Windows Server 2008 R2
Windows Server 2008 R2: 入門
William Stanek
概要:
Windows Server 2008 R2 のエディション
クイック ツアー
Windows PowerShell 2.0 と WinRM 2.0
コア パーキング (コア保留)
Active Directory の変更に関するロード マップ
ブランチ キャッシュ
そろそろ、Windows Server 2008 R2 という製品名を一度は耳にしたり、中には既にインストールされている方もいらっしゃるのではないかと思います。この記事では、Windows Server 2008 R2 のことを単に "R2" と呼ぶ場合があることに、ご注意ください。R2 は増分リリースなので、Windows Server 2008 と Windows 7 についての知識を応用できます。Windows Server 2008 R2 は、Windows Server 2008 をベースに機能を強化したもので、Windows 7 と同じコアを共有しています。同じコアが採用されているので、R2 と Windows 7 には、共通の機能やコンポーネントが多数存在し、Windows 7 と R2 のどちらを操作している場合でも、同じような方法でコンピューターを管理できます。
Windows Server 2008 と同様に、R2 でも、言語の独立性とディスク イメージを確保するために、モジュール化を採用しています。Windows Server 2008 R2 は、Windows Imaging Format (WIM) ディスク イメージを使用して配布しています。また、R2 では、Windows 7 と同様に、Windows Preinstallation Environment 3.0 (Windows PE 3.0) を使用して、オペレーティング システムの読み込みに使用するブート アプリケーションを選択できるブート マネージャーをプレインストール サービスとプレブート サービスに提供しています。マルチブート システムでは、レガシー OS エントリを使用して、ブート環境で Windows Vista 以前のオペレーティング システムにアクセスできます。
Windows Server 2008 R2 のセットアップ プログラムでは、サーバー上に Windows 回復環境 (Windows RE) パーティションが作成されます。Windows RE を使用すると、トラブルシューティング、システム イメージからの再インストール、メモリの診断をコマンド ラインで実行できます。
Windows Server 2008 R2 では、Windows Aero の機能強化 (Aero グラス、フリップ、3D フリップなど)、Windows サイド バー、Windows ガジェットなどの外観に関する機能強化が施されていない点が Windows 7 と異なります。ただし、デスクトップ エクスペリエンス機能をインストールして、Windows 7 のデスクトップ機能をサーバーに追加することは可能です。追加される Windows 7 の機能には、文字コード表、デスクトップ テーマ、ディスク クリーンアップ、Snipping Tool、サウンド レコーダー、同期センター、Windows 用ビデオ (AVI サポート)、Windows Defender、Windows Media Player などがあります。これらの機能が使用できると、サーバーをデスクトップ コンピューターのように使用できるというメリットがありますが、サーバーの全体的なパフォーマンスは低下します。
R2 のエディションについて理解する
同じコアを使用している点を除くと、Windows Server 2008 R2 は Windows 7 と大きく異なります。まず、R2 は、64 ビットのみに対応した最初の Windows OS だということが挙げられます。具体的には、x64 アーキテクチャ用にデザインされた 64 ビット システムのみをサポートしています。Itanium 64 ビット (IA-64) プロセッサのサポートは、Windows オペレーティング システムでは標準外となり、R2 では Itanium ベースのコンピューター用に個別のエディションを開発しました。
.jpg)
図 1. アクション センターを使用する
R2 では、次のエディションが提供されています。
- Windows Server 2008 R2, Foundation Edition。小規模な企業を対象にコスト効率が良いエントリ レベルのプラットフォームを提供します。このエディションでは、Active Directory フェデレーション サービス (ADFS) や Hyper-V はサポートしていません。証明機関の展開には使用できますが、他の関連サービスはホストできません。他の役割は、すべてサポートしていますが、いくつかの制限事項があります。また、DirectAccess の管理とフェールオーバー クラスタリングの機能もサポートされていません。このエディションでは、最大 8 GB の RAM と 1 基の独立したソケット プロセッサがサポートされます。
- Windows Server 2008 R2, Standard Edition。ネットワーク上の他のシステムに必要なサービスとリソースを提供します。このエディションでは、Hyper-V をサポートしていますが、他のサービスについても制限事項があります。また、ADFS はサポートしていません。証明機関の展開には使用できますが、他の関連サービスはホストできません。また、フェールオーバー クラスタリングの機能もサポートされていません。このエディションでは、最大 32 GB の RAM と 4 基の独立したソケット プロセッサがサポートされます。
- Windows Server 2008 R2, Enterprise Edition。エンタープライズ クラスのスケーラビリティと可用性を提供します。このエディションでは、Foundation Edition や Standard Edition のような制限事項はなく、すべてのサーバーの役割がサポートされています。また、フェールオーバー クラスタリングなどの追加機能もサポートしています。このエディションでは、最大 2 TB の RAM と 8 基の独立したソケット プロセッサがサポートされます。
- Windows Server 2008 R2, Datacenter Edition。グローバルなデータセンター クラスのスケーラビリティと可用性を提供し、ホットアド メモリ、ホットアド プロセッサ、動的置換メモリ、動的置換プロセッサに対応するための機能強化も施されています。このエディションでは、最大 2 TB の RAM と 64 基の独立したソケット プロセッサがサポートされます。
- Windows Server 2008 R2 for Itanium-based Systems。基幹業務アプリケーションをホストして、大規模な仮想化ソリューションを実装するためのエンタープライズ クラスのプラットフォームを提供します。このエディションは、コア サービスをサポートするようにはデザインされておらず、アプリケーション サーバーと Web サーバー (IIS) の役割と、フェールオーバー クラスタリングの機能のみをサポートするようにデザインされています。この記事の執筆時点では、これ以外の役割はサポートされていません。このエディションでは、最大 2 TB の RAM と 64 基の独立したソケット プロセッサがサポートされます。
- Windows Web Server 2008 R2。Web サイトと Web ベースのアプリケーションを展開するための Web サービスを提供します。このエディションには、Microsoft .NET Framework、IIS、ASP.NET、アプリケーション サーバー、負荷分散機能、DNS サーバー、Windows Server Update Services、Windows Media サービスのみが同梱されています。このエディションでは、最大 32 GB の RAM と 4 基の独立したソケット プロセッサがサポートされます。
R2 のエディションを紹介したので、これ以降では、R2 のしくみと新機能について説明します。
.jpg)
図 2. 問題の解決策を入手する
クイック ツアーに参加する
セキュリティとメンテナンスに関する操作は、アクション センター (図 1 参照) で行います。組み込みの診断機能で問題が特定されると、アクション センターにアクセスして、その問題に関する情報を確認し、詳細情報を入手することもできます。問題に関する詳細情報を入手するときには、解決策も併せて提示されることがあります。図 1 の例では、サーバーのサウンド カードと Intel Active Management デバイスに問題があることがわかります。[メッセージの詳細の表示] ボタンをクリックすると、詳しいメッセージが表示され、最新のドライバをダウンロードするリンクが提示されます (図 2 参照)。
組み込みの診断機能で、必ず問題が検出されたり、解決策が提示されたりする保証はありませんが、関連処理は、以前の実装よりも強化されています。また、メンテナンス パネルでは、[解決策の確認] をクリックして、自動的に検出されなかった問題を確認できます。
ネットワークと共有センター (図 3 参照) は、R2 でも引き続きネットワークを構成する中心的な役割を担っています。Windows Server 2008 R2 では、ネットワークは次のカテゴリに分類されます。
- ドメイン ネットワーク
- 作業ネットワーク
- パブリック ネットワーク
.jpg)
図 3. ネットワークと共有センターを使用する
各ネットワーク カテゴリには、ネットワーク プロファイルが関連付けられています。R2 では、ネットワーク カテゴリごとに、ネットワーク探索、共有の設定、およびファイアウォールの設定を個別に保持しているので、サーバーでは、ネットワーク カテゴリごとに、異なるネットワーク探索や共有の設定を構成できます。Windows ファイアウォールでは、受信規則、送信規則、およびセキュリティ規則もネットワーク プロファイルごとに保持されます。また、サーバーが接続しているネットワークによっては、複数のアクティブなファイアウォール プロファイルを保持することも可能です。
Windows Server 2008 と同様に、R2 でも TCP Chimney オフロード機能がサポートされています。この機能を使用すると、ネットワーク サブシステムが、TCP/IP 接続の処理をサーバーのプロセッサからサブシステムのネットワーク アダプターにオフロードできます (ただし、ネットワーク アダプターで TCP/IP オフロード処理がサポートされている場合に限ります)。TCP/IPv4 接続と TCP/IPv6 接続のどちらもオフロードできます。TCP 接続は、既定では、10 Gbps ネットワーク アダプターではオフロードされますが、1 Gbps ネットワーク アダプターではオフロードされません。関連設定は、Netsh を使用して調整できます。
Windows Server 2008 R2 では、DNS Security Extension (DNSSEC) のサポートが追加されました。Windows 7 と R2 の DNS クライアントでは、DNSSEC のサポートに関するクエリを送信して、関連レコードを処理して、DNS サーバーに検証済みのレコードがあるかどうかを特定できます。DNSSEC のサポートにより、DSN サーバーでは、ゾーンに安全に署名をしたり、DNSSEC で署名されたゾーンをホストしたりすることができます。また、DNS サーバーでは、関連レコードを処理して、レコードの評価と認証の両方を行うことが可能になります。
R2 では、ターミナル サービスとその関連コンポーネントが廃止され、リモート デスクトップ サービスという新機能が導入されました。リモート デスクトップ サービスにより、ユーザーは、セッション ベースのデスクトップ、仮想マシン ベースのデスクトップ、およびリモート サーバーでホストしているアプリケーションにアクセスできるようになります。R2 では、関連する管理ツールの名称の変更に伴い、リモート デスクトップ サービスに関連するすべての役割サービス名が変更されています。図 4 に、各役割サービスの以前の名前と新しい名前を示します。また、図 5 には、各管理ツールの以前の名前と新しい名前を示します。
| 以前の役割サービスの名前 | 新しい役割サービスの名前 |
| ターミナル サービス | リモート デスクトップ サービス |
| ターミナル サーバー | リモート デスクトップ セッション ホスト (RD セッション ホスト) |
| ターミナル サービス ライセンス (TS ライセンス) | リモート デスクトップ ライセンス (RD ライセンス) |
| ターミナル サービス ゲートウェイ (TS ゲートウェイ) | リモート デスクトップ ゲートウェイ (RD ゲートウェイ) |
| ターミナル サービス セッション ブローカ (TS セッション ブローカ) | リモート デスクトップ接続ブローカー (RD 接続ブローカー) |
| ターミナル サービス Web アクセス (TS Web アクセス) | リモート デスクトップ Web アクセス (RD Web アクセス) |
図4. 役割サービスの名前
R2 の Active Directory 証明書サービス (AD CS) では、いくつかの機能とサービスが追加され、公開キー基盤 (PKI) を簡単に展開して、強化されたネットワーク アクセス保護 (NAP) のサポートを提供できるようになりました。証明書の登録 Web サービスと証明書の登録ポリシー Web サービスにより、HTTP 経由およびフォレスト間で証明書を登録することができます。その結果、複数のフォレストを展開している場合に証明機関 (CA) の統合が可能になり、一部の NAP 展開においては CA データベースのサイズを縮小できます。
R2 では、ソフトウェアの制限のポリシー機能の代わりに Windows AppLocker が導入されました。AppLocker を使用すると、管理者は、ユーザーによるファイル (実行可能ファイル、DLL、スクリプト、Windows インストーラー ファイルなど) のアクセスおよび使用方法を制御できます。このような制御は、実行できるファイルを指定した規則を定義することで可能になっています。規則に含まれていないファイルの実行は許可されません。
| 以前のツールの名前 | 新しいツールの名前 |
| ターミナル サービス マネージャ | リモート デスクトップ サービス マネージャー |
| ターミナル サービスの構成 | リモート デスクトップ セッション ホストの構成 |
| TS ゲートウェイ マネージャー | リモート デスクトップ ゲートウェイ マネージャー |
| TS ライセンス マネージャー | リモート デスクトップ ライセンス マネージャー |
| TS RemoteApp マネージャ | RemoteApp マネージャー |
図 5. 管理ツールの名前
Windows Server 2008 R2, Enterprise Edition、Database Edition、および Itanium 用のエディションでは、フェールオーバー クラスターをサポートしています。フェールオーバー クラスターは、アプリケーションやサービスの可用性を高めるために連動する独立したサーバー グループです。クラスターを構成する各サーバー (通称、ノード) は、クラスター内の別のサーバーで障害が発生したアプリケーションやサービスの代わりに機能するように構成されています。R2 では、フェールオーバー クラスターに対応した Windows PowerShell コマンドレットが追加され、クラスターの検証プロセスを向上し、(Hyper-V でサポートされている) クラスター化した仮想マシンの管理が強化されています。仮想マシンでは、クラスターの共有ボリュームが使用できるようになりました。
以前、フェールオーバー クラスターではサービスとアプリケーションを構成できましたが、R2 では、それに加えて負荷分散リモート デスクトップ サーバー ファームでリモート デスクトップ接続ブローカーを負荷分散とセッションの再接続に対応するように構成することが可能になりました。また、DFS レプリケーションを構成して、サーバーと帯域幅に制限のあるネットワーク接続間でフォルダーの同期状態を保ったり、レプリケーション グループに参加している任意のサーバーをクラスター化したりすることができます。
クラスターについて説明している間に、R2 では、iSCSI Software Initiator やマルチパス I/O (MPIO) など、耐久性の高いハードウェアやデータセンターのソリューション向けの新しい機能が追加されたこともお伝えしておきましょう。Microsoft iSCSI Software Initiator により、Windows サーバーをイーサネット ネットワーク アダプター経由で外部の iSCSI ベースのストレージ配列に接続できます。R2 では、iSCSI Initiator のユーザー インターフェイスを一新して、一般的に使われる設定にアクセスしやすくなり、クイック接続など、いくつかの新機能が追加されました (クイック機能を使用すると、1 回のクリック操作で基本的なストレージ デバイスにアクセスできます)。iSCSI ブートでは、ブート時に最大 32 とおりのパスがサポートされるようになり、 巡回冗長検査ヘッダーとデータ ダイジェストのオフロードがサポートされるようになりました。
MPIO では、ストレージへの複数のデータ パスがサポートされるようになり、ストレージ接続のフォールト トレランスが向上しました。また、MPIO の正常性に関する報告が向上し、構成レポートも提供されるようになりました。これらの変更により、パス データを簡単に取得できるようになりました。MPClaim コマンド ライン ユーティリティを使用して、負荷分散ポリシーを構成することもできます。
.jpg)
図 6. Active Ditrectory 管理センターを使用する
Hyper-V も大幅に強化されました。このような機能強化には、新しく導入されたライブ マイグレーションの機能、動的な仮想マシン記憶域のサポート、プロセッサとネットワーク サポートの強化などがあります。
駆け足でお届けしてきたツアーの最後に、Active Directory 管理センター (図 6 参照) をご紹介しましょう。この新しいツールには、Active Directory を管理するためのタスク指向のインターフェイスが用意されています。このツールを使用すると、次の作業を行えます。
- 1 つ以上のドメインに接続する
- ユーザー アカウントを作成および管理する
- グループを作成および管理する
- 組織単位を作成および管理する
- Active Directory のグローバル検索を実行する
Active Directory 管理センターでは、管理作業の実行に Windows PowerShell を使用し、Microsoft .NET Framework 3.5.1 に依存しています。そのため、Active Directory の管理に Active Directory 管理センターを使用する場合は、この 2 つの機能をインストールして適切に構成する必要があります。また、Active Directory 管理センターでは、Active Directory Web サービス (ADWS) で提供されている Web サービスも使用しています。そのため、少なくとも管理対象となる各 Active Directory ドメインのドメイン コントローラーの 1 つには、ADWS がインストールされ、関連サービスが実行されている必要があります。既定では、接続は、TCP 経由でポート 9389 を使用して確立されるので、ファイアウォール ポリシーでは、このポートで ADWS を例外として追加する必要があります。
Windows PowerShell 2.0 と WinRM 2.0
刺激的で興味深い Windows PowerShell コマンドレットをどのように使用できるのかを知りたいと思っていらっしゃる方も多いことでしょう。ほとんどの R2 の構成では、Windows PowerShell 2.0 は既定でインストールされます。フル インストール サーバーでは、Windows PowerShell コンソールにはクイック起動ツール バーからアクセスできます。また、機能の追加ウィザードを使用してグラフィカルなスクリプト環境をインストールすることもできます。サーバー コア インストールでも、Windows PowerShell をインストールできるようになりました。
Windows PowerShell を起動して、プロンプトでコマンドレットの名前を入力すると、コマンド ラインのコマンドと同じようにコマンドレットを実行できます。またスクリプト内からコマンドレットを実行することもできます。コマンドレットには、"動詞-名詞" という単語の組み合わせを使用した名前が付けられています。動詞の部分は、一般的に、コマンドレットで行う処理を表します。名詞の部分は、そのコマンドレットで処理するものを表します。たとえば、start-service コマンドレットは、Windows サービスを開始し、stop-service コマンドレットは、Windows サービスを停止します。
Active Directory 管理センターの機能を強化する便利なコマンドレットもあります。これらのコマンドレットを使用するには、Windows PowerShell プロンプトで「Import-Module ActiveDirectory」と入力して、Active Directory モジュールをインポートする必要があります。モジュールをインポートしたら、実行中の Windows PowerShell インスタンスで Active Directory 管理センター用のコマンドレットを使用できます。次回 Windows PowerShell を起動したときに、Active Directory 管理センター用のコマンドレットの機能を使うには、モジュールを再度インポートする必要があります。また、[管理ツール] メニューの [Windows PowerShell 用の Active Directory モジュール] を選択して、Windows PowerShell の起動時にモジュールがインポートされるようにすることもできます (図 7 参照)。
.jpg)
図 7. Windows PowerShell 用の Active Directory モジュールを使用する
Windows PowerShell はリモート管理にも使用できます。リモート管理機能は、WS-Management プロトコルと Windows で WS-Management プロトコルを実装している Windows リモート管理 (WinRM) サービスでサポートされています。R2 には、WinRM 2.0 が同梱されています。Windows 7 と Windows Server 2008 R2 のどちらでも、WinRM によるリモート管理が既定でサポートされます。以前のリリースの Windows に関しては、Windows Management Framework をインストールして対応できます (このフレームワークには、Windows PowerShell 2.0 と WinRM 2.0 が同梱されています)。
リモート管理に Windows PowerShell を使用するときには、必ず管理者として Windows PowerShell を起動する必要があります。また、WinRM が、管理する側のコンピューターと管理される側のサーバーの両方で適切に構成されている必要があります。「winrm quickconfig」と入力すると、WinRM の構成を確認して更新できます。
コンピューターが同じドメイン内に存在するか、ワークグループで作業をしていて、ドメインに参加しているリモート コンピューターを信頼されたホストとして追加している限り、サーバー マネージャー (および他の Microsoft 管理コンソール) を使用してリモート コンピューターで管理作業を実行できます。フル インストールとサーバー コア インストールのどちらのインストール オプションを使用して構成したサーバーにも接続できます。
サーバー マネージャーのリモート管理機能を有効にしたら、サーバー マネージャーを使用して、次のようなリモート管理作業を行えます。
- 役割、役割サービス、機能を参照および管理する (ただし、これらの追加と削除は除く)
- セキュリティが強化された Windows ファイアウォールを参照および管理する
- Windows のイベントとサービスを参照および管理する
- パフォーマンス モニターを参照および管理する
- スケジュールされたタスクを参照および管理する
- ディスクを参照および管理する
- エラー報告とカスタマー エクスペリエンスの状態を構成する
- 自動更新の状態を参照する
リモート管理では、Windows PowerShell を使用し、WinRM が適切に構成されている必要があります。また、フル インストールとサーバー コア インストールのどちらでも、サーバー マネージャーで明示的にリモート管理を有効にする必要があります。
.jpg)
図 8. グループ ポリシーで Windows PowerShell スクリプトを使用する
フル インストールのサーバーでは、ローカル ログオン時に "サーバー マネージャーのリモート管理の構成" オプションまたは Configure-SMRemoting.ps1 スクリプトを使用できます。サーバー コア インストールでは、サーバーの構成 (Sconfig.exe) ユーティリティを使用できます。
R2 には、Windows PowerShell からグループ ポリシーを管理できるコマンドレットが用意されています。必要なのは、Windows PowerShell プロンプトで「Import-Module GroupPolicy」と入力して、グループ ポリシーのモジュールをインポートするだけです。モジュールをインポートしたら、実行中の Windows PowerShell インスタンスでグループ ポリシー用のコマンドレットを使用できます。
Windows PowerShell スクリプトは、ログオン、ログオフ、スタートアップ、およびシャットダウン時に実行することもできます。Windows PowerShell スクリプトは、他の種類のスクリプトより前に実行するように構成できます (図 8 参照)。また、他の種類のスクリプトを実行した後に実行することもできます。スクリプトでは、必要なモジュールをインポートして、作業環境を設定する必要があることを忘れないようにしてください。
コア パーキング (コア保留) の概要
R2 に「コア パーキング」(コア保留) という機能があることは、おそらくご存じでしょう。ただし、この機能がどのような経緯で導入され、どのようなしくみになっているのか、ということはご存じではない方もいらっしゃると思います。コア パーキング (コア保留) は、サーバーの負荷に基づいて、プロセッサ コアを調整またはアイドル状態にすることで消費電力を削減するようにデザインされています。この機能は、Windows 7 と Windows Server 2008 R2 で Advanced Configuration and Power Interface (ACPI) 4.0 仕様がサポートされたことで可能になりました (この仕様は 2009 年 6 月に完成しました)。700 ページを超える公式文書を隈なく読むことを厭わない方は少数だと思いますので、電力管理に関する内容の一部をご紹介しましょう。
Windows では ACPI を使用して、システムとデバイスの電源状態の遷移を管理しています。消費電力を削減するために、デバイスで電源の状態を "通常の電力"、"省電力"、"電源オフ" の間で切り替えています。省電力 (調整済み) の状態では、プロセッサの動作周波数が低下します。電源オフ (アイドル) 状態では、プロセッサはアイドル スリープ状態になります。
サーバーの電源設定は、現在使用されている電源プランに基づいています。Windows Server 2008 R2 の現在使用されている既定の電源プランは "バランス" と呼ばれるものです。このプランでは、ACPI の機能強化を活用して、消費電力を削減します。ACPI 3.0 仕様では、プロセッサの負荷を調整する方法として、最小のプロセッサの状態と最大のプロセッサの状態を定義していましたが、この仕様は、独立したソケット プロセッサを操作すること意図したもので、論理プロセッサ コアを操作することは意図していませんでした。論理プロセッサ コアを調整してアイドル状態にするための解決策が、ACPI 4.0 仕様によってもたらされました (ここでは関連がありませんが、この仕様によって実現したことは、これ以外にもあります)。
ACPI 4.0 により、電源ポリシーでプロセッサの状態の上限と下限を指定すると、Windows では、これらの状態を独立したソケット プロセッサだけでなく、論理プロセッサ コアにも適用されます。上限と下限によって、許容されるパフォーマンスの状態の範囲を定義します。たとえば、上限が 100% で、下限が 5% の場合、Windows では、この範囲内かつ処理負荷が許す範囲でプロセッサを調整し、消費電力を削減できます。複数の 4 GHz プロセッサを搭載したコンピューターでは、プロセッサの動作周波数を 0.25 GHz から 4 GHz までの範囲で調整できます。
説明のみを目的としたものですが、図 9 にプロセッサの調整とアイドル状態の例を示します。ここでは、コンピューターに 4 基の独立したソケット プロセッサが搭載されており、各プロセッサには 4 つの論理プロセッサがあります。現在の処理負荷では必要ないプロセッサのコアはアイドル状態になり、部分的に必要なプロセッサ コアについては調整が行われます。たとえば、プロセッサ 1 の論理コア 1 の使用率は 90% ですが、論理コア 2 ~ 4 の使用率は 80% です。4 GHz のプロセッサの場合、これは、論理コア 1 が 3.6 GHz で動作し、論理コア 2 ~ 4 は 3.2 GHz で動作しているということになります。また、プロセッサ 3 とプロセッサ 4 には、完全なアイドル状態でスリープ状態になっているコアがあります。
.jpg)
図 9. プロセッサの状態を理解する
Windows で一定のパフォーマンス状態が維持されるようにするには、同じ上限と下限を使用します。この場合、Windows では、プロセッサの動作周波数を調整しません。プロセッサの関係を調整した処理により、この機能の効率が低下するので、アプリケーションのプロセッサの関係の設定については入念に計画を立てることをお勧めします。
Active Directory の変更に関するロード マップ
R2 の Active Directory ドメイン サービス (AD DS) では、多数の新機能が導入されました。R2 を使用していて、Active Directory フォレストの全ドメインの全ドメイン コントローラーに R2 を展開すると、ドメインの機能レベルとフォレストの機能レベルは R2 で運用できます。この新しい運用レベルにより、管理容易性、パフォーマンス、サポート可能性を向上する Active Directory の機能強化を活用できます。
最も重要な機能強化の 1 つは、Active Directory のごみ箱です。この機能により、管理者は、間違って削除した Active Directory オブジェクトを元に戻すことができます。ごみ箱の機能を有効にすると、削除したオブジェクトのリンクされた属性値とリンクされていない属性値が維持されるので、Authoritative Restore を実行しなくても、削除する前と同じ状態にオブジェクトを復元できます。このアプローチは、削除したオブジェクトの回復に Authoritative Restore を使用していた以前の実装とは大きく異なります。以前は、オブジェクトを削除すると、リンクされていない属性値の多くは消去され、リンクされた属性値は削除されていました。そのため、削除したオブジェクトを復元しても、完全には以前の状態に戻りませんでした。
管理されたアカウントも重要な機能強化の 1 つです。ミッション クリティカルなアプリケーションでは、サービス アカウントを使用することが多く、ローカル コンピューターでは、Local Service や Local System など、組み込みのユーザー アカウントを使用して実行するようにアプリケーションを構成できます。ただし、このようなアカウントは複数のアプリケーションやサービスで共有されるので、ドメイン レベルでは管理できません。ドメイン アカウントを使用するようにアプリケーションを構成する場合、アプリケーションの特権を分離することはできますが、Kerberos 認証に必要なアカウントのパスワードとサービス プリンシパル名 (SPN) を手動で管理する必要があります。
サービス アカウントの管理によるオーバーヘッドを削減するため、R2 では、次の 2 種類の新しい管理されたアカウントがサポートされます。
- 管理されたサービス アカウント
- 管理された仮想アカウント
管理されたサービス アカウントは、管理されるサービス用の特殊なドメイン ユーザー アカウントで、アカウントのパスワードおよび関連する SPN が自動的に管理されるようにすることで、サービス停止状態や他の問題を軽減します。管理された仮想アカウントは、管理されたサービス用の特殊なローカル コンピューター アカウントで、ドメイン環境でコンピューターの ID を使用してネットワークにアクセスできるようにします。
管理されたサービス アカウントを使用するには、実際のアカウントを作成します (このアカウントは、既定で、Active Directory の Managed Services Accounts OU に格納されます)。次に、ローカル サーバーに管理されたサービス アカウントをインストールし、アカウントをローカル ユーザーとして追加します。最後に、このアカウントを使用するようにローカル サービスを構成します。
仮想アカウントを使用するには、ドメイン環境でコンピューターの ID を使用してネットワークにアクセスするローカル サービスを構成します。コンピューターの ID を使用するので、アカウントを作成したり、パスワードを管理したりする必要はありません。
R2 には、これらのアカウントを作成および管理するユーザー インターフェイスが用意されていません。アカウントの管理には、Windows PowerShell 用の Active Directory モジュールを使用する必要があります。
R2 では、新しい認証制御の機能を利用できます。認証メカニズム保証では、ユーザーが証明書ベースのログオン方法を使用しているかどうかに基づいて、管理者がリソースへのアクセスを制御できるようにすることで、認証プロセスを強化しています。ユーザーには、スマート カードを使用してログオンした場合とスマートカードを使用しないでログオンした場合で、異なるアクセス許可を与えることができます。
最後に、R2 では、オフライン ドメイン参加を実行できます (この機能を使用するためにドメインやフォレストの機能レベルを上げる必要はありません)。オフライン ドメイン参加の機能を使用すると、管理者は、ドメインでコンピューター アカウントを事前に準備して、オペレーティング システムを展開するための準備を整えることができます。事前に準備されたコンピューターは、ドメイン コントローラーにアクセスしなくても、ドメインに参加できます。事前にアカウントを準備するためのコマンド ライン ユーティリティは、Djoin.exe です。
ブランチ キャッシュの概要
Windows BranchCache は、バックグラウンド インテリジェント転送サービス (BITS) と連動するファイル キャッシュ機能です。デスクトップ コンピューターで Windows 7 を実行し、サーバーで R2 を実行しているドメイン環境では、デスクトップ コンピューターがドキュメントなどのファイルを、リモート サーバーではなく、ローカル キャッシュから取得できるようにすることが可能です。
ブランチ キャッシュは、HTTP とサーバー メッセージ ブロック (SMB) を使用して転送されたファイルに対して機能するので、イントラネット Web サーバーまたは社内のファイル サーバーから転送されたファイルをキャッシュできます。基本的なレベルでは、ブランチ キャッシュは、次のように機能します。
- ブランチ キャッシュを有効にすると、イントラネット Web サイトやファイル サーバーのファイルに初めてアクセスした場合、ファイルはサーバーから転送され、ブランチ オフィス内にキャッシュされます。
- その後、同じユーザーまたはブランチ オフィス内の別のユーザーが、同じファイルにアクセスすると、ローカル キャッシュにあるファイルを検索します。ファイルが検出されると、ファイルの取得元サーバーに、キャッシュしてからファイルが変更されたかどうかをクエリします。
- ファイルが変更されていない場合、ローカル キャッシュからファイルを取得するので、ワイド エリア ネットワーク経由でファイルを転送する必要がなくなります。ファイルが変更されている場合は、サーバーからファイルを取得し、キャッシュにあるファイルを更新します。
ブランチ キャッシュは、分散キャッシュ モードとホスト型キャッシュ モードのいずれかを使用して構成できます。分散キャッシュ モードを使用すると、Windows 7 を実行しているデスクトップ コンピューターで分散ファイル キャッシュがホストされます。ファイルは、各ローカル コンピューターにキャッシュされ、そこから配信されるのでブランチ サーバーは必要ありません。ホスト型キャッシュ モードを使用すると、R2 を実行しているブランチ オフィス内のサーバーでローカル ファイル キャッシュがホストされます。サーバーで、ファイルをキャッシュして、クライアントにファイルを配信します。ご想像のとおり、ブランチ キャッシュを使用すると、応答時間を大幅に短縮して、ドキュメント、Web ページ、マルチメディア コンテンツの転送時間を大幅に短縮できます。
まとめ
この記事では、利用できるエディションから新機能に関するクイック ツアーまで、Windows Server 2008 R2 の概要をご紹介しました。この概要記事がお役に立てばさいわいです。また、私の著書『Windows PowerShell 2.0 Administrator's Pocket Consultant』(Microsoft Press、2009 年)、『Windows 7 Administrator's Pocket Consultant』(Microsoft Press、2009 年)、および『Windows Server 2008 Administrator's Pocket Consultant, 2nd Edition』(Microsoft Press、2009 年) もご一読いただければ、うれしく思います。
William R. Stanek (williamstanek.com) は、先駆者的なテクノロジの専門家で、優秀なトレーナーや 100 冊以上もの優れた書籍の著者としても活躍しています。好評発売中の書籍と予約受付中の書籍には、『Active Directory Administrator's Pocket Consultant』、『Group Policy Administrator's Pocket Consultant』、『Windows 7 Administrator's Pocket Consultant』、『Windows PowerShell 2.0 Administrator's Pocket Consultant』、『Windows Server 2008 Inside Out』などがあります。Twitter で Stanek (WilliamStanek) をフォローしてみてください。