サーバー管理はたいへんですかね？教えてください。

　今、会社で３０台程のパソコンを２０００のＰＣをサーバー変わりにして入れているのですが、今度個人情報保護法の事もあり、ファイアーウァールのあるメインサーバーとバックアップサーバーと、社内メール用にメールサーバーの３台とグループウエアーを入れる予定で年間保守契約もするのですが、こんな感じで行く場合、社内のパソコン担当職員は大変ですかね？
　イメージーがよくわかなくてお尋ねします。

No.1 ベストアンサー 回答者： yetinmeyi 回答日時： 2005/04/21 10:12

サーバー管理はたいへんですかね？教えてください。

通常に運用できていれば、問題ないのですが、最近、ウィルスの問題やら、パソコンが動かない、ソフトウエアがインストールできないなど、教えて!GOOで質問されている内容がほとんど、サーバー管理者にのしかかってきます。

大変です。でも、どの仕事も大変ですから。

参考URL：http://www.chuokai-kanagawa.or.jp/it_suishin/a/i …

この回答へのお礼

貴重なアドバイスおよび参考ＵＲＬありがとうございます。また、いろいろ教えてください。ほんとに奥深いですね・・・ありがとうございました。

お礼日時：2005/04/21 16:18

No.13 回答者： ex_hmmt 回答日時： 2005/04/24 21:22

今回は暗号化についてのみ。

＞市販の暗号化できるソフトを購入しました。ＰＣを複数共有する時などにそのファイルに
＞パスワードかけて暗号化できますが、１回１回暗号化して。
＞見る時また複合化して、また見終わると暗号化しなければいけない

なるほど。これは大変です。
Windows2000以降の機能で、EFSというものがあります。
先の回答でも少し触れましたが。

EFS （Encrypting File System）
http://www.atmarkit.co.jp/icd/root/31/11152331.h …

Windows XPとは何か？
14．暗号化ファイル・システム：EFS
http://www.atmarkit.co.jp/fwin2k/special/winxp_o …

Windowsにおける物理アクセス対策 － EFSとSYSKEY
http://www.st.rim.or.jp/~shio/csm/efs/

これはどういうものかというと、要するにEFSによって暗号化したものは、そのユーザーは普通にアクセスすれば見られるけれど、他のユーザーは見れない、というものです。この暗号化は、かなり強固なもので、かなりのコンピュータ時間をかけないとまだ破れません。

そして、先の回答でも紹介した、ActiveDirectoryによるドメインを導入すると、暗号化するユーザを個々のコンピュータのユーザではなく、ドメインのユーザで管理できるので、一元管理が楽になります。（さらに、さっき上げたURLでも紹介されてた通り、XPだと読めるユーザーを複数指定できます）

まぁ、ActiveDirectoryには苦労も多いですが、導入すればそれなりの効果もありますので、正直優先順位としては、グループウェアより上だと思うんですけどね。

まぁ、ActiveDirectory入れなくても、ファイルの暗号化は、2000以降なら標準で使える機能です。高い専用ソフト使う前に(買っちゃったわけだからアレだけど、それより使い勝手は良さそうですし）使ってみてはいかがでしょう。ただし、ActiveDirectoryを導入していない場合、そのマシンのローカルユーザーかAdministratorしか暗号化を解除できないのが欠点ですけれど。
（ですから、十分な情報を得て、利点と欠点を理解してから本格導入するのが重要です）

この回答へのお礼

参考のご意見ありがとうございます。暗号化のもともとのソフトについてまた、教えていただいた事、やってみょうかと思います。ありがとうございます。
　ご質問への回答みなさまありがとうございます。そろそろこの質問も２ページ目にいきそうなので、２ページ目になりましたら、名残惜しく、もっと教えてほしいのですが、終了とさせていただきます。ほんとにたくさんのご回答ありがとうございました。

お礼日時：2005/04/26 15:10

No.12 回答者： 0103papa 回答日時： 2005/04/23 00:16

ex_hmmtさん。

早速の回答有難うございました。

私の認識不足＆表現ミスでお手数をおかけしてしまいました。

※今回の一件が無ければ、ずっと中途半端な知識のままになってしまうところでした。本当に有難うございます。

No.11 回答者： ex_hmmt 回答日時： 2005/04/22 23:53

0103papaさんへ、

Express5800/120Rg-2、もしくはその前の型であるRf-2、さらに前の型であるRe-2では、二発のCPUを積んでおけば、自動的に縮退運転出来たと思います。2uの普通のラックサーバです。少なくとも、Rf-2では故障時の縮退運転実績あり、です。実際に私が故障に直面しましたので（笑）…ただし、故障した際には一度再起動とか走るかもしれません。どうだっけなぁ。少なくとも片肺で動作はしてくれるのは事実です。ああ、そうか、そういう意味では駄目ですね、一度システムの停止は走る…と思います。そういう意味で、ftサーバのように、動作を停止せずに縮退するような動作はできないのかな。そこが認識の差として出てきたんですね。そういう意味では0103papaさんの言うことは正しいです。うん、動作し続ける事は出来ない。ただし、リブートして片肺として縮退運転は開始できます。それは自動で行う事は可能です。

他社でもおそらく、同クラスの(少なくとも私の基準で）普通のサーバであれば、縮退運転してくれると思います。さらに、Rg-2クラスであれば電源も二重化できますし、ftサーバでなくてもかなりの対障害性能を持つ事が可能です。まぁ、CPUの場合は、さっき言ったように故障時に再起動がかかるのと、故障から回復しようとすると修理交換時に一度サーバを停止しなければいけないんで、完全な形のフォールトトレラントではありません。とりあえず、Rg-2では、RAIDによるHDDの冗長化、CPUの多重化、電源の多重化、は可能なはずです。

No.10 回答者： 0103papa 回答日時： 2005/04/22 23:32

あああ・・・お恥ずかしい話です。

私の経験不足が露呈してしまいました。

せっかくですのでこの場をお借りしてex_hmmtさんにお尋ねしたいのですが、いわゆる「普通のサーバ」においてはCPUが稼動中に故障した場合、そのまま自動的に（稼動し続けながら）縮退運転に切り替わるのでしょうか？
※高価なftサーバの類でしか出来ないものだとばかり思っていたので・・・恥ずかしいっす・・・

No.9 回答者： ex_hmmt 回答日時： 2005/04/22 21:04

まず、失礼しましたという事から。

＞１００人程職員いる
ここを見落としてました。最大ユーザー数は100程度と考えた方がいいですね。
でも、まぁ、ANO.5で提示した条件で十分賄えるはずですが。

あと、0103papaさん補足ありがとうございました。
非常に判りやすくなったと思います。

正直、私が「普通のサーバ」と考えてるのは、要するにNECのExpress5800/100シリーズくらいのものです。それ以下のものもまぁ、サーバと呼べなくはないですが、耐障害性能などを考えると、このクラスが一番リーズナブルになるんじゃないかと思うんです。
ぶっちゃけANo.5で想定したサーバは、NECのExpress5800/120Rg-2
http://www.express.nec.co.jp/products/100/120rg- …
だったりします。
こいつの場合CPU片肺運転も可能です。あくまで緊急用ではありますけどね。ちょっと気になったのは

＞ ※ごく特殊なケースを除いてCPUの片肺運転はできませんので、障害対策にはなりません。

そうなのかなぁ。私の知ってるサーバは基本的に片肺運転可能なのが殆どなんだけど…サーバと称した単なるPCは大抵駄目っすけどね。

＞、メインが停止した時に自動で変わりに動いてくれる役割

これはそういう機能があるサーバを提示されたってことですか？(クラスタサーバとかかなぁ）
特別に機能がなければそういう事はできませんが…いやまぁ、自分でいろいろやって擬似的にそういうものにできなくはないけど、結構面倒ですぜ。

あと、正直ウェブサーバを立てる＝一つ余計な厄介を抱え込む　という事であるという事は把握しといてください。

ウェブサーバやメールサーバなんて、内部に立てる必要はありません。能力がある人がいて、その人が余裕で面倒見れるぜーって場合は別ですけど。特に、そのウェブサーバがイントラ用ではなく、外部へ公開するという場合なんか、まともな管理者が居ない場合、内部にウェブサーバを立てるなんざ自殺行為です。
…イントラ用だけなら…まぁいいかなぁ…
でも、メールサーバは外部とのやりとりも発生する事になるでしょうから（結局なるんですよ！）外部へアウトソーシングしてしまうのがいいです。自分がやらなきゃいけないことは、一つでも減らしましょう。むしろその方がトータルコストは下がると思いますよ。実は。

「Keep It Simple, Stupid」という格言があります。山形浩生氏による翻訳「ハッカー界小史」
http://cruel.org/freeware/hackerdom.html
では、こう訳注されています。
＞（訳注：Keep It Simple, Stupid、通称 KISS。
＞「ごちゃごちゃ余計なものくっつけんじゃねーよ、バーカ」
＞というのが正しい訳だけど、まあふつうは
＞「単純なのがおよろしゅうございます」とか訳されるなあ。）

まず、最小構成で、現在やらなければならない事を行いましょう。
それが管理できるようになったら、次へ進む。もしくは、自分で管理できる自身がない部分は、外へ投げるんです。契約してね。そうしないと、必ずどっかで破綻すると思います。いや、破綻しないかもしれませんがね、とんでもなく大変な事になると思います。

それに、私としては100人ユーザクラスで、個人情報保護法対応、という事になるなら、グループウェアだのなんだのより、まずはドメイン環境（ActiveDirectory）を導入して、ユーザ管理を徹底し、秘密にしなければならないファイルの暗号化（EFSとかでね）を行う、という事を優先するべきだと思います。

グループウェアの必要性ってのは、実はそう高くないんじゃないかと思うんですが、まぁ環境にもよるんですけど…どういう必要からグループウェアという話が出てきたのでしょうか？

この回答へのお礼

いろいろありがとうございます。最後の方の文なんですが、当方は、市販の暗号化できるソフトを購入しました。ＰＣを複数共有する時などにそのファイルにパスワードかけて暗号化できますが、１回１回暗号化して。見る時また複合化して、また見終わると暗号化しなければいけないので、これは、他の社員面倒でせんわ～、メールも添付文はyahooメールでも暗号化（パスワード）できたのですが、本文はできませんでした。（outlook）はできましたが。でも操作の手間は同じなので、やはりファイアーウォールでカーバーか～と安易に思ってしまいました。メールも社内メールで外部にもれないようにで。すいません。お礼のコーナーなのに・・・今回またまたアドバイスありがとうございました。幼稚園児に教えるようにしてまた何かあればお願いします。

お礼日時：2005/04/23 09:02

No.8 回答者： keroro-gunsou 回答日時： 2005/04/22 19:36

#4です。

板汚しでスミマセン。

0103papaさん、共鳴嬉しいです！！

みなさん頑張りましょう！

この回答へのお礼

　ほんとに気持ち少し感じてきました。ハード面はむずかしいですが・・・がんばります。

お礼日時：2005/04/22 23:22

No.7 回答者： 0103papa 回答日時： 2005/04/22 12:57

あー（＾＾；　推敲したつもりなのにミスが多いなぁ・・・

SCSIに関する説明内の「A-ATA」 →　「S-ATA（シリアルATA）」

HDD5発　→　HDD6発　（失礼しました）

1発は予備用　への補足
　ホットスタンバイ（ホットスペアとも言う）を利用することで自動的に冗長化された構成に戻りますので、交換までのタイムラグも安心して運用できます。

この回答へのお礼

わざわざ訂正を教えていただきありがとうございます。参考にさせていただきます。

お礼日時：2005/04/22 23:17

No.6 回答者： 0103papa 回答日時： 2005/04/22 12:18

個人の趣味で運営するのならともかく、仕事でサーバを利用するにあたっては「可能な限り動きつづける」ことが重要になります。

軍曹さんがおっしゃってるように、（障害等による不意の）計画外停止は大変な事になってしまうのですぅ。お互いツライですよね。タマタマタマタマ・・・（共鳴）
※判る人にしか判らないネタですいません（＾＾；

で、対処しなければならないトラブルは、それこそ無限のバリエーションです。
重大なトラブルは、常に「想定していなかった」所から発生しますので、経験を積むまでは守備範囲を狭くする方が安全です。
慣れるにしたがって、少しずつ範囲を広げていけばいいのです。最初から完全を求めるのは不可能であり危険でもあります。

ex_hmmtさんのご提案は、非常に現実的かつ安全な構成ですので、これから始める方にはベストチョイスだと思います。

スペックの意味を簡単にご説明しますと

ファイルサーバ
　ファイルをサーバに置くことで、データの共有による業務遂行の円滑化が促進されますが、それ以上に大事なのはデータを安全に保管できることです。万一サーバに置かれたデータが破壊されたら被害は甚大なものになりますので、耐障害性を充分に考慮しなければなりません。

CPU2発　→　単純に処理能力を底上げするだけではなく、分散処理を行なうので効率が上がります。
　※ごく特殊なケースを除いてCPUの片肺運転はできませんので、障害対策にはなりません。

SCSI　→　一般にIDEよりも高回転型が多く（それだけが理由ではありませんが）高いパフォーマンスが期待できます。
　※大容量を要求されるケースでは、Max4台のIDEと比較して、多数接続できるSCSIに優位性があります。
　※また、ホットスワップ（稼動させながらの交換）や連続稼動の耐久性など、サーバにとって重要な点が優れています。
　※とはいえ、HDD自体の大容量化／A-ATAの出現／パーツの共用などで、多少傾向が変わりつつあるのも事実です。

RAID5　→　HDDを複数台利用することで、耐障害性／パフォーマンスの向上が実現できます。
　※http://www.newtech.co.jp/tech/Column/Column02/co …　を参照してください。
　※RAID5は書き込みの速度がボードの性能に大きく左右されますので、場合によっては「遅く」感じます。

HDD5発　→　RAIDにおいては（一般的に）構成台数が多いほどパフォーマンスが稼ぎやすくなります。
　※xyz06153さんがおっしゃるHDD2台とは、ミラーリング(RAID1)のことでしょうか？
　※HDDは「いつ壊れても全く不思議は無いもの」なので、最低でもミラーは必須です。
　※ただし、単純なミラーでは、ユーザー数を考えるとパフォーマンスの点で不安があります。

1発は予備用　→　ホットスタンバイと呼ばれ、他のディスクに障害が発生した際に自動的に切り替わります。
　※RAID構成(RAID0を除く）ではHDDが1本壊れても運用継続出来ますが、万一交換前に他のディスクが壊れたらアウトです。


バックアップ装置
　ここで言うバックアップとは「データの退避」を意味します。システムの多重化などは別の対応になりますのでご注意下さい。
　バックアップの目的は２種類あります。「まさか」への対応と「やっちまった」への対応です。

　１．万一の障害によりシステムが破壊された際のすみやかな復旧

　　RAID装置があるとはいえ、例えばRAIDボード自体が壊れた場合や、あるいは地震などの災害でサーバそのものが破壊されてしまったら手も足も出ません。
　　災害対策も考慮するならば、テープなどに定期的にバックアップを行い金庫に保管することも検討したほうが良いでしょう。

　２．意図的であるかを問わず、データの改竄／削除が行なわれた際の復旧

　　「ユーザーは何をしでかすかわからない」ことを念頭において下さい。必ず「間違って消しちゃった（上書きしちゃった）けど何とかならない？」と聞かれる局面が来るでしょう（苦笑）
　　こちらについては耐障害性はあまり重視されませんので、USB外付大容量HDD等で何とかなります。「世代管理」をキーワードに検索してみると良いかもしれません。


UPS（非停電電源装置）

　例えば、HDDにデータを書き込んでいる途中で停電が発生したら、かなりの確率で障害が発生します。停電になったら自動的にシャットダウン作業を行ない、その間だけでも電力を確保するための仕組みが必要になります。
　また、安定稼動のためには瞬停や電圧変動への対策も重要になります。UPSの装備は必須だと考えてください。


こんなところでしょうか？

この回答へのお礼

　たいへんくわしく回答いただきましてありがとうございます。昨日、お礼を記入したはずが・・・出ていませんでした。サーバー管理もこんなアクシデントみたいなのも想定しなければいけないし、想定外でも対応ですね。いろいろありがとうございます。まだ専門的に返答できなくて申し訳ありません。

お礼日時：2005/04/22 23:14

No.5 回答者： ex_hmmt 回答日時： 2005/04/21 20:47

なるほど…社内で使っているメールがフリーメール（Yahooとか、Hotmailですか？）だったら、そこはやめるべきでしょう。

ファイルサーバも、Win2000Proでは駄目なので、そこはやめましょう。メールサーバとグループウェアは、本当に導入する必要があるのかを再検討するべきです。

まず、要件を把握し、定義しましょう。何人くらいが利用するサーバの予定でしょう。30台程度のパソコンを～と言っているから、30台、30人程度が利用すると考えればいいでしょうか。30人程度の利用で、社内にメールサーバを置くというのは、誰かスキルがある人が社内に居て、その人が自発的に立てるなどの特殊状況を除いて非効率的です。グループウェアも同様。30人の社員でグループウェアを本当に利用しますか？ホワイトボードにメモ程度で十分だったりしませんか？

さらに、その現状の計画も見直す必要があるでしょう。「ファイアウォールのある」と言ってますが、その意味はきちんと把握されてますか？正直、ファイアウォールよりもアンチウイルスソフトの方が重要です。サーバ用のアンチウイルスソフトは手配されていますか？

メインサーバとバックアップサーバとはどういう意味ですか？メインのファイルサーバと、そのファイルのバックアップ用のサーバ？それとも、ドメイン環境を立てる事にして、そのプライマリのドメインコントローラと、バックアップのドメインコントローラ？

ドメイン環境にするなら、2台でPDCとBDC（正確には2000以上でしょうから、そういう言い方はしないのですが、あえてそう書いておきます）という事になるのでしょうから、ドメインコントローラとファイルサーバを兼ねることになります。

しかし、30人程度の環境でドメインを組む意味があるかどうか、そこは微妙です。ActiveDirectoryと、Workgroupについて調べてみるといいでしょう。30人程度でもADを組む事もあるし、30人程度だからとWorkgroupで済ませるケースも結構あります。

逆にドメインにしないなら、メインサーバとバックアップサーバというのがどういう事を指しているのかが微妙です。そもそもファイルのバックアップを取る体制になるのでしょうか…

私が30人程度のユーザ数で、今まで2000Proをサーバ代わりにしていた環境で、それを環境改善を行うならば、ざっとこんな感じにします。

１、ファイルサーバ（CPU2発、SCSIのRAID5、HDD6発、中1発は予備用）
２、バックアップ装置（テープにするか、それ以外にするかは要検討…データの量などに依存）
３、非停電電源装置（UPS)
４、メールサーバとグループウェア（導入するなら）を外部へ委託。外部との接続はADSLなどで十分です。

社内に置くサーバは、ファイルサーバとバックアップ装置があれば十分では？メールサーバやグループウェアは、日頃の保守が結構大変です。保守契約した先の人間が常駐して面倒を見てくれる、みたいな形でない限り、あまりお勧めはできません。ましてやメールは生命線ですから。

この回答へのお礼

こんばんは、いろいろ教えていただきありがとうございます。ほんとうににわか知識で導入の責任者させられ、教えてほしい事だらけです。いろいろな方に回答いただき少しわかってきたような気がします。１つご質問なんですが、バックアップサーバーは、メインが停止した時に自動で変わりに動いてくれる役割と、ホームページのサーバーの役割もしてもらおうと考えてます。それは変ですか？また、ＨＤＤ２台では、不足ですか？もしまた、見ていただけていたら、教えていただけると幸いです。回答ありがとうございました。

お礼日時：2005/04/21 23:05