Windows Server 2003 EnterpriseによるPDSサーバーの構築
・PDCサーバー(パスワードとアクセス制限の一括共有管理のため)
・ダイナミックDNSサーバー(事前に登録が必要)
・プリンターServer
・WWWサーバー
・FTP サーバー
・POP3サーバー
・NEWSサーバー
・DHCP Server
・Media Server
・IPマスカレード(IN,OUT共1000BASE-T対応のNICを使い、ギガ高速通信対応とする)
・そして、通常のパソコンとしてもWebが見れる
・200G以上のFiles Server
・クラッシュ時の復帰をすばやく出来るようにした、OSのフルバックアップとサブOSによる
起動を可能にしました。
上記全ての機能を1台のパソコンで実現出来るようにします。
・Windows Server 2003 Enterprise版
・Windows 2000 Professional版
・DOS/Vパソコン
・CPU Intel PenV 1GHzなど(予算により対応)
・HDD IBM 120GB×2個(予算により対応)
・Plomis UltraATA-100又は133とUltraATA-133用ケーブル 2本
・NIC 2個 (メルコ LGY-PCI32-GT 2個)
1.CPUとHDDの交換(好みに応じて対応)
2.HDにWindows Server 2003 Enterpriseをインストール
3.HDにWindows 2000 Professionalをインストール
4.HDにWindows Server 2003 EnterpriseのSubOSをインストール(好みに応じて対応)
5.NICの設定・ルーティングの設定
6.ユーザー・グループ登録
7.セキュリティー設定
8.その他の設定
9.BuckUP
(1) CPUの交換は、まず100V電源コードを抜き取る。
(2) M/BのCPUソケツトから、既存のCPUの抜け止め爪を外し引き抜く。
(3) 新しいCPUを差込み、ロックレバーにて、ロックする。
(4) CPUチップに接着用の裏紙を取り貼付け、CPUファン金具を
取り付ける。(接着取り付けより熱伝導グリスを用いた方が発熱に強い)
(5) 新しいCPUをM/Bのソケットに差込み、抜け止め爪を入れる。
(6) CPUファンの12V接続プラグをマザーボードの12Vソケットに差し込む。
(7) HDDの交換も同様に、100V電源コードを抜き取って作業する。
(8) 既存の3.5インチドライブベイからHDD取付けビスを外す。
(9)IDEフラットケーブルと12V電源ケーブルを外す。
(10)新しいHDDをドライブベイに固定し、ケーブルと12V電源ケーブルを
取付ける。
ケーブルのプラグは溝方向を合わせる。2個のHDDの設定用ジャンパーピンは
それぞれMaster接続(購入時の状態と同じ)とSlave接続に合わせます。
ケーブルはPromise UltraATA-100(133)にはつながず、M/Bにつなぎます。
(11)PCIスロットにNIC2個とPromise UltraATAカードを取付け、ビス固定する。
(12)もう一度接続に間違いが無いか確かめ、100V電源コードを取付ける。
[新規インストールの場合]
(1) Windows Server 2003 EnterpriseのCDディスクを入れ、電源ONする。
(2) 「Searching for Boot Record from CDROM..」と表示されたらすぐにEnterキーを
押すとインストールが開始される。
CDブート未対応機種は、SETUPフロッピー#1をFDDに入れ、電源ONする。
表示に従い、順次4枚のFDを交換して、新規インストールを開始する。
(3) インストール先を指定する設定で、現在のパーティーションを全てDの削除を
選択して、新規インストールパーティーションを3個分作る。
私の場合、MasterHDDのC:を10G、D:を2G、E:を残り全てとしました。
SlaveHDDは、F:を5G、G:を残り全てとしました。
(4) フォーマットでは、NTFSを選択し、C:にインストールします。
(5) インストール要領はメーカー取説を参照下さい
(6) NICはインストール時、ネットワークの設定が出来ていません。
そこで、2個のNIC設定をします。
コントロールパネル⇒ハードウェアの追加⇒最適なデバイスを検索し認識されます。
(インストールCDは入れたままにすれば、最適なドライバーを自動選択します)
又、PromiseのPCIカードのドライバーもFDDなどから認識させておきます。
(7)インストールが出来たなら一度シャットダウンして電源を切ります。
HDDの設定用ジャンパーピンを2個ともMaster接続として、各HDDと2本のケーブルを
Promise UltraATAカードのIDE-1とIDE-2にそれぞれ接続します。
(IDE-1を最初にインストールしたHDDに接続します)
(8)電源を入れ、BIOSを起動しSCSIブート起動に設定を変更します。その後再起動します。
(9) 起動後、「サーバーの構成」を起動しサーバーの設定をします。
今回は、ネットワークで唯一のDomainサーバーとして設定します。
お好きなDomain名を入力します。但し、JPNIC等に正式ドメイン登録をしていない
場合は、****.localとします。
[2000 ServerからのVersionUpの場合]
(1)Windows 2000 Serverを立ち上げた状態でACS のアンインストールをする。
コントロール パネルで、[ネットワーク接続] をダブルクリックします。[詳細設定] メニューで
[オプション ネットワーク コンポーネント] をクリックします。
[ネットワーク サービス] をダブルクリックします。[QOS 受付制御] オプションのチェックを外し
[OK] をクリックします。ACS をアンインストールするには、[次へ]、[完了] の順にクリックします。
(2)Windows Server 2003 EnterpriseのインストールCDディスクを入れコマンド プロンプトから
CDの\I386ディレクトリに移動し、adprep /forestprep を実効します。
完了したら更に、adprep /domainprepを実行する。
(3)続いてインストールCDを起動してWindows2003serverへのバージョンアップを開始する。
(4)インストールが完了したら、複製物ルートのパスを変更する。 "c:\winnt\sysvol\domain"に
NTFRS_CMD_FILE_MOVE_ROOT と言うファィルを作成する。
(5)アップバージョンの場合は以下の各設定は不要ですが、
POP3のみは2003からの新機能ですから、「サーバーの役割管理」で追加します。
又、メールストアのセキュリティとアクセス許可を設定します。
(1) 次にWindows Server 2003 Enterpriseが立上がった状態で、Windows 2000 Professionalの
インストールCDを入れると、SETUP起動が出来ます。
(2) 今度は、D:パーティーションにWindows 2000 Professionalをインストール
します。NTFSでフォーマットして、D:に新規インストールします。
(3) Windows 2000 Professionalは、BuckUP用で通常は使わないので、
ここでの設定 はご自由にどうぞ(^^;
ノーマルでもBuckUPは出来ますので、差し支えありません。
(1)セカンドHDDに、F:、G:のパーティションにを作り「SubOS」をインストールします。
F:の「SubOS」は、メインOSがクラッシュした時に立ち上げる為のものです。
やり方は、NTFSでフォーマットしておくだけです。インストールは、BuckUPソフトを
起動して実施します。
(1) コントロールパネル⇒ネットワークとダイヤルアップ接続で、2個の設定が出ます。
出ない場合は、ドライバーが読込まれていないので、再度「ハードウェアの追加と
削除」で追加ウィザードのデバイス追加を行い、NIC2個を正しく設定し直す。
(Win2003で認識出来ないNIC→メーカ情報を参照し認識出来る物に交換する)
(2) 上記ネットワーク各設定名は、分かり易い名前に変更する
(例) 内部ネットワーク接続、外部ネットワーク接続
(3) NetBEUIプロトコルとQoSパケットスケジューラを追加します。
コントロールパネル⇒ネットワークとダイヤルアップ接続⇒内部ネットワーク接続を
選択してプロパティを開く⇒全般⇒インストール⇒プロトコル及びサービスにて。
(4) 接続IPとDNSを設定する 外部ネットワーク接続
(例)
IP ***.***.***.*** DNS優先 接続先のDNS(1)
サブネットマスク 255.255.255.0 代替 接続先のDNS(2)
ゲートウェイ ***.***.***.254
詳細設定⇒WINS⇒NetBIOS over TCP/IPを無効にする(S) に選択する。
WINSアドレス⇒追加⇒***.***.***.***
(5) 内部ネットワーク接続
IP 192.168.0.1 DNS優先 192.168.0.1
サブネットマスク 255.255.255.0 代替 空白
ゲートウェイ 192.168.0.1
詳細設定⇒WINS⇒NetBIOS over TCP/IPを無効にする(S) に選択する。
WINSアドレス⇒追加⇒192.168.0.1
(6) ルーティングの設定
管理ツール⇒ルーティングとリモートアクセス⇒自分のサーバー名(ローカル)
で右クリック⇒ルーティングとリモートアクセスの有効化を選択します
⇒IPルーティング⇒全般を右クリックして、ネットワークアドレス変換(NAT)を
選択します
IPルーティング⇒ネットワークアドレス変換(NAT)で右クリックして、新しいインター
フェースを選択する⇒内部ネットワーク接続を選択する⇒プライベートネット
ワーク・・・にチェックが入っているのを確認して⇒OK
IPルーティング⇒ネットワークアドレス変換(NAT)で右クリックして、新しいインター
フェースを選択する⇒外部ネットワーク接続を選択する⇒インターネットに接続に
接続された・・・と言う項目と、TCP/UDPヘッダーを変換・・・の2箇所をチェックON
⇒アドレスプール⇒追加⇒開始アドレス・マスク・終了アドレスを記入⇒OK
予約⇒追加⇒パブリックIPアドレス・プライベートネットワークを入力⇒OK⇒OK⇒OK
全般⇒内部ネットワーク接続⇒出力フィルタ⇒追加⇒プロトコル・発信元ポートを
TCP 80、TCP 20、TCP 21、UDP 53・・・・などを追加する。
下の条件に一致する・・・パケットを破棄する の項目にチェックONする。
(この部分で外からの接続を制限している)
(7) DHCPサーバーによるIP自動割付の設定を有効にする。
管理ツール⇒サービス⇒DHCP serverを自動・開始に設定しておく。
管理ツール⇒ルーティングとリモートアクセス⇒IPルーティング⇒ネットワークアドレス
変換(NAT)で右クリック⇒プロパティー⇒アドレスの指定⇒DHCPを使ってIPアドレス
を自動的に割り当てる(u)にチェックONする⇒IPアドレス・マスクを設定する⇒OK
(8) WINSサーバーの設定
管理ツール⇒WINS⇒サーバーの追加を選択⇒192.168.0.1を入力⇒OK
アクティブな登録を選択→右クリックして、LMHOSTSファイルのインポートを選択→
予め用意しておいた「lmhosts」ファイルを指定する。
※「lmhosts」ファイルには、IP,ホスト名のリストを予め作っておく。
(9) DNSサーバーの設定
管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいゾーンを選択
⇒Active Directory統合を選択⇒次へ⇒前方参照ゾーン選択⇒ゾーン名を設定⇒完了。
ネームサーバーは192.168.0.1、WINSサーバーは192.168.0.1として設定する。
(サーバー名、ローカルドメイン名それぞれ前方参照ゾーンを追加する)
(ダイナミックDNSを使う時も、そのドメイン名を前方参照ゾーンに追加する)
ゾーン名を選択⇒新しいホスト→追加するホスト名を名前欄に→IPをIPアドレスに設定
→ホストの追加をクリックする。(追加したいホストを全て登録する)
管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいゾーンを選択
⇒Active Directory統合を選択⇒次へ⇒逆引き参照ゾーン選択⇒ゾーン名を設定⇒完了。
ゾーンファィル名、ネームサーバー名を設定する。
(グローバルIP、ローカルIPそれぞれ逆引き参照ゾーンを設定する)
(10) DHCPサーバーの設定
管理ツール⇒DHCP⇒自分のサーバー名で右クリックして、新しいスコープを選択
⇒次へ⇒名前・説明を記入⇒次へ⇒開始IP 192.168.0.2・終了IP 192.168.0.254
・サブネットマスク 255.255.255.0と設定する。
⇒ルータとして使うIP 192.168.0.1を設定⇒後はそのまま完了させる。
(11) QoS受付制御の設定
管理ツール⇒QoS受付制御⇒エンタープライズの設定⇒認証されてないユーザー設定
及び、認証されているユーザー設定する(ユーザー毎に接続速度制限が可能になる)
⇒サブネットワークの設定⇒右クリックしてサブネットワークの追加を選択⇒
192.168.0.0/24 と入力⇒OKとする。
(12)POP3サービスをインストールする。
スタート→サーバーの役割管理→役割を追加または削除→次へ→
メールサーバー(POP3,SMTP)を選択し、次へ→次へ→完了
(13)POP3,SMTPサーバーの設定
サーバーの役割管理⇒メールサーバー(POP3,SMTP)このメールサーバーを管理する
⇒Active Directoryに移動→新しいドメイン⇒ドメイン名(例: abc.com)⇒OK⇒
作成したドメインに移動→メールボックスの追加⇒メールボックス名、パスワードを入力⇒OK
メール ストアの設定後、POP3 サービスを再起動する必要があります。
[スタート] - [ファイル名を指定して実行] の順にクリックし、「cmd」 と入力して [OK] を
クリックします。
コマンド プロンプトで次のように入力します。
net stop pop3svc
サービスの停止後、コマンド プロンプトで次のように入力します。
net start pop3svc
(1) 新しいグループ登録 管理ツール⇒Active Directryユーザと・・
⇒新しいグループを作成⇒グループ名
(2) 新しいユーザ登録 管理ツール⇒Active Directryユーザと・・
⇒新しいユーザ作成⇒ユーザー名とパスワード設定
(3) 各グループにメンバーを追加⇒ニーズにより実施
(4) FTPで特認接続を許可するには、Administratorsグループにそのユーザを追加する。
(1) 全てのユーザーにWWWとFTPを読取り可能として、ASPやEXEのSCRIPTSを
実行可能に設定します。
既定のWebサイト⇒ホームディレクトリー⇒「読み取り」にチェックを入れる。
実行アクセス権も「スクリプト及び実行可能ファィル」とする。
既定のWebサイトの下のツリーで、Scriptsのプロパティでも同じく、「読み取り」
「スクリプト及び実行可能ファィル」にチェックを入れておく FTPはanonymousでの
読取りと、特認ユーザのみ読み書き削除可能とする。許可したローカルユーザは、
特定のファィル(\△△)のみ○○グループメンバーのみフルアクセス設定とする。
FTPの書込みを許可するには、インターネットサービスマネージャーでFTPの
ホームディレクトリーの「書き込み」にチェックを入れる。
(2) セキュリティーの設定
・設定方法は、各ホルダーのプロパティを開き、「セキュリティ」の設定をします。
・継続可能なアクセス許可を親からこのオブジェクトに継承・・の項目のチェックを外す。
・継続可能なアクセス許可をこのオブジェクトに継承する・・・・・を「コピー」をクリック。
・必要な名前を追加・削除して、それぞれのアクセス許可にチェックを入れる。
・「詳細」をクリックして、「表示・編集」にて更に細かな設定をする。
・すべての子オブジェクトのアクセス許可を元に戻し・・・にチェックをいれる。
ファィル名 共有 セキュリティ
C: (システムで共有済み) administrator フルアクセス
(Web共有しない)
(○○グループメンバー間でServer共有ファィルを使う場合の設定)
\△△ (フォルダを共有する) アクセス許可
administrator フルアクセス
○○(登録グループ名) フルアクセス
(Web共有しない)
(WWW,FTPを使う場合の設定)
\InetPub (共有しない) administrator フルアクセス
(Web共有しない)
\Inetd\ftproot (共有しない) administrator フルアクセス
○○(登録グループ名) フルアクセス
users 読取り
(Web共有しない)
\Inetd\wwwroot (共有しない) administrator フルアクセス
users 読取り
(Web共有する) / アクセス許可 読み取り
実行アクセス権 なし
\Inetd\scripts (共有しない) administrator フルアクセス
users 変更
(Web共有する) scripts アクセス許可 読み取り
実行アクセス権 実行
(IIS ServerでCGIを使う場合の設定)
Pw32i316.exeなどのPerlソフトを予めインストールしておく。
\Perl (共有しない) administrator フルアクセス
users 読み取りと実行
**書き込みはチェックを外す**
(Web共有しない)
\Inetd\ftproot\▲▲ (共有しない) administrator フルアクセス
○○(登録グループ名) フルアクセス
(AAAと言うユーザーを読込みのみ許可するには、administratorsのメンバーに
AAAを追加して、アクセス設定を「読み取り」の設定とする)
administrators フォルダ内容の一覧表示、読み取り
(Web共有しない)
(POP3を使う場合の設定)
\Inetd\mailroot (共有しない) Domain Admins フルアクセス
Network Service フルアクセス
System フルアクセス
(NEWSを使う場合の設定)
\Inetd\nntpfile (共有しない) Administrators フルアクセス
System フルアクセス
\Inetd\nntpfile\root (共有しない) Anonymous Logon 変更
Everyone 変更
\Winnt (システムで共有済み) administrator フルアクセス
SYSTEM フルアクセス
users 読み取りと実行
**書き込みはチェックを外す**
(Web共有しない)
(3) FTPで全ての人に読込み可能とするには、特定のファィルのセキュリティーを
users 読取り とする。又、FTP設定でanonymousを有効にする。
(4) FTPで特定のuserのみ書込み・削除可能にするには、userパスワード管理を
有効にする。又、そのユーザー名をadministratorsのメンバーに登録する。
そして、許可したい特定のファィルのセキュリティー設定で、そのユーザー名と
読取り・書込み・削除の設定を追加する。
(1) プリンターの接続
プリンターは、パソコンにプリンター及びケーブルが正しく接続してあれば
自動的にプリンターを検出し、ドライバーがセットされます。
最新機種でプリンタードライバーが認識出来ない時は、プリンターに付いている
SetUP CD等を活用しドライバーを追加します。
(2) クライアントとしてWebに繋げる
(NICは全てWin2003で認識する物でないと機能しません)
2枚のNICでグローバルIPとプライベートIP指定として、IPマスカレード
が機能して使えるようになる訳です。
(3) DHCPでプライベートIPを割り付け、プライベート側からも グローバルIP
を通してつなぐ事が出来ます。入出フィルターで細かな制限も掛けられます。
プライベートである内部にWWWサーバーやFTPサーバーも設置が出来ます。
勿論、インターネットからアクセスする事が出来ます。
(4) もう一度、外部からアクセスして、動作確認願います。
設定したIPで、wwwがつながるか、anonymousでFTPがつながり読込み出来るか
許可ID,パスワードで、FTPに接続して書込めるか
ローカルネットワークから、他のパソコンの共有ファィルがフルアクセス出来る か、
他にセキュリティーの甘いポートが無いか・・・・等
(1) 全ての設定が終わったら、Windows Server 2003 Enterpriseからそのまま、D:の
バックアップを開始し、そのBuckUPデータをE:に保存します。
エクスプローラでD:を選択し 右クリック⇒プロパティ⇒ツール⇒バックアップ
⇒バックアップウィザードを開始する。
(2) 次にC:のバックアップをします。
再起動して、Windows 2000 Professionalから立上げ直し、同様にC:をBuckUPして
そのデータをE:に保存します。
エクスプローラでC:を選択し 右クリック⇒プロパティ⇒ツール⇒バックアップ
⇒バックアップウィザードを開始する。
(3)次にF:のバックアップをします。
再起動して、Windows Server 2003 Enterpriseから立上げ直し、BuckUPソフトを
インストールします。ソフトは好みで選択下さい。私は、「DiskMirroringTool」を使用
しました。このソフトをATコマンドで定期的に実行させてSubOSをMainOSとシンクロ
させます。
以上で全ての作業を終了します。
元のページへ戻る