NetBIOS
(network basic inpt/output system)
もともとはNetBEUIに実装されていたものだが、後に分離されてNetBIOSの下位層にTCP/IPやIPX/SPXを
選べるようにしたプロトコル。上位層にファイル共有やプリンタ共有を提供するSMB(Server Message Block)プロトコルがある。
同じLAN内でしか利用できない
ルータを越えて通信できない。つまりブロードキャストが可能な同じサブネット内でしか通信できないということ。
CIFS(NetBIOSを使わないファイル共有)
Windwos2000以降に実装されたSMBを拡張した「ダイレクトホスティングSMBサービス」またはCIFS(Common Internet File System)と呼ばれる機能。これはNetBIOSを経由せず、直接TCP/IPでの通信ができるようになった。
これによってNetBIOSの名前解決のためのブロードキャストやWINSサーバが必要なくなった。コンピュータ名は使用せずホスト名での通信を行い、特にActive Directory環境で動的にDNSを更新する「DDNS(Dynamic DNS)」が用いられる。
ただしWindows2000/XPしか対応していないため、依然Windows98/Meが混在するシステムではNetBIOSとの使い分けがされている。
プレインスール
購入時からPC本体にOSがインストールされていること。
NTFS
WindowsNT/2000/XPに採用されているファイルシステム。サーバ運用を考慮して設計されているため、ユーザごとのアクセス権設定ができる。(後述)
ローカル・ログオン
子機にその利用者として登録されているユーザアカウント「tara」でログオンすること。ネットワーク・ログオン
子機からネットワークを介して親機に登録されているユーザアカウント「tara」にログオンすること。
ローカルマスタブラウザ
ワークグループやドメインに1台用意される。ドメインが複数のサブネットで構成されている場合、サブネット単位で1台用意される。
最大51分
子機からマスターブラウザへの通知が12分間隔。この通知が3回無かった場合にブラウズリストから削除されるために 12X3=36分間はリストが最新の状態にならない。さらにマスタからバックアップブラウザへのリストのコピーは15分間隔であるため36+15=51分が最大値となる。
ファイル共有
最近ファイル共有に関する質問を多くいただくようになりました。今やADSLは当たり前、パソコンを2台以上接続している方も多いと思います。そう、あなたは知らず知らずのうちに家庭内LANを組まれたのです。後はチョットだけWindowsの設定を変えればよいのです。1台のプリンタを共有したり、他のパソコンのフォルダを自分のパソコンのハードディスクと同様に扱えるようになります。
そこで今回はWindows共有の仕組みと具体的な設定方法をまとめてみました。本来Microsoftでは共有設定はウィザード(対話形式の設定プログラム)を使用するように推奨しています。このウィザードを使用すれば、ほとんどの場合は簡単に設定できてしまいます。ところが場合によってはそれでは上手くいかないことがあったりします。そんなときにWindows共有の仕組みを知っていれば...
このページは「Windows共有のスキルアップを目指す方」を対象としています。ある程度のネットワークの知識を持っているパソコン中級者といったところでしょうか。そのため若干の専門用語を用います。
いつものことですがtaraの文章が下手くそなのはご容赦願います。もし間違った記述があった場合には指摘していただけるとうれしいです。
ここではWindowsバージョンの表記を次のようにします。
Windows 98/98SE/ME --> Win98/ME Windows 2000 Professional --> Win2000 Windows XP Home Edition --> WinXP(Home) Windows XP Professional Edition --> WinXP(Pro) Windows XP共通 --> WinXP
■NetBEUIとTCP/IP
Windows共有の話をするには、まずこの違いをはっきりとしておかなければならないと思います。TCP/IPはインターネット網でおなじみのプロトコル(通信規約)ですから説明の必要はないでしょう。一方、NetBEUI(NetBIOS Extended User Interface 略してネットビュー、もしくはネットビューイと呼ばれる)はWindowsネットワーク初期から利用されているプロトコルです。Win98/Meを利用されている方は、[ネットワークの設定]で見かけたことがあるかもしれません。このNetBEUIを用いるととても簡単に共有機能を実現できるのですが、「同じLAN内でしか利用できない」ために不評だったようです。これは何しろかなり昔に設計されたので仕方ない部分ではあります。逆にいえばごく小規模なLANを構築するには好都合なのかもしれません。(現に設定が簡単で軽く動作すると好む人も一部にはいるようです。)しかしNetBEUI自体、今後マイクロソフトはサポートを行わないと表明しています。(そのためでしょうか、NetBEUIはWindows XPの標準インストールでは省略されています。)
そこで現在ではNBT(NetBIOS over TCP/IP)というTCP/IP上でNetBEUIの機能を実現する方法が主流となっています。TCP/IP自体はインターネット接続しているパソコンには必ずインストールされていますし、将来が保証されたプロトコルであることは間違いないでしょう。ですからNetlandではTCP/IPのみを用いた共有を取り扱います。図 NetBEUIとTCP/IP (これは参考程度に。)
Windows初期 現在 現在(一部) 階層 アプリケーション アプリケーション アプリケーション アプリケーション層 SMB SMB 拡張SMB(CIFS) NetBIOS NetBIOS NetBIOS over TCP/IP NetBEUI TCP/UDP トランスポート層 IP ネットワーク層 Ethernet データリンク層
TCP/IPとNetBEUIの両方をインストールしている方がいらっしゃいます。これらの併用はパフォーマンスの低下や競合を起こすとも聞きます。よほど特別な事情(プリンタ・サーバがNetBEUIしかサポートしていないとか)がない限りTCP/IPを使用しましょう。
■NetBIOSからCIFS(Common Internet File System)へ
NetBIOS(Network BIOS)は、もともとはNetBEUIに実装されていたインターフェースです。現在のWindowsネットワークは、このNetBIOSの拡張の歴史とも言えるかもしれません。そんな存在のNetBIOSですが、Windows2000以降からNetBIOSを経由せず、直接TCP/IPやホスト名を用いた共有を提供する「ダイレクトホスティングSMBサービス」、またはCIFS(Common Internet File System)と呼ばれる機能が実装されました。しかしながら後述するブラウザサービスが依然NetBIOSを使用しているなど、現在は移行時期であり、まだまだNetBIOSが主流であることに変りはなさそうです。
■ワークグループとドメイン
Windows共有ではこの二つのどちらに自分のコンピュータを所属させるかが重要です。コンピュータの電源を入れるとWindows起動時にユーザ名とパスワードを聞いてきます。これをログオンと呼んでいます。(あれ?私のパソコンはパスワードなんて聞いてこないよ。そう思われた方もいらっしゃるでしょう。それはログオン操作を省略して利用しているからです。)そのチェックのためのユーザ名やパスワード情報がどこで管理されているか。その違いがこのワークグループとドメインの違いです。
ワークグループは小規模なWindowsネットワークで利用されます。ユーザ管理は分散管理となります。何やら難しそうな感じがしますが、要はネットワーク内のそれぞれのパソコンが独自に管理情報を持っている方式です。特別なサーバを必要としないので、私達が家庭内LANで数台のコンピュータを使う程度なら当然こちらになります。
ドメインは中規模以上のWindowsネットワークで利用されます。ユーザ管理はネットワーク内で集中管理されます。これを制御するコンピュータ(ドメインコントローラと呼んでいます。)はWindows NT/2000Serverなどのサーバ製品です。
■共有レベルとユーザレベルのアクセス制御
Windowsネットワークではアクセスに制限を加える方法として次の二通りの方法があります。
1.共有レベルのアクセス制御はWindows98/MEのみ利用でき、他のバージョンには無い独特のものです。これはリソース(ドライブやフォルダなど)ごとにパスワードを設けてアクセス制御します。パスワード設定は読み取り専用かフルアクセス用かを指定することができますが、アクセス時にユーザ確認を行わないのでパスワードさえ知っていれば誰でもアクセスできてしまいます。
2.ユーザレベルのアクセス制御は指定されたユーザアカウントのみが共有リソース(ドライブやフォルダなど)にアクセスできるという制限を加えます。ですから基本的にアクセス許可の無いユーザアカウントでログオンしているネットワークユーザはアクセスすることができません。
WindowsXPのユーザレベルほどではありませんが、ユーザごとに読み取り専用かフルアクセスかを指定できます。この場合のワークグループでのユーザ認証はWindowsNT/2000/XPが持つセキュリティアカウントマネージャ (SAM) のデータベースによって行われます。
■WindowsXPにおけるユーザレベルの2種類の共有モデル
今度は共有機能を許す範囲(誰にどこまで共有させるのかということ)に関するお話です。WindowsXPにはHome EditionとProfessional Editionと呼ばれる異なるエディションが存在します。プレインストールさているほとんどのエディションはHome Edhitionかと思います。一度ご自分のエディションを確認してみてください。同じユーザレベルの共有でも、Home Editionの場合には簡略化した方法しか利用できません。
1.簡易ファイル共有 => WinXP(Home)/ WinXP(Pro)ともに利用可
これは共有機能を最も簡単に実現する方法です。共有フォルダにはすべてのネットワークユーザがアクセスできるようになり、ユーザ別に共有フォルダのアクセス許可を設定することはできません。2.従来の共有(ユーザレベルのアクセス制御) => WinXP(Pro)のみ利用可
ユーザごとにアクセスの可否を設定したり接続数を制限するような細かな制御が可能です。この共有を利用するコンピュータには適切なユーザアカウントを設定しなければなりません。ただし共有アクセス許可とNTFSファイルアクセス許可を手動で設定する必要があります。もしもネットワークユーザのアカウント(ユーザ名とパスワード)が親機のローカルアカウントと一致しない場合はGuestアカウントとして扱われます。
Windows XP HOME Edition のユーザは「従来の共有」は使用できません。Guestアカウントを有効にした「簡易ファイル共有」のみ使用できます。Guestアカウントを有効にすると言うことは、他のネットワークユーザの誰でもがWindows XPにアクセスできることを意味します。このGuestアカウントですが、システムに予め用意された一時的な利用者としての資格を持つユーザです。これはビルトインアカウントとも呼ばれています。Windowsネットワーク本来は、「子(アクセスする)」側、「親(アクセスされる)」側には同じユーザアカウントが登録されていなければならないのですが、この方法はアクセスしてきたユーザすべてをGuestとして扱い、その権限の範囲内で共有を許そうとするものです。(つまり来るもの拒まずといったところでしょうか。)
[簡易ファイル共有]と[従来の共有]の切替方法
コントロールパネルの[デスクトップの表示とテーマ]、[フォルダオプション]の[表示]タブから[詳細設定]を開き、一覧の[簡易ファイルの共有を使用する(推奨)]のチェックボックスでオン・オフします。
Windows2000での簡易ファイル共有同様の制御
Windows2000では従来の共有が基本です。WindowsXPの簡易ファイル共有という設定はありません。しかもデフォルト(既定値)ではGuestアカウントは無効になっています。しかし手動でGuestアカウントを[有効]とすることで、WindowsXPの簡易ファイル共有と同じように、すべてのネットワークユーザがアクセスできるようになります。
■パスワード・キャッシュ機能
今度はユーザレベルのアクセス制御で一番問題となるログオンの仕組みを見ていくことにしましょう。この知識はワークグループで親機をWin2000/XP(Pro)とする場合に役立ちます。
ワークグループでは個々のコンピュータでユーザ情報を管理しています。これは既に説明したとおりです。ですからユーザレベルのアクセス制御を行う場合には、一般的に、その親機にも子機と同じユーザアカウントを登録するように解説されています。(下図参照)
双方のコンピュータに同じユーザアカウントを登録しておく。すると改めてユーザ名やパスワードを入力することなく共有アクセスが可能となる。
さて、ここでポイントとなるのは、双方のユーザアカウント「tara」は、まったく別の存在ということです。ユーザ名とパスワードが同じでも、Windowsネットワークでのユーザ管理としては別者なのです。
それでは子機から親機にアクセスする過程をもう少し詳しく見てみましょう。
まず子機の利用者は、その子機を利用するためにローカル・ログオンします。この時点で子機の利用資格を得ることになります。その後マイネットワークを通じて共有フォルダにアクセスします。その際、本来は親機に登録されたユーザアカウントでネットワーク・ログオンし、その親機の利用資格を得なければならないところです。ところがここでWindowsのパスワード・キャッシュと呼ばれる機能が働きます。これはローカル・ログオンした際のユーザ名とパスワードを親機に対して送信するというものです。この機能によって親機側のユーザアカウントと合致した場合に限りネットワーク・ログオンが不要になるのです。デフォルトでGuestアカウントが無効となっているWin2000を親機とした場合、これを念頭に置いた適切なユーザアカウント設定が必要なことがお分かりいただけたかと思います。あるときはログオンせずにファイル共有が利用できたり、またあるときはパスワード入力を要求されたりと、便利な機能である反面、隠れた存在であるがゆえに混乱の元となる機能なのです。
■ユーザ名とSID
2台のコンピュータそれぞれに同じユーザ名、同じパスワードのアカウントがあったとしても、全く別のユーザとして管理されている。ではWindowsはこれをどのように識別しているのでしょうか。
実はWindowsではユーザ名とは別にSID(セキュリティID)というユニークな値を管理しています。ユーザ名とSIDはペアになっていて、Windows内部ではSIDを使ってアクセス制御しているのです。つまり同じユーザアカウントでもSIDは異なっているということです。
それではログオンからファイルアクセスまでの流れを考えてみましょう。まずはコンピュータにローカルログオンした場合です。
@ユーザ名「tara」、パスワード「123」でログオンします。
A認証が済むとユーザアカウントに対応したSID「XXX」が決まります。
Bこれ以降、ファイルシステムにはSIDを使ってアクセスします。
アクセスに際しては、ファイル単位でアクセス権のチェックがなされます。「XXXにはアクセスを許可しよう。許可の範囲は「読み取り、書き込み」を許そう、そんな調子です。
今度はネットワークコンピュータにアクセスする場合です。基本的にはローカルと同じですが、異なるのはSIDが含まれるユーザ管理情報も、ファイルのアクセス権をチェックする管理情報もすべて親機側にあるということです。
@ユーザ名「tara」、パスワード「123」でローカルコンピュータにログオンします。
A親機にユーザ名とパスワードを送信します。
B親機での認証が済むとSID「YYY」が発行されます。
Cこれ以降、親機の共有ファイルには「YYY」を使ってアクセスします。
もちろんファイル単位でのアクセス権がチェックされるのはローカルと同様です。
なお、Aでパスワードキャッシュ機能が働いた場合には、ネットワークログオンなしで共有ファイルにアクセスすることができます。このように親機の共有ファイルにアクセスするということは、親機の認証を受けて親機に管理されているSIDを取得し、それに対応した権限内で親機のフォルダを利用させてもらうということなのです。
■共有アクセス許可とNTFSアクセス許可
今まで説明したアクセス制御は、誰に共有フォルダのアクセスを許可するかという制御でした。つまりネットワークログオンするユーザに対するものです。これを共有アクセス許可と呼んでいます。一方のNTFSアクセス許可は、ファイルシステムをNTFSフォーマットで使用している際のディスクアクセス機能の一部です。
この両者の関係は、ファイルシステムがFAT/FAT32で共有設定される方は共有アクセス許可のみですが、NTFSファイルシステムを使用して共有設定される方は、共有アクセス許可+NTFSアクセス許可が有効になります。まず共有アクセス許可でチェックされ、それをパスした接続に対してNTFSアクセス許可が調べられます。NTFSアクセス許可は厳格な設定が可能ですが、反面複雑で面倒な設定を強いられます。通常我々が家庭内で利用する程度なら共有アクセス許可のみに止め、NTFSアクセス許可の設定はデフォルト(既定値)のままが無難でしょう。
ただしここで注意しなければならないのは、ローカルにログオンしたユーザに対しては共有アクセス許可は無関係であることです。それにはNTFSアクセス許可の設定が必要になります。
■させる仕組みと見せる仕組み
それでは最後にマイネットワークに関するお話をしておきましょう。通常はマイネットワークをクリックすると同じワークグループのコンピュータが表示されます。ところが場合によってはそれが表示されないことがあります。何でだろう〜♪
ファイル共有の設定は完璧!後はマイネットワークからアクセスするパソコンを選ぶだけのはず。でも見えない。
それぞれのパソコンのワークグループ名を確認しても間違いはない。そうなるとお約束のトラブルシューティングに突入。アクセス先のパソコンのIPアドレス宛にpingコマンドを打つなど。相手からは正常に応答があり、ファイアーウォールソフトが邪魔をしている訳でもない。確かに通信は出来ている。それなのに「見えない」...こんな経験をされた方もいらっしゃるはずです。そんなときは試しにInternet Explorerのアドレス欄に相手のコンピュータ名を入力してみてください。例えばコンピュータ名が「Easy500」である場合は、[ \\Easy500\ ]と入力します。これで共有フォルダが表示されるなら心配は要りません。一度すべてのパソコンの電源を入れ直すか、しばらくしてからマイネットワークを開いてみましょう。
この奇妙な現象はWindowsネットワークの仕組みによるものです。共有サービスを提供する「させる仕組み」と、マイネットワークに表示する「見せる仕組み」が独立して動いていることが原因です。マイネットワークにコンピュータ名の一覧を表示しているのは、NetBIOSを用いた「ブラウザサービス」という機能です。
マイネットワークに表示されるコンピュータ名一覧はブラウズリストと呼ばれ、ネットワーク内でそれを管理しているコンピュータが「ローカルマスタブラウザ」、その情報の複製を持つコンピュータが「バックアップブラウザ」です。
ワークグループ内ではマスタブラウザになるコンピュータは固定的に決められている訳ではありません。まして我々がマスタブラウザを意識しているものでもありません。ネットワーク内のコンピュータを一斉に起動した場合や、今までマスタブラウザだったコンピュータの電源を切った場合など、どのコンピュータがマスタブラウザになるかは自動的に決定されるのです。
マスタブラウザが自動的に決定されるルールはかなり複雑のようです。私も詳しくは知りませんが、例えばOSのバージョンでもその優先順位が決まっているようです。Server製品が最上位、その後NT/2000/XP、最下位がWindows9Xのようです。もしマスタブラウザが存在しない場合、それぞれのコンピュータからブロードキャストパケットで立候補し、優先順位に従って勝ち残り方式で決定されるようです。しかもブラウズリストはリアルタイムに更新される訳ではありません。ワークグループに参加しているコンピュータは、起動時とその後12分間隔で自分の存在をマスタブラウザに通知します。マスタブラウザ側も完全にブラウズリストを更新するのに最大51分かかるそうです。ですから動いているはずのコンピュータが見えなかったり、止まっているはずのコンピュータが見えたりする訳です。
コマンドプロンプトからnbtstatコマンドを実行します。
書式 nbtstat -a <コンピュータ名>
実行結果に..__MSBROWSE__.<>という表示があれば、そのコンピュータがブラウザのはずです。
C:\>nbtstat -a EASEY500
ローカル エリア接続:
Node IpAddress: [192.168.1.2] Scope Id: []NetBIOS Remote Machine Name Table
Name Type Status
EASY500 <00> UNIQUE Registered
MSHOME <00> GROUP Registered
EASY500 <03> UNIQUE Registered
EASY500 <20> UNIQUE Registered
MSHOME <1E> GROUP Registered
MSHOME <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP RegisteredMAC Address = XX-XX-XX-XX-XX-XX
■後書き
今回は大きなテーマを1ページにまとめようとしたために、掲載までにかなりの時間がかかってしまいました。また分かりにくい部分が多々あったかと思います。いずれ時間をとって改版するつもりですので勘弁してください。
それから日経ネットワーク誌2003.6月号の「一歩上行くWindowsネット」という記事にユーザ管理に関する解説がありました。さすが分かり易く書かれていました。読む機会がある方はぜひそちらをご覧になってください。->
ネットワーク技術が基礎から身につく 日経NETWORK
参考
Microsoft WindowsXP オフィシャルマニュアル上/下 (Microsoft Press)
Microsoft Windows98 実践ガイド (Microsoft Press)初版2003/06/11
