|
|
|
|
|
|
【小規模LANの場合】
| A |
Windows Server 2003のコンピュータ。この図では、ルータの代用もしている。 |
| B |
LANケーブル。各リソースは、ハブ(図では省略)で繋がっている。 |
| D |
ローカルプリンタ。シリアルケーブルなどで接続されている。 |
【中・大規模LANの場合】
|
| H |
L3スイッチ(ローカルルータ) 兼 DHCPサーバ |
|
|
IとJは1つにまとめてある場合もある。
詳しい説明は、以下の書籍などを参照。
超入門ネットワーク p.64〜79
図解でわかるLinuxサーバ構築・設定のすべて p.23、p.236
TCP/IP 500の技 p.19 |
|
|
|
|
|
|
|
|
|
|
|
|
 |
デスクトップの壁紙を右クリック→[プロパティ]→[デスクトップ]タブ→[デスクトップのカスタマイズ]→[マイ ネットワーク]にチェックを入れる。 |
|
[マイ コンピュータ]を開く→ツールバーの[フォルダ]をクリック→ツリーから[マイ ネットワーク]を探す。 |
|
|
|
|
|
|
|
|
|
|
|
|
 |
ようこそ画面で、Ctrl キーと Alt キーを押したまま Del キーを2回押すと Administratorアカウントで入れるので、Administrator にはパスワードを設定した方が良い。 |
|
ユーザアカウントは、[コントロールパネル]→[ユーザアカウント]で、作成、変更を行う。管理者権限(Administrators Group)が必要。 |
|
パスワードを忘れたときのために、パスワードリセットディスクを作成する。
[コントロールパネル]→[ユーザアカウント]→[パスワードを忘れないようにする]で作成する。
ログオンするときにパスワードリセットディスクを使用すると、パスワードの変更ができる。大切に保管する。 |
|
ユーザアカウントを作成すると、SIDという一意なデータが自動生成される。
アカウントを削除して、もう一度、同じ名前のアカウントを作成しても、SIDは同じにならない。そのため、アクセス許可が設定してあった場合、使えなくなるのでアクセス許可を編集し直す必要がある。 |
|
ユーザ認証にはLM認証(Win95系)、NTLM認証(WinNT系)、Kerberos認証(ドメイン)がある。
LANがドメインではなくWinNT以降のPCのみで構成されるときは、ローカルセキュリティポリシーでNTLM認証のみを使うように設定する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
マイネットワークでのコンピュータの表示は、ブラウジングという機能で行われる。
ブラウジングは一定間隔で行われるので、LAN内のコンピュータが常に正確に表示されているとは限らない。
実際の接続は名前解決という機能によって実現される。 |
|
ファイヤウォールを設定したり、セキュリティ対策ソフトを起動したりすると、他のコンピュータから自分のコンピュータが見えなくなる。 |
|
各サブネットに1台あるマスターブラウザがそのサブネット内のPCのリスト(ブラウズ・リスト)を持っている。マスターブラウザは自動的に決まる。
各PCは起動時に、ブロードキャストでどのPCがマスターブラウザか調べる。
ブラウズ・リストの表示は、コマンドプロンプトで該当するコマンドを実行する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ワークグループは、構造が簡単で全体の管理が面倒。小規模ネットワーク向き。
ドメインは、構造が複雑で全体の管理がしやすい。大規模ネットワーク向き。 |
|
ワークグループは、各コンピュータにユーザアカウントが保存される。
ドメインは、サーバ(ドメインコントローラ)で各コンピュータの設定やユーザアカウントを一元管理する。
ドメインでの、ログオン先には、ドメインコントローラとローカルコンピュータのどちらかを選択できる。 |
|
ドメイン→ワークグループ、またはワークグループ→ドメインに変更したいときは、[マイコンピュータ]を右クリック→[プロパティ]→[コンピュータ名]タブ→[変更]で、ドメイン名または、ワークグループ名を指定する。
ワークグループで運用するときは、どのPCも同じワークグループ名にする。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows Server 2003 などが、ドメインコントローラとして機能しているときは、ドメインに参加できる。 |
|
ドメインでは、すべてのクライアントマシンの設定をドメインコントローラで一元管理できる。設定、変更にはドメインの管理者権限が必要。
ユーザアカウントもドメインコントローラの Active Directory に保存されているものを使用する。または、ローカルホストにログオンすることもできる。
ドメイン環境以外では、ログオン先のコンピュータのアカウントを使用する。 |
|
1台のWindows Server 2003 マシンで、DHCPサーバ、DNSサーバ、WINSサーバ、ドメインコントローラ、メールサーバ(SMTP,POP3)、ファイルサーバ、ウェブサーバ、ルータ機能(NICが2つ以上必要) etc. として同時に動作させる事が可能。 |
|
ネットワーク接続のプロパティを変更したいときは、ログオン画面でログオン先にローカルコンピュータを選択して、そのコンピュータの管理者権限のあるユーザでログオンする。
ドメイン管理者の場合は、ログオン先そのままで変更可能。 |
|
DHCPはルータで出来るし、NAS(LANに直接接続できるハードディスク)があるからファイルサーバも必要ない。メールとインターネットは業者に委託している。それにドメインを使いたいほどPCの数も多くないというときは、Windows Server 2003 は必要ないかもしれない。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
クライアントPCのIPアドレスが自動取得に設定され、DHCPサーバが動いていないときは、APIPA(自動プライベートIPアドレス)によって169.254.○.×のIPアドレスが各クライアントに自動的に割り振られる。これは、IPアドレスの設定ミスであるため、固定アドレスを設定するか、DHCPサーバを正常動作するようにしなくてはならない。 |
|
DHCPリレーエージェントは、他のサブネットのDHCPサーバを使用したいときに使用する。  |
|
|
|
|
|
|
|
|
|
|
|
|
|
名前解決は、通信を行うために、コンピュータ名(NetBIOS名)をIPアドレスに変換する処理のこと。(DNSのときは、ホスト名の後ろにドメイン名を付加したFQDNで名前解決を行う。コンピュータ名とホスト名は、特別な設定をしない限り、同一。) |
|
WinXPの設定は、[マイ ネットワーク]→右クリック→[プロパティ]→[ローカルエリア接続]→右クリック→[プロパティ]→[インターネットプロトコル(TCP/IP)]→[プロパティ]→[詳細設定]で行う。 |
|
コンピュータ名は、[マイコンピュータ]→右クリック→[プロパティ]→[コンピュータ名]タブで設定、確認する。 |
|
名前解決は、DNS,WINS,HOSTSファイル,LMHOSTSファイル,ブロードキャストのどれかで行われる。
DNS,HOSTSファイルはドメインの名前解決に、それ以外は、NBTの名前解決(NetBIOS名前解決)に使用される。
HOSTSとLMHOSTSは、運用が面倒なので基本的に使用不可にする。
DNSとWINSはサーバが必要。 |
|
LMHOSTSファイルの保存場所は、
Win 9x → Windowsフォルダ
Win NT,2000 → %SYSTEMROOT%System32\Drivers\Etcフォルダ |
|
リゾルバは、クライアントの機能で、DNSサーバに問い合わせて、IPアドレスやホスト名を教えてもらう。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
DNSは名前解決手段の1つ。
インターネットやLANで使用されている。
ドメイン環境では必須。
DNSサーバによって行われる。
インターネット内では、多数のDNSサーバが動作している。 |
|
DNSサーバには、BIND (UNIXやLINUXで主に使われる)や Windows 2003 Server の DNSサーバなどがある。
以下に、Windows 2003 Server の DNSサーバについて説明する。 |
|
DNSサーバでは、ゾーンを作成して管理する。
ゾーンを作成するときは、そのゾーンのドメイン名や動作のさせ方を設定する。
そのため、(プライマリの正引き)ゾーンを作成することでドメインやサブドメインを作成することができる。 |
|
ゾーンには、正引きゾーンと逆引きゾーンの2種類がある。
正引きゾーンでは、ホスト名をIPアドレスに変換、逆引きゾーンではIPアドレスからホスト名に変換するための設定を行う。
正引きゾーンは必ず作成しなくてはならないが、逆引きゾーンは無くても良い。
正引きゾーンには、そのゾーンで管理したいホストのAレコード(ホスト名とIPアドレスが記述されたデータ)や、必要に応じて、MXレコード(メールエクスチェンジャ)、NSレコード(DNSサーバ)、CNAMEレコード(エイリアス)などを入れる。
逆引きゾーンにはPTRレコード(IPアドレスとホスト名が記述されたデータ)を入れる。
|
|
ゾーンには、プライマリゾーンとセカンダリゾーンとスタブゾーンの3種類がある。
セカンダリゾーンは、プライマリゾーンのバックアップを取るために作成する。
バックアップを取ることをゾーン転送と呼ぶ。
|
|
該当するAレコードが無くて、名前解決に失敗したときは、他のDNSサーバに名前解決を依頼しなくてはならない。
フォワーダに他のDNSサーバのIPアドレスを追加すると、失敗したときに依頼するようになる。 |
|
Aレコードは、DNSサーバに手動で追加する以外に、クライアントPCが起動すると同時に自動的に追加されるようにも設定できる。これを、動的更新と呼ぶ。 |
|
これらの具体的な設定方法については、ひと目で分かる Microsoft Windows Server 2003 ネットワーク設定・管理術 p.62〜p.111 を参照。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ローカルセキュリティポリシー  、またはグループポリシー で、監査を設定すると、何時、どのユーザがログオンやフォルダアクセスなどに成功または失敗したかをログに残す事ができる。
MCA教科書 Security p.315〜p.324を参照。 |
|
ファイルやフォルダへのアクセス許可は、[フォルダオプション]→[表示]タブ→[詳細設定]→[簡易ファイルの共有]→しない に設定して、アクセス制限したいフォルダを右クリック→[プロパティ]→[セキュリティ]タブ。 |
|
ファイルやフォルダへのアクセス許可は、既定では親フォルダのアクセス許可が継承される。設定を変更すると、継承しないようにもできる。 |
|
ユーザにフォルダへのアクセス許可が無く、内部のファイルにアクセス許可があるときは、予め、ファイル名が分かっていればファイルを開くことができる。 |
|
ハードディスクにパーティションを割り当てていない領域があるときは、後からパーティションを割り当てることができる。
[マイコンピュータ]→右クリック→[管理]→[ディスクの管理]→未割り当てのパーティションで右クリック→[新しいパーティション] |
|
デュアルブートの設定は、Cドライブの boot.ini ファイルを書き換える。
[フォルダオプション]→[表示]タブ→[全てのファイルとフォルダを表示する]を選択して[保護されたオペレーティングシステムファイルを表示しない(推奨)]のチェックを外す→[OK]
boot.ini ファイルを右クリック→[プロパティ]→[全般]タブ→[読取専用]と[隠しファイル]のチェックを外す。
例えば、CドライブとDドライブにWinXP Pro の OS を入れた場合は、テキストエディタで boot.ini の[operating systems]セクションに次の1行を追加する。
multi(0)disc(0)rdisk(0)partition(2)\WINDOWS="WinXP Pro 2nd" /noexecute=option /fastdetect /sos
partition(2) は、2つ目のパーティションであることを、\WINDOWS はそのドライブの OS が入っているフォルダを指す。
2つ目のハードディスクの1つ目のパーティションの場合は、multi(0)disc(0)rdisk(1)partition(1)となる。
おそらく、/noexecute 〜 /sos のオプションは不要。
書き換え後は、[読取専用]と[隠しファイル]にチェックを入れて、フォルダオプションの設定を元に戻す。
[マイ コンピュータ]を右クリック→[プロパティ]→[詳細設定]タブ→[起動と回復]→[設定]→[編集]でも変更できる。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
システムの復元は、[スタート]→[すべてのプログラム]→[アクセサリ]→[システムツール]→[システムの復元]。 |
|
システムの復元の無効化は、[マイコンピュータ]→右クリック→[プロパティ]→[システムの復元]タブ。 |
|
データのバックアップや自動システム回復ウィザードは、[スタート]→[すべてのプログラム]→[アクセサリ]→[システムツール]→[バックアップ]。 |
|
起動ディスクは、マイクロソフトのWEBページからダウンロードする。 |
|
セーフモードでの起動は、コンピュータを再起動してメーカーのロゴなどが表示されたら、F8(または Ctrl)キーを押す。 |
|
回復コンソールのインストールは、コマンドプロンプトを起動。 cd d:\i386 などで WinXpProのセットアップCD-ROMのi386フォルダに移動して、winnt32 /cmdcons を実行する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
プリンタをネットワーク共有するときは、データをスプールするためのプリントサーバが必要である。
ローカル接続のプリンタは、PCをプリントサーバにする。プリンタをLANケーブル接続にしたいときは、サードパーティ製のプリントサーバを設置する。ネットワークインターフェースプリンタの場合は内蔵されているので必要ない。 |
|
ローカル接続のプリンタは、直接接続しているコンピュータをプリントサーバとして設定し、共有プリンタとすることで、他のコンピュータから印刷できる。(Xpのプリントサーバは、同時接続10台まで) |
|
Xpがプリントサーバの場合は、[コントロールパネル]→[パフォーマンスとメンテナンス]→[管理ツール]→[パフォーマンス]→[カウンタ]→右クリック→[カウンタの追加]→Print Queue を選択→Total Jobs Printed を選択。[カウンタの追加]→Print Queue を選択→Total Pages Printed を選択でプリントサーバの印刷ページ数が確認できる。 |
|
コンピュータがプリントサーバの場合は、プリントサーバに印刷内容がスプールされるのでハードディスクには、ある程度の空き容量が必要。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ファイルやフォルダのプロパティ→[全般]タブ→[詳細設定]→[内容を暗号化]で暗号化できる。 |
|
OSの再インストールやユーザアカウントのパスワード変更をすると、暗号化したファイルなどの暗号が解除できなくなる。→回復エージェント |
|
ドメイン環境では、既定では、ドメインの管理者が回復エージェントになっているので、暗号を解除できる。必ずしも誰も暗号解除ができないわけではない。 |
|
フロッピーディスクやFAT32(Win95系のファイルシステム)に暗号化ファイルを移すと暗号が解除される(ファイル、フォルダの暗号化はNTFSの機能であるため)。 |
 |
ディスククォータを使用すると、1つのハードディスクを複数のユーザが使用するときに、各ユーザのハードディスク使用量を制限できる。(ディスククォータ) |
|
ローカルディスク(C:)のプロパティ→[クォータ]タブで設定する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
共有フォルダと共有プリンタは、NetBIOSのサービス。
ただし、Win2000以降のPC同士による共有フォルダはNetBIOSのサービスではないらしい。
NetBeuiはプロトコルだが、NetBIOSはプロトコルではない。
[ネットワーク接続]→[プロパティ]→[ネットワークコンポーネントの選択]で、NetBeuiをチェックして、TCP/IPを外しても通信できる。
両方を外してしまうと、通信ができなくなる。
プロトコルはTCP/IPだけで良い。
NetBeuiは、IPアドレスを使わないので、名前解決は行っていない。 |
|
NetBIOS + NetBeuiは、同一サブネット内のみ使用可能だが、NetBIOS + TCP/IPは、名前解決にLMHOSTSやWINSを使うことで、他のサブネットの機器ともフォルダやプリンタを共有できる。
|
|
NetBIOS over TCP/IP(NBT)を使用不可にすると、フォルダやプリンタの共有が行えなくなるが、セキュリティは向上する。
共有プリンタについては、プリンタのIPアドレスを指定する方法にする。
共有フォルダについては、Win2003のファイルサーバ機能を使う。
そのため、ドメイン環境では、NBTを無効化するのが望ましい。
ドメイン環境での名前解決にはDNSを使用する。
|
|
WindowsXPの共有フォルダとローカル接続の共有プリンタの同時接続数は基本的に10台まで。Windows Server 2003 は、制限なし。 |
|
マイコンピュータやマイネットワークのアドレス(D)欄で、UNC名を入力すると、他のコンピュータの共有フォルダにアクセスできる。
例:コンピュータ名がnote01のとき、\\note01と入力する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ipconfig |
TCP/IPの設定を表示するなど。
例1:ipconfig → IPアドレス、サブネットマスクなどを表示
例2:ipconfig /all → MACアドレスなども表示
例3:ipconfig /dnsflush → DNSのキャッシュを消去する
例4:ipconfig /release → IPアドレスを解放
例5:ipconfig /renew → IPアドレスを再取得
|
|
ping |
他の機器と通信できるか確認する。
エコー要求すると、エコー応答が返って来る
通信対象の機器は、セキュリティソフトでICMPが有効に設定されている必要がある。
サービスパック適用前の場合:[マイ ネットワーク]→右クリック→[プロパティ]→[詳細設定]タブ→[ファイヤウォール]→[設定]→[詳細設定]ダイアログ→[ICMP]タブ→[エコー要求の着信を許可する]
サービスパック適用後の場合:[ファイヤフォール]→[詳細設定]タブ→[ネットワーク接続の設定]→[設定]→[ICMP]タブ→[ファイヤウォールの例外を許可しない]のチェックを外す
例1:ping 192.168.0.1
例2:ping note01
|
|
nslookup |
DNSによる名前解決の確認。
例 :nslookup
note01.dom.local
ls -t a dom.local
exit
|
|
tracert |
リモートホストに、行くまでに通ったルータを表示する。
例 :tracert -d 192.168.0.1
|
|
route print |
ルーティングテーブルを表示する。
|
|
route add |
ルーティングテーブルに、ルートを追加する。
例 :サブネット192.168.1.0に送信するときは、ルータの192.168.0.100を通るの場合
route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.100
-p オプションを付けるとOSを再起動しても残る。
|
|
route delete |
ルーティングテーブルから、ルートを削除する。
例 :route delete 192.168.1.0
|
|
netstat |
ポートの利用状況を表示。
例:netstat -n → 全てポート番号で表示
|
|
nbtstat |
NBTの情報表示。
例1:nbtstat -c → NetBIOS名のキャッシュを表示
例2:nbtstat -R → NetBIOS名のキャッシュを消去・再読込み
|
|
net config server |
サーバの情報表示。
例1:net config server
例2:net config server /hidden:no → 隠しサーバ解除
|
|
browstat |
ブラウズ・リスト。
例1:browstat status → マスターブラウザ名を表示
例2:browstat view <トランスポート名> \\<マスターブラウザ名> → ブラウズ・リストを表示 |
|
|
|
|
|
|
|
|
|
|
|
|
|
サブネット内の機器は、ハブでつなぎ、サブネット間は、ルータでつなぐ。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
ネットワークインターフェースプリンタは1つ、PCは通常は1つ、ルータは接続されているサブネットの数だけIPアドレスを持っている。
|
|
IPアドレスは、インターネット用のグローバルIPアドレスとLAN用のローカルIPアドレスがある。ローカルIPアドレスは、[10.0.0.0〜10.255.255.255],[172.16.0.0〜172.31.255.255],[192.168.0.0〜192.168.255.255]の範囲で自由に使用できる。ただし、同一LAN内でのIPアドレスの重複は不可である。
|
|
 IPアドレスは、ネットワーク部とホスト部に分けることができ、サブネットマスクは、その境界を示すためにある。
IPアドレスとサブネットマスクをそれぞれ2進数にして、論理積を求めると、ネットワークアドレスを算出できる。 例
|
|
ホスト部が0のIPアドレスは、ネットワークアドレスと呼び、その機器が属するサブネットのアドレスを指す。ホスト部が、2進数で全て1となるIPアドレスは、ブロードキャストアドレスと呼ぶ。
サブネットマスクが、255.255.255.0 のときは、192.168.×.0 がネットワークアドレス、192.168.×.255 がブロードキャストアドレスとなり、手動でコンピュータなどのIPアドレスを設定するときは、192.168.×.1 〜 192.168.×.254 までの値を使用する必要がある。
ブロードキャストアドレスに送信すると、サブネット内の全ての機器に送信される。 |
|
デフォルトゲートウェイは、サブネット内に目的のIPアドレスが存在しなかったときに送信される場所。 → ルータ |
|
コンピュータのIPアドレスの確認は、コマンドプロンプトで ipconfig と入力して[Enter]キーを押す |
|
2進数の求め方・・・[スタート]→[プログラム]→[アクセサリ]→[電卓]→[表示]→[関数電卓]を選択→[10進数]を選択→数値を入力→[2進数]を選択 |
|
|
|
|
|
|
|
|
|
|
|
|
|
例えば、IPアドレスが、192.168.10.100 でサブネットマスクが、255.255.255.0 のとき、これをCIDR表記すると、192.168.10.100/24 となる。
/24 は、255.255.255.0 を2進数に変換すると、1 が24個並ぶためである。
IPアドレス : 11000000.10101000.00001010.01100100
サブネットマスク: AND) 11111111.11111111.11111111.00000000
ネットワークアドレス: 11000000.10101000.00001010.00000000
|
|
IPアドレスが、192.168.10.100 でサブネットマスクが、255.255.255.224 のときは、192.168.10.100/27 となる。
IPアドレス : 11000000.10101000.00001010.01100100
サブネットマスク: AND) 11111111.11111111.11111111.11100000
ネットワークアドレス: 11000000.10101000.00001010.01100000
|
|
|
|
|
|
|
|
|
|
|
|
|
ルータは、2種類に大別できる。
アクセスルータとローカルルータである。
アクセスルータはインターネットとLANの中継に使われ、NAT(IPマスカレード)やファイヤウォール機能がある。
ローカルルータには、そのような機能は無く、以下のようなものである。
物理的に同じLAN上にあっても、異なるサブネットのコンピュータとは通信できない。
しかし、間にルータを挟むと通信できるようになる。
上図の場合は、各コンピュータは1つのIPアドレスを持ち、ルータは2つのIPアドレスを持っている。
ルータのIPアドレスが、各サブネットのデフォルトゲートウェイになる。
例えば、上図のルータのIPアドレスが192.168.0.100と192.168.1.100である場合、IPアドレスが192.168.0.10のPCのデフォルトゲートウェイは、192.168.0.100になる。
ルータや各コンピュータは、通信経路を示すルーティングテーブルを持っている。
サブネット内に、複数のルータがあるときは、テーブルに経路を追加する必要のある場合がある。
DHCPなどの機能があるルータもある。
|
|
|
|
|
|
|
|
|
|
|
|
 |  |
| 図1 | 図2 |
|
図1のようなサブネットA,B,Cがある。
サブネットBのように1つのサブネットに複数のルータがあるようなLANの構築はあまりしない方が良いらしい。
図2のようにルータ同士を接続するようにすれば避けられる。
サブネット内の全てのPCに以下で述べる静的ルーティングを設定するのが手間だからかもしれない。
詳しくはWindows Server 2003システム構築&運用の手引き p.23〜を参照。
|
|
図1のサブネットBにはルータが2つあるので、PCのデフォルトゲートウェイが2つになってしまうが、デフォルトゲートウェイは1つしか指定できない。
この問題を解消するためにルーティングテーブルがある。
サブネットAのノードと通信したいときはルータ1のIPアドレスを、サブネットCのノードと通信したいときはルータ2のIPアドレスを通るようにサブネットBのPCのルーティングテーブルに記述する。
2つともルーティングテーブルに書き込んだ場合はデフォルトゲートウェイは不要となる。または、デフォルトゲートウェイに指定できなかったアドレスだけをテーブルに追加しても良い。
図2のようにルータに他のルータが接続されているときは、そのルータのルーティングテーブルにルーティング情報を書き込む必要がある。
ルータには他のルータに接続されているサブネットが分からないためだ。
このようにルーティングテーブルに手動で記述するルーティングを静的ルーティングと呼ぶ。他には、RIPやOSPFなどを使って自動的にテーブルを作成する動的ルーティングがある。ただし、動的ルーティングはルータにのみ設定可能。
|
|
ルーティングテーブルの表示や経路の追加・削除は、コマンドプロンプトで該当するコマンドを実行する。
|
|
経路が複数ある場合の優先順位は、以下の1.2.3.が順に実行される。
- サブネットが長い経路(ロンゲストマッチ)
- 直接接続されているサブネット、静的(static)経路、EBGP、OSPF、ISIS、RIP、IBGP の順
- 2.の各経路での優先順位
TCP/IP 500の技 p.57を参照
図解でわかるLinuxサーバ構築・設定のすべて p.25を参照
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 図のように複数のハブをLANケーブル(ストレート)で接続することで、LANケーブルの接続口を増やすことができる。
これをカスケード接続と呼ぶ。
接続口の多い一台で済ませるよりもパフォーマンスは落ちると思われる。
アップリンクポートと通常のポートを接続する。
|
|
ハブには、リピータハブとスイッチングハブの2種類がある。
|
|
ブリッジは、2台のリピータハブの間に入れてコリジョンを抑える機器である。
スイッチングハブは、ブリッジの機能とリピータハブの機能を併せ持ったもので、コリジョンが更に抑えられ、処理も高速になった。
そのため、リピータハブとブリッジが必要なくなった。
|
|
スイッチ
|
|
|
|
|
|
|
|
|
|
|
|
|
|
スイッチは、スイッチングハブが進化したものである。
スイッチングハブは、L2スイッチに該当する。
単にスイッチと呼ぶ場合は、スイッチングハブであることが多い。
|
|
L3スイッチは、L2スイッチにルータの機能を付加したもの。
ルータよりも高速。
NAT機能が無いのでローカルルータとして使う。
|
|
L4、L7スイッチは、Webサーバの負荷分散などで使われる。
|
|
L2、L3、L4、L7は、OSI参照モデルの階層のこと。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
メールやFTP、通信ゲームなど、通信を必要とするソフトには、サーバ側ではそれぞれについて、プログラマ、あるいはサーバ運営者によって固定のポート番号が設定されている。
クライアントでサーバのIPアドレスとポート番号を設定すると通信できるようになる。(Webブラウザはデフォルトで80番のポートを使うので基本的にIPアドレスの指定だけで良い。WebブラウザはWeb上のDNSに問い合わせて名前解決を行うのでIPアドレスを指定する代わりにhttp://www.microsoft.comなどのURLを指定することが多い。http://www.microsoft.com:80としてポート番号を明示的に指定することも可能。ちなみに、上のURLの内、www.microsoft.com がウェブサーバのFQDNである。wwwがホスト名で、それ以降がドメイン名になる。www は、実は本来のホスト名の別名(エイリアス)で、ウェブサーバに良く使われる。本来のホスト名はセキュリティの面から公開しないのが一般的である。例えば、ウェブサーバの本来のホスト名が server05 だった場合、他のサーバのホスト名は server01 などだろうと予測がつくためらしい。)
|
|
Webブラウザは80番のポートを使うなど、いくつかのよく使うソフトは決まったポート番号を使うことが多い。
| ウェルノウンポート | 0 〜 1023 |
| 登録済みポート | 1024 〜 49151 |
| 未登録ポート | 49152 〜 65535 |
通信ゲームなどは、他のソフトが使って無さそうなポートを使う。
|
|
ポートにはTCPとUDPの2種類がある。
TCPは、通信速度は遅いがデータの正確さは保障される。
UDPは、速いがデータの正確さは保障されない。
UDPは、たまに途切れることがあっても問題の無い音声やゲームなどの通信、または小さいデータの通信に使われる。
データはパケットに分割されて送信される。
TCPは、各パケットのヘッダに情報を書き込むことで、パケットの消失や順番の入れ替わりを検出し修正する。
プログラムでパケットの消失と入れ替わりの対策がしてある場合は、UDPでも正確なデータの通信となる。
|
|
通信を必要とするソフトが使えないときは、セキュリティソフトやルータなどで必要なポートが使えなく設定されていることがある(パケットフィルタ)。
|
|
ハブやルータなどのポートはLANケーブルの差込口のことなので、これとは別物である。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
各NICには、固有のアドレスが付けられている。これをMACアドレスと呼ぶ。
MACアドレスは物理アドレス、ハードウェアアドレスとも呼ばれる。
|
|
MACアドレスは覚えるには長過ぎるため、実際の通信でユーザが直接使用することはあまりなく、代わりに IPアドレスを使用する
IPアドレスをMACアドレスに変換するプロトコルをARPと呼ぶ。
ARPはTCP/IPモデルのネットワーク層のプロトコルである。
実際の操作でARPを意識する必要は無い。
|
|
コマンドプロンプトで、ipconfig /all と入力して[Enter]キーを押すとMACアドレスを表示できる。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
当サイトは高度IT技術者養成講座(神戸商工会議所)の受講内容を元にしていますが、内容を大幅に削ったり、関係の無いものを少し付け足したりしています。
|
|
Windows Server 2003 や Linuxサーバ の構築・運用方法については、こちらのホームページがお薦めです。
ネットワーク技術動向研究会(FMMC)
|
|
Linuxサーバーの構築・運用方法は、こちらのホームページも分かりやすいです。
Linux活用日記
Fedora Core による自宅サーバーの構築
|
|
以下の本を参考にしました。
ひと目で分かる Microsoft Windows Server 2003 ネットワーク設定・管理術 日経BPソフトプレス
ひと目で分かる Microsoft Active Directory 日経BPソフトプレス
Windows ネットワーク・トラブル対策大全 日経BP社
Windows Server 2003システム構築&運用の手引き
TCP/IP 500の技
超入門ネットワーク (株)アスキー
TCP/IP ソケットプログラミング C言語編 (株)オーム社
図解でわかるLinuxサーバ構築・設定のすべて (株)日本実業出版社
MCA教科書 Security (株)翔泳社
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OSをインストールするときは、サービスパックを適用してから、ネットワークに接続する。
MCA教科書 Security p.38〜p.39を参照。 |
|
WSUSサーバを使用すると、LAN内で全てのクライアントに一括して、Windows Update ができる。
設定方法は、MCA教科書 Security p.131〜p.146 を参照。 |
|
1台ずつセキュリティを設定するときはローカルセキュリティポリシー を、ドメイン環境で一括して同じセキュリティを設定したいときはグループポリシー を設定する。 |
|
通信データの暗号化は、IPSecやSSLなどを使う。
ただし、SSLはWebサイトを使った通信などに限られる。
IPSecは、VPNなどで使用される。 |
|
メールやFTPの通信は暗号化されない。
VECTORで暗号通信機能のついたソフトを探した方が良い。
それ以外の暗号通信方法は以下の書籍を参照。
MCA教科書 Security p.213〜p.223
TCP/IP 500の技 p.96、p.97 |
|
不要なサービスを停止する。
MCA教科書 Security p.57〜p.67を参照。 |
|
インターネットに接続するところに、ファイヤウォール(パケットフィルタ、IPマスカレード、専用ソフトなど)を設置する。 |
|
パケットキャプチャツール Ethereal の使い方は、以下の書籍を参照。
TCP/IP 500の技 p.46〜p.51
Windows ネットワーク・トラブル対策大全 p.133〜p.150 |
|
ファイルのアクセス許可、暗号化は、MCA教科書 Security p.249〜p.268を参照。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
OUとドメインには、グループポリシーを設定する。
グローバル、ローカルドメイン、ユニバーサルの3つのグループは、ユーザにアクセス許可などを設定したいときに使用する。
既存のusersグループやadministratorsグループなどもグローバルやローカルドメイングループである。 |
|
グループポリシーは、コントロールパネルの非表示、ログオンに?回失敗したらロックするなどのOSの各種設定のことである。
OUは、ドメインの中の一部のユーザやコンピュータだけに、グループポリシーを適用したいときに使用する。
グループポリシーの設定は、ひと目で分かる Microsoft Active Directory p.137〜p.180 を参照。 |
|
プログラムの操作対象をオブジェクト、オブジェクトの入れ物をコンテナと呼ぶと、例えば、ディレクトリ構造の場合はファイルがオブジェクト、フォルダがコンテナになる。
OU → グループポリシーで使うコンテナ。
グループ → アクセス許可で使うコンテナ。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
SSLは、HTTPやFTPなどの通信データを暗号化する技術である。
SSLの仕組みは、PKIである。 |
|
SSLは、HTTPS://〜 で始まるURLのサイトに利用者に接続してもらう。
|
|
SSLを構築するには、Webサーバ(Apache、IISなど)でデジタル証明書を作成しなくてはならない。
SSLを商用サイトで使いたいときは、ベリサインなどのCA(認証機関)のデジタル署名が入った証明書を使用する。
個人や社内利用限定の場合は、CAの代わりに自己署名で良い。 |
|
デジタル証明書の作成方法は、以下の書籍を参照。
【Windows Server 2003 + IIS の場合】
MCA教科書 Security p.197 〜 p.198(商用のみ。自己署名の場合は証明書サービスを使う。)
【Linux + Apache の場合】
図解でわかるLinuxサーバ構築・設定のすべて p.142 〜 p.150
TCP/IP 500の技 p.218 |
|
|
|
|
|
|
|
|
|
|
|
|
|
暗号通信には、共通鍵暗号方式と公開鍵暗号方式がある。
暗号化と復号には、鍵(キー)を使う。
鍵は、英数字の暗証番号みたいなものである。
ただし、人間が覚える必要はなく、コンピュータにインストールされてあれば良い。
共通鍵暗号方式は、通信を行う双方が同じ番号の鍵を使用するので、鍵を第三者に知られるわけにはいかない。
公開鍵暗号方式は、双方が異なる番号の鍵を使用するので、暗号化する側と復号する側が常に固定で入れ替わらない場合は、復号側の鍵さえ第三者に知られなければ、もう片方の暗号化鍵は誰に知られてもかまわない。
なぜならば、この組み合わせの鍵でなくては、復号できないからである。(第三者に知られた場合は、その第三者とも暗号通信ができるようになるだけである)
そのため、一組の復号鍵と暗号化鍵で、一対多の暗号通信が可能となる(同一番号の暗号化鍵は何人にでも渡せる)。
公開鍵暗号方式は、一組の秘密鍵と公開鍵を作成し、公開鍵を相手に渡す。
秘密鍵と公開鍵は、どちらでも暗号化と復号ができるが、秘密鍵で暗号化したものは、それと対となる公開鍵を持つすべてのコンピュータで復号できてしまう。
そのため、公開鍵暗号方式は、基本的に公開鍵で暗号化し、秘密鍵で復号する(つまり、通信は双方向でも暗号化は一方通行になる)。
公開鍵暗号方式で双方向暗号通信をしたいときは、双方で秘密鍵と公開鍵を作成し、互いに公開鍵を交換する必要がある。
例は、MCA教科書 Security p.196を参照。
共通鍵暗号方式は、一つの鍵で双方向暗号通信を行えるが、通信相手ごとに別の鍵を用意する必要がある。
|
|
公開鍵暗号方式は、通信相手に渡した公開鍵でデータを暗号化し、その対となる自分用の秘密鍵で復号する。
しかし、最初に公開鍵を相手に送るとき、通信途中で第三者に改ざんされる恐れがある。改ざんを検知する手段としてデジタル署名がある。
公開鍵暗号方式とデジタル署名を組み合わせると、より安全になる。 |
|
デジタル証明書には、送信者の公開鍵と認証局(CA)のデジタル署名が入っている。
- 認証局のデジタル署名は、送信者の公開鍵をハッシュ関数で加工したものを認証局の秘密鍵で暗号化して作成する。
- デジタル証明書(デジタル署名と送信者の公開鍵)を相手に送信する。
- 受信者は、送信者の公開鍵をハッシュ関数で加工したものを、デジタル署名を認証局の公開鍵で復号したものと比較して、同一であれば送信者の公開鍵が改ざんされていないことを確認できる。
デジタル証明書は、OSやWebブラウザなどによって自動的にインストールされる。
IEの[ツール]→[オプション]→[コンテンツ]→[証明書]→[中間証明機関]タブなどで、PCにインストール済みのデジタル証明書とその中身(ハッシュアルゴリズムや公開鍵の内容など)を確認できる。
詳しくは、こちら。
|
|
PKIは、最初にデジタル証明書を送信して、その後、公開鍵暗号方式でやりとりする仕組みのこと。SSL、S/MIME、IPSec、スマートカードなど。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
とりあえず、コマンドプロンプトで、ipconfig /all と入力して[Enter]キーを押し、IPアドレスなどを確認する。 |
|
通信できないときは、LANケーブルの接触不良であることが多い。確認はping(ピン)を実行する。場合により、ケーブルを換える。
インクジェットプリンタや内蔵CD-ROMドライブの故障も接触不良である場合が多い。内部のケーブル類を差し込み直すと動作することがある。ただし、無理に抜き差ししないこと。ほとんどの場合、先にケーブル端子の止め具をずらして外す必要がある。 |
|
通信できないときは、[マイネットワーク]→ 右クリック →[プロパティ]→[ローカルエリア接続]を右クリックして[修復]を実行する。 |
|
通信できないときは、再起動する。 |
|
ルータは、機器内部のメモリに設定が保存される。
リセットボタンはランプが点滅するまで20秒ほど押し続けなくてはならない。
リセットボタンは、細い棒でしか押すことができない場合が多い。
ファームウェア(周辺機器が内蔵するソフトウェア)はメーカーのWEBページからダウンロードしてアップグレードする。 |
|
パソコンの起動時に、ビープ音が断続的に鳴って動作しないときは、メインメモリを一度外して付け直す。
または、キーボードが壊れている場合もある。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
デバイスドライバは、接続するハードウェアをOSが使用するためのソフトウェア。
正常に動作していなければ、そのハードウェアは動作しない。
デバイスドライバの更新、停止、正常動作しているかの確認は、[マイコンピュータ]を右クリック→[プロパティ]→[ハードウェア]タブ→[デバイスマネージャ]で行う。
ハードウェアが接続されていなくても、ドライバは正常動作する。 |
|
プリンタドライバはプリンタ用のデバイスドライバである。
[スタート]→[コントロールパネル]→[プリンタとFAX] はプリンタの設定を保存するところで、そのプリンタで使用したいドライバを選択できる。ただし、選択できるだけで、正常動作しているかどうかの確認、修復はデバイスマネージャで行う。
同じプリンタでも、縦書き用や横書き用など複数の設定を保存できる。
トレイごとに用紙サイズを設定したり、USBケーブル用、LANケーブル用といった設定も出来る。
アプリごとの設定を作っておけば、一々、設定を変更しなくて済む。 |
|
メールのヘッダに送信元PCのIPアドレスが表示されるので、いたずらメールをするとバレる恐れがある。
メールではなくても、IPで動作するサーバは、クライアントPCのIPアドレスを取得できる。 |
|
コンソール(MS-DOSプロンプト)で日本語入力を有効にするには、[Alt] + [半角/全角] を押す。 |
|
MS-DOS 専用のソフトの中には、コンソールで全画面表示([Alt] + [Enter])しないと動かないものがある。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
システム構築前に、必要な電源容量とコンセントの数を確保する。
足りない場合は、専門業者に工事を依頼する。
電源容量の計算は、単純に各機器の電力(W)を足し合わせる。
VA(ボルトアンペア)への変換式: VA = W / 0.6
TCP/IP 500の技 p.23を参照
機器はネットワーク構築後も増えるので、それも考慮する。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
データベースを1つのテーブルで構成するとファイルサイズが大きくなりすぎる。そのため、1つのデータベースを複数のテーブルで構成するのがリレーショナル データベース(RDB)である。
通常、データベースと言うと、RDBを指す場合が多い。
RDBソフトウェアには、Oracle、Microsoft SQL Server、IBM DB2、Borland dBASE、PostgreSQL、MySQL、Microsoft Access などがある。
プログラムでRDBを使いたいときは、SQLを使う。
SQLステートメントは、DBソフトにより多少の違いがあるが、様々なプログラム言語で共通して使える。
おそらく、最も簡単にデータベース プログラミングをマスターできる言語は、PHP である。
 「SQLポケットリファレンス」 朝井淳著 技術評論社
Visual Basic 6による入門データベースプログラミング 谷尻かおり著 技術評論社
超図解 mini Access 基本操作&テクニック エクスメディア
【テーブルが1つの場合】
売上テーブル
| 売上ID | 顧客 | 住所 | 電話番号 | 商品名 | 単価 | 個数 | 売上高 |
| 001 | Aさん | 北海道 | - | 鉛筆 | \100 | 10 | \1,000 |
| 002 | Aさん | 北海道 | - | 消しゴム | \150 | 3 | \450 |
| 003 | Cさん | 広島県 | - | 鉛筆 | \100 | 2 | \200 |
【テーブルを3つに分割した場合】
売上テーブル
| 売上ID | 顧客ID | 商品ID | 個数 | 売上高 |
| 001 | 001 | 001 | 10 | \1,000 |
| 002 | 001 | 002 | 3 | \450 |
| 003 | 003 | 001 | 2 | \200 |
顧客テーブル
| 顧客ID | 氏名 | 住所 | 電話番号 |
| 001 | Aさん | 北海道 | - |
| 002 | Bさん | 東京都 | - |
| 003 | Cさん | 広島県 | - |
商品テーブル
| 商品ID | 商品名 | 単価 |
| 001 | 鉛筆 | \100 |
| 002 | 消しゴム | \150 |
| 003 | ノート | \120 |
分割した3つのテーブルの内、下の2つは売上テーブルとIDによって関連付けられている。
こうすると、データ数が多くなればなるほど、テーブルが1つのデータベースよりもファイルサイズが小さくて済み、入力のミスや手間も減らせる。
なぜならば、例えば8文字ならば、8バイトの容量が必要だが、IDを使うならば、LONG INT型でも4バイトで済むし、ミスや手間も減らせられるのは、直接入力ではなく、項目選択になるからである。
テーブルの背景色が黄色の部分の各項目をフィールド、白色の部分の横方向の各行をレコードと呼ぶ。1レコードが1件分のデータである。
売上テーブルの売上ID、顧客テーブルの顧客ID、商品テーブルの商品IDは、それぞれ、各テーブルの各レコードを識別するための番号なので、各テーブル内では同一番号があってはならない。手入力にすると間違える恐れがあるので、通常は新しいレコードを追加する度にプログラムが勝手に番号を振るようになっている。このようなフィールドを主キー(プライマリーキー)と呼ぶ。
|
|
|
|
|
|
|
|
|
|
|
|
|
LANケーブル
UTPケーブルを使う。
ストレートとクロスの2種類があり、ハブと機器
(PC、ルータ、プリンタなど)はストレートケーブルで、
PCとPC、ルータとルータなどハブを介さない場合は
クロスケーブルで接続する。
データ伝送量の違いにより、10BASE-Tや100BASE-TXなどがある。
LDAP
ユーザ認証データベース
NIC
ネットワーク インターフェース カード。
LANカードのこと。
LANの(接続)口が付いている。
RADIUS
RADIUSサーバは、リモートアクセス用の認証サーバ。
Windows Server 2003 では、IAS のこと。
ひと目で分かる Microsoft Windows Server 2003
ネットワーク設定・管理術 p.204〜p.209を参照。
Proxy
プロキシ サーバ。
Microsoft ISA Server など。
クライアント機側でもIPアドレスとポートの設定が必要。
以下のような機能がある。
1.ローカルIPアドレスとグローバルIPアドレスの
相互変換(IPマスカレード機能)。
2.Webページなどをキャッシュする
3.WebページなどのURL履歴を残す
(いつ、どのPCで、どのページを見たかの履歴)
4.ファイヤウォール機能。
UPS
無停電電源装置。サーバ機に設置する。
停電になっても10分間ほど電力を供給して、
PCの終了作業を行えるようにする。
停電時に自動的に終了するように設定できる。
VPN
VPNはWANとして専用線を引く代わりにインターネットを
利用する方法である。
WANサービスにはいろいろな種類がある。
→ 超入門ネットワーク p.134〜p.135を参照。
VPNの設定方法は、以下の書籍を参照。
ひと目で分かる Microsoft Windows Server 2003
ネットワーク設定・管理術 p.139〜p.206
超入門ネットワーク p.192〜p.199
Windows Server 2003システム構築&運用の手引き p.106〜p.120
アダプタ
ハードウェアのこと(デバイス)。
ビデオボードなど。
一意の
ユニーク(unique)な。
他と被らない。
クライアント
サーバに処理要求を送信するソフトウェアのこと。
または、そのソフトが動作するコンピュータ。
コンピュータの場合は、クライアントマシンと
呼んだ方が分かりやすい。
Webブラウザ、メーラ、FTPクライアント、PCなど。
サーバ
クライアントから受信したデータを処理するソフトウェアのこと。
または、そのソフトが動作するコンピュータ。
コンピュータの場合は、サーバマシンと呼んだ方が分かりやすい。
Web(WWW,HTTP)サーバ、メールサーバ、FTPサーバなど。
スレッド
マルチタスクを実現する手法の1つ。
プロセスと異なり、アドレス空間を親と共有するので処理が軽い。
1つのプロセスに1つ以上、生成される。
デジタル署名
データの改ざんを検出する手法。
- 送信者は、キーペアを作成し、公開鍵を相手に渡す。
- 送信者は、データのハッシュ値を求め、それを秘密鍵で暗号化する。
これをデジタル署名と呼ぶ。データとデジタル署名を相手に送信する。
- 受信者は、デジタル署名を公開鍵で復号し、それがデータのハッシュ値と
同じであれば、改ざんされていないことが分かる。
PKIでは、デジタル証明書を送信するときに、このやりとりを少し応用したものが使われる。
デバイス
ハードウェアのこと。
Webカメラ、MIDI音源など。
ドメインコントローラ
Win2003の場合は、Active Directoryのこと。
つまり、LDAPサーバのこと。
ネットワークインターフェイスプリンタ
NICが付いているプリンタ。
プリントサーバが内蔵されている。設定
ノード
LANやWAN上に接続されている機器(PC、ハブ、プリンタなど)。
リソース。
パケットフィルタリング
ファイヤウォールの一種で、指定したポート番号の通信を遮断する。
プロキシやアクセスルータのファイヤウォール機能は、これを指す場合が多い。
ハッシュ
データをハッシュ関数で変換したデータをハッシュ値と呼ぶ。
ハッシュ関数には、MD5 や SHA-1 などの種類がある。
ハッシュ値から元データを復元できないことを利用して、
デジタル署名でデータ改ざんの検出に使われる。
暗号化技術ではないので、内容を第三者に見られるのを防ぐことはできない。
また改ざんされるのを防ぐこともできない。
バッファ
プログラムにおいて、データを一時的に保持しておくために
必要サイズを確保した記憶領域。
プログラム終了と共に基本的には解放する。
プログラムのバグにより、終了後も残ったバッファは、メモリリークと呼ばれる。
JAVAやC++は、ガーベジコレクションという仕組みによって、
バグがあってもメモリリークにならないらしい。
ファイヤウォール
LANとWAN(インターネット)の間に設置して、
外部からの不正アクセスやウィルスの進入を防ぐ機能。
パケットフィルタリングなど。
プライマリ DNS サフィックス
DNSサフィックスは、名前解決に失敗したときに
ホスト名の後ろに付け加えられるドメイン名のこと。
そのホストが属するドメイン名を設定する。
プライマリ DNS サフィックスは、
[マイコンピュータ]→右クリック→[プロパティ]→
[コンピュータ名]タブ→[変更]→[詳細]
で設定する。
プロセス
マルチタスクを実現する手法の1つ。
PID(プロセスID)を持ち、単独動作するプログラムのこと。
1つのソフトウェアに1つ以上、生成される。
現在起動中のプロセスは、タスクマネージャ([Ctrl]+[Alt]+[Del])
で確認できる。
ホスト
コンピュータのこと。
→ リモートホスト
→ ローカルホスト
マルチタスク
複数の処理(タスク)を並行して行えるようにするプログラム手法。
メールエクスチェンジャ
メールの中継サーバのこと。
外部からのメールを社内の各部署に設置された
社内メールサーバに振り分けたりする。
SMTP機能だけを持つ。
Microsoft Exchenge Server など。
図解でわかるLinuxサーバ構築・設定のすべて p.235〜p.239を参照
リモートホスト
LANやWAN上の現在操作しているのとは別のPCのこと
ローカルホスト
現在操作しているPCのこと。
リモートホストに対する語。
ドメインにログオンすることに対して、
現在操作中のPCにログオンする場合にも使う。
|
|
|
|
|
|
