108bones Technical Notes
108bonesが日々勉強している技術系のメモ。 初心者に優しいサイトを目指します。
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ポート一覧
自分用メモ

■Windows サーバー システムのサービス概要およびネットワーク ポート要件
http://support.microsoft.com/default.aspx?scid=kb;ja;832017
スポンサーサイト
DNSゾーン転送を禁止する
DNS セキュリティの一貫としてゾーン転送の禁止があります。ゾーン転送とは、その DNS
保持している名前解決情報を セカンダリ DNS にコピーできる機能ですが、Windows Server
のデフォルト設定では、どのマシンにでもコピーできるようになっています。

ゾーン転送を考慮なく許可していると、外部に知られたくないネットワーク情報を見られる危険が
あるので注意してください。ではまず実際にゾーン転送を制限していないマシンの情報を覗いて
見ましょう。

今回は DNS としてローカルに設置したものを使用します。またここには TestDomain.com と
いうゾーンが作成されています。

■ゾーン情報を取得する
1. コマンドプロンプトを起動します。
2. 以下のコマンドを入力して、ローカルのネームサーバに接続します。
  nslookup - 127.0.0.1
3. 続いて以下のコマンドを入力して TestDomein.com のゾーン情報を取得します。
  ls -d TestDomain.com
結果は以下の通りです。
dns_sec_1.gif


制限をかけていない場合は、どこからでもゾーン情報を取得できます。

■ゾーン転送を制限する
次に特定のコンピュータにだけゾーン情報を転送するように設定します。
4. 「管理ツール」 - 「DNS」 をクリックします。
5. ゾーン転送を制御したいゾーンで右クリックして、 「プロパティ」 をクリックします。
dns_sec_2.gif

6. 「ゾーンの転送」 タブをクリックします。
dns_sec_3.gif

7. オプションを選択します。
・ゾーン転送を一切しない場合
 「ゾーン転送を許可するサーバー」 チェックをオフにします。
セカンダリ DNS サーバだけに転送する場合
 「ネーム サーバー タブの一覧にあるサーバーのみ」 にチェックを入れます。また 「ネーム
 サーバー」 タブで セカンダリ DNS を登録してください。
・特定のサーバにだけ転送する場合
 「次のサーバーのみ」 にチェックを入れて、IP アドレスを指定してください。
今回は「ゾーン転送を許可するサーバー」 チェックをオフにしました。

■再度ゾーン情報を取得する
手順 1 ~ 3 を実行すると今度は以下の結果になります。
dns_sec_4.gif

同時に以下のようなメッセージも出ます。
The DNS server refused to transfer the zone TestDomain.com to your computer.
If this is incorrect, check the zone transfer security settings for TestDomain.com
on the DNS server at IP address 127.0.0.1.


以上のように不要にゾーン情報を公開しないことでセキュリティが1つあがります。
ゾーンによって公開したくないものとそうでないものを分けて、設定してくださいね。

管理者以外のユーザでターミナル接続を許可する
Windows Server 2003 で管理者以外のユーザにもリモート接続権限を与えたい場合は
以下の手順で設定を行います。

1. 「マイコンピュータ」 を右クリックして、 「プロパティ」 をクリックします。
2. 「リモート」 タブをクリックします。
3. 「このコンピュータにリモートでユーザが接続することを許可する」 にチェックをします。
rds_u_1.gif

4. 「リモートユーザの選択」 をクリックします。
5. 「追加」 をクリックします。
rds_u_2.gif

6. ユーザを選択して 「OK」 をクリックします。
rds_u_3.gif

7. 「OK」 をクリックします。
rds_u_4.gif

8. 「OK」 をクリックします。

以上で管理者以外のユーザもリモートデスクトップ経由でサーバにアクセスすることが出来ます。
特定の作業だけさせたいユーザで、管理者権限を与えたくない場合は便利ですね。

パフォーマンスログのローテーション
パフォーマンスログの採取を行う際に、ログを一定期間ごとにローテションしたい場合があります。
以下の設定を利用することで簡単にローテーションが可能です。検証では初めから用意されて
いる 「System Overview」 を利用して日次でのローテーションを実行します。

1. 「管理ツール」 - 「パフォーマンス」 をクリックします。
2. 「パフォーマンス ログと警告」 - 「カウンタ ログ」 をクリックします。
pef_route_1.gif

3. 「System Overview」 を右クリックして、 「プロパティ」 をクリックします。
4. 「ログファイル」 タブをクリックします。
pef_route_2.gif

5. 「ファイル名のサフィックス」 にチェックを入れて 「yyyymmdd」 を選択します。
pef_route_3.gif

6. 「スケジュール」 タブをクリックします。
7. 「ログの停止」 で 「指定時刻を経過後」 にチェックを入れ、「1日」 に設定します。
  また 「ログファイルを閉じたときの操作」 で 「新しいログ ファイルの開始」 にチェックを入れます。
pef_route_4.gif

以上で日次でローテーションされ、年月日の入ったファイルが作成されるようになります。
作成したファイルを圧縮したい場合や一定期間ごとに削除したい場合などは、手順7 で
一番下の 「次のコマンドを実行する」 にバッチファイル等を指定すれば良いでしょう。

XP : メモリを制限して起動する
検証中に少ないメモリのマシンで動作確認をしたい場合、2つ方法があります。(もっとあるかも)

・ VMWare など仮想マシンを利用してメモリを少なくする
・ boot.ini のオプションでメモリを制限して起動する

尚、 boot.ini に設定できるオプションは二つあります。

/burnmemory=number
number で指定したメモリ (MB) を 「利用できないように」 します。例えば 512MB のメモリを
搭載しているマシンで /burnmemory=128 を指定すると、利用可能なメモリは 512-128=384MB
になります。

/maxmem=number
number で指定したメモリ (MB) を 「利用できるように」 します。例えば 512MB のメモリを搭載
しているマシンで、 /maxmem=128 を指定すると、利用可能メモリは 128MB になります。

尚、Microsoft の文書によると 「 /maxmem スイッチでは、メモリ ホールについて考慮されません。
したがって、/maxmem スイッチではなく /burnmemory スイッチを使用することをお勧めします。
/burnmemory スイッチでは、メモリ ホールについて考慮されます。」 と解説があります。意味は
よく分かりませんが、私は /burnmemory を使うようにしています。

~boot.ini の例~
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=
"Windows XP Professional" /fastdetect /burnmemory=128
※スペースの都合上、最後は改行していますが実際は改行しないでください。

参考URL
Windows XP および Windows Server 2003 の Boot.ini ファイルで使用可能なスイッチ オプション
http://support.microsoft.com/default.aspx/kb/833721/ja



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。