Windows Server® 2008 R2 では、サーバー マネージャーを使用してリモート コンピューターの一部の管理タスクを実行することができます。サーバー マネージャーを使用してコンピューターをリモート管理するには、他のテクノロジ用の Microsoft 管理コンソール (MMC) を接続する場合と同じ方法でサーバー マネージャーをリモート コンピューターに接続します。

サポートされるリモート管理のシナリオ

Windows Server 2008 R2 のサーバー マネージャーでは、次のリモート管理のシナリオがサポートされています。

  • サーバーからサーバー: Windows Server 2008 R2 のフル インストール上のサーバー マネージャーを使用して、Windows Server 2008 R2 を実行する別のサーバーにインストールされている役割と機能を管理することができます。

  • サーバーから Server Core: Windows Server 2008 R2 のフル インストール上のサーバー マネージャーを使用して、Windows Server 2008 R2 の Server Core インストールにインストールされている役割と機能を管理することができます。

  • クライアントからサーバー: サーバー マネージャーは、Windows® 7 を実行するコンピューター上にリモート サーバー管理ツールの一部としてインストールされています。これを使用して、Windows Server 2008 R2 のフル インストールまたは Server Core インストールを実行するコンピューター上の役割と機能を管理することができます。

ソース コンピューターリモート コンピュータードメイン C (信頼されたホストとして追加済み)

ドメイン A

ドメイン B

ワークグループ

ドメイン A

ドメイン B

ワークグループ

  • Windows 7 を実行するコンピューターからリモート コンピューターを管理する場合は、Windows リモート管理 (WinRM) サービスを開始し、信頼されたホストを追加できるようにします。[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ] の順にポイントします。次に、[コマンド プロンプト] を右クリックし、[管理者として実行] をクリックして、管理者特権でコマンド プロンプト セッションを開きます。「net start winrm」と入力して、Enter キーを押します。
  • ワークグループからワークグループ/ドメインへのリモート接続のシナリオでは、ソース コンピューター上の信頼されたホストの一覧に、リモート コンピューターを追加する必要があります。これを行うには、ソース コンピューターの管理者特権で開かれたコマンド プロンプト ウィンドウで、次のコマンドを実行します。
  • winrm set winrm/config/client @{TrustedHosts="リモート コンピューター名"}
  • ワークグループからワークグループ/ドメインへのリモート接続のシナリオでは、ユーザーがソース コンピューターの組み込みの管理者アカウントを使用してログオンしていない場合、ソース コンピューターからのリモート アクセスを可能にするために、次の WinRM レジストリ キーを構成する必要があります。この変更は、Administrators グループのメンバーである非管理者のアカウントに、ユーザー アカウント制御 (UAC) の制約があるため必要になります。レジストリ キーを変更するには、ソース コンピューターの管理者特権で開かれたコマンド プロンプトで、次のコマンドを実行します。
  • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • 既定では、WinRM ではユーザーごとに最大 5 つのリモート コンピューターへの接続をアクティブにすることができます。この上限を増やすには、ソース コンピューターの管理者特権で開かれたコマンド プロンプトで次のコマンドを実行します。X は、許可する接続数を表しています。
  • winrm s winrm/config/winrs @{MaxShellsPerUser="X"}

サーバー マネージャーを使用したリモート管理のセキュリティに関する考慮事項

重要

サーバー マネージャーを使用して管理するコンピューターの Administrators グループのメンバーであることが必要です。

サーバー マネージャーのリモート管理機能は、Windows PowerShell テクノロジを使用して提供されるため、サーバー マネージャーによるリモート管理は Windows PowerShell のセキュリティに関する考慮事項を継承しています。悪意のあるユーザーが、管理者が指定したログオン資格情報をリモート接続経由で盗み出そうとする場合がありますが、これは一般に発生する可能性は低いと考えられます。発生する可能性がきわめて低いと考えられる脅威としては、この他に、悪意のあるユーザーによるダイナミック リンク ライブラリ (DLL) の改ざんや、サーバー マネージャーのログ ファイル内の機密情報や個人を特定できる情報の盗難などがあります。ローカル コンピューターへのアクセス権を持つユーザーであれば、サーバー マネージャーのログ ファイルを読み取ることができますが、ログ ファイルには機密情報や個人を特定できる情報も、パスワードのようなアカウント情報も含まれていません。

サーバー マネージャーを使用して実行できるリモート サーバーのタスク

サーバー マネージャーでは、次のリモート コンピューターのタスクを実行することができます。

  • Windows 自動更新の状態の表示

  • ベスト プラクティス アナライザーによる役割のスキャンの実行詳細については、「ベスト プラクティス アナライザーを使用してスキャンの実行とフィルター処理を行う」を参照してください。

  • Windows カスタマー エクスペリエンス向上プログラム (CEIP) の状態の表示または変更

  • Windows エラー報告の構成

  • Windows ファイアウォールの情報の表示または変更

  • 役割のホーム ページからの役割の表示または管理

    リモート サーバーに接続されているサーバー マネージャー コンソールで役割固有または機能固有のツールやスナップインを使用するには、これらのツールを、リモート サーバー管理ツールを使用してソース コンピューターにインストールしておく必要があります。

  • Internet Explorer の高度なセキュリティ構成の設定の表示

  • 役割のホーム ページからのサービスの管理

サーバー マネージャーを使用してリモートで実行することができないタスク

サーバー マネージャーのリモート セッションでは、サーバーのセキュリティ上のリスクをできるだけ抑えることを重視しているため、次のタスクを実行することができません。

  • 役割、役割サービス、機能の追加または削除

  • リモート デスクトップの設定の構成

  • システムのプロパティの構成

  • 新しい役割の確認

  • Windows 自動更新の設定の変更

  • ネットワーク設定の変更

  • コンピューター名またはドメイン メンバーシップの変更

  • Internet Explorer の高度なセキュリティ構成の設定の変更

  • セキュリティの構成ウィザードの実行 (ソース コンピューターが Windows Server 2008 R2 を実行するサーバーの場合)

Windows Server 2008 R2 のリモート管理を有効化または無効化する

許可されていないアクセスからサーバーを保護するため、また、管理者がサーバー マネージャーを使用して Windows Server 2008 R2 を実行するコンピューターにリモート接続できるようにするには、接続先コンピューターではサーバー マネージャーのリモート管理を有効にする必要があります。

サーバー マネージャーを使用したリモート管理に備えてサーバーを構成する前に、Windows ファイアウォールの例外を制御するグループ ポリシーのいくつかの設定を有効にする必要があります。「サーバー マネージャーのリモート管理向けにグループ ポリシーを設定するには」の手順に従い、グループ ポリシーの設定によって、リモート管理に必要なサーバーの構成が上書きされないことを確認します。

この手順は、Windows Server 2008 R2 を実行するコンピューターでのみ実行することができます。サーバー マネージャーを使用して Windows 7 を管理することはできないため、Windows 7 を実行するコンピューターではリモート管理の有効化や無効化を行うことはできません。

サーバー マネージャーのリモート管理向けにグループ ポリシーを設定するには

  1. リモート管理対象のコンピューターで、ローカル グループ ポリシー エディターを開きます。これを行うには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「gpedit.msc」と入力して Enter キーを押します。

  2. [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows リモート管理] の順に展開し、[WinRM サービス] を選択します。

  3. 詳細ウィンドウで、[リスナーの自動構成を許可する] をダブルクリックします。

  4. [有効] を選択し、[OK] をクリックします。

  5. ツリー ウィンドウで、[Windows の設定]、[セキュリティの設定]、[セキュリティが強化された Windows ファイアウォール]、[セキュリティが強化された Windows ファイアウォール] の順に展開します。

  6. [受信の規則] を右クリックし、[新しい規則] をクリックします。

  7. 新規の受信の規則ウイザードの [規則の種類] ページで、[事前定義] を選択します。

  8. [事前定義] プルダウン メニューの [リモート イベントのログ管理] を選択します。[次へ] をクリックします。

  9. [事前定義された規則] ページで、[次へ] をクリックして新しい規則を受け入れます。

  10. [操作] ページで [接続を許可する] を選択し、[完了] をクリックします。[接続を許可する] は既定で選択されています。

  11. 手順 5 から 10 を繰り返し実行し、次の 2 つの事前定義された規則の種類に新しい受信の規則を作成します。

    • リモート サービス管理

    • Windows ファイアウォール リモート管理

  12. ローカル グループ ポリシー エディターを閉じます。
Windows のインターフェイスを使用してサーバー マネージャーのリモート管理を構成するには

  1. リモート管理対象のコンピューターで、サーバー マネージャーを開きます。サーバー マネージャーを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントし、[サーバー マネージャー] をクリックします。

  2. サーバー マネージャーのホーム ページにある [サーバーの概要] 領域で、[サーバー マネージャーのリモート管理の構成] をクリックします。

  3. 次のいずれかの操作を行います。

    • サーバー マネージャーによってこのコンピューターがリモート管理されるようにするには、[他のコンピューターからのこのサーバーのリモート管理を有効にする] をオンにします。

    • サーバー マネージャーによってこのコンピューターがリモート管理されないようにするには、[他のコンピューターからのこのサーバーのリモート管理を有効にする] チェック ボックスをオフにします。

    • リモート管理を有効にしようとしてもその設定を変更できない場合、「サーバー マネージャーのリモート管理向けにグループ ポリシーを設定するには」の手順を実行してから、次の手順に進んでください。

  4. [OK] をクリックします。

  5. 次のファイアウォールの規則の例外が有効にされ、グループ ポリシーの設定によって無効にされていないことを確認します。

    • リモート サービス管理 (NP-In)

    • リモート サービス管理 (RPC)

    • リモート サービス管理 (RPC-EPMAP)

    • リモート イベント ログ管理 (NP-In)

    • リモート イベント ログ管理 (RPC)

    • リモート イベント ログ管理 (RPC-EPMAP)

    • Windows ファイアウォール リモート管理 (RPC)

    • Windows ファイアウォール リモート管理 (RPC-EPMAP)

    これを行うには、次の操作を実行します。

    1. 次のいずれかの方法によって、セキュリティが強化された Windows ファイアウォール スナップインを開きます。

      • サーバー マネージャーのメイン ウィンドウの [セキュリティ情報] 領域で、[Windows ファイアウォールの表示] をクリックします。

      • サーバー マネージャーのツリー ウィンドウで [構成] を展開し、[セキュリティが強化された Windows ファイアウォール] をクリックします。

      • [スタート] ボタンをクリックし、[管理ツール] をポイントして、[セキュリティが強化された Windows ファイアウォール] をクリックします。

    2. [セキュリティが強化された Windows ファイアウォール] 詳細ウィンドウの [はじめに] 領域で、[受信の規則] をクリックします。

    3. 規則の一覧から、この手順に指定した規則を探します。

    4. 指定した規則のいずれかで [有効] 列に [いいえ] が表示されていた場合は、その規則をダブルクリックして [プロパティ] を開きます。

    5. その規則の [プロパティ] ダイアログ ボックスの [全般] タブで、[有効] を選択します。[OK] をクリックします。

      リモート イベント ログ管理のファイアウォール規則の例外が無効であっても、サーバー マネージャーによるリモート管理は可能ですが、これらのファイアウォール規則の例外が有効にされない場合、管理対象のコンピューターで実行されている役割と機能の数によってはリモート接続に時間がかかることがあります。接続に時間がかからないようにするため、リモート イベント ログ管理のファイアウォール規則を有効にすることをお勧めします。

Windows PowerShell を使用してサーバー マネージャーのリモート管理を構成するには

  1. リモート管理対象のコンピューターで、管理者特権で Windows PowerShell セッションを開きます。これを行うには、[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ]、[Windows PowerShell] の順にポイントして [Windows PowerShell] ショートカットを右クリックし、[管理者として実行] をクリックします。

  2. Windows PowerShell セッションで次のコマンドを入力し、Enter キーを押します。

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  3. 次のコマンドを入力して Enter キーを押し、すべての必要なファイアウォール規則の例外を有効にします。

    Configure-SMRemoting.ps1 -force -enable

Windows Server 2008 R2 の Server Core インストール オプションのリモート管理を構成するには

  1. リモート管理対象のコンピューターのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。このコマンド プロンプトは、Administrators グループのメンバーが Windows Server 2008 R2 の Server Core インストール オプションを実行するコンピューターにログオンする際に既定で開かれるものです。

    Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets

  2. インストールが完了したらアプリケーションをすべて閉じ、コンピューターを再起動します。

    Windows PowerShell と、サーバー マネージャーおよびベスト プラクティス アナライザーのコマンドレットがインストールされたことを確認するには、「oclist」コマンドを入力します。このコマンドは、コンピューターにインストールされているすべての Windows の機能の一覧を返すものです。

  3. オペレーティング システムが読み込みを完了したら、最低でも Administrators グループのメンバーとしてコンピューターにログオンします。

  4. コンピューターにログオンする際に開かれるコマンド プロンプトのウィンドウで、Windows PowerShell を開くため次のコマンドを入力し、Enter キーを押します。

    powershell

  5. Windows PowerShell セッションで次のコマンドを入力し、Enter キーを押します。

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  6. 次のコマンドを入力して Enter キーを押し、すべての必要なファイアウォール規則の例外を有効にします。

    Configure-SMRemoting.ps1 -force -enable

サーバー マネージャーを使用してリモート コンピューターに接続する

サーバー マネージャーを使用してリモート サーバーを管理するには、次の手順を実行します。

サーバー マネージャーを使用して別のコンピューターに接続するには

  1. サーバー マネージャーを開きます。サーバー マネージャーを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントし、[サーバー マネージャー] をクリックします。

  2. ツリー ウィンドウで、[サーバー マネージャー] を右クリックし、[別のコンピューターへ接続] をクリックします。

  3. [別のコンピューターへ接続] ダイアログ ボックスの [別のコンピューター] ボックスで、Windows Server 2008 R2 を実行する別のコンピューターの名前または IP アドレスを入力するか、ネットワーク上の別のサーバーを参照して選択します。[OK] をクリックします。

    [別のコンピューター] ボックスには、NetBIOS 名、完全修飾ドメイン名 (FQDN)、または IPv4 アドレスか IPv6 アドレスを指定できます。ポート番号を指定しない場合は、既定のポート番号が使用されます。[別のコンピューター] ボックスに指定できる形式の例を次に示します。

    • ComputerName

    • ComputerName:PortNumber

    • IP アドレス: n.n.n.n

    • IPv6 アドレス: [n:n:n:n]

    • IPv4 アドレス (ポート番号あり): n.n.n.n:PortNumber

    • IPv6 アドレス (ポート番号あり): [n:n:n:n]:PortNumber

    管理者がコンピューターの既定のポート番号を変更した場合は、既定以外のポートを Windows ファイアウォールで開き、そのポートでの着信接続を許可する必要があります。ポート 5985 は、このトピックの「サーバー マネージャーのリモート管理向けにグループ ポリシーを設定するには」で説明しているように、WinRM の構成時に既定で開かれます。既定以外のポートは、開かれるまでブロックされます。Windows ファイアウォールでのポートのブロックを解除する方法の詳細については、Windows ファイアウォールのヘルプを参照してください。WinRM の構成方法の詳細については、コマンド プロンプト セッションで「winrm help」と入力し、Enter キーを押します。

    リモート コンピューターに接続したら、サーバー マネージャー コンソールのコンピューター名が変更されていることを確認します。ツリー ウィンドウのサーバー マネージャー ノードに表示されたコンピューター名、サーバー マネージャーの [サーバーの概要] 領域の [フル コンピューター名] フィールド、およびコンソールの見出しに表示されたコンピューター名がすべて、接続先のリモート コンピューターの名前に変更されています。サーバー マネージャーでは IP アドレスが FQDN に解決されるため、IP アドレスを使用してリモート コンピューターに接続している場合、サーバー マネージャー コンソールには、リモート コンピューターの FQDN が表示されます。

    IP アドレスを使用して別のドメインにあるコンピューターに接続する場合は、リモート接続がエラーになる可能性があります。これは、DNS サーバーの制限のために、IP アドレスをホスト名に解決できない場合があるためです。このエラーが発生したら、FQDN を指定して接続を試してください。

Windows PowerShell セッションからリモート コンピューターに対してサーバー マネージャー Get-WindowsFeature コマンドレットを実行するには

  1. 管理者特権で Windows PowerShell セッションを開きます。これを行うには、[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ] 、[Windows PowerShell] の順にポイントして [Windows PowerShell] ショートカットを右クリックし、[管理者として実行] をクリックします。

  2. 次のコマンドを入力して Enter キーを押します。ComputerName は Windows Server 2008 R2 を実行するリモート コンピューターの名前であり、UserName はリモート コンピューターの Administrators グループのメンバーであるユーザーの名前です。

    Enter-PSSession <コンピューター名> -credential <ユーザー名>

  3. セキュリティで保護されたダイアログ ボックスが表示され、パスワードの入力が求められます。パスワードを入力し、Enter キーを押します。

  4. Windows PowerShell セッションで、サーバー マネージャー スナップインを読み込むため次のコマンドを入力し、Enter キーを押します。

    Import-Module ServerManager

  5. 次のコマンドを入力し、Enter キーを押します。

    Get-WindowsFeature

  6. Windows PowerShell セッションに Get-WindowsFeature コマンドレットの結果が表示されたら、Windows PowerShell セッションを閉じるために次のコマンドを入力し、Enter キーを押します。

    Exit-PSSession

サーバー マネージャーと MMC を使用して複数のコンピューターを管理する

複数の異なるリモート コンピューターを管理するための複数のサーバー マネージャー スナップインが含まれる、カスタムの Microsoft 管理コンソール (MMC) を作成することもできます。

サーバー マネージャーと MMC を使用して複数のコンピューターを管理するには

  1. Microsoft 管理コンソールを開くには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。

  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

  3. [利用できるスナップイン] 一覧の [サーバー マネージャー] を選択します。

  4. [追加] をクリックし、サーバー マネージャーを [選択されたスナップイン] 一覧に追加します。

  5. 必要な数のサーバー マネージャー スナップインが MMC に追加されるまで、前の手順を繰り返します。[OK] をクリックします。

  6. 新しい MMC のツリー ウィンドウでサーバー マネージャー スナップインの最上位ノードを右クリックし、[別のコンピューターへ接続] をクリックします。

  7. [別のコンピューターへ接続] ダイアログ ボックスの [別のコンピューター] 文字列ボックスで、別のコンピューターの名前または IP アドレスを入力するか、ネットワーク上の別のサーバーを参照して選択します。[OK] をクリックします。

    リモート コンピューターに接続したら、ツリー ウィンドウのサーバー マネージャー ノードのコンピューター名が変更されていることを確認します。

  8. MMC に他のサーバー マネージャー スナップインが含まれている場合は手順 6 以降の手順を繰り返し、そのサーバー マネージャー スナップインを別のリモート コンピューターに接続します。

  9. [ファイル] メニューの [上書き保存] をクリックし、カスタム MMC を保存します。

Windows 7 からのリモート管理

Windows 7 を実行しているコンピューターはサーバー マネージャーを使用して管理できませんが、リモート サーバー管理ツールをインストールすることで、Windows 7 を実行するコンピューターにサーバー マネージャーをインストールできます。Windows 7 用のリモート サーバー管理ツールは、Microsoft Web サイト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=131280) からダウンロードできます。リモート サーバー管理ツールをインストールしたら、サーバー マネージャー コンソールを、Windows Server 2008 R2 を実行するリモート コンピューターに接続して、このトピックの「サーバー マネージャーを使用して実行できるリモート サーバーのタスク」に示した接続先サーバーの管理タスクを実行することができます。

Windows 7 を実行するコンピューターにリモート サーバー管理ツールをインストールしたら、Windows Server 2008 R2 を実行するコンピューターで実行する場合と同じように、サーバー マネージャーのカスタム MMC を作成し、Windows Server 2008 R2 を実行する複数のリモート コンピューターを管理することができます。Windows 7 およびリモート サーバー管理ツールを実行するコンピューターにサーバー マネージャーのカスタム MMC を作成するには、このトピックの「サーバー マネージャーと MMC を使用して複数のコンピューターを管理する」を参照してください。

Windows 7 を実行するコンピューターからリモート管理するには

  1. Windows 7 を実行しているコンピューターにリモート サーバー管理ツールをインストールします。

    Microsoft の Web サイト (英語の可能性あり) からリモート サーバー管理ツール パッケージをダウンロードし、ダウンロード センターのページに示された手順に従ってリモート サーバー管理ツールをインストールします。

    リモート サーバーに接続されているサーバー マネージャー コンソールで役割固有または機能固有のツールやスナップインを使用するには、これらのツールを、リモート サーバー管理ツールを使用してソース コンピューターにインストールしておく必要があります。

  2. リモート サーバー管理ツールをインストールしたら、サーバー マネージャーを開きます。サーバー マネージャーを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントし、[サーバー マネージャー] をクリックします。

  3. ツリー ウィンドウで、[サーバー マネージャー] を右クリックし、[別のコンピューターへ接続] をクリックします。

  4. [別のコンピューターへ接続] ダイアログ ボックスの [別のコンピューター] 文字列ボックスで、Windows Server 2008 R2 を実行するコンピューターの名前または IP アドレスを入力するか、ネットワーク上の別のサーバーを参照して選択します。[OK] をクリックします。

    リモート コンピューターに接続したら、そのコンピューター名がサーバー マネージャー コンソールに表示されていることを確認します。ツリー ウィンドウのサーバー マネージャー ノード、サーバー マネージャーの [サーバーの概要] 領域の [フル コンピューター名] フィールド、およびコンソールの見出しには、接続先のリモート コンピューターの名前が表示されています。

目次