワードを設定しますか?]と表示されたら、[パスワードの保護がありません]で選択
この設定なんかは後で変更できるし、あまり深く考えないで進む。これでWindowsを起動しててもしていなくてもMediaDirect3が使用出来るってわけ。Windowsが起動していない時は、「家」キーを押せば、MediaDirect3が立ち上がる仕組み。
MicrosoftUpdate
ひと通りデバイスのインストール・設定が終わったので、MicrosoftUpdateかけます。
InternetExplorer起動してWindowsUpdateですね。
その前に追加するWindowsコンポーネントをインストールします。
WindowsServer2003R2 CD-ROMを挿入して、「コントロールパネル」 - 「プログラムの追加と削除」 - 「Windowsコンポーネントの追加と削除」から、
Microsoft NET Framework 2.0
アクセサリとユーティリティ
インデックスサービス
セキュリティの構成ウィザード 以上は全て"レ"選択
InternetExplorerセキュリティ強化の構成 - 管理者グループ用 の"レ"は外す
アクセサリとユーティリティの中のマウスポインタをインストールしなきゃ、砂時計のポインタが選べない。最初どうして無いんだろって思ってたけど、いわゆる"飾り"はデフォルトでインストールされない仕組みみたい。
ちなみにサービスの"Themes"を自動開始にすれば、WindowsXPのテーマが選べるようになるそうですよ。私はやっていないので未検証ですが。
InternetExplorerセキュリティ強化の構成ってのが曲者で、InternetExplorerを開いたときに、いろいろとセキュリティがどーとかこーとか表示されてしまうものです。これだとウェブを閲覧するのに邪魔でしようがない。それにアプリをダウンロードするのにも苦労する。管理者用はいいんじゃないのかと、自己責任で行うとして。
その他のWindowsコンポーネントはサーバーを設定していく上で、必要なものが勝手にインストールされるはずだからここでは追加しません。
(不必要なサーバーコンポーネントは入れないのが基本ですから)
oemlogoの追加
マイコンピュータのプロパティにOEMLOGOを表示させるってこと。
退避しておいた"oeminfo.ini"と"oemlogo.bmp"を"C:\WINDOWS\System32"に戻す。ただそれだけ。
OEMバージョンだとスタートメニューにDELLサポートへのリンクがデフォルトで作成されるんですけど、それを作ろうっていうこと。
再インストール用CDの中の""というフォルダから以下の4つを"C:\dell\$OEM$"にコピーする。
"DELLBUTN.HTM"
"DELLSUPPORT.ICO"
"E-WTRMRK.GIF"
"SOL_CENT.JPG"
レジストリエディタで、
[HKEY_CLASSES_ROOT\CLSID\{2559a1f6-21d7-11d4-bdaf-00c04f60b9f0}]の既定バイナリ値に"Dell Solution Center"で入力。
その配下の DefaultIcon の(既定)展開文字列値に"%SystemDrive%\Dell\$OEM$\dellsupport.ico"
そして Instance\InitPropertyBag の Command 値に"Welcome to Dell"
そして Instance\InitPropertyBag の param1 値(展開文字列値)に"%SystemDrive%\Dell\$OEM$\dellbutn.htm"
作業用領域(D:)のフォーマット
システムドライブ(C:)をデフラグかけて領域整理しときましょう。それ終わってから、作業用領域(D:)をフォーマットします。
「管理ツール」 - 「コンピュータの管理」の「ディスクデフラグツール」で最適化
同様に「ディスクの管理」で作業領域(D:)をNTFSフォーマット
プリンタの接続
以前のServerマシンにはプリンタポートが付いていて、プリンタポートで直に接続してましたが、このINPSPIRON6400ってのにはもうプリンタポートなんてありません。そんなもんなんだね。
ということでUSB接続に変更です。
USB接続ってことは差せば勝手に繋がるってこと。でも、プリンタドライバはキャノン純正に替えようかなって思ってキャノンサイトで調べたところ、LBP-350(LIPS3)ってWindowsServer2003純正ドライバが提供されてない。OS付属のドライバで印刷出来るってこと。
でもWindowsXP対応の純正ドライバに替えてやる!
一度プリンタポートで仮のプリンタを作成。ダウンロード展開したフォルダの infファイルからドライバをインストールする。
そのプリンタのポートをUSBに変更。
USB接続してプリンタを自動構成させて、そのプリンタに接続されているか確認する。ってことで。
プリンタは新しく購入しました。LAN直の複合機 Satera MF4270(CARPS2)これ繋ぎます。
一点注意しなきゃなんないのが、LAN直のプリンタってのは"ネットワーク・・"でなくて"ローカル・・"で、TCP/IPのポートを構成するってことですね。
複合機なもんでFAXプリンタも追加構成しておきます。
サーバーの構成(ドメインコントローラ)
WindowsServer2003からサーバーの役割管理っていう集約されたツールがあります。確かにこれはわかり易い。以前のWindows2000Serverではそれぞれインストールで一気にサーバーとして構成されて、後から個別に調整した苦い思い出?が。。。
(1)サーバーの役割管理
「サーバーの役割管理」から"役割を追加または削除する"で構成ウィザードが起動します。
もちろんここでは"カスタム構成"で。
サーバーの役割は"ドメインコントローラ(ActiveDirectory)"を選ぶ。
(2)ActiveDirectoryのインストールウィザードの開始
(1)ドメインコントローラの種類 "新しいドメインのドメインコントローラ"
(2)新しいドメインの作成 "新しいフォレストのドメイン"
(3)新しいドメイン名 - "ddd.xyz"(任意)microsoft.com・microsoft.co.jp なんて感じの
(4)NetBIOSドメイン名 - "DDD"そのままで。
(5)データベースとログのフォルダ
(6)共有システムボリューム それそれデフォルトのまま
(7)DNS登録の診断
診断の失敗が発生します。そりゃネットワークのDNSに自分のIPアドレス入ってるんだもん。
ここでは"後でDNSを手動で・・・(上級者向き)"を選ぶのが吉。
(実際ここでは"このコンピュータにDNSサーバーインストールして・・・"を選ぶのが通例だけど。。それを選んだら、DNSがうまく設定出来ていなくて、結局DNSを削除再設定するはめになっちゃいます。)
(8)アクセス許可
"Windows2000またはWindowsServer2003 OSのみ・・・"で選択
(9)ディレクトリサービス復元モード
Administratorのパスワードっても、ここのパスワードは障害復旧時の固有のパスワードでユーザーパスワードとは全然別のもの。空白でも可能みたい。
WindowsServer2003CD-ROMを挿し込んでインストール開始
再起動
(3)ActiveDirectoryの構成の確認
ActiveDirectory サイトとサービス
ActiveDirectory ドメインと信頼関係
ActiveDirectory ユーザーとコンピュータ
ここでは特に問題は発生しないはずです。自動でドメインコントローラに昇格して、ワークグループ(この端末)でないドメインにログオンが出来るようになります。
Administrator@ddd.xyz でログオン
クライアントユーザー等の登録は後から行います。
ドメインコントローラの設定はこれで完了します。削除再設定なんてご法度です。削除(降格)するとユーザープロファイルに"不明なプロファイル"が出来て、Documents and Settings配下にあるユーザーフォルダが汚れます。最悪です。
サーバーの構成(DNSサーバー)
やっぱりWindowsServerのDNSのインストールは特殊。ActiveDirectory統合のDNSってのはわかるけどMicrosoft専用特殊DNSとでも言ったらいいのか。。相変わらず難解。
事前準備
ネットワークの設定
ネットワークTCP/IPのプロパティで
優先DNSサーバー 自分のIPアドレス
代替DNSサーバー 空白
(プロバイダのIPアドレスを入れている場合は一応クリアしておく。変な挙動をさせたくないし)
詳細設定DNSで、デフォルト設定に戻しておきます。
"プライマリおよび接続専用の・・・"
配下の"プライマリDNSサフィックスの・・・" と
"この接続のアドレスをDNSに登録する" の2箇所に"レ"を入れる。
どうやら、DNSをインストールする時にもここの部分をちゃんと参照しているみたいで、いわゆる動的更新を行うようにしておく。その後外すことになると思われるけどね。
(1)サーバーの役割管理
「サーバーの役割管理」から"役割を追加または削除する"で構成ウィザードを起動。
サーバーの役割"DNSサーバー"を選ぶ。
(2)DNSサーバーの構成ウィザードの開始
(1)構成動作の選択 "前方および逆引き参照ゾーンを作成する"
(2)前方参照ゾーン "今すぐ前方参照ゾーンを作成する"
小規模ネットワーク用には前方参照ゾーンだけでいいようなことを書いてありますけど。
普通DNSってデフォルトで逆引き作るでしょ。ので"前方および逆引き参照ゾーンを作成する"を選択。
(3)ゾーンの種類
"プライマリゾーン" を選択
"ActiveDirectoryにゾーンを格納する" に"レ"を入れる。
(4)ActiveDirectoryゾーンレプレケーションスコープ
"ActiveDirectoryドメイン・・・のDNSサーバーすべて" を選択。
これってサーバー1台だけならどれでもいいような言い回しだけど、ちょっと調べてみた。
・"ActiveDirectoryフォレスト・・・のDNSサーバーすべて"
・"ActiveDirectoryドメイン・・・のDNSサーバーすべて"
・"ActiveDirectoryドメイン・・・のドメインコントローラすべて"
何がどーだって、フォレストはドメインの連携構造だから最初のはドメイン連携を考慮したもの。次の2つの違いはドメイン内にWindowsServer2003だけなら2番目で可。だけど下位機(Windows2000Server)がドメイン内にあって自分がDNSプライマリになる場合は3番目ということ。何やら難しい言い回しだこと。
(5)ゾーン名 - "ddd.xyz"
(6)動的更新 "セキュリティで保護された動的更新のみを許可する"
(7)逆引き参照ゾーン "今すぐ逆引き参照ゾーンを作成する"
(8)ゾーンの種類
"プライマリゾーン" を選択
"ActiveDirectoryにゾーンを格納する" に"レ"を入れる。
(9)ActiveDirectoryゾーンレプレケーションスコープ
"ActiveDirectoryドメイン・・・のDNSサーバーすべて" を選択。
(10)逆引き参照ゾーン名 - "xxx.168.192.in-addr.arpa"
"ネットワークID"を選択して、IPアドレス前方3つを入力します。
(ここでは結局自分のドメインの逆引きがうまく設定できません。ここの指定はあまり意味がありません)
(11)動的更新 "動的更新を許可しない"
(12)フォワーダ "いいえ クエリを転送しません"
ここで"前方参照ゾーンをサーバーに追加できませんゾーンが既に存在します"ってエラーが出ます。検索しても解決法が載っていないんですが、たぶんActiveDirectoryを先に構築してある状態でのDNS設定だからではないのか。と推測してます。意味不明です。
(3)ネットワークの再設定
何故なのかネットワーク(TCP/IP)のプロパティで指定したはずの優先DNSサーバーが 127.0.0.1(LocalHost)に勝手に変わってます。これを自分のIPアドレスに戻します。
そこでの動的更新はまだそのままにしておきます。(動的更新する)
またDNSの設定を確認して、前方参照ゾーンに_sites・_tcp・_udp・・・が存在しなかったり、SRVレコードが作成されていない場合があります。この時も以下の操作をします。
ネットワーク(TCP/IP)の優先DNSサーバーに自分のIPアドレスを入れる。
代替DNSにはプロバイダのDNSは入れない。
動的更新を行う設定のままにしておく。(ネットワーク側もDNS側も)
「管理ツール」「サービス」で"Net Logon"を停止・開始します。またはWindowsごと再起動。
(4)DNSの設定(逆引き参照ゾーンの追加)
結局逆引き参照ゾーンに自分のドメインの逆引きが追加されません。
"xxx.168.192.in-addr.arpa"を追加作成します。
DNSの設定の逆引き参照ゾーンを右クリックして「新しいゾーンウィザード」を開始します。
(1)ゾーンの種類
"プライマリゾーン" を選択
"ActiveDirectoryにゾーンを格納する" に"レ"を入れる。
(2)ActiveDirectoryゾーンレプレケーションスコープ
"ActiveDirectoryドメイン・・・のDNSサーバーすべて" を選択。
(3)逆引き参照ゾーン名 - "xxx.168.192.in-addr.arpa"
まず"ネットワークID"を選択して、IPアドレス前方3つを入力します。
すると勝手に下部の"逆引き参照ゾーンの名前"が設定されます。そこですかさず"逆引き参照ゾーンの名前"に選択を変更しちゃいます。
(名前で指定しなければ逆引き参照ゾーンがうまく出来ません)
(4)動的更新 "動的更新を許可しない"
作成した逆引きゾーン内にPTRレコードを作ります。
(1)右クリックで"新しいポインタPTR"を選ぶ。
(2)ホストIP番号 - "xxx" IPアドレスの最終クラスの番号
(3)ホスト名- "inspiron6400i.ddd.xyz" 参照でホスト(A)レコードをドメインから引けば問題ない
作成した逆引きゾーンのプロパティから操作します。
(1)全般タブ 設定を確認
(2)SOAタブ プライマリサーバーを"inspiron6400i.ddd.xyz."に変更。最後に"."を付与。
(3)ネームサーバータブ
ネームサーバーを"inspiron6400i.ddd.xyz."
IPアドレスが"192.168.xxx.xxx"
ここのIPアドレスの最後に、"*"が付いているとクエリ転送によって自動で得られたものなので、きちんと設定し直すこと。
前方参照ゾーンの"_msdcs.ddd.xyz"のネームサーバーにも"*"がついてます。これも念のため作り直しておきます。
(5)DNSの設定確認
まずは以下のコマンドでDNSの起動確認を。
nslookup
netdiag /fix
ネットワーク(TCP/IP)のプロパティの再設定
静的更新に直します。
詳細設定DNSで、
"プライマリおよび接続専用の・・・"
配下の"プライマリDNSサフィックスの・・・" と
"この接続のアドレスをDNSに登録する" の2箇所の"レ"を外す。
代替DNSにプロバイダのDNSを設定します。
ActiveDirectoryユーザーの登録
ドメインコントローラの設定が終わって、やっとユーザーをActiveDirectoryに登録。
ActiveDirectoryに関する詳細はMicrosoftTechNetを参照
http://technet2.microsoft.com/WindowsServer/f/?ja/library/187291de-06a4-41ba-ad05-f602d58a96ae1041.mspx
http://technet2.microsoft.com/WindowsServer/ja/library/02d006d8-4f12-4b66-b121-38fd3ba9a4df1041.mspx?mfr=true
ActiveDirectoryユーザーの登録
「ActiveDirectoryユーザーとコンピュータ」でユーザーを登録しちゃいます。
新たに"組織(OU)"を作って、その配下にクライアントログオン用アカウントを作成します。
アカウント "ユーザーは次回ログオン時にパスワードの変更が必要"
所属するグループ 任意追加
Administratorにパスワードを付与
インストール時にパスワードを空白のまま設定した場合、ここでパスワードを付与しておきます。
セキュリティを気にするなら、Administratorのユーザー名そのものを変更してしまうっていうのも手法のひとつです。(プロファイル環境を作り直しですが。。)
パスワードのセキュリティを緩和
もしクライアントからログオンするのに、パスワードを必要としないようにしたいなら、ドメインセキュリティポリシーを変更することになります。(これってお勧めしません)
「グループポリシー管理コンソール(GPMC)」または
「管理ツール」- 「ドメインセキュリティポリシー」から辿って"パスワードのポリシー"に
"パスワードの長さ"
"パスワードは複雑さの要件を満たす・・・"
"パスワードの履歴を記録する" この3つの要件を緩和させます。
クライアント側ユーザープロファイルの再構築
ドメインクライアントには過去にドメインに接続した時の設定情報が保存されている。ので、一時的にサーバーが無くても、またサーバーを起動してていなくても、ドメインで立ち上げることが可能です。でも新たにドメインに接続するとなると。。。
これが問題なんです。やってる事はハード(サーバー)の入替えなのですから、クライアント側は今まで通りの環境で動かしたい。それが単純にはいかないんです。
同じドメインで同じユーザーでログオンさせる。なのにユーザープロファイルを移行しなきゃならないのは"SID"っていう識別子が隠れているから。面倒です!
(クライアント端末はWindowsXPの設定)
以下の設定法はあくまで同ドメイン・同アカウントのプロファイルの移行です。
事前準備
もしサーバー側でWindowsServer2003からWindowsファイヤーウォールってのが動いていたら停止します。見事にハマりました。サーバー側のポートを開放しないと、DNS/ActiveDirectoryを参照してくれません。
このあたりは、後で「セキュリティの構成ウィザード」で細かな設定を行うこととします。
(1)ユーザープロファイルの退避
「ファイルと設定の転送ウィザード」で、使用しているユーザープロファイルをまとめて退避。
"ファイル"を退避しようとなると大容量になるので"設定のみ"でいいと思う。
(2)Administratorでログオン
(3)ユーザープロファイルの退避(続き)
"C:\Documents and Settings\uuu"をまるごと退避します。("uuu"はユーザー名)
"C:\Documents and Settings\uuu"は削除します。
(4)ユーザープロファイルを削除
「システムのプロパティ」の「詳細設定」タブで「ユーザープロファイル」を開きます。
そのにある"DDD\uuu"を選択して削除します。("DDD"はドメイン名)
(もう既に"不明な・・・"になっているかも知れませんが、これが以前使用していたプロファイルです)
(5)ドメインから降格
「システムのプロパティ」の「コンピュータ名」タブから、「ネットワークID」で「ネットワークIDウィザードの開始」を行って、一度WORKGROUPに降格します。
"このコンピュータは自宅で使用します。・・・"を選べば勝手にWORKGROUPになります。
再起動はしません!
(6)DNSを変更
ネットワーク(TCP/IP)のプロパティから優先DNSサーバーのIPアドレスを振り直します。
(うちの場合はサーバー機のコンピュータ名・IPアドレスは変更したので)
(7)ドメインに再登録
そのまま同じく「システムのプロパティ」の「コンピュータ名」タブから、「変更」を選びます。
ドメインのメンバとなって、ドメイン名"ddd.xyz"を入力します。(コンピュータ名は変更しません)
ちゃんとサーバーと繋がればユーザー・パスワードを聞いてくるので、ここではサーバーに権限を持つアカウント(Adminidtrator)で入力します。
"ddd.xyzドメインへようこそ"と表示されればOKです。
(8)再起動
(9)ユーザーでログオン
やっとユーザー"uuu@ddd.xyz"でログオンです。
ここで"C:\Documents and Settings\uuu"がまた新たに作成されているのを確認します。
ユーザープロファイルが正しく出来ているかも確認。
ログオフします。
(10)Administratorでログオン
"C:\Documents and Settings\uuu"を削除して、退避した同名の"uuu"に入れ替えます。
ログオフします。
(11)ユーザーでログオン
ユーザー"uuu@ddd.xyz"でログオンします。
「ファイルと設定の転送ウィザード」で、退避した設定を戻します。(これは必要ないかも)
(12)ユーザーの追加
「コントロールパネル」 - 「ユーザーアカウント」でユーザーを再追加します。
「追加」から「参照」でActiveDirectoryを検索すれば、今回再作成したドメインのユーザーがあります。それをちゃんと追加しておきます。ちなみにグループメンバシップは"Adminidtrator"にしておきました。
(13)設定の確認
ユーザー環境の設定が元に戻っているか確認します。
OutlookExpressのメールは2通づつになっていました。アカウントも。「ファイルと設定の転送ウィザード」で上書き追加したからでしょう。
サーバーの構成(ファイルサーバー)
WindowsServer2003のファイルサーバー機能はどんなもんなんでしょ。
(1)サーバーの役割管理
「サーバーの役割管理」から"役割を追加または削除する"で構成ウィザードを起動。
サーバーの役割"ファイルサーバー"を選ぶ
(2)ファイルサーバーの役割の追加ウィザードの開始
ファイルサーバーの環境 必要なものに"レ"(複数選択可)
DFSレプリケーション
SAN用記憶域マネージャ
NFS用Microsoftサービス
Macintosh用ファイルサービス
通常選択するのは"DFSレプリケーション"だけかな。
"SAN用記憶域マネージャ"はRAID構成を管理したい時なんかに必要らしい。。。"NFS用Microsoftサービス"はUNIX連携、"Macintosh用ファイルサービス"は字のとおりMacとのファイル連携。
WindowsServer2003CD-ROM(Disk2)を挿し込んでインストール開始
再起動
(3)共有フォルダの作成
(4)ファイルサーバーの管理
※詳細は別項(ファイルサーバーの管理(FSRM・DFS))で。
サーバーの構成(プリントサーバー)
プリンタを既にインストールしてあると、中途半端なプリントサーバーが出来上がっているはず。通常では""を選んで再構築するけど、ここはとりあえず一度削除して再設定します。
(1)サーバーの役割管理
「サーバーの役割管理」から"役割を追加または削除する"で構成ウィザードを起動。
サーバーの役割"プリントサーバー"を選ぶ
WindowsServer2003CD-ROM(Disk2)を挿し込んでインストール開始
(2)ネットワークプリンタの作成
Microsoft管理コンソール(MMC3.0)(3)印刷の管理
時刻の同期
WindowsTimeサービスに関する詳細はMicrosoftTechNetを参照
http://technet2.microsoft.com/WindowsServer/f/?ja/library/187291de-06a4-41ba-ad05-f602d58a96ae1041.mspx
http://support.microsoft.com/kb/816042/ja
WindowsServer2003側での設定
外部インターネット上のNTPサーバーを指定する。
net time /setsntp:ntp.jst.mfeed.ad.jp,0x1
net stop w32time
net start w32time
w32tm /config /manualpeerlist:ntp.jst.mfeed.ad.jp,0x1 /syncfromflags:manual
w32tm /config /update
0x0(設定なし):標準的な同期方法(Symmetric Active/Passive Mode)
0x1:Windows上で実装された定間隔での同期方法
0x2:ドメインおよび外部の両方から時刻を同期する
0x4:明示的なSymmetric Active/Passive Mode
0x8:明示的なClient/ServerModeによる同期方法
"net time"か"w32tm"のいずれかのコマンドを打つ。
そしてレジストリエディタで以下のレジストリキーの確認・設定を行います。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters]
その配下の"Type"の文字列値を"NTP"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config]
その配下の"AnnounceFlags"のDWORD値を"5"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
その配下の"Enabled"のDWORD値を"1"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters]
その配下の"NtpServer"の文字列値を"ntp.jst.mfeed.ad.jp,0x1"
(設定したNTPサーバー)
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
その配下の"SpecialPollInterval"のDWORD値を"3600"
(10進で分単位 3600(60分)間隔に設定)
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Config]
その配下の"MaxPosPhaseCorrection"のDWORD値を"ffffffff"
その配下の"MaxNegPhaseCorrection"のDWORD値を"ffffffff"
(時刻の同期周期に適切な数値を設定 初期値は最大値"ffffffff"(16進数))
レジストリを修正したら、もう一度net stop & net start コマンドを打つ。
クライアント側での設定
通常はドメイン内のドメインコントローラ(DC)と時刻同期、サーバーが上がっていないときには外部インターネット上のNTPサーバーと同期する。
net time /setsntp:ntp.jst.mfeed.ad.jp,0x2
net stop w32time
net start w32time
w32tm /config /manualpeerlist:ntp.jst.mfeed.ad.jp,0x2 /syncfromflags:manual
w32tm /config /update
"net time"か"w32tm"のいずれかのコマンドを打つ。
そしてレジストリエディタで以下のレジストリキーの確認・設定を行います。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters]
その配下の"Type"の文字列値を"ALLSync"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\Parameters]
その配下の"NtpServer"の文字列値を"ntp.jst.mfeed.ad.jp,0x2"
レジストリを修正したら、もう一度net stop & net start コマンドを打つ。
Microsoft管理コンソール(MMC3.0)
管理ツールから各ショートカットで管理コンソールを個別に起動かけるのもいいけど、一括ですべてを管理するようにしようってこと。
「ファイル名を指定して実行」で"mmc"入力実行。
「スナップインの追加と削除」で使用するスナップイン(個別の管理ツール)を登録していきます。
これで作成した"console.msc"のショートカットをスタートメニューにでも入れておきましょう。
追加と削除の新しいスナップインを有効にする
レジストリエディタで
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC]
そこに新たなキー"UseNewUI"を作成します。
.NET Framework下位非互換の問題
スナップインを追加していくと"スナップインを初期化出来ません"と拒否される場合がある。
これはMicrosoft既知の問題で、.NET Framework2.0以上で使用するスナップインと下位で動くスナップインを両方とも追加しようとした時に発生する。
NET Framework1.0系のスナップインは追加登録しないようにするしかない。
セキュリティの構成ウィザード
Microsoftのセキュリティの集中構成管理ツール。ちっとは役立つのだろうか。
セキュリティ構成ガイドに関する詳細はMicrosoftTechNetを参照
http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx
(※以下の状態はActiveDirectory・DNS・ファイル・プリントサーバーまで設定した場合)
セキュリティの構成ウィザードのインストール
「Windowsコンポーネントの追加」から別途個別にインストールします。
セキュリティの構成ウィザード
「管理ツール」から「セキュリティの構成ウィザード」を起動。
(1)構成の操作 "新しいセキュリティポリシーの作成"
(2)サーバーの選択 "INSPIRON6400I"
(3)セキュリティの構成データベースの処理
(4)役割に基づくサービスの構成
1.サーバーの役割の選択
2.クライアントの機能の選択
3.管理オプションとその他のオプションの選択
4.追加のサービスの選択
現状でインストールされている機能が初期表示される。使用する機能を"レ"で選ぶ。
5.指定されていないサービスの処理
"サービスのスタートアップモードを変更しない"を選択
6.サービスの変更の確認
それぞれの役割・機能を明示的に選択する。(個々の環境に依存します)
セキュリティにおけるシステムサービスに関する詳細はMicrosoftTechNetを参照
http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch07n.mspx
(5)ネットワークセキュリティ
1.開くポートの選択およびアプリケーションの承認
2.ポート構成の確認
それぞれのポートを詳細設定で細かく制限出来るが、Internet上に公開しているWebサーバーでもないし、あまり制限するのも何かな。と思う。
Microsoft推奨は、ヘルプにも書いてあったが、セキュリティオプションで"署名されておらず暗号化されていない受信トラフィックを受け入れる"にする。だって。この場合規定のIPSec応答規則が適用されるらしい。
(6)レジストリの設定
1.SMBのセキュリティ署名の必要性
(*) "選択したサーバーに接続するすべてのコンピュータが・・・"
(*) "ファイルトラフィックおよび印刷トラフィックの署名に・・・"
2.LDAP署名の必要性
( ) "Windows2000ServicePack3またはそれ以降"
3.送信の認証方法
(*) "ドメインアカウント"
( ) "リモートコンピュータ上のローカルアカウント"
( ) "Windows95 Windows98 または・・・"
4.ドメインアカウントを使用する送信の認証
(*) "WindowsNT4.0 ServicePack6a またはそれ以降の・・・"
( ) "選択したサーバーのクロックと同期している・・・"
5.レジストリ設定の概要
レジストリの設定は複数選択可能。選択内容によって次に開く設定の画面が変化して、詳細について設定するようになる。
セキュリティオプションに関する詳細はMicrosoftTechNetを参照
http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch05n.mspx
(7)監査ポリシー
1.システム監査ポリシー
( ) "監査しない"
(*) "成功のアクティビティを監査する"
( ) "成功と失敗のアクティビティを監査する"
2.監査ポリシーの概要
( ) "SCWAudit.infセキュリティテンプレートも含める。・・・" ここは"レ"を外す。
監査ポリシーは細かく設定出来ないので、ウィザード適用後に再設定する必要があるかも。
監査ポリシーに関する詳細はMicrosoftTechNetを参照
http://www.microsoft.com/japan/technet/security/guidance/serversecurity/tcg/tcgch03n.mspx
(8)セキュリティポリシーの保存
セキュリティポリシーファイルに名前(任意)を付けて保存します。
セキュリティポリシーの適用
「セキュリティの構成ウィザード」を起動。
保存したセキュリティポリシーファイルを呼び出して"既存のセキュリティポリシーを適用"する。
って結局それぞれを手操作でやったほうが、細かい設定が出来るってもの。私は出来上がったセキュリティ構成ファイル"xml"を眺めながら手操作で行うことにしました。
不要なサービスの停止
セキュリティ構成ファイルを参照しながら、必要のないサービスを変更していきます。
インデックスサービスを手動起動に切り替え。
うちのノートブック(Inspiron6400)では赤外線通信ドライバがないので、それに対応するサービスは停止しちゃいます。
(自動→手動) Indexing Service
(手動→無効) Network Provisioning Service
(手動→無効) Wireless Configuration
その他にもセキュリティ構成ファイルで変更を指定されたサービスがあります。でもまああまり厳格に設定しても。。。だし。(以下参考)
Windowsファイヤウォールの設定
「Windowsファイヤウォール」から例外を定義します。
セキュリティ構成ファイルを参照しながら、明示的に開くプログラム・サービスを追加していきます。すべてスコープはサブネットのみとします。
明示的に設定するポート番号
セキュリティ構成ファイルで指定されたポート。既存で設定されているものと重複するものは定義していません。ほとんどがActiveDirectory・DNSで使用するもの。
(*) 123 UDP (NTP)
(*) 135 TCP (RPC エンドポイント マッパー/DCOM)
(*) 137 TCP (NetBIOS ネーム サービス)
(*) 3268 TCP (グローバル カタログ)
(*) 3269 TCP (SSL 経由のグローバル カタログ)
(*) 389 TCP (LDAP)
(*) 389 UDP (LDAP探索)
(*) 464 TCP (Kerberos パスワード変更)
(*) 464 UDP (Kerberos パスワード変更)
(*) 53 TCP (DNS)
(*) 53 UDP (DNS)
(*) 636 TCP (SSL 経由の LDAP)
(*) 88 TCP (Kerberos)
(*) 88 UDP (Kerberos)
既存で定義されているもの
( ) UPnP フレームワーク [1900:UDP] [2869:TCP]
(*) ファイルとプリンタの共有 [137:UDP] [138:UDP] [139:TCP] [445:TCP]
( ) リモートデスクトップ [3389:TCP]
明示的に設定するプログラム・サービス
セキュリティ構成ファイルで指定されたものをすべて定義しました。その中で実際の使用でプログラム・サービスに関与するものから開いていくことにしています。
(*1)分散ファイルシステム(DFSレプリケーション)に関連するもの
(*2)MMC管理コンソール
( ) .NET Runtime Optimization Service v2.0.50727_X86 (mscorsvw.exe)
(*1) Active Directory レプリケーション (lsass.exe)
( ) DCOM (dllhost.exe)
(*1) DFS レプリケーション (Dfsr.exe)
(*2) Microsoft Management Console [mmc.exe]
( ) SCW エンジン (SCSHost.exe)
( ) SMS 管理コンソール (unsecapp.exe)
( ) User Profile Hive Cleanup (uphclean.exe)
( ) Windows CardSpace (infocard.exe)
( ) Windows Presentation Foundation Font Cash 3.0.0.0 (PresentationFontCache.exe)
(*1) ファイル レプリケーション (ntfrs.exe)
監査ポリシーを調整
イベントログセキュリティにはWindowsServer2003になってログが大量にあがるようになりました。確かにセキュリティを考慮した結果でしょうが、あっという間に・・MBのログになります。こんなに必要ないでしょう。
監査ポリシーに関する詳細はMicrosoftTechNetを参照
http://technet2.microsoft.com/WindowsServer/ja/library/6847e72b-9c47-42ab-b3e3-691addac9f331041.mspx
セキュリティのイベントログで不要に多いのが、ログオンイベントに関する 538(ログオフ完了)・540(ネットワークログオン)イベントの2種類。ということで
ログオンイベントに関しては"失敗"のみ
アカウントログオンに関しては"成功・失敗" を監査することにします。
じゃあログオン・ログオフはどうやってイベントに出力するか、というとスクリプトを組んでイベントを発生させればいいのですけど。どうしても採取したいのなら。(私にはそんな技量がありません)
ファイルサーバーの管理(FSRM・DFS)
せっかくサーバーの構成でインストールしたファイルサーバーなので設定をしてみます。
ファイルサーバーリソースマネージャ(FSRM)では共有フォルダの管理・ディスク・クォータ機能を、DFSの管理では分散ファイルシステムの設定をするってこと。だそうです。
ファイルサーバーリソースマネージャに関する詳細はMicrosoftTechNetを参照
http://technet2.microsoft.com/WindowsServer/ja/library/e3d396dd-c141-432b-9e69-50f597061e471041.mspx?mfr=true
DFSの管理に関する詳細はMicrosoftTechNetを参照
http://technet2.microsoft.com/WindowsServer/ja/library/e3d396dd-c141-432b-9e69-50f597061e471041.mspx?mfr=true
共有フォルダの作成
サーバーのディスク(作業用領域)にユーザー単位に作業用フォルダを作る。
フォルダの共有ウィザードから作成する場合、アクセス許可では"Administratorsがフルアクセス権を持ち、他のユーザーは読み取り専用・・・"にする。
各フォルダ単位にそのユーザーアカウントだけのアクセス許可(変更・読取)を設定。
全ユーザー共有フォルダは"DomainUsers"でアクセス許可(変更・読取)を設定。
ディスク・クォータを適用
「管理ツール」 - 「ファイルサーバーリソースマネージャ」から共有フォルダにディスク・クォータ機能を適用します。
(1)クォータテンプレートを追加作成
既存のテンプレートを参照して新たにクォータテンプレートを作ります。
(2)クォータの適用
サーバーの構成(アプリケーションサーバー)
イベントログを確認
ここまでのサーバー構成でイベントログにエラーが発生していることがあります。相変わらずのWindows系OSですね。潰していきます。
イベント 5782 (Netlogon)
(説明) 次のエラーのため1つ以上のDNSレコードの動的登録または・・・
(参照)
これ放置しています。
ちょっとサイトを覗いて調べましたが、うまい解決法が載っていませんでした。これってWindows2000Serverの時から出現してるエラーイベントです。DNSの動的更新やら静的更新やらでこんなんなってしまうんでしょうけど。。。
このあたりが原因かなとも思う。次回試しにやってみるか。
http://support.microsoft.com/kb/323380/
イベント 6702 (DNS)
(説明) DNSサーバーは自身のホスト(A)レコードを更新しました。DS統合ピア・・・
(参照) http://support.microsoft.com/kb/894292/ja
単一ラベルドメインでActive Directoryレプリケーションが働いて、他のドメインを探しにいくため発生するらしい。
つまりネットワークのプロパティで動的更新を指定して、かつ代替DNSにプロバイダのIPアドレスを定義しているから。か? ならばそのネットワーク側の動的更新を止めれば、上記イベント5782が発生する。っていうことなのね。
イベント 53258 (MSDTC)
(説明) MSDTCはDC昇格/降格イベントを正しく処理できませんでした。・・・
(参照) http://support.microsoft.com/kb/923977/ja
これもMicrosoftの安直な問題ですねぇ。あるレジストリキーに対してのアクセス権が設定されていないためってことらしい。
(手順)
「管理ツール」 - 「コンポーネントサービス」配下の"マイコンピュータ"のプロパティから
MSDTCタブのセキュリティの構成
"ネットワークDTCアクセス"に"レ"を入れる。
MSDTCサービスを停止・再起動させる。そしてまた設定を元に戻す("レ"を外す)。
イベント 12 (W32Time)
(説明) タイムプロバイダ NtpClient: このコンピュータはドメイン階層を使って・・・
(参照)
何のことはない時刻の同期を取れば消えます。
イベント 40960 (LsaSrv)
(説明) サーバー ldap/ccc.ddd.xyz の認証エラーを検出しました。認証プロトコル・・・
(参照) http://support.microsoft.com/kb/824217
ドメインコントローラに昇格したら発生するって?悪影響はありません。なんじゃそれ?
イベント 12317 (SRMSVC)
(説明) ファイルサーバーリソースマネージャは共有パスまたはDFSのパスを列挙・・・
(参照) http://support.microsoft.com/kb/924035/ja
このMicrosoftのサポート情報のとおり解決を行っても、未だ発生したままです。ファイルレプリケーション(DFS)を設定すれば発生しなくなるのか?(現状はDFS名前空間は未設定)
アプリケーションのインストール
最低限必要なアプリケーションのインストール設定を行います。(あくまで個人的に)
lzh圧縮ファイルの表示・展開 (Microsoft)
LZHFLDR.MSI
http://www.microsoft.com/genuine/offers/
TweakUi (Microsoft.us)
TweakUiPowertoySetup.exe
英語版のみ。日本語化は有志のサイトから。
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
http://stereo.jpn.org/muttyan/ptoyxp.htm
Microsoft Baseline Security Analyzer(MBSA) (Microsoft)
MBSASetup-JA.msi
http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx
WindowsDefender (Microsoft)
windowsdefender.msi
http://www.microsoft.com/japan/athome/security/spyware/software/default.mspx
UPHClean (Microsoft)
UPHClean-Setup.msi
Windows終了時のプロファイルのアンロードの整合性をとる。っていうもの。
WindowsPowerShell (Microsoft)
WindowsServer2003-KB926140-v2-x86-JPN.exe
WindowsServer2003用WindowsPowerShell1.0インストールパッケージ
https://www.microsoft.com/japan/technet/scriptcenter/hubs/msh.mspx
GMPC SP1 (Microsoft)
gpmc.msi
グループポリシー管理コンソール(GPMC)
http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
WindowsServer2003 ResourceKitTools (Microsoft.us)
rktools.exe
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en&displaylang=en
Windows Server 2003 Resource Kit Tool Updates (Microsoft.us)
http://www.microsoft.com/windowsserver2003/techinfo/reskit/tools/default.mspx
Java Runtime Environment
http://www.java.com/ja/
Adobe Flash Player
http://www.adobe.com/go/getflashplayer_jp?Lang=Japanese
Shockwave Player
http://www.adobe.com/go/getshockwaveplayer_jp
Adobe Reader
http://www.adobe.com/jp/products/acrobat/readstep2.html
圧縮・解凍ツール LHMelting
LMEL161B.EXE
各種圧縮解凍用DLL
最近は簡単に圧縮・解凍出来るツールがあるんだけど。。。昔からこれ。
http://www2.nsknet.or.jp/~micco/micindex.html
http://www.madobe.net/archiver/
秀丸エディタ
hm706_signed.exe / hmpv250f_signed.exe
こりゃ必須でしょ。動作環境設定とファイルタイプ別の設定が面倒だけど、ファイルタイプ別の設定は既存の端末での設定を保存して読み込み直せばいい。アイコンモジュールも入れておく。
http://hide.maruo.co.jp/
FTP転送ツール WS_FTP LE
ws_ftple.exe
これも"FFFTP"なんて日本語ばっちりのがあるけど、昔からこれ。
不要ファイル・レジストリクリーナー CCleaner
ccsetup203.exe
レジストリクリーンなら他にも"RegCleaner"・"NTREGOPT"なんてのもお勧めだけど、不要ファイルの削除も付属してるのが吉。レジストリクリーンに特化するなら前記のものが深い。
http://www.ccleaner.com/
テキスト表示エクステンション QText
qtxt268.exe
エクスプローラで右クリックする拡張メニューに「テキスト表示」が追加される。ってもちょっと特殊でバイナリ表示もされる。あくまで表示のみ。
もうサポートしなくなったみたいで、作者のサイトにも見つからない。結構便利に使っているんだけどね。需要がないのかなぁ。
http://www.htosh.com/
スパイウェアブロックツール SpywareBlaster
spywareblastersetup351.exe
英語版。ヘルプだけ日本語化可能。
http://www.javacoolsoftware.com/spywareblaster.html
http://bdc.s15.xrea.com/component/
各種カスタマイズ設定
ここからは自分好みで使い勝手の良い環境を作る作業です。ヒントになればいいですけど。
カスタム使用のエクスプローラ作成
起動時デフォルトで開くフォルダを指定します。
エクスプローラのショートカットのリンク先で "・・・.exe /n,/e,D:\"を追加する。
レジストリエディタ
ショートカットを作成。「システムツール」メニューに入れときます。
レジストリエディタって2度目から前回のエントリのまま開くでしょ。これデフォルト(閉じた状態)から起動させます。
レジストリエディタで
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]と辿ります。
そこにある[LastKey]の値をクリアしておきます。
次に「編集」-「アクセス許可」を選ぶと、よく見るセキュリティ設定の表示が出ます。詳細設定をクリック。そこで自分がログオンしている(orする)ユーザーを選択して編集します。
アクセス許可の欄で上から3番目「値の設定」を拒否。ここだけ"拒否"です。
各種カスタマイズ設定(レジストリ関連)
レジストリを変更して最適化を試みます。
I/Oバッファ値・データ転送速度の設定
I/Oバッファ値、つまり外部記憶装置との間でのデータ転送用のメモリ容量を設定します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
その配下の"IoPageLockLimit"の値を10進で"2097152(2MB)"〜"4194304(4MB)"程度に
仮想メモリをシャットダウン時に削除
1GB以上のメモリを実装したら仮想メモリなんて必要ないと思うのですが、クラッシュダンプ等を採取出来なくなるのでページングファイルを使ってる場合もあると思います。その場合に仮想メモリをシャットダウン時に削除して綺麗にする方法です。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
その配下の"ClearPageFileAtShutdown"の値を"1"
カーネルの常駐化
カーネルメモリを仮想メモリから物理メモリへ常駐化させる。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
その配下の"DisablePagingExecutive"の値を"1"
ログオン時にNumLockをON
[HKEY_USERS\.DEFAULT\Control Panel\Keyboard]の"InitialKeyBoardIndicators"値を"2"
同時接続のHTTP1.0コネクト数を増やす
InternetExplorerで同時接続出来るコネクト数を2から増やします。まあ"4"程度にしておきますか。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
その配下に"MaxConnectionsPerServer"のDWORD値を作成して、値を"4"に
通知領域から過去のアイコンを削除
タスクバーの右にメモリ常駐のアイコンが表示されますが、一度でも表示されたものは履歴として残っているんです。スタートメニューのプロパティでタスクバーのタブの一番下「アクティブでないインジケータを隠す」のカスタマイズにあるでしょ。いらないものが。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
の"IconStreams"と"PastIconStream"の値を削除。そして再起動です。
