◆ 試験70-290で評価されるスキル(ポイント)


1.ベーシックディスクとダイナミックディスクの管理。

1)ベーシックディスク

@ FAT、FAT32、またはNTFSでフォーマット可能

A プライマリパーティション(最大4個)か、プライマリパーティション(最大3個)と拡張パーティション(1個)で構成可能

B どのWindows系OSからでもアクセス可能

C パーティションを拡張する場合は、diskpart.exeコマンドを使用する必要がある

D WinNT4.0までのフォールトトレラントは、ベーシックディスクが使用されていた

2)ダイナミックディスク

@ NTFSでのみフォーマット可能。

A 物理的にPCに接続した時のOSは、WinXPPro(Homeは不可)、WinPro2000、WinServer2000、WinServer2003からのみアクセス可能

B ネットワーク経由からその共有フォルダにアクセスした場合は、他のOSからもアクセス可能

C ボリュームサイズの変更時にOSの再起動は不要

D ボリュームの拡張が可能

E シンプル、スパン、RAID-1(ミラー)、ストライプ、RAID-5をサポートする

F Win2000Server、Win2003Server(モバイルPC除く)のフォールトトレラントはダイナミックディスクでのみ可能である。

G パーティションまたは論理ドライブと、MBRを使用しない。

H 最大で2,000のボリュームに分割可能だが、32個までに制限すべきである。

I ACPIに対応していないPCでは、ベーシックからダイナミックへの変換は不可である。

J Win2003Serverのシステムファイル(OS)は、ダイナミック上にインストール不可である。

K ダイナミックディスクがサポートするのは、IDE、EIDE、UltraDMA、ATA、SCSI、ファイバチャネル、SSAに限られ、ノート、USB、FireWire(IEEE1394)等やセクタサイズが512バイト未満やクラスタディスクはサポートされない。

3)システムパーティションは、以下の3つのブートファイル(起動ファイル)が格納されているパーティションのことである。

@ boot.ini:どのディスクのどのパーティションにブートパーティションがあるかがARCパスで記述されており、テキストファイル形式で保存されている。

A ntdetect.com

B ntldr

4)ブートパーティションは、winnt/windowsフォルダが格納されているパーティションのことである。

5)別のコンピュータへのディスクの移動

@ ディスクの内容をそのままに別のコンピュータへディスクを移動させることができる。

A 元のディスクがRAID-1(ミラー)やRAID-5などのフォールトトレーランスであった場合は、必ず構成している全てのディスクを移動する必要がある。

B 移動手順は以下の通り。

A. 移動先のコンピュータにハードディスクを取り付け、起動させる。

B. [新しいハードウェアが見つかりました]というメッセージが表示され、OSに認識される。

C. 表示されなかった場合は、[ハードウェアの追加]ウィザードを実行して、ディスクを正しくインストールする。

D. [ディスクの管理]コンソールで[ディスクの再スキャン]を実行する。

E. [異形式]と表示された追加ディスクを右クリックして[形式の異なるディスクのインポート]を選択する。

C ミラー化されている一方のディスクのみを他のコンピュータへ移動する場合の移動手順は以下の通り。

A. [ミラーの解除]を行い、新しいコンピュータ上でディスクをインポートする。

B. [ミラーの追加]を行い、ミラーを構成していた1本のディスクと新しい別のディスクで既存のデータを冗長化することができる。

2.サーバーのハードウェアの監視。ツールには、デバイスマネージャ、ハードウェアのトラブルシューティングウィザード、および適切なコントロールパネル項目などがある。

3.サーバーディスクのパフォーマンスの最適化。

1)RAIDソリューションの実装。

@ RAIDボリュームはダイナミックディスクとして構成する必要がある。

A Win2003では、RAID-1(ミラー)とRAID-5をサポートしている。

B RAID-5の1台が完全に故障した場合は、新しいディスクに交換してディスクを初期化し、[ボリュームの修復]オプションを選択する。

C RAID-5に断続的に障害が起こる場合は、[ディスクの再アクティブ化]オプションを使用する。

D 別のコンピュータで使用していたフォーマット形式の異なるディスクを追加した場合は、[形式の異なるインポート]を使用する。

2)ボリュームとパーティションの最適化。

@ [パフォーマンスログと警告]での監視方法:HDD空き容量の監視

A.集中管理方法

管理側のコンピュータでパフォーマンスログを実行し、各リモートコンピュータからデータを収集する。

B.分散管理方法

各コンピュータでデータを収集し、リモートのコンピュータにデータを転送する。

C.論理ドライブの空き容量を監視し、ある値になったらメッセージを表示するようにするには、以下の方法を行う。

ア.[パフォーマンスログと警告]にてlogicaldisk(ドライブ名)\%FreeSpaceカウンタを使用する
イ.[パフォーマンスログと警告]から[カウンターログ]を選択し、新しいログの設定を選ぶとのタブからスケジュールを指定することで、使用したいカウンタ、ログの保存場所、スケジュールなどが指定できる。
ウ.ディスクドライブの未割り当て領域をMB単位で表示する場合は、以下の指定となる。

logicaldisk(_total)\Freemegabytes

4.サーバーのハードウェアデバイスのトラブルシューティング。

1)ハードウェア設定に関する問題の診断と解決。

2)サーバーハードウェアおよびハードウェアドライバのアップグレードに関する問題の診断と解決。

5.サーバーのハードウェアデバイスのインストールと構成。

1)ドライバ署名オプションの構成。

2)デバイスのリソース設定の構成。

3)デバイスのプロパティおよび設定の構成。

6.ローカル、移動、および必須ユーザープロファイルの管理。

1)移動ユーザプロファイル

@ ユーザがどのコンピュータにログオンしても、ユーザが設定したデスクトップの構成やスタートメニューなどを利用できる機能。

A 各ユーザのプロファイルをネットワーク上のサーバに保存しておくと、ネットワーク上のどのコンピュータからでも各ユーザプロファイルを使用できる。

B ネットワーク共有に作成されるプロファイルの保存用フォルダは、その所有者にのみアクセス許可が設定されている。

C プロファイル保存用のネットワーク共有フォルダにAdministratorsグループのアクセス権を与えるには、GPOを作成し、[Administratorsセキュリティグループを移動ユーザプロファイルに追加する]ポリシーを有効にする。

7.ActiveDirectory環境でのコンピュータアカウントの作成と管理。

1)ユーザの権利には「特権」と「ログオンの権利」の2種類がある。

@ 特権

システム時刻の変更、ファイルのバックアップまたは復元、ハードディスクのフォーマット等のシステム操作を実行するために必要な権限であり、ユーザ権利とも呼ばれる。

A ログオンの権利

2)コンピュータアカウント作成の権限

@ 一般ユーザのアカウントでも、10台までならコンピュータをドメインへ参加させることができる。

A Server OperatorsグループやAccount Operatorsグループのメンバーであれば、コンピュータをドメインへ参加させることができる。しかし、コンピュータをドメインへ参加させること以外の多くの権限が備わっている。

B コンピュータをドメインへ参加させることができるだけの権限は、それだけを与えたいユーザアカウント、グループ、OUなどを、オブジェクト制御の委任ウィザードを使用して権限を与える。

8.グループの作成と管理。

1)グループのスコープの識別と変更。

@ ドメインの機能レベル

A. Windows2000混在:WinNT、Win2000、Win2003のDCが混在している。

B. Windows2000ネイティブ:Win2000とWin2003のDCで構成されている。

C. WindowsServer2003中間:WinNT、Win2003のDCで構成されている。

D. WindowsServer2003:Win2003のDCでのみ構成されている。

A グループの種類

A. ドメインローカルグループ:そのドメイン内のリソースへのアクセス許可を設定するために使用する。

B. グローバルグループ:フォレスト内の任意のドメインのリソースへのアクセス許可を設定するために使用できる。

C. ユニバーサルグループ:ドメインの機能レベルがWindows2000ネイティブか、WindowsServer2003の場合に使用できる。

D. グループのネストには、ドメインの機能レベルが密接に関わっており、各グループのメンバにできるか否かはドメインの機能レベルによって変化する。

B ドメインの機能レベルとグループの関係

ドメイン機能レベル

ドメインローカルグループで許可

グローバルグループで許可

ユニバーサルグループで許可

Windows2000混在

任意のアカウントとグローバルグループ

同じドメイン内のアカウント

許可されない

Windows2000ネイティブ

任意のアカウントとグローバルグループ、ユニバーサルグループ

同じドメインのアカウントとグローバルグループ

任意のアカウントと任意のドメインのグローバルグループとユニバーサルグループ

WindowsServer2003

同じドメインのドメインローカルグループ

2)ユーザーがメンバとなっているドメイングループの検索。

3)グループメンバシップの管理。

4)ActiveDirectoryユーザーとコンピュータのMicrosoft管理コンソール(MMC)スナップインを使用したグループの作成と変更。

5)オートメーションを使用したグループの作成と変更。

9.ユーザーアカウントの作成と管理。

1)ActiveDirectoryユーザーとコンピュータのMMCスナップインを使用したユーザーアカウントの作成と変更。

2)オートメーションを使用したユーザーアカウントの作成と変更。

@ コマンドラインによるユーザアカウントの作成と変更

A. dsadd.exe { user | computer | ou ... }:追加

B. dsmod.exe { user | computer | ou ... }:変更

C. dsget.exe { user | computer | ou ... }:表示

D. dsmove.exe { user | computer | ou ... }:移動または名前変更

E. dsrm.exe { user | computer | ou ... }:削除

F. dsquery.exe { user | computer | ou ... }:検索とその条件の指定

※ {}内には、コンピュータ、ユーザ、グループ、連絡先、OUなどを指定できる。

※ ヘルプファイルは、{}内までを入力して/?をつける。例:dsadd user /?

3)ユーザーアカウントのインポート。

@ コマンドラインによるユーザアカウントのインポート

A. csvde.exe:コンマ区切り値(CSV)を使用してエクスポート、インポートする。

B. ldifde.exe:LDIFを使用してエクスポート、インポートする。拡張子は.ldfを使用する。

10.コンピュータアカウントのトラブルシューティング。

1)ActiveDirectoryユーザーとコンピュータのMMCスナップインを使用した、コンピュータアカウントに関する問題の診断と解決。

2)コンピュータアカウントのリセット。

@ セキュリティで保護されたチャネルでは、コンピュータパスワードが自動で生成され、DCにコンピュータアカウントと共に保存される。自動で生成されたパスワードは標準で30日毎に自動的に更新されるが、このパスワードが、DC上のパスワードと一致しない場合は、以下のいづれかのエラーメッセージが表示される。これらのメッセージが表示された場合は、[ActiveDirectoryユーザーとコンピュータ]から該当するコンピュータのアカウントをリセットする必要がある。但し、[ActiveDirectoryユーザーとコンピュータ]に該当するコンピュータアカウントが見つからない場合は、クライアントコンピュータを一度ワークグループに参加させた後、再度ドメインに参加させることで同様のことが行える。

A. コンピュータDOMAINMEMBERからのセッション設定を認証できなかった。セキュリティデータベースで参照されたアカウント名はDOMAIN-MEMBER$である。次のエラーが発生しました。:アクセスが拒否されました。

B. NETLOGONイベントID 3210:ドメインDOMAINのWindowsNTまたはWindows2000のドメインコントローラ\\DOMAINDCで認証に失敗しました。

11.ユーザーアカウントのトラブルシューティング。

1)アカウントロックアウトの診断と解決。

@ アカウントのロックアウトの期間や、しきい値はユーザ単位ではなく、ドメイン全体に対して設定するセキュリティポリシーである。

A 以下のメッセージが表示された場合は、アカウントの有効期限を過ぎている場合に表示される。

アカウントの有効期限が切れています。システム管理者に問い合わせてください。

B 以下のメッセージが表示された場合は、ログオンする時間が制限外の場合に表示される。

ユーザのアカウントにはログオン時間の制限が設けられており、現在はログオンできません。ログオン可能時間にログオンしてください。

2)ユーザーアカウントのプロパティに関する問題の診断と解決。

12.ユーザー認証問題のトラブルシューティング。

1)DC間の通信リンクの復元

@ ユーザがドメインにログオンする場合、GC(グローバルカタログ)サーバと通信が行える必要がある。

A ログオンの際にGCサーバと通信できない場合は、自動的にキャッシュを使用してログオンが行われる。

B はじめてのログオンの際にGCサーバと通信できない場合は、ドメインにログオンできない。その場合は拠点間のDCでネットワーク接続を復元する必要がある。

C GC(グローバルカタログ)サーバとは。

A. AD(Active Directory)ではユーザが企業内にあるオブジェクトを簡単に検索できる。

B. 検索は、属しているドメイン内ではなく、他のドメインでも可能である。

C. GCサーバは、AD内の検索の際のネットワークトラフィックを軽減するため、全てのオブジェクトのディレクトリカタログを持ったサーバである。

D. 通常は、フォレストに最初に作成されたドメインにインストールしたDCがGCサーバの役割を持つが、後から変更や追加が可能である。

E. フォレスト内のGCサーバに変更があった場合、全てのGCサーバに複製トラフィックが発生するため、静的な情報のみをGCサーバに保存するようにした方が良い。

13.共有フォルダへのアクセスの構成。

1)共有フォルダへのアクセス権の管理。

@ 共有フォルダへのアクセス権

A. 共有フォルダのアクセス許可は、ネットワークから共有フォルダへアクセスした場合に適用される。

B. NTFSアクセス許可は、ローカルログオンした場合と、ネットワークからアクセスした場合の両方に適用される。

C. NTFSと共有のアクセス許可は、どちらか厳しい方のアクセス許可が有効となる。

D. あるユーザが複数のグループに所属している場合の共有フォルダのアクセス許可は、制限が一番ゆるいアクセス許可が有効になる。

E. WinServer2003では、標準の共有アクセス許可は、Everyoneが[読み取り]になった。

F. あるユーザやグループに対してのアクセス許可を確認するには、[有効なアクセス許可]タブでユーザやグループを選択することで、有効なアクセス許可を表示することができる。

A. 共有フォルダのアクセス許可の種類は、以下の権利を許可もしくは拒否することで設定できる。

a. フルコントロール
b. 変更
c. 読み取り

14.ターミナルサービスのトラブルシューティング。

1)ターミナルサービスのセキュリティに関する問題の診断と解決。

2)ターミナルサービスへのクライアントアクセスに関する問題の診断と解決。

@ ターミナルサービスには、リモート管理モードとアプリケーションサーバモードがある。ターミナルサービスに接続するためには、Administratorの権利もしくはRemoteDesktopUsersグループに属している必要がある。ユーザアカウントを作成すると、自動的にターミナルサーバへのログオンが許可される。一部のユーザだけログオンさせたくない場合、接続を許可したくないユーザのユーザアカウントのプロパティで[ターミナルサーバへのログオンを許可する]チェックボックスをオフにする必要がある。

A. リモート管理モードは、WinServer2003に自動的にインストールされるが、標準では無効になっている。リモート管理の目的で最大で2つの同時RDP接続がサポートされている。

B. アプリケーションサーバモードは別途ターミナルサーバをインストールする必要ある。

A リモートデスクトップ接続ソフトウェは、WinServer2003とWinXPProには標準でインストールされている。

B ターミナルサーバのセッション数の制限。

A. GPOを使用した制御:[接続数を制限する]ポリシーで、セッション数を指定する。この方法は全てのターミナルクライアントを制限する場合に行う。

B. ユーザプロパティを使用した制御:ある特定のユーザのみに制限を与えたい場合に行う。

C. セッションの種類

a. ログオフ:セッションは終了され、実行中の処理も強制終了される。
b. 切断:セッションは終了せず、ターミナルクライアントウィンドウだけが閉じられる。ウィンドウ内で実行中の処理は継続されている。ターミナルクライアントウィンドウの[閉じる]ボタンで閉じた場合も切断となる。

D. アクティブセッションがサーバ上に多く残っていると、サーバパフォーマンスが低下する。その場合は接続数を制限するか、セッション数の制限を行うとよい。

3)ターミナルサーバの管理

@ ターミナルサーバのシャットダウン

A. ターミナルサーバをいきなりシャットダウンすると、セッション中のデータが失われることがあるため、事前にユーザに通知を行い、シャットダウンを行うには、以下のコマンドを使用する。

tsshutdn [WaitTime] [/server:ServerName] [/reboot] [/powerdown] [/delay:LogOffDelay] [/v]

 

WaitTime:シャットダウンするまでの待ち時間を秒単位で指定する。

/server:シャットダウンするサーバ名。

/reboot:ユーザー セッションを終了させた後、ターミナル サーバーを再起動する。

/powerdown:コンピュータが AC 電源のソフトウェア制御をサポートしている場合に、ターミナル サーバーの電源をオフにする。

/delay:ユーザーをセッションからログオフさせてから、すべてのプロセスを終了させてターミナル サーバーをシャットダウンするまでの待ち時間を指定する。既定値は 30 秒である。

/v:事項する操作に関する説明を表示する。

※ tsshutdnコマンドを実行するには、管理者特権が必要である。

15.ファイルシステムのアクセス権の構成。

1)アクセス権を付与する際の有効なアクセス権の確認。

@ [Active Directoryユーザとコンピュータ]

A. 標準では、管理が通常使用するオブジェクトだけが表示される[標準モード]になっている。ファイルやフォルダの[セキュリティ]タブは、NTFSでフォーマットされているパーティションでしか使用できないが、[標準]モードの場合は、[セキュリティ]タブが表示されない。この場合は、[表示]メニューの[拡張機能]を有効にすると[セキュリティ]タブが表示される。また、以下のシステムオブジェクトも表示される。

a. LostAndFound
b. NTDS Quotas
c. Program Data
d. System

2)ファイルとフォルダの所有権の変更。

16.ファイルおよび共有フォルダへのアクセスに関するトラブルシューティング。

17.イベントの監視と分析。ツールには、イベントビューア、システムモニタなどがある。

1)イベントログを監視するには

@ 監視するユーザに[監査とセキュリティログの管理]のユーザ権利の割り当てが必要。

A 規定ではこのユーザ権利はAdministratorsグループにのみ割り当てられている。

B このユーザ権利を割り当てるには、OU等のGPOを編集してそのユーザのアカウントを[監査とセキュリティログの管理]グループポリシーに追加する。

A. 操作手順:GPOエディタで[コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザ権利の割り当て]-[監査とセキュリティログの管理]

2)イベントビューア ( Eventvwr.msc )の種類

@ アプリケーション

A セキュリティ

B システム

A. ログオンの失敗や成功、ファイルの作成や削除などのリソースの使用に関するイベントが記録される。

B. 規定では無効になっているため、使用する場合は、GPOで監査する属性や、イベントの監査ポリシーを有効にする必要がある。

C. ドメインへのログオン試行を記録するには、[アカウントログオンイベント]を有効にし、成功の監査および失敗の監査を選択することで、DCでの認証結果としてログの記録が開始される。

D. ドメインログオンのセキュリティログは、クライアントではなくDC側に記録される。

3)特定のイベントだけを表示するには、フィルタを使用する。以下はフィルタとして使用できるものである。

@ イベントの種類:情報、警告、エラー、成功の監査、失敗の監査、

A イベントソース

B 分類

C イベントID

D ユーザー

E コンピュータ

F イベントが記録された開始および終了の日時

18.ソフトウェア更新インフラストラクチャの管理。

1)Software Update Services(SUS)

@ Windows Updateで行われている修正プログラムや、セキュリティアップデートプログラムなどを、企業ネットワーク内で動的に自動更新ができる。

A SUSを実行するサーバだけがインターネットに接続されていれば、クライアントは常に最新の状態を維持することができる。

B 管理者が配布を承認する更新だけを選択することで、未テストの更新プログラムの適用を行わないことができる。

C クライアント側には、自動更新クライアントソフトウェアは.msiファイルとして配布されている。

D Windows2000SP3、WindowsXPSP1、WindowsServer2003が稼動するコンピュータは、既に自動更新クライアントソフトウェアがインストールされている。

E 同時に複数の更新プログラムを配布(インストール)することができる。

F GPOを使用すると、ユーザアカウントやコンピュータアカウント単位などで配布を制御できるため、管理の効率化が行える。

G SUSサーバ側コンポーネントのインストール

A. SUS Ver1.0 SP1のサーバ側コンポーネントは、Win2000SP2以降またはWin2003にインストールできる。

B. サーバにはIIS5.0とIE6.0以降がインストールされている必要がある。

C. SUSの管理画面は、以下を表示して行う。

http://<サーバ名>/SUSAdmin

C. 上記画面の[オプション設定]で、SUSサーバ名、同期設定、更新許可ポリシーなどが指定できる。

H クライアントコンピュータのSUS自動更新の設定

A. クライアントコンピュータへは以下のGPOを使用して更新プログラムを配布(インストール)する。

B. クライアントコンピュータでは、Automatic Updateサービスが実行される。他のPCでは更新が行われているのに、特定のコンピュータだけ更新が行われなかった場合は、このサービスを再起動する。

a. [自動更新を構成する]
b. [イントラネットのMicrosoftの更新サービスの場所を指定する]

I SUSサーバのバックアップ

A. IISコンソールでバックアップを作成するサーバの[構成のバックアップと復元]を使用して、IISメタベース(MetaBase.xml、MBSchema.xml)をバックアップする。

B. Ntbackup.exeを使用し、c:\Inetpub\wwwroot(規定のWebサイト)とコンテンツの保存場所、%windir%\system32\inetsrv\metaback(IISメタベース)をバックアップする。

J SUSサーバの復元

A. 上記Iでのバックアップと逆の手順で復元を行う。

K クライアントをWindows UpdateサイトからのUpdateを行わせたくない場合、Updateを行わせたくないOUに[Windows Updateへのリンクとアクセスを削除する]を有効にしたGPOをリンクするか、もしくは、[Windows Updateの全ての機能へのアクセスを削除する]ポリシーを有効にすると、全てのWindows Updateの機能を削除することできる。

19.ソフトウェアサイトライセンスの管理。

20.サーバーのリモート管理。

1)リモートアシスタンスを使用したサーバー管理。

@ リモートアシスタンスとは、リモートのユーザが招待を送ることで、要請されたサポート担当者やIT管理者などが、リモートからアクセスし、支援することができる機能である。

A リモートアシスタンスが使用できるOSは、WinXPProとWin2003である。

B 招待を送るには、電子メール、Windows Messenger等を使用して送信するが、ファイルとして保存した招待も使用できる。

C 要請を受けたユーザは、支援を必要としているユーザのデスクトップ画面をリモートから確認してアドバイスしたり、ユーザの許可があればリモートからタスクを実行することも可能である。

D Active Directory環境では、規定のドメインポリシーで[要請されたリモートアシスタンス]を有効にすると、全てのクライアントに一括して有効か無効かの設定を行うことができる。

E オプションとして、リモートアシスタンスの招待を有効にしておく時間や、招待を送信する方法などが選択できる。

F 管理者権限があるユーザは、ローカルコンピュータでリモートアシスタンスを有効にすることができる。

[システムのプロパティ]-[リモート]-[リモートアシスタンスをオンにし、このコンピュータからの招待を送信することを許可する]をオンにする。

2)ターミナルサービスのリモート管理モードを使用したサーバー管理。

@ リモート管理モードとアプリケーションモード

Win2003のターミナルサービスは、標準で管理用リモートデスクトップ(リモート管理モード)が有効になっている。任意にターミナルサーバーをインストールすることで、標準のリモート管理モードとアプリケーションモードが動作する。ターミナルサーバにログオンするには、ターミナルサーバのRemote Desktop Usersグループに属する必要がある。

A 次のエラーメッセージが表示された場合は、[このコンピュータにユーザーがリモートで接続することを許可する]オプションを有効にする。

「クライアントをリモートコンピュータに接続できませんでした。リモート接続が有効になっていないか、またはコンピュータがビジー状態のために新しい接続を受け入れていない可能性があります。ネットワークの問題によって接続できない可能性もあります。後で、もう一度接続を実行してください。引き続き問題が発生する場合は、管理者に問い合わせてください。」

B リモートデスクトップは、WAN、VPN、ダイヤルアップなどを利用して接続することができるが、その際、ファイアウォールでRDPプロトコル(ポート3389)を許可する必要がある。

3)利用可能なサポートツールを使用したサーバー管理。

@ Adminpak.msi

A. インストール要件(以下のいづれか)

a. WindowsServer2003ファミリ
b. Win2000Server ServicePack3以降。理由は、Win2000のActiveDirectory管理ツールは、暗号化が行われない。SP3を適用することでWin2003ADに接続することができる。
c. Windows XP Professional(QFE329357)を適用
d. Windows XP Professional ServicePack1を適用

B. インストール方法には以下の2種類がある。

a. WindowsServer2003 CD-ROMインストールする。
b. WindowsServer2003 のSystem32にアクセスしてインストールする。

C. Adminpak(AD管理ツールパック)の機能

a. Active Directoryユーザとコンピュータ
b. Active Directoryサイトとサービス
c. Active Directoryドメインと信頼関係
d. Active Directoryスキーマ
e. ADSIEdit
f. Dsrm.exe
g. Dsmove.exe
h. Dsadd.exe
i. Dsmod.exe
j. Dsget.exe
k. Dsquery.exe

21.印刷キューのトラブルシューティング。

1)プリントスプーラの格納場所:%systemroot%\system32\spool\PRINTERS

2)Print Spoolerサービスを再起動することで、印刷キューが削除できなかったり、クライアントとサーバ間に問題が見つからない場合に問題を解決できる場合がある。

22.システムパフォーマンスの監視。

1)[パフォーマンスログと警告]

@ パフォーマンスデータの収集は、パフォーマンスコンソールの[パフォーマンスログと警告]を使用する。

A カウンタとは、オブジェクト、カウンタ、インスタンスをいう。

B カウンタログとは

A. あらかじめ定義しておいた間隔でデータを収集できる。

B. システムのサービスや、ハード動作状況などの記録を行う。

C. 開始時刻や終了時刻などのスケジュール、ログのファイル名や、ファイルサイズを指定しておけば、自動的にログを収集する

D. ベースラインの記録を作成する際に使用する。

C トレースログとは

A. ページフォルトや、ディスクのI/O操作などの特定のイベントが発生するのを監視する。

B. イベントが発生すると、システムアプリケーションイベントを記録する。

C. トレースログデータを解析するためには、別途解析ツールが必要。

2)カウンタ情報の保存と再利用

@ 監視するカウンタ情報をhtmlファイルとして保存し、同一監視を繰り返し行うことができ、その設定情報をブラウザで表示することができる。

A 保存されているhtmlファイルは、別のWin2000やWin2003コンピュータの[パフォーマンスログと警告]の[既存の設定から新しいログを設定]から開くことで再利用することができる。

B Win2003からログファイルの標準の拡張子は*.blgに変更になったため、Win2000では読み込むことができないが、以下の拡張子に変更することができる。

A. テキストファイル(コンマ区切り)

B. テキストファイル(タブ区切り)

C. バイナリファイル(*.blg)

D. バイナリ循環ファイル

E. 循環トレースファイル

F. 順次トレースファイル

G. SQLデータベース

3)カウンタログは、[パフォーマンスログと警告]でスケジュールを設定することができる。

4)パフォーマンスのベースラインを作成しておく

@ そのサーバのパフォーマンスが低下した時に、ボトルネックを発見するのに役立つ。

23.ファイルサーバーとプリントサーバーの監視。ツールには、タスクマネージャ、イベントビューア、およびシステムモニタなどがある。

1)ディスククォータの監視。

2)印刷キューの監視。

3)サーバーのハードウェアでのボトルネックの監視。

24.サーバー環境でのアプリケーションのパフォーマンスの監視と最適化。

1)メモリパフォーマンスオブジェクトの監視。

2)ネットワークパフォーマンスオブジェクトの監視。

3)プロセスパフォーマンスオブジェクトの監視。

4)ディスクパフォーマンスオブジェクトの監視。

25.Webサーバーの管理。

1)インターネットインフォメーションサービス(IIS)の管理。

@ IIS6.0にWWWサービスがインストールされている場合、Webブラウザを使用したアクセスと、WebDAVプロトコル対応のソフト(Wordなど)からのアクセスの2種類がある。

A WebDAVプロトコルは、TCPポート80(http)を通じてWebフォルダに接続する。

B WebDAVを使用することで、ファイルの変更やドラッグアンドドロップなど、ローカルコンピュータと同じように操作することができる。

C WebDAVは、IISでは標準で無効となっているため、これを使用するには、[IISマネージャ]-[サービス拡張]-[WebDAV]を許可する必要がある。

D 仮想ディレクトリをWebフォルダとしてアクセスするためには、WebDAVサービスを許可する必要がある。

2)IISのセキュリティ管理。

@ Webからのディレクトリ参照

ユーザがWebサーバにアクセスした場合、ファイルやディレクトリの一覧を表示させるには、IISマネージャで、Webサイトまたは、仮想ディレクトリのプロパティから[ディレクトリの参照]を有効にする必要がある。これが無効になっていて、ユーザがファイル名を指定しなかった場合、以下のエラーメッセージが表示される。

ディレクトリの一覧表示が拒否されました。この仮想ディレクトリはコンテンツの一覧表示を許可されていません。

26.サーバーのシステム回復の実行。

1)自動システム回復(ASR)の実装。

@ WinNTなどのシステム修復ディスク(ERD)の代わり。1枚のFDに必要なファイルが全て入らなくなったので、ASRディスクになってからは以下の3つのファイルだけがFDに入れられるようになった。但し、起動ディスクとして使用することはできない。

A. asrpnp.sif:プラグアンドプレイデバイスに関する情報

B. asr.sif:ディスクの情報と使用するバックアップメディアの場所の情報

C. setup.log:システムファイルの場所を示す

A 自動システム回復ウィザードでASRディスクを作成する。FDが壊れている場合は、上記3つのファイルをFDが正常なコンピュータにコピーしてFDを作成する。

2)シャドウコピーボリュームからのデータ復元。

@ シャドウコピーを利用すると、サーバは定期的にサーバのHDDのシャドウコピー領域に共有フォルダのバックアップを作成する。そのため、ユーザは任意に[以前のバージョン]のファイルへアクセスすることができる。

A WindowsXP以降のクライアントがシャドウコピーを使用するためには、ADのグループポリシーのソフトウェアインストール機能等を使用して、以下のディレクトリから共有フォルダのシャドウコピー用クライアントソフトをインストールする。

WindowsServer2003の %systemroot%windows\system32\clients\twclient\x86\twcli32.msi

B Ntbackup.exeでは、標準でボリュームシャドウコピーが有効になっているので、開かれたファイルをバックアップしたくない場合は、[詳細なバックアップオプション]-[ボリュームのシャドウコピーを無効にする]オプションをオンにする。

3)ファイルとシステム状態のメディアへのバックアップ。

@ Ntbackup.exeは、HDDやリムーバブルディスク(ZIP,Jazz等)をバックアップ先に指定できるが、CD-RWは直接サポートされていないため、サードパーティ製のライティングソフトを使用する必要がある。

A Ntbackup.exeを使用して、システムの構成や重要なデータベース、ファイルなどのバックアップが可能であり、これをシステム状態のバックアップという。

B システム状態をバックアップし、新しいサーバに復元することで、新しいDCを構築することができる。

C システム状態のバックアップをリムーバブルメディアにコピーして別のDCにインストールすることができる。この方法を使用することで、ネットワークトラフィックとコストを最小限に抑えて、離れた場所にあるDCへインストールすることができる。

A. システム状態のバックアップに含まれるもの。

a. レジストリ
b. COM+クラス登録データベース
c. ブートファイル
d. システムファイル
e. 証明書サービスデータベース(証明書サービスが実行されている場合)
f. Active Directoryデータベース(DCの場合)
g. SYSVOL(DCの場合)
h. IISメタベース(IISがインストールされている場合)
i. Windowsファイル保護で守られているOSファイル

B. システム状態はローカルバックアップのみ可能。

C. DC上にシステム状態を復元するには、「ディレクトリサービス復元モード」でサーバを起動させる必要がある。

4)バックアップ操作のセキュリティの構成。

@ バックアップや復元を行える権利

A. 自分自身で作成したファイルやフォルダは、新たな権利を付与することなく、バックアップや復元が可能

B. 他の人が作成したファイルやフォルダの場合は、Administrators、BackupOperatorsグループの権利が必要。

a. Backup Operatorsグループのメンバーは、ファイルやフォルダに対するアクセス権を持たなくともバックアップや復元が可能。(EFS=暗号化されているファイルやフォルダに対しても有効)
b. 但し、バックアップする際に「所有者または管理者のアクセスを制限します」オプションが選択された場合はバックアップをしたアカウントかAdministratorsグループのメンバーに限定されるため、BackupOperatorsメンバーは除外される。
c. 

C. 

27.バックアップ手順の管理。

1)バックアップジョブが正常に終了したことの確認。

2)バックアップストレージメディアの管理。

28.サーバーのハードウェア障害からの回復。

29.バックアップデータの復元。

30.バックアップジョブのスケジューリング。

1)バックアップユーティリティでバックアップスケジュールを作成すると作成されるファイル

@ *.bkf:バックアップされたデータファイル

A *.bks:バックアップするファイルやフォルダを選択し、作成したジョブの設定をバックアップ選択ファイルとして保存したファイル。他のPCでも再利用可。

B *.job:スケジュールされたバックアップタスクとして保存されたファイル。他のPCでも再利用可。

※ 再利用する場合は、別のPCにコピーした後、タスクスケジューラで[実行するアカウント名]のアカウントとパスワードをリセットする。