今週も先週に引き続き、Windowsサーバのリモート管理を取り上げる。今回はMMC(Microsoft Management Console)によるリモート管理がテーマだ。
実は、MMCが登場する前のWindows NT時代から、管理ツールごとにリモート管理を行う仕組みはあった。だから、古手のユーザーにとってはこちらの方が馴染み深いかもしれない。
MMC管理コンソールによるリモート管理
MMCベースの管理ツールは、通常はログオン中のコンピュータやドメインを対象に動作している。しかし、別のコンピュータあるいはドメインを対象に指定することで、リモート管理を行う使い方も可能だ。
リモート管理操作に使用する側ではMMC管理コンソールを実行して対象を指定すればよいが、その操作を受け付けるサーバでは、外部から着信を受け付けることになる。Windows Server 2008からはWindowsファイアウォールを有効化するのが既定の状態になっており、そのままではMMC管理コンソールのリモート接続に必要なプロトコルを弾いてしまうので、リモート管理の実施に先立ち、以下の3種類の着信許可を設定する必要がある。
- リモート サービス管理(NP受信)
- リモート サービス管理(RPC)
- リモート サービス管理(RPC-EPMAP)
Windows Server 2008のファイアウォール機能については、本連載の第52回・第53回を参照いただきたい。
MMC管理コンソールでリモート管理を行うために必要な準備作業はこれだけだ。あとは、管理操作を行う側のコンピュータで以下の手順に従って接続先を指定すれば、リモート管理が可能になる。その際、管理対象に対して管理者権限を持ったユーザーアカウントを使ってログオンする必要があるのは、前回にも触れた通りだ。
なお、リモート管理に使用できるMMC管理コンソールはWindowsサーバのものに限らない。共通するものであれば、Windowsクライアント用のものでも利用できる。例えば、[イベントビューア]や[コンピュータの管理]などがそれだ。Windowsサーバに固有の管理ツールについては話が違うが。
ここでは、[コンピュータの管理]管理ツールを例に取って解説するが、他の管理ツールでも同じ要領で操作すればよい。MMCでは管理ツールの実行形式ファイル自体は共通であり、そこに組み込んで使用するスナップインによって管理ツールとしての機能が分かれる形になっているからだ。
(1)使用する管理ツール(ここでは[コンピュータの管理]管理ツール)を実行する。
(2)左側のツリー画面最上端にある[コンピュータの管理(ローカル)]を選択してから、[操作]-[別のコンピュータへ接続]、あるいは右クリックして[別のコンピュータへ接続]を選択する。
(3)続いて表示するダイアログで、接続先のコンピュータを指定する。このとき、[参照]をクリックして検索機能を利用する方法でも接続先を指定できる。
(4) [OK]をクリックすると接続を行い、リモート管理が可能になる。画面の内容は変わっていないように見えるが、実はツリー画面の表示が[コンピュータの管理(<コンピュータ名>)]に変化しているはずだ。
(5) 接続した後の操作手順は、ローカルコンピュータを対象とする場合と変わらない。作業が済んだら、管理ツールを終了する。その時点でリモート管理は終了することになる。
ちなみに、Windows Server 2008 R2から、[サーバーマネージャ]もリモート管理に対応した。操作方法は、他のMMC管理コンソールでリモート管理を行う場合と同様だ。Windows Server 2008の[サーバーマネージャ]は、ローカルコンピュータしか対象にできない。
Active Directoryのリモート管理
管理者といえども自席ではクライアントPCを使用しているだろうから、OSはWindows XP、Windows Vista、Windows 7などだろう。そこで問題になるのが、Active Directoryを使用している場合だ。というのは、クライアントPC用OSには当然ながら、Active Directory用のMMC管理コンソールはないからだ。
Windows Server 2003では、Active Directory用の管理ツールに対し独立したインストールパッケージを用意してあり、Windows Server 2003のインストールCD-ROMから「Adminpak.msi」ファイルをセットアップすることで、クライアントPCにActive Directory用の管理ツールを用意できた。ところが、Windows Server 2008にはこれが存在しない。
かといって、リモート管理を行うためだけの目的で、管理者の手元にWindows Server 2008が動作するドメインコントローラを置くのは非効率的だし、セキュリティの面からいって問題がある。そこで登場するのが、クライアントPC用のActive Directory管理ツール群をまとめた、RSAT(Remote Server Administration Tools)だ。これをマイクロソフトのWebサイトからダウンロードしてきて、セットアップすればよい。
RSATを利用できるようにするには、以下の手順を踏む。
(1) ダウンロードしてきたセットアップ用ファイルを実行して、RSATをセットアップする。
(2) コントロールパネルの [プログラム]-[プログラムと機能]以下にある[Windowsの機能の有効化または無効化]を実行する。
(3) [Windowsの機能の有効化または無効化]画面で、利用したい管理ツールについてチェックボックスをオンにする。注意が必要なのは、ツリーの上部にあるアイテムのチェックをオンにしたからといって、その下にあるアイテムがすべて有効になるとは限らない点だ。役割・機能ごとにツリーを末端まで展開して、必要なアイテムのチェックがオンになっているかどうかを確認しながら有効化を指示する必要がある。
(4) 最後に[OK]をクリックしてダイアログを閉じる。ここまでの操作により、チェックをオンにした管理ツールが[スタート]-[すべてのプログラム]-[管理ツール]以下に現れる。
RSATに含まれる管理ツールでActive Directoryドメインのリモート管理を行う場合の接続先指定の手順は、他のMMC管理コンソールと同じだ。ただし、ドメインを対象とする場合と、特定のドメインコントローラを対象とする場合がある点に特徴がある。
いずれにしても、左側のツリー画面の最上部にあるアイテムを選択した状態で[操作]メニュー、あるいは右クリックメニューを使って、[ドメインの変更]あるいは[ドメインコントローラの変更]を選択すればよい。続いて表示するダイアログで対象を指定すると、リモート管理が可能になる。