次の方法で共有


何でも屋: サーバー マネージャーを使用してリモート管理を構成する

Windows Server 2008 は、リモート管理に対応していませんでした。Windows Server 2008 R2 リリースは対応していますが、まだ解決すべき課題が残っています。

Greg Shields

Windows Server 2008 を初めて手に入れた日のことを覚えていますか。それは刺激的な日でした。と言うのも、その前にサーバー OS のメジャー リリースがあったのは 5 年も前のことだったからです。ですが、最初のインストールの完了には時間がかかりました。

ログオン画面でユーザー名とパスワードを入力すると、初期構成タスクという新しいウィザードが表示されました。このウィザードを閉じると、前評判が非常に高いサーバー マネージャーがお目見えしました。

役割や機能をクリックしながら、「まさにこれが待ち望んでいたものだ」と興奮されたことでしょう。「この 1 つの画面に、ようやくすべての管理コンソールが統合されたみたいだ。さて、最上位にあるノードを右クリックして、これをポイントして、別のサーバーを管理してみよう。おや、ちょっと待てよ…」

次に何が起こったかは想像に難くないでしょう。このとき、サーバー マネージャーの最初のリリースが、リモート管理に対応していないことに気付きました。マイクロソフトは公平を期すため、Windows Server 2008 のリリース前に、Windows Server 2008 がリモート管理に対応していないことを公表していました。それでも、大半のユーザーは、サーバー マネージャーのリモート機能が本当に搭載されていないことを知って衝撃を受けました。

別のコンピューターへ接続

ありがたいことに、マイクロソフトはユーザーの意見に耳を傾けました。このリモート機能は、Microsoft Windows Server 2008 R2 で導入されました。最新の OS である Windows Server 2008 R2 で、サーバー マネージャーの最上位にあるノードを右クリックすると、[別のコンピューターへ接続] という新しいコンテキスト メニューの項目が表示されます。

新しいコンテキスト メニューの項目は表示されますが、既定の状態で適切に機能するわけではありません。サーバー マネージャーの最上位ノードに戻りましょう。サーバーの名前を右クリックして、[別のコンピューターへ接続] をクリックします。ここで、もう 1 つ驚くべきことがあります。別のコンピューターをリモートで管理しようとしても、最初は機能しない可能性があります。この場合、図 1 のようなエラー メッセージが表示されます。サーバー マネージャーのリモート管理機能を使用するには、まず、いくつかの設定を構成する必要があります。

図 1 [別のコンピューターへ接続] をクリックしたときに表示されるエラー メッセージ

このような設定が必要な理由を理解するには、リモート管理がバックグラウンドでどのように機能するかを理解する必要があります。サーバー マネージャーのリモート管理機能の一部は、Windows PowerShell で提供されています。サーバー マネージャーの構成を変更するには、バックグラウンドで Windows PowerShell コマンドを実行する必要があります。サーバー マネージャーには、このような処理を実行するためのインターフェイスが用意されており、ユーザーの代わりに Windows PowerShell コマンドを実行して、結果のレポートを作成します。

Windows PowerShell は、リモート コマンドを送信できる唯一のメカニズムです。このサイクルを完了するには、着信コマンドを処理してローカルで実行するサービスが、各リモート サーバーで必要になります。このサービスは Windows リモート管理 (WinRM) ですが、既定では有効になっておらず、構成されていません。このサービスは、グループ ポリシーを使用して有効にできます。

新しいグループ ポリシー オブジェクト (GPO) を作成し、サーバーの組織単位にリンクします。次に、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Windows リモート管理]、[WinRM サービス] を順に展開します。ここには、多数の設定がありますが、最も重要なのは [リスナーの自動構成を許可する] です。この設定を使用して、WinRM を有効にして、リモート管理のコマンドを処理するように指示します。

図 2 リスナーの自動構成を許可する

構成ページ (図 2 参照) を有効にしたら、IP アドレスの範囲を指定して、サーバーをリモートで管理できるホストを制限できます。リモート管理は、信頼できる IT スタッフのコンピューターに制限することをお勧めします。

Windows ファイアウォールを有効にしている環境で調整が必要な GPO の設定がもう 1 つあります。それには、[コンピューターの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[セキュリティが強化された Windows ファイアウォール] を順に展開します。次に、定義済みの受信規則を 3 つ作成して、リモート イベント ログ管理、リモート サービス管理、および Windows ファイアウォール リモート管理のエクスペリエンスのトラフィックを許可します。

グループ ポリシーを使用できない場合は、サーバー マネージャーから、リモート管理を手動で有効にすることも可能です。まず、[サーバー マネージャーのリモート管理の構成] というリンクをクリックすると、ダイアログ ボックスが表示されます (図 3 参照)。[他のコンピューターからのこのサーバーのリモート管理を有効にする] チェック ボックスをオンにします。リモートで管理するサーバーでは、このチェック ボックスをオンにする必要があります。

図 3 サーバー マネージャーのリモート管理の構成

これで、他の Windows Server 2008 R2 コンピューターをリモートで管理する準備が整いました。まず、リモート サーバー管理ツール機能から、役割、役割サービス、および機能をリモートで管理するためのツールをローカル コンピューターにインストールする必要があります。ただし、サーバー マネージャーのリモート管理を使用して実行できないタスクがあります。このようなタスクには、次のものがあります。

  • 役割、役割サービス、および機能を追加または削除する
  • リモート デスクトップ設定を構成する
  • システム プロパティを構成する
  • 新しい役割を確認する
  • Windows 自動更新の設定を変更する
  • ネットワーク設定を変更する
  • コンピューター名またはドメイン メンバーシップを変更する
  • Internet Explorer のセキュリティが強化された構成設定を変更する
  • セキュリティの構成ウィザードを実行する (管理元のコンピューターが Windows Server 2008 R2 を実行しているサーバーの場合)

さようなら RPC、こんにちは WinRM

Windows リモート管理 (WinRM) を使用してリモート管理を実行するには、もう少し設定が必要になりますが、最終的にはリモート サーバー管理に適したアーキテクチャを構築できます。というのも、根本的に、WinRM は、最小限のネットワーク ポートで Windows サーバーを管理できるように設計されているからです。WinRM では、単一のポート (TCP/5985) 経由で HTTP プロトコルのみを使用して通信します。この単一のポートとプロトコルの組み合わせにより、これまで発生していたリモート プロシージャ コール (RPC) ベースのツールに関連するネットワーク セキュリティの問題の多くを解決できます。

お気付きかもしれませんが、RPC を使用してサーバーを管理するには、すべての Windows サーバーでさまざまなポートを開く必要があります。これは、セキュリティ上問題になります。それに対して、WinRM には、適切に保護されている単一のネットワーク エントリ ポイント経由でサーバーを管理するメカニズムが用意されています。ネットワーク エントリ ポイントを特定の範囲の信頼できる IP アドレスに制限することで、サーバーを潜在的な攻撃からより強固に保護できます。

また、リモート管理を単一のポートに限定すると、管理しているサーバーがファイアウォールの背後にある場合に役に立ちます。WinRM を使用すると、ネットワーク境界や他の保護されているネットワークに存在するサーバーを、それほど大きな攻撃の危険にさらすことなくリモートで管理できます。

現時点では、サーバー マネージャーのリモート管理は、ネットワーク上で実行できる処理に関しては依然として少し制限があるかもしれません。ただし、WinRM や Windows PowerShell がプロトコルやシェルとして選択されていることから、マイクロソフトが正しい方向に向かっていることは間違いありません。

近いうちに、RPC ベースの管理は永遠に姿を消すかもしれません。今は、そのことをしっかりと胸にとどめておいてください。

Greg Shields

Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、ConcentratedTech.com (英語) を参照してください。

関連コンテンツ