通信応用・セキュリティ 実験手順書 (V4.0)

1 / 22 情報学実験 2016年度後期

通信応用・セキュリティ 実験手順書

1 実験の目的

前期では、ネットワーク（サブネット）構築の実験として、

1. サブネットを構築してルータで別ネットと接続すること 2. 仮想マシンをサブネットに置いて、設定や動作確認すること などを行った。

後期では、現在の Web サービスなどのセキュリティ基盤となるネットワーク認証サービス、およびそ れに関連したDNS および DHCP などのネットワーク基本サービスの構築と測定を行う。具体的には、

仮想マシンの環境において、以下に示す手順でネットワーク基本サービスの構築とその動作確認を行う。

(1) 実験用サブネット（閉域網）の構築と仮想マシン環境へのサーバ／クライアントＶＭの配置 (2) サーバＶＭ上へのネットワーク基本サービス（ネットワーク認証、ＤＮＳ,ＤＨＣＰ）の構築 (3) 構築したネットワークやネットワーク基本サービスの動作の確認 (クライアントVMを利用)

2 実験内容

１グループ２名で２台の物理ＰＣを用いて実験を行う。

注意: 手順書の補足資料があるので、実験開始前に必ず一読し、手順等の修正を行うこと。

(1) 実験用サブネット（閉域網）の構築とサーバ・クライアントＶＭの配置

本実験に必要なネットワークをイーサスイッチを用いて作成し、そこにＶＭ３台を立ち上げる。

(1a) 実験用サブネットの構築

(1b) 実験用サーバＶＭの立ち上げと初期設定

(1c) 実験用クライアントＶＭの立ち上げとネットワークアドレス設定

(1d) ping による動作確認

注意: クライアントVMの２台目の実験は、オプションである。サーバVMと１台のクライアントVM での実験が終了して時間に余裕がある場合に限り実施する。

(2) サーバＶＭ上へのネットワーク基本サービスの構築

サーバＶＭに対し、ネットワーク基本サービス一式をインストールし、設定する。

サービスの導入は、認証(Active Directory)、ＤＮＳ、ＤＨＣＰ、ファイル共有の順序で行う。

(2a) 認証用サーバ (Active Directory) のインストールと設定

(この作業の副作用として、DNS サーバがインストールされる。)

(2b) ＤＮＳサーバの初期設定確認

(2c) ＤＨＣＰサーバのインストールと設定

2 / 22

(3) 構築したネットワークやネットワーク基本サービスの動作の確認 クライアントＶＭからネットワーク基本サービスの動作確認をする。

動作確認は、以下の (3a) ～ (3e) の５段階で行う。

補足:クライアントのドメイン参加では、DNS に正しくアクセスできることが前提条件となる。よって、

詳細手順 (3c) にあるドメイン参加を試みる前に、まず、(3a) DHCP および (3b) DNS の動作が正常で

あることをしっかりと確認することが望ましい。

(3a) クライアントＶＭのネットワークアドレス設定を DHCP利用に変更し、動作確認

(3b) DHCPクライアントからの DNS サーバの動作確認

(3c) クライアントＶＭのドメイン参加

以下のふたつの動作確認は、オプションである。

(3d) Active Directory へのドメインユーザ登録と動作確認

(3e) ファイル共有のアクセス制御設定とクライアントＶＭからの動作確認

注意: サーバVMの (3d) と (3e) は、(3c) が終了した時点で時間的に余裕がある場合に限り行う。

3 解説

3.1 前期の「通信基礎」からの発展

前期のネットワーク実験では、複数のＰＣをもつＬＡＮ、すなわちサブネットを構築し、それをイン ターネット（実際にはセキュアシステムラボのＬＡＮ）に接続することを行った。その際、IP アドレ スの設定や、ネットマスク、デフォールトゲートウェイなどの設定方法と誤設定の影響を学んだ。

後期では、次の段階として、ネットワーク基本サービスの展開に関し、以下の3点を発展させる。

(1) LAN にネットワーク認証基盤である Active Directory を導入する。

(2) DNS サーバ (リゾルバ 兼 ドメインサーバ)を設置し、自分の LAN 上のコンピュータに「名前 (Ｄ

ＮＳ名、ドメイン名)」をつけて呼べるようにする。

(3) 前期の実験ではルータで行った DHCP サービスを、今回はサーバＶＭ上で実現する。

(一般に、Active Directory を利用する場合, DNS, DHCP も合わせて、一式のネットワーク基本サー

ビスとして展開・運用することが多い。）

3.2 ネットワーク認証サービス (Active Directory) とＤＮＳの役割

たとえば、我々がスマートフォンからクラウドのサービスを利用する場合、サービスを提供している 特定のサーバにログオンしているのではなく、複数のサーバが組み合わされたネットワーク上のサー ビス全体にログオンしている、と考えられる。このように、特定のサーバマシンにこだわらず、ネッ トワーク内のリソースやサービスを、複数のサーバにわたって透過的に利用できるようにする技術が

「ネットワーク認証」、「統合認証」と呼ばれる技術であり、現在の Web サービスを構築する基盤と なっている。

3 / 22

一方、ネットワーク上のコンピュータやユーザを識別する必要がある場合、適切な名前をつけて管理 する必要がある。これがディレクトリサービスであるが、特にコンピュータ名から IP アドレスを取 得する（あるいは、その逆を行う）システムを、ＤＮＳ (Domain Name System) とよぶ。

ネットワーク認証サービスとＤＮＳとは、一見無関係に見えるが、実は両者は深く関係している。

IP アドレス (例: 192.168.1.3) は人間が覚えたり指定したりするのが面倒くさいので、DNS 名 (例:

My-PC-01 ) をつける、という見方がある。しかし、これはＤＮＳ名の用途の半分しかとらえていない

といえる。ＤＨＣＰサーバで動的にアドレスを払いだしていると、同じＰＣであっても、

その IP アドレスは、時間経過とともに変化しうる。また、当初は静的にアドレスを固定していたも

のが、規模が大きくなってきて集中管理が必要になり、ＤＨＣＰサーバを導入して動的なアドレス払 い出しに変更することもありうる。実は、その時間経過の中で変わらないのが、「コンピュータの名前

（識別子）」なのである。ＤＮＳは、認証に用いられるコンピュータ名と、それにアクセスするための IP アドレスとを動的に関連づけているのである。

ネットワーク認証では、ユーザとともに、そのユーザが利用しているコンピュータ自体も認証する。

このとき、コンピュータを識別するためには、そのセキュリティサービスが信頼される領域（これも 本来「ドメイン」というが、以下では、ＤＮＳとの紛れを避けるため、「認証ドメイン」と呼ぶ。）に おいて一意性をもつ（重複がない、ユニークな）名前を用いる。これは、通常、ＤＮＳ名と関連づけ られている。つまり、認証システムから見ると、ＤＮＳ名が先にあり、それがたまたま、ある時点で

は特定の IP アドレスで通信している、と見なすのである。

このことからわかるように、ネットワーク認証サービスとＤＮＳとは深い関係がある。本実験では、

ネットワーク認証サービスとＤＮＳサービスを、サーバＶＭに一緒にインストール・設定し、それら の動作を確認する実験を行う。また、ＩＰアドレスを動的に付与するＤＨＣＰのインストール・設定 も行う。

4 実験に使用するシステム

 ２台の実験用コンピュータ （横１列に並んだ２台を利用する。）

 Windows Vista OS のＰＣ。PC001 ～ PC047 までの番号をもつ

 上記のコンピュータは、いずれも２つのイーサネットインタフェース (I/F) を持つ。ひとつは、物 理的な本体 (Windows Vista) のインターネット接続に利用する。もう一方は、端末仮想マシンを イーサスイッチに接続するために利用する。

 実験用コンピュータ２台のうち、向かって左側ではサーバＶＭ１台を、また右側ではクライアント ＶＭ２台までを実行する。（使用するVMやそのパスは、当日グループごとに指定する。）

 ８ポートギガビットイーサスイッチ (NetGear GS108E)

 ８ポートのイーサスイッチである。各実験用コンピュータの指定イーサ I/F をこのスイッチと接 続してサブネットを構築する。

 機材の都合上、２グループ（コンピュータ４台）で、１つのスイッチを共有する。ただし、グルー

4 / 22

プごとに異なるサブネットアドレスを用いるので、データの混同は発生しにくい。

注意: 各グループが利用するポートは、補足資料で指定する。

 ソフトウェア

 端末ＶＭ（仮想マシン）：

 サーバＶＭ: Windows 2003 R2 システム x 1。Admin 権限でログインして利用。

 クライアントＶＭ: Windows XP システム x 2。自動的に Admin 権限でログオンされる。

 いずれもOracle VirtualBoxの仮想マシンとして実現されている。

 SID 表示アプリ (コンピュータ SID および ユーザ SID の表示) （作成: 小野）

 認証システムで利用されているコンピュータ SID やログオンユーザの SID を表示する。

 ＶＭの [スタート] -> [すべてのプログラム] -> [ SID の表示] で実行できる。

注： システム運用の現場では、動作確認や監視・設定などの自動化のため、しばしばこの ような「小道具アプリ・スクリプト」を運用技術者が作成し、利用することが多い。

[重要] Windows Server 2003 R2, および Windows XP に関する注意：

今回の実験では、コンピュータをネットワークに接続するため、ＯＳの管理者権限を必要とする。これ を安全かつ手軽に実現するため、Windows Server 2003R2 および Windows XP のＶＭ（仮想マシン）

を利用している。それは、これらのOSが、必要十分な機能性をもち、一方、必要とするディスクやメモ リ量が最新の高機能なOSに比べて非常に軽量だからである。

ただし、これらのＯＳは、すでにサポートを終了しているため、セキュリティが十分ではない。今回の 実験では、システム自体のマルウェアスキャンを実施済みで、また、正しい手順では、利用するＶＭは インターネットと接続されないはずであるが、誤配線・誤設定などで接続されることもありうる。念の ため、これらのＶＭに対しては、以下のことを必ず守るようにすること。

 実験で指示された内容以外の操作を実行しないこと。

 実験関連以外のデータを、入力・保存しないこと。

特に、個人情報、カード情報、個人の認証情報（クラウドサービスのログオンＩＤやパスワード）

などは絶対に入力・保存しないこと。

 なお、報告書作成に必要なデータは、ＶＭからホストマシンに対して、以下のように、容易にデー タを送ることができる。

 ＶＭ上のファイルは、共有フォルダを経由して、ホスト(物理マシン)側にコピーできる。

 ＶＭ上の画面を取り込む際には、ＶＭ上で対象となる Window を選択して、<ALT>

SysReq キー (<ALT> キーを押しながら SysReq キーを押す) で取得できる。このデータ は、ホストマシン上で、PowerPoint や ペイントなどに張り込める。ホストマシン上で、

Snipping Tool を利用してもよい。

 ＶＭ上のコマンドプロンプトの結果を取り込むには、まず、ＶＭ上のコマンドプロンプト 画面で右クリックして「範囲指定」の指定を行い、リターンキーを押すと、バッファにコ ピーできる。このデータは、ホストマシンで、メモ帳や Word などに貼り込める。

[自習用VM教材の提供] 実験で使用したVMは、各OSともDVD２枚（合計約８GB）の大きさをも

5 / 22

つ。実験内容に興味をもち、自宅などで更なる学習を行いたい場合、マイクロソフト指定の書面を教 員に提出することで、VM をＤＶＤの形で持ち帰ることができる。興味がある学生は、実験終了時に 申し出ること。このＤＶＤに関しては、書面で指定されたライセンス条件を順守すること。

このＤＶＤを用いた実験を行う場合、新たな仮想コンピュータを作成する際は、必ず配布されたディ スク(「一般化設定されたディスク」)に立ち返り、それを複製したものを利用すること。一度ブート して個別化が完了し、コンピュータ SID が確定したディスクから複製を取り、その仮想コンピュー タを並行して立ち上げると、SID の重複が発生するため、システムが正常に動作しなかったり、セキ ュリティ上の問題を引き起こす可能性がある。詳細は、節8.2 を参照。

5 実験完了と最終報告書の条件

以下の章６ ~ 章７の内容にしたがい、イーサスイッチとPCとの配線を行い、サーバVM およびクラ イアントVMについて設定と測定を行い、結果を分析して最終報告書にまとめる。

[実験完了条件] 節7.1 に示す必須の測定項目すべてについて実験データが取得でき、動作が正常である と確認できた場合に完了とする。その後、余裕があれば、節7.2, の作業・測定を任意に行ってもよい。

[最終報告書条件] 最終レポートには、実験結果について、単に事実の列挙ではなく、どうしてこのよう な結果が得られるのか分析し、理由を付した考察 をまとめること。必要ならば、添付の参考資料や、

ネットの情報を活用すること。

6 実験の各フェーズの実施手順

6.1 実験用サブネット（閉域網）の構築とサーバ・クライアントＶＭの配置

(1a) 実験用サブネットの構築

今回の実験では、原則２名で実験グループをつくり、実験を行う。(１名でも実験できる。)

実験に用いる実験用コンピュータ２台とイーサスイッチを、図 6.1 に示すように配線する。イーサスイ ッチは、２つのグループの境界あたりに置き、ふたつのグループ（４名まで）で共有する。

注意: 実験当日に、サーバＶＭ用コンピュータとして、１台を指定する。指定されなかった方の（物理）

コンピュータでは、サーバＶＭを立ち上げないこと。一方、クライアントＶＭは、どちらのマシンで立 ち上げてもかまわない。

6 / 22

図6.1 実験装置の物理的な配置・配線図

1) 実験用ＰＣの背面ポート配置図 実験用PCは、富士通製の D5260 である。

この PC は、図６.2 に示すように、LAN カ ードを増設しており、ふたつの LAN インタ

フェース (I/F)、およびシリアルコネクタなど

をもつ。この実験では、標準の LAN I/F は、

ホストマシンをインターネットなどの広域ネ ットワークに接続するために用いる。

一方、増設した拡張 LAN カードは、ふたつ の実験用ＰＣに分けて配置される仮想マシン (サーバＶＭおよびクライアントＶＭ)をイー サネットで相互接続するために用いる。シリ アルコネクタは、今回の実験では使用しない。

なお、上記ふたつの LAN I/F は、OS 上では、以下の名前で区別される。

・標準の LAN I/F (物理マシンのインターネット接続): Broadcom NetLink (TM) Gigabit Ethernet

・拡張LANカード (仮想マシンの閉じた相互接続): Intel(R) PRO/1000 GT Desktop Adapter

2) ２台の実験用ＰＣとイーサスイッチとの接続

イーサスイッチのＬＡＮ端子（８つ）のうち、各グループごとに、No.1 – No.3 または、No.4 – No.6 を 用いて、各実験用ＰＣの拡張ＬＡＮカードのイーサネット端子とイーサスイッチとを接続する。（端の No.

7, 8 の端子は、別目的に予約してあるので、使用しない。）

水色の線がＰＣの拡張ＬＡＮカードイーサネット端子に入っている場合は、注意深く外す。また、実験 終了時には、必ず元の状態に戻しておく。

ケーブル: イーサケーブルを利用。両端のＰＣとの接続は３ｍ、内側のとは２ｍを利用。

図6.2 実験用ＰＣ 富士通 D5260 の背面ポート配置図 電源アウトレット (ディスプレイ用) 電源インレット

拡張LANカード (仮想マシンの接続に利用）

PC 番号- 1 の水色LAN ケーブルが接続されている。 シリアルコネクタ

(ルータコンソール を接続する。）

標準LAN I/F (インターネット などの上位の広域 ネットワークと接続) PC 番号- 2 の 水色LANケーブルが 接続されている

7 / 22 3) イーサスイッチと電源との接続

ＡＣアダプタにＡＣケーブルを差し込み、コンセントに接続する。

（感電、ショート、他のマシン用電源などを切断しないように注意すること。）

4) 実験に用いるＶＭの配置と接続関係

本実験では、仮想環境を用いて設定や測定を行うため、物理的に目に見える配線と、実際の論理的な配 線が異なり、直観的に把握しにくい。下図 6.3 に、実験に用いるＶＭの配置と接続関係を示す。

２台の物理マシン（実験用コンピュータ）をそれぞれ、Ａ、Ｂ とする。物理マシンＡには、サーバ用 ＶＭ１台が配置される。一方、物理マシンＢには、最大２台までのクライアントＶＭが配置される。こ れらのＶＭは、物理マシンの拡張ＬＡＮカードを経由して、イーサスイッチと接続され、閉域網（イン ターネットに接続されていないローカルなネットワーク）となる。

一方、物理マシンで、ＶＭ以外のところは、標準ＬＡＮ I/F、セキュアシステムラボラトリＬＡＮを経由 して、相互接続され、また、実験室サーバやインターネットに接続されている。

物理マシンとその上にあるＶＭとは、ネットワーク上は接続されていないが、共有フォルダ経由で、フ ァイルを受け渡したり、Alt + SysReq で取得したスクリーンショットなどのデータを受け渡すことが可 能である。（これは、Oracle VirtualBox と、ＶＭ上の「統合コンポーネント」により実現されているの もで、通常のネットワーク通信とは異なる機構で実現されている。）

測定やレポート下書きなどには、物理マシン A, B のいずれも用いることができる。利用できるアプリ は、Office (Powerpoint, Word, Excel など)、メモ帳、Wordpad、ペイント、pdf リーダなどである。） ただし、ＶＭ実行中は、空きメモリが少なくなるため、動作が重くなりやすいので、不要なアプリは終 了させるなど、利用方法に留意すること。

図6.3 実験に用いるＶＭの配置と接続関係 サーバＶＭ

G01-DC (Windows Server

2003 R2)

クライアントＶＭ G01-C1 (Windows XP

Pro. SP3)

クライアントＶＭ (オプション)

G01-C2 (Windows XP

Pro. SP3)

物理マシン(実験用コンピュータ) Ａ (サーバＶＭ用)

物理マシン(実験用コンピュータ) Ｂ (クライアントＶＭ用) アプリ

(Office, メモ帳, Pdfリーダ, ペイント など)

仮想マシン接続用イーサスイッチ(閉域網)

(物理マシン 拡張LAN カード 利用)

拡張LAN カード 拡張LAN カード

セキュアシステムラボラトリ ＬＡＮ (物理マシン 標準LAN I/F利用) 標準LAN

I/F

標準LAN I/F

他グループ物理マシン、

共用サーバ、インターネットへ 隣のグループと イーサスイッチ を共用

実験グループ(原則２名)

アプリ (Office, メモ帳, Pdfリーダ, ペイント など)

8 / 22

(1b) 実験用サーバＶＭの立ち上げと初期設定

注: ユーザ入力は、イタリック 部分のみが当日指定で変更される。残りの部分は 本書通りにする。

特に G01 のイタリック数字部分は、当日各グループごとに指定されたグループ番号に置き換えてから、デー タとして利用すること。一方、通常字体の文字については、特に指定がない限り、記載された文字をそのまま 入力する、

1) サーバ用の実験用ＰＣで、指定のサーバＶＭ１台の立ち上げを行う。

サーバＶＭ名: VM_Svr03-X (当日指定), VM保存パス: D:¥00 JikkenVM

VM_Svr03-X などは、サーバVM.。VM_WinXPSP3-1 などは、クライアントVM。 [詳細手順]

 サーバ用の実験用ＰＣのメニューから [Oracle VirtualBox] を立ち上げる。

 最初のVM起動は、VM保存パスのVMディレクトリ中の vmc ファイルをダブルクリックする。

（２回目以降は、[Oracle VirtualBox コンソール] で、指定されたサーバＶＭ名を選択し、[起 動] 。）

2) 以下の手順により、サーバＶＭの個別化を行う。（個別化は、節8.2 を参照）

 注意: 認証に用いるサーバＶＭは、セキュリティ保持のため、必ず個別化が必要。

 個別化は、完全自動で行われる。起動後しばらく手を触れずおき、自動的に再起動するまで待つ。

補足: 何らかの理由で実験をこのフェーズから再度やり直したい場合、サーバＶＭの個別化前の仮想ディスクイ メージが必要になる。希望者は教員に申し出ること。適切なイメージを共用サーバから実験用コンピュータにダウ ンロードして利用できるようにする。

3) 以下の手順により、個別化が完了したサーバＶＭにログオンする。

UserID: Administrator Password: VM_Svr03 (大文字・小文字区別あり)

 Ctrl+Alt+Del の代わりに、Oracle VirtualBox メニューの [入力] -> [キーボード] ->[Ctrl+Alt+Del]

を選択する。(あるいは、右 <Ctrl> + <Del> でもよい。)

 ログオン画面で、所定の UserID と Password を入力(大文字・小文字の区別がある。)

以下、4) – 6) で、サーバＶＭのカスタマイズを行い、再起動する。

4) まず、サーバＶＭのシステムの初期設定を、以下の手順で行う。

 サーバＶＭの [スタート] -> [すべてのプログラム] -> [システムの初期設定]

 コマンドプロンプトの窓が開き、設定コマンド実行終了３秒後に、自動的に閉じる。

(注: デスクトップの同名のアイコンのダブルクリックでも実行できる。)

補足: 「ディスク領域の不足」の警告が出ることがあるが、今回は気にしなくてよい。

5) 以下の手順により、サーバＶＭの IP アドレスを設定する。（実験用マシンのものではない。）

IP アドレス： 10.10.151.1 (当日指定), サブネットマスク: 255.255.255.0

デフォールトゲートウェイ: 空白, 優先ＤＮＳサーバ: 127.0.0.1, 代替ＤＮＳサーバ: 空白

TCP/IP 詳細設定 DNSタブ: [この接続のアドレスをDNSに登録する] もチェックつきで変更しない。

9 / 22

 サーバＶＭの [スタート] -> [コントロールパネル] -> [ネットワーク接続] -> [ローカルエリア接続].

 [ローカルエリアの接続] 画面で、[プロパティ]

 [ローカルエリアの接続のプロパティ] 画面で、[インターネットプロトコル] を選択して、[プロパティ] をプッシュ。

 [インターネットプロトコル (TCP/IP)のプロパティ] 画面で、[次の IP アドレスを使う] を選択し、指定された IP アドレスなどをセット。

 [TCP/IP 詳細設定] 画面は、[全般] タブで、右下の [詳細設定] をプッシュする。

 すべての設定が終わったら、必ず関連画面をすべて閉じること（閉じないと、設定が反映されない。）

6) 以下の手順により、サーバＶＭのコンピュータ名を設定する。

コンピュータ名: G01-DC (当日指定) ワークグループ: Jikken-G01 (当日指定) 注: コンピュータ名、ワークグループ名、ドメイン名などは、大文字・小文字の区別はない。

 サーバＶＭの [スタート] -> [コントロールパネル] -> [システム] を選択。

 [システムのプロパティ] 画面で、[コンピュータ名]のタブで、[変更]

 [コンピュータ名の変更] 画面で、コンピュータ名を指定の名前に変更して、[OK]。

7) コンピュータ名を変更したので、再起動を求められる。再起動し、再度、Administrator でログオンする。

8) [測定 1-1] サーバVM の名前変更直後の情報を、[ SID の表示] アプリで取得し、その画面キャプチャ

結果を、レポートに添付すること。（ＡＤインストール前のサーバＶＭの情報）

9) [測定 1-2] サーバＶＭの SID 情報を、隣のグループと交換して、同じＶＭイメージから生成した他グループ

の [測定 1-2] で取得したサーバＶＭの SID 情報と比較せよ。 (SID の乱数部分の値の比較のみでよ い。)

(1c) 実験用クライアントＶＭの立ち上げとネットワークアドレス設定

注: 値の指定は、１台目、２台目の順。実験では、とりあえず、１台のＶＭの設定と実験を優先して行 う。２台目は、１台目の実験が終了し、さらに余裕があれば実施する。

1) クライアント用の実験用ＰＣで、指定のクライアントＶＭ２台 (最初は１台) の立ち上げを行う。

クライアントＶＭ名: (１台目) VM_WinXPSP3-m (2台目) VM_WinXPSP3-n (当日指定), 2) サーバＶＭの個別化 (1b, 2) と同様に、クライアントＶＭの個別化を行う。

注: 表示画面はかなり異なるが、やっていることは同じ。手を触れずにいると、自動的に再起動する。

補足: 何らかの理由で実験をこのフェーズから再度やり直したい場合、クライアントＶＭの個別化前の仮想ディ スクイメージが必要になる。希望者は教員に申し出ること。

3) 個別化されたクライアントＶＭにログオンする。これは、サーバＶＭと異なり、自動的に行われる。

アカウント情報: UserID: VM_User Password: <なし> (大文字・小文字区別あり) 4) クライアントＶＭの IP アドレスを設定する。（サーバＶＭの IP アドレスを設定(1b) 5)と同様）

(ただし、優先DNS サーバには、サーバＶＭの IP アドレス を指定する。)

IP アドレス： (１台目) 10.10.151.11, (2台目) 10.10.151.12 (当日指定), サブネットマスク: 255.255.255.0

デフォールトゲートウェイ: 空白, 優先ＤＮＳサーバ: 10.10.151.1 代替ＤＮＳサーバ: 空白

10 / 22

サーバVMと異なり、詳細設定 DNS タブの値は変更しない。

5) クライアントＶＭのコンピュータ名を設定 する。（サーバＶＭの設定(1b) 6)と同様 (ワークグループ名は、サーバＶＭと同じものを使用する。)

コンピュータ名: G01-C1, G01-C2 (当日指定) ワークグループ: Jikken-G01 (当日指定) 再起動が求められるので、再起動し、ログオン終了後、以下の測定を行う。

6) [測定 1-3 ] クライアントVMの名前変更直後の情報を、[ SID の表示] アプリで取得し、その画面キャプ

チャ結果を、レポートに添付すること。（ドメイン参加前のクライアントＶＭの情報）

(1d) ping による動作確認

1) [測定 1-4] ping による測定 - クライアントＶＭのコマンドプロンプトから、 サーバＶＭ，自分自身のＶＭ

に対して、(余裕があれば、他方のクライアントＶＭにも)、 IP アドレス指定 で ping を行い、動作を確認す る。 (ＤＮＳ設定前は、宛先指定にコンピュータ名は使用できない。)

注: ping では、応答があることを確認すること。

6.2 サーバＶＭ上へのネットワーク基本サービスの構築

(2a) 認証用サーバ (Active Directory) のインストールと設定

1) もし、まだサーバＶＭにログオンしていない場合は、 Administrator でログオンする。

2) [サーバの役割管理] 画面で、[役割を追加または削除する] を選択。

(もし、画面が表示されていない場合は、[スタート] -> [サーバの役割管理] で表示できる。) 3) [サーバの構成ウィザード] [準備作業] 画面で、[次へ]。

4) [構成オプション] の画面で、下側の [カスタム構成] を選択して、[次へ]。

5) [サーバーの役割] で、[ドメインコントローラ(Active Directory)] を選択して [次へ]を４回プッシュ。

6) [Active Directory のインストールウィザード] [ドメインコントローラの種類] 画面で、で [新しいドメインコン トローラ] が選択されていることを確認して [次へ]。

7) [新しいドメインの作成] 画面で、[新しいフォレストのドメイン] が選択されていることを確認して [次へ]。 注： 通常は、既存のドメインツリーの子ドメイン に加えることが多いが、今回は、一番上を選ぶ。

8) [新しいドメイン名] 画面で、指定したドメイン名を入力して、 [次へ]。

新しいドメインの完全なＤＮＳ名: G01-Domain.Jikken.local (当日指定)、

9) [NetBIOSドメイン名] 画面が、上記指定の最初のドットまでであることを確認して [次へ]。

10) [データベースとログのフォルダ] 画面は、デフォールトの値を変更せず、そのまま [次へ]。 11) [共有システム ボリューム] 画面も、デフォールトの値を変更せず、そのまま [次へ]。

12) [DNS登録の診断] [診断の失敗] の画面で、選択肢 中央の [このコンピュータにＤＮＳサーバーをインスト ールし...] が選択されていることを確認して [次へ]。

13) [アクセス許可] 画面も、下側の項目が選択されているのを確認して、そのまま [次へ]。 14) [ディレクトリサービス復元モード Administrator パスワードは、以下のものを入れて [次へ]。

11 / 22

復元モードパスワード: VM_Svr03 パスワードの確認入力: VM_Svr03 注意：このパスワードは、システム障害時に重要だが、普段は利用しない。

15) [概要] 画面で設定項目を確認して [次へ]。

（しばらく、[ Active Directory のインストールウィザード] がインストール作業を行うのを待つ。）

16) [ Active Directory のインストールウィザードの完了] 画面が出たら、インストール完了。

17) [完了] して、[再起動する] をプッシュしてサーバＶＭを再起動する。

18) Administrator で再度ログオンすると、[このサーバはドメインコントローラになりました]と表示されれば、設定

は無事に成功。[完了] ボタンで設定完了。

19) [測定 2-1 ] サーバVM のドメインコントローラ設定後の情報を、[ SID の表示] アプリで取得し、その画 面キャプチャ結果を、レポートに添付すること。また、[測定 1-1 ] の結果と比較せよ。

(2b) ＤＮＳサーバの設定確認

1) もし、まだサーバＶＭにログオンしていない場合は、 Administrator でログオンする。

[スタート] -> [管理ツール] -> [ＤＮＳ] で ＤＮＳ管理画面を表示。

2) [測定2-2 ] ＤＮＳの前方参照ゾーンの結果を取得する。

DNS管理画面の左ペーンで、DNS -> G01 (ドメイン名) -> 前方参照ゾーン ->

G01-Domain.Jikken.local (当日指定情報により適当に変更する) を表示し、キャプチャして、レポートに

添付すること。

3) [測定 2-3 ] コマンドプロンプトで、以下のように nslookup コマンドを用いて、本ＶＭホスト名を入れて、正

しく IP アドレスを得られることを確認する。

C:¥Documents and Settings¥Administrator>nslookup Default Server: localhost

Address: 127.0.0.1

> G01-DC (注: 当日指定情報で適切に変更する。) Server: localhost

Address: 127.0.0.1

Name: G01-DC.G01-Domain.Jikken.local

Address: 10.10.151.1 (注: 当日指定情報により変化する。)

> exit

C:¥Documents and Settings¥Administrator>

4) 補足: 本来は、上位ＤＮＳとリンクする「フォワーダ」の設定が入る。これは、参考文献[2] 「Active

Directory管理者のためのDNS入門」の図2.18 (p.34) に詳しく説明されている。ただし、今回は、作成し

たサブネットは閉域網で、インターネットなどの上位のネットワークとは接続しない。このため、「フォワーダ」の設定 は行わない。

5) 以下の手順で、逆引き参照ゾーンの設定を行う。

 ＤＮＳ管理画面を表示。 (上記 1) を参照)

 左側ペーンの [逆引き参照ゾーン] を右クリックして [新しいゾーン] を選択。

 [新しいゾーンウィザード] の画面で [次へ]。

12 / 22

 [ゾーンの種類] 画面で、一番上の [プライマリゾーン] と、一番下の [Active Directory にゾーンを格納 する] にチェックがあることを確認して、[次へ]。

 [ Active Directory ゾーン レプリケーションスコープ] の画面で、３番目の [… ドメインコントローラすべて] が選択されていることを確認して、[次へ]。

 [逆引き参照ゾーン名] の [ネットワークID] が選択されていることを確認して、以下を入力して、[次へ]。 ネットワークID: 10.10.151. (当日指定)

 [動的更新] の画面で、デフォールトの一番上の項目は用いず、真ん中の [非セキュリティ保護およびセキ ュリティ保護… ] を選択して、[次へ]。

 [新しい ゾーンウィザードの完了] で完了。

6) 以下の手順で、サーバVMの逆引きアドレスを手動で加える。（動的に登録できないため。）

ホストIP番号 空白部: 1 ホスト名: G01-DC.G01-Domain.Jikken.local 同じ名前のDNSレコード,..。: チェックせず空白のままにする。

 右ペーンの [10.10.151.x Subnet] (当日指定アドレスで変化する。) をダブルクリック。

 右ペーンの余白部分で右クリックして、[新しいポインタ (PTR)] で、ホストIP番号の空白部に 1 を記入し、

アドレスが 10.10.151.1 (当日指定) のように、サーバVMの IP アドレスとなるようにする。

[ホスト名] を長い名前 (例: 01-dc.G01-Domain.Jikken.local)で指定して、[OK]。

7) [測定 2-4 ] サーバVMのコマンドプロンプトで、以下のように nslookup コマンドを用いて、本ＶＭホスト名

を入れて、正しく IP アドレスを得られることを確認する。(入力は、指定のものにする。) C:¥Documents and Settings¥Administrator>nslookup

Default Server: localhost Address: 127.0.0.1

> g01-dc

Server: localhost Address: 127.0.0.1

Name: g01-dc.G01-Domain.Jikken.local Address: 10.10.151.1

> server g01-dc

Default Server: g01-dc.G01-Domain.Jikken.local Address: 10.10.151.1

> exit

8) [測定 2-5 ] クライアントVMのコマンドプロンプトで、以下のように nslookup コマンドを用いて、サーバホス ト名を入れて、正しく IP アドレスを得られることを確認する。(入力は、指定のものにする。)

C:¥Documents and Settings¥VM_User>nslookup Default Server: g01-dc.g01-domain.jikken.local Address: 10.10.151.1

> g01-dc.g01-domain.jikken.local (必ず「長いコンピュータ名( FQDN)」で入力する。) Server: g01-dc.g01-domain.jikken.local

Address: 10.10.151.1

Name: g01-dc.g01-domain.jikken.local Address: 10.10.151.1

13 / 22

> exit

(2c) ＤＨＣＰサーバのインストールと設定

1) [サーバの役割管理] 画面で、[役割を追加または削除する] を選択。

(もし、画面が表示されていない場合は、[スタート] -> [サーバの役割管理] で表示できる。) 2) [サーバの構成ウィザード] [準備作業] 画面で、[次へ]。

3) [サーバーの役割] で、[DHCPサーバー] を選択して [次へ]を２回。

4) 「新しいスコープウィザードの開始」 で、[次へ] 。 5) [スコープ名] 画面で、以下の情報を指定。

名前: G01-Scope, (当日指定) 説明: 空白でよい。（記入してもよい。）

6) [ＩＰアドレスの範囲] で、情報を指定する。

開始IPアドレス: 10.10.151.100 終了IPアドレス: 10.10.151.199 サブネットマスク 255.255.255.0

7) [除外の追加] は、空白のまま [次へ] 。

8) [リース期間] も、デフォールト (8日) のまま [次へ] 。

9) [ＤＨＣＰオプションの構成] で、[今すぐオプションを構成する] を選択して [次へ] 。 10) [Router (Default Gateway)] は、今回は空白のまま [次へ] 。

注: 本来は、上位ネットワークとのゲートウェイのアドレスを指定する。今回は、実験で作成したサブネットは、

上位ネットと接続しないので、空白のままにする。

11) [ドメイン名およびＤＮＳサーバ] 画面で、以下の情報を指定する。

親ドメイン: G01-Domain.Jikken.local (当日指定)、 サーバ名: G01-DC (当日指定) 12) 上記入力後、[解決] でＩＰアドレスを取得し、[追加] して [次へ] 。

13) [WINS サーバー] は、そのまま [次へ] 。

14) [スコープのアクティブ化] は、[今すぐアクティブにする] を選択して [次へ] 。 15) [新しいスコープウィザードの完了] で、[完了] 。

16) [このサーバはＤＨＣＰサーバーになりました] と表示されれば、設定は成功。[完了] ボタンで設定完了。

17) 以下の手順で、このドメインにおける DHCP サーバーの承認 を行う。

 [サーバの役割管理] 「DHCPサーバー」 [このDHCPサーバーを管理する] または、[スタート] -> [管理ツ ール] -> [DHCP] で表示される。

 左ペーンで、DHCP -> g01-dc.g01-domain.jikken.local (当日指定の名前) を選択して、右クリックし、

[承認] をクリック。

 DHCP メニューバーの [操作] -> [最新の情報に更新]

 左ペーンの [DHCP] を右クリックして、[承認されたサーバーの管理] をクリック。

 [承認されたサーバーの管理] に、このサーバーがのれば完了。

18) 動作確認は、節6.3 (3a) 2) の [測定 3-1] で行うので、ここでは行わない。

14 / 22

6.3 構築したネットワークやネットワーク基本サービスの動作の確認

クライアントＶＭからネットワーク基本サービスの動作確認をする。

動作確認は、DHCP,の動作確認、DHCP利用時のDNSの動作確認、クライアントVMのドメインへ の参加、サーバVMでのドメインユーザ登録と確認、ファイル共有アクセス制御と確認の順で行う。

(3a) クライアントＶＭのネットワークアドレス設定をＤＨＣＰ利用に変更し、動作確認

1) 以下の手順により、クライアントＶＭの IP アドレスを DHCP による動的割り当てに変更する。

 クライアントＶＭの [スタート] -> [コントロールパネル] -> [ネットワーク接続] -> [ローカルエリア接続].

 [ローカルエリアの接続] 画面で、[プロパティ]

 [ローカルエリアの接続のプロパティ] 画面で、[インターネットプロトコル] を選択して、[プロパティ] をプッシュ。

 [インターネットプロトコル (TCP/IP)のプロパティ] 画面で、[IPアドレスを自動的に取得する] を選択。

 その後、[DNSサーバーのアドレスを自動的に取得する] を選択。

 [詳細設定] ボタンを押し、DNS タブで、[この接続のアドレスをDNSに登録する] にチェックが入っているこ とを確認する。（普通は、デフォールトでチェックが入っているので、確認のみで変更しない。）

2) [測定 3-1 ] クライアントVMのコマンドプロンプトで、ipconfig /all を実行し、IP アドレスが、(2c) 6) で指 定した範囲の中にあり、また、DNS サーバーのアドレスや、DNS Suffix などが正しく設定されていることを確 認せよ。

(3b) DHCP クライアントからの DNS サーバの動作確認

1) [測定 3-2 ] DHCP により IP アドレスを取得するように設定したクライアントVMにおいて、コマンドプロンプ

トで、[測定 2-5 ]と同様に、nslookup コマンドを用いて、サーバホスト名を入れて、正しく IP アドレスを得ら れることを確認する。(入力は、指定のものにする。)

C:¥Documents and Settings¥VM_User>nslookup Default Server: g01-dc.g01-domain.jikken.local Address: 10.10.151.1

> g01-dc (今回は、FQDN でなくて、短い名前でよい。) Server: g01-dc.g01-domain.jikken.local

Address: 10.10.151.1

Name: g01-dc.G01-Domain.Jikken.local Address: 10.10.151.1

> exit

(3c) クライアントＶＭのドメイン参加

注意: ドメイン参加の対象とするクライアントVMは、DHCP でアドレスを取得し、DNS の正常動作が確認

15 / 22

されたものに限ること。DHCP、DNS が正常に動作していない場合、ドメイン参加は一般にエラーとなる。

1) 以下の手順で、クライアントVM を、サーバVMが管理する ドメインに参加 させる。

コンピュータ名: 変更せず (G01-C1 など) ドメイン: G01-Domain (当日指定) 注: コンピュータ名、ドメイン名などは、大文字・小文字の区別はない。

 クライアントＶＭの [スタート] -> [コントロールパネル] -> [システム] を選択。

 [システムのプロパティ] 画面で、[コンピュータ名]のタブで、[変更]

 [コンピュータ名の変更] 画面で、[次のメンバ] で、ラジオボタンのチェックを、[ワークグループ] から、「ドメイン」

に変更し、[OK]。

 ドメイン管理者での操作を要求されるので、以下のアカウントでログオンする。

ユーザー名: Administrator パスワード: VM_Svr03 (大文字・小文字区別あり)

 [ xxx ドメインへようこそ] メッセージが出たら、ドメインへの参加が承認されたので、[OK] を押して再起動。

2) ドメイン参加後のクライアントＶＭに、ローカルアカウントでログオンする。

アカウント情報: ユーザー名: VM_User パスワード: <なし> (大文字・小文字区別あり)

 クライアントもドメインに参加した後は、サーバと同様に、Ctrl+Alt+Del によるログオンが必要になる。手順 は、節 6.1 (1b) 3) を参照せよ。

3) [補足] Windows XP の場合は、ログオン画面で [オプション] ボタンを押すと表示される [ログオン先] で、

[このコンピュータ] を選択し、ユーザ名とパスワードを指定すると、ローカルログオンできる。

別の方法として、ユーザ名で、以下のように、<ログオン先>¥<ユーザー名> としても、指定先にログオンできる。

例: ローカルコンピュータ G01-C1 に VM_User でログオン: G01-C1¥VM_User

ドメイン G01-Domain に、Administrator でログオン: G01-Domain¥Administrator

4) [測定 3-3 ] クライアントVMのドメイン参加後の情報を [ SID の表示] アプリで取得し、[測定 1-3 ] で 取得した情報と比較せよ。

5) [測定 3-4 ] ドメイン参加後のクライアントＶＭに、ドメイン管理者でログオンし、[ SID の表示] を用いて

SID 情報を取得し、上記 [測定 3-3 ] および [測定 2-1 ] の場合と比較せよ。

ドメイン名: G01-Domain ユーザー名: Administrator パスワード: VM_Svr03

注: 「SID の表示」 は、デスクトップではなく、[スタート] -> [すべてのプログラム] -> 「SID の表示」 でアクセ スできる。

(3d) Active Directory へのドメインユーザ登録と動作確認 （オプション）

ドメインコントローラであるサーバ VM で、ドメインユーザ２名分を新規登録する。クライアントVM では、新たなユーザ登録手続きを一切行わなくても、ドメインユーザとしてログオンできることを確認 する。

1) 以下の手順で、ドメインユーザ２名を新規に登録する。

ドメイン名: G01-Domain ユーザー名: DM_User1 パスワード: qwerty10@G01 ドメイン名: G01-Domain ユーザー名: DM_User2 パスワード: qwerty20@G01

(注: G01 の数字部分は、指定された各グループごとに当日指定されたグループ番号に置き換える。

16 / 22

ドメイン名は大文字・小文字は無視されるが、ユーザー名、パスワードでは区別される。）

 サーバVMの[スタート] -> [管理ツール] -> [Active Directory ユーザーとコンピュータ]を選択。

 [Active Directory ユーザーとコンピュータ] 画面の左ペーンで、[Users」 を右クリックし、[新規作成] ->

[ユーザー] を選択。

 [新しいオブジェクト – ユーザー] 画面で、[姓] に、Domain User、また[名] にユーザ番号 (1 or 2) を 入れ、[ユーザーログオン名] として、上記のユーザー名を入力して [次へ].。

 パスワードの指定として、対応する上記の値を２回入力する。

 一番上の選択肢 [ユーザーは次回ログオン時にパスワード変更が必要] のチェックをはずし、３番目の選択 肢である [パスワードを無期限にする] にチェックを入れて [次へ] を押し、[完了]。

 左ペーンで [Users] をクリックして、右ペーンで今登録した Domain User 1 を右クリックし、[グループに 追加] を選択。

 [グループの選択] 画面で、[選択するオブジェクト名…] のところに、Users と入れて [名前の確認] を押し て、[OK]。

 以上で、 DM_User1 がログオンできるようになる。

 二人目も同様にして登録する。

2) 以下の手順で、クライアントVMにおいて、上記ドメインユーザーでログオンと動作確認を行う。

手順は、上記 (3c) の 2) ～ 5) を参照。

SID の表示により、ログオンユーザがローカルではなく、ドメインの SID を持っていることを確認する。

(3e) ファイル共有のアクセス制御設定とクライアントＶＭからの動作確認 （オプション）

1) サーバVMの以下のパスに、共有フォルダを作成する。

作成パス: D:¥Home 作成フォルダ名: G01-Share

 作成パスのフォルダを開き、余白部で右クリック -> [新規作成] -> [フォルダ]。

 作成したフォルダを、指定の「作成フォルダ名」でリネームする。

 作成したフォルダを右クリックして [プロパティ]。

 [共有] タブを選択して、[このフォルダを共有する] を選択。

2) 作成した共有フォルダに、アクセス制御を設定する。

ユーザ名: Administrator アクセス権限: フルアクセス

ユーザ名: DM_User1 アクセス権限: 読み取りと変更

ユーザ名: DM_User2 アクセス権限: 読み取りのみ

その他のユーザ: アクセス権限: なし

 [アクセス許可] を押して、[アクセス許可] の画面を開く。

 [追加] を押して、[選択するオブジェクト名を入力..] に、Adminと入れて、[名前の確認] を押す。

 グループ(二人の人のアイコン) の Administrators を選択して [OK]、[OK]。

 [Administrators ののアクセス許可] で、「フルコントロール」の許可にチェック。

17 / 22

 [追加] を押して、[選択するオブジェクト名を入力..] に、DM_Userと入れて、[名前の確認] を押す。

 DM_User１ を選択して [OK]、[OK]。

 [Domain User １ ののアクセス許可] で、「変更」の許可にチェック。

 [OK] を２度押して終了。

 [追加] を押して、[選択するオブジェクト名を入力..] に、DM_Userと入れて、[名前の確認] を押す。

 DM_User２ を選択して [OK]、[OK]。

 [Domain User ２ ののアクセス許可] で、「読み取り」の許可にチェック。

 [グループ名またはユーザー名] で、[Everyone] を選択して[削除]。

 [OK] を２度押して終了

3) 作成した共有フォルダに、クライアントVMからアクセスして、動作を確認する。

共有フォルダのアクセスパス: ¥¥G01-DC¥G01-Share

 [スタート] -> [コンピューター] で、アドレスに、上記の共有フォルダのアクセスパスを入力。

クライアント VM において、Administrator, DM_User1, DM_User2 の３名のドメインユーザー、および

VM_User のローカルアカウントでログオンし、それぞれ、設定した変更に関するアクセス制御が有効であるこ

とを確認する。（変更の権限がないと、ファイルを作成したり、変更・削除することができない。また、読み取り の権限がないと、既存ファイルを読みだすことができない。）

6.4 ２台目のクライアントVMを用いた動作確認 （オプション）

(3e) までの実験が終了して時間に余裕がある場合、２台目のクライアントを用いて実験を行う。

(4a) ドメイン参加前のクライアント VM の相互比較

1) 節 6.1 (1c) の手順を２台目のクライアントVMに対して行う。

2) [測定 1-3 ] の結果について、１台目のクライアントVMと２台目のものとを比較する。

(4b) ドメイン参加後のクライアント VM の相互比較

1) 節 6.3 の (3a) – (3c) の操作と測定、および (3d), (3e) のクライアントVMによる確認と測定について、２ 台目のクライアントVMに対して行う。

2) [測定 3-3] ～ 測定 3-6] の結果について、１台目のクライアントVMと２台目のものとを比較する。

7 測定項目の一覧

実験終了前に、節 7.1 に示す測定項目のデータを取得し、実験レポートで利用できる状態になっている か確認すること。データを確認した場合、□ をチェックする。（情報に不備・不足があり、再実験にな ると、途中から再開するのが難しく、最初からやり直すことになりやすいので、十分に注意する。）

節 7.2については、余裕があった場合にデータを取得し、実験レポートに記載する。

18 / 22

7.1 必須の測定項目

6.1 実験用サブネット（閉域網）の構築とサーバ・クライアントＶＭの配置

□ [測定 1-1] サーバVM の名前変更直後の情報を、[ SID の表示] アプリで取得...

□ [測定 1-2] サーバＶＭの SID 情報を、隣のグループと交換して、...

□ [測定 1-3] クライアントVMの名前変更直後の情報を、[ SID の表示] アプリで取得し、...

□ [測定 1-4] ping による測定 コマンドプロンプトから、 サーバＶＭ，自分自身のＶＭ，...

6.2 サーバＶＭ上へのネットワーク基本サービスの構築

□ [測定 2-1] サーバVM のドメインコントローラ設定後の情報を、[ SID の表示] アプリで取得し、...

□ [測定 2-2] ＤＮＳの前方参照ゾーンの結果を取得する。

□ [測定 2-3] コマンドプロンプトで、以下のように nslookup コマンドを用いて、...

□ [測定 2-4] サーバVMのコマンドプロンプトで、以下のように nslookup コマンドを用いて、...

□ [測定 2-5] クライアントVMのコマンドプロンプトで、以下のように nslookup …

6.3 構築したネットワークやネットワーク基本サービスの動作の確認 (3a) – (3c)

□ [測定 3-1] クライアントVMのコマンドプロンプトで、ipconfig /all を実行し、IP アドレスが...

□ [測定 3-2] DHCP により IP アドレスを取得するように設定したクライアントVMにおいて、...

□ [測定 3-3] クライアントVMのドメイン参加後の情報を [ SID の表示] アプリで取得し、...

□ [測定 3-4] ドメイン参加後のクライアントＶＭに、ドメイン管理者でログオンし、[ SID の表示]…

7.2 時間に余裕があるときに行う実験項目 (オプション)

以下の項目は、実験項目自体が測定になっているので、実験項目番号を列挙する。

6.3 構築したネットワークやネットワーク基本サービスの動作の確認 (3d) - (3e)

□ (3d) Active Directory へのドメインユーザ登録と動作確認

□ (3e) ファイル共有のアクセス制御設定とクライアントＶＭからの動作確認

6.4 ２台目のクライアントVMを用いた動作確認

□ (4a) ドメイン参加前のクライアントVMの相互比較

□ (4b) ドメイン参加後のクライアントVMの相互比較

8 設定・測定に関する補足情報

8.1 ネットワーク設定関連の詳細（通信基礎の再掲）

19 / 22 今回の実験では、ネットワーク接続の

パラメータの設定を行う。その画面は、

以下のようにしてアクセスする。(一 連の流れは、図8.1 を参照)

(1) [スタート] ボタン -> [コントロ ールパネル] ->[ネットワーク接 続]

(2) [ネットワーク接続] の画面にお

いて、[LAN または高速インター

ネット] のところにある [ローカ ルエリア接続] を右クリックし て [プロパティ] を選択。（または、

[ALT] キーを押しながら左クリ

ックでもよい。）

(3) [ローカルエリア接続のプロパティ] で、上から２番目の「この接続は次の項目を使用します] のフ ィールド中で、「インターネット プロトコル(TCCP/IP)」の文字部分をクリックして反転し、さらに、

[プロパティ] のボタンを押す。(または、[ALT] キーを押しながら左クリックでもよい。）

(4) 「インターネット プロトコル(TCP/IP) のプロパティ」の画面で、「次のIPアドレスを使う」および

「次のDNSサーバのアドレスを使う」のラジオボタンを選択する。

8.2 SID の役割とシステムの一般化・個別化、 SID 表示アプリの詳細

ネットワークにおいて、コンピュータやユーザを一意に識別するために、Windows では SID と呼ばれ る乱数を含む長い識別子が使われる。これは、通常のコンピュータ操作で、我々の目に触れることは少 ないが、ネットワーク上でユーザやコンピュータを正しく識別するために利用されている。

「ＳＩＤ表示アプリ」は、コンピュータやログオン中のユーザの SID を表示するためのものである。

一般に、システムイメージを含むＶＭのディスク(仮想ディスク)を複製し、それらを立ち上げると、立ち 上がった仮想コンピュータシステムの SID （コンピュータ SID） はいずれもコピー元の仮想コンピュ ータのものと同じになる(図8.2 左参照)。コンピュータのローカルユーザの SID は、コンピュータ SID をベースに作られるので、異なるコンピュータの SID が同じだった場合、ローカルユーザの SID も異 なるコンピュータで一意性が失われ、重複が発生しうる。ユーザ SID の重複は、ローカルコンピュータ の認証に用いられている限りは大きな問題とはならないが、Active Directory のようなネットワーク認 証では、認証情報の混乱と脆弱性の原因となりうるので、ドメインの SID は重複を避けることが求めら れている。（ＩＰアドレスが重複すると、ネットワークが混乱するのと同様。）複製作成時には、マイク ロソフト社は、最初のドメインコントローラとなるコンピュータについては、必ず SID を新規に生成す るように要求している。これは、ドメインの SID として、最初のドメインコントローラの SID が利用 されるからである。また、複製作成時に以下の一般化・個別化手順を実施せず SID の一意性を確保して

図8.1 ネットワーク設定関連の画面

20 / 22

いないシステムは、マイクロソフト社のサポート対象外となってしまうので注意を要する。

システムディスクの複製作成時にコンピュータ SID の一意性を確保するため、複製作成前のシステムデ ィスクに対して「一般化」の設定を行う。一般化設定されたシステムディスクの複製をとった場合、複 製された仮想コンピュータは、最初の起動時にシステムの「個別化」が自動的に実施され、コンピュー

タ SID が新規に割り当てられる(図8.2 右参照)。これらの SID は、複製元も含めてすべて互いに相異

なるものとなり、上記のセキュリティ上の問題の発生を避けることができる。

図8.2仮想コンピュータの一般化と個別化の流れ

「 SID 表示アプリ」は、現在のコンピュータの SID やログオン中のユーザの SID を表示する VBN

スクリプトである。表示は、以下の３つの部分に分けられる (図 8.3参照)。 (1) スクリプトの実行日時と、実行されたコンピュータ名を表示

(2) ログオン中のユーザのドメインとユーザ名を SID つきで表示。

(3) コンピュータの所属するドメインとローカルコンピュータ名を SID つきで表示。

ユーザがドメインアカウントでログオン中の場合、ユーザ SID はドメインのものとなる。この値は、通 常、ローカルコンピュータの SID とは異なる(最初のドメインコントローラの場合を除く)。

ネットワークで共有されるリソース（ファイルなど）に対して、一貫したアクセス制御を行いたい場合、

通常の 仮想コンピュータ

SID: 1234

複製 複製

& 「個別化」

通常、仮想コンピュータの仮想ディ スクを複製して立ち上げると、それ ぞれの仮想コンピュータのSID は、

すべて、コピー元のものと同じにな り、すべて同一のSID をもつ。

「一般化」設定された仮想コンピュータの仮想 ディスクを複製した場合、複製されたシステム の最初の立ち上げ時に１回だけ「個別化」処理 が行われる。この際に、それぞれのコンピュー タに相異なるSID が自動的に付与される。

通常の 仮想コンピュータ

SID: 1234

通常の 仮想コンピュータ

SID: 1234

通常の 仮想コンピュータ

SID: 1234

「一般化」設定済 仮想コンピュータ

SID: 消去

通常の 仮想コンピュータ

SID: 2467

通常の 仮想コンピュータ

SID 3529

通常の 仮想コンピュータ

SID: 4173

図8.3 SID 表示アプリの画面例 (ドメインコントローラにログオンしている場合)

21 / 22

アクセス制御の対象となる ID として、ドメインアカウントのユーザ SID やグループ SID などを利用 する。こうすると、ユーザがどのローカルコンピュータから共有リソースをアクセスしても、必ず同じ

（ドメインアカウントの） SID を保持することになり、一貫性を維持できる。

22 / 22

参考文献

注意: 以下の参考資料は、pdf 形式で本書とともに配布している。

これらの pdf は、Web で公開された情報をもとに、今回の実験専用教材として作成したものである。

したがって、これを第三者に配布したり、学習目的以外に使用したりすることはできない。

これらの pdf は、Web 上の原本と異なり、詳細な目次を付与してあり、また、pdf リーダの「しおり」

も作成してある。したがって、実験前の学習、実験中の参考、実験後のレポート作成などの際に、便利 に活用できるかもしれない。

注意: 以下の参考文献に記載されている手順は、細かな点では本実験で利用するものと異なって いる。本実験で行う手順は、参考文献のものでなく、本実験手順書に記載されている方法に従 って行うようにすること。

[1] 伊藤 将人: 管理者のための Active Directory 入門：（Windows Server 2003対応改訂版）

http://www.atmarkit.co.jp/ait/articles/0601/19/news109.html

補足: 本参考文献は、Active Directoryの基礎やその導入方法について、多数の図を交えながら、詳細か つ網羅的に解説している。全体が 100 ページになるもので、本実験の内容を上回る高度な技術内容をカ バーしている。したがって、これを最初から読んですべてを理解するのは難度が高い。まず、今回の実 験に関連した項目を選んで読み、理解するのが望ましい。

本実験で Active Directory に興味をもち、実験より進んだ内容を学びたい場合には、この参考文献は、

非常に役に立つと思われる。今回の実験に利用しているサーバＶＭは、Windows Server 2003 R2 であ り、本参考文献で扱っている Windows Server 2003 の機能をすべて網羅している。したがって、本参 考文献とサーバＶＭとを併用して学習すると、高度な技術内容を含めて、実務的な知識・スキルが取得 できると思われる。

[2] 伊藤 将人: Active Directory管理者のためのDNS入門 (http://www.atmarkit.co.jp/ait/articles/0805/22/news139.html)

補足: この文献は、Active Directory と DNS という本実験の基本となるサービスについて、

入門的な解説をしている。また、本実験で用いる Windows Server 2003 のＤＮＳについて、

実際のインストール手順をキャプチャした画面に基づき詳細に説明している。

本実験の技術的背景を理解したり、さまざまな設定の詳細について、画面つきで理解したりす る場合に役立つであろう。

以 上