Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

of

Windows serverlabo4 Slide 1 Windows serverlabo4 Slide 2 Windows serverlabo4 Slide 3 Windows serverlabo4 Slide 4 Windows serverlabo4 Slide 5 Windows serverlabo4 Slide 6 Windows serverlabo4 Slide 7 Windows serverlabo4 Slide 8 Windows serverlabo4 Slide 9 Windows serverlabo4 Slide 10 Windows serverlabo4 Slide 11 Windows serverlabo4 Slide 12 Windows serverlabo4 Slide 13 Windows serverlabo4 Slide 14 Windows serverlabo4 Slide 15 Windows serverlabo4 Slide 16 Windows serverlabo4 Slide 17 Windows serverlabo4 Slide 18 Windows serverlabo4 Slide 19 Windows serverlabo4 Slide 20 Windows serverlabo4 Slide 21 Windows serverlabo4 Slide 22 Windows serverlabo4 Slide 23 Windows serverlabo4 Slide 24 Windows serverlabo4 Slide 25 Windows serverlabo4 Slide 26 Windows serverlabo4 Slide 27 Windows serverlabo4 Slide 28 Windows serverlabo4 Slide 29 Windows serverlabo4 Slide 30 Windows serverlabo4 Slide 31 Windows serverlabo4 Slide 32 Windows serverlabo4 Slide 33 Windows serverlabo4 Slide 34 Windows serverlabo4 Slide 35 Windows serverlabo4 Slide 36 Windows serverlabo4 Slide 37 Windows serverlabo4 Slide 38 Windows serverlabo4 Slide 39 Windows serverlabo4 Slide 40 Windows serverlabo4 Slide 41
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Download to read offline

Windows serverlabo4

Download to read offline

WindowsServerLabo4

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Windows serverlabo4

  1. 1. 【WindowsServer】#4 @秋葉原UDX 1 アジェンダ 0900~0930 0930~0945 0945~1015 1015~1030 参加いただきありがとうございます!!! メモ 持ち物:サーバー、Lanケーブル x4、PC x4 事前準備 ADサーバ(windows2019、AD追加インストール、昇格済み) webサーバ(Windows2019、AdminCenter) クライアント(windows11) 今日、出来るようになる事 IISサイト作成 IISインストールを実施し、アクセスログを確認する ファイルサーバ ファイル共有、リストア、ドライブレター Windows11を見てみる ActiveDirectoryサーバはリモートデスクトップで操作する WebサーバのIIS設定はAdminCenterで操作する webサーバのファイルサーバ設定はリモートデスクトップで設定する
  2. 2. 前提 仮想のWindowsクライアント 仮想のWindowsサーバを利用します。 WindowsServerはドメインコントローラに昇格しており Windowsクライアントはドメイン参加してます 2 【WindowsServer】#4 システム構成図 ドメイン ume サーバ クライアント ドメイン sake サーバ クライアント ドメイン tarako サーバ クライアント ADサーバ クライアント webサーバ 今回の範囲
  3. 3. シナリオメモ(手順メモ) WindowsAdminCenterを利用して、役割の機能と追加からIISの機能を追加する デフォルトサイトの優先順位を確認する inetpub¥wwwの「default.html」に、自分のconnpassIDのページを作成する 演習 Windows認証 要求 IISServerのドメイン配下のPCからはID/パスワードなしでアクセスできる ペアのPC(別ドメイン)からは、ユーザ名/パスワード入力してアクセスできる アクセスログを確認し、誰がアクセスしたかを確認する 機能の役割と追加から、「Windows認証」を追加する。 役割の機能と追加から、ファイルサーバの機能を追加する 共有フォルダを作成し、共有設定を実施する ログオンスクリプトから、 リソースマネージャーを追加インストールする フォルダに容量制限(クォータ)をかける クライアントの(Y)ドライブにファイルサーバを割り当てる。 3 【WindowsServer】#4
  4. 4. 4 【WindowsServer】#4 設計一覧 ペア ペア 1 2 3 4 PC 192.168.210.11 192.168.210.12 192.168.210.13 192.168.210.14 ADServer 192.168.210.111 ume-adserver 192.168.210.112 sake-adserver 192.168.210.113 tarako-adserver 192.168.210.114 ikura-adserver windows11 192.168.210.121 「admin / admin」 192.168.210.122 192.168.210.123 192.168.210.124 WebServer 192.168.210.131 webserver 192.168.210.132 192.168.210.133 192.168.210.134 ドメイン名 ume.udx.local sake.udx.local tarako.udx.local ikura.udx.local NetBIOS ドメイン名 UME SAKE TARAKO IKURA
  5. 5. 手順1 ブラウザに「https://192.168.210.131」 「https://192.168.210.131」 「https://192.168.210.131」 「https://192.168.210.131」と入力し WinodwsAdminCenterに接続します。 手順2 「機能と役割」→「Webサーバ(IIS)」をチェックし、FTPサーバのチェック を外します。「+インストール」をクリックします 手順3 「はい」をクリックします。 5 【WindowsServer】#4 IISインストール(1)
  6. 6. 手順4 AdminCenterからIISを操作できるよう拡張します。 「設定(⚙)」→「拡張」→「msft.iis.iis-management」→「インストール」 手順5 AdminCenterを切断、再接続します 拡張機能に「IIS」が表示されます 6 【WindowsServer】#4 IISインストール(2)
  7. 7. 手順6 TLS1.2を有効にします。PowerShellから以下を実行します。 New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Force | Out-Null New-ItemProperty -path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been enabled.' New-ItemProperty -path 'HKLM:¥SOFTWARE¥Microsoft¥.NetFramework¥v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null 7 【WindowsServer】#4 TLS1.2を有効にする
  8. 8. 手順7 左ペインの下部から「IIS」をクリック 手順8 「DefaultDocument」を確認し、ファイルの表示順を確認します。 #作業はありません 8 【WindowsServer】#4 IIS設定(1) 「Install on ホスト名」をクリック 「Default Web Site」をクリック
  9. 9. 手順9 クライアントPCにて htmファイルを、メモ帳で作成する。 「Default.htm」という名前で保存します 手順10 「ファイル&ファイル共有」をクリック c:¥inetpub¥www配下に新しいフォルダ(WindowsLabo4)を作成して、ファイル(Default.htm)をアップロードする。 9 【WindowsServer】#4 IIS設定(2) <html> <head> <title>sample</title> </head> <body> <h2>suzukito page</h2> </body> </html>
  10. 10. 手順10 VirtualDirectoryを作成する 「IIS」→「Default Web Site」→「Virtual Directories」→「Create Virtual Directory」と遷移し、「Create Virtual Directory」 path 「WindowsLabo4」 Physical Path 「C:¥inetpub¥wwwroot¥WindowsLabo4」と入力し ✅をクリックする 手順11 ブラウザに「http://192.168.210.xxx/WindoesLabo4/」と入力し、webペ ージを確認する。httpsではなく、http 10 【WindowsServer】#4 IIS設定(3)
  11. 11. 手順12 ADサーバ(192.168.210.111、)にリモートデスクトップで接続する 手順13 ファイル名を指定して実行から「dsa.msc」を入力する Active Directoryユーザとコンピュータを起動する ume-admin / P@ssw0rd をを作成する 11 【WindowsServer】#4 ADサーバに接続用管理者アカウントを作成する(1)
  12. 12. 手順14 ume-adminに管理者権限(Administrators)を付与する 12 【WindowsServer】#4 ADサーバに接続用管理者アカウントを作成する(2)
  13. 13. 手順15 DNSアドレスにADサーバを設定 AdminCenterにて 「ネットワーク」→「Ethernet」→「設定⚙」→DNSサーバを「192.168.210.131」ADサーバのIPアドレス →「保存」→「はい」 13 【WindowsServer】#4 webサーバをドメイン参加(1)
  14. 14. 手順16 「概要」→「コンピュータIDの編集」→ ドメイン 「ume.udx.local」 「ユーザ名:ume¥ume-admin」、パスワード「P@ssw0rd」を入力→「保存」 手順17 「更新」→ドメイン参加を確認 14 【WindowsServer】#4 webサーバをドメイン参加(2)
  15. 15. 手順17 「1【】Windows11」「2【】Windows11」 仮想マシンにログインします 「設定」をクリックします。 15 【WindowsServer】#4 windows11をドメイン参加(1) 「ネットワークとインターネット」 →「IP 設定の編集」 優先DNSにADサーバのIPアドレスを設定
  16. 16. 手順18 「システム」→「バージョン情報」→「ドメインまたはワークグループ」→「ネットワークID」→「ビジネスネットワークの一部です」 16 【WindowsServer】#4 Windows11をドメイン参加(2)
  17. 17. 手順19 「ドメインを使用している」→「次へ」→「ume-admin / P@sswrod」ドメイン名「UME.UDX.LOCAL」 17 【WindowsServer】#4 Windows11をドメイン参加(3)
  18. 18. 手順20 コンピュータ名 WINLABO4-1 コンピュータのドメイン konbu.udx.local 18 【WindowsServer】#4 Windows11をドメイン参加(4) ドメインに参加するアクセス許可を与えられたアカウン トの名前と、パスワードを入力してください ユーザ名「ume-admin」 パスワード「P@ssw0rd」 ドメイン名「ume.udx.local」 このコンピュータでドメインユーザアカウントを有効に しますか 「次へ」
  19. 19. 手順21 再起動を実施 19 【WindowsServer】#4 Windows11をドメイン参加(5)
  20. 20. 要求 IISServerのドメイン配下のPCからはID/パスワードなしでアクセスできる ペアのPC(別ドメイン)からは、ユーザ名/パスワード入力してアクセスできる アクセスログを確認し、誰がアクセスしたかを確認する 親会社と子会社のポータルへのアクセス権を分ける場合など 親会社入社の子会社に出向した従業員が親会社のイントラネットを 見る場合など 20 【WindowsServer】#4 ドメイン ume ドメイン sake 同一ドメインは認証なし 別ドメインは 基本認証 別ドメインは 基本認証
  21. 21. 手順22 WinodwsLabo4 ディレクトリに基本認証を設定します 左ペインの「IIS」をクリック 「Web Server」→「Autentication」→ 「Anoymous」タブ「Deny Override」を「Allow Override」に変更 「Web Server」→「Autentication」→ 「Basic」タブ「Deny Override」を「Allow Override」に変更 「Web Server」→「Autentication」→ 「Windows」タブ「Deny Override」を「Allow Override」に変更 21 【WindowsServer】#4 IISで基本認証を有効にする
  22. 22. 手順23「Web Sites」→「Default Web Site」→「Authentication」 匿名認証を無効に 「Anoymous」をoff 基本認証を有効に 「Basic」をon 22 【WindowsServer】#4 IISで基本認証を有効にする
  23. 23. 手順24 ドメイン管理外の端末 ノートPCのブラウザから直接、アドレスバーに入力 「http://192.168.210.xxx/windowslabo4」 webサーバでBasic認証が要求される。#httpで 「ume-admin / Me1onpan#」 手順25 ドメインに参加している、Windows11からは、認証が要求されず自動でアクセスでき るようにする 「コントロールパネル」→「ネットワークとインターネット」→「インターネットオプ ション」→「」 Widows11のクライアント側に、ローカルインターネットの設定を実施 23 【WindowsServer】#4 IIS基本認証の検証(1)
  24. 24. 手順26 「セキュリティ」タブ→「ローカルインターネット」→ 「192.168.210.*(アスタリスク)」→追加 手順27 Edgeを立ち上げ、アドレスバーに「http://192.168.210.131」 「http://192.168.210.132」「http://192.168.210.133」 認証なしで表示される事を確認する 24 【WindowsServer】#4 IIS基本認証の検証(2)
  25. 25. 手順28 アクセスログの確認 「IIS」→「WebSite」→「logging」→「Download」 手順29 「認証ユーザ名」が表示されている事を確認する #この例では、「TAKUAN-ADMIN」 25 【WindowsServer】#4 IIS基本認証のログ確認
  26. 26. ここからは、ファイルサーバ(AdminCenterではなく、リモートデスクトップにて) クライアント(Windows11)にユーザログイン時は、以下にし 「他組織のフォルダは見えない」事とする 不要な情報はなるべく見たくない(フォルダ多すぎ・・) 26 【WindowsServer】#4 Share-EveryOne webサーバ(奇数の方)本社 Share-IT (全社員アクセス可能) Share-HR (システム部) (人事部) file-all webサーバ(偶数の方)営業支店 file-Sales (全社員アクセス可能) file-production (営業部) (商品開発部) ログインユーザ Zドライブ Yドライブ システム部 Share-EveryOne Shrae-IT 人事部 Share-EveryOne Share-HR ログインユーザ パスワード OU user2-IT Me1onpan# システム部 user1-HR Me1onpan# 人事部
  27. 27. 手順28 ADサーバにログインし セキュリティグループ(SecGP-IT、SecGP-HR)を2つ追加する ユーザ(user1-HR、user2-IT)を2つ追加する リモートデスクトップにて、ActiveDirectoryに接続する 「ActiveDirectory ユーザとコンピュータ」を起動し、「User」→「新規作成」→「グ ループ」 手順29 グループ名に「SecGP-IT」「SecGP-HR」グループのスコープに「グロー バル」、グループの種類に「セキュリティ」を選択し、「OK」をクリックする 27 【WindowsServer】#4 ADサーバにセキュリティグループを追加する
  28. 28. 手順30 資料修正要 ラボ3で作成した、金メダリストを所属させる。 ユーザを選択して、右クリック「プロパティ」「所属するグループ」のタブを選択 28 【WindowsServer】# ADサーバセキュリティグループにユーザを追加する
  29. 29. 手順 ここからは接続するサーバをwebserverに変更する ウェブサーバ(konbu-sebserver)にコンソール でログインする。「Share-IT」を右クリック→ 「アクセスを許可する」→「特定のユーザー」 29 【WindowsServer】#4 webserverにファイル共有を作成する(1) プルダウンから「ユーザの検索」をクリックする 選択するオブジェクト名を 入力してください に「SecGP-HR」と入力する アクセス許可を「読み取り」から「読み取り/書込み」 に変更する 「administrator / Me1onpan#」と入力する #たぶんこのUAC昇格の設定が足りない からAdminCenterで失敗する?
  30. 30. 手順 クライアント(Windows11)に「user2-IT」でログインしてから共有フォルダ 「Share-IT」にアクセスし、ファイル書込みが出来る事を確認する。 手順 共有フォルダ「Share-HR」はアクセスできない事を確認する 30 【WindowsServer】#4 webserverにファイル共有を作成する(2)
  31. 31. ここから、容量制限 ファイルサーバリソースマネージャーをインストールする 手順 サーバーマネージャから「役割と機能の追加」をクリック 31 【WindowsServer】#4 容量管理ファイルサーバリソースマネージャー(1) 「次へ」→「次へ」 「ファイルサーバリソースマネージャー」→「機能の追加」 「次へ」→「インストール」
  32. 32. インストールの完了を確認し起動する 「ツール」→「ファイルサーバリソースマネージャー」 手順 「クォータの管理」→「クォータのテンプレート」 一番下の「ユーザへの200MB制限レポート」を選択し、テンプレートからクォータの作 成を選択する 32 【WindowsServer】#4 容量管理ファイルサーバリソースマネージャー(2)
  33. 33. 手順 参照から、クォータのパスに「C:¥Share-IT」を入力し、 「作成」をクリックする 33 【WindowsServer】#4 容量管理ファイルサーバリソースマネージャー(3) 中央ペインに、作成出来た事を確認する
  34. 34. 手順 クライアント端末にログインする powershellを起動する 対象フォルダに移動する「cd ¥¥konbu-webserver¥share-it」 50MBのファイルを作成する 「fsutil file createnew 50MB-file-1 52428800」 「fsutil file createnew 50MB-file-2 52428800」 「fsutil file createnew 50MB-file-3 52428800」 50MBのファイルを作成する「fsutil file createnew 50MB-file-4 52428800」 4つめのファイル作成で、容量不足でファイル作成できない事を確認する 34 【WindowsServer】#4 クライアント端末から容量制限を確認する
  35. 35. webサーバにログインして、ボリュームシャドーコピーを設定する 手順 コンピュータの管理を起動 「共有フォルダ」→「すべてのタスク」→「シャーコピーの構成」 「Cドライブ」を選択して「有効」→「設定」 「はい」 シャドウコピーが作成された事を確認 35 【WindowsServer】#4 ボリュームシャドーコピーの設定
  36. 36. 手順 デフォルトのスケジュールを確認する 「設定」→「スケジュール」 #設定変更作業はありません。 クライアント端末からファイルを削除し、リカバリします 手順 windows11にログインします 共有フォルダ(¥¥konbu-webserver¥share-IT)のファイル(500MB-file-3)を削 除します 36 【WindowsServer】#4 ボリュームシャドーコピーの確認
  37. 37. 手順 フォルダ(Share-IT)を選択して、 右クリック→「その他のオプションを表示」 「以前のバージョンの復元」 37 【WindowsServer】#4 ボリュームシャドーコピーからリストア スナップショット更新日時を選択し、 「開く」をクリック 削除したファイル(50MB-file-3)を選択して、コピー デスクトップに 貼り付け
  38. 38. 手順31 ADサーバにログインします AcriveDirectoryサーバにて、「ファイル名を指定して実行」 「gpmsc.msc」と入力し、「OK」をクリック 手順32「GPO-Share-IT」という名前でGPOを作成する 作成した、「GPO-Share-IT」を選択して、「編集」をクリックする 38 【WindowsServer】#4 ネットワークドライブ割り当てグループポリシー(1) システム部を選択して、 「このドメインにGPOを作成し、このコンテナーにリンクする」
  39. 39. 手順33 グルプポリシー管理エディタが表示されます 「ユーザの構成」→「基本設定」→「Windowsの設定」→「ドライブマップ」 「新規作成」→「マップされたドライブ」をクリックする 手順 ドライブマップを作成する 場所に「¥¥192.168.210.13x¥Share-IT」と入力 ラベル名に「Share-IT」 ドライブ文字列に「Y」を選択する 39 【WindowsServer】#4 ネットワークドライブ割り当てポリシー(2)
  40. 40. 手順 windows11にログインする コマンドプロンプトで「gpupdate」を入力する 手順 ドライブが割り当たった事を確認する 40 【WindowsServer】#4 ネットワークドライブ確認
  41. 41. 41 【WindowsServer】#2 おわり 以上でおわりです。 お疲れさまでした。

WindowsServerLabo4

Views

Total views

19

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

2

Shares

0

Comments

0

Likes

0

×