Windows 2000 Advanced ServerによるPDSサーバーの構築-Part2 | ||
******************************************************************************************** | ||
ギガ通信に対応した、高性能多機能サーバーの設定方法 | ||
[目標サーバー仕様] ・PDCサーバー(パスワードとアクセス制限の一括共有管理のため) ・ダイナミックDNSサーバー(事前に登録が必要) ・プリンターServer ・WWWサーバー ・FTP サーバー ・DHCP Server ・Media Server ・IPマスカレード(IN,OUT共1000BASE-T対応のNICを使い、ギガ高速通信対応とする) ・そして、通常のパソコンとしてもWebが見れる ・200G以上のFiles Server ・クラッシュ時の復帰をすばやく出来るようにした、OSのフルバックアップとサブOSによる 起動を可能にしました。 上記全ての機能を1台のパソコンで実現出来るようにします。 | ||
******************************************************************************************** | ||
[必要な器材] ・Windows 2000 Advanced Server版 ・Windows 2000 Professional版 ・DOS/Vパソコン ・CPU Intel PenV 1GHzなど(予算により対応) ・HDD IBM 120GB×2個(予算により対応) ・Plomis UltraATA-100又は133とUltraATA-133用ケーブル 2本 ・NIC 2個 (メルコ LGY-PCI32-GT 2個) | ||
******************************************************************************************** | ||
[作成手順] 1.CPUとHDDの交換(好みに応じて対応) 2.HDにWindows 2000 Advanced Serverをインストール 3.HDにWindows 2000 Professionalをインストール 4.HDにWindows 2000 Advanced ServeのSubOSをインストール(好みに応じて対応) 5.NICの設定・ルーティングの設定 6.ユーザー・グループ登録 7.セキュリティー設定 8.その他の設定 9.BuckUP | ||
******************************************************************************************** | ||
1.CPUとHDDの交換&NICの取付け (1) CPUの交換は、まず100V電源コードを抜き取る。 (2) M/BのCPUソケツトから、既存のCPUの抜け止め爪を外し引き抜く。 (3) 新しいCPUを差込み、ロックレバーにて、ロックする。 (4) CPUチップに接着用の裏紙を取り貼付け、CPUファン金具を 取り付ける。(接着取り付けより熱伝導グリスを用いた方が発熱に強い) (5) 新しいCPUをM/Bのソケットに差込み、抜け止め爪を入れる。 (6) CPUファンの12V接続プラグをマザーボードの12Vソケットに差し込む。 (7) HDDの交換も同様に、100V電源コードを抜き取って作業する。 (8) 既存の3.5インチドライブベイからHDD取付けビスを外す。 (9)IDEフラットケーブルと12V電源ケーブルを外す。 (10)新しいHDDをドライブベイに固定し、ケーブルと12V電源ケーブルを 取付ける。 ケーブルのプラグは溝方向を合わせる。2個のHDDの設定用ジャンパーピンは それぞれMaster接続(購入時の状態と同じ)とSlave接続に合わせます。 ケーブルはPromise UltraATA-100(133)にはつながず、M/Bにつなぎます。 (11)PCIスロットにNIC2個とPromise UltraATAカードを取付け、ビス固定する。 (12)もう一度接続に間違いが無いか確かめ、100V電源コードを取付ける。 | ||
******************************************************************************************** | ||
2.HDにWindows 2000 Advanced Serverをインストールする (1) Windows 2000 Advanced ServerのCDディスクを入れ、電源ONする。 (2) 「Searching for Boot Record from CDROM..」と表示されたらすぐにEnterキーを 押すとインストールが開始される。 CDブート未対応機種は、SETUPフロッピー#1をFDDに入れ、電源ONする。 表示に従い、順次4枚のFDを交換して、新規インストールを開始する。 (3) インストール先を指定する設定で、現在のパーティーションを全てDの削除を 選択して、新規インストールパーティーションを3個分作る。 私の場合、MasterHDDのC:を10G、D:を2G、E:を残り全てとしました。 SlaveHDDは、F:を5G、G:を残り全てとしました。 (4) フォーマットでは、NTFSを選択し、C:にインストールします。 (5) インストール要領はメーカー取説を参照下さい (6) NICはインストール時、ネットワークの設定が出来ていません。 そこで、2個のNIC設定をします。 コントロールパネル⇒ハードウェアの追加⇒最適なデバイスを検索し認識されます。 (インストールCDは入れたままにすれば、最適なドライバーを自動選択します) 又、PromiseのPCIカードのドライバーもFDDなどから認識させておきます。 (7)インストールが出来たなら一度シャットダウンして電源を切ります。 HDDの設定用ジャンパーピンを2個ともMaster接続として、各HDDと2本のケーブルを Promise UltraATAカードのIDE-1とIDE-2にそれぞれ接続します。 (IDE-1を最初にインストールしたHDDに接続します) (8)電源を入れ、BIOSを起動しSCSIブート起動に設定を変更します。その後再起動します。 (9) 起動後、「サーバーの構成」を起動しサーバーの設定をします。 今回は、ネットワークで唯一のDomainサーバーとして設定します。 お好きなDomain名を入力します。但し、JPNIC等に正式ドメイン登録をしていない 場合は、****.localとします。 | ||
******************************************************************************************** | ||
3.HDにWindows 2000 Professionalをインストールする (1) 次にAdvanced Servertが立上がった状態で、Windows 2000 Professionalの インストールCDを入れると、SETUP起動が出来ます。 (2) 今度は、D:パーティーションにWindows 2000 Professionalをインストール します。NTFSでフォーマットして、D:に新規インストールします。 (3) Windows 2000 Professionalは、BuckUP用で通常は使わないので、 ここでの設定 はご自由にどうぞ(^^; ノーマルでもBuckUPは出来ますので、差し支えありません。 | ||
******************************************************************************************** | ||
4.HDにWindows 2000 Advanced ServeのSubOSをインストールする (1)セカンドHDDに、F:、G:のパーティションにを作り「SubOS」をインストールします。 F:の「SubOS」は、メインOSがクラッシュした時に立ち上げる為のものです。 やり方は、NTFSでフォーマットしておくだけです。インストールは、BuckUPソフトを 起動して実施します。 |
||
******************************************************************************************** | ||
5.NICの設定・ルーティングの設定 (1) コントロールパネル⇒ネットワークとダイヤルアップ接続で、2個の設定が出ます。 出ない場合は、ドライバーが読込まれていないので、再度「ハードウェアの追加と 削除」で追加ウィザードのデバイス追加を行い、NIC2個を正しく設定し直す。 (Win2000で認識出来ないNIC→メーカ情報を参照し認識出来る物に交換する) (2) 上記ネットワーク各設定名は、分かり易い名前に変更する (例) 内部ネットワーク接続、外部ネットワーク接続 (3) NetBEUIプロトコルとQoSパケットスケジューラを追加します。 コントロールパネル⇒ネットワークとダイヤルアップ接続⇒内部ネットワーク接続を 選択してプロパティを開く⇒全般⇒インストール⇒プロトコル及びサービスにて。 (4) 接続IPとDNSを設定する 外部ネットワーク接続 (例) IP ***.***.***.*** DNS優先 接続先のDNS(1) サブネットマスク 255.255.255.0 代替 接続先のDNS(2) ゲートウェイ ***.***.***.254 詳細設定⇒WINS⇒NetBIOS over TCP/IPを無効にする(S) に選択する。 WINSアドレス⇒追加⇒***.***.***.*** (5) 内部ネットワーク接続 IP 192.168.0.1 DNS優先 192.168.0.1 サブネットマスク 255.255.255.0 代替 空白 ゲートウェイ 192.168.0.1 詳細設定⇒WINS⇒NetBIOS over TCP/IPを無効にする(S) に選択する。 WINSアドレス⇒追加⇒192.168.0.1 (6) ルーティングの設定 管理ツール⇒ルーティングとリモートアクセス⇒自分のサーバー名(ローカル) で右クリック⇒ルーティングとリモートアクセスの有効化を選択します ⇒IPルーティング⇒全般を右クリックして、ネットワークアドレス変換(NAT)を 選択します IPルーティング⇒ネットワークアドレス変換(NAT)で右クリックして、新しいインター フェースを選択する⇒内部ネットワーク接続を選択する⇒プライベートネット ワーク・・・にチェックが入っているのを確認して⇒OK IPルーティング⇒ネットワークアドレス変換(NAT)で右クリックして、新しいインター フェースを選択する⇒外部ネットワーク接続を選択する⇒インターネットに接続に 接続された・・・と言う項目と、TCP/UDPヘッダーを変換・・・の2箇所をチェックON ⇒アドレスプール⇒追加⇒開始アドレス・マスク・終了アドレスを記入⇒OK 予約⇒追加⇒パブリックIPアドレス・プライベートネットワークを入力⇒OK⇒OK⇒OK 全般⇒内部ネットワーク接続⇒出力フィルタ⇒追加⇒プロトコル・発信元ポートを TCP 80、TCP 20、TCP 21、UDP 53・・・・などを追加する。 下の条件に一致する・・・パケットを破棄する の項目にチェックONする。 (この部分で外からの接続を制限している) (7) DHCPサーバーによるIP自動割付の設定を有効にする。 管理ツール⇒サービス⇒DHCP serverを自動・開始に設定しておく。 管理ツール⇒ルーティングとリモートアクセス⇒IPルーティング⇒ネットワークアドレス 変換(NAT)で右クリック⇒プロパティー⇒アドレスの指定⇒DHCPを使ってIPアドレス を自動的に割り当てる(u)にチェックONする⇒IPアドレス・マスクを設定する⇒OK (8) WINSサーバーの設定 管理ツール⇒WINS⇒サーバーの追加を選択⇒192.168.0.1を入力⇒OK アクティブな登録を選択→右クリックして、LMHOSTSファイルのインポートを選択→ 予め用意しておいた「lmhosts」ファイルを指定する。 ※「lmhosts」ファイルには、IP,ホスト名のリストを予め作っておく。 (9) DNSサーバーの設定 管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいゾーンを選択 ⇒Active Directory統合を選択⇒次へ⇒前方参照ゾーン選択⇒ゾーン名を設定⇒完了。 ネームサーバーは192.168.0.1、WINSサーバーは192.168.0.1として設定する。 (サーバー名、ローカルドメイン名それぞれ前方参照ゾーンを追加する) (ダイナミックDNSを使う時も、そのドメイン名を前方参照ゾーンに追加する) ゾーン名を選択⇒新しいホスト→追加するホスト名を名前欄に→IPをIPアドレスに設定 →ホストの追加をクリックする。(追加したいホストを全て登録する) 管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいゾーンを選択 ⇒Active Directory統合を選択⇒次へ⇒逆引き参照ゾーン選択⇒ゾーン名を設定⇒完了。 ゾーンファィル名、ネームサーバー名を設定する。 (グローバルIP、ローカルIPそれぞれ逆引き参照ゾーンを設定する) (10) DHCPサーバーの設定 管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいスコープを選択 ⇒次へ⇒名前・説明を記入⇒次へ⇒開始IP 192.168.0.2・終了IP 192.168.0.254 ・サブネットマスク 255.255.255.0と設定する。 ⇒ルータとして使うIP 192.168.0.1を設定⇒後はそのまま完了させる。 (11) QoS受付制御の設定 管理ツール⇒QoS受付制御⇒エンタープライズの設定⇒認証されてないユーザー設定 及び、認証されているユーザー設定する(ユーザー毎に接続速度制限が可能になる) ⇒サブネットワークの設定⇒右クリックしてサブネットワークの追加を選択⇒ 192.168.0.0/24 と入力⇒OKとする。 | ||
******************************************************************************************** | ||
6.ユーザー・グループ登録 (1) 新しいグループ登録 管理ツール⇒Active Directryユーザと・・ ⇒新しいグループを作成⇒グループ名 (2) 新しいユーザ登録 管理ツール⇒Active Directryユーザと・・ ⇒新しいユーザ作成⇒ユーザー名とパスワード設定 (3) 各グループにメンバーを追加⇒ニーズにより実施 (4) FTPで特認接続を許可するには、Administratorsグループにそのユーザを追加する。 | ||
******************************************************************************************** | ||
7.セキュリティー設定 (1) 全てのユーザーにWWWとFTPを読取り可能として、ASPやEXEのSCRIPTSを 実行可能に設定します。 既定のWebサイト⇒ホームディレクトリー⇒「読み取り」にチェックを入れる。 実行アクセス権も「スクリプト及び実行可能ファィル」とする。 既定のWebサイトの下のツリーで、Scriptsのプロパティでも同じく、「読み取り」 「スクリプト及び実行可能ファィル」にチェックを入れておく FTPはanonymousでの 読取りと、特認ユーザのみ読み書き削除可能とする。許可したローカルユーザは、 特定のファィル(\△△)のみ○○グループメンバーのみフルアクセス設定とする。 FTPの書込みを許可するには、インターネットサービスマネージャーでFTPの ホームディレクトリーの「書き込み」にチェックを入れる。 (2) セキュリティーの設定 ・設定方法は、各ホルダーのプロパティを開き、「セキュリティ」の設定をします。 ・継続可能なアクセス許可を親からこのオブジェクトに継承・・の項目のチェックを外す。 ・継続可能なアクセス許可をこのオブジェクトに継承する・・・・・を「コピー」をクリック。 ・必要な名前を追加・削除して、それぞれのアクセス許可にチェックを入れる。 ・「詳細」をクリックして、「表示・編集」にて更に細かな設定をする。 ・すべての子オブジェクトのアクセス許可を元に戻し・・・にチェックをいれる。 ファィル名 共有 セキュリティ C: (システムで共有済み) administrator フルアクセス (Web共有しない) (○○グループメンバー間でServer共有ファィルを使う場合の設定) \△△ (フォルダを共有する) アクセス許可 administrator フルアクセス ○○(登録グループ名) フルアクセス (Web共有しない) (WWW,FTPを使う場合の設定) \InetPub (共有しない) administrator フルアクセス (Web共有しない) \Inetd\ftproot (共有しない) administrator フルアクセス ○○(登録グループ名) フルアクセス users 読取り (Web共有しない) \Inetd\wwwroot (共有しない) administrator フルアクセス users 読取り (Web共有する) / アクセス許可 読み取り 実行アクセス権 なし \Inetd\scripts (共有しない) administrator フルアクセス users 変更 (Web共有する) scripts アクセス許可 読み取り 実行アクセス権 実行 (IIS ServerでCGIを使う場合の設定) Pw32i316.exeなどのPerlソフトを予めインストールしておく。 \Perl (共有しない) administrator フルアクセス users 読み取りと実行 **書き込みはチェックを外す** (Web共有しない) \Inetd\ftproot\▲▲ (共有しない) administrator フルアクセス ○○(登録グループ名) フルアクセス (AAAと言うユーザーを読込みのみ許可するには、administratorsのメンバーに AAAを追加して、アクセス設定を「読み取り」の設定とする) administrators フォルダ内容の一覧表示、読み取り (Web共有しない) \Winnt (システムで共有済み) administrator フルアクセス SYSTEM フルアクセス users 読み取りと実行 **書き込みはチェックを外す** (Web共有しない) (3) FTPで全ての人に読込み可能とするには、特定のファィルのセキュリティーを users 読取り とする。又、FTP設定でanonymousを有効にする。 (4) FTPで特定のuserのみ書込み・削除可能にするには、userパスワード管理を 有効にする。又、そのユーザー名をadministratorsのメンバーに登録する。 そして、許可したい特定のファィルのセキュリティー設定で、そのユーザー名と 読取り・書込み・削除の設定を追加する。 | ||
******************************************************************************************** | ||
8.その他の設定 (1) プリンターの接続 プリンターは、パソコンにプリンター及びケーブルが正しく接続してあれば 自動的にプリンターを検出し、ドライバーがセットされます。 最新機種でプリンタードライバーが認識出来ない時は、プリンターに付いている SetUP CD等を活用しドライバーを追加します。 (2) クライアントとしてWebに繋げる (NICは全てWin2000で認識する物でないと機能しません) 2枚のNICでグローバルIPとプライベートIP指定として、IPマスカレード が機能して使えるようになる訳です。 (3) DHCPでプライベートIPを割り付け、プライベート側からも グローバルIP を通してつなぐ事が出来ます。入出フィルターで細かな制限も掛けられます。 プライベートである内部にWWWサーバーやFTPサーバーも設置が出来ます。 勿論、インターネットからアクセスする事が出来ます。 (4) もう一度、外部からアクセスして、動作確認願います。 設定したIPで、wwwがつながるか、anonymousでFTPがつながり読込み出来るか 許可ID,パスワードで、FTPに接続して書込めるか ローカルネットワークから、他のパソコンの共有ファィルがフルアクセス出来る か、 他にセキュリティーの甘いポートが無いか・・・・等 | ||
******************************************************************************************** | ||
9.BuckUP (1) 全ての設定が終わったら、Windows 2000 Advanced Serverからそのまま、D:の バックアップを開始し、そのBuckUPデータをE:に保存します。 エクスプローラでD:を選択し 右クリック⇒プロパティ⇒ツール⇒バックアップ ⇒バックアップウィザードを開始する。 (2) 次にC:のバックアップをします。 再起動して、Windows 2000 Professionalから立上げ直し、同様にC:をBuckUPして そのデータをE:に保存します。 エクスプローラでC:を選択し 右クリック⇒プロパティ⇒ツール⇒バックアップ ⇒バックアップウィザードを開始する。 (3)次にF:のバックアップをします。 再起動して、Windows 2000 Advanced Serverから立上げ直し、BuckUPソフトを インストールします。ソフトは好みで選択下さい。私は、「DiskMirroringTool」を使用 しました。このソフトをATコマンドで定期的に実行させてSubOSをMainOSとシンクロ させます。 以上で全ての作業を終了します。 元のページへ戻る | ||
******************************************************************************************** | ||
SINCE 05/27/2000 Copyright(C) 2000 artおじさん |