サーバー構築 | ミニミニ管理者(システム管理者/社内SE/CIO)の独り言

[ ミニミニ管理者の独り言 > - > スポンサーサイト ]
スポンサードリンク

スポンサーサイト

一定期間更新がないため広告を表示しています



スポンサードリンク


■Blog Ranking■
1. ←←サーバー構築・運用ブログあり お奨め:★★★★★
2. (ブログランキング ドット ネット)
3.にほんブログ村 IT技術ブログへにほんブログ村
4.BS blog Ranking
ブログランキングに挑戦中です。あなたもブログランキングに挑戦してみよう!
サーバー構築・運用ブログなんかもありますのでシステム管理者の方にもお奨めのサイトがあり!
ソニーストア
ボーズ・インイヤーヘッドホン
| 2015年03月11日 | - | - | - |

[ ミニミニ管理者の独り言サーバー構築 > NTPサーバの運用(Windows Server2003/2008) ]
スポンサードリンク

NTPサーバの運用(Windows Server2003/2008)

JUGEMテーマ:コンピュータ


サーバにとって時間の正確さはクライアントPC以上に重要なものです。

■なぜ、サーバにおいて時刻同期が必要か。
例えば、ログ(履歴)を取るシステムがあります。
他のサーバと時間がずれていると間違った時間をログに記載してしまいます。

他にもOracleなどのDBMSもレコードに処理時間(年月日時分秒)を記載することがあります。これも時刻がズレていると間違った時刻で登録されてしまいます。

基幹システムなどでサーバー間にバッチ連動がある場合、デュアルシステムやデュプレックスシステムなどを構成している場合などでサーバ間の同期が必要なものなど様々あります。

1)デュアルシステム
2つのコンピュータが同一処理を行い、一定間隔で処理結果を照合し合う方式。一方がダウンしても、もう一方が処理を続行する。

2)デュプレックスシステム
2系統のシステムで構成され、一方は運用系としてオンライン処理を行い、もう一方は待機系として故障に備えている。多くの場合、待機系はバッチ処理を行っている。


そこで、サーバ間にて時刻の同期を取るための仕組みが「NTPサーバ」です。
これは正確な時間を刻むサーバ(NTPサーバ)とそのNTPサーバと同期を取るNTPクライアントで構成されます。

■NTPサーバの構築
WindowsServerではNTPサーバに標準で対応していないため、NTPサーバを構築するには専用のサーバアプリケーションを入れる事になります。Windows用であれば桜時計が有名です。

しかし、WindowsをNTPサーバにするのはあまり好ましくありません。
それは時刻同期において信頼性に欠けるからです。

一般的には、社内にUNIXやLINUXサーバにてNTPサーバを構築するか、外部のNTPサーバを参照するか、CISCOなどのネットワーク機器でNTPサーバ機能を有しているものをNTPサーバとすることが多いです。

■NTPクライアントの設定
ここで紹介する設定は基本的にネットワークの構成が「ワークグループ」で運用している場合か、Activedirectory環境におけるドメイン・コントローラです。ActiveDirectory環境にて運用している場合のメンバーサーバはドメインコントローラの時刻に同期されるようになっています。

1)NTPクライアントの確認
まず、はじめに該当するサーバにてNTPクライアントの設定がされているか確認します。
・コマンドプロンプトを起動します。
・DOSコマンドを実行します。

・Windows2000Server/Windows2003Serverの場合
DOS>net time /querysntp 

・Windows2008Server
DOS>w32tm /query /configuration
※w2k8サーバには「net time」コマンドはありますが、「/querysntp」オプションが廃止されています。

2)参照するNTPサーバを設定

・Windows2003Serverの場合
タスクトレイに時計から「インターネット時刻」タブにて設定
または、
DOS>net time /setsntp:xxx.xxx.xxx.xxx,0x8
DOS>net stop w32time & net start w32time

・Windows2003Server/Windows2008Server共通
下記のコマンドでは「設定を変更」して、「設定の保存」します。そして「即時に同期」したい場合には「resync」を実行します。
DOS>w32tm /config /manualpeerlist:xxx.xxx.xxx.xxx /syncfromflags:manual
DOS>w32tm /config /update
DOS>w32tm /resync

3)同期する時間間隔の設定
Windowsのデフォルトの設定だと、時間の同期間隔は1週間に1回となっています。
この値を変更するにはレジストリを変更します。
注)レジストリの変更は自己責任で。バックアップを取ってからやるほうがいいでしょう。

キー:HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥W32Time¥TimeProviders¥NtpClient
値の名前:SpecialPollInterval
値の内容:60480秒(=1週間)


となっています。
これを例えば1日に一回(86400秒=1日)とかに変更する場合には値を変更すればOKです。

・レジストリエディタを起動します。
・上記のキーを開きます。
・SpecialPollIntervalの値を秒単位で指定します。
60480秒(=1週間)→86400秒(=1日)


■NTPサバに関するレジストリ項目
1)NTPサーバとの同期方法を指定するレジストリ設定
キー:HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥W32Time¥Parameters
値の名前:NtpServer
型:REG_SZ
値の内容:time.windows.com,0x1 (初期値)

・値の内容にある「0x1」は同期の仕方や同期間隔に影響を与える。
なし:Windows端末同士を含む標準的なNTP時刻同期方法(Symmetric Active/Passive Mode)
0x0:Windows端末同士を含む標準的なNTP時刻同期方法(Symmetric Active/Passive Mode)
0x1:Windows 上のみ実装された定間隔での同期方法
0x2:ドメインおよび外部の両方から時刻を同期する
0x4:明示的なSymmetric Active/Passive Modeによる同期方法
0x8:明示的なClient/Server Modeによる同期方法

2)最小同期間隔のレジストリ設定
キー:KEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥W32Time¥Config
値の名前:MinPollInterval
型:REG_DWORD
値の内容:
0xa(ワークグループ環境での初期値。10進では10。2の10乗=1,024秒)
0x6(ドメイン環境での初期値。10進では6。2の6乗=64秒)

3)最大同期間隔のレジストリ設定
キー:HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥W32Time¥Config
値の名前:MaxPollInterval
型:REG_DWORD
値の内容:0xf(初期値。10進では15。2の15乗=32,768秒)

4)同期間隔のレジストリ設定
キー:HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥W32Time¥TimeProviders¥NtpClient
値の名前:SpecialPollInterval
型:REG_DWORD
値の内容:
0x93a80(10進数では604,800秒) (ワークグループ環境での初期値)
0xe10(10進数では3,600秒)   (ドメイン環境での初期値)



■NTPサーバ(W32Timeイベント)のイベントログの参考
下記の「xxx.xxx.xxx.xxx」はIPアドレスを表しています。
イベントログをみて「W32Time」でエラーが出ていなければ設定完了です。
イベントログの「W32Time」の最後の表示が「1)NTPと時刻同期中1」または「2)NTPと時刻同期中2」であれば問題ありません。

またNTPサーバの仕様上、時刻のズレが大きいと同期をとれません。その場合にはある程度の時間で時計を合わせておいて同期をとればエラー解消できます。またこの場合の多くは内蔵電池が消耗していることが多く、内蔵時計がシャットダウン時にズレることがあります。

1)NTPと時刻同期中1
タイム プロバイダ NtpClient は現在 xxx.xxx.xxx.xxx (ntp.m|0x1|xxx.xxx.xxx.xxx:123->xxx.xxx.xxx.xxx:123) から有効な時間データを受信しています。

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

→問い合わせた結果、有効なデータを受信した場合のイベント。

2)NTPと時刻同期中2
システム時刻とタイム ソース xxx.xxx.xxx.xxx (ntp.m|0x1|xxx.xxx.xxx.xxx:123->xxx.xxx.xxx.xxx:123) の同期をとって います。

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

→Windows Timeサービスがタイム・ソースから得た時刻を自身のシステム時刻と同期させる際に記録されるイベント。

3)NTP参照エラー
タイム プロバイダ NtpClient: 手動で構成されたピア 'time.windows.com,0x1' の DNS 参照を 行っているときに、エラーが発生しました。NtpClient は 960 分に 1 回、 DNS 参照を試行します。この手動で構成されたピアの参照に成功するまで、 このメッセージのログはこれ以上記録されません。  エラー: 到達できないホストに対してソケット操作を実行しようとしました。 (0x80072751)

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

4)システム時刻同期エラー
使用可能なタイム スタンプがタイム サービス プロバイダによって提供されなかったため、 タイム サービスは 86400 秒間、システム時刻を同期していません。タイム サービスは 現在同期されておらず、他のクライアントへの時間の提供、またはシステム クロック の更新を行うことができません。これ以上深刻な問題が発生していないことを確認 するために、イベント ビューアに表示されるシステム イベントを監視して ください。 

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

5)システム時刻のズレが判明
システム時刻を -3 秒変更しなくてはならないことが判明しました。 タイム サービスはシステム時刻を -0 秒以上変更することは できません。時刻とタイム ゾーンが正しいこと、またタイム ソース xxx.xxx.xxx.xxx (ntp.m|0x1|xxx.xxx.xxx.xxx:123->xxx.xxx.xxx.xxx:123) が正しく動作していることを確認してください。

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。





■Oracle学ぶならこれ!












スポンサードリンク


■Blog Ranking■
1. ←←サーバー構築・運用ブログあり お奨め:★★★★★
2. (ブログランキング ドット ネット)
3.にほんブログ村 IT技術ブログへにほんブログ村
4.BS blog Ranking
ブログランキングに挑戦中です。あなたもブログランキングに挑戦してみよう!
サーバー構築・運用ブログなんかもありますのでシステム管理者の方にもお奨めのサイトがあり!
ソニーストア
ボーズ・インイヤーヘッドホン
| 2012年12月13日 | サーバー構築 | comments(0) | trackbacks(0) |

[ ミニミニ管理者の独り言サーバー構築 > Windows Media サービスを利用してストリーミング配信環境を構築(Windows Server 2003) ]
スポンサードリンク

Windows Media サービスを利用してストリーミング配信環境を構築(Windows Server 2003)

JUGEMテーマ:コンピュータ

Windows Server 2003を利用して、ストリーミング環境を構築する方法を紹介します。
これはWindows 2003 Serverの標準機能である「Windows Media サービス」を利用しますので費用は発生しません。サーバーだけ用意すればOKです。(無償です

Windows Media サービスの設定方法(サーバー側の設定)
1)ストリーミング環境の準備
ストリーミング配信を行うサーバ(Windows Server 2003)とアプリケーション(OS標準)とWMV形式のコンテンツを用意しておきます。また、今回使用するサーバのホスト名は「streeming01」として設定しておきます。(別に何の名前でも構いません)
 《用意するもの(例)》
 OS:Windows Server 2003
 Application:
  ・IIS6.0(Internet Information Service)
  ・Windows Media サービス
 MOVIE:WMV形式
 HOST NAME:streeming01
 IP ADDRESS:192.168.0.1

2)アプリケーションのインストール 
まず初めに、IIS(Internet Information Service) とWindows Media サービスを追加します。 「プログラムの追加と削除」にある、「Windows コンポーネントの追加」から、「Windows Media サービス」「アプリケーションサーバー」の2つにチェックをつけて「次へ」ボタン をクリックしてOKします。

3)Windows Media サービスの環境設定
3-1)「スタートメニュー」から「Windows Media サービス」を起動します。
3-2)「公開ポイント」を右クリックして「公開ポイントの追加」を選択します。
3-3)「公開ポイントの追加ウィザード」が起動されます。
 ・公開ポイント名を入力します。今回は「meeting」としておきます。
  (ここで設定する公開ポイント名が後のパスを指定するディレクトリ名になります。)
 ・コンテンツの種類で「1つのファイル」を選択します。
 ・公開ポイントの種類で「オンデマンド用の公開ポイント」を選択します。
 ・既存の公開ポイントで「新しい公開ポイントを追加する」を選択します。
 ・ファイルの場所で、「参照」ボタンを押下して配信したいコンテンツ(WMV形式)を選択します。
 ・特にパスを指定せずにインストールすると「C:¥wmpub¥WMRoot」にWMVファイルが保存されます。
 ※クライアントからアクセスする際には「mms://streeming01/meeting/」です。(後述)

4)「次へ」を押下して、ウィザードが完了する。
5)その後の設定で、”「アナウンスメントファイル(asx)」または 「Web ページ(htm)」 を作成する。”を選択して完了を押下します。
6)「ユニキャスト アナウンスメント ウィザード」が起動されるので、これは「キャンセル」を押下して閉じます。

Windows Media Playerから直接指定して視聴する方法
1)クライアントで「Windows Media Player」を起動します。
2)URL入力のショートカットキー「Ctrlキー」+「uキー」を同時に押すと「URLを開く」画面が開きます。
3)「URLを入力」します。
 URL:mms://streeming01/meeting
※サーバー名が「streeming01」で、公開ポイント名が「meeting」の場合。

4)「OK」ボタンを押下します。
※もし、サーバー名の名前解決が出来ない場合には、サーバー名の代わりにIPアドレスを直接指定します。
 URL:mms://192.168.0.1/meeting
5)ファイルが再生されます。

Webブラウザ(IE等)からリンクをクリックして視聴する方法 
1)IIS等のWebサーバが稼動するマシンにて公開している「html」ファイルを編集してリンクを張ります。
 リンク:「mms://192.168.0.1/meeting/」
2)クライアントマシンでブラウザを起動して、公開している「html」ファイルにアクセスして、リンクをクリックします。
3)「Windows Media Player」が自動的に起動してファイルが再生されます。

◆検証環境
OS:Windows 2003 Server
Application:
 ・IIS(Internet Information Service)
 ・Windows Media サービス



ポイントサイトで効率的に稼ぐ方法を紹介!



《パソコンやWindowsの起動不良・障害・故障時の復旧対応方法》

1)BIOSの障害
ブート(Boot/起動する)デバイスの変更(BIOSの設定)方法

2)Windows XPの障害
システムの復元の手順(WindowsXP)
WindowsXPでシステムの復元ができない・エラー等で失敗する
システムの復元を取消(WindowsXP)

3)Windows 7の障害
Windows7でのシステムの復元の手順
スタートアップ修復の手順(Windows7)
システム修復オプションでメモリ診断をする(Windows7)
システムイメージの回復の手順(Windows7)
Windows 7 のシステム回復オプション

4)ブルースクリーンエラー(BSoD)の障害
Windows利用時のブルースクリーン(青画面・BSoD)
STOPコード別ブルースクリーンエラー(BSoD)の対応(WindowsXP)
STOPコード別ブルースクリーンエラー(BSoD)の対応(WindowsVista)
STOPコード別ブルースクリーンエラー(BSoD)の対応(Windows7)
ブルースクリーン画面が表示された後にWindowsXPを自動的に再起動させない方法


               最新記事へ     トップページ


 



スポンサードリンク


■Blog Ranking■
1. ←←サーバー構築・運用ブログあり お奨め:★★★★★
2. (ブログランキング ドット ネット)
3.にほんブログ村 IT技術ブログへにほんブログ村
4.BS blog Ranking
ブログランキングに挑戦中です。あなたもブログランキングに挑戦してみよう!
サーバー構築・運用ブログなんかもありますのでシステム管理者の方にもお奨めのサイトがあり!
ソニーストア
ボーズ・インイヤーヘッドホン
| 2010年12月09日 | サーバー構築 | comments(0) | trackbacks(0) |

[ ミニミニ管理者の独り言サーバー構築 > 公開サーバをIIS6.0(IIS5.0)でセキュアに管理する方法 ]
スポンサードリンク

公開サーバをIIS6.0(IIS5.0)でセキュアに管理する方法

インターネットセキュリティといっても幅は広くホームページの公開(wwwサーバ)から、DNSサーバ、メールサーバ、ASPサーバなど多くのインターネットサーバに関するセキュリティ対策が考えられます。今回は、そんなインターネットセキュリティの内、公開サーバ(ホームページを一般に公開しているサーバ)に焦点をあててご紹介します。

私の会社では、公開サーバ(wwwサーバ)はIIS6.0で運営しています。理由は簡単で、にわかシステム管理者でも運用しやすいからです。(以前はIIS5.0で運用していましたが、一年程前にIIS6.0に移行しました。)

しかし、ここで問題となるのが「IISのセキュリティレベル」です。一般的に「IISは公開サーバには向かない」といわれるほどセキュリティレベルが低いWebサーバでした。但し、これはデフォルト設定(インストール後何も変更しない)で運用をしている場合です。適切な設定を施せばIIS5.0でもIIS6.0でも公開サーバとして耐えられます。

 〜あくまでもIISで管理するのがベストと言うのではありません。また最もセキュアなWebサーバと言うわけではありません。IISでも公開サーバを立てられると言いたいのです。〜

ここでは私が設定した内容をご紹介します。
対応している環境ですが、基本は「OS:Windows2000Server+WWW:IIS5.0」環境ですが、「OS:WindowsServer2003+Web:IIS6.0」環境も対応しています。(但し、IIS6.0の場合にはデフォルトで設定済みのものもあります。)

1)ホームディレクトリの変更
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ホームディレクトリ]−[ローカルパス]
  設定:D:¥wwwroot¥に変更
2)Webサイトのディレクトリ参照を無効(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ディレクトリ参照]
  設定:チェックを外す
3)親パスを無効にする
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ホームディレクトリ]−[構成]−[アプリケーションのオプション]−[親のパスを有効にする]
  設定:チェックを外す
4)IISADMPWDの削除(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[IISADMPWD]
  設定:削除
5)サンプルアプリケーションの削除(w2kの場合)
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[IISSamples] 及び [IISHelp]
  設定:削除
6)内部IPアドレスの漏洩を防ぐ(w2kの場合)
 コマンドプロンプトを起動して下記の実行する。
 C:¥inetpub¥adminscripts¥
 >adsutil set w3svc /UseHostName true
 >net stop iisadmin /y
 >net start w3svc
7)不要なスクリプトマッピングのリムーブ
[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [ホームディレクトリ]−[構成]−[アプリケーションのマッピング]
 設定:.htr .ida .idq .htw .cer .cdx .idc .shtml .stm .printer 削除
    運用するサーバの機能によっては必要なものもあるので自分で判断する。
8)NetBIOSを無効にする
 [スタート]−[設定]−[ネットワークとダイヤルアップの接続]−[ローカルエリア接続]−[プロパティ]
Microsoftネットワーク用クライアント
 設定:チェック外す
Microsoftネットワーク用ファイルとプリンタ共有
 設定:チェック外す
9)レジストリを匿名アクセスから保護(w2kの場合)
 [スタート]−[ファイル名を指定して実行]−[regedt32.exe]
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥SecurePipeServers¥winreg
メニューの[セキュリティ]−[アクセス許可]−[詳細]−[アクセス許可]
 設定:エントリー名が「Administrators」でアクセス許可が「フルコントロール」以外の項目を削除
10)IISのログの取得
 ・[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [Webサイト]−[アクティブログ形式]
 設定:W3C拡張ログファイル形式を選択

 ・[スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]− [Webサイト]−[アクティブログ形式]−[プロパティ]
 設定:必要な項目にチェック
11)IISの認証方式の変更
 [スタート]−[プログラム]−[管理ツール]−[インターネットサービスマネージャ]−[規定のWebサイト]−[プロパティ]−[ディレクトリセキュリティ]−[匿名アクセス及び認証コントロール]−[編集] − [Windowsドメインサーバでダイジェスト認証を使用する]
  設定:チェック

また、上記のほかではWindows2000Server+IIS5.0環境では「URL Scan」を利用しました。これはマイクロソフト(Microsoft)が自社のWebサーバである「IIS5.0」を強固なWebサーバに仕立て上げるべく必要となる設定をウィザード形式で設定してくれるフリーのツールです。MicrosoftのWebサイトで配布しています。(WindowsServer2003+IIS6.0環境では使用できません。)

◆注意
上記に設定した内容は私が施したものであり、環境によって必要な設定は異なります。必要の有無を判断するのは最終的に設定する「システム管理者」です。

◆検証環境
OS:Windows2000Server、WindowsServer2003
Web:IIS5.0、IIS6.0

◆参考文献
インターネットセキュリティ500の技  ←この本の中には今回紹介したセキュアな設定が「何のために行う設定か」が記載されていますので読む価値あります。
お奨め度:★★★★★

               最新記事へ     トップページ


スポンサードリンク


■Blog Ranking■
1. ←←サーバー構築・運用ブログあり お奨め:★★★★★
2. (ブログランキング ドット ネット)
3.にほんブログ村 IT技術ブログへにほんブログ村
4.BS blog Ranking
ブログランキングに挑戦中です。あなたもブログランキングに挑戦してみよう!
サーバー構築・運用ブログなんかもありますのでシステム管理者の方にもお奨めのサイトがあり!
ソニーストア
ボーズ・インイヤーヘッドホン
| 2007年05月24日 | サーバー構築 | comments(0) | trackbacks(2) |