Comments
Description
Transcript
遠隔教室におけるシステム管理手法 電気電子ネットワーク 池田茂 ikeda
遠隔教室におけるシステム管理手法 電気電子ネットワーク 池田茂 [email protected] 佐藤敏之 [email protected] 長谷川紀幸 [email protected] 0.はじめに 職場の分散化により,計算機の管理作業を行う場合計算機が設置されている部屋への移動が 伴ってしまう.部屋が棟内にある場合もあれば,他の建物・地域にある場合もあり,移動だ けで時間がかかってしまい,作業場所との行き来がある場合はさらに時間が掛かってしまう. ここでは離れた場所に設置されている計算機をリモートコントロールして,作業を効率よく 行うための管理方法を構築する. 1.機器構成 今回使用する機器は構成は次のようなっており,全て同じネットワークに接続されている. ・遠隔管理作業パソコン(Windows) ・OS修正プログラムサーバ(Windows2000 Server) ・遠隔管理パソコン(管理対象/使用中以外は電源 OFF/ Windows) 2.Wakeup On LAN での起動と VNC によるリモートコントロール 遠隔地にあるパソコンを管理する場合,まず必要となるのが電源投入である.遠隔地にある ため通常であれば設置場所に赴き,電源ボタンにより電源を入れなければならないが,設置 場所に赴くことなく電源を入れる方法を取る必要がある.設備投資をして構築する方法もあ るが,パソコンの BIOS の機能としてLAN経由で立ち上げられる「Wakeup On LAN」 がほとんどのパソコンで使え,遠隔管理パソコンもネットワークに接続されているため 「Wakeup On LAN」を使用して「遠隔立ち上げ」を実現することにした. 「Wakeup On LAN」を使用する場合,まず「遠隔立ち上げ」を行うパソコンの BIOS 設定 で Wakeup On LAN を有効にする必要があるが,Wakeup On LAN は数種類のパソコンで 確認したところデフォルトが無効になっている場合も有効になっている場合もある. パケットを送っただけで立ち上げることができる場合もあるようだが,実験に使用したパソ コンでは,その機能が使えなかったため,フリーソフトウェアとして無償で配布されている 「Wake Up On Lan Tool (http://www.vector.co.jp/soft/win95/util/se241927.html)」を使 用してネットワーク経由で立ち上げを行うようにした. - 82 - 次にリモートコントロールだが,代表的なツールとして ・リモートデスクトップ接続(Microsoft) ・Real VNC(http://www.realvnc.com/) があるが,リモートデスクトップ接続はクライアントが Windows であればインストールし て使用することができるが,リモートデスクトップ接続先となれるのは OS が「WindowsXP Pro」または「Windows2003 Server」のみに限定されてしまうため,汎用性を持たせるた め Real VNC によるリモートコントロールを行うことにした. Real VNC はサーバプログラムを含むパッケージと,ビューア(クライアント)のみのパ ッケージがあるため,遠隔管理パソコンにはサーバプログラムを含むパッケージを,遠隔管 理作業パソコンにはビューアのみのパッケージをインストールした.VNC サーバプログラ ムは必要なときに立ち上げることもできるが,Wakeup On LAN により立ち上げて使うた め,起動時に VNC サーバプログラムも立ち上がる必要があるが,そのための設定ツールと して VNC サーバと同時にインストールされる「Register VNC Service」を実行することに より起動時にサービスとして VNC サーバプログラムが立ち上がるようになった. VNC ビューアから VNC サーバプログラムに接続する場合,VNC による認証を行うことが できるが,ユーザの認証は Windows のログオン時にユーザ名・パスワードでも行えるため VNC による認証は行わず,Windows の認証のみを使うようにした. VNCで接続する場合,普段使用しないネットワークポートを使用するため,アンチウィル スソフト付属のファイアウォールや,Windows のファイアウォール機能を有効にしている 場合はVNCが使用するポート番号を開けておく必要がある.ポート番号はVNCの設定に より変更することができるが,デフォルトの 9500 番でもファイアウォールの設定で 9500 番を開けておけば接続可能だった. 以上により,遠隔地にあるパソコンを「Wakeup On LAN」により立ち上げ,VNC 接続に より Windows にログオンすることが確認できた. 3.OS の更新とチェック OSの更新は「Windows Update」を使用して更新するが, 「修正プログラムの確認」 「修正 プログラムのダウンロード」はネットワーク経由で行われるため,ネットワークの混雑状況 にもよるが,重要な更新になればなるほどアクセスが集中し,更新に時間が掛かってしまう. このような問題を解決するためのプログラムとして Microsoft が無償で配布している 「SoftwareUpdate Services http://www.microsoft.com/japan/windowsserversystem/sus/」 がある.これにより Software Update Services(略して SUS)をインストールしたパソコ ンに修正プログラムを定期的なダウンロードにより蓄えておき,WindowsUpdate のアクセ ス先 SUS にすることによりダウンロード時間を短縮することができるため,「OS修正プ ログラムサーバ」で SUS をインストールして動かし,新しい修正プログラムが配布された 場合はまず,SUS でダウンロードするようにした. - 83 - 通常,Windows の更新は「Windows Update」で手動で行うか,日付を指定し自動で行う. 遠隔管理パソコンは管理を行うときに更新を行う必要があるため,予め日付を指定しておく ことは出来ないが,管理を行う遠隔管理パソコンの立ち上げをトリガーにして更新を行う方 法を取ることにした. 遠隔管理パソコンの立ち上げをトリガーにする方法として,Windows に標準インストール されている「タスク」がある.これにより「あるプログラム」の実行のタイミング(日週月 単位/1 回だけ実行/コンピュータ起動時/ログオン時」と「実行するユーザ」を指定して スケジューリングを行うことができる.タスクを使えば「管理権限を持ったユーザ」で「遠 隔操作によりコンピュータを起動させた後」に「WindowsUpdate」を実行することが可能 になる. WindowsUpdate を実行した後,遠隔管理パソコンが安全な状態で使用可能か確認する必要 があるが,正しくアップデートされているか確認するだけなら,手動で WindowsUpdate を実行し,アップデートするべき更新データが残っていないか確認する方法もあるが,それ だけではセキュリティ的に安全とは言えない.セキュリティ的に安全か判断するためのツー ル と し て Microsoft が 無 償 で 配 布 し て い る 「 Microsoft Baseline Security Analyzer ( http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx)」があり,こ れを使うことにより次のようなチェックを行うことができる. ・Windows のセキュリティ(ユーザパスワードの脆弱チェックも含まれる) ・MDAC(Microsoft Data Access Components)のセキュリティ ・Internet Explorer のセキュリティ ・Office のセキュリティ(Office アップデート) Microsoft Baseline Security Analyzer は,インストールしたパソコンのチェックが出来る だけはなく,他のパソコンや,複数のコンピュータを指定して「遠隔チェック」が行えるた め,遠隔地にあるパソコンをリモートコントロールにより立ち上げ,Windows Update に よりOSの更新を行った後,Microsoft Baseline Security Analyzer により遠隔チェックす ることにした. 4.まとめ 「Wakeup On LAN」と「VNC」による遠隔地にあるパソコンのリモートコントロール, 「WindowsUpdate」と「SUS」との連携による短時間でのOS更新, 「Microsoft Baseline Security Analyzer」による総合的なセキュリティチェックまで行えるようになった.これ は既存の技術の連携にすぎないが,既存の技術を応用するだけでも,効率のよい管理方法を 構築することが出来る,ということが確認できた.今後は,構築した管理方法を実際の管理 で使用し,更なる効率化をすることができないかを検討していきたいと思う.現段階では - 84 - Microsoft Baseline Security Analyzer と Windows タスクによる自己セキュリティチェッ クをパソコンに行わせ,セキュリティ上問題がある場合は管理者に電子メールで通知するよ うな管理体制を構築できなかを検討しようとしている. 5.参考文献・使用ソフトウェア WAKE UP ON LAN の実験 http://www.augustus.to/blog/3128/archives/000043.html Wake up On Lan Tool http://www.vector.co.jp/soft/win95/util/se241927.html LAN でリモート PC を起動「Wake up On Lan Tool」v1.5 http://www.forest.impress.co.jp/article/2003/04/23/okiniiri.html Real VNC http://www.realvnc.com/ SUS(Software Update Services) http://www.microsoft.com/japan/windowsserversystem/sus/ Microsoft Baseline Security Analyzer http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx @IT Windows TIPS MDAC のバージョン調査ツールを使用する http://www.atmarkit.co.jp/fwin2k/win2ktips/384mdactool/mdactool.html - 85 -