Trouble AID
〜トラブルから早く回復するための事前処理〜
0.改定履歴
- 1997.03.12 初版
- 1997.04.03 誤字脱字の修正
1.はじめに
このドキュメントはWindowsNT のトラブルに対処する為に,事前に考えておく必要がある話をまとめるものである.
2.ファイルシステムの選択
WindowsNTでは,複数のファイルシステムを扱うことが出来る. (NTで使えるファイルシステムについては,ドキュメント「ファイルシステムの選択の指針」を参照)
このファイルシステムであるが,今後導入するNTの指針としては,次のような切り分けとする.
次に,セキュリティ面と障害時の対処について,次にまとめる.
2.1 システム領域にFATを適用する理由
通常,パソコンベースのシステムでは,異常時のために緊急起動ディスクを作成する. これはMS-DOS,Windows3.1,Windows95でも同じである.
これまでのMicrosoft系OSでは,MS-DOSベースのOSを最低レベルとし,FD1枚でこの緊急起動ディスクを作成することが出来た. しかし,WindowsNTでは,それを作成することが出来ない.
そのために,別途MS-DOSで起動用ディスクを作成するのだが,ハードディスクのシステム領域がNTFSであると,MS-DOSからはアクセスする手段が無い. このためにシステムファイルの修復及びデータ領域の修復を行なう為の設定に時間がかかる,あるいはデータを損失する可能性が高くなる.
よってシステム領域はFATとするする.
次に,システム領域をFATにしておけば回復できたのではなかろうかと思われる例を挙げる.
2.1.1 システム領域の容量不足でNTがダウンしたケース
- NTサーバのドライブCにファイルがディスク容量一杯になっり,NTが不安定になったためにリブートした.
- ディスク容量が足りないために再起動が失敗した.
- NTの修復セットアップも,ディスク容量が足りないために実行できない.
このトラブルの場合,MS-DOSで起動し,システム領域の不要なファイルを削除,あるいは一時的に退避させ,ディスクの空き領域を確保すれば再起動できた可能性が高い. 再起動できなくても,必要なファイルを確保することが出来たハズであるが,NTFSであった為に出来なかった.
2.1.2 システムファイルが失われたケース
- 突然NTサーバが落ち,再起動できなくなった.
- 起動中に,システムで使われている幾つかのファイルが無いとエラーが出る.
この場合,そのエラーとなったファイル全てを単に複写するだけで回復した.
このケースの修復の場合,通常はシステム修復ディスクを用いるが,これを作成していなかった.
そのために別のディレクトリにNTを導入し,そちらから起動してNTFSのドライブをアクセスするしか無かった.
FATであれば,MS-DOSの起動ディスクで起動し,ファイル複写だけの簡単な作業であったはずである.
2.1.3 セキュリティの危険性
システム領域をFATにすることでセキュリティについて保証されない事になる. これは,前述のようにMS-DOSでアクセスできると言うこと,およびセキュリティ情報を持たないので誰でもアクセスできる点である.
しかし,誰でもアクセスできるという状況は,次の方法による場合であると思われる.
| シャットダウンする事が出来るユーザ,あるいは電源スイッチをOFFする,などでシステムを停止させ,MS-DOSの起動可能なFDを使ってMS-DOSでシステムをブートした場合 |
と言うことで,悪意をもった人あるいは管理者しかこれを実行する人はいないと思われる.
また,SNMPマネージャ機能によりサーバダウンを検出している場合(Dual Manager,NetViewなど)では,この場合のシャットダウンを検知でき,日中においては業務で使用しているのでユーザからのクレームが発生するので,それにて十分対処できる範囲であると思われる.
2.2 ユーザデータ領域をNTFSにする理由
2.2.1 アクセス権管理
NTFSでは,グループおよびユーザ単位にユーザ管理を行なえ,かつファイルおよびディレクトリにに対してアクセス権の設定を行なうことが出来る.
FATではこの設定が出来ない. セキュリティを確保するためにユーザデータが入るボリュームはNTFSにする.
2.2.2 ディスクの有効利用
ディスク上のデータは,クラスタ単位で管理される. FATでは,このクラスタサイズが大きくなるために有効にディスクスペースを使用できない.
ディスクを有効に使うためにNTFSにする.
3.緊急用ブート用システムの準備
WindowsNTのMicrosoftの資料,「コンセプト&プランニング」では,緊急起動用のブートディスクを,予め作成しておく必要があるとかかれている.
これは,前述の様にNTはFDなどで起動ディスクを作成することが出来ないからである.
推奨されている方法では,ブートドライブが物理的に破損した場合の為に,別ドライブに導入するようにかかれているが,ハードウェアRAIDを使っている場合はこれを守る必要は無い.
また,前述の「2.1.2 システムファイルが失われたケース」にあるとおり,通常動作しているNTがダウンした場合に,それを修復する為にバックアップ用のNTをもう1つ導入しておく方が,より回復作業が楽になる.
3.1 セカンドNTの導入考慮点
この場合,以下の点について考慮しなければならない.
- 通常起動するNTのデフォルトを設定しておく.boot.iniの編集.
- ネットワークカードのドライバを設定して,セカンドNTでも起動時にネットワーク接続が出来るようにしておく.
- 複数ベンダーのマシンを扱っていると導入されているネットワークカードの情報が曖昧になる.
- 壊れたNTからは情報を取れない.
- サーバマシンの裏側を見てカードを判別するのはけっこう難しい.(設置場所によっては壁があるので見づらかったり,カードの側面にかかれているとは限らない.)
- テープドライブのデバイスを設定
これは,セカンドNTが,緊急時にすぐに使えるようにしておく必要があるからである. 通常,一時的に再起動できた場合には,テープへユーザデータのバックアップをおこなう.
この時,テープドライブが破壊されている場合,ネットワーク経由でバックアップを取らなければならないのでネットワークも導入しておく.
4.バックアップドメインコントローラ(BDC)の準備
バックアップから上手く修復できず,NTを再インストールする事になった場合,バックアップドメインコントローラを設置して置けば,ユーザ情報を復元する場合に容易である.
たとえば,SNA ServerやSQL Serverでは,NTユーザのユーザID情報(システム内部で使われている番号)を利用してそれぞれの管理を行なうが,BDCがあればこの情報も失われず,再設定も不要である.
NTではセキュリティレベルを高めるために,あるユーザを削除し,後で同じ名前のユーザを作成しても,そのユーザID(システム内部)は同じ物にならない様に設計されている.
よって,BDCが無い環境で新規にNTをインストールした場合にはこれらの情報がマッチングしないため,再登録が必要となり,作業が多くなる.
また,ユーザが設定しているパスワード情報が失われる(管理者でもパスワードを知ることは出来ない)ので,ユーザに対してアナウンスなどが必要となってしまう.
