Q

Windowsマシンをディスク複製ツールで導入・展開しています。例えば,市販のディスク複製ツールでWindowsクライアントを導入・展開すると,社内標準構成のマシンを簡単に構築できます。また,Virtual PCやVirtual Serverなどの仮想マシン・ソフトでセットアップ済み仮想マシンのディスク・イメージをコピーして利用しています。

 しかし,このような場合,「システム準備ツール(Sysprep)」というツールを使用する必要があると聞きました。なぜこのようなツールを使用しなければならないのでしょうか。また,このツールの導入・操作を怠った場合,どのような影響が発生するのでしょうか。

A

Windowsでは,コンピュータやユーザー,ドメインなど「オブジェクト」と総称する情報をセキュリティID(SID)という番号で管理します。SIDは約100ビットにも及ぶ数値で,具体的には「S-1-5-xx-yyyyyyyyy-yyyyyyyyy-yyyyyyyyyy」のような数字列になります。

 「xx」には2けたの数字が入ります。18~20まではシステムによって割り当て済みであり,ユーザーが作成したオブジェクトは21になります。


△ 図をクリックすると拡大されます
図1●レジストリ・エディタで見るSID
 「yyy」は27~36けたの数字です。この番号はオブジェクトを生成する際に一意になります。例えばコンピュータ名のSIDはセットアップ時に,ユーザー・アカウントのSIDはユーザー・アカウントの作成時にそれぞれ生成されます。

 SIDを一番よく目にするのはレジストリ・エディタ上でしょう。HKEY_USERSの配下には,各ユーザーのレジストリ情報が保存されていますが,それぞれの情報はSIDで分類されています(図1)。

 なぜコンピュータ名やユーザー名のほかにSIDがあるのでしょう。SIDは,オブジェクト名を変更した場合でも,システムが同一のものと判断するために使用される仕組みです。

名前を変えてもSIDで区別
 例えばWindowsにはログオンするユーザーごとに異なるデスクトップを用意するユーザー・プロファイル機能があります。このとき,ユーザー名「sakurai」を「takako」に変更した場合でも,ユーザー・プロファイルは同一のものを使用できます。名前を変更しただけではSIDは変更されず,「sakurai」も「takako」も同一のSIDになります。特定のユーザー・プロファイルとユーザー・アカウントのひも付けもSIDで行われています。

ディスク・コピーではSIDが競合
 コンピュータ名のSIDも同様な目的があります。別のコンピュータ上で同じ名前のユーザー・アカウントを作成しても,別のものとして区別できるようにもなっています。

 コンピュータ名に割り当てられるSIDは複雑なルールで決定され,通常のセットアップを行う限りは,まず重複しません。しかし,システム準備ツールを使った正規のインストール方法を使用せずにディスク・コピーで構築したWindowsでは,SIDの競合が発生しがちです。SIDが競合すると各種の問題が発生します。

 ドメイン・コントローラでSIDが重複した場合,問題は顕著です。例えばサポート技術情報「重複したSIDを生成するドメイン・コントローラへの対処方法」(419021)に書かれた問題が発生します。SIDの重複状態を解除しない限り,システムの正常な動作は望めません。

 SIDの競合によって,セキュリティにも問題が発生します。

 例えばローカル・ユーザーのSIDは,コンピュータのSIDに1000から始まる相対識別子(Relative IDentifier:RID)という数字を順に割り振ることで作成されます。

 コンピュータのSIDがS-1-5-21-123456789-123456789-1234567890の場合,4番目に作成したユーザーのSIDはS-1-5-21-123456789-123456789-1234567890-1003です。そのため,同一のSIDを持つコンピュータを複数構築したとき,それぞれのコンピュータで作成した本来異なるユーザー・アカウントに同一のSIDが割り振られます。NTFSアクセス許可もSIDでユーザーを識別するため,リムーバブル・メディアにNTFSアクセス許可を設定して読み出しを禁止しても,他のコンピュータで意図せず閲覧可能な場合が生じてしまいます。

SysprepはSIDの再作成ツール
 このような問題がある,ディスク複製によるWindowsのセットアップをサポートするため,マイクロソフトはシステム準備ツールという管理者向けツールを提供しています。

 このツールを実行した後に再起動すると,Windowsのミニ・セットアップが実行されます。これにより,SIDの再作成,コンピュータ名やネットワークの設定,プラグ&プレイに対応したハードウエアの自動認識やライセンス認証などが処理されます。

 システム準備ツールはWindowsのセットアップCD-ROMか,Service PackのCD-ROMの\SUPPORT\TOOLS\DEPLOY.CABファイルに圧縮されて保存されています。DEPLOY.CABはダウンロードセンターから入手することも可能です。例えばWindows XP Service Pack 2用はマイクロソフトのWebサイトにあります。

サービス・パック対応品を利用
 OSにService Packを適用している場合は,そのService Packのバージョンに合うシステム準備ツールの使用をお勧めします。DEPLOY.CABファイルを展開してできたSysprep.exeとSetupcl.exeの2つのファイルを,%systemdrive%\Sysprepフォルダに保存します。その後,Sysprep.exeを実行し,最初に表示されるダイアログで,[OK]をクリックします(図2)。これにより,システム準備ツールを実行できます。


△ 図をクリックすると拡大されます
図2●システム準備ツールでディスク・コピー時のSIDの重複を防げる


△ 図をクリックすると拡大されます
図3●システム準備ツールの設定項目
 システム準備ツールにはいくつかの設定項目があります(図3)。今回のようなケースでは,[Mini-Setupを使う]をチェックし,シャットダウン・モードに[シャットダウン]を選択して,最後に[再シール]をクリックします。

 このようにすることで,ディスク複製後の最初の起動時にすべてのコンピュータでミニ・セットアップを実行でき,IPアドレスやコンピュータ名,ドライバの組み込みなどをウィザード形式で行えるようになります。

 最後になりましたが,OSのディスク複製についてはライセンスの問題が大きく絡みます。一度マイクロソフトへ問い合わせ,不備が無いことを確認することをお勧めいたします。


NTTデータ先端技術 ソリューション部コンサルタント