【Windows】Windows Serverの初期設定

Windows

スクリーンショットを入れてるととても長い記事になってしまいました。すみません…
目次をうまく利用ください。

私が構築するサーバーで共通で行う設定です。
主にはスタンドアロンサーバーになります。(ドメインに参加しない)
※開発環境での構築が基本となるため、また、利便性を重視している点もあるため、特に運用環境ではセキュリティ上好ましくない設定も存在します。
他にもユーザー環境によっては好ましくない設定もあるかと思います。
ご自身の責任の元に設定の要・不要の判断をお願いいたします。
主に検証環境用の Windows Serverで行う初期設定のメモです。

説明用の画面はWindows Server 2019で行っていますが、他のバージョンのOSの場合は適宜読み替えてください。

作業

OSインストール

OSのインストールを行います。(当たり前ですね)

サーバーマネージャーの自動起動の停止

細かいですけど一番がこれです(笑)
サービスが停止していたりするとすぐわかるので便利と言えば便利なのですが、私にはログオンの度に起動してくるのはちょっと邪魔です。必要があれば自分で起動しますので。


サーバーマネージャーで[管理] – [サーバーマネージャーのプロパティ]をクリックします。


サーバーマネージャーのプロパティで「ログオン時にサーバーマネージャーを自動的に起動しない」にチェックを入れて、[OK]ボタンをクリックします。

ライセンスキーの入力

わざわざここに載せることではないかもしれませんが…
インストール時にライセンスキーを入力していない場合はライセンスキーを入力しておきます。
後から入力しても大丈夫ですが、ライセンスキーとインストールしたOSのエディションを間違えていたりするとやり直しになってしまいますので。


ライセンス認証が行われていない場合は、画面の右下にメッセージが表示されます。
キーを入力していても、インターネットに接続されていない場合はライセンス認証が行えないためにメッセージが表示されます。


[コントロールパネル] – [システムとセキュリティ] – [システム]を開きます。


[システム]が開きますので、[Windowsのライセンス認証]をクリックします。


[プロダクトキーを変更します]をクリックします。


プロダクトキーを入力して、[次へ]をクリックします。


続けて、[ライセンス認証]をクリックします。


正常に認証されると、「Windowsはライセンス認証済みです」のメッセージが表示されますので、[閉じる]をクリックします。


Windowsはライセンス認証されていますという表示に変わっています。

コンピューター名の変更

デフォルトではランダムなコンピューター名が設定されています。
ランダムな名称のままだと覚えにくいのでサーバーの役割などに応じて分かりやすい名前を付けておくことをお勧めします。
また、各種アプリケーションをインストールした後にコンピューター名を変更するとアプリケーション側でも設定変更が必要となることもあります。最悪の場合アプリケーションが動作しなくなることもあります。なるべく初期の内にコンピューター名を変更しておき、その後も変更することのないことが好ましいです。
すでに存在するコンピューター名とは被らない名称とする必要があります。
15文字以内にするなど制限があります。
以下の規則を守るようにしておきます。

https://support.microsoft.com/ja-jp/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and

今回は、先ほど自動起動を無効にしたサーバーマネージャーから変更してみましょう(汗


サーバーマネージャーを起動して、[このローカルサーバーの構成]をクリックします。


コンピューター名を変更するには、このコンピューター名の部分をクリックします。

このサーバーでは現在、「WIN-TCE3ILEVSD1」というコンピューター名が付けられています。
これはデフォルトの(ランダムで割り当てられている)コンピューター名となります。非常に分かりにくいですね。


システムのプロパティが開きます。[変更]ボタンをクリックします。


コンピューター名を入力して、[OK]ボタンをクリックします。
ここでは、「SERVER2019」というコンピューター名としています。
※実際はWebサーバーやADサーバーなどの役割に応じた名前を付ける方が分かりやすいかと思います。


メッセージを確認して[OK]ボタンをクリックします。

コンピューター名を変更した場合は、再起動する必要があります。


[閉じる]ボタンをクリックします。


[今すぐ再起動する]ボタンをクリックして、サーバーを再起動します。


再起動後、サーバーマネージャーを起動して、コンピューター名が変更されていることが確認できます。

IPアドレスの設定

コンピューター名と対応するIPアドレスを設定します。
デフォルトではDHCPサーバーからIPアドレスを自動で取得する設定となっているため、DHCPサーバーが存在する環境であればIPアドレスは自動的に設定されます。
しかしながらサーバーのIPアドレスを自動取得で運用する環境はあまりないと思われます。(自動取得の場合、再起動などをきっかけにIPアドレスが変わる可能性があります)
IPアドレスが変わるとアプリケーションが動作しなくなるケースもあります。
※自動取得でも問題のないケースはありますので、こちらは環境に合わせて設定します。

ここではIPv4アドレスの設定のみ行います。環境によってはIPv6アドレスの設定も必要となります。

コントロールパネルで[ネットワークとインターネット]をクリックします。

[ネットワークと共有センター]をクリックします。


[アダプター設定の変更]をクリックします。


ネットワーク接続が開きます。
ここにはサーバーが認識しているNICがすべて表示されます。ここでは1つですが、複数接続されている場合は複数表示されます。
IPアドレスを設定したいデバイスを右クリックして、[プロパティ]を開きます。


「インターネットプロトコルバージョン4」を選択して、[プロパティ]ボタンをクリックします。


IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバーを指定して、[OK]ボタンをクリックします。
デバイスのプロパティも[OK]ボタンをクリックして閉じます。

リモートデスクトップの許可

サーバーの管理はリモートで行うことが多いです。(場所的に遠い場所にあることが多いため)
そのため、リモートデスクトップを有効にしておきます。


[サーバーマネージャー] – [ローカルサーバー]を開きます。
リモートデスクトップの欄が「無効」となっていますので、こちらをクリックします。


「このコンピューターへのリモート接続を許可する」を選択します。


ファイアウォールの例外を有効にするメッセージが表示されますので、[OK]をクリックします。

システムのプロパティは[OK]ボタンをクリックして閉じます。


リモートデスクトップが有効となりました。

パスワードのポリシーの設定(ローカルセキュリティポリシー)

パスワードのポリシーを設定します。
あくまでも私の環境での設定内容になります。

ここで設定する内容はセキュリティに直結する内容ですので、十分検討の上、要・不要を判断してください。


[スタート]ボタンを右クリックして、「ファイル名を指定して実行」を開きます。
キーボードの[Win]+[R]でも開くことが出来ます。


「名前」に「secpol.msc」と入力して、[OK]ボタンをクリックします。


ローカルセキュリティポリシーで、[セキュリティの設定] > [アカウントポリシー] > [パスワードのポリシー]を開きます。


私の場合は以下の設定を変更します。(主に開発環境での設定です)
・パスワードの有効期間:42日→0日
※この有効期間を過ぎると、パスワードを変更しなければなりません。
ユーザーがサービスの起動アカウントに指定されている場合などは、パスワードの変更に合わせてサービス起動の際のユーザーの指定も変更を行う必要があります。定期的な変更が必要であるといった要件のない場合は0日にしてしまいます。
・複雑さの要件を満たす必要があるパスワード:有効→無効
※こちらは設定したいパスワードによって指定したりしなかったり

ローカルセキュリティポリシーの一部の設定は再起動が必要になることがあります。
変更した場合は念のためサーバーを再起動しておくと確実です。

システムエラー時の設定

こちらは完全にお好みですね。
デフォルトでも全然かまわないと思います。


[コントロールパネル]から[システム]を開きます。
[システムの詳細設定]をクリックします。


起動と回復の[設定]ボタンをクリックします。
「自動的に再起動する」のチェックボックスをお好みに応じて外します。

具体的にはブルースクリーンが発生した際にリブートされるかどうかです。
チェックを入れている状態だと、ブルースクリーン発生後、メモリダンプが取得され、その後、自動的にリブートがかかります。
自動的にリブートされた後、幸運にも正常動作に戻った場合、ブルースクリーンが発生したことに気づかない場合もあります。
また、正常動作に戻らない場合、再起動を繰り返し、ディスクに負担がかかり続けることも考えられます。
そのため、こちらは環境に応じて設定します。

あわせてデバッグ情報の書き込みの部分も見直しておくとよいかもしれません。書き込み先の容量や物理メモリのサイズによってはディスクを圧迫する恐れがあります。

ごみ箱の削除の確認メッセージ

細かいことですが、例えばデスクトップ上に新しいテキストファイルを作成して、そのファイルを選択した状態でキーボードの[Delete]キーを押してみてください。
確認なしでごみ箱に入ってしまいます。
このままの設定だと、誤操作で[Delete]キーに当たってしまった場合、知らないうちに必要なファイルを削除しているかも…(ごみ箱に入っているのでごみ箱を探せば元に戻すことはできるのですが)
安全のため、削除時に確認メッセージが表示されるようにしておきましょう。


ごみ箱を右クリックして、[プロパティ]を開きます。


「削除の確認メッセージを表示する」にチェックを入れます。
ごみ箱のサイズも見直しておくとよいですね。


[Delete]キーを押した後、確認のメッセージが表示されるようになります。

この設定はユーザーごとに設定が異なりますので新しいユーザーを作成した場合はそのユーザーでも同じように設定してあげる必要があります。

もしくはローカルグループポリシーで設定することもできます。


[ユーザーの構成] – [管理用テンプレート] – [Windowsコンポーネント] – [エクスプローラー]の「ファイルの削除時に確認のダイアログを表示する」を有効にします。


グループポリシーで設定されているため、チェックが入った状態で変更できなくなります。

フォルダーオプションの設定

サーバーはある程度PC知識のある管理者の方が操作を行うかと思います。
そのため拡張子や隠しファイルは表示していた方が都合のよいことが多いです。


エクスプローラーを開いて、[表示]タブをクリックします。
[オプション]をクリックします。


フォルダーオプションが開きますので、[表示]タブをクリックします。


「隠しファイル、隠しフォルダー、および隠しドライブを表示する」を選択します。


「登録されている拡張子は表示しない」のチェックを外します。


「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外します。


警告が表示されますので、[はい]をクリックします。

フォルダーオプションは[OK]をクリックして閉じます。

電源オプション

電源プランですが、デフォルトでは「バランス」となっています。
こちらは電力消費とのバランスをとってデフォルトの「バランス」でも構いません。
「Windowsの性能が思うように出ない!」という状況が発生してから変更してみるというのもアリです。
私はCPUの性能を最大限利用できる「高パフォーマンス」としています。


[コントロールパネル] – [システムとセキュリティ]で「電源オプション」をクリックします。


デフォルトでは「バランス(推奨)」となっていますので、「高パフォーマンス」を選択します。

Windows Update

設定ではないですが、Windows Updateを行いWindowsを最新の状態にしておきます。



「最新の状態です」と表示されるまでWindows Updateを適用します。

Windows Updateによる自動更新の停止

自動更新は停止しない方がよいのですが…
サーバーはWindows Updateを行ったことが原因によるトラブルの発生の可能性を避け(安定稼働を優先して)停止にされる場合も多いかと思います。
そんな設定です。


スタートボタンで右クリックして、「ファイル名を指定して実行」を開きます。


「名前」に「gpedit.msc」を入力して、[OK]をクリックします。


ローカルグループポリシーエディタが開きます。


[コンピューターの構成] – [管理用テンプレート] – [Windowsコンポーネント] – [Windows Update]の「自動更新を構成する」を無効にします。


「自動更新を無効にする」をダブルクリックして開き、「無効」を選択して、[OK]をクリックします。

IEセキュリティ強化の構成

ブラウザでインターネットにアクセスすることもある場合、IEセキュリティ強化の構成が有効になっていると煩わしいです。
IEセキュリティ強化の構成を無効にしておきます。
※こちらはご利用環境での社内ポリシーなどにあわせて設定ください。


サーバーマネージャーで、[ローカルサーバー]のIEセキュリティ強化の構成にある「有効」をクリックします。


ここではAdministratorsグループのみオフ(無効)にしておきます。
[OK]ボタンを押して、設定を完了します。

Windowsファイアウォール

ping応答は返す設定にしています。


[コントロールパネル] – [システムとセキュリティ]で「Windows Defenderファイアウォール」を開きます。


「詳細設定」をクリックします。


セキュリティが強化されたWindows Defenderファイアウォールが開きます。
受信の規則にある「ファイルとプリンターの共有(エコー要求 – ICMPv4受信)」を右クリックして、「規則の有効化」を選択します。


有効が「はい」になればOKです。


コメント