- 0.研修について
- 1.コンピュータおよびネットワークの基礎
- 2.Windowsサーバ概要
- 3.サーバの構築
- 4.Windowsサーバの基本設定
- 5.ユーザとグループ管理およびアクセス権
- 6.ファイルサーバの構築
- 7.Webサーバ(IIS)の構築
- 8.FTPサーバの構築
- 9. Active Directory(AD)サーバ
- 10. クラウド時代のID管理(Microsoft Entra ID)
0.研修について
0.1 研修概要
・Windowsサーバの基礎知識を学ぶ講義と、実際にAWS上でWindowsサーバを構築するハンズオン演習を実施します。
・基礎講義では、「サーバとは何か」という基本概念から始まり、Windowsサーバの構築に必要な基本的な用語や技術を説明します。
・ハンズオン演習では、実際にWindowsサーバを構築し、初期設定、セキュリティポリシーの設定、ユーザおよびグループの管理、アクセス権の管理、Webサーバやファイルサーバの構築などを実施します。
・カリキュラムは後述しますが、1時間に1回程度の休憩時間をとります。
0.2 ハンズオン研修の進め方(Peer Instruction)
・2人の受講者がペア(Peer)になり、互いに教えあう(Instruction)方式です。
・従来の一方通行型授業や双方向型授業とは違い、受講者間での相互作用型授業というアクティブ・ラーニング型の授業形態の一つです。
・講師から一方的に知識を伝える講義に比べ、受講者が自発的に理解を深められるのが特徴です。その結果、実践力・応用力を養うことができます。
・実際の演習は、2人1組のブレイクアウトルームに分かれて実施します。その際、ペアの人と連携、相談しながら進めてください。うまく動作しない場合、ペアの人が助けてあげてください。うまくいかない場合のトラブル対応は、スキルアップに役立ちます。
1.コンピュータおよびネットワークの基礎
1.1 コンピュータ基礎
(1)コンピューターの呼称
コンピューターは状況や役割に応じて、異なる名称で呼ばれます。
❶サーバーとクライアント
・サーバーは、他のコンピューターに対して機能や情報を提供する役割を担い、クライアントはその提供を受けてサービスを利用する側のコンピューターです。
・「サーバー(server)」は本来「奉仕する者」、「クライアント(client)」は「依頼者」または「顧客」を意味する語に由来します。
・たとえば、Webサーバの場合を考えてみましょう。
私たちがパソコンやスマートフォンのブラウザでWebサイトのURLを入力すると、その操作を行っている端末が「クライアント」になります。クライアントからの「このページを見せてください」という要求を受け取り、HTMLや画像などのデータを返してくれるのが「Webサーバ」です。
・身近な例として、Instagramを使う場合を考えてみます。
スマートフォンに入っているInstagramアプリがクライアントで、写真や動画、コメント、フォロワー情報などを保存・管理しているのがInstagramのサーバです。私たちが写真を投稿すると、クライアントからサーバへデータが送信され、他の人がその投稿を見るときは、サーバからクライアントへデータが配信されます。
❷PCと端末、ホスト
・「 PC(Personal Computer)」は、個人が利用するコンピューターです。
・「 端末」は、ネットワークの「末端」に接続される機器全般を指します。PCはもちろんのこと、スマートフォンやタブレット、プリンターなども端末に含まれます。
・「 ホスト(host)」は、ネットワークに接続されたコンピューターのことを指します。一般的には、サーバーとなるコンピューターが「ホスト」と呼ばれています。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(2)NIC(Network Interface Card)
その名のとおり、機器とネットワークとのインターフェイス(接点)として両者を接続するカード状のパーツです。ネットワークアダプターやネットワークカードとも呼ばれ、このパーツを介してデータが送受信されます。ほとんどのPCにはNICが内蔵されていますが、PCを自作する場合や、大規模なネットワークで使用されるサーバーなどでは、NICを別途購入して装着します。
NICのポート(インターフェイスとも呼ばれます)には、LANケーブルを接続します。このポートの形状をRJ-45といいます。また、最近では無線LANを使うことから、有線LANポート(差込口)を持たないPCも存在します。
パソコンやスマホをWi-Fiに繋ぐための「無線LANアダプター」も、広い意味ではNIC の一種です。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(3)MACアドレス
MACアドレス(Media Access Control address)は、ネットワーク機器やPCなどに、世界で1 つしか存在しないように割り当てられた固有の番号です。物理アドレス
とも呼ばれます。
データリンク層では、通信の宛先や送信元はMACアドレスで識別されます。
MACアドレスは48 ビットからなり、1 バイトごとに「-」や「:」で区切って16進数で表記されます。
前半24 ビットはOUI(Organizationally Unique Identifier)と呼ばれる製造者ごとの番号です。ここを見れば、その機器を製造したメーカーがわかります。たとえば、00-1B-63 はApple、00-1D-09 はDELLというメーカーのものです。後半24 ビットは、製造者が機器ごとに割り当てる機器コードです。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
1.2 IPアドレス
(1)IPアドレスとは
IPアドレス(IP address)とは、address(住所)という言葉が示すとおり、通信で「住所」の役割を果たす値です。
MACアドレスは、隣接した機器(同一セグメントの機器)との間でデータの送受信を行うために使われていました。それに対してIP アドレスは、同一のセグメントにとどまらず、異なるセグメント(ネットワーク)との通信に使用されます。
IP アドレスもMACアドレスと同様に、基本的には1 つのNICに1 つ割り当てられます。
1.3 グローバルIPアドレスとプライベートIPアドレス
IP アドレスには、グローバルIP アドレス(global IP address)とプライベートIPアドレス(private IP address)の2種類があります。
(1)グローバルI P アドレス
グローバルIP アドレスは、global (世界的な)という言葉のとおり、世界とつながるインターネット上で利用できる一意に割り当てられたIP アドレスです。これ
は全世界で重複しないように管理されており、インターネットに直接接続される機器(ルーターやサーバーなど)に割り当てられます。
1.4 ネットワークの疎通調査
(1)ping
ping は、通信相手との疎通を確認するコマンドで、ネットワークのトラブルシューティングにも活用されます。ネットワークの現場では、ping コマンドを実
行することを「pingを打つ」と表現することがあります。
ping コマンドでは、通信相手にEcho Request(エコー要求)を送信し、相手にping のパケットが届き、Echo Reply(エコー応答)が返信されれば、正常に通信が
できていると判断します。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(2)pingコマンドの実行方法(コマンドプロンプトの開き方)
❶ショートカットキーを使用する方法
Windowsキー + R を押します。
表示された「ファイル名を指定して実行」ダイアログに cmd と入力し、Enterキー を押します。
❷ 検索ボックスから開く方法
タスクバーの検索ボックス(またはスタートメニューを開いてそのまま)に cmd と入力し、表示された「コマンドプロンプト」をクリックします。
(3)pingコマンドの実行
コマンドプロンプトにて、以下のように、ping + 半角スペース + 宛先のIPアドレス を入力してEnterキーを押します。
Microsoft Windows [Version 10.0.26200.7462]
(c) Microsoft Corporation. All rights reserved.
C:\Users\user1>ping 8.8.8.8
8.8.8.8 に ping を送信しています 32 バイトのデータ:
8.8.8.8 からの応答: バイト数 =32 時間 =2ms TTL=117
8.8.8.8 からの応答: バイト数 =32 時間 =2ms TTL=117
8.8.8.8 からの応答: バイト数 =32 時間 =3ms TTL=117
8.8.8.8 からの応答: バイト数 =32 時間 =3ms TTL=117
8.8.8.8 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 2ms、最大 = 3ms、平均 = 2ms
C:\Users\user1>
1.5 ポート番号
(1)ポート番号の役割
ポート番号は、コンピューター内で動作するアプリケーションを識別するための番号です。これによって、ネットワークから受信したデータが、どのアプリケーションに渡されるべきかを判断できます。たとえば、Web ページを表示するときに使用されるHTTPというプロトコルであれば80 番、メール送信に使用されるSMTPというプロトコルであれば25番のように決められています。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(2)代表的なポート番号
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
また、今回の演習では、RDP(3389)を使ってクラウド上にあるサーバにリモートデスクトップ接続をします。
■演習 Q1.自分のPCのMACアドレスを調べよ Q2.Q2.MACアドレスから、PCのNICはどこのメーカー製か調べよ Q3.自分のPCのIPアドレスを調べよ Q4.サブネットマスクは何か Q5.そのIPアドレスは、グローバルI P アドレスか、それともプライベートI P アドレスか Q6.自分のPCがインターネットに接続する際の自分のグローバルIPアドレスは何か
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
1.6 ドメイン名とFQDN
(1)ドメイン名
インターネット上では、世界中のあらゆるサーバやサービスがIP アドレスによって識別されています。しかし、IP アドレスは「192.0.2.1」や「203.0.113.45」といった数字の羅列であり、人間にとっては非常に覚えにくいものです。
そこで用いられているのが「ドメイン名(domain name)」です。たとえば、Yahoo! JAPANであれば「yahoo.co.jp」というドメイン名が使われています。ドメイン名は、IP アドレスに対する“わかりやすい名前”を与える仕組みであり、インターネットにおける住所表記のような役割を果たします。
※ただし、このあとのWindowsServerのActive Directoryで学習するドメインとは、基本的な考え方は同じですが、役割が異なります。最初は一旦「別物」として考えてもらったほうが分かりやすいと思います。
1.7 DNS
1.8 HTTP
(1)HTTPとは
HTTP(Hypertext Transfer Protocol)とは、Web ブラウザーとWeb サーバーの間でデータをやり取りするための通信プロトコルです。たとえば、ニュースサイトを
閲覧したり、InstagramやXといったSNSでメッセージを送受信したりするとき、ブラウザーとサーバーの間ではHTTPが使われています。
HTTPは、トランスポート層においてTCPを利用し、通信には80番のポート番号が割り当てられています。HTTPによる通信では、単なる文字情報だけでな
く、リンクをクリックして別のページに移動したり、画像や動画などを表示することもできます。「Hypertext」という言葉には、単なるテキストを超えた多機能
な文書というニュアンスが込められています。
また、最近ではセキュリティを保つために、HTTPS(HTTP over SSL/TLS)というプロトコルを使う場合が増えてきました。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
1.9 FTP
1.10 DHCP
・DHCP(Dynamic Host Configuration Protocol)とは、IP アドレスなどのネットワークの設定情報をDHCPサーバーから端末に自動的に割り当てる(払い出す)プロトコルです。
・手動(固定)で端末にIP アドレスを割り当てるのに比べて、ネットワーク設定が容易になるほか、IPアドレスや端末情報の一元管理も可能になります。
・DHCP を利用するには、セグメント内にDHCP サーバーが必要です。
・DHCPサーバーには、端末に割り当てるIPアドレスの範囲、サブネットマスク、デフォルトゲートウェイとDNSサーバーのIPアドレスなどを、あらかじめ設定しておきます。
・端末側ではIP アドレスを自動的に取得するよう設定します。その状態でIP アドレス未設定の端末を起動すると、DHCPサーバーにネットワーク情報を要求し、受信したDHCPサーバーが端末にIPアドレスやサブネットマスクなどのネットワーク情報を返信(割り当て)します。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
1.11 RDP
・リモートデスクトップ接続(RDP:Remote Desktop Protocol)は、遠隔地から Windows を操作するための標準プロトコル。
・通信ポートは、TCP/3389を使います。
・クライアント側の入力(キーボード/マウス)をサーバへ送信し、サーバの画面を転送します。
・このあと、皆さんは、RDPプロトコルを使い、AWS(クラウド)上に構築したWindowsサーバに接続して操作をしてもらいます。
1.12 SMB
・SMB(Server Message Block)は、主にWindows環境において、ネットワーク経由でファイル共有やプリンタ共有を行うための標準プロトコルです。
・通信ポートは、TCP/445です。
・ファイルの送受信だけでなく、ファイルへのアクセス権限の管理などの機能も備えています。
・Windows標準のプロトコルですが、「Samba(サンバ)」などのソフトウェアを利用することで、LinuxやmacOSなどの異なるOS環境ともSMBプロトコルを用いたファイル共有が可能です。
2.Windowsサーバ概要
2.1 サーバ概要
(1) サーバとは
「1.1 コンピュータ基礎 (1)コンピューターの呼称」でも述べました。サーバとは、PCやスマートフォンなど(クライアントと言います)に、サービスや情報を提供するためのコンピューターです。たとえば、Webページを表示したり、ファイルを保存したりする役割を持ちます。私たちが使うPCやスマホは、サーバのサービスを利用する側です。
・一般的に、サーバは常時稼働し、他のコンピュータ(クライアント)からの要求に応じて処理を行います。
(2) 主なサーバの種類と役割
| サーバの種類 | 主な役割 | 使用例 |
|---|---|---|
| Webサーバ | Webページを配信する | ブラウザでWebサイトを開く |
| メールサーバ | メール送受信を管理する | 社内メールシステム |
| ファイルサーバ | ファイルを共有する | 社内文書共有 |
| DNSサーバ | ドメイン名とIPアドレスを対応付ける | www.example.com → 192.168.0.1 |
(3) サーバのOS
❶ クライアントOS
皆さんが普段使っているパソコンやスマートフォンには、OS(基本となるソフトウェア)が入っています。
たとえば、パソコンでは Windows(Windows 10、Windows 11) や macOS、スマートフォンでは iOS(iPhone) や Android があります。
このように、利用者が直接操作して使うパソコンやスマホに搭載されているOSを、クライアントOSと呼びます。
❷ サーバOS
サーバでは、Webサーバの機能やDNSサーバの機能など、皆さんが使うクライアントOSとは違う機能が必要です。そのため、クライアントOSとは異なる、サーバ専用のOSが使われます。
Microsoftのサーバ用OSとしては、Windows Server 2019 や Windows Server 2022、Windows Server 2025 などがあります。
また、Windows以外にもサーバ向けのOSとして Linuxサーバ があり、代表的なものとして Red Hat Enterprise Linux(RHEL:レル)や Ubuntu などがあります。
2.2 Windowsサーバ
(1)WindowsサーバとLinuxサーバの違い
| 項目 | Windowsサーバ | Linuxサーバ |
|---|---|---|
| 開発元 | Microsoft | Red Hat、Canonical(Ubuntu)など |
| 操作方法 | GUI中心でも管理しやすい | CLI(コマンド)中心 |
| ライセンス | 有料(CAL等) | 無料版(無償ディストリビューション)が豊富/企業向けの有料版(商用サポート)もある |
| 得意分野 | AD、IIS、RDP、社内IT基盤 | Web/DB、クラウド基盤、コンテナ等 |
| 学習コスト | GUIで初学者に優しい | 慣れると高速・柔軟 |
(2)Windows Server のバージョンとエディション
Windows Serverを選ぶ際は、「いつリリースされたか(バージョン)」と「どの規模で使うか(エディション)」の2つを組み合わせて決定します。
・主なバージョン(リリース時期)
| バージョン | サポート(目安) | 特徴 |
|---|---|---|
| 2016 | ~2027年頃 | 企業利用が多く実績豊富 |
| 2019 | ~2029年頃 | セキュリティ・ハイブリッド環境の強化 |
| 2022 | 現行世代 | Azure連携、最新のセキュリティ機能(TLS 1.3など) |
| 2025 | 最新バージョン | 再起動なしでの更新(ホットパッチ)強化、AD機能改善など |
・主なエディション(規模と機能)
Windows Server 2022などの各バージョンの中には、用途に応じた「エディション」が存在します。代表的なものは以下の2つです。
| エディション | 特徴・用途 |
|---|---|
| Standard | 一般的なサーバ用途・中小規模向け(標準構成) |
| Datacenter | 大規模なシステム・高度な仮想化向け(無制限に近い仮想化権など) |
※詳細な機能比較はこちらを参照:https://learn.microsoft.com/ja-jp/windows-server/get-started/editions-comparison?pivots=windows-server-2025
【本講座の演習環境について】
本講座では、現在多くの企業の現場で稼働しているバージョンの理解を深める観点から、「Windows Server 2022 Standard」 を使用して構築演習を行います。2022の操作と概念を習得すれば、最新の2025の対応も十分に行うことができます。
3.サーバの構築
3.1 環境の説明
・AWS(Amazon Web Services)は、世界的に利用されるクラウド。物理サーバの代わりに仮想マシン(EC2インスタンス)を起動して使います。今回は サーバだけを用意します。
・イメージ
[AWS VPC 172.31.0.0/16]
└ Subnet 172.31.x.0/24
- WinSrv2022 (生徒1) 172.31.x.11
- WinSrv2022 (生徒2) 172.31.x.12
3.2(参考)クラウドの基礎解説
(1)クラウドとは
インターネット上にあるシステムを、サービスとして利用する形態のことです。クラウド(cloud)は「雲」という意味です。ネットワーク構成図にインターネットを描く場合、多くは雲に似た絵で表現されます。そのため、インターネット上にあるシステムをサービスとして利用することに対して、「クラウド」という言葉が使われるようになりました。
実は、私たちがふだんよく利用しているアプリケーションの多くは、クラウドサービスとして提供されています。たとえば、Gmail やGoogle ドライブ、LINEやInstagram、X(旧Twitter)などがそうです。これらのサービスを提供しているシステムはインターネット上にあり、インターネット経由で接続してサービスを利用しています。
(2)従来のシステムとクラウドサービスとの違い
従来のシステムは、自社で構築し、社内に設置・運用されていました。この形態をオンプレミス(on-premises)といい(「premises」は「構内」の意)、システムを利用するのは、基本的に自社の社員に限られていました。一方、クラウドサービスの場合、インターネット上にシステムがあります。また、1 つのシステムの利用者が自社の社員に限定されず、複数の企業が同じシステムを共同利用します(もちろん、1つのシステムを、一社で独占利用することも可能です)。世界中で広く普及しているクラウドサービスには、Amazon.comのAWS(Amazon Web Services)、マイクロソフトのMicrosoft Azure、GoogleのGoogle Cloud Platform(GCP)があります。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(3)仮想マシン
クラウド環境では、利用者が自分で物理サーバーを設置することはできません。代わりに、クラウド事業者が用意した物理サーバー上で動作する仮想マシン(Virtual Machine)を利用します。仮想マシンは、クラウド事業者の物理サーバー上でハイパーバイザー(仮想化基盤)を介して動作します。仮想マシンに割り当てられるIPアドレスは、プライベートIPアドレスです。
(4)VPCとサブネット
仮想マシンは、クラウド上にある仮想ネットワーク上に配置します。この仮想ネットワークをVPC(Virtual Private Cloud:仮想プライベートネットワーク)といいます。
VPCは利用者ごとの完全なプライベート空間です。そのため、他の利用者とデータおよび通信が混在することはありません。また、利用者でIP アドレスが重複しても構いません。たとえば、利用者AもBもCも、全員がそれぞれ10.0.0.0/16のサブネットを利用することができます。
VPC ではまず、IP アドレス空間(例:10.0.0.0/16)を定義し、その内部に複数のサブネットを配置します。たとえば、10.0.0.0/16 の VPC を用意した場合、10.0.1.0/24、10.0.2.0/24 といった具合に分割できます。そして各サブネットの中に、仮想マシンを配置します。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(5)リージョンとアベイラビリティゾーン
クラウド事業者は、世界中でサービスを提供しています。それぞれの地域をリージョンといいます。各リージョン内には、複数のデータセンターがあり、そのデータセンター群の集まりをアベイラビリティゾーンといいます。1 つのリージョンの中には複数のアベイラビリティゾーンが存在します。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
(6)仮想マシンからインターネットに接続する
AWS で今回はWindowsServerを構築します。もちろん物理的なサーバではなく、仮想マシンです。これをインターネットに接続するには、以下の手順を踏みます。
❶ パブリックIP アドレスの割り当て
仮想マシンを起動すると自動でプライベートIPが付与されます。インターネットと直接通信したい場合は、これに加えてグローバルにルーティング可能なパブリックIP(グローバルIPアドレス)を割り当てます。
❷ VPCとインターネットをつなぐ
「インターネットゲートウェイ」をVPCに追加し、VPC全体がインターネットと行き来できるように設定します。インターネットゲートウェイは、VPC内のサブネットとインターネットをつなぐ架け橋の役割を果たします。※デフォルトで設定されている場合もあります。
❸ インターネットへの道筋を作る
パブリックネットワークのサブネット用のルートテーブルにて、デフォルトルートをインターネットゲートウェイに向けます。※デフォルトで設定されている場合もあります。
(引用:「図解でスッキリ ネットワークのきほんとしくみ」インプレス社、左門至峰著)
3.3 AWSへの接続
(0)環境について
今回の研修参加者全員が利用したとしても、AWS上の利用の上限には達しないことは机上では確認しております。
ただし、万が一起動しないなどの状態になった場合は、ペアで1つのAWSアカウントへのログインであったり、講師側がサーバを全て準備すること、またはペアで1つのWindowsサーバに接続して演習を進める場合があります。
(1)AWSへの接続
| ■ユーザリストおよび進捗管理 ・以下のGoogleスプレッドシートで確認してください。 ・他の人と重複しないように、「利用者」欄に、自分のハンドル名(本名以外)を記載してください https://docs.google.com/spreadsheets/d/1VbTiER5pMx0-mE-ynW-EcLNZ9lB-jKPA/edit?usp=sharing&ouid=103450749002353350567&rtpof=true&sd=true |
a)以下のURLへ接続
https://657289158329.signin.aws.amazon.com/console
b)指定されたユーザ情報でログインします。
student01~student60のユーザ名で、パスワードは別途指示します。
※今回の環境では、初回ログイン時のパスワード変更は不要です。
c)右上のリージョンを、東京または大阪にしてください。※後ほど変更する可能性あり
| ログインアカウント | リージョン |
|---|---|
| student01~student24 | 東京 |
| student25~student60 | 大阪 |
※権限について: ネットワーク(VPCやサブネット等)の破壊を防ぐため、EC2(Windowsサーバ)の起動と接続に関わる操作のみが許可されています。
(2)EC2インスタンスを起動
a)画面左上の検索窓に EC2 と入力し、サービスの「EC2」をクリック
※リージョンが東京か大阪であること、再確認してください。
b)右上のオレンジ色の「インスタンスを起動」ボタンを押す
画面によっては、以下になっている可能性もあります。
c)名前欄に任意の名前を付ける ※他の人と混在しないように、以下としてください。
win2022-studentxx ※xxはご自身の通番
d)アプリケーションおよび OS イメージ (Amazon マシンイメージ) の検索窓にて、 「Windows_Server-2022-Japanese-Full-Base」と入れて検索。少し待った後、コミュニティAMIというタブから「Windows_Server-2022-Japanese-Full-Base-2026.02.11」を「選択」。 ※必ず「provided by Amazon」と説明に記載されているものを選択、また、末尾の日付は最新のものを選ぶ
e)インスタンスタイプ:t3.mediumを選択(※基本はt3.mediumを使用し、コスト削減にご協力ください。ただし、どうしても動作が重くて演習に支障が出る場合のみ、講師に申告の上でt3.largeに変更してください。)
f)キーペア
・「新しいキーペアの作成」をクリックします。
・キーペア名: key-student01 (末尾2桁の数字は自分の番号)
・それ以外はデフォルトのまま(キーペアのタイプ: RSA、プライベートキーファイル形式: .pem)
・「キーペアを作成」ボタンを押すと、ファイルがダウンロードされます。→厳重保管してください。
g)ネットワーク設定(VPC/サブネット、セキュリティグループ):そのまま(変更無)
h) ストレージを設定:デフォルトのまま
i)起動
「インスタンスを起動」 をクリック。
j)インスタンスの確認
「すべてのインスタンスを表示」を押すと、作成したインスタンスが表示されます。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
※起動や次のパスワード取得には時間がかかりますので、休憩を取ってください。
(3)パスワードの取得
・インスタンスの状態が「実行中」になり、「ステータスチェック」が「2/2 のチェックに合格しました」になるまで待ちます(起動から4分程度かかります)。また、次のPW取得ができるようになるまで10分程度かかる場合があります。
・自分が作成したインスタンスにチェックを入れます。
画面右上の 「アクション」 > 「セキュリティ」 > 「Windows パスワードを取得」 を選択します。
・「プライベートキーファイルのアップロード」をクリックし、先ほどダウンロードした .pem ファイルを選択します。
・「パスワードを復号」 ボタンをクリックします。
・表示された「パスワード」をコピーして、ご自身のファイルなどに保存してください。※コピーのボタンがあります。
(4)Windowsサーバへの接続(RDP)
構築したサーバは、デフォルトでRDPが有効になっているので、RDPで接続します。
a)構築したサーバのIPアドレスを調べます。そのため、EC2のインスタンスにて、自分が作成したインスタンス(サーバ)のパブリックIPアドレスを確認。
【進捗報告】進捗管理表(Googleスプレッドシート)の自分のIDの欄に「パブリックIPアドレス」を入力。
b)Windowsの検索ボックスからrdpまたはmstscと入れて「リモートデスクトップ接続」を起動
c)コンピュータのところにIPアドレスを入れて、「接続」
d)認証情報を入力してOKを押す
ユーザ名:administrator ※大文字小文字は区別しない。
・PW:先ほど取得したPWを入力
e)警告メッセージはそのまま「はい」を押す
f)このように、Windowsサーバに接続できます。
【参考】セッション管理と切断
Windowsのスタートメニューを押すと、「電源」および「Administrator」の項目があります。「電源」の中に「切断」、「Administrator」の中に「サインアウト」があります。
| 操作 | 何が起こるか | 注意点 |
|---|---|---|
| 切断 または、RDP ウィンドウを × で閉じる |
セッションは残る(ログオフしない) | サーバは稼働したまま |
| サインアウト | セッションが終了 | 安全に切断 |
※RDPは2セッションしか保持できないため、ユーザを切り替えるときはサインアウトを使ってください。
今回の研修では影響がありませんが、3人以上が利用する場合、「切断」で終了すると、サーバー内では「まだ使用中」とみなされ、3人目の人が接続できなくなります。
3.4 初期設定
(1)パスワード変更
初期パスワードは複雑で覚えにくいため、変更をお勧めします。
a)画面左下の スタートボタン(Windowsロゴ)を 右クリック
b)「コンピューターの管理」 を選択
c)左側のツリーメニューから 「ローカルユーザーとグループ」 > 「ユーザー」 の順にクリックして開く
d)「Administrator」 を 右クリック し、「パスワードの設定」 を選択
e)警告画面が表示されますが、「続行」 をクリック
f)新しいパスワードを2回入力(確認用含む)し、「OK」 をクリック
※パスワードは「大文字・小文字・数字・記号」を含む複雑なものである必要があります。たとえば、NewPassword123! のような文字にしてください。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄にパスワードを記載してください(※本来は適切ではありませんが、サポート時にも利用するため)
4.Windowsサーバの基本設定
4.1 ネットワークの設定と確認
(1)インターネットへの接続確認
MicrosoftEdgeを起動し、インターネットに接続できることを確認します。
a)MicrosoftEdgeを起動し「Microsoft Edgeへようこそ」の画面が出たら「ユーザーデータを使用せずに開始」をクリック、次のページで「確認して続ける」、次のページで「Googleデータなしで続行する」、次のページで「Microsoft のエクスペリエンスをより便利なものにします。」のチェックを外し、「確認して閲覧を開始する」を押す。※画面表記は多少異なる可能性がありますが、どれを選んでもそれほど問題ありません。
b)「ようこそ」のページは適当に閉じるなどする
c)ブラウザに、「https://www.yahoo.co.jp」を入力することで、Yahooのページ
に接続できることを確認する
(2)自分のIPアドレスを確認する
・サーバーのIPアドレスがどのように割り当てられているかを確認します。
・環境による割り当て方の違い
| 環境 | IPアドレスの割り当て |
|---|---|
| 一般的なオンプレミスサーバー | 固定IP |
| AWSのサーバー | DHCP(自動取得) |
※AWSの場合、OS側で勝手に固定IPを書き込むと通信不能になることがあります。
❶ GUI(画面)での確認
a)スタートボタンを右クリックし、「ネットワーク接続」 を選択
b)設定画面が開くので、「イーサネット」 をクリック
c)表示された「ネットワーク(例えばネットワーク2)を選択
d)「IP割り当て」が「自動 (DHCP)」 になっていることを確認
e)「プロパティ」の「IPv4アドレス」を確認する (例)172.31.38.183
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に、サーバのプライベートIPアドレス(172.31.38.183など)を入力。
❷コマンドでの確認
a)スタートボタン(Windowsロゴ)の横の検索窓をクリックし、そのままキーボードで cmd と入力します。
b)検索結果に 「コマンド プロンプト」 が表示されるので、クリックして起動します。
c)以下のコマンドを入力してEnterキーを押します。
| ipconfig |
IPv4 Address の行を確認します(例: 172.31.xx.xx)。
先ほどのGUIで見たものと同じIPアドレスが表示されるはずです。
※ここで表示されるのは「プライベートIPアドレス」です。AWSコンソールで見える「パブリックIP」とは異なります。
(3)自分のホスト名を確認し、変更する
AWSで作成した直後のサーバーは EC2AMAZ-XXXX といったランダムな名前になっています。管理しやすい名前に変更します。
a)スタートボタンを右クリックし、「システム」 を選択します。
b)「デバイス仕様」の 「デバイス名」 が現在のホスト名です。
c)同じ画面にある 「この PC の名前を変更」 ボタンをクリックします。
d)新しい名前を入力します(例: Win2022-student01 など)。
※空白(スペース)は使えません。半角英数字とハイフンのみ推奨です。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄にホスト名を入力。
e)「Next (次へ)」 をクリックし、「今すぐ再起動」 をクリックします。
f)数分待ってからRDPで再接続します。
g)再度「システム」画面を開き、名前が変わっていることを確認します。
(4)DNSサーバ
インターネット上の住所(ドメイン名)をIPアドレスに変換するためのDNSサーバー設定を確認します。
a)先と同様に、コマンドプロンプトで以下のコマンドを入力します。
| ipconfig /all |
b)DNS Servers の行を確認します。
| DNS Servers . . . . . . . . . . : 172.31.0.2 (例) |
IPアドレスの下2桁が0.2のIPアドレスが表示されているはずです。これがDNSサーバー(今回はAWS上の構築されたDNSサーバ)です。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄にDNSサーバのIPアドレスを入力。
c)名前解決のテスト
以下のコマンドを入力し、ドメイン名からIPアドレスが引けるか確認します。
| nslookup toyota.jp |
d)以下のように、IPアドレスが表示されることを確認します。
C:\Users\Administrator>nslookup toyota.jp サーバー: ip-172-31-0-2.ap-northeast-1.compute.internal Address: 172.31.0.2 権限のない回答: 名前: toyota.jp Address: 23.215.243.110
4.2 サーバーマネージャ
(1)サーバーマネージャとは
サーバー全体の状態の確認や、サーバーとしての機能(Webサーバー、ファイルサーバーなど)の追加・削除をここから一元管理します。また、ツールから、コンピュータやユーザの管理など、サーバを管理する様々な機能があります。
※ただし、必ずしもサーバーマネージャの画面から実施する必要はありません。
(2)サーバーマネージャの起動
a)Windowsのスタートボタン(左クリック)から「サーバーマネージャ」を選択
b)サーバーマネージャが起動します
c)「今すぐWindows Admin Center…」のメッセージが出るので「今後、このメッセージを表示しない(D)」にチェックを入れ、×で閉じます。
(3)メニュー項目の解説
| メニュー項目 | 概要 |
|---|---|
| ダッシュボード | 主に、サーバーの状態を確認するためのトップ画面 |
| ローカル サーバー | このサーバー自身の設定を行う画面 |
| すべてのサーバー | AD環境などで、複数のサーバをこのサーバーマネージャーで管理している場合に使う |
| ファイル サービスと記憶域サービス | ハードディスク(ボリューム)やファイル共有を管理する機能 |
(4)「ツール」メニューの解説
・以下は、右上の「ツール」をクリックした画面です。
・上記の中で、機能の例をいくつか紹介します。
| 機能 | 概要 |
|---|---|
| コンピューターの管理 | ユーザー管理として、Administrator のパスワード変更や、新しいユーザーの作成 |
| イベント ビューアー | Windows内で起きたすべての出来事(エラー、警告、ログイン履歴など)が記録されています |
| ローカル セキュリティ ポリシー | 「パスワードの長さは最低何文字必要か」「パスワードを何回間違えたらロックするか」といったルールを決めます |
(5)IEセキュリティ強化の構成 (IE Enhanced Security Configuration) の無効化
デフォルトでは、ブラウザのセキュリティが厳しすぎて、ChromeのダウンロードやAWS管理コンソールの閲覧すらままなりません。これを緩和します。
a)メニューからローカルサーバーを選択
b)画面右側のプロパティにある 「IEセキュリティ強化の構成」 の 「有効」 をクリックします。
c)「Administrators グループ」と「Usersグループ」の設定を どちらも「オフ」 に変更し、「OK」 をクリックします。
※反映されない場合は、画面上部の「更新ボタン(矢印)」を押してください。
(6)タイムゾーン (Time zone) の変更
画面右下の時刻を見てください。ズレていませんか?
おそらく、9時間くらい遅れていると思います。
これは、サーバーの時間が世界標準時 (UTC) になっているため、日本時間 (JST) に合わせます。ログの時刻確認などで重要です。
a)同じ画面内の 「タイムゾーン」 の 「UTC...」 をクリックします。
b)「タイムゾーンの変更」 をクリックします。
c)ドロップダウンリストから 「(UTC+09:00) 大阪、札幌、東京」 を選択し、OKを押します。
d)右下の時刻が正しくなったことを確認します。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
4.3 ローカルセキュリティポリシー
サーバーマネージャーから設定できる内容として、ローカルセキュリティポリシーがあります。順番に説明します。
(1)ローカルセキュリティポリシーとは
Windows Serverには、セキュリティに関するルールを細かく設定する機能が標準で備わっています。これを「ローカル セキュリティ ポリシー」と呼びます。
例えば、「パスワードは〇文字以上にしなければならない」「〇回ログインに失敗したらロックする」といったルールをサーバーに強制させる機能です。これにより、管理者が都度注意しなくても、システム側で自動的に安全性を保つことができます。
| 【参考】「ローカル」とは ここで言う「ローカル」とは、「そのコンピューター自身(目の前のサーバー1台)」という意味です。それに対し、企業ネットワーク(複数のサーバを統合管理するActive Directory環境)では、何百台ものパソコンを一括管理する必要があります。その場合は「グループポリシー」という機能を使い、ドメインコントローラーから一斉にルールを配布します。※Active Directoryに関しては、後半で解説します。 |
(2)ローカルセキュリティポリシーで設定できる項目
多岐にわたりますが、代表的なものは以下の3つです。
| カテゴリ | 設定内容の例 | 目的 |
|---|---|---|
| アカウント ポリシー | ・パスワードの長さ(最低10文字など) ・有効期限(90日で変更など) ・アカウントロック(3回失敗で停止) |
不正ログインや総当たり攻撃を防ぐ |
| ローカル ポリシー | ・誰がシャットダウンできるか ・誰が時計を修正できるか ・ログイン成功/失敗のログを残すか(監査) |
権限の管理と、操作記録(ログ)の取得 |
| アプリケーション制御 | ・特定のソフトの実行を禁止する | ウイルスや無許可ソフトの実行防止 |
(3)ローカルセキュリティポリシーによるパスワードの強化
今回は、「パスワードは最低10文字以上必要」 というルールをサーバーに設定し、実際にユーザーを作成してその効果を確認します。
a)サーバーマネージャー右上の 「ツール」 をクリック。
b)「ローカル セキュリティ ポリシー」 を選択。
c)左側のツリーメニューから以下のように進みます。
セキュリティの設定 > アカウント ポリシー > パスワードのポリシー をダブルクリック
d)右側にポリシーの一覧が表示されるので、「パスワードの長さ」 をダブルクリック
e)デフォルトでは 0 characters(0文字以上)になっているはずなので、設定値を 10 に変更し、「OK」 をクリック
このあと、「5.2 ユーザー~」にて、ポリシーが適用されたかを、実際にユーザを作成して確認します。
※ここで文字数を設定しても、『大文字・小文字・数字・記号』を含める複雑さのルールは引き続き有効です
4.4 イベントビューア
(2)RDPログイン履歴(成功ログ)の確認
ログイン成功は「イベントID: 4624」、失敗は「イベントID: 4625」として「セキュリティ」ログに記録されます。今回は自分のログイン成功記録を探してみましょう。
a) サーバーマネージャーを開き、右上の「ツール」>「イベントビューアー」をクリック。
b) 左側のメニューの「Windows ログ」を展開し、「セキュリティ」をクリック
c) 左側のメニューの「操作」または、右側の「操作」メニューから、「現在のログをフィルター...」をクリック。
d) 中央あたりにある「<すべてのイベント ID>」と書かれた入力欄に、半角で「4624」と入力し、「OK」をクリック。
e) 一覧が「ログオン成功(4624)」だけに絞り込まれます(※ただしシステム的なログインもあり、大量になります)。
f) 文字列を検索したいので「操作」の下の方の「検索」をクリックし、検索のボックスで「Administrator」と入力、「次へ検索」。
g)以下のように、ログオンタイプが10(RDP)となっていて、RDPで接続した情報が確認できると思います。
h)講師が、攻撃者になりすまして不正ログインを試みます(ログイン失敗)。不正ログインを試みた講師のIPアドレス(送信元IPアドレス)が何か、調査してください。
| ※「User32」という名前のユーザーが見える場合がありますが、ユーザーID(アカウント名)ではなく、Windowsの内部システム(プログラム)の名前です。 |
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
5.ユーザとグループ管理およびアクセス権
5.1 ユーザとグループ管理について
(1)概要
サーバー運用において、誰が(User)、何ができるかの権限(Permission)を管理することは重要です。
ここでは、ユーザー作成の基本と、効率的な管理手法である「グループ」の概念を学びます。
(2)グループの必要性
| Q.なぜ「グループ」が必要なのか |
→もし社員が100人いて、ファイルサーバーの閲覧権限を1人ずつ設定していたらどうなるでしょうか。
100人の設定を1人ずつ手動で設定する必要があります。もしこれが、権限変更する必要があったら、また100回分の設定変更が必要です。これは大変です。
そこで、Windows Serverでは、以下の原則で管理します。
・権限を、「ユーザ」ではなく「グループ」に与える (例:「営業部」グループには「見積書フォルダ」を見せる)
・ユーザーを「グループ」に入れる (例:佐藤さんを「営業部」グループに入れる)
こうすることで、仮に佐藤さんが異動しても、グループの所属を変えるだけで権限の付け替えが完了します。
(3)代表的なユーザーとグループ(既定)
最初から存在する代表的なユーザとグループを紹介します。後ほど、実際に見てもらいます。
| 名称 | 種別 | 役割 |
|---|---|---|
| Administrator | ユーザー | システム全体を管理する最強の特権アカウント |
| Guest | ユーザー | 一時利用者用ですが、セキュリティリスクが高いため既定で無効になっています。 |
| Administrators | グループ | このグループに入っているメンバーは、Administratorと同等の管理者権限を持ちます。 |
| Users | グループ | 一般ユーザーが所属します。ソフトのインストールやシステム設定の変更はできません。 |
| Remote Desktop Users | グループ | リモートデスクトップ接続(RDP)を許可されたユーザーのグループです。 |
5.2 ユーザーおよびグループの作成
(1)一般ユーザーの作成
管理者(Administrator)以外の、一般的な権限しか持たないユーザーを作成してみます。
a)「サーバーマネージャ」を起動し「ツール」「コンピュータの管理」を開きます。
※実は、もっと早い方法もありまして、スタートボタンを右クリック でも「コンピューターの管理」 を開けます。
b)左側のツリーから 「ローカル ユーザーとグループ」 → 「ユーザー」 をダブルクリック
c)中央の空白部分を右クリック → 「新しいユーザー」 を選択します。
d)以下の情報を入力します。
| 項目 | 値 | 補足 |
|---|---|---|
| ユーザー名 | user01 | 任意の名前 |
| パスワード | Pass1234! | ポリシー要件を満たす複雑なもの |
| パスワードの確認入力 | Pass1234! |
・チェックボックスの設定
「ユーザーは次回ログオン時にパスワードの変更が必要」 のチェックを外します。
※通常は、初期パスワードを管理者が設定し、利用者が自分でパスワードを設定するためにチェックを入れますが、今回の研修では手順の簡略化のために外します。
e)「作成」 ボタンを押す
→エラーがでましたか?そうです。先ほどのローカルセキュリティポリシーで、パスワードの長さを10桁以上に設定したのです。
f)パスワードを、Pass12345! など、10桁以上にして再度「作成」、「閉じる」 を押します。
g)一覧に、作成したユーザが追加されることを確認します。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に作成したユーザ名を入力。
(2)グループの作成と運用
実際の組織を想定し、「Sales(営業部)」というグループを作成して、そこにユーザーを所属させます。
a)「コンピューターの管理」の左側ツリーで 「グループ」 を選択します。
b)中央の空白を右クリック → 「新しいグループ...」 を選択します。
c)グループ名: Sales として、「作成」 → 「閉じる」 を押します
| 【参考】 Windowsのグループ名(およびユーザー名)において、大文字と小文字は区別されません。また、自動で先頭が大文字になるようなことはありません。 |
d)作成された Sales グループを ダブルクリック します。
e)「追加」 ボタンを押します。
f)先ほど作成したユーザー名 user01 を入力し、「名前の確認」 → 「OK」 を押します。
g)コンピュータ名が付与される可能性がありますが、ユーザーが正しく認識されたことを確認して 「OK」 を押します。
h)「OK」で閉じます。
これで、もし将来「Salesグループだけが見れる共有フォルダ」を作った場合、この user01 は自動的にそのフォルダを見ることができるようになります。
5.3 作成したユーザーでのRDP接続
(1)サーバに接続してみる
では、実際に作成した一般ユーザー(user01)を使って、リモートデスクトップ接続ができるか試してみましょう。
a)現在操作している管理者(Administrator)の画面を、一度「サインアウト(ログオフ)」します。以下のように、WindowsボタンでAdministratorを選択してからサインアウトを押します。
b)再度、リモートデスクトップ接続の画面を立ち上げ、接続します。
c)Administratorのユーザが残ったままだと思いますので、「その他」「別のアカウントを使用する」を選択します。
d)ユーザー名に先ほど作った一般ユーザ(user01など)、パスワードに先ほど設定したものを入力して「接続」します。
→以下のメッセージが表示され、接続できないはずです。
Windows Serverでは、作成したばかりの一般ユーザーは、セキュリティ保護のためリモートデスクトップ接続が禁止されています(Administratorのみ特別に許可されています)。
(2)RDP接続許可の設定(Remote Desktop Usersへの追加)
一般ユーザー(user01)でもログインできるようにするには、そのユーザーを「Remote Desktop Users」という特別なグループに追加する必要があります。
a)設定を変更するため、一度 user01 での接続をあきらめ、もう一度 管理者(Administrator)でログインし直してください。
b)先ほどと同じく「コンピューターの管理」を開き、「ローカル ユーザーとグループ」→「ユーザー」を表示します。
c)ユーザー一覧にいる user01 を 右クリック → 「プロパティ」 を選択します。
d)上部のタブから 「所属するグループ」 をクリックします。
e)下にある 「追加(D)...」 ボタンをクリックします。
f)「選択するオブジェクト名を入力してください」という白い入力欄に、 Remote Desktop Users と入力します。
g)右側にある 「名前の確認」 ボタンを押します。
h)下線が引かれたら 「OK」 を押します。
i)プロパティ画面に戻るので、リストに Remote Desktop Users が増えていることを確認して 「OK」 で閉じます。
(3)再度接続
・あらためて、一般ユーザでRDP接続をしてみてください。
・ログインすると、Administratorと同じような画面になります。何が違うのでしょうか?たとえば、ユーザを作ってみると、作成できません。※途中までできそうなのが紛らわしいですね。
・以下、主な違いを記載します。
| 項目 | 管理者 (Administrator) | 一般ユーザー (user01) | 実際の挙動(user01の場合) |
|---|---|---|---|
| サーバーマネージャー | フル機能利用可能 | 表示されるが変更不可 | 画面は開きますが、設定を変更して保存しようとすると「アクセスが拒否されました」とエラーになります。 |
| ユーザー作成・削除 | 可能 | 不可能 | 「新しいユーザー」の画面までは開けますが、「作成」ボタンを押した瞬間にエラーで弾かれます。 |
| IPアドレス変更 | 可能 | 不可能 | ネットワーク設定画面は見れますが、プロパティを開こうとすると、管理者パスワードを求められます(UAC)。 |
| ソフトのインストール | 可能 | 不可能 | インストーラーを起動しようとすると、管理者パスワードを求められます。 |
| シャットダウン | 可能 | 不可能 | スタートメニューの電源ボタンを押しても、「切断」や「サインアウト」しか表示されません(サーバーを止める権限がないため)。 |
| ファイル操作 | 全ファイル読み書き可 | 自分のフォルダのみ | Cドライブのシステムフォルダや、他のユーザーのフォルダを見ようとすると拒否されます。 |
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
5.4 アカウントのメンテナンス
(1)概要
運用に入ると、「パスワードを忘れました」という問い合わせや、社員の退職対応が発生します。それぞれの対応方法を学びます。
まず、作成した一般ユーザは「サインアウト」し、Administratorで再度ログインしてください。そして、新しいユーザとして分かりやすいように「deluser」を作成してください。また、RDP接続できるようにグループ設定してください。
(2)パスワードのリセット
社員が忘れてしまった場合の対処です。
管理者は、ユーザーの現在のパスワードを知ることはできませんが、「強制的に新しいパスワードに上書き」することは可能です。
a) 「コンピューターの管理」のユーザー一覧から、deluser を 右クリック し 「パスワードの設定(S)...」 を選択します。
b) 警告画面が出ますが、今回は 「続行」 をクリックします。
c) 新しいパスワードを2回入力し、 「OK」 をクリックします。
これで、ユーザーは新しいパスワードでログインできるようになります。
(3)アカウントのロックアウトと解除
パスワードを連続で間違えた際、第三者の不正アクセス(総当たり攻撃)を防ぐためにアカウントを一時的に使用不可(ロック)にする設定と、管理者による解除方法を体験します。
a) サーバーマネージャーから「ツール」>「ローカル セキュリティ ポリシー」
b) 左側のメニューから「アカウント ポリシー」>「アカウント ロックアウト ポリシー」を展開
c) 右側の「アカウントのロックアウトのしきい値」をダブルクリックし、「3 回の無効なログオン試行」に変更して「OK」をクリック。(※他の関連項目も自動で設定されるという案内が出ますが、そのままOK。うまくクリックできない場合、全画面にしてEnter)
d)RDPでユーザー名「deluser」で接続します。 ※RDP接続をもう一つ起動すればいいので、Administratorはサインアウトする必要ありません。
e)パスワード入力画面が出たら、わざと間違ったパスワードを入力して「OK」を押す作業を3回繰り返します。
f) 4回目のログイン試行で、以下のメッセージが出ます。
g) 管理者(Administrator)のRDP接続において、「コンピューターの管理」画面に戻り、deluser を右クリックして「プロパティ」
h) 全般タブの中にある「アカウントのロックアウト(O)」のチェックボックスがチェックされているかを確認
i)クリックしてチェックを外す。
j)「OK」をクリックしてプロパティ画面を閉じる。
手元のPCからRDP接続を開き、deluser と 正しいパスワード を入力して、無事にログインできるか確認してください。
※アカウントのロックアウトが3回だと、この後の演習で面倒なので、「アカウントのロックアウトのしきい値」は元に戻してください(0にする)
5.5 アクセス権の設定
(1)アクセス権とは
アクセス権(NTFS権限)とは、ユーザやグループがファイルやフォルダに対して行える操作を制御する仕組みです。
例えば、「機密書類フォルダ」は経営陣しか見られないようにしたり、「提出用フォルダ」は書き込みはできるが削除はできないようにしたりと、業務に合わせた制御を行います。
(2)NTFSとFAT
・NTFS(NT File System)は、Microsoftが開発したWindowsの標準ファイルシステムです。※NTの意味ですが、「New Technology」 の略だと言われていますが、本当のことはわかりません。
・WindowsでハードディスクやUSBメモリを使う際、「フォーマット」という作業をしますが、この時の形式(NTFSなのか、FAT:File Allocation Table)なのかによってセキュリティ機能に大きな違いがあります。
・NTFSとFATの違い
| 形式 | 特徴 | セキュリティ(アクセス権) | 用途 |
|---|---|---|---|
| NTFS | Windows Serverの標準形式。安全性と信頼性が高い。 | あり(今回設定する「セキュリティ」タブがある) | サーバーのHDD、Cドライブなど |
| FAT32 / exFAT | 古くからある単純な形式。USBメモリなどで使われる。 | なし(誰でもアクセスできてしまう) | データの受け渡し用USBなど |
・以下は、NTFS形式のドライブ(今回のWindowsも同様)にあるファイルのプロパティ画面です。このように「セキュリティ」タブが表示されますが、FAT形式のUSBメモリ内のファイルでは、このタブは表示されません。
(3)主な権限レベル
フォルダのプロパティにある「セキュリティ」タブで設定できる主な権限です。
| 権限名 | 具体的にできること | 備考 |
|---|---|---|
| フルコントロール | すべて可能(読み書き・削除・権限の変更) | 管理者以外には与えないのが基本 |
| 変更 | 読み書き・削除が可能 | 「権限の変更」だけができない実務向きの権限 |
| 読み取りと実行 | ファイルを開く、プログラムを動かす | 編集や削除はできない |
| 書き込み | データの保存、上書き | (単体ではあまり使わない) |
| 特殊なアクセス許可 | 非常に特殊で複雑なルールを作りたい時だけ使用 | どんな設定ができるか、自分で確認してみよう |
(4)グループ専用のフォルダを作る
・今回は、Cドライブ直下に「Sales(営業部)」専用のフォルダ(名前:SalesDocs)を作成します。
・目標は、「営業部の user01 は中身を見書きできるが、部外者の user02 はアクセス拒否される」状態を作ることです。
・登場人物と役割
| グループ名 | 役割 | 所属ユーザー | 演習での扱い |
|---|---|---|---|
| Sales | 営業部 | user01 | 許可(読み書きOK) |
| Users | 一般社員 | user02 | 拒否(アクセス不可) |
| Administrators | 管理者 | Administrator | すべて可能(設定役) |
・以下、手順です。
a)user02 を作成します。グループは、デフォルト(Users)のままとしますが、Remote Desktop Usersは追加してください。
b)Sales グループに、user01 が入っていることを確認。入っていない場合は、「追加」ボタンから user01 を追加。
c)デスクトップにあるPCをダブルクリックし、ローカルディスク (C:) を開きます。
d)空白部分を右クリック →「新規作成」→「フォルダー」を選択。
e)フォルダ名を SalesDocs とします。この中に、何かテキストファイルを作成してください。(例)file.txt 中身は「Hello」など。
f)作成した SalesDocs を 右クリック → 「プロパティ」 → 「セキュリティ」 タブを開きます。
g)「グループ名またはユーザー名」の欄に、Users というグループがいませんか?
これは「このサーバーを使える全員」という意味です。つまり、今のままでは部外者の user02 もこのフォルダを見ることができてしまいます。 これを修正します。
h)「編集」ボタンを押して、次の画面で「Users」を選択し、「削除」を押してみてください。以下の警告が出ないでしょうか
これは、この権限が「親フォルダ(Cドライブ)」から自動的に継承されているので、勝手には削除できないのです。先に、まずこの「継承」を断ち切る必要があります。
i)そこで、今の画面を「OK」で閉じ、右下の「詳細設定(V)」 ボタンをクリックします。
j)画面左下の 「継承の無効化(I)」 をクリックします。
k)確認画面が出たら、「継承されたアクセス許可を…明示的なアクセス許可に変換します」 を選びます。
※これで、親フォルダの設定から独立し、自由に削除できるようになりました
l)「OK」を押して戻ります。
m)改めて、「編集」ボタンを押して、Usersを削除します
n)「追加」から「Sales」グループを追加します。
※アクセス許可はデフォルトのままとしてください。
o)RDP接続を一つ起動し、user02でログインし、Salesフォルダのファイルが閲覧できないことを確認します。
p)user01でログインし、Salesフォルダのファイルが閲覧できることを確認してください。
(5)「許可」と「拒否」を同時に設定する
アクセス許可には、「許可」と「拒否」の両方がありました。では、どちらも有効にしたら、どうなるでしょうか。
現在の設定ですが、user01はSalesグループに所属しているので、SalesDocsにアクセス権があります。
ここで、以下のように、user01に対して拒否のフルコントロール(全ての権限を拒否)と設定します。
さて、user01は、このフォルダにアクセスできるか、試して下さい。
(6)「継承」を試してみる
先ほどの演習で、SalesDocs フォルダは「営業部(Sales)専用」という特別な設定になりました。
では、このフォルダの中に新しいサブフォルダを作ったら、その権限はどうなるでしょうか?また最初から設定し直しでしょうか?
今回は、作成済みの SalesDocs の中に、さらに Reports というフォルダを作って確認します。
a) サブフォルダの作成
・管理者(Administrator)で操作します。
・C:\SalesDocs を開き、その中に新規フォルダ Reports を作成してください。
b) 権限の自動継承を確認
・作成した Reports フォルダを 右クリック → 「プロパティ」 → 「セキュリティ」 タブを開きます。
・特に何も設定していないのに、リストに 「Sales」 グループが入っていませんか?
・逆に、「Users」 グループはいないはずです。
これが「継承」です
親(SalesDocs)で設定したルール「SalesはOK、UsersはNG」が、子供(Reports)に自動的に引き継がれています。
これにより、今後 SalesDocs の中に何千個フォルダを作っても、自動的に「営業部専用」として守られます。管理者にとっては運用が楽ですね。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
6.ファイルサーバの構築
6.1 ファイルサーバとは
・ファイルサーバとは、ネットワークを通じて複数のユーザがファイルやフォルダを共有・管理するための専用サーバのことです。
・Windows Serverは、SMB(Server Message Block) という通信プロトコルを使います。
・個人のパソコン(ローカルディスク)でデータを管理する場合と比べ、情報の一元管理ができ、また、サーバは24時間365日稼働することを前提に設計されているので、必要な時にいつでもデータにアクセスできます。さらに、サーバにデータを集約し、サーバ側でバックアップをしっかり取っておくことで、万が一社員のPCが故障や紛失した場合でも、大切な業務データが失われることを防げます。
6.2 演習概要
・Windows Serverの基本機能である「ファイル共有」を設定します。
また、クラウド(AWS)特有のネットワーク設定を理解した上で、「隣の席の人のサーバ」に対してファイルを読み書きします。
・2人1組(または3人グループ)になり、以下の役割を決めて実施します。
| サーバ役(Aさん) | フォルダを作り、共有設定を行い、アクセス用のユーザーを作る。 |
|---|---|
| クライアント役(Bさん) | Aさんのサーバに接続し、ファイルを書き込む。 |
※終わったら役割を交代します。
6.3 環境準備(AWS)
・ファイル共有を行うためには、AWSで構築した自分のインスタンス(サーバ)に対して、通常のRDP(3389)に加え、SMB(445)という通信ポートを開ける必要があります。
a) AWSにログイン
b)EC2にて、リージョンが「東京」または「大阪」(ご自身のもの)であることを確認。
c)自分のインスタンスを選択し、セキュリティタブからセキュリティグループをクリック
d)「インバウンドのルールを編集」ボタンを押す
e)「ルールを追加」ボタンを押す。
スプレッドシートも参考にしながら、以下のように、インバウンドルールに、タイプを SMB、ペアの相手のプライベートIPアドレス(例:172.31.x.x/32)」、グローバルIPアドレスを入れて、「ルールを保存」を押す
6.4 ファイルサーバの設定
(1)機能の確認
Windows Server 2016以降、基本的なファイルサービスは最初からインストールされていますが、手順を確認します。
a)サーバーマネージャ → 「ダッシュボード」または「管理」から「役割と機能の追加」
b)ウィザードが出たら「次へ」
c)「役割ベースまたは機能ベースのインストール」→ 次へ
d)サーバプールからサーバを選択をクリックするが、デフォルトで自分のサーバが選択されているはずです。
e)「サーバーの役割」一覧から「ファイルサービスと記憶領域...」>「ファイル サービスと iSCSI サービス」>「ファイル サーバー」にチェックを入れる
f)「次へ」「次へ」で進み、「確認」のところで(チェックボックスは無視して)「インストール」を押す。
g)インストールが終わったら、「閉じる」を押す
(2)共有専用ユーザーの作成
・「相手(Bさん)」が自分のサーバにログインするための専用ユーザーを作ります。
・「コンピューターの管理」→「ローカルユーザーとグループ」→「ユーザー」から、これまで演習した通りの手順で以下の「新しいユーザー」を作成してください。
| 項目 | 設定値 | 備考 |
|---|---|---|
| ユーザー名 | fs_user | fsは、File Server Userの略 |
| パスワード | Pass12345! |
※「ユーザーは次回ログオン時に…」のチェックを外す。「パスワードを無期限にする」にチェック入れてもOK。
(3)共有フォルダの作成とアクセス権設定
・特定の部署(今回の演習はグループではなく、fs_userというユーザ)だけが使える共有フォルダを作ります。
a)Cドライブ直下に ShareData というフォルダを新規作成
b)その中に、テスト用に test.txt (中身は "Welcome to My Server" 等)を作成
c)ShareData フォルダを 右クリック → 「プロパティ」 → 「共有」 タブを開く
※先ほどは「セキュリティ」タブでしたが、今度は「共有」タブです。
| 比較項目 | 共有タブ(共有アクセス権) | セキュリティタブ(NTFSアクセス権) |
|---|---|---|
| 制限の対象 | ネットワーク経由のアクセスのみ | ネットワーク・直接操作の両方 |
| 設定できる単位 | 共有した「フォルダ」全体のみ | フォルダの中の「ファイル」単位でも可能 |
| 権限の細かさ | 大まか(フルコントロール、変更、読み取りの3つ) | 非常に細かい(実行、書き込み、特殊なアクセス許可など) |
| 実務で利用例 | 「Everyone(全員)」にフルコントロールを与えて全開にしておく | ここで特定のユーザーだけが入れるように厳密に制限する |
d)「詳細な共有(D)...」 ボタンをクリック。 ※上に「共有(S)...」ボタンもありますが、簡易な設定しかできないので、あまり使いません。
e)「このフォルダーを共有する(S)」 にチェック
f)「アクセス許可(P)」 ボタンをクリック。
g)アクセス許可の変更(Everyoneの削除とfs_userの追加)
このとき、fs_user のアクセス許可で 「変更」 と 「読み取り」 にチェックを入れる。
※フルコントロールにすると、アクセス権の設定変更もできますが、今回は不要なためチェックは入れません。
h)すべて「OK」で閉じて、プロパティ画面に戻ります。
i) 続いて、隣の 「セキュリティ」 タブも確認しましょう。fs_userがアクセスできる権限設定かどうかを確認し、必要に応じて変更します。※fs_userはUsersグループに所属し、Usersに権限が与えられているので、そのままでも問題ないはずです。
| ■参考:ネットワーク越しの「共有タブ」の設定と、ローカルの「セキュリティタブ」の設定の両方で許可されて、初めてファイルの読み書きが可能になります。 |
(4)相手のサーバへ接続
ペアの相手が、自分のサーバに接続します。
a)スプレッドシートなども活用し、以下を伝えます。
| 項目 | 値 | 備考 |
|---|---|---|
| 自分のWindowsサーバのIPアドレス (プライベートまたはグローバル) |
x.x.x.x | 同じVPCでない場合、グローバルIPアドレスで接続 |
| ユーザー名 | fs_user | 実際に作成したもの |
| パスワード | Pass12345! | 実際に設定した値 |
b)Bさんは、Aさんのサーバへ接続を試みます。そのために、エクスプローラーを開きます(ドキュメントなど何でもOK)。
c)上部のアドレスバーに、相手のIPアドレスを以下の形式で入力し、Enterキーを押します。
\\相手のIPアドレス
(例: \\172.31.38.183)
d)ここで、先ほどのユーザー情報を入力します。
e)フォルダの中に入り、test.txt を開けるか確認してください。
f)新しいファイル(例:hello_from_B.txt)を作成し、書き込みができることも確認してください。
g)Aさんは、自分のサーバ上で、 ShareDataフォルダにhello_from_B.txtが作成されていることを確認します。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
| ■トラブルシュート:うまくいかないとき ・原因1(AWS設定): セキュリティグループで SMB (ポート445) が許可されていない ・原因2(IP間違い): 自分のIPを入れている、またはIPアドレスの数字を間違えている。 ・原因3: 共有フォルダは見えたが、中に入れない(アクセス拒否)場合は、 NTFSアクセス権の問題です。 |
ファイルサーバおよび、接続元のそれぞれに、Administrator、fs_userのアカウントが設定されていたとします。
■参考:RDP接続のユーザによる違い
接続するRDPのアカウントが何かによっても、結果が変わります。うまくいかない場合は、新しいユーザでRDP接続し、そこでファイルサーバに接続するのがわかりやすいことでしょう。※ファイルサーバにはfs_userのみ共有設定がされています。
| 接続元のRDPアカウント | パスワードが接続先と同じか | 接続結果 |
|---|---|---|
| Administrator | 〇(同じ) | アクセス拒否(エラーになる) 裏でAdministratorとしてログインに成功してしまうが、フォルダの権限がないため弾かれる。ID入力画面も出ない。 |
| Administrator | ×(異なる) | 資格情報の入力画面が表示される 裏でのログインに失敗するため、Windowsが「誰として接続しますか?」とID/PWを聞いてくる。 |
| fs_user | 〇(同じ) | 認証画面など出ることなくアクセス可能 |
| fs_user | ×(異なる) | 資格情報の入力画面が表示される パスワード違いでログインに失敗するため、正しいPWを求めて画面が出る。 |
| bob(※接続先に存在しない) | どちらでも | 資格情報の入力画面が表示される 接続先に「bob」というアカウントが存在しないため自動ログインに失敗し、別の有効なID/PWを求めて画面が出る。 |
※時間がある方は、RDP接続するサーバのPWを変更したり、ユーザを変更して、接続がどうなるかを確認しましょう。
7.Webサーバ(IIS)の構築
7.1 IISとは
・IIS(Internet Information Services)は、Windows Server 標準のサーバソフトです。
・最も有名な機能は「Webサーバ」ですが、実はファイルを転送する「FTPサーバ」などの機能もセットになっています。
7.2 Webサーバの構築
(1)IISのインストール
a) サーバマネージャ →「役割と機能の追加」をクリック。
b) 「次へ」を何度か押し、「サーバーの役割」の画面まで進む。
c) リストの中から 「Web サーバ(IIS)」 にチェックを入れます。新しい画面が起動しますが、そのまま「機能の追加」を押してください。
d) そのまま「次へ」を進め、「確認」のところで「インストール」をクリック。
e) 完了したら(※閉じて裏で処理させることも可能ですが、今回は待ち)、「閉じる」を押す。
これで、サーバがWebサイトを表示する準備が整いました。
(2) ブラウザでWebサーバに接続(自分自身)
では、ブラウザを起動し、自分のWebサーバに接続してみましょう。
a) サーバ内のブラウザ(Edgeなど)を開き、アドレスバーに http://(自分のプライベートIPアドレス)/ (例、http://172.31.40.12/)と入力してEnterキーを押してください。
b)以下のようなページが表示されれば、Webサーバは正常に動いています。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
(3)Webサイトの作成(HTML)
・自分でWebページを作ってみましょう。
a) エクスプローラ(スタートボタンからか、またはタスクバーにあるフォルダのアイコンをクリック)を開き、C:\inetpub\wwwroot を開く。(IISを入れると自動で作られるフォルダです)
b) 拡張子を表示したいので、上部の「表示」をクリックし、右側に表示されるチェックボックスの「ファイル名拡張子」にチェックを入れる
c)何もないところを右クリック→「新規作成」→「テキスト ドキュメント」。
d)ファイル名を index.html に変更。
e) index.html を右クリックして「プログラムから開く」→「別のプログラムを開く」→「その他のアプリ」→「メモ帳」を選択して「OK」
f)Webページの中身を作ります。以下のようにHTML形式で書いてもいいですが、そのあとにあるように、単なる文字だけでも表示されます。※文字化けするので、<head>の行は入れてください。
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8"> <title>研修用Webサイト</title>
</head>
<body>
<h1>ようこそ!こちらは [あなたの名前] のサーバです</h1>
<p>Windows Server 2022 で IIS を稼働させています。</p>
<p>無事にアクセスできていますね!</p>
</body>
</html><head><meta charset="UTF-8"></head> ようこそ!こちらは [あなたの名前] のサーバです
g)「ファイル」から「上書き保存」を押します。
h)再度、Webページにアクセスしましょう。※先と同じhttp://(自分のIPアドレス)/ (例、http://172.31.40.12/)
ご自身が作ったページが表示されましたか?
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
i)生成AIに聞いてもらっていいので、ご自身が作ってみたいページを作ってみてください。以下はプロンプトの例です。
(4)IISマネージャーの起動と各種操作
サーバーマネージャーからIISのサービスを「停止」し、ブラウザでアクセスしてエラー画面(サイトが見られない状態)を確認します。
a)サーバーマネージャーの画面右上にある「ツール(T)」から「インターネット インフォメーション サービス (IIS) マネージャー」を選択
b)IISマネージャーの画面左側で、対象のサーバー名(WIN2022-STUDENTなど)を展開し、「サイト」を開く。
c)自分が作成したWebサイト(または「Default Web Site」)をクリック
d)画面右側の「操作」ペインにある、「Webサイトの管理」項目の下または、右クリックで「Webサイトの管理」から「停止」をクリック。
e)再度、PCから接続をします、エラーになると思います。
f)再度Webサイトを「開始」し、Webページが見えることを確認します。
7.3 外部公開
7.4 応用設定
(1)デフォルトドキュメントの設定
普段インターネットを見ているとき、なぜファイル名(index.htmlなど)を入力しなくてもWebページが表示されるのか、その仕組みを理解する演習です。
a)hello.html というファイルを作り、C:\inetpub\wwwroot に入れます。これを見せるには http://IPアドレス/hello.html と直接指定しなければならないことを確認します。
b)IISマネージャーの「既定のドキュメント(デフォルトドキュメント)」機能を開きます。
c)最優先のドキュメントとして hello.html を「操作」>「追加」にて追加します。
d)ファイル名を省略して http://IPアドレス/ だけでアクセスし、hello.html の中身が表示されることを確認します。
e)もともとは、iisstart.htmというファイルが表示されていました。操作の「下に移動」を何回か押して、hello.html がiisstart.htmより下になるようにします。
f)Webサーバに再度アクセスし、何が表示されるかを確認しましょう。
(2)ディレクトリの参照
a)Webサーバの公開フォルダ(C:\inetpub\wwwroot)を開きます。
b)新しいディレクトリとしてabcを作り、そこに、新しく secret.txt というテキストファイルを作成し、中に「機密データ」と入力して保存。
c)クライアント側のブラウザから http://IPアドレス/abc/ にアクセスします。
d)ブラウザには、「HTTP エラー 403.14 - Forbidden」というエラーが表示されることを確認します。
では、設定を変更してファイル一覧を表示させてみましょう。
e)サーバーマネージャーから「インターネット インフォメーション サービス (IIS) マネージャー」を開きます。
f)左側のツリーから、自分のサーバ名 > [サイト] > [Default Web Site] を選択します。
g)中央の画面(機能ビュー)から、「ディレクトリの参照」というアイコンをダブルクリック
h)右側の操作パネルから「有効にする」をクリック
i)再度、クライアント側のブラウザから http://IPアドレス/abc/にアクセス
j)今度はエラーにならず、ディレクトリ一覧として、先ほど作成した secret.txt が見えることを確認
※特別な理由がない限り、この機能は「無効」にしておくのが鉄則です。
(3)別サイト(8080ポート)の構築
1つのサーバで複数のWebサイトを動かします。
a)C:\inetpub の下に、新しいフォルダ(例:wwwroot2)を作り、適当なHTMLファイルを置きます。
b)IISマネージャーから画面左側のツリーで、サーバー名 > 「サイト」 をクリックして選択
c)画面右側の「操作」ペインにある 「Web サイトの追加...」 をクリック
d)設定ウィンドウが開くので、以下の3箇所を入力・変更します。
・サイト名: 任意の名前を入力(例:site2)
・物理パス: 先ほど作成したフォルダ(C:\inetpub\wwwroot2)を指定
・ポート: 「80」を 「8080」 に書き換える
e)「OK」をクリック。中央のリストに新しいサイトが「開始済み」の状態で追加されたことを確認。
f)【サーバー(OS)自身のファイアウォールで「8080」番ポートの通信を許可する必要があります。ただ、ちょっと複雑なので、以下の手順でWindowsファイアウォールの無効化してください。
| ■Windowsファイアウォールの無効化 a)サーバーのスタートボタンをクリックし、「Windows Defender ファイアウォール」を起動します。 b)左のメニューの「Windows Defenderファイアウォールの有効化または無効化」をクリック c)「プライベート ネットワークの設定」と「パブリック ネットワークの設定」の両方で、「Windows Defender ファイアウォールを無効にする (推奨されません)」を選択。 d)画面右下の「OK」ボタンをクリックして設定を保存  |
g)AWSのセキュリティグループで「カスタムTCP:8080」を許可します。
h)ブラウザから http://IPアドレス:8080/(ファイル名) にアクセスし、別の画面が表示されることを確認します。たとえば、以下のようなURLになります。
http://203.0.113.146:8080/123.html
8.FTPサーバの構築
8.1 FTPとは
・Webサーバを作りましたが、毎回サーバにログインしてメモ帳でHTMLを書く以外に、手元のPCで作ったWebページを、サーバへ「転送(アップロード)」することもできます。
・このようにファイルを転送する仕組みが FTP(File Transfer Protocol) です。
・今回は、ペアの相手とファイルを送り合ってもらいます。
8.2 サーバでの設定
(1)FTP機能の追加
・IISの中にFTP機能を追加します。
a) サーバーマネージャ →「役割と機能の追加」。
b) 「次へ」で進み、「サーバーの役割」画面で、「Web サーバ (IIS)」の左にある「>」マークを展開。
c) さらに「FTP サーバー」を展開し、「FTP サービス」にチェックを入れて「次へ」
d)「確認」画面で「インストール」を押す。
e)インストールが終わったら「閉じる」
(2)FTP用のユーザー作成
・FTPで接続するための専用ユーザーを作ります。
a) スタートボタンを右クリック →「コンピューターの管理」。
b) 「ローカル ユーザーとグループ」→「ユーザー」を右クリック →「新しいユーザー」。
c) ユーザー名: ftpuser 、パスワード: Password12345! (忘れないように!)を入力。
d) 「ユーザーは次回ログオン時にパスワード変更が必要」のチェックを外して、「作成」を押し、「閉じる」
(3)FTPサイトの設定
❶「どのフォルダ」を「誰に」公開するか設定します。
a) スタートメニュー →「Windows 管理ツール」→「インターネット インフォメーション サービス (IIS) マネージャ」を起動。
b) 左側のツリーで自分のサーバ名を右クリック → 「FTP サイトの追加」。
❷「どのフォルダ」を「誰に」公開するか設定します。
a) スタートメニュー →「Windows 管理ツール」→「インターネット インフォメーション サービス (IIS) マネージャ」を起動。
b) 左側のツリーで自分のサーバ名を右クリック → 「FTP サイトの追加」。
c)以下の通り設定ウィザードを進めます。
| 大項目 | 設定項目 | 設定内容 |
|---|---|---|
| ① サイト情報 | FTPサイト名 | MyFtpSite |
| ~ | 物理パス | C:\inetpub\wwwroot(Webサイトと同じ場所) |
| ② バインドとSSL | SSL | 無し(研修用のため暗号化なし) |
| ③ 認証と承認情報 | 認証 | 基本 にチェック(匿名にはしない) |
| ~ | 承認(アクセス許可の対象) | 指定されたユーザー → ftpuser |
| ~ | アクセス許可 | 読み取り・書き込み 両方にチェック |
d) 「終了」を押します。
(4)フォルダ自体のアクセス権(NTFS権限)の設定
Windowsのフォルダ自体のアクセス権(NTFS権限)を設定します。
手順はこれまでに説明しているので、是非やってみてください。
簡単に説明すると、
a)エクスプローラーを開き、FTPサイトの対象フォルダ(例:C:\inetpub\wwwroot など)を右クリックして「プロパティ」
b)「セキュリティ」タブを開く。 「編集」>「追加」から ftpuser を入力して追加。
c)下の枠で「変更」や「書き込み」の「許可」にチェックを入れて「OK」
(5)FTP接続確認
a)コマンドプロンプトを起動
b)ftpコマンドで、自分自身(127.0.0.1)に接続します
ftp 127.0.0.1
c) User (...): と聞かれたら、ユーザー名 ftpuser を入力してEnter。
d) Password: と聞かれたら、パスワード Password12345! を入力してEnter。
※パスワード入力中、画面には何も表示されません
e) 230 User logged in. と表示されたら侵入成功です!
f)byeと入力し、FTPのモードから抜けてください。
(6) 注意点:現在の「プロンプト(入力状態)」に注意!
WindowsのコマンドラインとFTP接続中は、入力できるコマンドが異なります。現在の入力状態がどちらになっているか、行の先頭(プロンプト)を見て確認するクセをつけましょう。違う状態でコマンドを入力してもエラーになります。
・コマンドプロンプトの状態(Windowsの操作)
C:\Users\Administrator>
・FTP接続中の状態(FTPサーバの操作)
ftp>
コマンドプロンプトのモードに戻るには、byeコマンドを使いましょう。
ftp> bye 221 Goodbye. C:\Users\Administrator>
(7)Windowsファイアウォールの無効化
FTPは通信の仕組みが複雑(複数のポートを使う)なのと、AWS環境が少し特殊なため、今回の研修では、Windowsファイアウォールを無効化します。※送信者、受信者の両方で実施してください。
a)サーバーのスタートボタンをクリックし、「Windows Defender ファイアウォール」を起動します。
b)左のメニューの「Windows Defenderファイアウォールの有効化または無効化」をクリック
c)「プライベート ネットワークの設定」と「パブリック ネットワークの設定」の両方で、「Windows Defender ファイアウォールを無効にする (推奨されません)」を選択。
d)画面右下の「OK」ボタンをクリックして設定を保存
8.3 コマンドプロンプトでFTP接続
では、ペアの人がFTPサーバに接続します。
(1)転送用ファイルの作成
a) デスクトップの何もないところを右クリック → 「新規作成」 → 「テキストドキュメント」。
b) ファイル名を secret.txt にします。
c) 中身に「こんにちは」など適当な文章を書いて保存。
(2)FTPでサーバに接続
a)コマンドプロンプトを起動
b) まず、デスクトップに移動します。以下を入力してEnter。
cd Desktop
c)dirコマンドで、先ほど作成したsecret.txtファイルがあることを確認
C:\Users\Administrator\Desktop のディレクトリ 2026/02/21 10:26 <DIR> . 2026/02/14 11:23 <DIR> .. 2016/06/22 00:36 527 EC2 Feedback.website 2016/06/22 00:36 554 EC2 Microsoft Windows Guide.website 2026/02/14 12:19 2,300 Microsoft Edge.lnk 2026/02/21 10:28 15 secret.txt 4 個のファイル 3,396 バイト 2 個のディレクトリ 12,667,580,416 バイトの空き領域
d)以下のコマンドを入力します。([AさんのIP]は実際の数字に変えてください)
| ftp [AさんのIP] |
(3)参考:FTPコマンド一覧表
・今回はこれを見ながら、ファイルを相手のサーバに「置く(アップロード)」操作を行います。
| コマンド | 意味 | 覚え方 | 使用例 |
|---|---|---|---|
| dir | フォルダの中身を見る | directory | dir と打つとファイル一覧が出る |
| cd | フォルダを移動する | change directory | cd images (imagesフォルダに入る) |
| put | ファイルをサーバに送る | put | put secret.txt |
| get | サーバからファイルを貰う | get | get data.txt |
| bye | 切断して終了する | goodbye | bye (または quit) |
(4)ファイルを送信
さきほど作成したsecret.txt を相手のサーバに送ります。
a)相手のサーバに何があるか見てるために、dirコマンドを入力します。secret.txtはないはずです。
b)以下のコマンドでファイルをアップロードします。
put secret.txt
Transfer complete. と出れば成功です!
c)もう一度 dir を打つと、今度はsecret.txtが存在するはずです。
参考までに、一連の流れを紹介します。
C:\Users\Administrator\Desktop>ftp 172.31.40.12 172.31.40.12 に接続しました。 220 Microsoft FTP Service 200 OPTS UTF8 command successful - UTF8 encoding now ON. ユーザー (172.31.40.12:(none)): ftpuser 331 Password required パスワード: 230 User logged in. ftp> dir 200 PORT command successful. 125 Data connection already open; Transfer starting. 02-21-26 12:21AM 703 iisstart.htm 02-21-26 12:21AM 99710 iisstart.png 02-21-26 12:46AM 3196 index.html 226 Transfer complete. ftp: 211 バイトが受信されました 0.02秒 13.19KB/秒。 ftp> put secret.txt 200 PORT command successful. 125 Data connection already open; Transfer starting. 226 Transfer complete. ftp: 15 バイトが送信されました 0.02秒 0.94KB/秒。 ftp> dir 200 PORT command successful. 125 Data connection already open; Transfer starting. 02-21-26 12:21AM 703 iisstart.htm 02-21-26 12:21AM 99710 iisstart.png 02-21-26 12:46AM 3196 index.html 02-21-26 02:59AM 15 secret.txt 226 Transfer complete. ftp: 211 バイトが受信されました 0.04秒 5.55KB/秒。 ftp>
d)byeコマンドで切断します。
e)FTPサーバ側の人は、自分のサーバの C:\inetpub\wwwroot フォルダを開いてみてください。送られた secret.txt が届いていることを確認します。
【進捗報告】完了したら、進捗管理表(Googleスプレッドシート)の自分のIDの欄に「完了」と入力。
また、役割を交代してファイル転送を実施してください。
8.4 【オプション演習】パスワードなしの「匿名接続」
インターネット上には、ドライバの配布や公開データの提供など、誰でも自由にダウンロードできる「Anonymous(匿名)FTPサーバ」が存在します。この仕組みを実際に作ってみましょう。
(1) 匿名認証(Anonymous)の有効化
a) IISマネージャを開き、左側のツリーから先ほど作成した「MyFtpSite」をクリックします。
b) 中央の画面から「FTP 認証」をダブルクリックして開きます。
c) リストにある「匿名認証」を右クリックして「有効にする」に変更します。
9. Active Directory(AD)サーバ
これまでの章では、1台のWindowsサーバの中にユーザーを作成し、そのサーバ単体の設定を行ってきました(ローカル管理)。しかし、実際の企業ネットワークには何十台、何百台ものサーバやパソコンが存在します。本章では、それらを効率的かつ安全に管理するための仕組みである「Active Directory」について学びます。
9.1 Active Directory(AD)とは
(1)概要
Active Directory(アクティブ・ディレクトリ:通称AD)とは、Windows Serverに標準で備わっている「ネットワーク上のユーザー、コンピュータ、および権限の情報を一つのデータベースに集約し、一元管理するシステム」のことです。
(2)ADを導入する最大の目的
ADの最大の目的は、管理の手間を減らし、企業のセキュリティレベルを均一に保つことです。
❶ADがない場合(ワークグループ環境)
社員が10台の社内システム(サーバ)を利用する場合、10台それぞれのサーバに同じユーザーIDとパスワードを登録する必要があります。パスワードの変更や、退職時のアカウント削除も、10台のサーバ全てにログインして個別に手作業で行わなければなりません。これでは設定漏れによるセキュリティ事故に繋がります。
❷ADがある場合(ドメイン環境)
ADサーバという「中央の管理者」にユーザーIDとパスワードを1つ登録するだけで済みます。社員は自分のパソコンにログインする時も、ファイルサーバにアクセスする時も、ADが「このユーザーは正しい」と認証(許可)してくれます。退職時のアカウント削除も、AD上で1回無効化するだけで、全てのシステムへ一切アクセスできなくなります。
9.2 ADが実現する3つの主な機能
ADを導入することで、主に以下の3つが可能になります。
❶ユーザーと権限の一元管理
社員のID、パスワード、所属部署などの情報を一括で管理します。また、「営業部のグループだけがこのファイルサーバを見ることができる」といったアクセス権限の管理も、AD上でコントロールできます。
❷コンピュータ(端末)の集中管理
会社が支給したパソコンやサーバをADの管理下に置く(ドメインに参加させる)ことで、社内ネットワークに接続されている機器を正確に把握・管理できます。
❸セキュリティと設定の一括適用(グループポリシー)
管理下のすべてのパソコンに対して、「パスワードは必ず10文字以上にする」「USBメモリの接続を禁止する」「パソコンの壁紙を会社のロゴに固定する」といったルールを、ADから一斉に強制させることができます。
9.3 押さえておくべき基本用語
ADの仕組みを理解する上で、以下の用語は実際の業務でも頻繁に使用されます。
| 用語 | 概要 | 補足 |
|---|---|---|
| ドメイン (Domain) | ADによって管理される範囲(枠組み) | 例:example.local や corp.company.com などの名前で管理され、その枠内でユーザーやパソコンを管理する |
| ドメイン コントローラー (Domain Controller / DC) | ADの機能を提供し、ユーザー情報や権限情報を保持して認証処理を行うWindowsサーバ | 可用性確保のため、通常は1ドメインに2台以上構築する |
| グループ ポリシー (Group Policy / GPO) | ドメイン参加ユーザーやパソコンに対して設定やセキュリティルールを一括配信・強制する仕組み | 組織全体の設定統制を効率的に行える |
| フォレスト (Forest) | 複数のドメインを束ねた最上位の管理枠組み | 大規模環境で利用される概念 |
| 信頼関係 (Trust) | 別ドメイン間で認証を連携させる設定 | 異なるドメインのユーザー同士でもリソース利用が可能になる |
9.4 Active Directoryサーバの構築とドメイン参加
本章では、実際にAWS上のWindows Serverを「ADサーバ(親)」に昇格させ、もう1台のWindows Serverを「クライアント(子)」としてドメインに参加させる一連の流れを説明します。
(1)【事前準備】構成の確認とホスト名の変更
・今回は2台のサーバを使用します。どちらのサーバを操作しているか迷わないよう、事前にホスト名(コンピュータ名)を変更しておきましょう(手順は4.1(3))。
・1台目(ADサーバ用): ホスト名を AD-SERVER に変更
・2台目(クライアント用): ホスト名を CLIENT-PC に変更
※ホスト名の変更後は再起動が必要です。再起動時に理由を求められた場合は、『その他(計画済)』など適当なものを選択して進めてください。
・AWSのセキュリティグループ設定で、お互いのプライベートIP間の通信(すべてのトラフィック)が許可されていることを確認してください。※重要※
(2)ADサーバの構築(ドメインコントローラーへの昇格)
まずは1台目のサーバ(AD-SERVER)に、Active Directoryの機能をインストールし、ドメインの親玉である「ドメインコントローラー」に昇格させます。
a) AD-SERVER にログインし、サーバーマネージャーを開きます。
b) 右上の「管理」>「役割と機能の追加」をクリック。
c) 何度か「次へ」をクリックし、「サーバーの役割の選択」画面で「Active Directory ドメイン サービス」にチェックを入れます(追加の小窓が出たら「機能の追加」をクリック)。
d) そのまま最後まで「次へ」をクリックし、「インストール」を実行。
e) インストール完了後、サーバーマネージャーの右上にある「旗のアイコン(⚠)」をクリックし、「このサーバーをドメイン コントローラーに昇格する」をクリックします。
f) 構成ウィザードが開きます。今回は新規作成なので「新しいフォレストを追加する」を選択し、ルート ドメイン名に training.local と入力して「次へ」をクリック。
g) 「ディレクトリ サービス復元モード (DSRM) のパスワード」に、任意の複雑なパスワード(いつものAdministratorパスワードでOKです)を2回入力します。
h) 少し表示に時間がかかるときもありますが、すべて「次へ」で進みます。
i)DNSの委任に関する警告が出ますが、そのまま「次へ」をクリックして進めます。
j) 「前提条件のチェック」画面で、IPアドレスが動的(DHCP)であることの警告が出ますが、AWSの仕様上問題ないため、そのまま「インストール」をクリックします。
k) インストールが完了すると、自動的にサインアウトされ、サーバが再起動します。
(3)ドメインユーザーの作成
ADサーバが立ち上がったら、社員が使うための「共通ユーザーID」を作成します。
a) 再起動した AD-SERVER にRDPで接続します。
※これまで使っていた「ローカルのAdministratorアカウント」は、ADの構築と同時に、自動的に「ドメインのAdministrator(TRAININGドメインの最高権限アカウント)」へとスライドします。(パスワードもそのまま引き継がれます)。
b) サーバーマネージャーの右上から「ツール」>「Active Directory ユーザーとコンピューター」をクリックします。※表記がActive Directory に変わっていますね。
c) 左側のツリーで training.local を展開し、「Users」フォルダを右クリック >「新規」>「ユーザー」を選択
d) 以下の情報を入力して「次へ」をクリックします。
・姓:テスト 名:太郎
・ユーザー ログオン名:aduser1
e) パスワードを入力し、研修をスムーズに進めるため「ユーザーは次回ログオン時にパスワードの変更が必要」のチェックを外し、「パスワードを無期限にする」にチェックを入れて完了。
(4)クライアントサーバのドメイン参加
次に、2台目のサーバ(CLIENT-PC)を training.local ドメインに参加(傘下に入る設定)させます。
a) CLIENT-PC にRDPでログイン
b) 画面左下の「スタート」ボタンをクリックし、「設定」(歯車のアイコン)を開く。
c) 「ネットワークとインターネット」をクリックし、画面内にある「アダプターのオプションを変更する」をクリック
d)表示されたネットワークアダプター(イーサネット3など)を右クリックし、「プロパティ」を開く
e) リストの中から「インターネット プロトコル バージョン 4 (TCP/IPv4)」を選択し、「プロパティ」ボタンをクリック。
f) 「次の DNS サーバーのアドレスを使う」を選択し、優先 DNS サーバーに AD-SERVERのプライベートIPアドレス(プライベートIP、172.31.40.12など)を入力して「OK」を押します。※一つだけ入力
g) 「サーバーマネージャー」を開き、左側のメニューから「ローカル サーバー」を選択
h) 右側のプロパティ一覧にある「ワークグループ」の横のリンク(「WORKGROUP」などの青い文字)をクリックします。
i) 「システムのプロパティ」画面が開くので、「コンピューター名」タブの中にある「変更」ボタンをクリック。
h) 所属するグループを「ドメイン」に変更し、training.local と入力して「OK」をクリック。
i) 資格情報を求められるので、ADサーバの管理者情報(ユーザー名:Administrator、パスワード)を入力。
j) 「training.local ドメインへようこそ」と表示されたら成功。指示に従って再起動。
(5)参考:ローカルアカウントとドメインアカウントの違い
Windowsには大きく分けて「そのPCの中だけで使えるアカウント(ローカル)」と「ドメイン全体で使えるアカウント(AD)」の2種類があります。
| アカウントの 種類 |
管理・有効な範囲 | 作成場所 / 管理ツール | ログイン時の入力例 | 研修での具体例 |
|---|---|---|---|---|
| ① ローカル管理者 | そのPC・サーバ内のみ | 各PCの「コンピューターの管理」等 | .\Administrator または PC名\Administrator |
OSインストール時から存在するローカルの Administrator |
| ② ローカル一般ユーザ | そのPC・サーバ内のみ | 各PCの「コンピューターの管理」等 | .\user01 または PC名\user01 |
(今回の研修では作成・使用しません) |
| ③ ドメイン管理者 | ドメインに参加した全PC | ADサーバの「Active Directory ユーザーとコンピューター」 | TRAINING\ Administrator |
ADを構築した際に自動生成されるドメインの Administrator |
| ④ ドメイン一般ユーザ | ドメインに参加した全PC(※ただしデフォルトではRDP接続権限なし) | ADサーバの「Active Directory ユーザーとコンピューター」 | TRAINING\ aduser1 |
先ほどの演習でAD上に作成した aduser1 |
たとえば、ADに参加したCLIENT-PCのローカルユーザの情報を見ても、aduser1は存在しません。でも、このPCにaduser1でログインが可能です。
(6)一般ドメインユーザーへのRDP接続許可
・ドメイン参加後、先ほどAD上に作成した aduser1 で CLIENT-PC にRDP(リモートデスクトップ)接続したいところですが、実はこのままでは「リモートデスクトップの権限がありません」とエラーになり弾かれます。
| 【補足解説】Windowsの裏側のセキュリティ設定(ローカル セキュリティ ポリシー)では、「① Administrators グループ」と「② Remote Desktop Users グループ」の2つに対してRDP接続を許可するというルールになっています。一般社員のアカウントには、明示的にこの Remote Desktop Users グループへの所属を許可する必要があります。 |
・これを解決するため、CLIENT-PC側で「ADのユーザーにRDPを許可する」設定を行います。
【※なぜローカルPCの設定をするの?】
ここが少しややこしいのですが、RDP(遠隔操作)を許可するかどうかの決定権(ドアの鍵)は「AD」ではなく、接続される側の「ローカルPC(CLIENT-PC)」が持っています。そのため、CLIENT-PC自体の設定を開き、「AD上にいる aduser1 に、このPCへのRDP接続を許可する」という紐づけ作業を行う必要があります。
a) 再起動した CLIENT-PC に対して、RDP接続ツールを開きます。
b) ユーザー名に TRAINING\Administrator (※ADの管理者)を入力してログインします。
(※補足:ここではローカルPCの設定を変更しますが、PCがドメインの傘下に入ると、自動的に「ADの管理者」が「ローカルPCの管理者」として登録される仕組みになっています。そのため、ADの管理者でログインすれば、ローカルPCのあらゆる設定が可能です)
c) ログイン後、スタートボタンを右クリック >「コンピューターの管理」を開く(今はADではなく、ローカルユーザの設定をしています)
d) 「ローカル ユーザーとグループ」>「グループ」を展開し、右側の「Remote Desktop Users」をダブルクリック。
e) 「追加」ボタンをクリック。
f) 選択するオブジェクト名に aduser1 (またはドメインユーザー全員を許可する場合は Domain Users)と入力して「OK」をクリックし、プロパティ画面も「OK」で閉じます。
(7)動作確認:ドメインユーザーでのログイン
いよいよ、ADで作成した一般ユーザーでログインできるか確認。
a) 現在の CLIENT-PC のRDP接続を一度切断(またはサインアウト)。
b) 再度RDPでCLIENT-PCに接続。
c) ユーザー名に TRAINING\aduser1 と入力し、設定したパスワードを入力して接続。
d) 先に見てもらいましたが、このCLIENT-PCには、aduser1というユーザは存在しませんでしたよね。もし、無事にWindowsのデスクトップ画面が表示されれば、Active Directoryによる認証とログインは成功です。
e)ドメインの管理者ではない一般ユーザなので、サーバーマネージャーの「ツール」を開いても、ドメインの設定などのメニューは表示されません。
10. クラウド時代のID管理(Microsoft Entra ID)
・これまでのADとの違い
「Active Directory」は、社内のサーバ室(閉じたネットワーク)にあるWindows Serverでユーザーを管理する仕組みでした。Microsoft Entra ID(旧称:Azure Active Directory)は、いわばその「クラウド版」のID管理システムです。
・Entra IDが必要なのか
近年では、Microsoft 365(TeamsやOutlook)をはじめとする多くのクラウドサービスを業務で利用します。社外からアクセスするこれらのサービスに対して、社内の奥深くにあるADサーバで都度認証を行うのは、通信経路やセキュリティの面で非効率かつ困難です。そのため、クラウド上に専用の認証基盤(Entra ID)を置く必要が生じました。
・ハイブリッドな運用
現在の企業では、「社内のPCやファイルサーバには従来のActive Directoryでログインし、TeamsなどのクラウドサービスにはEntra IDでログインする」というように、必要に応じてユーザー情報を同期させる「ハイブリッドな使い方」が主流になっています。
© 2026 SS Consulting Co., Ltd. All rights reserved.
