Windows 8 Release Preview公開

2012年6月1日、日本時間の午前4時頃に Windows 8 Release Preview が公開された。
ダウンロードページ：Windows 8 Release Preview ISO イメージ
Windows 8 Release Preview: よく寄せられる質問

クライアントOSのWindows 8 Developer Previewは2011年9月に公開されている。

Windows 8 Developer Previewの概要
http://www.atmarkit.co.jp/fwin2k/productreview/win801/win801_03.html

クライアント向けのHyper-V 3.0の新機能が追加される。

（@IT資料）

［Windows 8プレビュー］Windows 8 Developer Preview 　 第3回 クライアントHyper-V

http://www.atmarkit.co.jp/fwin2k/productreview/win803/win803_01.html

（Windows 8のユーザーインターフェイスはしたなどのブログ参照）
http://damedame.monyo.com/?date=20110923
http://wintips.blog117.fc2.com/blog-entry-76.html
http://blogs.yahoo.co.jp/akio_myau/folder/1050061.html?m=lc&p=2
http://snow-white.cocolog-nifty.com/first/windows_8/index.html

（ＭＳ関係フォーラム）
Microsoft Answers Windows フォーラム
Technet Windows 8 全般フォーラム

Windows Server 2008、新監査ログ出力の仕様の変更

Windows Vista および Windows Server 2008 では、監査可能イベントの数が 9 個から 53 個に増やされた。
Windows Server 2008 R2 および Windows 7 では、すべての監査機能がグループ ポリシーに統合されている。取得する監査ログを絞るにはauditpolコマンドでサブカテゴリのログ調整の設定をする。
 
（質問）
auditpolコマンドによるサブカテゴリの設定
 
お世話になっております。
 
監査ポリシーの設定にて、auditpolコマンドによるサブカテゴリの設定についてご質問させてください。
------------------------------------------------------------------------------------------------
行いたいこと
グループポリシーの監査ポリシーで設定したカテゴリの中にある、指定したサブカテゴリのみのログを取得したい。
 
現在の状況
・グループポリシー（Default Domain Controllers Porlicy）にて、
オブジェクトアクセスの監査のポリシーを定義（成功のみ）し、イベントログをとりたいのですが、コマンドプロンプトよりauditpolコマンドにてサブカテゴリの設定が出来ることを知りました。
　　
通常ですと、グループポリシーでセットしたカテゴリ(ここでは[オブジェクト アクセス])以下のサブカテゴリはすべてグループポリシーどおり（ここではすべて[成功]）の設定になっています。（コマンドプロンプトより[auditpol /get /category:"オブジェクト アクセス"]コマンドにて設定確認）
 
・グループポリシーの設定後、下記手順にてサブカテゴリの設定を行いました。
 
１．コマンドプロンプトより、[auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable]を入力し、
一度サブカテゴリをすべて[監査なし]の設定にします。
２．[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し、
オブジェクトアクセスカテゴリ内の[フィルタリング プラットフォームの接続]のみ[成功]の設定へ変更しました。
３．オブジェクトアクセスカテゴリ内の設定を確認するため、[auditpol /get /category:"オブジェクト アクセス"]にて、サブディレクトリの設定内容を確認しました。（ここではサブカテゴリ[フィルタリング プラットフォームの接続]のみ[成功]で後は[監査なし]となっていました。）
 
・上記確認後、イベントビューアを起動し、[Windows ログ]-[セキュリティ]より、監査ポリシーのログを確認しているのですが、
時間がたつと、ポリシーの変更の監査ログを取得し、[オブジェクト アクセス]カテゴリの設定がすべて、[成功]となっている。
------------------------------------------------------------------------------------------------
質問
・イベントログにて、想定したサブカテゴリのみのログを取得することは可能でしょうか？
・自動でサブカテゴリが変更してしまうのはなぜでしょうか？（ポリシーの変更をさせないことは出来る？）
 
サブカテゴリの設定後、イベントログにて、ポリシーの変更の監査ログを取得するまでは、現状、設定したサブカテゴリのログのみ取得している状態なので、想定したサブカテゴリのログを残すことは出来そうなのですが、サブカテゴリを自動で変更してしまうところで、行き詰ってしまいました。
 
申し訳ありませんが、ご教授のほどよろしくお願い致します。
 
（回答）
○○です
グループポリシーでの監査の設定はサブカテゴリすべての設定となります。
よってGPOによる監査設定はやめてコンピューター上でauditpolを実行してみてください。
 
（返信）
○○様返信ありがとうございます。
 
下記の手順にて確認してみたところ、サブカテゴリの設定の自動での変更は行われないことを確認できました。
------------------------------------------------------------------------------------------------
手順
・グループポリシー（Default Domain Controllers Porlicy）の[監査ポリシー]の部分をすべて未定義にした。
・コマンドプロンプトにて、[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し[成功]の設定をした。
・一定時間放置後、[auditpol /get /category:"オブジェクト アクセス"]を行った際、サブカテゴリの[フィルタリング プラットフォームの接続]のみが[成功]となっていることを確認。
------------------------------------------------------------------------------------------------
GPOを設定後にサブカテゴリを変更しても、GPOの設定により一定の間隔ですべてのサブカテゴリを書き換えてしまっているみたいですね。勉強になりました。
 
○○様様回答ありがとうございました。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（ＭＳページ）
Windows のセキュリティ監査の新機能
http://technet.microsoft.com/ja-jp/library/dd560628(v=ws.10).aspx
Windows Vista と Windows Server 2008 のセキュリティ イベントの説明
http://support.microsoft.com/kb/947226/ja
2008：auditpol で使用可能な subcategory の一覧を取得する
http://blogs.technet.com/b/junichia/archive/2007/09/29/2008-auditpol-subcategory.aspx

（関連投稿）
”オブジェクトアクセスの監査”で出力されるセキュリティログを絞りたい
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/7cd374ee-277c-47de-b29e-b80fa7b01fcb
マイクロソフトサーバー製品のログ監査ガイド(対象：Winsows 2000 Server，Windows Server 2003）
http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285678.aspx

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/c7831110-3b74-4898-bb29-a7a07f91502b/

Windows Server 2008 R2対応赤本３冊

MCP教科書 Windows Server 2008 Network（試験番号：70-642）第2版 [単行本（ソフトカバー）]
エディフィストラーニング株式会社 川合 隆夫 (著), 阿部直樹 (著), 山口希美 (著)
単行本（ソフトカバー）: 488ページ
出版社: 翔泳社; 第2版 (2011/10/15)
ISBN-10: 4798124737
ISBN-13: 978-4798124735


MCP教科書 Hyper-V（試験番号：70-659）Windows Server 2008 R2対応 [単行本（ソフトカバー）]
NECラーニング株式会社 桑原 聖 (著)
単行本（ソフトカバー）: 312ページ
出版社: 翔泳社 (2011/10/15)
ISBN-10: 4798124524
ISBN-13: 978-4798124520

 

MCP教科書 Windows Server 2008 Active Directory（試験番号：70-640）第2版 [単行本（ソフトカバー）]

神鳥勝則 (著 )/ 竹島友理 (著 )/ 田島静 (著 )/ エディフィストラーニング株式会社 (著 )/ 甲田 章子 (著  

単行本（ソフトカバー）: 540ページ

出版社: 翔泳社; 第2版(2011/11/17)
ISBN 9784798124728 

Windows Server 2008 R2対応版で模擬試験問題も大幅に入れ替わっている。

ＴＳ（ＲＤ）ゲートウェイ接続と証明書

ＴＳ（ＲＤ）ゲートウェイはWindows Server 2008、Windows Server 2008R2から利用可能となったセキュリティレベルを高く保ち、社員の自宅（クライアント側）から社内システム（サーバー側）を利用したいという要望に対して、ＶＰＮのセキュリティ上の問題、使い勝手の良さを改良した通信プロトコルとしてはRDP over HTTPSを採用し、インターネット上はRDPをカプセル化したHTTPS(TCPポート443番)による暗号化（ＳＳＬ）通信を行い、TSゲートウェイから社内サーバまでをRDP（TCPポート3389番）で通信するという方法である。遠隔地から利用するクライアントにはＴＳ（ＲＤ）ゲートウェイサーバーの証明書が必要である。
自己署名証明書は、MSの証明機関を構築せずに、発行・クライアントに配布できるが有効期限が切れたら新規に発行し手動でクライアントにインストールする必要がある。
 
（質問）
リモートデスクトップ接続と証明書について
 
WinXPよりTSゲートウェイ・自己証明書にてリモートデスクトップ接続をしていました。
証明書の有効期限切れが近いため、サーバーにて証明書を作成し各PCへ新証明書をインポートしました。
対象PCのほとんどが問題なく接続可能ですが、一部のPCのみ証明書が正しくない（有効期限が旧証明書となっている）
とのメッセージ表示にて接続できません。
 
新証明書は画面確認にて正しくインポートできているように思われます（有効期限等が最新になっている）が何が原因でしょうか。
 
ご教授を宜しくお願い致します。
 
（質問・続）
サーバー側（Windows2008）にて再度、証明書を作成してみました。
http://www.atmarkit.co.jp/fwin2k/operation/tsgw01/tsgw01_04.html
多分ですが、証明書の作成時にインストール（格納）されるはずなのですが、
手動にて作成した証明書をインストールしたら接続できました。
ルート証明書を格納するチェックをONにしていたのですが・・・
 
有難うございました。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
（回答）
　略

（ＭＳページ）
http://technet.microsoft.com/ja-jp/library/cc725706.aspx
（参考資料-@IT）
ターミナルサービスのインストール
http://www.atmarkit.co.jp/fwin2k/winsv2008/10ts_03/10ts_03_01.html
Windows Server 2008のTSゲートウェイによるリモート・アクセス環境
http://www.atmarkit.co.jp/fwin2k/operation/tsgw01/tsgw01_01.html
（参考プログ）
http://www.aquanet.co.jp/howto/knowhow/kh001/kh001-1.html
http://ojaoki.blog.so-net.ne.jp/2008-08-06
http://inakami.blog120.fc2.com/blog-entry-85.html
（ベンダー資料-伊藤忠テクノソリューシュンズ株式会社）
http://www.ctc-g.co.jp/MungoBlobs/544/254/NAP_StepByStep_TSGateway.pdf

TS ゲートウェイが稼働しているサーバーのSSLポートへ外部からのリクエストを通す。

（ブロードバンドルータはダイナミックDNSに対応している必要がある。）

 

・ブロードバンドルータ [WAN側受信ポート（443）]を、 TS ゲートウェイが稼働している[サーバーのIPアドレスの SSL ポート（443）]に関連づける。

・さらに、外部の[全て]の所から入ってくる[TCP]の内、TS ゲートウェイが稼働している[サーバーのIPアドレスの[443]ポートに対するものだけ[許可]する。

 
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/186c4823-089b-412a-bc77-7708d9231bab/#1ff632c4-5f08-4427-b9f1-a73662406c6f 

Hyper-V、仮想ディスクの配置・形式

Hyper-Vには、仮想マシンのハードディスクの構成に、二つの方法（パススルー接続と仮想ハードディスク）がある。
パススルー接続は、仮想マシンのディスクとして、物理サーバに搭載している物理ハードディスクをそのまま利用するというものである。スナップショットを取れない、可搬性がないといった制限があるが、パフォーマンスを追求する場合によい。
仮想ハードディスクは物理サーバ上ではVHDファイルとして扱われるが、仮想マシンからはハードディスクとして利用できる仕組みである。仮想ハードディスクには、容量可変／容量固定／差分の3種類がある。パフォーマンスを確保するためには、容量固定にする。

 Hyper-Vのパフォーマンスを確保するためのポイント(FUJITSU  PRIMERGY)
～Hyper-V 移行・導入の実践～

 （質問）
仮想ディスク配置・形式について
 
お世話になります。
Hyper-Vホストサーバを構築中でゲストOSの配置方針等検討しております。
外部ストレージへの仮想ディスクの構築・配置について下記で考えておりますが、認識相違ありませんでしょうか。
より良い方法がありましたらご教示下さい。
※LiveMigration利用予定無し。
・ゲストOSのシステムディスクはパフォーマンスを重視し固定でホストサーバローカルにVHDを作成
・ゲストOSのデータディスクは拡張性を重視し、iSCSI上の外部ストレージのLUNに対しゲストOSのiSCSIイニシエータで直接アクセス
（ゲストクラスタの方法と同一）
・ゲストOSのデータバックアップディスクも拡張性を重視し、バックアップサーバをゲストOSとして構築し、バックアップサーバからiSCSI上の外部ストレージのLUNに対しゲストOSのiSCSIイニシエータでアクセス
 
＜質問＞
・上記ゲストOSのiSCSIイニシエータを利用した場合、外部ストレージはオンライン拡張が可能ですが、マウントしているゲストOSで見てもオンラインで拡張が可能でしょうか？（記憶域の管理の操作のみ？）
・ホストサーバから外部ストレージのLUNをマウントしてパススルーディスクとしてゲストOSからマウントすると、オンライン拡張が不可能になると認識しておりますが、オフライン拡張は可能でしょうか？
 
・ゲストOSからiSCSIで外部ストレージのLUNをマウントしてゲストOSの固定VHDを配置する場合のメリットはありますでしょうか？
様々な方法があるので、推奨方法等ありましたらご教示下さい。
 
宜しくお願い致します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
（回答）
わかる範囲でお答えします。
VHDの拡張はHyper-Vマネージャーのディスクの編集から行う
OSでは記憶域のディスクの管理から行う
 
＞上記ゲストOSのiSCSIイニシエータを利用した場合、外部ストレージはオンライン拡張が可能ですが、マウントしているゲストOSで見てもオンラインで拡張が可能でしょうか？（記憶域の管理の操作のみ？）
 
可能だと思われます。
 
＞ゲストOSからiSCSIで外部ストレージのLUNをマウントしてゲストOSの固定VHDを配置する場合のメリットはありますでしょうか？
 
固定VHDにすることによってほぼネイティブと同様のパフォーマンスを発揮するのでメリットはあります。パフォーマンスの観点ではパススルーを使うメリットはほとんどありません。
 
以上、参考になれば幸いです。
 
（MSページ）
http://technet.microsoft.com/ja-jp/library/dd183729(WS.10).aspx
（したなどの資料がある）
Windows 7／Windows Server 2008 R2でVHDファイルを直接マウントする
http://www.atmarkit.co.jp/fwin2k/win2ktips/1231vhdmount/vhdmount.html
Hyper-Vで仮想ディスクを追加する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1084hvaddhd/hvaddhd.html
仮想ハードディスクのサイズを拡大する（Hyper-V編）
http://www.atmarkit.co.jp/fwin2k/win2ktips/1214vhdextendhv/
vhdextendhv.html
Disk2vhdツールで物理ディスク環境をVHDファイルに変換する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1228disk2vhd/disk2vhd.html
Hyper-Vの仮想マシンに物理ディスクの内容を簡単にコピーする方法は？
http://itpro.nikkeibp.co.jp/article/COLUMN/20110120/356287/
（参考:個人の方のブログ）
USB HD をパススルーディスクでゲスト OS に接続-ＳＥの雑記
 
http://social.technet.microsoft.com/Forums/ja-JP/hypervja/thread/935976c4-12fc-41e2-846f-85d57d0f2fe2/#688f6fd9-094f-40bd-9db9-1ece7590e6e3

MSFC＋クイックマイグレーション＋Hyper-V＋SCVMM

「クイック・マイグレーション」とは、Windows Server 2008のEnterprise／Datacenterに標準搭載されているフェイルオーバー・クラスタ機能を利用した、仮想マシンをクラスタリングするための機能である。
「SCVMM （System Center Virtual Machine Manager）」とは複数のHyper-Vマシンの一元管理を支援するMS製品のことである。
 
（質問）
Hyper-V＋クイックマイグレーション構成における、MSFCの振る舞いについて
 
WidnowsServer2008R2　SP1をHyper-Vを使用し仮想化サーバの構築をしています。
サーバ1台に対し、WindowsServer2008R2+Hyper-V（ホストOS）上にWindowsServer2008R2(ゲストOS)を1つだけ起動させて、
クイックマイグレーション構成にしています。
同じ構成のサーバが全部で4台あり、3台は運用系、のこり1台を共通の待機系（クイックマイグレーション先）として構成しています。
その場合、MSFC上での起動可能ノードを１－４、２－４、３－４とする事で、SCVMM上からのクイックマイグレーションは正常に動作する事は確認しました。
ところが、たとえば、1台目のホストOSをシャットダウン（障害を想定）したところ、ノード４にフェールオーバーしてしまいました。
そこで、起動可能ノードからノード４を削除（チェックをはずし）したところ、クイックマイグレーションが行えなくなりました。
上記の構成において、ホストOSをシャットダウンした場合のフェールオーバ―を手動で行う事（同時に落ちたゲストOSを手動でマイグレーションしたい）は可能でしょうか。
また、可能な場合の設定箇所がわかればうれしいです。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

（略）
 
MSFC（Windows Server 2008のサーバークラスタ）
こちらの記事参照
 
（MSページ）
仮想マシンをノード間でライブ マイグレーション、クイック マイグレーション、または移動する
http://technet.microsoft.com/ja-jp/library/dd759225.aspx
（資料）
Hyper-Vによるクイック・マイグレーションの実践
http://www.atmarkit.co.jp/fwin2k/operation/hv_knowhow04/
hv_knowhow04_01.html
 
（MSページ）
System Center Virtual Machine Manager 2008（SCVMM）
http://www.microsoft.com/japan/systemcenter/scvmm/default.mspx
（資料）
SCVMMによって複数のHyper-Vを一元管理する
http://www.atmarkit.co.jp/fwin2k/operation/scvmm01/scvmm01_01.html

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/deb36126-2cf4-4543-ac80-eff0880babe7/#918408f1-c4fc-46f4-9c19-1e54961d3e73

IIS7.5のSSLサーバー証明書設定

Windows Server 2008 R2のIIS7.5のSSLサーバー証明書設定に関する手順はあまり見かけない。
 
（質問）
SSL設定でクライアント証明書をインストールしているPCのみアクセスさせたい
 
SSL証明書は自己証明書ではなくRapidSSLを取得しサーバへインストールしました。
クライアントからは　https://ドメイン名　で警告も出なくSSL接続できています。
ここで該当するサイトより「SSL設定」→「SSLが必要」、「クライアント証明書」が「必要」
しました。
クライアントからアクセスしますと（windows7 IE9）
「Web サイトによってこのページの表示を拒否されました」
になってしまいますので
クライアントブラウザのオプションで「コンテンツ」→「証明書」→「インポート」で
SSL証明書をインストールしました。
しかし状況はかわりません。
「SSL設定」→無視」「受理」でアクセスできます。しかし証明書の有無に関係なくなってしまうためしたくありません。
その他環境
サーバ側
IISクライアント証明書のマッピングのみインストール
 
クライアント側
SSL証明書をインストール時に「中間証明機関」とう選択しウィザードは完了しますが
「個人」「他の人」に入っているのが確認できました。
サーバやクライアントでなにか追加設定が必要でしょうか？いろいろ調べてみたのですがよろしくお願いします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
「クライアント証明書認証」などの単語で検索すれば、いくらか情報がヒットするかもしれませんが、確かにIIS7に関する手順はあまり見かけませんでした。
 
手順としては以下のような感じのはずですが。
http://d.hatena.ne.jp/replication/20100802/1280928631
 
MSページ
http://technet.microsoft.com/ja-jp/library/cc732230(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc771043(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc753983(WS.10).aspx
 
http://social.technet.microsoft.com/Forums/ja-JP/iis7ja/thread/7d17ceed-0a91-4619-a068-0c9a207e8302/#db58cbfc-2700-462f-87b7-d24ccb3f2839