Windows Server 2012/2012R2 上で、「ディスク クリーンアップ」が欲しい!

Windows Server 2012/2012R2 上で、「おや、ドライブの空きが足りないわ。」といったちょっとしたきっかけがあったとき、今までお世話になった「ディスク クリーンアップ」が見当たらないので、慌てることがあります。

いくら「検索」で探してもデフォルトではいません。実行ファイル名は「Cleanmgr.exe」です。(9/4スペル修正しました)

さぁ、管理者ならPowerShell で追加しましょう、というかインストールする必要があるんです。

Power Shell を起動し、以下のコマンドレットを実行します。

Add-WindowsFeature Desktop-Experience

PS0

PS1 じわじわっと進みます。

PS2 (注意)再起動を要求されます。

再起動後、以下のようにドライブのプロパティー画面が変わります。

↓<もとの状態>
DRIVE
↓<再起動後>
DRIVEafter

「ディスクのクリーンアップ」ボタンを押すと、動きました。(2012の場合)

DRIVEafterCleana

あーすっきりしました。

<9月4日追記>

でも、2012R2ではプロパティ画面にはでてこず、「スタート画面」に出てきてました。(アー焦った)

ちなみに、「DesktopExperience」はセット物のため、以下のツールが同時にインストールされます。
DRIVEafterCleana01
・PC設定
・Snipping Tool
・Windows Media Player
・サウンドレコーダー
・数式入力パネル
・文字コード表
・規定のプログラム
・ディスク クリーンアップ  ←(目視確認したものですよ)

厳密には、PowerShell でなくとも、「役割と機能の追加ウィザード」で『デスクトップエクスペリエンス』で追加できます。
でも、Adminらしく PowerShell でお願いしますね。

詳しくはここに書いてあるようです。英語ですのでご注意ください。

https://technet.microsoft.com/en-us/library/dn609826.aspx

特に、「設定」-「検索とアプリ」-「検索」で、『オンライン検索にBingを使う』スイッチが規定でONになってますので、OFFにしておくほうが何かと面倒が起きなくてよさそうです。(理由は書きません。)

 

Windows 2012R2 で WSUS4.0へWSUS3.0環境から移行してみたら落とし穴あった!

Microsoft Windows Server といえば、企業ユースのサーバー用OSです。
このOSの機能の一つで、企業内のWindows PCへのupdate配布をコントロールする機能があり、WSUS (Windows Server Update Services)といいます。
これは、企業内のすべてのWindows PCが勝手にインターネットのMicrsoftサイトに直接updateをもらいにいかず、社内の指定されたサーバーに問い合わせて、管理者が許可したupdateをそこから受け取り、自分の適用状況を報告するという管理者にはうれしい機能です。
このWSUSの機能が、Windows2008世代の WSUS3.0 から、Windows2012世代のWSUS4.0に昇格しています。
世の中的には従業員のPCのOSはWindows8.xが登場してもWindows7が主流であったためあまり意識していなかったこともあり、いまいちシステム更新に至っていませんでしたが、Windows10配備が見えてきた現在ちゃんと構築しておこうと思い立ちやっつけてみました。だがしかし、罠が待っていました(号泣)。

1.親WSUSサーバーと、子WSUSサーバー(ダウンストリームサーバー)を構築する際の落とし穴(WSUS4.0に限らず)
親SUSサーバーの「コンピューターグループ設定」は自動で継承されるが、「オプション」設定の内容は自動的に継承されない。
画面上ではWSUS管理コンソールにダウンストリームサーバーが構築後ぶら下がり始め、その後親コンソール上で作成したコンピューターグループが同期後に子に反映されるため、『お利口さんだなぁ』と油断すると「オプション」設定の内容は子に反映されず、個別設定になっていることに気づかないです。つまり、親サーバーでWSUS-P1

このような「コンピューター」(コンピューターをグループに割り当てる方法~)の設定もデフォルト(上)のままとなり、グループポリシー制御したい場合(いや企業だと必須でしょう)、困ったことになります。
現象としては、子サーバーコンソールで、「割り当てられないコンピュータ」グループにPCが入れ込まれ、親サーバーコンソールでは行方不明になることもあります。
 対策:管理コンソールの「オプション」設定は、親と子の両方を必ず設定しましょう。

2.<重要>グループポリシーで「イントラネットの更新サービスの場所を指定する」設定が変わってます!
 (その1)ポート番号が8530,8531に変更されてます!
WSUS-P2
WSUS3.0以前の設定では、WSUSサーバーとクライアントPC間の通信プロトコルが、デフォルトでは通常通信のポート80,443でしたが、WSUS4.0では突如8530,8531に変更されてます。これ結構びっくりしました。だって、いつまでたっても情報が管理コンソールに上がってこないんですよ。
http://blogs.technet.com ←詳しくのってます。香取さんありがとうございます。
ちなみに、https://technet.microsoft.com/ja-jp だとちょっと間違いが残ってるみたいなので、混乱しますから先の香取さんのBLOGを見てください。
要するに、
・Microsoft Siteと通信をする親サーバーは、80,443を基本ポートで動作するけれども、
・イントラネット(社内)の親サーバーと子サーバー間および、すべてのWSUSサーバーとクライアントPC間の通信は、80,443ではなく、8530,8531に強制デフォルト変更されているわけです。
対策:上記の画面のように、サーバー名の後ろにポート番号8530(または8531)を付記する。

ポートが変わっても、サーバーが自動的にクライアントに伝達し、勝手に設定されるとうっかり信じていたばかりに気が付くのに3日かかっちゃいました。あほですね。

(その2)イントラネット統計サーバーの設定を更新サービスのサーバーと同一にするべき。
「イントラネット統計サーバーの設定」を「更新サービスのサーバー」と同一にしておくと、レポートのトラフィックもWSUS間のみで制御されるため幸せになりますが、SIerによっては「親サーバー」に直接向けてしまう構築を仕込む人もいるようです。これはたぶん私と同じ罠にはまったなどの理由から、直接レポート形式を採用したと考えられますが、別の副作用も発生します。
それは、企業内でWEB Proxy Server運用を実装している場合、IEの設定を頼りにクライアントPCが適用結果データをhttp(s)で投げる際、proxy経由で投げることになり、結果Proxy Serverに負荷がかかるということです。これを確認するには、WSUS管理画面のコンピューターグループに入った中央ペインで、カラム「IPアドレス」を表示してみるとよくわかります。Proxyは優しく使う必要がありますから、注意しましょうね。
とりあえず、Windows Server 2012 R2で WSUS4.0を今まで通りで作ろうと思ってもうまくいかなかった思い出話として、記録しておきました。

2015/8/11 初版

Windows8.1でUSB日本語キーボードが英語配列になっちゃったときの対処例

Windows 8.1/8/7などで(10Preview含む)、Windows Update後などに突然、日本語キーボードのハズが「@」や「¥」が打てなくなるなどの問題が発生することがあります。

これは、キーボードデバイスの認識状況がなぜか変更され、英語配列などの外国のキーボード仕様に無理矢理変わってしまった場合に発生します。
『デバイスマネージャー』を見てみると、「キーボード」欄で「HIDキーボードデバイス」や「○○語キーボード」などになっています。

DEVMAN_KEY

 

 

 

 

 

 
<fig-1 デバイスマネージャー画面>

対処方法としては、

(1)レジストリを編集する方法(直らないこともあります)
(2)デバイスマネージャーでドライバを「再起動をはさんで」更新させる方法

がメジャーです。

【対処法】方法1:レジストリ編集
「レジストリエディタ」(コマンドラインで「Regedit.exe」起動)して以下のキーを作成入力する。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
・名前「LayerDriver JPN」     種類「REG_SZ」データ値=「 kbd106.dll」を指定。
・名前「OverrideKeyboardIdentifier」種類「REG_SZ」データ値=「PCAT_106KEY」
・名前「OverrideKeyboardSubtype」 種類「DWORD」データ値=「2」
・名前「OverrideKeyboardType」   種類「DWORD」データ値=「7」
※この方法は理解している人以外はあんまり行わないでください。
(OSが使えなくなるリスクを伴います。)

 

【対処法】方法2:デバイスマネージャーでドライバを「再起動をはさんで」更新させる方法
先ほどの「デバイスマネージャー」画面で、「キーボード」-「○○キーボード」の上で、
「右クリック」-「プロパティー」を選択し、「ドライバー」タブ「銅鑼-バーの更新(P)」ボタンを押下し、

DEVMAN_KEY.2png

下段「~検索します」を選択する。

 

 

 

 

 

DEVMAN_KEY3さらに下段「~一覧から選択します」を選んで「次へ」押下。

 

 

 

 

 

DEVMAN_KEY4「互換性のある~」チェックをハズして、

 

 

 

 

 

DEVMAN_KEY5「日本語PS/2キーボード(106/109キーCtrl+英数)」を
選んで「次へ」ボタンで進みます。

 

 

 

 

すると、警告ダイアログが開くのですが、無視して進めます。
DEVMAN_KEY6

 

 
≪ここより重要≫
・必ず再起動します。
・再起動後、キーボードが使えませんので、『ソフトウェアキーボード』を使えるように練習しておく。

DEVMAN_KEY7

<画面はWindows7>
ログオン画面左下のアイコンをクリック。

(ちょうどWin8.1の画面がなかったんでごめんなさい)

 

 

DEVMAN_KEY8 真ん中の
『キーボードを使用せずに入力する(スクリーンキーボード)』にチェックを入れて「OK」する。

 

 

 

 

 

「スクリーンキーボード」をマウスで操作して、ログイン操作を行い、再度「デバイスマネージャー」を開いて、「ハードウェア変更のスキャン」が実施されれば、キーボード操作が正常に修復されます。

万一、解消しない場合は、
「コントロール パネル」-「すべてのコントロール パネル項目」-「トラブルシューティング」-「ハードウェアとサウンド」から、「ハードウェアとデバイス」を起動し、

DEVMAN_KEY10

 

 

 

 

「次へ」で対処します。

この方法で、大抵回避できると思われます。

注意点は、『キーボードデバイスドライバの更新後、必ず再起動すること』!!ですね。

 

とにかく私の場合、何回もこの障害に悩まされたので、防備録として残しておきます。
参考URL:

http://answers.microsoft.com/ja-jp/windows/forum/windows_7-hardware/usb%E3%82%AD%E3%83%BC%E3%83%9C%E3%83%BC%E3%83%89/0f570389-4220-411b-986c-9820cbada77b

 

【緊急】Windows Server 2003 Active Directory ドメインに Windows Server 2012 R2 ドメイン コントローラーを追加すると、追加後2 ヶ月程度経過した後に、ドメインのメンバー、ドメイン コントローラーでログオンができなくなる現象が発生することがあるようです。

2014年10月16日現在、以下の環境で障害が発生するケースがあるそうです。
・Windows Server 2003 で構成された Active Directory ドメイン
・Windows Server 2012 R2 ドメイン コントローラーを追加

症状:追加後約2 ヶ月程度経過後、ドメインのメンバー、ドメイン コントローラーでログオンができなくなることがあります。

現在、マイクロソフトさんではこの問題を認識しており、以下の対策を講ずるよう公開されています。

(1)現象が発生してしまった場合
・対象のコンピューターを再起動します。
再起動することで、起動時に対応した暗号化キーを生成するため、問題が解消します。
民間療法ですが、ログオンできなくなったサーバーはふつうシャットダウンできないですが、電源ボタンをちょん押しするとシャットダウンプロセスに移行するはずです。(2012が走るくらいなので) 無理やりシャットダウンはダメですよ。
または、ほかのサーバーから Shutdown.exe を使ってリモート再起動もありかもしれません。

(2)予防的に対処する方法
まだ、この現象にであってなくても、認証のためのチケットの有効期限(もともと更新されなかった)が到来すると、近い将来発生する可能性があります。(特にドメインコントローラー構成時に再起動が行われていない場合など)。-以下MS情報より転載します。
——————————————–
1) KB2989971 を全ての Windows Server 2012 R2 のドメイン コントローラーに適用します。

Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない
http://support.microsoft.com/kb/2989971

2)全てのドメイン コントローラーに対する修正プログラムの適用処理 (再起動を含む) が完了後に、ドメイン コントローラーを含む全メンバー コンピューターを再起動します。

* KB 2989971 の修正プログラムを適用するためには、下記の 2 点の条件が必要です。
・ KB 2919355 が適用されている事
・ Active Directory ドメインサービスがインストールされている事
※ 役割が追加されていれば、必ずしもドメインコントローラーに昇格している必要はありません。
※ KB2919355 は Windows Update にて配信されているプログラムとなります。
こちらを Windows Update から適用したうえで、以下の修正プログラムを適用ください。

Windows RT 8.1、8.1 の Windows および Windows Server 2012 の R2 の更新プログラム: 2014 年 4 月
http://support.microsoft.com/kb/2919355/ja

(3)備考

【その他】
・ すでに Windows Server 2003 のドメイン コントローラーが降格していてもこの問題は発生する可能性があります。
・ Windows Server 2012 R2 のドメイン コントローラーが存在しており、ログオンができないメンバー上でシステム イベントログにMicrosoft-Windows-Security-Kerberos の ID 4 のイベントが記録されている場合には、この問題に合致している可能性が高いと判断できます。
・ Windows Server 2012 R2 に Active Directory ドメイン サービスをインストールし、ドメイン コントローラーへの昇格を実施する前に修正プログラムを適用することをお勧めします。

そうすれば、この問題の発生を未然に防ぐために全メンバー コンピューターの再起動は不要とのことです。

——————————————–
なお、最新情報は、以下のマイクロソフトのサポートチームさんのブログをご参照ください。

http://blogs.technet.com/b/jpntsblog/archive/2014/10/15/windows-server-2012-r2-windows-server-2003.aspx

ITシステムの管理者さん、久しぶりに大きな障害なので、ことが大きくなる前に対処できるよう頑張りましょうね。とりあえず急ぎで公開しました。

【追記1】

・事象が発生した端末(サーバー、クライアントなどのドメインメンバーPC)では、ドメインユーザーによるログオンが行えなくなります。(ローカルログオンはできそうですね。)

・当該端末がサービスを提供するサーバーであった場合は、Kerberos 認証を利用しているサービスにアクセスできないといった問題が生じる可能性もあります。

【追記2】

この事象は Windows Server 2012 R2 のドメインコントローラーの動作に問題があるため発生します。
しかし影響を受ける (ログオン障害が発生する) のは、ドメイン コントローラーを含むすべてのドメイン メンバーです。←つまりはドメインに参加しているクライアントPCも含まれるということです。
その対象 OS は AES を利用できるもの全てで、以下のとおりです。

Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Vista
Windows 7
Windows 8
WIndows 8.1

【追記3】2014/10/16 17:30

重要:Windows Server 2012 R2 をドメイン コントローラーとして追加する前に修正プログラムを適用します。

追加作業をすでに完了している場合には、修正プログラムを Windows Server 2012 R2 のドメイン コントローラーに適用し、ドメイン メンバー (ドメイン コントローラーを含む) 全てを再起動します。

 

 

(防備録)Windows のセキュリティ権設定の際の定型SIDについて

Windows File System を管理しているといつの間にか、不思議な文字列が表示されることがあります。
表面上我々ユーザーが管理している「顔=ユーザー名やグループ名」とは異なり、「S-1-xxxxxx-xx-x」などといった
文字数字の姿をしています。
これは、Windowsのシステムが内部で管理しているユーザー名やグループ名の「絶対値」みたいなもので、
原則1systemあたり唯一ひとつなユニークなものになります。(例外処理はありますが)

その中で、Windows的に「決まった」姿をしているものがあるのですが、覚えるには大変で、ふと思い出したりするのが困難なことがあります。

先ほど作業の中で、「ふと」使うことがあったので、自分用の防備録として残しておくことにしました。

名称 SID 説明
Universal Well Known SID
Everyone S-1-1-0 Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む
Creator Owner S-1-3-0 オブジェクトの作成者。アクセス制御エントリ(ACE)は継承可能で、システムによってオブジェクトの現在の所有者に振り替えられる
Creator Group S-1-3-1 オブジェクト作成者のグループ。アクセス制御エントリ(ACE)は継承可能で、システムによってオブジェクトの現在の所有者が所属するプライマリ・グループに振り替えられる
Well Known SID
Dialup S-1-5-1 ダイヤルアップ接続を経由してログオンしたすべてのユーザー
Network S-1-5-2 ネットワーク経由でログオンしているすべてのユーザー。対話的ログオンを行うユーザー用のアクセス・トークンは、このSIDに含まれない
Batch S-1-5-3 タスク・スケジューラでスケジュールされた場合のような、「バッチ・キュー」を介してログオンしているユーザー
Interactive S-1-5-4 ローカル・あるいはリモート・デスクトップを介して、コンピュータに対話的にログオンしているユーザー
Service S-1-5-6 サービスとしてシステムにログオンしている、すべてのセキュリティ・プリンシパルの集合体を意味するグループ。グループのメンバーは、OSによって管理される
Anonymous Logon S-1-5-7 ユーザー名とパスワードの情報を送信せず、匿名でネットワーク経由の接続を行っているユーザー
Self(Principal Self) S-1-5-10 Active Directoryドメインにおける、ユーザー・グループ・コンピュータの3種類のオブジェクトの所有者
Authenticated Users S-1-5-11 ユーザー名とパスワードの情報を入力して認証を受けた、すべてのユーザー。なお、Guestアカウントにパスワードが設定されている場合、そのGuestアカウントは含まれない
Terminal Server Users S-1-5-13 Terminal Services Ver.4.0のアプリケーション互換モードを使用してログオンしている、すべてのユーザー
This Organization S-1-5-15 同じフォレスト、あるいはドメインに所属しているユーザーの総称。「Other Organization」SIDが存在しない場合に、認証サーバによって設定される
Local System S-1-5-18 OSによって使用されるサービス・アカウント
Other Organization S-1-5-1000 ほかのフォレスト、あるいはドメインに所属しているユーザーの総称
ローカル・グループSID
Administrators S-1-5-32-544 Administrator(管理者)グループ
Users S-1-5-32-545 ユーザー・グループ
Guests S-1-5-32-546 ゲスト・グループ
Account Operators S-1-5-32-548 アカウント管理者グループ
Server Operators S-1-5-32-549 サーバ管理者グループ
Print Operators S-1-5-32-550 プリンタ管理者グループ
Backup Operators S-1-5-32-551 バックアップ管理者グループ
Replicator S-1-5-32-552 複製管理者グループ
ドメインSID
Administrator S-1-5-21-……-500 ドメインの管理者。SIDの「……」の部分には、ドメインごとに異なる任意の数値列が入る
Guest S-1-5-21-……-501 ドメインのゲスト・アカウント
Domain Admins S-1-5-21-……-512 ドメインの管理者グループ
Domain Users S-1-5-21-……-513 ドメインのユーザー・グループ
Domain Guests S-1-5-21-……-514 ドメインのゲスト・グループ

さっきは、-500が思い出せなくて困りました(笑)。←これは管理者として恥ずかしいですね。

(忘備録)Windowsの巨大な hiberfil.sys ファイルを一時的に消してしまいたい。

時折、システムドライブ(主にCドライブ)の空きが足りなくなってきますよね。
「十分な容量を割り当てていたはずなのにおかしいな」と感じたときはたいていこのファイルでしょう。

hiberfil.sys 

しかしながら、ちょっとシステムに慣れた人なら、Exploreのファイルの表示オプションから可視化できているでしょうが、
意外に普通のユーザーからは見えない厄介者です。(システムドライブのてっぺんで、「不可視」属性でおわします。)

使っているPCを休止させたりするときに、メモリの情報を丸々ディスクに退避させて、次回の起動を早くさせる(続きから動かす)ために
このファイルに書き込んでいます。

画像

たいてい、そのPCの 搭載メモリと同等ぐらいの大きさが必要で、メモリを酢酸積んでいるPCほど大きな隠しファイルが作成されます。

<無効化する方法>
1.「コマンドプロンプト」を右クリックして「管理者権限で実行」します。
2.以下のコマンドをタイプします。

powercfg.exe /hibernate off

画像

タイプ後、即時反映でfiberfil.sysは消え、空き容量が増加します。

画像

ただし、この方法は明示的に「ハイバネーションを行わない」ための設定であり、根本的な方法ではありません。

デスクトップPCなどの休止しないPCでは有効ですが、ノートPCのようないちいちWindowsの起動を行いたくないPCではお勧めしません。

毎回起動・終了を行う環境でのPCで、容量確保を行う必要に迫られた方が最後に取る方法ぐらいにご理解ください。

<元に戻す方法>

1.「コマンドプロンプト」を右クリックして「管理者権限で実行」します。
2.以下のコマンドをタイプします。

powercfg.exe /hibernate on

自分用の忘備録として、残しておきました。

P.S.pagefile.sys はほかのドライブに移動できますが、Hiberfil.sys はシステムドライブ以外には移動できません。

[Tips] NVIDIAドライバをクリーンアップして空き容量を取り戻す。

NVIDIA社のディスプレイデバイスを使用していると、最近ではお利口さんなものですから、定期的に『自動アップデート』してくれるわけですが、これが意外とて手ごわいです。
というのも、updateと言いながら、パッチ形式の一部置き換えではなく、丸々毎回インストーラーが起動しているため、まるっとインストーラーごと残っています。
圧縮ファイルから取り出す段階では、[NVIDIA]フォルダや、[TEMP]フォルダなどに一時的なものを残しているため、これを消せば一見消せたように勘違いしてしまうのも厄介です。

実は、[Program Files]配下の[NVIDIA Corporation]-[Installer2]フォルダに残っています。
(64ビット/32ビット共通)

このフォルダ以下にあるサブフォルダおよびファイルをまるっと削除してやれば、いいようです。

先ほどの[NVIDIA]フォルダと一緒にお掃除してあげましょう。海外サイトでも、安全に削除できると記載がありました。
<参考>http://lifehacker.com/clean-up-old-nvidia-driver-folders-to-free-up-hard-driv-705780194
私の場合、5か月で2GBほどたまってましたので、結構すっきりしました。