Server Core を使ってみよう

最終更新日時:2011/06/02 03:52:17
Windows Server 2008 のServer Core インフォメーションオプションのインストールから設定方法を紹介します。
← 1 2 3 4 →

リモートからの管理

コンピュータ名の設定, IP アドレスの設定についてはすでに説明されているため、 ここではそれ以降に Server Core を管理していくのに必要な設定を記載します。

リモートデスクトップの有効

リモートデスクトップの設定をしましょう.リモートデスクトップを設定するためには、 Server Core 用の設定スクリプトを利用して実行します。

CScript %Windir%\System32\SCregEdit.wsf /ar 0

この設定により,以下の設定変更が入ります。

レジストリ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections を 0

セキュリティが強化された Windows ファイアウォール:
現在のプロファイル(ネットワークと共有センターで認識している場所)の リモート デスクトップ (TCP 受信) を許可

詳細については、

netsh advfirewall firewall show rule name="リモート デスクトップ (TCP 受信)" verbose

を実行すると把握できますが、接続元の IP が Any となっていることがわかります。もし,特定のクライアントのみ許可したい場合には以下の設定を追加します。(x.x.x.x は許可したい IP アドレスです)

netsh advfirewall firewall set rule name="リモート デスクトップ (TCP 受信)" new remoteip=x.x.x.x

なお,リモートデスクトップが有効か無効化は /ar /v で確認することができるようになっています。(1 で無効、0 で有効)
また,この設定は現在のプロファイル(ネットワークと共有センターで認識している場所)に対する変更しかされないため、例えば,ドメイン参加前に設定を行った後にドメインに参加すると,ファイアウォールによるブロックされます。この場合, SCregEdit.wsf を利用してリモートデスクトップの無効化(/ar 1)、有効化(/ar 0)を実行することで接続できるようになります。(単に有効化を再実行するだけでは処理されないようです)

リモート管理の有効

サーバが複数台存在するような環境の場合,運用管理用のサーバや端末から一元管理したり,トラブル時にはリモートでイベントログを参照したいことがあります。そのような場合には以下のコマンドを実行しファイアウォールの設定を変更します。

netsh advfirewall firewall set rule group="リモート管理" new enable=yes

この設定により,以下のルールが全プロファイルに対して有効になります。

リモート管理 (RPC-EPMAP)
リモート管理 (NP 受信)
リモート管理 (RPC)

ファイアウォールのリモート管理

リモートでファイアウォールの管理も実施したい場合は、以下のコマンドを実行します。

netsh advfirewall set currentprofile settings remotemanagement enable

この設定により,以下の現在のプロファイルに対して、ルールが有効になります。

Windows ファイアウォール リモート管理 (RPC-EPMAP)
Windows ファイアウォール リモート管理 (RPC)

他のコンピュータから対象サーバのファイアウォールを netsh コマンドから制御する場合は

netsh -r <コンピュータ名> -u <ユーザ名> -p <パスワード>

から接続できます。(パスワード部分を * にすると,パスワードの入力画面が表示されますので,パスワードの平文をコマンド引数に渡す必要がありません)

また,管理ツールからアクセスするには、リモートの管理ツールがインストールされているサーバもしくは端末から mmc.exe を起動しスナップインの追加を行うと,対象サーバを指定できます。
(スタートメニューの管理ツールから起動すると、接続先がローカルのみとなるので注意してください)
なお,この設定もリモートデスクトップのときと同様,現在のプロファイル(ネットワークと共有センターで認識している場所)に対する変更なので,例えば,設定後にドメインに参加すると機能しなくなります。そのため、ドメイン参加後に再度上記コマンドを実行するか、上記コマンドの currentprofile を allprofiles に変更することで,全てのプロファイルでアクセスできるようになりますし,domainprofile とすることでドメイン参加時のみ許可することもできます。

INDEX

▲このページのトップへ