Windows Server 2016インストール・初期設定

はじめに

Windows Server 2016のインストールおよび初期設定をまとめます。

Windows Server の導入時にいつも実施している基本設定となりますが、要件に合わせて設定をしないまたは設定を追加したりもしていますのであくまでも参考程度と捉えてください。

毎回設定するのは面倒なのでPowershellで自動化すると楽ですね(今回は触れません)。

目次

  1. Windows Server 2016 インストール
  2. VMware Toolsインストール
  3. Windows Server 2016 初期設定
    1. Windows Update
    2. IPv6無効化
    3. RDP有効化
    4. Firewall無効化
    5. サーバーマネージャの設定
    6. SNP設定
    7. ビルトインユーザ パスワード無期限化
    8. Windows Time サービス 自動(遅延開始)設定
    9. NTP同期先・同期間隔の設定
    10. 電源オプションの変更
    11. SNMPサービス 役割と機能の追加
    12. 完全メモリダンプの設定
    13. 仮想メモリの設定
    14. 名前・組織の設定
    15. 視覚効果設定
    16. IE ESC無効化
    17. UACの無効化
    18. フォルダオプション
  4. 参考リンク

Windows Server 2016 インストール

Windows Server 2016をインストールします。

back

VMware Toolsインストール

VMware Toolsをインストールし、再起動します。

back

Windows Server 2016 初期設定

Windows Update

「サーバーマネージャー」から「ローカルサーバー」を選択し、「Windows Update」を選択します。「更新プログラムのチェック」を押下しアップデートします。最新化するためには何度か実行する必要があります。

back

IPv6無効化

IPv6のチェックボックスをオフにするだけでは完全にはオフにならないため、レジストリ設定を変更して完全に無効化します(ループバックアドレスは無効化できません)。

HKLM:\SYSTEM\CurrentControlSet\Services\TCPIP6\Parametersで右クリック→「新規」→「DWORD(32ビット)値」を選択し、名前 「DisabledComponents」に"0xff"を設定します。たまに、"0xfffffff"を設定している記事を見かけますが、"0xff"が正です。

「IPV6 よりも IPV4 を優先する」設定が推奨されているため、要件にない場合、無効化はしない方が良さそうです。

back

RDP有効化

管理端末がWindows XPのような古い端末の場合には、チェックボックスをオフにしネットワークレベル認証を無効化しRDP接続できるように設定を変更します。 管理端末が新しいOSの場合は設定不要です。

「サーバーマネージャー」から「ローカルサーバー」を選択し、「リモートデスクトップ」欄の「無効」を選択します。

「このコンピューターへのリモート接続を許可する」をチェックします。ネットワークレベル認証を無効化する場合「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する(推奨)」のチェックを外します。

back

Firewall無効化

要件に応じて有効化するケースもあると思いますが、ここではFirewallを無効化します。

back

サーバーマネージャの設定

サーバーマネージャーが毎回自動起動してしまうため、起動しないよう設定変更します。

「サーバーマネージャー」画面から「管理」→「サーバーマネージャーのプロパティ」を開き、「ログオン時にサーバーマネージャーを自動的に起動しない」をチェックします。

back

SNP設定

SNP(Scalable Networking Pack) は、Receive Side Scaling (RSS)、TCP Chimney Offload、Network Direct Memory Access (NetDMA) で成り立っていますが、ネットワークが不安定になる要因にもなっており、無効化しておきます。
NetDMAはWindows Server 2012 以降サポートされなくなったため、規定値はdisabledと表示されます(設定変更コマンド自体は通りますが設定値は反映されません)。

まず、デフォルト値を確認します。

> netsh interface tcp show global


設定変更、確認を実施します。

> netsh interface tcp set global rss=disabled
> netsh interface tcp set global AutoTuningLevel=disabled

Windows Server 2012 やR2の場合、以下も設定します。

netsh interface tcp set global chimney=disabled

back

ビルトインユーザ パスワード無期限化

Windows Server 2016では、Administratorのパスワードがデフォルトで無期限になっていました。 Windows Server 2012 R2では無期限に設定されていないため、チェックボックスをオンにして無期限に設定します。

「Windowsアイコン」を右クリック、「コンピュータの管理」を押下します。「ローカルユーザーとグループ」→「ユーザー」→「Administrator」を右クリック→「プロパティ」→「全般」タブで設定を変更します。

back

Windows Time サービス 自動(遅延開始)設定

WORKGROUP環境の場合、Windows Timeサービスが自動起動されませんので、起動するよう設定します。

サービスの状態を確認します。

> sc qtriggerinfo w32time

評価版で確認した結果、なぜかドメイン参加していないのに、「ドメインに参加済みです」と表示され、w32timeがトリガー開始されていました。

「Windows 管理ツール」から「サービス」を起動します。「Windows Time」のプロパティを開き、「スタートアップの種類」を「自動(遅延開始)」に設定します。

back

NTP同期先・同期間隔の設定

NTPの同期先を設定します。

gpedit.mscを起動し、「コンピューターの構成」→「管理用テンプレート」→「システム」→「Windows タイムサービス」→「タイムプロバイダー」で設定します。

NTPクライアントを有効にします。

NTPクライアントを構成します。「Type」は「NTP」を選択します。ドメイン環境の場合、「NT5DS」から変更しないでください。

同期間隔は、「SpecialPollInterval」で設定します。デフォルト値は「3600」秒です。同期設定は、レジストリから設定することで細かく制御できます。

back

電源オプションの変更

デフォルトでは「バランス」となっているため、「高パフォーマンス」に設定を変更します。

「Windowsアイコン」を右クリック、「コントロールパネル」から「電源オプション」を選択し、「高パフォーマンス」を選択します。

back

SNMPサービス 役割と機能の追加

SNMPサービスをインストールします。

必要に応じてサービスの設定を実施します。

back

完全メモリダンプの設定

メモリダンプはデフォルトで「自動」になっているため、「完全」に変更します。
その際、仮想メモリサイズが関係してくるため仮想メモリの設定も合わせて変更します。

「Windows アイコン」を右クリック→「システム」→「システムの詳細設定」→「起動と回復」欄の「設定」から設定します。

「デバッグ情報の書き込み」で「完全メモリダンプ」を選択し、再起動します。

back

仮想メモリの設定

仮想メモリの設定値は自動でも良いと思いますが、手動設定かつ完全メモリダンプの場合おおよそ以下のサイズを設定します。

  • 初期サイズ:物理メモリサイズ+257MB
  • 最大サイズ:物理メモリサイズの3倍または4GBのいずれか大きな方

しかし、RAM4GBで初期サイズが4352MB未満の場合、警告メッセージが表示されますので、4352MBを設定します。

「Windows アイコン」を右クリック→「システム」→「システムの詳細設定」→「パフォーマンス」欄の「設定」→「詳細設定」タブ→「仮想メモリ」欄の「変更」から設定します。

「すべてのドライブのページングファイルのサイズを自動的に管理する」のチェックを外します。

「カスタムサイズ」を選択し、「初期サイズ」に「4352」、「最大サイズ」に「12000」を入力し、「設定」を押下し、再起動します(RAMが4GBの場合の設定値です)。

back

名前・組織の設定

レジストリを変更し、名前、組織名を変更します。変更した名前、組織名は「winver」コマンドで確認できます。

組織名は、「HKLM:\Software\Microsoft\Windows NT\CurrentVersion」の「RegisteredOrganization」の値を変更します。

名前は、「HKLM:\Software\Microsoft\Windows NT\CurrentVersion」の「RegisteredOwner」の値を変更します。

「winver」コマンドで確認します。

back

視覚効果設定

サーバーとして使用するため、パフォーマンス優先の設定を行います。

「Windows アイコン」を右クリック→「システム」→「システムの詳細設定」→「パフォーマンス」欄の「設定」→「視覚効果」タブから設定します。

「パフォーマンスを優先する」を選択後、「スクリーンフォントの縁を滑らかにする」をチェックします。

back

IE ESC無効化

IE ESCを無効化します。

back

UACの無効化

追加の管理者ユーザーで管理共有接続するために、UACを無効化します。
また、UACを無効化することで、イベントログにイベントID:7000のエラーログが記録されるため、UAC File Virtualizationサービスの無効化も実施します。 

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUAを"0"(無効化)に設定

HKLM:\SYSTEM\CurrentControlSet\Services\luafv
Startを"4"(無効)に設定

back

フォルダオプション

「ファイル名拡張子」と「隠しファイル」くらいは表示させておかないと不便なのでチェックを入れます。

back

参考リンク

back