SE の雑記

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 3

サーバーを立ち上げるにあたって、Windows のセキュリティ設定はどこまですればよいのかを考えてみました。

ちょうど @IT でセキュリティについての記事がありました。
Windows Web Server 2008 のセキュリティ対策と今回の環境にうってつけの記事です♪
Windows Web Server 2008のセキュリティ対策 － ＠IT

[ファイアウォールを利用する]

まずは Windows ファイアウォールについて書かれていますね。
既定で有効になっていますので手動で無効にしない限りは問題なさそうです。
例外については不要なものが例外設定されていないか確認する必要がありそうですね。

細かい設定に関しては [セキュリティが強化された Windows ファイアウォール] で設定と。

[管理用ポートを許可する]

リモートデスクトップ用の管理ポートについて書かれていました。
接続元が特定できるのであればスコープの設定が有効そうですね。
管理用端末が準備できるのであればそこからのみ接続を許可したほうがよさそうです。
# 公開サーバーとは別に踏み台サーバーを作ってそこからというのが良いのでしょうか。

[Web コンテンツの管理]

ファイル共有は危険と。コンテンツディレクトリを共有にするのはリスクが高そうです。
なるべくポートを開けずとあるので FTP も控えたほうがよいのでしょうかね。
管理共有は以下の KB の逆をすれば停止することができますが、一部のミドルで管理共有を使っていることが
ありますので停止する場合はサーバーで異常がないことを確認しながら設定する必要があるかと。
Windows Server 2008 で共有管理者を削除する方法
# レジストリ設定後に再起動すると管理共有が停止されます。
　 KB にも記述されていますが IPC$ だけは削除することができません。
??? 複数の環境で試してみたところ CD/DVD ドライブの管理共有が削除されないものがありました。

[不要なコンポーネントの無効化]

IIS 7.0 は役割サービスを細かくインストールできますので、意図的に入れない限りは静的コンテンツのコンポーネントのみ
導入された状態になっていると思います。
[使う機能がわからないからすべてインストール!] ということをしなければ不要なコンポーネントは入らなさそうですね。

[定期的なセキュリティパッチの適用]

Windows Update で定期的なパッチ適用を心掛ける必要があります。
夜間にリブートがかかるようなタイミングでの適用がよさそうですね。

ひとまず @IT の記事で何をすればよいかを考えてみました。

次は MBSA を使ったセキュリティチェックをまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 2

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 2

デフォルトではすべてに NIC でポート 3389 を使用してリモートデスクトップをリッスンしています。

その 2 でも書きましたがデフォルトの 3389 ポートは予約済みポートとなっていますので既知のポート番号です。
このままですと、リモートデスクトップを有効にしていると nslookup で DNS 名を確認して、リモートデスクトップで
接続しようとすると単純につなげてしまいますよね。

ポート番号を 3389 から変更すると接続時にリモートデスクトップでポート番号を明示的に指定する必要があります。
この方がセキュアな感じがしますね。

また複数の NIC をサーバーに接続している場合は特定の NIC でのみリモートデスクトップの接続を許可することができます。
うまくセグメントまで分けられればいいのですが、家庭用のルーターでそこまでできるかの検証がとれませんでした。
ひとまず Web サーバーに 172.0.0.12 という IP を持つ NIC を追加したと想定してみます。

??

172.0.0.10 で Web サーバー、172.0.0.12 でリモートデスクトップを提供する構成にしたいと思います。
ポートは Web サーバーが 80 、リモートデスクトップを 56000 として設定してみます。

[ポート番号の変更方法]

ポート番号を 3389 から変更するにはレジストリを変更します。

Microsoft の KB でも情報が掲載されていますね。
リモート デスクトップのリスニング ポートを変更する方法
# Mac 用のリモートデスクトップは 3389 以外はサポートしていないんですね。

1. ファイル名を指定して実行で [regedit.exe] を実行
2. [HKEY_LOCAL_MACHINESSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp] の
   [PortNumber] を開きます。
   
3. ポート番号を変更します。
   # 10 進数で入力したほうがわかりやすいかと。
   
4. この状態ではぱだポート番号は変更されていません。
   # 以前のバージョンの Windows だとすぐに変わった気がするのですが。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 0.0.0.0:3389?????????? 0.0.0.0:0????????????? LISTENING ? TCP??? [::]:3389??????????????? [::]:0?????????????????? LISTENING ? ～ 省略 ～

5. [サーバーマネージャ] から [Terminal Service] のサービスを再起動します。
   ?
6. ポートが変わっていることが確認できます。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 0.0.0.0:56000?????????? 0.0.0.0:0????????????? LISTENING ? TCP??? [::]:56000??????????????? [::]:0?????????????????? LISTENING ? ～ 省略 ～

7. この状態ではファイアウォールのポートの例外が設定されていません。
   # リモートデスクトップ設定時に設定される例外はポート 3389 ですので、設定したポートに対しては手動で設定します。
   [管理ツール] の [セキュリティが強化された Windows ファイアウォール] を起動します。
   
8. デフォルトで作成されている受信の規則の [リモートデスクトップ (TCP 受信)] の内容を確認してみたいと思います。
   ?
   ポートが [3389] になっていて変更できません。
   リモートデスクトップのポートを変更した場合は、新規に受信規則を作成する必要がありますね。
   
9. [操作] から　[新規の規則] をクリックします。
   
10. [ポート] を選択し、[次へ] をクリックします。
11. [TCP] の [56000] を設定し、 [次へ] をクリックします。
    
12. [接続を許可する] を選択し、[次へ] をクリックします。
    
13. 全プロファイルで接続を許可しようと思いますのですべてを選択した状態 (デフォルトの状態) で [次へ] をクリックします。
    
14. [名前] を入力して、[完了] をクリックします。
15. 新しい規則が作成されます。
    

リモートデスクトップ接続する際にポート番号を指定しないと、3389 で接続しに行きますので接続時にはポート番号を
指定する必要があります。

コンピュータ名に [コンピュータ名 (または IP アドレス):ポート番号] の形式で入力します。

これでポート番号を指定しないと接続ができないように設定ができました。
ポートスキャンをされるとリモートデスクトップのポートがわかってしまいそうな気がしますが単純には接続ができなくなります。

[使用する NIC の変更]

デフォルトでは [0.0.0.0] でリモートデスクトップの応答を待っていますので、複数の NIC を使用している場合は全 NIC で
リモートデスクトップの接続を許可していることになります。

企業で 裏 LAN / 運用 LAN / 管理 LAN と呼ばれる管理用の LAN を構築している場合は特定の NIC だけリモートデスクトップを
許可したいということがありますよね。

ポートの変更同様 Microsoft の KB に情報があります。
影響を受けてある製品のいずれかを実行しているコンピュータのリモート デスクトップ セッションは確立できません

レジストリを変更する手順になっているのですが [ターミナル サービス構成] から変更することができます。

1. [管理ツール] → [ターミナルサービス] → [ターミナル サービス構成] を開きます。
   
2. [RDP-Tcp] のプロパティを開きます。
   
3. [ネットワーク アダプタ] タブを選択し、[ネットワーク アダプタ] から使用する NIC を選択します。
   # 下の画像は Hyper-V のゲスト OS を使用し、エミュレーション NIC と Loopback Adapter で複数 NIC の環境にしています。
   今回は [Microsoft Loopback Adapter] でリモートデスクトップを使用したいと思います。(172.0.0.12 の IP です)
   
4. 設定が終了したら、サーバーを再起動します。
   サービスの再起動だけではだめでした。
5. [netstat ?an] でポートの状態を確認してみます。
   特定の IP アドレスにポートが割り当てられているのが確認できます。
   

   C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 172.0.0.12:56000?????????? 0.0.0.0:0????????????? LISTENING ? ～ 省略 ～

他の環境で試してみたのですが、ネットワークアダプタを固定すると netstat にポートが上がって来ませんでした…。
[このプロトコルで構成されたすべてのネットワーク アダプタ] にするとポートもきちんと立ち上がるのですが。
ネットワークアダプタを固定すると駄目でした…。
ネットワークアダプタの固定についてはもう少し調査する必要がありそうです。

[ターミナル サービス構成] では他にも同時接続ユーザー数や、1 ユーザーのセッション数制限もすることができますので、
環境に応じていろいろと試してみる必要がありますね。
# 接続に証明書が使えるようですのでここは少し勉強したいです。

運用のためのリモートデスクトップについてはここまでで。

次は Windows のセキュリティ設定について考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]Windows のセキュリティについて考える その 1

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 1

もう少しリモートデスクトップについて考えてみたいと思います。
ちなみにリモートデスクトップについていろいろと考えていますが、使いましょうと奨めているわけではありませんので。。。

自宅にサーバーを設置すると下図のような環境になると思います。
四角で囲んであるものを一つの機械として書いてみました。
# 赤線が外部 / 青線が内部の接続になります。
??? 書いてある IP アドレスは適当ですので私の実際の環境とは一致していません。
??? WAN 側 IP は実在するものを書くと使用されている方にご迷惑かと思い形式上あり得ない [999.0.0.1] としています。

[一般的な家庭のネットワーク]

それぞれにファイアウォール (F/W) 機能が付いていると思います。
ブロードバンドルーターはそれほど買い換えたことがないので一般的な構成がわからないのですが大抵の製品には DHCP が
ついているんでしょうね。
少し調べてみたらダイナミック DNS 機能を持つルーターもあるみたいですね。
# ネットワーク系は苦手なのでどうにもここら辺の知識が薄いです…。
??? 図の内容も含めて本投稿に誤りがありましたらご指摘いただけるととても助かります。

リモートデスクトップで接続をする場合にはそれぞれのファイアウォールで例外をどのようにするか考える必要があります。

今回はクライアント PC の F/W では発信制限はしていないものとして考えてみようと思います。
そのためクライアント PC については特に考慮していません。

[Web サーバーについて考える]

Web サーバーでリモートデスクトップを有効にすると以下のダイアログが表示されて Web サーバー側の F/W が解放されます。

Windows ファイアウォールを実施に確認してみると例外設定で [リモートデスクトップ] が許可されているのが確認できます。

クライアント PC からリモートデスクトップで接続が可能になります。

コマンドプロンプトで [netstat ?an] を実行すると以下のような出力結果が得られます。

リモートデスクトップの既定のポートは [3389] になります。
IP v4 と IP v6 の両方でリッスン状態になっているのが確認できますね。

[C:WINDOWSSystem32driversetcservices] にも記載されているように 3389 のポートは予約済みポートとして定義されています。
?
一般的に公開されているポートでリモートデスクトップを実行するのは不安ですよね…。

また 0.0.0.0 でリッスンしているということは有効な全 IP アドレスで応答待ちしていることになります。
割り当てている IP が一つでしたらよいと思いますがネットワークカードを複数使っている場合は全 NIC でリモートデスクトップの
応答を受けるのも不安が残ります。

これは後で変更する必要がありそうですね～。変更方法は別途まとめたいと思います。

[ルーター側について考える]

ルーター側はプロバイダから割り当てられる可変 IP / 固定 IP 化やダイナミック DNS や独自 DNS の取得といったことも考える
必要があると思いますがそれは Web サーバーの公開方法で考えたいと思います。
# IIS 7.0 虎の巻でも書かれている内容ですね。

ひとまず、リモートデスクトップに絞って考えてみようかと。

ルーターにも F/W 機能がありますのでこの設定を変更する必要があります。
私が自宅で使っているルーターの機種は伏せておきたいので画像を付けた具体的な手順の提示は控えさせていただきますが、
以下のような設定が必要かと思います。

1. ファイアウォールの設定
   ルーターの初期状態では外部からのアクセスが制限されていると思います。
   サーバー側の設定では青線の部分を制御していますので、ルーター側で赤線の部分のアクセスを許可する必要があります。
   全アクセスを許可するのは大変危険ですのでやめたほうが良いです。
   ポート番号指定でアクセス許可の設定ができると思いますのでリモートデスクトップのポートのみを許可するのが良いかと。

   ルーターによっては送信元や宛先も絞れると思いますので、送信元が固定的なのであればこれも絞り込んだほうが
   セキュアになってよいと思います。
   # いろいろなところから可変 IP で接続すると思いますので送信元を絞り込めないのが現実だと思いますが。

   今回の図の場合では、[172.0.0.10] の ポート [3389] に対してのアクセスを許可する設定が必要ですね。
   ルーターによっては IP マスカレードを設定すると自動的にアクセスを許可するものもあるようですので、
   [2.] の設定だけでよいかもしれないですね。
   こちらについては使用しているルーターの機能を確認するひつようがあります。

2. NAT の設定 (ルーターによっては IP マスカレードで設定できるかも)
   上の図では WAN 側の IP アドレスは一つですが、その先には複数のコンピュータが接続されています。
   インターネットから [999.0.0.1] の IP アドレスでルーターにアクセスがあった場合、それをどのコンピュータに
   振ればよいのか判断することができません。

   リモートデスクトップで 999.0.0.1 に接続しようとした場合は、172.0.0.10 に接続されるようにしたいですよね。

   このような場合に使用するのがネットワークアドレス変換 (Network Address Translation : NAT) になります。

   NAT を使用すると 999.0.0.1 にアクセスがあった場合　172.0.0.10 に要求を渡すという制御ができるようになります。
   ポート単位に要求を渡す先を変更するものを IP マスカレードといいます。
   # NAT は要求があったポートと同一のポートを渡します。

   これにより

   – 999.0.0.1 の ポート 80 に対してのアクセスは 172.0.0.1 のポート 80
   – 999.0.0.1 の ポート 81 に対してのアクセスは 172.0.0.2 のポート 80

   といった制御ができるようになります。
   # NAT の場合は 999.0.0.1 に対してのアクセスは 172.0.0.1 という設定になります。

   量販店で購入できるルーターは IP マスカレードの設定ができるものが大半みたいですね。
   # IP マスカレードができることを NAT と書いているのものもあるようですね。

これらの設定をするとルーター側のリモートデスクトップを使用可能にする設定ができます。
IP マスカレードを使用してインターネット側のリモートデスクトップのポートを隠ぺいするのもよいかもしれないですね。

[設定例]

– 999.0.0.1:3389 → 172.0.0.1:56000
# インターネット側の 3389 のポートアクセスをリモートデスクトップとは違うポートにリダイレクト
– 999.00.0.1:56000 → 172.0.0.1:3389
# インターネット側の 56000 のポートアクセスを 3389 にリダイレクト

リモートデスクトップのポートはデフォルトの 3389 から変更することができます。
NIC を複数接続している場合は特定の NIC で応答を待つこともできます。

次はこの 2 点の設定をまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 3

<[Web サーバー立ち上げ体験日記]ライセンス認証

立ち上げたサーバーのリモート管理として [リモートデスクトップ] は欲しいところです。

リモートデスクトップを使用するためには [コンピュータ] の [プロパティ] の [リモートの設定] から設定します。

?

デフォルトでは [このコンピュータへの接続を許可しない] になっています。

これを
– [リモートデスクトップを実行しているコンピュータからの接続を許可する]
– [ネットワーク レベル認証でリモート デスクトップを実行しているコンピュータからのみ接続を許可する]
のどちらかに変更するとリモートデスクトップで接続ができるようになります。

[ネットワーク レベル認証でリモート デスクトップを実行しているコンピュータからのみ接続を許可する] のほうがセキュリティレベルが高くなりますので推奨はこちらです。

ただし、Remote Desktop Connection (RDC) 6.0 以降で接続する必要があります。
Windows Vista の場合はデフォルトが RDC 6.0 になっていますが Windows XP を使用している場合は SP3 を適用する必要があります。
SP3 を適用する状態では ネットワーク レベル 認証 (NLA) が有効になっていませんので、手動で設定しないといけません。

Microsoft の以下の KB で細かい内容については解説されていますので詳細を知りたい方はこちらをご参照ください。
ターミナル サービスのリモート デスクトップ接続 6.1 クライアントの説明の更新します。
Windows XP Service Pack 3 で資格情報のセキュリティ サービス プロバイダ (CredSSP) の説明

リモートデスクトップ (mstsc.exe) を起動して左上のアイコンを右クリックして [バージョン情報] を開くと NLA に対応しているか確認することができます。
?

以下は、Windows Vista SP なしのリモートデスクトップのバージョン情報になります。
[ネットワーク レベル認証はサポートされています。] と表示されているのが確認できますね。

?
こちらは Windows XP SP3 のリモートデスクトップのバージョンになります。
リモート デスクトップ プロトコルは 6.1 になっていますが、[ネットワーク レベル認証はサポートされていません。] となっていますね。

この状態でサーバー側を NLA を使用できるクライアントのみ接続できる設定にしていると XP では以下のエラーが発生します。

XP からリモートで管理したい場合はこの状態では困りますよね…。

SP3 をインストールしていれば機能としてサポートしていますのでセキュリティレベルを低くする必要はありません。
XP 側の設定を変更することによって NLA を使用して接続できません。
# SP3 より前を使用している場合はセキュリティレベルを低くするしかありません。

[設定方法]

1. ファイル名を指定して実行で [regedit.exe] を実行します。
2. [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] の [Security Packages] を開きます。
   
3. 最後の行に [tspkg] を追加し [OK] をクリックします。
   
4. [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders] の [SecurityProviders] を開きます。
   
5. 最後に [credssp.dll] を追加し [OK] をクリックします。
   # ,(カンマ) 区切りになっていますので、[, credssp.dll] と入力しています。
   
6. 変更が終わったら再起動してリモートデスクトップのバージョン情報を確認します。
   [ネットワーク レベル認証はサポートされています。] となっているのでこれで NLA で接続ができるようになります。
   Vista はこれらのレジストリ値が最初から設定されているのでデフォルトで NLA に対応しています。
   # 再起動しなくても変更されるようですが念のため
   

NLA で接続をするようになるとリモートデスクトップの接続時にサーバーのコンソール上ではなくその前に認証がされるようになります。

[NLA をサポートしていない場合]

[NLA をサポートしている場合]

まずはどのモードでリモートデスクトップを使用するかを考えてみました。
検討 / 検証しながら書いていたので読みづらい投稿になってしまいましたね～。

リモートデスクトップについてはもう少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 2

<[Web サーバー立ち上げ体験日記]デバイスドライバのインストール

特に特殊な操作はないのですが念のため。

インストール時にオンライン時に自動的に認証を有効にしておくと、気づいた時にはライセンス認証されていると思います。

手動でライセンス認証をする場合は以下の手順を実行します。

1. [コンピュータ] の [プロパティ] をクリックします。
   
2. [自動ライセンス認証が始まるまで～] のリンクをクリックします。
   
3. ライセンス認証が実行されます。
   

インターネットに接続されている環境であれば手動で実行する必要はないかと思いますが。

次はリモートデスクトップの設定について少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 1

<[Web サーバー立ち上げ体験日記]インストール後の初期構成タスク

OS の初期構成も終わりましたので次はデバイスドライバのインストールです。
# 初期構成の前にやったほうが良かったですね。

今回は、OS のメディアからインストールをしていますのでいくつかデバイスドライバがインストールせれていません。
サーバーマネージャの
[診断] → [デバイス マネージャ]
を確認すると二つほど [ほかのデバイス] として認識されているものがあります。

これらのデバイスはデバイスドライバがインストールされていませんのでデバイスドライバを入手する必要があります。

それぞれのデバイスがどのようなものかは各デバイスのプロパティを開き、[詳細] の [ハードウェア ID] を確認します。
# [SM バス コントローラ] となっているデバイスのプロパティです。
?
[PCIVEN_8086] は Intel の PCI ベンダー ID になりますのでサーバーベンダーのホームページからこのドライバがないかを探します。
# ハードウェア ID の内容を検索サイトで調べるとどのドライバを指しているのかは手間がかからないと思います。

今回モニターしているのは ML110 G5 になりますので、以下のサイトからドライバを探します。
HP ProLiant ML110 G5 – ドライバ＆ダウンロード
OS は x64 を使用していますので、[Microsoft Windows Server 2008 x64] を使用します。

チップセットのドライバがありましたので、ダウンロードしてサーバーにインストールしてみたいと思います。

[Intel(R)] ICH9 Family SMBus Contoller ? 2930 がインストールされていますので、[SM バス コントローラ] ドライバが
インストールされていそうですね。

?
他のデバイスから [SM バス コントローラ] が消えていますのでドライバがインストールできたようです。

続いて [不明なデバイス] についてもデバイスドライバをインストールします。
こちらはハードウェア ID が [ACPIHPI0002] になっていますね。

今度は HP のホームページ上で探してみたいと思います。
検索機能がありましたので [ACPIHP0002] で検索したら ML110 用が 2 件ヒットしました。
今回の検索結果では x86 / x64 の 2 種類が検索結果としてヒットしていました。
# 今回は 2 件目の結果が x64 用でした。

?

このドライバがインストールされていないようですね。ダウンロードしてインストールしてみたいと思います。

これでデバイスはすべてインストールできました。

BIOS も新しいものが出ているようですので一緒に適用しておきたいと思います。
BIOS をバージョンアップする際は適用中に電源が切れないようにご注意ください。
# MSINFO32.exe で取得した BIOS バージョンは 2009/02/24 ですが 2009/3/12 ですので。

すでに OS インストール済みですので [オンラインROM～] を使用しています。

再起動後、バージョンアップしていることが確認できますね。

?

これでデバイスドライバの導入は終了です。
ハードウェアが一通り認識できましたので、次はライセンス認証をしたいと思います。

>[Web サーバー立ち上げ体験日記]ライセンス認証

<[Web サーバー立ち上げ体験日記]インストール後の初期構成タスク

インストール後は [初期構成タスク] が起動しますので、表示されているタスクに従って作業を進めていきます。
初期構成タスクは以下の項目で構成されています。

1. コンピュータ情報の提供
   1. タイムゾーンの設定
   2. ネットワークの構成
   3. コンピュータ名とドメインの入力
2. このサーバーを更新
   1. 自動更新とフィードバックを有効にする
   2. 更新プログラムのダウンロードとインストール
3. この Web サーバーの構成
   1. 役割の追加
   2. 機能の追加
   3. リモートデスクトップを有効にする
4. リソースのダウンロード
   1. IIS ダウンロード センター
   2. ASP.NET 開発ダウンロード センター
5. Web サーバー コミュニティ
   1. IIS コミュニティ Web サイト
   2. ASP.NET コミュニティ Web サイトを参照
   3. IIS 7.0 テクニカル ライブラリ

?

[リソースのダウンロード] [Web サーバー コミュニティ] の 2 つのカテゴリは URL へのリンクですので 1～3 のカテゴリを設定します。
それぞれのカテゴリの設定内容を見ていきたいと思います。

[コンピュータ情報の提供]

1. タイムゾーンの設定
   インストール時の設定でタイムゾーンは設定されていますので変更の必要はないと思います。
   ?
   ただし、インターネット公開用のサーバーですので NTP と時刻同期が正常にできるかは確認したほうがよいかと。
   
   デフォルトでは [time.windows.com] と時刻同期される設定になっています。
   [ntp.nict.jp] も有名なようですね。
2. ネットワークの構成
   デフォルトでは DHCP の構成となっています。
   ?
   家庭用のブロードバンドルーターはたいてい DHCPとして家庭内のネットワークに IP を割り当てる設定となっているかと思います。
   インターネットにサーバーを公開するに当たり、ルーター側のファイアウォールで特定の IP アドレスに対してのみアクセスを
   許可するように設定する必要があります。
   手動で固定 IP アドレスを割り当てる設定に変更したほうが良いと思います。
   # 下の画像の IP は適当にふっています。
   
3. コンピュータ名とドメインの入力
   デフォルトでは [WIN-xxxxxxxx] となっていますので、必要に応じてコンピュータ名を変更します。
   ?
   Web サーバー導入キット の内容だけでは Active Directory 環境は作成できませんので、ワークグループは変更しません。
   # Windows Web Server 2008 は AD DS サーバーとして設定はできません。

[このサーバーを更新]

1. 自動更新とフィードバックを有効にする
   デフォルトでは [手動で設定を更新する] に設定されています。
   
   [Windows 自動更新とフィードバックを有効にする] にすると以下の設定がされます。
   • 毎日 3:00 に更新プログラムのインストールを実施
     
   • カスタマ エクスペリエンス向上プログラムに参加
     
   • Windows エラー報告で概要レポートを送信
     ?

     今回は Web サーバー導入キットのモニターですのでフィードバックは有効にしています。
     Windows 自動更新は公開するコンテンツに合わせて時間を設定するしかないかと。
     外部公開のサーバーでパッチを適用しないのはよろしくありませんので。

2. 更新プログラムのダウンロードとインストール
   初回の更新プログラムのダウンロードとインストールになります。
   [自動更新とフィードバックを有効にする] で設定しても初回の実行タイミングまでは時間がありますので、
   必ず [更新プログラムの確認] をクリックして手動で実施したほうが良いと思います。

   

[この Web サーバーの構成]

1. 役割の追加
   この作業で IIS をインストールできます。
   [IIS 7.0 虎の巻] の [Windows Web Server 2008 の場合：] に記載されている [サーバーマネージャ] からの作業と同じです。
   ?
   Windows Web Server 2008 では [Web サーバー (IIS)] の役割しか追加できません。
   [Web サーバー (IIS)]? を選択します。
   ?

   必要な機能を追加しますかのダイアログが表示されたら [必要な機能を追加] をクリックし、[次へ] をクリックします。
   

   [次へ] をクリックします。
   ?

   役割サービスではデフォルトで性的コンテンツのみ表示できる状態のチェックがついています。
   何を動かすかは後で考えようと思いますのでひとまずデフォルトのまま [次へ] をクリックします。
   

   [インストール] をクリックしてインストールを開始します。
   

   [閉じる] をクリックしてインストールを完了します。
   再起動のダイアログが表示された場合は [はい] をクリックして再起動します。
   
   IIS の役割を追加していますので IE から [http://localhost] で IIS にアクセスできるか確認することができます。
   ?

2. 機能の追加
   IIS として必要な機能は IIS の役割追加時にインストールされています。
   運用のために [PowerShell] [Windows バックアップ] はインストールしようと思うのですが、これらは運用方法を
   考える際に入れたいと思います。
   今回は手動で機能は追加していません。
   
3. リモートデスクトップを有効にする
   有効にするかどうか悩ましいです…。
   リモートデスクトップをどのように有効にするかはあとで考えようと思います。
   現在はまだインターネット上に公開していませんのでひとまず [ネットワークレベル 認証] でリモートデスクトップを許可しています。

   ?
   ファイアウォールのダイアログが表示されたら [OK] でリモートデスクトップの例外を有効にします。
   

これで初期構成タスクの作業は終了です。
次回起動時に初期構成タスクを表示したくない場合は [ログオン時にこのウィンドウを表示しない] を有効にしておきます。

再度初期構成タスクを起動したくなった場合は [C:WindowsSystem32oobe.exe] を実行してください。
?

次回はデバイスドライバの適用をまとめたいと思います。
# のんびり書いているのでなかなか Web サーバーの公開までいかないですね～。

>[Web サーバー立ち上げ体験日記]デバイスドライバのインストール

<[Web サーバー立ち上げ体験日記]サーバーが届きました

今後、似たような企画があった場合に参加された方の参考になればいいなと思い、OS のインストールからまとめていきたいと思います。

ML110 G5 には HP の Easy Set-up CD が同梱されていますが、こちらは使用しないでインストールしています。
汎用手順を作成したほうが今後の他のサーバーで企画があった場合の参考になると思いますので。

画像付きで手順をまとめていますが、この画像は Hyper-V 上のゲスト OS として Windows Web Server 2008 を
インストールして取得しています。
# 導入キットのサーバーと Hyper-V のサーバーで並行作業してこの投稿を書いています。

1. Windows Web Server 2008 x64 の DVD をドライブに入れてサーバーを起動します。
2. インストールする言語や地域、キーボード等を選択し、[次へ] をクリックします。
   今回はすべてデフォルト値の日本語設定を使用しています。
   
3. [今すぐインストール] をクリックします。
   
4. プロダクトキーの入力画面が表示されますので、プロダクトキーを入力し [次へ] をクリックします。
   TechNet 版の Windows Web Server 2008 では表示されませんでしたが、パッケージ版の Windows Web Server 2008 では
   プロダクトキーの入力画面が表示されます。
5. インストールするオペレーティングシステムを選択し、[次へ] をクリックします。
   今回は 全機能を使用しますので [フル インストール] を選択しています。
   
6. [条項に同意します] を選択し、[次へ] をクリックします。
   
7. [カスタム (詳細)] をクリックします。
   
8. 複数のパーティションに分割する場合はディスクを選択し、[ドライブ オプション (詳細)] をクリックします。
   [新規] をクリックするとパーティションのサイズを入力することができます。
   今回はパーティションを分割してセットアップを実行します。
   # C ドライブにデータは格納したくないので。
   パーティションの分割が終了したら、OS をインストールするパーティションを選択し、[次へ] をクリックします。

   ?
   

9. OS のインストールが開始されますので終了するまで待ちます。
   
10. インストールが終了するとパスワードの変更画面が表示されますので [OK] をクリックします。
    
11. パスワードを入力し、[OK] をクリックします。
    インターネット向けのサーバーですのでパスワードではなくパスフレーズのほうが良いと思います。

    2009/4/14 追記
    パスワードは以下の規則を守る必要があります。

    ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。 長さは 6 文字以上にする。次の 4 つのカテゴリのうち 3 つから文字を使う。 英大文字 (A ～ Z) 英小文字 (a ～ z) 10 進数の数字 (0 ～ 9) アルファベット以外の文字 (!、$、#、% など) 複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。

    

12. これでインストールは完了です。
    

?

インストール後の設定は次回まとめたいと思います。

>[Web サーバー立ち上げ体験日記]インストール後の初期構成タスク

• スリップストリーム ? ベースとなるインストールにサービス パック (または修正プログラム) を統合し、それらを一度にインストールできるようになりました。
• サービス パックのアンインストール ? サービス パックだけを (インスタンス全体を削除せずに) アンインストールできるようになりました。
• レポート ビルダ 2.0 ClickOnce 機能

の 3 点のようですね。

WSFC 環境の SQL Server 2008 でサービスパックの適用方法をどこかでまとめたいです。
最近検証があまりできていないので気になる点を少しずつでも試していかなくては駄目ですね。

電車の中で TechNet Pus のダウンロードソフトを確認していたところ
-「Desktop Optimization Pack for Software Assurance (x64, x86)」
が追加されていました。
MSDN サブスクライバにも追加されています。

2009 がついていないのですが MDOP 2009 なのでしょうか？？
MDOP 2009 はまだ英語版しかリリースされていないのかなと思っていたのですが日本語のカテゴリにも追加されているんですよね。

日本の MDOP のホームページを確認してみたところこちらはまだ MDOP 2008 の内容でした。
英語のホームページは MED-V v1 についての記載がありますので MDOP 2009 の内容になっています。

[日本の MDOP ホームページ]
Microsoft Windows Vista Enterprise: Microsoft Desktop Optimization Pack

[英語の MDOP ホームページ]
Windows Vista Enterprise Microsoft Desktop Optimization Pack

帰宅したら MDOP 2009 なのか確認してみたいと思います。
# この投稿を書いているときから半日以上先の話ですが…。

2009/4/9 0:26 追記
MDOP 2009 でした。
MED-V は日本語版はまだリリースされていいないので MDOP 2009 に含まれているのは英語版のようです。