インフラエンジニアとして一人前になるために学習した時に出てきた用語などをまとめていきます。
自分の備忘録的な話なので、まとめ方は雑かもしれません
VDI
仮想デスクトップのこと。
有名なのはAmazon Workspaces、最近Windows365が出た。
仮想デスクトップは自分の持っている端末から仮想環境に構築されたPCにアクセスし、使用することができる。
メリットは①物理端末が壊れたり、物理端末を無くしたとしても仮想環境には影響がないため、セキュリティ的に安心②物理端末以上のスペックのPCを扱える③Macユーザーであれば、わざわざ自分のPCにWindowsをインストールしなくてもWindowsを使用することができる
一方デメリットは①仮想環境なので、セキュリティ要件などはAWSならAmazonに依存してしまう②使い方によってはコスパが悪い③高スペックは流石に高い
RDS
リモートデスクトップサービスの略。
Windows Serverを遠隔から接続して操作することができる仮想デスクトップ機能。
多数の利用者がサーバ上にデスクトップ環境を持ち、ネットワーク経由で利用する仮想デスクトップを提供することができる。
RDSH
RDSの役割(ロール)の一つで、そのWindows Server自体のデスクトップ環境を利用者ごとに用意して転送する方式を「リモートデスクトップセッションホスト」(RDSH)という。
一台のWindowsコンピュータに利用者ごと複数のアカウントを作成して使い分けるのに近く、Windows Serverが各利用者ごとにデスクトップ画面を出し分ける形となる。仮想マシンを利用する方式より負荷が小さく低コストで運用できる。
VDIとRDSの違い
最も違う点は使用方法。
VDIは使用者ごとにVMを構築するが、リモートデスクトップはサーバーOS上にあるVMを全使用者で共有する。
VDI環境は各使用者ごとに個別で準備されており、各使用者に管理者権限を与えることが可能。
HBA
HBAとは、コンピュータ本体に外部のデバイスとの通信機能を追加する装置の総称。
通常はストレージ(外部記憶装置)を接続するための機能を提供するものをこのように呼ぶ。
bit
例えば32bitは2進数で表した時32桁になる。
CPUは2進数で動作するため、bit数が多いとそれだけ処理できる量が増える。
しかしながら、CPUそのものにbit数に耐えられる処理能力がないと意味がない。(その典型がプレステ2。プレステ2は128bit)
bitとアプリについて
よくWindows OSやいろんなアプリで32bit版、64bit版とありますが、先ほどのbit数との関係性です。
早い話、処理数の違いなので、
Windows OS 32bitの場合は64bitのアプリをダウンロードしても使えません。
逆にWindows OS 64bitの場合は32bitのアプリをダウンロードできます、ただし正常に動作しない可能性があるため、基本的にbit数を合わせる必要がある。
bitとByteの変換について
1Byte=8bit
なので、bitを8で割れば、Byteになる。
RAID
複数のHDDやSSDを一つの論理ディスクとして構成できる技術のこと。
複数の記憶媒体に分散して記憶させるため、記憶媒体が物理的に故障した場合でもデータがクラッシュすることはない。
同じ容量の記憶媒体をRAIDする。
リビルド
RAIDを再構築する
コピーバック
交換前に保存されていたディスクを新しいディスクに戻す
RAID1ならAという記憶媒体が破損した場合、新しくディスクをさして、Bからコピーするというイメージ。
パリティデータが破損していた場合は新たにパリティデータも生成される。
ホットスペア
スペアディスク、予備のディスク。
RAID0(ストライピング)
RAID0だけ耐障害性がない。
ストライピングなので、例えばABCDという4つのデータがあった場合、A,CとB,Dのデータに分けられる(これがストライピング)
なので、一つの記憶媒体が壊れてしまうとA,Cが欠損してしまうため、耐障害性がない。
RAID1(ミラー/ミラーリング)
2つの記憶媒体でRAID1を構成した場合、同じ内容のものを2つの記憶媒体に記憶させます。
なので、耐障害性があり、仮に片方の記憶媒体が破損してもデータの復旧が容易です。
RAID1の最大の特徴は構成本数。
必ず構成本数は2本になる。
また容量効率はRAID0より悪く、50%になる。
RAID5(分散パリティ)
構成本数が3本以上なのが特徴。
分散型なので、それぞれの記憶媒体にパリティデータ(元データの複製のようなもの)を書き込む。
なので、RAID1に比べて、容量効率は良い。
速度についてはパリティデータを生成するためライトペナルティが発生する。
そのため、速度はREADほど向上しない。
RAID6(分散ダブルパリティ)
構成本数が4本以上。
ダブルパリティなので、パリティデータを2つ生成して管理する。
耐障害性が2本なのが特徴、なぜならダブルパリティなので2本まで壊れてもデータは復旧できる。
容量効率はRAID5より悪く、かつパリティデータをより多く生成するため、ライトペナルティが発生するのでWrite速度が落ちる。
イベントビューアー
Windowsにおけるログを見ることができる。
Windowsマーク>右クリック>イベントビューアー>Windowsログで確認できる。
アプリケーションであれば、クラッシュした時のログを確認することができる。
主に見るのはアプリケーションかシステム
イベントIDは固定されている
シャットダウンとパワーオフの違い
シャットダウンは正常にシステムを停止させること。
パワーオフは正常ではない方法でシステムを停止させること。
パブリッククラウド
AWSやAzureなど。
IaaSともいうのかもしれない。
契約さえすれば利用できるクラウド。
プライベートクラウド
自社で持っている機器を利用して特定の人が活用するクラウド。
要するにオンプレミス。
ハイブリットクラウド
プライベートクラウドとパブリッククラウドの混合タイプ。
オンプレからパブリッククラウドに移行する際に、完全にパブリックにするのではなく、混合するタイプ。
イメージとしてはDBはオンプレでWEBアプリの部分をパブリッククラウドにする、という使い方もできるのではなかろうか。
クラウドサービスのサービス体系の違い
提供する領域によって名称が異なる。
IaaS
ハードウェア、ネットワークの提供をIaaS。
ハードウェアは要するにサーバーのこと。
OSやデータベースについては利用者が好きなものをインストール、利用することができる。
AWSのEC2でサーバーを立ち上げる際もOSなどは好きなものを選べる。
料理に例えると、畑だけ用意されていて、畑で野菜を作るところから始めるようなイメージ。
PaaS
OSとデータベースまでは提供する、その先のどのアプリケーションと連携させるのかは利用者が選択できる。
Herokuが一番わかりやすい。
Xサーバーなどのレンタルサーバーも同じ。
料理に例えるとスーパーで食材を買うところから始めるようなイメージ。
SaaS
アプリケーションまで全て提供する。
利用者は構築をせずともサービスを利用することができる。
GmailやDropboxなどが該当する。
DaaS
仮想デスクトップ。
イーサネット
パソコンなどの機器を有線接続する際の通信規格の一つです。
「規格」なので、有線接続のルールともいえます。
イーサネット規格の一種として「LANケーブル」が挙げられます。
「イーサネット対応機器」というのは一般的に、LANケーブルを差せるということです。
そのため、イーサネットとLANケーブルはほぼ同義と考えても問題ありません。
LANの範囲
LANはイーサネット機器同士がMACアドレスを認識可能な範囲
ケーブルマネジメントアーム
要は結束バンド。
しかしサーバーには多数のイーサネットケーブルがあり、かつ色など視覚的に判別する方法がないことが多いため、ケーブルマネジメントアームで管理する。
冗長構成
同じものを2つ用意して構成すること。
耐障害性があるものに関しては2つ用意したとしても冗長構成とは言わない。
(CPUやメモリなど)
iDRAC
サーバーのに関する設定・操作を可能にする機能
主にハードウェア周りを管理する機能
サーバーのシステムボードにiDRACは搭載されていて、インターフェースと してEthernetポートを備えたパーツになります。
iDRACはシステムボードに直接ささっており、iDARC自体にシステムボード上のハードウェア デバイスを管理するための機能を提供するチップが搭載されています。
サーバーにOSをインストールする手順
(BIOS・UFIで設定)
- RAID構成
- ブートオーダーの設定
- 起動順のこと、どのデバイスからOSを起動していくのかを設定する
- 以前に別OSをインストールしていた場合はブートオーダーで設定変更が必要
- 同じOSであればブートオーダーの設定は不要
- ライフサイクルコントローラーの設定
- サーバ構成を設定変更するためのインタフェース
- ベンダーが提供している支援ツール
- ファームウェアのアップデートやOS導入支援などができる
BIOSとUEFI
ファームウェアというプログラム。(工場で出荷する際に組み込まれたプログラム)
BIOSの方がレガシーなシステム、UEFIの方が新しい。
実際UEFIなのに、画面上の名前はBIOSになっていることもあるため、この2つの言葉は同義と捉えて良い
BIOSは2TB以上の容量を認識できない。
さらにBIOSは必ずCUIとなる、しかしUEFIは2TB以上の容量も認識できるし、マウス操作が可能なケースもある。
isoファイル
ディスクのメディアデータを一つのデータにしたときの拡張子。
CUI
キーボードで操作するプログラム。
マウスが使用できない。
ゼロイング・イニシャライズ
HDDなどのデータを全て削除すること。
※データの復旧は不可能
※ブートに関する影響はない
フォーマット
データは残るが、データにアクセスする順番がリセットされること。
※データの復旧は可能な場合がある
シーケンス
あらかじめ決められた順序で処理を行うこと
メーカーとベンダー
メーカーは製造元、ベンダーは販売元。
IT業界では全ての会社がベンダーでもある。
(MicrosoftはWindowsのメーカーでもあり、ベンダーでもある)
シンプロビジョニング と シックプロビジョニング の違い
VMWare専門用語
VMware の仮想ディスクでは以下の3種類からディスクのプロビジョニングの方法を選択することができます。
- シックプロビジョニング(Lazy zeroed):仮想ディスク作成時に指定したサイズ分の領域を確保します。
- シックプロビジョニング(Eager zeroed):仮想ディスク作成時に指定したサイズ分の領域を確保し、ゼロで初期化します。
- シンプロビジョニング:仮想ディスク作成時には最低限の領域のみ確保し、必要に応じて増加します。
Administrator
Windows OSをインストールした際に一番最初に登録されるユーザー。
管理者ユーザー。
Windowsに限らず全てのOSでインストールすると一番最初に登録されるのは管理者ユーザー。
(名称は違う可能性あり)
インストールメディアのアンマウント
クライアントへの納品前までにやっておく。
インストールしたメディアをアンマウント(取り外す)をしておく。(もう使わないから)
セキュア
一般的に「安全である」「危険がない」といった意味の英語である。IT用語としても 情報セキュリティ、コンピュータセキュリティの文脈などでしばしば用いられる。
一般的に、コンピュータがセキュアな状態である、と形容される場合、暗号化方式を利用して通信の盗聴や改竄を防止したり、認証方式を利用してなりすましを防止したり、脆弱性・セキュリティホールの検出ツール、あるいはファイヤーウォールなどを利用して不正アクセスを防止したり、といった対策が適切に講じられている状態を指す。
OSI参照モデル
サーバーとクライアント間の通信。
各メーカーでネットワーク規格が異なると特定のメーカーしか使えなくなるため、通信規格を定めたもの。
レイヤーは7階層。
https://www.itmanage.co.jp/column/osi-reference-model/
| 層 | . 名称. | 規格(プロトコル). | 概要. | 利用例. |
|---|---|---|---|---|
| 7層 | アプリケーション層 | HTTP,FTP,DNS,SMTP,POPなど | 個々のアプリケーション | www,メール |
| 6層 | プレゼンテーション層 | SMTP,FTP,Telnetなど | データの表現形式 | HTML |
| 5層 | セッション層 | TLS,NetBIOSなど | 通信手段 | HTTPS |
| 4層 | トランスポート層 | TCP,UDP,NetWare/IPなど | エンド間の通信制御 | TCP,UDP |
| 3層 | ネットワーク層 | IP,ARP,RARP,ICMPなど | データを送る相手を決め、最適な経路で送信 | IP |
| 2層 | データリンク層 | PPP,Ethernetなど | 隣接する機器同士の通信を実現 | Ethernet |
| 1層 | 物理層 | RS-232,UTP,無線 | 物理的な接続、電気信号 | UTPケーブル,光ファイバーケーブル |
1層
物理的な接続、とはあるが、Wi-Fiについても1層に当たる。
Wi-Fiも無線ではあるものの、無線は無線で規格がある。
LANケーブルのカテゴリ
自宅で使うなら最低でもCAT5eは必要。
光回線は基本1GbpsなのでCAT5だと最大スピードが100Mbpsしか出なくなってしまうから
MACアドレス
ネットワークカード(パソコンやルータなどのネットワーク機器)に付いている番号。
LANやインターネットでのイーサネット通信で利用されています。通信データのヘッダー部分に「送信先MACアドレス」と「送信元MACアドレス」を格納することで宛先や戻し先を確定しています。MACアドレスが無いと通信ができなくなります。
一意な値でかつ不変な値ではあるものの、古いMACアドレスが再度流用されることはある。
16進数で表す
フレーム
2層で使用されるデータの単位
2層ではMACアドレスを識別して、フレームを転送することで通信する
イーサネットスイッチ
接続されたコンピュータ間のネットワーク接続を構築するために使用されるデバイス
イーサネットスイッチは着信パケットの宛先を理解して宛先ポートのみへデータパケットを送信するため、これにより衝突の数が制限される(データが同時に送信)。
イーサネットスイッチはデータリンク・レイヤーの2層の一部です。
ネゴシエーション
転送速度の決定のこと。
半二重と全二重があり、半二重はデータの送信と受信を切り替えながら通信を行うが、全二重はデータの送信と受信を同時に通信すること。
オートネゴシエーションは転送速度の決定を自動で決定してくれる機能のこと。
IPアドレス
OSI参照モデルにおいては第三層。
第三層の役割はサーバ、クライアント間などでパケットをやり取りする→対象まで送り届ける役割。
プライベートIPアドレスの範囲
※この範囲は必ず覚える
クラスA:10.0.0.0~10.255.255.255(10.0.0.0/8)
クラスB:172.16.0.0~172.31.255.255(172.16.0.0/12)
クラスC:192.168.0.0~192.168.255.255(192.168.0.0/16)
逆にそれ以外がグローバルIPアドレスとなる
例えばGoogleの場合はこちら
第一オクテットが172なので、クラスBなのでは?と思ってしまうが、第二オクテットが全然違う。
リンクローカルアドレス
169.254.0.0~169.254.255.255までの範囲で割り当てられる特殊なIPアドレス
手動でIPアドレスを設定していないときや、自動でIPアドレスが設定できない場合(DHCP)に設定されるIPアドレス
IPv4
32bitで構成されている(0.0.0.0~255.255.255.255)
Ipv6
128bitで構成されている(0:0:0:0:0:0:0:0~ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
回線のv6プラスだと回線が速くなるの理屈とは?
v6プラス:IPv4 over IPv6接続サービスの名称、IPv4とIpv6接続が共存している
IPv4はPPPoE通信方式で、混雑しやすく通信速度が低下しやすいという欠点がある。
しかしv6プラスを使用することで、IPv4ネットワークを経由してIPv6接続をすることで、混雑を回避しやすくなる=回線が速くなるかも?という理屈
サブネットマスク/プレフィックス
ネットワークの範囲を表してくれるアドレス。
IPアドレスのうち、ネットワークアドレスとホストアドレスを識別するための数値。コンピューターが同じLANにいるかを判断する際に利用されることが多い
必ずIPアドレスとサブネットマスクはセットで設定される。
サブネットマスクはどこかのオクテットで必ず0で表される。
その際、サブネットマスクで0で表された部分についてはIPアドレスにおいても同一のネットワークと表している
プレフィックスはIPアドレスの後に/32までの数字を入れることでサブネットマスクを表す
サブネットマスクが必要な理由
例えば社内でクラウド化を進める場合、社員数が300名、使用する端末が300台あったとする。
その際、各端末にはIPアドレスは割り振られるが、使用するネットワークは同一のネットワークとなる。
使用するネットワークは同一だよということを示すためにサブネットマスクを使用する。
プレフィックスからサブネットマスクを計算する
31がIPの数2でそこから2のn乗されていく。
つまりプレフィックスが27の場合は2の5乗なのでIPの数は32になる。
さらにそこからサブネットマスクを算出する場合は256から32を引けば、サブネットマスクになる。
つまりプレフィックス27の場合は
255.255.255.224となる
https://www.ahref.org/doc/ipsubnet.html
割り当てできないIPアドレス
ネットワークアドレス:開始のIPアドレス
ブロードキャストアドレス:最後のIPアドレス
例:000.000.000.000と255.255.255.255
デフォルトゲートウェイアドレス
セグメント
同一のネットワーク
マイクロセグメンテーション
IPアドレスを無駄なく使用する
一つのセグメントを無駄なく効率よく使用すること。
メリットとしてはセキュリティの性能を高められる。
例えばプレフィックスを/24で作成すると問題が発生してしまう。
コストの観点
無駄になってしまうIPアドレスが存在する
セキュリティの観点
万が一使用していないIPアドレスが外部からアクセスされてしまう可能性がある
IT部の場合/24で作ったらIPアドレスが256個あり、150個ほどIPが余ってしまう。
さらにその余った部分で営業部人事部の範囲を作ってあげれば、無駄がない。
セグメントをマイクロセグメンテーション化するとも言う。
セグメント重複
セグメントが重複してしまうこと、影響範囲はセグメントに所属するアドレス全てが影響を受ける。
そのためマイクロセグメンテーション化する際はセグメント重複がないように順番に設定する必要がある。
デフォルトゲートウェイアドレス
宛先の経路が分からないパケットの転送先となるIPアドレス
同一のネットワークというのはどういうことか?
ブロードキャストアドレスが同じ
同一ネットワーク内であれば情報漏洩する危険性もある
※ファイアーウォール機能はL3以上、つまりネットワークが同じであれば意味をなさない
ファイアウォール
ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組み
その通信をどう扱うかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。これを荷物の配送にたとえると、送り主とあて先などの情報は見ているが、その荷物の中身は見ていないということになります。
→AWSではセキュリティグループのようなもの
TCP/UDP
TCP:セッション指向
UDP:データグラム指向
TCP
セッション指向。
3ウェイハンドシェイクによりセッションの確立を行う。
図のようにクライアント→サーバー サーバー⇄クライアント サーバー→クライアント の3つのコネクション要求をすることで確立する
必ずクライアントとサーバーは1対1(ユニキャスト)で接続される
TCPが使われる事例
WEBアプリケーションやメール
特にユーザー登録のシーン
データの欠落が許されない時
ユニキャスト
1対1
マルチキャスト
1対多(特定のグループ)
ブロードキャスト
1対多(不特定多数)
セッションを確立するメリット・デメリット
再送制御、フロー制御が可能になる。
再送制御:何かしらでロストしてしまったパケットを再送要求をすること
再送制御が保証されているため、データのロストがない。
フロー制御が保証されているので、データが必ず順番に届くので前後することがない。
つまり、信頼性は高い。
デメリットとしては当然ながらレスポンスは落ちる。
レスポンス:画面に描写されること(通信速度が遅くなるわけではない)
UDP
データグラム指向
セッションの確立はしない(相手にデータが届いているかどうかは確認しない)
マルチキャスト・ブロードキャストで通信される
UDPのメリット・デメリット
データ転送が高速になるのがメリット。
一方で再送要求をしないため、データのロストや順番が前後したり、信頼性がTCPよりも低い
UDPの導入事例
YouTubeなどの動画配信
音楽配信
Zoomなどの会議システム
リアルタイムを求めるもの
ICMP
IP通信の疎通状態を調査したり、正常に通信できない場合に送信元ホストへエラー情報を返したりする、IP通信を補佐するためのプロトコル
疎通確認の際に使用する
ポート番号
サービスやアプリケーションを識別する番号
IPアドレスとポート番号をセットで使用する
16ビットの値で、通常は0から65535までの符号なし整数として表記
「TCP/80」「UDP/123」のように表記する
範囲は0~65535で使用でき、3つに分けられる。
ウェルノウンポート(0~1023):基本的なシステムサービスやプロトコルで使用されるポート番号
レジスタードポート(1024~49151):IANA登録済みでIANAが管理しているポート番号で、特定のアプリケーションが使用することになっている。
ダイナミックポート(49152~65535):登録もされていない、動的なポート番号、自由に使用できる。
サービスを提供するサーバ側で使用される
IPアドレスが必要な理由
サーバー(IPアドレス)にはさまざまなサービス、アプリケーションがある。
なので、IPアドレスを指定するだけのリクエストではどのサービス、アプリケーションへのリクエストなのかがわからない
そのサービスを識別するためにポート番号を使用する
データセンターエディション
高額ではあるが、ライセンスごとに認証が必要ないのが特徴。
しかし高額。
ホスト名の変更
Windowsの場合は変更する場合は必ず再起動が走る
Windowsサーバーの初期設定
- ホスト名の変更
- ホスト名変更後は再起動が走る
- ネットワークの設定
- WINマーク右クリック>ネットワーク接続>アダプタのオプションを変更>Ethernet0>右クリック>プロパティ
- IEのセキュリティ設定
- サーバーマネージャーにてIEセキュリティ強化の設定>無効に設定
- ただし、これはあくまでも自分用のサーバーとしての設定(ブラウザ使えないから)
- セキュリティ的には無効に設定するのは良くない
- ファイアウォールの設定
- サーバーマネージャー>ローカルサーバー>Windows defenderファイアウォール>詳細設定
- 受信の規則で外からのアクセスを管理、送信の規則ではサーバーから外へのアクセスを管理
- 今回は疎通確認をするために外部からのアクセスを許可する設定をする
- 受信の規則>新しい規則>カスタム 次へ>全てのプログラム 次へ>プロトコルの種類>ICMPv4を選択>スコープ 何も設定しない(IPアドレスを指定する場合はここで指定する)>操作(条件に一致した通信があった場合の操作)>プロファイル 何もせずに次へ>名前を設定
- 送信についても同じ手順で設定が可能、デフォルトでは接続がブロックされているはず
MBRとGPT
ディスクの初期化で出てくる
MBRがBIOS使っている場合、GPTがUEFIを使っている場合に選択する。
※自動で選択されているので、あまり気にする必要はない
ファイルシステム
記憶装置に保存されたデータを管理し、操作するために必要な機能。
OSごとに使用しているファイルシステムは異なる。
ファイルシステムの機能
- フォーマット
- ファイルの保存
- 暗号化
- 圧縮
ファイルシステムの種類
Windowsは「FAT」「NTFS」
- 「FAT12」「FAT16」「FAT32」
- FAT32はMac OSでも使用可能
- NTFSはWindows95やWindows98では使用できない
Macは「HFS+」「APFS(Apple File System)」
- 順次APFSに移行している(今出ている最新機種は原則APFSを採用)
Linuxは「XFS」「ext4と」
アプリケーションとサービスの違い
アプリケーションはユーザーで開始、停止を行う
サービスはユーザーでは開始、停止を行わない、OS上で動作しているものを指す
※ただしタスクマネージャーでサービスを停止することはできることはできる
NICチーミング
コンピューターやネットワーク機器が備える複数の「ネットワークインターフェース・カード(NIC)」を束ねて帯域を増加させ、ネットワークインターフェース部分の冗長化を図り、通信負荷を分散して耐障害性を高める技術
簡単に言うとネットワークの冗長化。
帯域幅についてはアクティブ構成した分、加算される。例えば1Gbpsを2つで構成すると、帯域幅は2Gbpsになる、だが通信速度は変わらない。
イメージとしては一度に通信できる量は増えるが通信速度は変わらない。
AD
Microsoft社のアカウントやコンピュータ(OS)を管理するシステムの総称
ドメイン
Active Directoryの基本単位。
会社にあるコンピューターやユーザーなどをまとめて管理するための仕組み。
Active Directoryデータベースを共有する範囲のことをいい、ドメインを作成することで、組織のユーザー・グループ・コンピューターを集中して管理することが可能になる。
Active Directoryデータベース
Active Directoryのドメインコントローラーに作成される。
ユーザーやアカウント情報などが格納される。
LADP
Lightweight Directory Access Plotocol
ユーザー認証の仕組み。
Kerberos認証
コンピュータ等の機器を認証
ユーザー認証が完了するとチケットが発行される。
その後、サービスの認証の際に、チケットを使用することで、追加で認証なしに裏側で認証される。
イメージとしてはPCにログインしてファイルサーバーにアクセスする流れ。
チケットにはタイムスタンプ(クライアント側の時間)が押されている。
Kerberos認証の制約
- チケットのタイムスタンプの時間とドメインコントローラーの時間が5分ずれていると認証失敗する
- 時間ズレをなくすためにNTPサーバーを利用することで時間ズレを発生しないようにする
NTPサーバー(Network Time Protocol)
正しい時刻情報を取得・配信しているサーバー
時刻情報をサーバーとクライアントとの間でやりとりする際に、TCP/IPネットワークを通じてNTPを使用して同期することで、クライアントの内部時計を正しく設定することができる
SSO(Single sign on)
一度のサインオンでその他のサービスにもサインオンできること
Kerberos認証を用いている
フォレスト
1つ以上のドメインで構成された環境
ドメインツリー
親のドメインに対して子のドメインを作成することができる。
例えばhoge.co.jpというドメインに対してsales.hoge.co.jpという子のドメインを作成するイメージ。
この時必ず親ドメインからドメイン名の一部を継承する。
ドメインサービス
Windows系OSを管理する認証基盤(サーバ)
別途必要な機能としてドメインコントローラーの冗長化は推奨、DNSサーバーは必須。
リプレイス
新しいものに取り替える
ドメインコントローラー
※基本冗長化構成にする
Active Directoryドメインサービスの役割を提供するサーバー(認証基盤)
サーバーにActive Directoryドメインサービスの役割をインストールすると、そのサーバーは自動的にドメインコントローラーとなる
ドメインコントローラーへの昇格方法
①サーバーマネージャー>管理>役割と機能の追加
②ウィザード通りに進める、追加する機能は「Active Directry ドメインサービス」>インストールまで進む
③フラッグのところ>ドメインコントローラーに昇格
④新しいフォレストを作成にチェック(場合によって異なるが)
⑤完了させる>再起動
既存のドメインのドメインコントローラーに昇格
要するにドメインコントローラーの冗長化
あとは移行時に行うことが多い
上記の④のところで既存のドメインを洗濯する
選択>既存のドメインのadministrator資格情報を入力
そうすると選択肢に既存ドメイン名が出てくる
インストールに進む
フォレスト機能レベル・ドメイン機能レベル
基本的に最新のOSバージョンを選択して問題ない。
ドメインコントローラーはすでに導入されていることがほとんどで過去のOSの時にドメインコントローラーが導入されたこともある。
リプレイスする際にドメインコントローラーは古いOSである場合はフォレスト機能レベル、ドメイン機能レベルは一旦そのOSのバージョンに合わせる必要がある。
その後、古いOSを切り離して、機能レベルをあげるという作業が発生する。
グローバルカタログ
ドメインコントローラーの頻繁に使われる情報、属性をグローバルカタログに格納して高速にオブジェクト検索できるようにしておく機能。
トラフィック軽減のために導入される。
SYSVOL
複数のドメインコントローラー間でオブジェクト情報(グループポリシーやユーザー情報など)を交換するための共有フォルダ
ワークグループ
コンピュータのグループのこと
LAN(構内ネットワーク)上で同じワークグループ名が設定されたコンピュータ同士が同じグループとして取り扱われる。
グループポリシー
ドメインコントローラーにて作成することで、ドメインに存在するオブジェクト(USB接続や機能など)を制限することができる。
OU(Organizational Unit=組織単位)
アカウント単位の最小単位
グループポリシーを配布できる単位でもある
Windowsコンポーネント
Windowsに付属している特定の機能を待ったツールのことを指す。
つまりはメモ帳もWindowsコンポーネントの一つ。
ローカルの端末をドメインに追加する
①ローカル端末のネットワーク設定(DNS)
ドメインコントローラーの情報を持っているDNSサーバーを指定する必要がある。
言い換えると、ローカルの端末のネットワーク設定で優先DNSのIPアドレスをドメインコントローラーのIPアドレスに変更する。
②ローカル端末のドメイン設定
コントロールパネル>システム>コンピューター、ドメイン及びワークグループの設定
所属するグループをクリックしてドメイン名を指定
OKを押して認証画面が出ればOK
この時認証するアカウントはアクセス許可されたアカウントもしくは管理者
③ポップアップが出る
④再起動
ドメイン参加した後は必ず再起動が発生する
⑤再起動後はロック画面になる
ローカルのユーザーかドメイン環境にログインするのかわからないから
その後、ドメインコントローラーで追加されたユーザーであればどのユーザーでもドメイン追加された端末からログインが可能になる。
つまり、ドメイン追加する端末は1台でユーザーを10個作れば、その10のユーザーはドメイン追加された1台の端末からログインができる。
ドメイン環境の最大のメリット
例えば新たに100人の新入社員を迎える場合。
100人全員に専用のPCを与え、アカウントを作成、セキュリティポリシーを設定して...というのは地獄の所業。
しかしながらドメイン環境を使うと、端末にドメイン参加をさせればOK、かつユーザーを100人作れば良い。
さらにドメイン参加についてはスクリプトとして実行すれば自動化できる。
ということで圧倒的に作業効率が上がるし、セキュリティ的にも個別で設定する必要がない。
GPOの割り当て
ドメイングループにGPOを割り当てる
https://techexpert.tips/ja/windows-ja/gpo-windows-%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB%E3%82%92%E6%A7%8B%E6%88%90%E3%81%99%E3%82%8B/
新規でGPOを作成する方法
新規でOUを作成し、そのOUに割り当てるデバイスを移動させる。
DNSサーバ
名前解決を行うサーバ
IPアドレスからFQDN(逆引き)に変換したり、FQDNからIPアドレス(正引き)に変換することで、システム側も利用者側もどのWEBサーバにアクセスしているのか理解することができる。
正引きは自動で設定されるが、逆引きは設定する必要がある。
127.0.0.1
自分自身を表すIPアドレス。
正引き
ゾーンはドメイン名
必須レコードはAレコード
Aレコード
ホスト名とIPアドレスを紐づけたもの
逆引き
ゾーンは第3オクテット.第2オクテット.第1オクテット.in-addr.arpa
必須レコードはPTRレコード(ポインター)
具体例
10(第1オクテット).30(第2オクテット).12(第3オクテット).50(第4オクテット)
PTRレコード(ポインター)
第4オクテット(ホスト部)+FQDN
FQDN
「Fully Qualified Domain Name」の略
「完全に指定された(限定された)ドメイン名」
具体的な例を挙げると、JPNICのWebサーバのFQDNは「www.nic.ad.jp.」となります。 一番左から、「www (第4レベルドメイン)」.「nic (第3レベルドメイン)」.「ad (第2レベルドメイン)」.「jp (トップレベルドメイン)」.「ルート」と、 順にすべてのラベルを表記しています。
ルートヒントサーバー
名前解決をする際にルートヒントサーバーに問い合わせを行い、名前解決を行っている。
世界に13台しかない
全てのドメインとIPアドレスが登録されているわけではない。
また基本的にDNSサーバーを構築するとデフォルトで導入される。
なぜドメイン参加でドメインコントローラーのIPアドレスを指定するのか?
DNSにはドメインコントローラーがどのIPアドレスなのかを管理するレコードがある
(レコード名:SRVレコードを参照してドメインコントローラーを探している)
nslookup
名前解決の際に使用するコマンド
whoami /?
このコマンででwhoamiのオプションの一覧を確認できる
FSMO(フィズモ)
いくつかの特別な役割を持ったドメインコントローラー
もしくは操作マスターとも呼ぶ
| 操作マスター | 構成 |
|---|---|
| スキーママスター | フォレスト全体で1台 |
| ドメイン名前付マスター | フォレスト全体で1台 |
| RIDマスター | ドメイン全体で1台 |
| PDCエミュレーター | ドメイン全体で1台 |
| インストラクチャマスター | ドメイン全体で1台 |
スキーマ
Active Directoryドメイン内の各オブジェクトに対するデータ型の定義情報。
例えばユーザーアカウントのスキーマならばユーザー名、ログオン名、パスワード等の属性が定義されている
ドメイン名前付
ドメインを追加したり削除したりする際に必要となるドメインコントローラー
RID
RIDマスターではSIDを構成するために必要な「RID」情報を保持しているドメインコントローラー
SID(Security Identifier。セキュリティ識別子)
SIDは「ドメインSID + RID」で構成されており、どのドメインのどのオブジェクトかという情報を表す
コマンドで「whoami /user」で確認できる
ちなみにUserでの管理で、端末ごとではないため同じユーザーでログインすると同じSIDになる
PDCエミュレーター
アカウントのパスワードやロックアウト情報を管理しているドメインコントローラー
その他ドメイン間の整合性を保つためには以下の機能を持っている
● GPOの管理
● 他のドメインコントローラーとの時刻同期
インフラストラクチャマスター
ドメイン内のユーザーやコンピューターと、グループアカウントのメンバー情報とのマッピング情報を保持している。
ドメインの移管
今回はWindows Server2012からWindows Server2019への移管を想定する
Windows Server2012のサーバーに2019は追加済み
主な操作としてはFGMOのマスターを新サーバーへ変更する
ファイル名を指定して実行
regsvr32 schmmgmt.dllを実行する
Regsvr32 は、Windows レジストリ内の DLL や ActiveX コントロールなどの OLE コントロールを登録および登録解除するためのコマンドライン ユーティリティです。
こうなればOK
再びファイルを指定して実行で「mmc」と入力
スナップインと追加と削除
こうなる
スキーマを追加
操作マスターの変更
そのまま変更を押せばOK
新しいドメインコントローラを選択
不明となっていてもOK
古いバージョンが新しいバージョンを認識できないだけ
スキーママスターは変更できている
ドメイン名前付マスターの変更
右クリックでドメインコントローラーの追加と変更>これで変更先を指定する
操作マスターで変更操作をする
RIDとPDC・インフラストラクチャマスターの変更
ユーザーとコンピューター
後の操作はほとんど同じ
ドメインコントローラの追加と変更で変更先を指定して操作マスターで変更操作
移管が正常に終わっているか確認をする
古いドメインコントローラーの降格作業
ただし途中で降格をしますか?というアナウンスが出るので、降格をした後に機能の削除をする
再起動後、ドメインの管理者権限にログインしてもログインできない
ローカルの管理者でログインして、ドメインから離脱
新サーバーのネットワーク設定>優先DNSサーバーを127.0.0.1に変更
ドメインコントローラーの機能レベルの向上
サーバーマネージャー>ツール>信頼関係>右クリック>ドメインコントローラーの機能レベルの向上
古いバージョンから新バージョンへ機能向上する
ドメイン移管で発生したエラー
Administratorでログインしていない
必ずAdministratorでログインしていないとモジュールが見つからなかったり、エラーが発生する。
そのため、まず権限を確認する(Administratorと同等の権限かを確認する)
操作マスターの変更時のエラー
仮説
現在のDCは操作マスターということはこれが転送先に設定されているのでは?
結論
ドメインコントローラーが追加されていない
本来、移管するのであれば移管先のドメインコントローラーも表示される
●マスタ確認
netdom query fsmo
【参考資料/ブログ】
2012R2➡2019
コマンドでの移行作業
2003➡2012R2
GUIでの移行作業
優先DNSサーバ
コンピュータのネットワーク設定で、DNSを用いてIPアドレスとドメイン名やホスト名の間の変換(名前解決)を行なう際に、最初に問い合わせるDNSサーバのIPアドレスのこと。
代替DNSサーバ (alternate DNS server)
コンピュータのネットワーク設定で、優先DNSサーバが応答しない場合に問い合わせるDNSサーバのIPアドレスを「代替DNSサーバ」(だいたいディーエヌエスサーバ)という。
優先DNSサーバと同様、ISPなどではDHCPで自動設定できるようになっており、利用者が明示的に指定する必要はないことが多い。ISPのDNSサーバが使用不能な場合に備え、代替サーバをあえてパブリックDNSサービスなど他の運用主体のものに設定する利用者もいる。
WSFC(フェールオーバークラスター)
Microsoftのサーバー向けOSであるWindows Serverに搭載されている、可用性を高めるための機能
稼働している複数台のサーバーをまるで1つのサーバーが稼働しているかのように使うことができる機能
いずれかのサーバーで障害が発生しても、他のサーバーが処理を引き継ぎ、システムの停止を防ぐことが可能
複数台のサーバーを全体で1台のサーバーとして動作させることを「クラスター構成」や「クラスタリング」と呼ぶ
要件
- ドメイン参加
- Windows Serverノードのみ
- 共有ディスク(Quorumディスク)
Quorumディスク(クォーラムディスク)
クラスタ化したサーバを使用するシステムで、複数あるサーバそれぞれの状態を共有ディスク上に保持管理し、障害時の復旧に使用される。
iSCSI(アイスカジー)
IPネットワークを利用してSAN(Storage Area Network)を構築するプロトコル規格
Fibre Channel(ファイバチャネル)よりも低価格にSANを構築できます
SAN
トレージ専用ネットワーク
複数のストレージを1つのストレージのように見せる
Windows Serverを利用してiSCSIの構築
①ドメインコントローラーに新規でストレージを作成>ストレージ内に「Data」と「Quorum」を作成
②サーバーマネージャー>役割と機能の追加
③ドメインコントローラーでの操作
iSCSIターゲットサーバーを追加してインストールに進む
④再起動は不要
⑤
ここで共有するサーバーのIPアドレスを指定する
入力したIPアドレスから共有フォルダへのアクセスを許可するという設定
これを今度「Quorum」のバージョンで繰り返す
ターゲットは先ほどのターゲットを選択
ただしサイズだけ違う
ここまでできると追加したハードディスクのフォルダ内にハードディスクイメージが作成される
iSCSIのイニシエーター設定→WSFCの端末で設定
IPアドレスを入力>ドメインコントローラーのIPアドレスを入力
ターゲットが検出される
選択して接続をクリック
接続方法を選択する
ディスク管理を見ると割り当てされていることがわかる
2台目の設定をする前にディスクはオフラインにする
役割と機能の追加からフェールオーバークラスターを追加する→ドメインコントローラーでの設定
フェールオーバークラスターの設定
テストがスタート
クラスターの作成
クラスター作成用の管理アクセスポイントを入力する
IPアドレスが異なるので注意する
フェールオーバークラスターの構成検証テストで警告が出た理由
要するに冗長化してねということ。
しかし仮想環境であれば冗長化構成する必要はない。
→どこかでネットワークが冗長化されているから。
→仮想環境を抱えている物理環境でネットワークが冗長化されていれば、冗長化する必要はない。
注意点としては全ての仮想環境ではないということ。
例えばAWSは冗長化されていない。
※AZという概念になる。
DHCPサーバー(Dynamic Host Configuration Protocol)
ネットワーク上のクライアントを起動すると、その都度、IPアドレスなどのネットワーク利用に必要な設定情報、TCP/IPの構成情報を、各クライアントに自動的に割り当てる機能
DHCPがサーバーに向かない理由
サーバーは常に稼働し続けるという特性上、リース期間が切れると、IPアドレスが変わる可能性がある
IPアドレスが変わるとネットワークの大幅な設定変更が必要になるかもしれない。
DHCPスコープ
下記の項目を設定できる
- IP アドレスの範囲
- 使用するIPアドレスだけでなく、除外することも可能
- サブネットマスク
- スコープ名
- リース期間の値
DHCPオプション
下記の項目を設定できる
- ルーター(デフォルトゲートウェイ)
- ドメイン名・DNSサーバー
- WINSサーバー
リース期間
DHCPサーバーの割り当てフロー
- Discover
- 端末からブロードキャストでDHCPサーバーにIPアドレスが欲しいということを伝える
- 端末 → DHCPサーバー
- ブロードキャスト
- Offer
- DHCPサーバーから端末に割り当てるIPアドレスを提案する
- DHCPサーバー → 端末
- ユニキャスト
- Request
- 端末からDHCPサーバーにブロードキャストで該当のIPアドレスの詳細情報を欲しいというリクエストを送る
- まだIPアドレスが割り当てられていないため、ブロードキャスト
- 端末 → DHCPサーバー
- ブロードキャスト
- Ack(Acknowledge)
- DHCPサーバーから端末にIPアドレスが割り当てられる
- DHCPサーバー → 端末
- ユニキャスト
DHCPリレー(IPヘルパー)
DHCPサーバとDHCPクライアントとの通信ではブロードキャストアドレスが使用されるので、DHCPサーバとDHCPクライアントは同じネットワーク(サブネット)にいる必要があります。が、現在のLANネットワークは多くのサブネットが存在し、そのサブネットをルータやL3スイッチで分離しています。ルータやL3スイッチはブロードキャストを通過させないのでDHCP環境を構築したい場合、サブネットごとにDHCPサーバを導入する必要がありますが、コスト的に現実的ではありません。そこで、DHCPリレーエージェント機能が役立ちます。
DHCPリレーエージェント機能により、DHCPサーバとDHCPクライアントが異なるサブネットに存在してもDHCPクライアントから受信したブロードキャストをユニキャストに変換して、DHCPサーバに転送します
DCUI(direct console user interface)
この2色の画面構成
LAMP
LAMPとは、オープンソースソフトウェアの組み合わせを指す言葉(略称)です。
具体的にはOSのLinux、WebサーバーのApache、データベースのMySQL、プログラミングのPerl、PHP、Pythonを指します。