kunitaka's SharePoint Factory 〜2nd Season〜

こんにちは、ソノリテの費です。

SharePoint 検証環境構築が続いています。
今回は Hyper-V を構成した後の、リモート環境 (クライアント PC) から操作出来るようにします。



ポイントは、クライアント PC が参加しているドメインとは異なるドメインへの接続、または、ドメインに参加していないクライアントからの接続になります。


クライアント PC での Hyper-V マネージャーのセットアップ

Windows 8 になって、クライアント Hyper-V が標準機能になったことから、Hyper-V マネージャーも標準となったので、プログラムと機能での Windows の機能の有効化または無効化の設定だけで、簡単に利用可能になります。



問題はここからで、幾つかの設定を行っておかないと、Hyper-V のサーバーに接続出来ません。


Windows リモート管理 (WinRM) の信頼されたホスト追加

ドメイン未参加だと NTLM 認証が使われるため、そのための設定追加が必要になります。
PowerShell で以下のようなコマンドを実行します。

Set-Item wsman:\localhost\Client\TrustedHosts <コンピューター名> -Concatenate

なお、設定結果は以下のコマンドで確認が出来ます。

Get-Item wsman:\localhost\Client\TrustedHosts




Hyper-V 接続先の資格情報の登録

Hyper-V マネージャーは、ログオン中のユーザーの資格でアクセスするようなので、異なるユーザーでアクセスさせるには、cmdkey コマンドにて接続先に合わせた資格情報の登録が必要になります。
コマンド プロンプトで以下のようなコマンドを実行します。

cmdkey /add:<コンピューター名> /user:<ユーザーアカウント> /pass:<パスワード>

なお、設定結果は以下のコマンドで確認が出来ます。

cmdkey /list:<コンピューター名>




COM セキュリティのリモート アクセスを匿名許可

最後に、COM セキュリティで、リモート アクセスで匿名許可を設定する必要があります。

「管理ツール」の中の「コンポーネント サービス」を選択して、「コンソール ルート」配下の「コンポーネント サービス」の中の「コンピューター」の「マイ コンピューター」のプロパティを参照します。
「COM セキュリティ」タブの中の「アクセス許可」の「制限の編集」を選択して、「グループ名またはユーザー名」の中の「ANONYMOUS LOGON」を選択して、「リモート アクセス」の「許可」のチェックボックスを選択します。




これで、無事に Hyper-V を使うための環境が整いました。



リモートから Hyper-V 接続については、こちらの記事がとても参考になりました！

・Windows Server 2012 > 非ドメイン環境におけるHyper-Vのリモート管理
http://yamanxworld.blogspot.jp/2013/03/windows-server-2012-hyper-v.html


ここから、ようやく仮想マシンで SharePoint 環境を作り始めますが、続きは、また次回ということで・・・

---

Kokuho Hi (Sonorite / SharePoint Technology Center)

こんにちは、ソノリテの費です。

SharePoint 検証環境構築の続きです。
2台の Hyper-V 専用のサーバー機の環境構築を行っていますが、初号機の方に AD をセットアップしてドメインを構成しているので、弐号機をそのドメインに参加させます。


優先 DNS サーバーで名前解決出来ないサーバーへのドメイン参加

通常の環境において、DHCP で IP アドレスの割り当てされれば、DNS サーバーも紐づいて、その先にあるドメイン コントローラーにアクセス可能なはずなので、苦も無くドメインに参加させることが出来ますが、ネットワーク的に別セグメントであったり、既存ネットワーク上に独立したドメイン コントローラーを構成している場合、明示的にドメイン コントローラーを指定することで、ドメイン参加が出来るようになります。

具体的には、lmhosts の作成と、優先 DNS サーバーの明示的な指定になります。

lmhosts については、以下のような記述を追加します。

<IPアドレス> <サーバー名> #PRE #DOM:<ドメイン名>
<IPアドレス> "<ドメイン名> \0x1b" #PRE

IPアドレス： ドメイン コントローラーの IPアドレス
サーバー名： ドメイン コントローラーのサーバー名
ドメイン名： ドメイン名

2行目の " " (ダブルクォート) の中の記述の仕方は少々特殊です。

\0x1b の前は、合計で15文字になるように、ドメイン名の後ろにスペースで埋める必要があります。
例えば、sonorite というドメイン名であれば、以下のような記載になります。

192.168.1.1 "sonorite       \0x1b" #PRE

sonorite が 8文字なので、後ろにスペースを 7文字埋めます。

%windir%\system32\drivers\etc に lmhosts を保存したら、nbtstat -R で再読み込みを実行しておきます。

その他の詳しいことは、こちらのサポート技術情報を参照して下さい。

・TCP/IP および LMHOSTS ファイルを使用したドメイン ブラウジング
http://support.microsoft.com/kb/150800/ja

後は、ネットワーク アダプターのプロパティで、優先 DNS サーバーとして、ドメイン コントローラーの IP アドレスを設定するだけです。
元々の DNS サーバーについては、ドメイン コントローラーに構成している DNS サーバーにフォワーダーとして追加されているので、変更しても特に問題ありません。



ちなみに、昔は、ドメイン構成して、DNS が構成された時に、自分でフォワーダーを設定していた記憶があるのですが、今は、勝手に、元々のネットワーク構成を取り込んで設定してくれるようです。


IPv6 混在環境でのドメイン参加

昔は IPv6 のアドレス割り当てが無かったので意識しなかったのだと思いますが、IPv6 のアドレス割り当てがあると、Windows Server 2008 以降では、IPv6 の方が優先されるようです。
このため、上記の設定では名前解決に失敗して、ドメイン参加出来ないという状況が発生します。

このことに気が付くまで、しばらく悩みました・・・

恐らく、IPv6 を無効化するとか、IPv4 の方を優先させるとか、という設定を行えば良いのだと思いますが、今回は、IPv6 の優先 DNS サーバーを設定してしまうというアプローチで解決しています。



こちらに、ドメイン コントローラーの IPv6 の IP アドレスを優先 DNS サーバーに設定します。



これで、ようやくドメイン参加が完了。
分かってしまえば、何のことはないのですが、1カ月半前に、この問題を解決するのに 2時間以上掛かってしまった・・・


ここまでで、ようやくドメイン参加の設定が終わります。

次は、Hyper-V を使うための設定などになりますが、続きは、また次回ということで・・・

---

Kokuho Hi (Sonorite / SharePoint Technology Center)

おはようございます、ソノリテの費です。

検索小話が続くかと思いきや、諸事情で滞っていた SharePoint 検証環境の構築を再開したので、遭遇したポイントを書いておきます。


オンボード Intel 82579V Gigabit LAN コントローラ

私の所有している検証用 PC には Intel X79 Express チップセット マザーボードが使われています。
Intel X79 Express チップセット マザーボードに搭載されている 82579V Gigabit LAN コントローラのドライバーがサーバーでは認識されないんですよね。
これは、Windows Server 向けのドライバー定義が含まれていないためです。

仕方が無いので、以下よりドライバーをダウンロードして、展開した後に定義ファイルを修正して認識されるようにします。

・Network Adapter Driver for Windows Server 2012 R2
https://downloadcenter.intel.com/Detail_Desc.aspx?DwnldID=23073&lang=jpn&ProdId=3299

ダウンロードした PROWinx64.exe を実行すると、解凍後にセットアップが実行されてしまうので、解凍ソフトで解凍しておきます。

解凍後の \PRO1000\Winx64\NDIS64 フォルダ内にある e1c64x64.inf ファイルを開いて、以下のように編集します。

・[ControlFlags] セッションの 3行をコメント化
・[Intel.NTamd64.6.3.1] セクションの %E1503NC.DeviceDesc% で始まる4行を [Intel.NTamd64.6.3] セクションの下にコピーします。



後は、以下のコマンドを実行してマシンの再起動を行います。

bcdedit -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING ON

デバイスマネージャーから、ネットワーク アダプターのドライバを更新します。

その後、以下のコマンドを実行してマシンの再起動を行います。

bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING OFF


ちなみに、こちらの記事が参考になります。

・Enable Intel 82579V NIC in Windows Server 2012 R2
http://www.alexanderchen.net/2014/07/31/enable-intel-82579v-nic-in-windows-server-2012-r2/

これで、ネットワーク アダプターが認識され、ネットワークが利用可能な状態になります。


ネットワーク共有をパブリックからプライベートに変更する

ネットワーク アダプターが認識されて、ネットワークに接続出来るようになった時に、ネットワーク種別がパブリックになっている場合があります。
これをプライベートに変更するには、Windows Server 2012 R2 では、「ネットワークと共有センター」で変更出来なくなっているようなので、ローカルセキュリティポリシーで変更します。

「ローカル セキュリティ ポリシー」を起動して、「ネットワーク リスト マネージャー ポリシー」を選択して、該当するネットワーク名のプロパティを開きます。
「ネットワークの場所」タブを選択して、「場所の種類」で「プライベート」を選択して、「OK」を選択します。
最後に、gpupdate /force を実行して、ポリシー適用を反映させます。

細かい手順については、こちらのページが参考になります。

・Windows Server 2012 R2でネットワークの種別（NetworkCategory）を変更する方法
http://kiyokura.hateblo.jp/entry/2014/03/09/154551

これで、ネットワーク種別をプライベートに変更出来ます。


ping 応答 (ICMP 通信) 有効化

次に、ネットワークの疎通確認をするための設定です。
OS セットアップ終わったばかりの素に近い状態だと、ping 応答返してくれないので、まずは、これを有効化しておきます。
今時は IPv4 と IPv6 の両方に対応しておいた方が良いかもしれません。

設定は、「セキュリティが強化された Windows ファイアウォール」になります。
こちらの「受信の規則」に対して、「ICMPv4」と「ICMPv6」のプロトコルに対して接続の許可を行います。



細かい手順については、Windows Server 2008 の画面ですが、こちらのページが参考になります。

・Ping 応答を許可する
http://www.server-world.info/query?os=Windows_Server_2008&p=first_conf&f=7

これで、ping が通るようになります。


ここまでで、ようやくネットワークの基本的な設定が終わります。

次は、初号機にドメインを構成して、弐号機をドメイン参加させるのですが、続きは、また次回ということで・・・

---

Kokuho Hi (Sonorite / SharePoint Technology Center)