あいしんくいっとオススメ商品レビュー

WindowsServer2012R2を構築したら設定しておくべき設定項目14選!

本記事対象
WindowsServer2012R2を構築する上で設定しておくべき設定項目について知っておきたい方

ども。あいしんくいっと(@ithinkitnet)です。

インフラエンジニアであれば、AWS上のEC2でWindowsServer2012R2を構築する機会もあるかと思います。
今回はEC2でWindowsServer2012R2を構築する際に設定しておくべき項目を14つ挙げておきたいと思います。

Point
WindowsServer2016で設定すべき項目はこちら。
WindowsServer2016を構築したら設定しておきたい5つの項目!

Windows Server 2012 R2を構築する際に設定しておくべき項目14つ + α

ホスト名設定

当り前だろっ!(怒)と思われるかも知れないですが、ホスト名の変更は必要です。
GUIでの変更手順は知れ渡っているので省略しますが、PowerShellで簡単にホスト名変更&再起動が同時に出来ます。

Rename-Computerコマンドレット
Rename-Computer <変更したいホスト名> -Force -Restart
Rename-Computer実行画面

Point
Rename-Computerを実行すると即座にOS再起動がかかるので注意してください。
OS再起動後にホスト名を確認すると無事に変更されていました。
ホスト名確認画面

administratorのパスワード変更

administratorのパスワードは必ず変更しましょう。
DOSコマンドで一発パスワード変更出来ます。

net useコマンド
net user administrator <任意のパスワード>
net useでパスワード変更
画像では例として簡単なパスワードを設定していますのでマネしないでください(笑)
平文で指定する必要があるので実行する際は背後に気をつけましょう。

ユーザーに簡易なパスワードを設定する手順はこちらを参照。
【Windows】簡易なパスワードを設定!パスワードポリシーを変更する方法

Windows Update実行/確認

これは必須ですね。「お使いのコンピュータは最新です」って表示されるまで実行すると良いでしょう。
Windows Updateが当て終わったら「自動更新」は必ず無効にしておきます。

WindowsUpdateが上手く適用出来ない場合は下記の記事を参照してみてください。
WindowsUpdate失敗!「インストールを待機しています」から進まない時の対処法WindowsUpdateエラー「8024402F」はsquidキャッシュの削除で直るかも?

適用したパッチの一覧が欲しければ下記のコマンドを実行すると取得できます。
GUIで確認しても良いのですが、こちらのほうが切り貼り加工出来るのでオススメです。
PowerShellの場合

Get-WmiObjectコマンドレット
Get-WmiObject win32_QuickFixEngineering
Source Description HotFixID InstalledBy InstalledOn
------ ----------- -------- ----------- -----------
WIN-0DUCV7... Security Update KB2894856 NT AUTHORITYSYSTEM 2014/10/15 0:00:00
WIN-0DUCV7... Update KB2896496 NT AUTHORITYSYSTEM 2014/06/20 0:00:00
WIN-0DUCV7... Update KB2919355 WIN-0DUCV7CCGR4A... 2014/03/18 0:00:00
~略~

DOSコマンドの場合

systeminfoコマンド
systeminfo
~略~
ホットフィックス: 315 ホットフィックスがインストールされています。
[01]: KB2849697
[02]: KB2849696
[03]: KB2841134
[04]: KB2841134
[05]: KB2670838
[06]: KB2830477
[07]: KB2592687
~略~

IPV6の無効化

IPV4でのIP枯渇問題に対応すべく誕生したIPV6ですが、現状では使うことは無いと思うので無効化しておきます。
まず、ローカルエリア接続ipv6のチェックを外します。
ローカルエリア接続でipv6のチェック外す
次にレジストリエディタを起動して、“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTCPIP6Prameters”の「DisableComponents」の値を「oxffffffff」に変更します。(10進数だと4294967295
レジストリエディタで「DisableComponents」の値変更

注意
レジストリ弄るのは危険なのでくれぐれも慎重に作業してください。

追記:コメントにある通り、情報提供を頂きましたのでこちらも参考に設定してください。

参考 IPv6 または Windows のコンポーネントを無効にする方法

以上でIPV6は無効化され、DOSプロンプトで「ipconfig」を実行した場合のIPV6表示されなくなります。
ipconfigコマンドの結果でipv6が非表示

Windowsファイアウォール無効化

環境によるかもですが、AWS環境だと無効化する事が多いように思います。
無効化する場合は無効化しておきましょう。
PowerShellのコマンド一発で有効/無効化出来ます。

ファイアウォール無効化

Get-NetFirewallProfileコマンドレットでFW無効化
Get-NetFirewallProfile | Set-NetFirewallProfile -Enabled false

ファイアウォール有効化

Get-NetFirewallProfileコマンドレットでFW有効化
Get-NetFirewallProfile | Set-NetFirewallProfile -Enabled true

リモートデスクトップ接続数

リモートデスクトップ接続設定については下記の記事を確認して下さい。
Windows Server2012 R2でリモートデスクトップの同時接続制限解除+ユーザ追加他

サーバマネージャの起動抑止

デフォルトだと、OSが起動する度にサーバーマネージャーが起動するので抑止します。
使う時にだけ、任意で起動すれば良いかと。
ログオン時にサーバーマネージャーを自動的に起動しないのチェック外す

注意
もしかしたら、EC2ではすでにチェック入っているかも知れません。
入ってれば本項は無視してください。

仮想メモリの設定

基本的にはデフォルト設定である「自動メモリ管理」で良いと思いますが、環境に合わせて適宜変更してください。
すべてのドライブのページングファイルのサイズを自動的に管理するにチェックが入っていること

イベントログ最大サイズの変更

必要に応じてイベントビューアの最大ログサイズを変更しておきます。(デフォルト:20MB)
基本的に「システム」「Application」「セキュリティ」あたりを設定しておけば良いと思います。
イベントビューアの最大ログサイズ

OS時刻設定

EC2だとロケールがUTCなのでJSTに変更します。
タームゾーンの設定

不要サービスの停止

不要なサービスはStop-Serviceコマンドレットを使って停止しましょう。

Stop-Serviceコマンドレット
Stop-Service -Name Spooler -PassThru

Status Name DisplayName
------ ---- -----------
Stopped Spooler Print Spooler

Windowsサービスを細かく管理したいならこちらの記事を参照。
Windowsサービスをコマンドで起動・停止、自動起動無効化・有効化する方法

フォルダ表示項目の変更

Windowsサーバを管理する上で、隠しファイルや拡張子は見えた方が便利なのでチェックを入れて見えるようにします。
フォルダオプション

エクスプローラでプレビュー見たい場合はこちらも。
Windowsエクスプローラで画像プレビューが表示されない場合の対応

IE ESCの無効化/セキュリティ設定

サーバでIEを使う機会は少ないとは思いますが、ブラウジングする度にブロックに引っかかるのはどうかと思うので、無効化しておきます。
設定はサーバーマネージャーを起動して行います。
Internet Explorerセキュリティ強化の構成
合わせてインターネットオプションの「TLS1.0」「TLS1.1」「TLS1.2」の3つにチェックマークを付け、「SSL2.0」、「SSL3.0」のチェックは外しておきましょう。
インターネットオプションTLS設定項目

電源オプションの変更(必須)

EC2の場合、デフォルトだと電源オプションが「バランス(推奨)」になっているので、必ず「ハイパフォーマンス」に変更しておきましょう。
でないと本来のパフォーマンスが得られない可能性があります。
電源オプション ハイパフォーマンス


Windows Server 2012 R2を構築する上で押さえておきたい設定項目を14つ紹介しました。

ithinkit

これは必要だ!”といった設定項目を発見したら、紹介したいと思います。

以上、あいしんくいっとでした。

2 COMMENTS

アバター toorisugari

https://support.microsoft.com/ja-jp/kb/929852
Microsoft公式サイトによれば、

重要: インターネット プロトコル バージョン 6 (IPv6) は、Windows Vista の必須の部分は、それ以降のバージョンの Windows です。IPv6 またはそのコンポーネントを無効にすることはお勧めしません。Windows コンポーネントの一部が機能しない可能性があります。さらに、IPv6 が無効の場合ないで正しく、DisabledComponentsレジストリ設定を0 xfffffffの値に設定は、システムの起動を 5 秒間延期されます。正しい値は、 0 xffで必要があります。

とのことですので、情報提供いたします。

返信する
あいしんくいっと あいしんくいっと

有益な情報ありがとうございます。
参考にさせて頂きます。

返信する

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)