Windows Server 2022 — 典型ユースケース¶
Windows Server 2022 — 典型ユースケース(運用手順)
| ユースケース名 | 想定状況 | 手順サマリ | 使用コマンド / ツール | 注意点 | 出典 |
|---|---|---|---|---|---|
| Active Directory フォレスト/ドメイン構築 | 新規 AD 環境を初期構築(DC 1 台目) | 1) Server Manager または PowerShell で AD DS 役割を追加(Install-WindowsFeature AD-Domain-Services -IncludeManagementTools) 2) Install-ADDSForest -DomainName "corp.contoso.com" -DomainNetbiosName CORP で新規フォレスト昇格 3) DSRM パスワード設定、DNS サブシステム自動同梱 4) 起動後、AD DS ヘルスを Get-ADDomain / dcdiag で確認 5) 2 台目以降は Install-ADDSDomainController で追加 DC 昇格 |
Server Manager, Install-WindowsFeature, Install-ADDSForest, Install-ADDSDomainController, dcdiag, repadmin | DNS は AD と同時に自動構築。同フォレスト内に複数のドメイン作成は AD 設計検討必須。GC は最低 1 台必要 | S13, S27 |
| Hyper-V 仮想化基盤構築 | 物理サーバを Hyper-V ホスト化 | 1) Install-WindowsFeature Hyper-V -IncludeManagementTools -Restart 2) 仮想スイッチ作成(New-VMSwitch -Name External -NetAdapterName "Ethernet" -AllowManagementOS $true) 3) New-VM で VM 作成(Generation 2 推奨、UEFI / Secure Boot 既定) 4) New-VHD でディスク、Set-VMProcessor / Set-VMMemory でリソース調整 5) Live Migration / Replica が必要なら Failover Cluster へ参加 |
Hyper-V Manager, Windows Admin Center, New-VM, New-VMSwitch, New-VHD | CPU の SLAT (EPT/NPT) と仮想化拡張必須。Generation 2 VM は UEFI のみ。Shielded VM 利用時は Host Guardian Service が別途必要 | S55, S56 |
| Storage Spaces Direct (HCI) クラスタ構築 | 2〜16 ノードのソフトウェア定義ストレージ | 1) Datacenter エディションのノード(2〜16)に Failover-Clustering / File-Services 役割追加 2) Test-Cluster でハードウェア検証 3) New-Cluster でクラスタ生成(DNS / Cluster name 指定) 4) Enable-ClusterStorageSpacesDirect で S2D 有効化(自動でプール / キャッシュ構成) 5) New-Volume で ReFS ボリューム作成(Mirror / Parity) 6) Quorum を File Share witness か Cloud witness で構成 |
Test-Cluster, New-Cluster, Enable-ClusterStorageSpacesDirect, New-Volume, Get-PhysicalDisk | 10+ GbE RDMA (iWARP/RoCE) 推奨。各ノードに最低 SSD 2 + データドライブ 4。SAS/SATA は HBA + SAS Expander 経由 | S37, S9 |
| Failover Cluster + Quorum 設定 | 高可用クラスタ初期セットアップ | 1) 各ノードに Failover-Clustering 役割追加 2) Test-Cluster で検証レポート確認 3) New-Cluster -Name 4) Set-ClusterQuorum -CloudWitness -AccountName 5) クラスタ ロール(Hyper-V VM / File Server / SQL)登録 |
Test-Cluster, New-Cluster, Set-ClusterQuorum, Get-ClusterNode, Failover Cluster Manager | ノード数が偶数なら必ず Witness を設定。Cloud Witness は Azure Storage Account 必須。No Majority (Disk Only) は単一障害点となるため非推奨 | S58, S60 |
| WSUS による更新集中配布 | 閉域環境でセキュリティ更新を集中配布 | 1) Install-WindowsFeature -Name UpdateServices -IncludeManagementTools 2) WSUS Server Configuration Wizard 完了 → 同期スケジュール設定 3) コンピュータ グループ作成(OU と組み合わせ) 4) UUP(Windows 11 22H2 以降)対応のため、WSUS の IIS に必要な MIME を追加(公式 KB 適用) 5) クライアント GPO で WSUS サーバ URL 指定(HKLM\Policies\Microsoft\Windows\WindowsUpdate) |
Install-WindowsFeature, WSUS console (UUP after KB) | WSUS は WS2022 で deprecated(生産支援継続)。クライアントが WS2022 22H2 で UUP 必要時は MIME 追加が必須、未追加だと更新失敗 | S47, S11 |
| BitLocker 起動ドライブ暗号化 | OS ドライブを暗号化 | 1) TPM 2.0 + UEFI Secure Boot 構成確認(manage-bde -tpm -gettpm) 2) Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 3) Backup-BitLockerKeyProtector で AD / Azure へ Recovery Key エスクロー 4) Enable-BitLockerAutoUnlock でデータドライブ自動解除(必要時) 5) Get-BitLockerVolume で進捗確認 |
manage-bde, Enable-BitLocker, Get-BitLockerVolume, Backup-BitLockerKeyProtector | TPM 2.0 は BIOS Legacy / CSM では非サポート。Legacy → UEFI への変換は事前に mbr2gpt.exe を使用。System ドライブとは別ボリューム必須 | S25, S7 |
| Group Policy 配布と適用 | OU 単位での設定配布 | 1) Group Policy Management Console (gpmc.msc) で GPO 作成 2) Computer / User Configuration を編集(Administrative Templates / Security Settings 等) 3) 対象 Site / Domain / OU にリンク 4) WMI フィルタ / Security Filtering で適用範囲を絞り込み 5) クライアントで gpupdate /force → gpresult /h report.html で適用確認 |
gpmc.msc, gpedit.msc, gpupdate, gpresult, Get-GPO, Set-GPLink | OU 構造設計が GPO の継承挙動に直結。FGPP 等のドメインレベルポリシーは OU で上書きできない設定もあるので要計画 | S61, S13 |
| Cluster-Aware Updating で無停止パッチ | クラスタの月次更新を業務影響最小で実行 | 1) Add-CauClusterRole -ClusterName 2) Updating Run Profile を XML で定義(再起動可否、最大失敗ノード数等) 3) Invoke-CauRun でリモートから単発実行、または定期スケジュール 4) 各ノードを順次 maintenance mode → 更新 → 再起動 → 復帰 5) Get-CauReport で監査 |
Add-CauClusterRole, Invoke-CauRun, Save-CauDebugTrace, Get-CauReport, ClusterAwareUpdating GUI | S2D クラスタの更新は CAU 推奨。Hyper-V VM ライブマイグレーションや SMB Transparent Failover と組み合わせると本当に無停止になる | S59, S37 |
| リモート管理 (RSAT / WAC / OpenSSH) | Server Core を遠隔管理 | 1) クライアント側に RSAT (Remote Server Administration Tools) インストール 2) Windows Admin Center をゲートウェイサーバへインストール(msi 配布) 3) Server Core 側で OpenSSH を Optional Feature で導入:Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0 4) Set-Service sshd -StartupType Automatic; Start-Service sshd 5) Firewall ルール: New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22 |
RSAT, Windows Admin Center, Add-WindowsCapability, sshd, Enable-PSRemoting | WS2022 では OpenSSH は Optional Feature(既定インストールされない)。WS2025 では既定インストール済みだが既定無効。WAC は HTTPS / 443 が標準 | S46, S45, S10 |
| Hotpatch(Azure Edition)導入 | 再起動回数を削減してパッチ運用 | 1) Datacenter: Azure Edition VM を Azure(または Azure Local 22H2 以降)にデプロイ 2) Azure Automanage または Azure Update Manager の Hotpatch オプションを有効化 3) Hotpatch 月(年 8 回)と LCU 月(年 4 回)の交互サイクルを確認 4) Azure Arc 接続マシンで WS2025 を使う場合、月額課金ベースで Hotpatch サブスク追加 5) Get-WindowsUpdateLog 等で Hotpatch 適用履歴確認 |
Azure Update Manager, Azure Automanage, Get-HotFix, Get-WindowsUpdateLog | Container ベースイメージ・カスタムイメージ・サポート外 SKU では Hotpatch 不可。Hotpatch ベースライン LCU 月は再起動必須なので保守窓計画必要 | S12 |
| TLS 1.0/1.1 の無効化 | コンプライアンス対応で旧 TLS を遮断 | 1) HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server で Enabled=0, DisabledByDefault=1 2) 同様に TLS 1.1 / SSL 3.0 / SSL 2.0 を無効化 3) Cipher Suites で弱い AES-CBC / RC4 / 3DES を無効化(Disable-TlsCipherSuite) 4) アプリ側 .NET / Java / レガシ製品の影響評価 5) IISReset / 関連サービス再起動で反映 |
regedit, Disable-TlsCipherSuite, Get-TlsCipherSuite, IISReset | TLS 1.0/1.1 は WS2025 で既定無効化済。WS2022 では明示無効化が必要。レガシ業務アプリ(古い JDK / SQL クライアント等)に注意 | S23, S24, S11 |