Windows Server 2022 with PS 第18章

2025.02.01

第18章: 実践プロジェクト ~ PowerShellで構築する包括的なWindows Server 2022環境

1. この章で解説する主要な技術・概念(箇条書き)

  1. プロジェクトの要件定義と計画
    • インフラ要件、ドメイン構成、ネットワークレイアウト、セキュリティポリシー
    • スクリプトによる構成管理の方針と標準化
  2. 設計図作成とステージング環境の構築
    • 設計書(ネットワーク図、役割分担図、スクリプト一覧)をまとめる
    • 検証用のステージング/テスト環境を用意するメリットとやり方
  3. PowerShellスクリプトによる環境構築フロー
    • OSインストール後の初期設定:ネットワーク、ホスト名、ライセンスアクティベーション
    • ADドメイン参加、グループポリシー適用、Hyper-V導入、サーバーロール追加など
  4. テストスクリプトと自動検証
    • 構築後のサーバー状態(サービス/ロール/ネットワーク設定など)を検証し、レポート化
    • スクリプトのユニットテストとシステムテストをセットにするDevOps的手法
  5. デプロイメントと本番移行
    • ローリングアップデート方式や、一括置換方式など本番移行計画
    • 既存サーバーとの共存期間やDNS切り替え手順
  6. 運用開始後のモニタリングとメンテナンススクリプト
    • ログ/監査設定、バックアップスクリプト、メンテナンスタスク(デフラグ、パッチ適用など)の自動化
    • 障害発生時のリカバリ・スクリプトとHA/DR連携
  7. プロジェクト振り返りとベストプラクティスの共有
    • 運用実績のレビュー、Pull Requestベースの改善サイクル
    • 次の拡張フェーズ(クラウド連携やオンプレKubernetes化など)の展望

2. プロジェクトの要件定義と計画

2-1. インフラ要件の整理

  1. サーバー台数・役割分担:
    • 例: ADドメインコントローラー×2台、ファイルサーバー×2台、Webサーバー×3台、Hyper-Vホスト×2台 など
  2. ネットワークレイアウト: サブネット、VLAN、IPアドレスプラン
  3. セキュリティポリシー: パスワードポリシー、ファイアウォールポート要件、監査ログ要件
  4. 可用性レベル: フェイルオーバークラスタリングやDRサイトが必要か?RPO/RTO目標など

2-2. スクリプト活用方針と標準化

  • 「Infrastructure as Code (IaC)」 の考え方:構成ファイル+PowerShellスクリプトでサーバー構築手順を定義し、一貫して実行。
  • ロールや機能のインストールからセキュリティ設定まで、全工程をスクリプト化→バージョン管理。
  • Pull Requestフローでレビュー→テスト環境で試験→本番に反映する運用。

3. 設計図作成とステージング環境の構築

3-1. 設計書(ネットワーク図、役割分担図、スクリプト一覧)の策定

  • ネットワーク図: どのサブネットにどのサーバーが配置され、ルータやファイアウォールをどう通るか
  • 役割分担図: サーバーごとに「AD DS」「DNS」「IIS」「SQL」などのロール割り当て
  • スクリプト一覧:
    • 初期設定スクリプト(ホスト名・IP変更)
    • ドメイン参加スクリプト
    • ロール導入スクリプト (Install-WindowsFeature)
    • グループポリシー導入スクリプト
    • ハードニング(セキュリティ設定)スクリプト

3-2. 検証用ステージング環境の重要性

  • 本番と同じ構成(縮小版)をHyper-V上などで再現し、全スクリプトを実行テストしてから本番投入する。
  • ステージング環境でDRテストやパフォーマンス検証も行い、マイグレーションリハーサルを実施すれば本番移行リスクが大幅低減。
  • 例: 同じドメイン名のサブドメインを切り出す、または分離されたテストドメインを用意。

4. PowerShellスクリプトによる環境構築フロー

4-1. OSインストール後の初期設定スクリプト

# Init-Server.ps1 : ホスト名変更、IP固定、Windows Update設定など
param(
    [string]$Hostname,
    [string]$IPAddress,
    [string]$Gateway,
    [string[]]$DnsServers
)
# 1. Rename-Computer
# 2. Remove-NetIPAddress ... New-NetIPAddress
# 3. Set-DnsClientServerAddress
# 4. Windows Update設定(sconfig, USOClientなど)
# ...
  • これをタスクスケジューラやリモートPowerShell(Invoke-Command)で複数サーバーへ展開し、画面操作を最小化。

4-2. ADドメイン参加とGPO適用

# Join-Domain.ps1
Add-Computer -DomainName "example.local" -Credential (Get-Credential) -Restart
  • 再起動後、Default Domain Policy分割されたOUごとのGPOが適用される。
  • サーバーによってはドメインコントローラー昇格(Install-ADDSForest)やDNSロール導入なども自動化。

4-3. Hyper-V導入・ロール導入

Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Install-WindowsFeature -Name Web-Server, DNS -IncludeManagementTools
  • ロールインストール後にPowerShellスクリプトで構成(IISサイト設定やDNSゾーン作成など)を流す。
  • Security観点で不要な機能をUninstall-WindowsFeatureで事前に削除しておく。

4-4. セキュリティ強化スクリプト(ハードニング)

  • 例:
    • ファイアウォールルール設定 (New-NetFirewallRuleRemove-NetFirewallRule)
    • ローカルセキュリティポリシー(レジストリ / secpolテンプレート適用)
    • ACL設定(ファイルサーバー用のディレクトリ権限、監査ログ有効化)
  • これらをモジュール化して、サーバーの種類(Web, DB, ファイル)に応じたハードニング項目を呼び出す仕組みにする。

5. テストスクリプトと自動検証

5-1. サーバー状態チェックのユニットテスト化 (Pester)

Pesterフレームワークを利用し、「このサービスはRunningであること」「特定のポートが空いていること」などのテストコードを記述。

例:
Describe "Server Core Hardening" { It "Should have Firewall enabled" { (Get-NetFirewallProfile -Profile Domain).Enabled | Should -Be $true } It "Service DNS is running" { (Get-Service -Name DNS).Status | Should -Be "Running" } }

スクリプト実行後に Invoke-Pester して、全サーバーが条件を満たすかチェック。

5-2. 最終チェックレポート

  • テストが全てパスしたらHTMLレポートCSVログを生成し、構築のコンプライアンス状況もあわせてまとめる。
  • SecurityログのAudit Policyも同時に確認し、想定どおりの監査設定になっているか検証。

6. デプロイメントと本番移行

6-1. ローリングアップデート・置換方式など本番移行戦略

  1. 新サーバー構築テスト完了本番既存サーバーから切り替え(DNSレコード切り替えやロードバランサのVIP切り替え) → 旧サーバー退役
  2. ローリングアップデート: クラスターなどHA環境で、一台ずつ新スクリプトを適用しながら本番サービスを維持。
  3. 物理サーバーの大量リプレース時は、PXE + PowerShellで完全自動構築する企業事例もある。

6-2. 既存システムとの共存期間やDNS切り替え

  • DNSのTTLを短く(例: 300秒)設定し、切り替え時にキャッシュを最小化。
  • ドメインコントローラーはマルチマスターだが、FSMO役割転送を計画的に実施する。
  • ファイルサーバー移行時はDFS Namespacesローブリックを使ってダウンタイムを抑えるシナリオもあり。

7. 運用開始後のモニタリングとメンテナンススクリプト

7-1. ログ/監査設定の維持

  • 第9章や第10章で学んだイベントログ監視セキュリティログ監査を常時有効化し、SIEM連携やメール通知スクリプトを埋め込む。
  • サーバー追加やロール変更時も同様の監査設定が適用されるようスクリプトに反映しておく。

7-2. バックアップスクリプトとメンテナンスタスクのスケジュール

  • 第8章で確立したバックアップスクリプトをタスクスケジューラで定期実行し、異常検知時は通知。
  • ディスク最適化(Trim/Defrag)、ログローテーション、Windows Updateパッチ適用なども自動実行を設定し、日常運用の手間を削減。

7-3. 障害発生時のリカバリ・スクリプトとHA/DR連携

  • 第16章のHA/DRソリューションと統合し、本番サーバーが障害を検知したらフェイルオーバークラスタStorage Replicaを駆使して切り替えるスクリプトを自動的に呼び出す。
  • マニュアル上も含めて運用チームが即実行できる形にしておくとダウンタイムを最小化。

8. プロジェクト振り返りとベストプラクティスのまとめ

8-1. 運用実績レビューとPull Requestフロー

  • 運用を始めてから1~2ヶ月後に実際の問題点不足機能が見えてくる。
  • GitリポジトリPull Requestでスクリプトを改善し、PesterテストなどCIパイプラインで合格したらデプロイするループを回すと、継続的改善が容易。

8-2. 今後の拡張フェーズ例

  • クラウド連携: Azure ArcやAWS Systems Managerと組み合わせる、ハイブリッド運用シナリオ
  • オンプレKubernetesやWindowsコンテナへのアプリ移行
  • DevOps: Azure DevOps / GitHub Actionsでのスクリプトデリバリーインフラパイプライン構築

8-3. 全体のベストプラクティス

  1. Infrastructure as Code (IaC)の徹底:構成と手順をすべてバージョン管理し、手動作業を排除。
  2. ステージング環境での検証:無理なくリハーサルとロールアウトを繰り返す。
  3. Pull Request+自動テスト(PSScriptAnalyzer, Pester)フローで品質確保。
  4. セキュリティ設計:不要機能削除、監査ログ常時有効、監視ツール連携で継続的にリスク軽減。
  5. 運用継続:障害対応スクリプトやDR計画も含めてドキュメント化し、定期レビューする。

9. 章末まとめ

9-1. 学習のまとめ

  • 本章では、実践プロジェクトとして、Windows Server 2022の構築~運用に必要な全工程をPowerShellスクリプトで自動化・標準化する流れを示しました。
  • 要件定義設計図作成を明確化し、ステージング環境での徹底テストを経て本番へ移行するスタイルを確立すれば、大規模でも品質スピードを両立可能。
  • スクリプト群(初期設定、ロール導入、ネットワーク設定、セキュリティ強化、バックアップ自動化など)をモジュール化・バージョン管理し、Pull Requestベースのレビューを回すことで運用改善が持続しやすい。
  • 運用開始後は監視メンテナンス障害対応に関するスクリプトも揃え、HA/DR構成との連携を深めることで、サーバー環境の安定稼働を達成。