Windows Server 2016 のエディションの種類、機能とライセンス体系【Windows Server管理者の憂鬱】

Windows Server管理者の憂鬱 第1回 サーバー
スポンサーリンク


Windows Server 2016 のエディションの種類、機能とライセンス体系

Windows Server 2016を使った、Windows 10クライアント管理連載記事、「Windows管理者の憂鬱」の掲載をスタートします。

Windows Server 2016の基本、Windows 10の基本についてのまとめから始まり、最終的にはWindows 10クライアントの管理、展開を行えるまでの状態に持って行くことを目標に掲げていきます。

記念すべき第一回目は、Windows Server 2016のエディションの種類とライセンス体系についての記事です。

エディションは全部で3つ

Windows Server 2008 R2は下記の7つのエディションが存在し、細かく分かれていました。

  • Windows Web Server 2008 R2
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows HPC Server 2008 R2

それとは打って変わって、Windows Server 2016のエディションは以下の3つだけとなります。

  • Windows Server 2016 Essentials Edition
  • Windows Server 2016 Standard Edition
  • Windows Server 2016 Datacenter Edition

Essentials Edition

Essentials Editionは、25ユーザー及び50台以下のデバイスで構成される、小規模企業向けのエディションで、Standard EditionやDatacenter Editionを使う際に必要となる、CALを必要としないため導入時のコストを安く抑えることが出来ます。

Windows Server 2016 Essentials ライセンス

また、Standard EditionとDatacenter Editionはコアベースの新しいライセンス体系に変わったのですが、Essentials Editionに関しては、従来通りプロセッサベースのライセンス体系を採用しており、1ライセンスでCPU 2機までのマシンで利用することが出来ます。

Standard Edition

Standard Editionは、一般的な規模で利用されることを想定し、かつ非仮想化環境向けのエディションです。利用時にはサーバーライセンスの他にCALが必要となります。

Datacenter Edition

Datacenter Editionでは、高度に仮想化されたデータセンター環境用のエディションで、一般的な企業ユーザーを対象とした物ではなく、クラウドサービス事業者向けのエディションです。こちらも、利用時にはサーバーライセンスの他にCALが必要となります。

Standard EditionとDatacenter Editionの違い

本記事では、Essentials Editionは一旦横に置き、Standard EditionとDatacenter Editionを対象として記載していきます。

なお、Essentials Editionについても需要はあるため、別記事として掲載する予定です。

さて、Standard EditionとDatacenter Editionの違いは何なのでしょうか。下表にまとめてみます。

機能Standard EditionDatacenter Edition
Windows Serverの基本機能
Hyper-Vライセンス仮想サーバーライセンス * 2
もしくは
Hyper-Vコンテナ * 2
仮想サーバーライセンス、Hyper-Vコンテナともに無制限
Windows Serverコンテナ無制限無制限
Host Guardian
Service
Nano Server
ストレージ機能
(記憶域スペースダイレクト、記憶域レプリカ含む)
×
Shielded Virtual Machines×
SDN×

さて、機能一覧を見てみるとWindows Server 2008 R2には無かった機能がいくつか確認できます。

簡単にでは有りますが、以下に新機能の内容についてまとめてみます。

Windows Serverコンテナとは

コンテナは、分離され、リソース制御された、ポータブルオペレーティング環境のことで、Dockerで管理を行うことが出来ます。

Windows Serverコンテナは、プロセスと名前空間の分離テクノロジを使用してアプリケーションを分離するもので、Windows Server コンテナは、コンテナホストとそのホストで実行されているすべてのコンテナと、カーネルを共有します。

基本的にコンテナ仮想化技術はもともとLinuxの持つコンテナ機能やリソースの管理機能を利用した物で、コンテナ上で動作するバイナリは、Linux向けの物になります。

ですが、Windows Serverコンテナ上で動作するバイナリは、Linux向けバイナリではなく、IISや.Net FrameworksなどのWindows向けの物で、既存のWindows向けバイナリの実行環境を提供することが出来ます。

主にコンテナ仮想化技術は、開発環境の構築などに利用されます。

Host Guardian Service、Shielded Virtual Machinesとは

Host Guardian Serviceとは、Windows Server 2016で実装されたもので、Hyper-Vと連携した仮想マシンの暗号化ソリューションです。

従来の仮想マシンでは、物理サーバーと違いサーバー管理者以外のユーザー(例えば仮想化ホストの管理者)が、仮想基盤に構築された仮想サーバーへアクセスすることが出来てしまいます。

それを解決するために、仮想ディスクを暗号化することで、サーバー管理者以外が仮想サーバーへアクセスできなくなるため、データの機密性を担保することが出来ます。

暗号化された仮想マシンのことを、Shielded Virtual Machineと呼びます。

仮想ディスクの暗号化にはBitlockerを使用する

仮想ディスクの暗号化はBitlocker機能で実現しています。

ただ、仮想ディスクをただBitlockerで暗号化しただけでは、仮想マシン自体を起動することが出来ません。

そこで、仮想マシンに対し、仮想TPM(vTPM)が提供されます。こうすることで、Bitlockerで暗号化された仮想ディスクの復号を行い、仮想マシンを起動できるようにしています。

その際、起動キーはHost Guardian Service上で管理されており、Hyper-Vホストからのキー取得要求を検証して、問題無ければキーを発行し、そのキーを利用して仮想マシンを起動します。

Shielded Virtual Machineで保護される物

Shielded Virtual Machineでは、仮想ディスクがBitlockerで暗号化されるため、管理者以外は仮想ディスク内にアクセスできません。

また、更に仮想化ホストの管理者などが仮想マシンにアクセスできないようにするため、Hyper-VマネージャーおよびSCVMMからコンソールアクセスができなくなります。

そのため、仮想マシンでの作業は全てリモートデスクトップを利用して行うことになります。

これRemote Desktopサービス止めちゃうとどうなるんでしょう・・・?
ちょっとこれは検証してみる必要がありそうです。

更に、Copy-VMFileなどのゲストサービス経由でのファイルコピーが制限されます。

Shielded Virtual Machineで保護されない物

Enter-PSSessionでAdministrator Credentialを使えば、PowerShellでアクセスすることが出来ます。

Administrator Credentialはサーバー管理者しか知り得ないので、これは特に変なことではありませんね。

Nano Server

Nano Serverとは、プライベートクラウド、データセンター向けに最適化されたインストールオプションです。

ぱっと見た感じでは、Server Coreオプションに良く似ているのですが、フットプリントが非常に小さく、ローカルログインをサポートしていません。

更に、64bitアプリケーション、ツール、およびエージェント”のみ”がサポートされているだけで、非常にシンプルな物となっています。

フットプリントが小さく、余分な機能を削っているため、普通にインストールしたWindows Serverと比べると、セキュアに運用できますし、セットアップ時間も大幅に短縮されます。

Nano Serverの使用シナリオとしては、Hyper-Vのコンピューティングホストとして、スケールアウトファイルサーバーの記憶域ホストとして、DNSサーバーとして、IISサーバーとして等が想定されています。

Nano Serverの制約

これだけ聞くと非常に便利なオプションなのではと思えてしまいますが、Nano Serverは利用する上でいくつかの制約が存在します。

  • Active Directoryのドメインコントローラーとして利用できない
  • グループポリシーはサポートされない。(DSCを利用して設定を行う)
  • プロキシサーバーを介してインターネットにアクセスすることが出来ない
  • NICチーミングはLBFOは利用できず、SETのみ利用可能
  • SCCMとSCDPMはサポートされない
  • BPAのコマンドレットおよびBPAとサーバーマネージャーの統合はサポートされない
  • 仮想HBAはサポートされない
  • プロダクトキーを使ってライセンス認証しない[*1]
  • NanoServerのPowerShellには一般的なPowerShellと比べていくつか重要な相違点が存在する[*2]
  • NanoServerはCBBモデルでのみサポートされており、現時点ではLTSBリリースは存在しない

[*1]Nano Serverのライセンス認証について

Nano Serverのライセンス認証は少し変わっており、Hyper-Vホストとして機能する場合、Nano Serverでは仮想マシンの自動ライセンス認証(AMVA)はサポートされません。

Nano Serverホストで実行される仮想マシンのライセンス認証については、KMSと汎用ボリュームライセンスもしくは、Active Directoryによるライセンス認証(ADBA)を利用して行う必要があります。

ADBAはWindows 8から実装された機能のことで、ドメイン参加を行うことでライセンス認証を行える物です。

Windows 7までは、MAKキーを利用して個別にライセンス認証を行うか、別途KMSサーバーを構築して、ライセンス認証を行う必要がありました。

ADBAを利用すれば、構築に関する情報が極端に少ないKMSサーバーを準備する必要が無いため、構築、運用コストを大幅に削減することが出来ます。

[*2]Nano ServerのPowerShellについて

PowerShellにはDesktop EditionとCore Editionが存在します。

Desktop Editionは、.NET Framework 上に構築され、Windows の完全フットプリント エディション (Server Core、Windows Desktop など) で実行される PowerShell のバージョンをターゲットとするスクリプトおよびモジュールと互換性があります。

Core Editionは、.NET Core 上に構築され、Windows のフットプリントが小さいエディション (Nano Server、Windows IoT など) で実行される PowerShell のバージョンをターゲットとするスクリプトおよびモジュールと互換性があります。

Nano ServerのPowerShellはCore Editionとなります。Core Editionでは利用できない機能は下記の通り。

  • ADSI、ADO、および WMI の型アダプター
  • Enable-PSRemoting、Disable-PSRemoting
  • スケジュールされたジョブと PSScheduledJob モジュール
  • ドメインに参加するための Computer コマンドレット { Add | Remove }
  • Reset-ComputerMachinePassword、Test-ComputerSecureChannel
  • プロファイル
  • クリップボードのコマンドレット
  • EventLogコマンドレット(代わりにNew-WinEvent、Get-WinEventを利用)
  • Get-PfxCertificateコマンドレット
  • TraceSourceコマンドレット { Get | Set }
  • Counterコマンドレット { Get | Export | Import }
  • New-WebServiceProxy、Send-MailMessage、ConvertTo-Htmlコマンドレット
  • PSDiagnostics モジュールを使用したログおよびトレース
  • Get-HotFixコマンドレット
  • 暗黙的なリモート処理コマンドレット { Export-PSSession | Import-PSSession }
  • New-PSSessionOptionコマンドレット
  • PowerShell のトランザクションと Transaction コマンドレット { Complete | Get | Start | Undo | Use }
  • PowerShell ワークフローのインフラストラクチャ、モジュール、およびコマンドレット
  • Out-Printerコマンドレット
  • Update-List
  • WMI v1 コマンドレット: Get-WmiObject、Invoke-WmiMethod、Register-WmiEvent、Remove-WmiObject、Set-WmiInstance (代わりに、CimCmdlets モジュールを使用)

Windows Server 2016のライセンス体系

サーバーライセンス

Windows Server 2016のサーバーライセンスは、今まで採用されていたプロセッサベースのライセンス体系から、コアベースのライセンス体系に変更となりました。

なお、上述したとおりWindows Server 2016 Essentials Editionは従来通り、プロセッサベースのライセンス体系となります。
Windows Serverのライセンスについては、案件毎に必要数が大きく変わることが多々あります。

本記事でコアベースについて把握頂いた後、最終的な判断をMicrosoftのライセンス窓口に確認し、合意を取ったエビデンスを残すのが確実です。

コアベースのライセンス体系は下記の全ての条件が適用されます。

  • サーバーに実装されたコアの総数分が必要
  • 1プロセッサあたり、最低8コアライセンスが必要
  • サーバー1台あたり、最低16コアライセンスが必要

このルールに従って、サーバーに搭載されるプロセッサ数、プロセッサ毎のコア数の相関表が下記になります。

プロセッサ毎のコア数→
サーバーに搭載されたプロセッサ数↓
2コア4コア6コア8コア10コア
1プロセッサ16コアライセンス16コアライセンス16コアライセンス16コアライセンス16コアライセンス
2プロセッサ16コアライセンス16コアライセンス16コアライセンス16コアライセンス20コアライセンス
4プロセッサ32コアライセンス32コアライセンス32コアライセンス32コアライセンス40コアライセンス

このコアベースライセンスと、従来のプロセッサベースライセンス(Windows Server 2012R2)と比べた際のコストは下記の通りとなります。

プロセッサ毎のコア数→
サーバーに搭載されたプロセッサ数↓
2コア4コア6コア8コア10コア
1プロセッサ同等コスト同等コスト同等コスト同等コスト同等コスト
2プロセッサ同等コスト同等コスト同等コスト同等コストコスト増
4プロセッサ同等コスト同等コスト同等コスト同等コストコスト増

上記から、一般的なサーバーであれば、従来のプロセッサベース(Windows Server 2012R2)のライセンスとコストは変わりませんが、ハイパフォーマンスサーバーの場合、従来よりコストが増えることになります。

クライアントアクセスライセンス(CAL)

Windows Serverはご存じの通り、サーバーライセンスの他にCALが必要になります。

Windows Server 2016 CAL

CALにはサーバーを利用するユーザー毎に購入するユーザーCALと、サーバーを利用する端末毎に購入するデバイスCALがあります。

利用状況によって、ユーザーCALかデバイスCALを選択するのですが、一般的に社内ネットワークにアクセスするユーザー数が多い、複数のデバイスからネットワークにアクセスするユーザーが居る場合はユーザーCALを、交代制のコールセンター等多数のユーザーが1つのデバイスからサーバーにアクセスする場合は、デバイスCALを選択するのが最適です。

また、Windows Server 2016を利用する場合は、Windows Server 2016 CALが必要となります。

Windows Server 2008 R2 CALやWindows Server 2012 R2 CALはWindows Server 2016には利用できまでんが、Windows Server 2016 CALをWindows Server 2008 R2やWindows Server 2012 R2で利用することは可能です。

CALが免除されるケース

ただし、以下の場合はCALが免除されます。

  • サーバー管理のみを目的とし、最大2デバイスまたは2ユーザーのみが利用する場合
  • サーバー仮想化ソフトウェアを利用する場合
  • サーバー仮想サービスを提供する場合
  • OS環境を管理および操作するためのソフトウェアを実行する場合
  • インターネット上に公開されているWebサーバーへのアクセス分
  • HPCワークロードでの利用
  • ライセンス認証されたWindowsサーバーによるアクセス分

また特定利用CALというものも存在しており、よく使われる物としてVDIなどのリモートデスクトップサービス機能を利用する際に利用する、リモートデスクトップサービスCAL(RDS-CAL)などがあります。

まとめ

まずはサーバー構築の話では無く、Windows Server 2016のエディション、機能、ライセンス体系についてまとめた記事を作成しました。

依頼を受けて構築のみを行うエンジニアであれば、この知識が無くても利用できますが、提案なども行う場合この知識は必須知識となります。

Windows Serverのライセンス周りの話はかなり複雑でかつ、失敗が許されない非常に重要なものですので、Microsoftのライセンス相談窓口に必ずライセンス数は足りているか、問題無いか確認した方が良さそうです。

次回からは、Windows Server 2016の操作手順などをまとめた記事を掲載していきます。

本連載は、当ブログ初の連載記事でもあることから、読者の皆様のフィードバックを頂けると幸いです。

Source: MicrosoftDocs | SlideShare