ささの備忘録

ITインフラSEの備忘録です。ITインフラを中心にしつつ、猫、DIY、バイク、バレーの話をします

サーバー

Windows Server 2016で証明機関を構築

こんにちは

最近、リモートから社内へ接続するときに、ユーザー認証だけではなく、端末認証もかけたいと、声をもらう事があります

今回は、端末認証を行う際、証明書を発行する為、Windows Server 2016で「プライベート認証局」を作ってみたいと思います

「プライベート認証局」とは、ブラウザなどにあらかじめルート証明書が組み込まれている「パブリック認証局」とは違い、社内だけなど限られた範囲で使用される、認証局です


・Windows Server 2016で認証局を構築する

1.証明機関の役割をインストール
今回は、仮想環境で作成したWindows Server 2016ドメイン環境に、証明機関をインストールします
テスト環境ですので、DCと共存させます
証明機関の構成については、MSの推奨を見ると、階層構造のようですが、今回は、単純にリモート接続時の認証用に使用するだけですので、1階層で構築します
ad1

まず、「役割と機能の追加」から「Active Directory証明書サービス」にチェックを入れます
さらに、「役割サービス」で「証明機関」「証明機関Web登録」にチェックを入れ、
インストールします

2.証明機関の構成
役割のインストールが終わったら、構成を行います
資格情報はドメイン管理者で、そのまま次へ
ad2


構成する役割サービスを選択します。「証明機関」「証明機関Web登録」をチェックし次へ
ad3


CAは「エンタープライズCA」を選択します
ad4


1階層ですので、「ルートCA」を選択し次へ
ad5


ルート証明書用の「新しい秘密キーを作成する」を選択し次へ
ad6


暗号化オプションはそのままで、次へ
ad6

CAの名前はそのままで、次へ
ad8


有効機関はデフォルト5年ですので、ここはそのままでも、変えても良いです。次へ
ad9

データベースの場所はそのまま、次へ
ad10

構成をクリックします
ad11

以上で構成が完了です
ad12

次回は、サーバー証明書の発行をしてみたいと思います

Windows Server 2016の『Windows Update』

先日、Windows Server 2016をさわっていて、気になる事がありました

それは、Windows Server 2016の『Windows Update』です

気になる点が2点あります

気になる点
・『Windows Update』を止められるか?
・詳細オプションにある『機能更新を延期する』を有効にした時どうなる?

です

それぞれ調べてみまみました

1.『Windows Update』を止められるか?

⇒止められるようです。
詳しくは、以下、「Technet」に記載がありました
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

具体的には、グループポリシーで止めます。

手順1.「ファイル名を指定して実行」を選択して、「gpedit.msc」と入力
update11

手順2.[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Update]-[自動更新を構成するを ”無効”
update12

update13

update13


2.詳細オプション『機能更新を延期する』を有効にした時どうなるか?

⇒Windows Server 2016では機能更新が提供されないので、オプションは機能しない

こちらに「Technetフォーラム」に記載がありました
https://social.technet.microsoft.com/Forums/ja-JP/58d00955-886d-4507-8661-692e4bd559ed/windows?forum=winserver10TP

Windows10では、普通に提供されている「機能更新」ですが、ServerOSでは提供されてないですね

なるほど、言われて、あらためて気づきました。
勉強になります


『Windows Server バックアップ』(標準バックアップ)の使い方②

前回、「Windows Serverバックアップ」で、バックアップをとりました

今回は、データリストアは特に難しくもないので、ベアメタルでのリストアしてみたいと思います

1.「Windows Server バックアップ」でリストアする

ベアメタルでのリストアを行う為には、「Windows Server 2016」のメディアが必要です。「Windows Server バックアップ」を使うのであれば、なくさないように保管しておきましょう

サーバーを再起動して、「Windows Server 2016」メディアから起動します
OSインストール画面になりますので、そのまま「次へ」で進めます
backup31


「今すぐインストール」の画面になったら、左下の「コンピューターを修復する」をクリックします
backup32

オプション選択画面になるので、「トラブルシューティング」をクリックします
backup33

詳細オプション画面になったら、「イメージでシステムを回復」をクリックします
backup34

イメージでシステムを回復の画面になったら、「Windows Server 2016」をクリックします
backup35

リストアするイメージを選択します
最新のものを使用でも良いのですが、今回は「システムイメージを選択」をクリックします
backup37

バックアップ場所を選択します、バックアップ先を選択して、「次へ」をクリックします
backup38

バックアップイメージが表示されますので、リストアしたいメージを選択して、「次へ」をクリックします
backup39

復元方法の選択画面です。
今回、仮想サーバーでテストをしてしまったので、ディスクのパーティション等はそのままで、リストアをおこないました。ですので、「ディスクを~再分割する」のチェックは入れませんでした。
但し、ディスク交換等行った場合は、チェックをいれてください
また、リストアしたいので、Cドライブのみで、「データ領域のDドライブはそのまま」といった場合は、「ディスクの除外」を実施してください

backup40

リストアの確認画面が開きますので、「完了」をクリックすると、リストアが開始されます
backup41

リストアにより、データ置換が発生する警告が表示されますので、「はい」をクリックします
backup42

リストアが開始されます
backup43

リストアが完了すると、自動で再起動し、OSが起動します
backup44


以上で、リストアが完了しました

『Windows Server バックアップ』(標準バックアップ)の使い方①

今まで、ネットワークの仕事が多かったのですが、ここのところ、サーバーを触る機会が多く、
先日も、Windows Server 2016を設定していたところ、バックアップの設定を行う事になりました・・

「バックアップソフト」といえば、ArcserveかBackupExecかと思っていたら、「Windows Serverバックアップ」を使用する事になり、いわゆる「標準バックアップ」です

標準バックアップで大丈夫なのか?と思いつつ、試していたところ
これがなかなか、「普通に使える」と思いました
ですので、設定した内容を書いてみたいと思います

1.「Windows Server バックアップ」をインストールする

デフォルトでは、Windows Server 2106には、「Windows Server バックアップ」はインストールされていません。ですので、まずは、「Windows Server バックアップ」をインストールします

「サーバーマネージャ」ー「役割と機能の追加」をクリックすると、ウィザードが起動します
backup1

次へで進んでいき、機能の追加で「Windows Server バックアップ」にチェックを入れます
backup2

インストールが完了しました
backup3


2.単発バックアップを行う

ひとまず、1回だけフルバックアップをとってみようと思います

「サーバーマネージャ」ー「Windows Server バックアップ」をクリックします
backup5

Windows Server バックアップ管理画面が開いたら、「ローカルバックアップ」を右クリック-「単発バックアップ」をクリックします
backup6

バックアップオプションで、スケジュールバックアップは作成していないので、「別のオプション」を選択して、次へをクリック
backup7

バックアップ元の選択が表示されますので、今回は「サーバー全体」を選択して、次へをクリック
backup8

次にバックアップ先種類の選択ですが、ローカルドライブはつまらないので、「リモート共有フォルダー」を選択して、次へをクリック
backup9

事前にLANの別サーバー(192.168.1.2)に、バックアップフォルダーを作っておいたので、場所を指定します。
アクセス出来るのは、バックアップ先サーバーの管理者のみにしていたので、「アクセス制御」を「継承しない」にして、個別にユーザー認証のポップアップが出るようにします。次へ
backup11

バックアップ先の共有フォルダーへアクセスする為の、「資格情報」入れるポップアップ表示
アカウント・パスワードを入力し、OKします
※administratorを使用するのであれば、パスワードはバックアップ元と先を同じにしておく、必要があります
backup12

認証が問題なければ、「確認」画面が表示されますので、「バックアップ」をクリック
backup13

状態が完了しました。と表示されれば、バックアップは完了です
backup14


3.スケジュールバックアップを行う

先程、「単発バックアップ」では、「リモート共有フォルダ」に実施しました。

しかし、「リモート共有フォルダ」へのバックアップには制限があります
世代を残す事ができません⇒バックアップ実施つど、「リモート共有フォルダ」が初期化される為です

この制限は、ちょっといただけないです。リモートにバックアップするケースは結構多いですし、保存先としては、違う筐体や場所の方が、安全ですし

ですので、今回はローカルドライブへバックアップ(複数世代可)してみたいと思います


バックアップ管理画面から、「バックアップスケジュール」をクリックします
backup15

次へで進めると、バックアップ時間の指定が出来ますので、今回は「1日1回15:00」としました
※ここで、曜日等指定ができれば、良いですね。曜日毎ジョブを分ければ、共有フォルダへのバックアップでも、世代管理が出来ます。残念
backup16

次に、バックアップ先ですが、試しに「共有フォルダ」を選ぶと、以下注意が表示されます
backup17

なので、今回は「ローカルドライブ」を選択します
すると、「保存先ディスク」を選択する画面が表示されます
backup18

「保存先ディスク(バックアップ先ディスク)」を選択します
backup19

ここで、おっと、ちゃんと教えてくれました
「バックアップ先が、バックアップ元に含まれている」という事を警告してくれてます
さらに、バックアップ元から削除してくれます。OKをクリックします
backup20

これも、「Windows Server バックアップ」の特徴ですが、バックアップ専用ディスクとして使用をする事ができます。専用にすると、ドライブがエクスプローラーから見えなくなります
今回は、専用ディスクとするため、「はい」をクリック
backup21

バックアップの「確認」が表示されますので、「完了」を押しと、ディスクがフォーマットされ、バックアップがスケジュールされます
backup22


backup23


長くなりましたので、「リストア」は次回実施してみたいと思います

スポンサードリンク
プロフィール

ささ

名前:ささ
千葉在住、転職の末、現在は事務機器系ITインフラを提供する会社にお世話になる、A型の強いAB型
最近、さくらももこさんがお亡くなりになった事が何よりショックでした。猫に相手にされるよう気を使い、嫁と娘たちにも気を使うこの頃。