OSのインストールと初期設定
ネットワークの設定(ルーターの設定)を終わらせたら、windows 10 Enterprise 2019 LTSCのセットアップを行います。
普通は、インストールされているPCを買ってくればOSのインストールは不要です。
今回は、マイクロソフトから評価版ISOを手に入れて、余っているPCにインストールしました。
OSインストールが終わると、アカウントの作成などが出てきます。おそらく買ったときにも、ここから表示されるのだろうと思います。
とりあえず、
インストール後に先ずは、普通に使用できるネットワークに接続します。ここで、Windows Updateを全て適用しておきます。何故かというと、オンライン資格確認のネットワークでは、平常時はWindows Updateにも繋がらないネットワークだからです。
windowsアップデートをしながら、Micosoft Edge chrominum版をダウンロードします。IEがプリインストールされているので、IEを開き、デフォルトでMSNにアクセスされます。
MSNでは、各所に 「Edgeを使いましょう」「Edgeをダウンロード」などが出てきます。しかし、どのリンクをクリックしても、失敗します。
どうやら、このリンクは、標準のwindows 10 のアプリストアからインストールさせるようになっているようです。
仕方ないので、
ビジネス向け Microsoft Edge のダウンロード – Microsoft
というサイトにアクセスして、安定版チャネル – 最新ビルド – Windows64bit を選んで、ダウンロードしておきます。
ネットワークの設定
Edgeをインストールし終わったら、インターネット接続が可能なLANから外して、所定のオンライン資格確認端末用のネットワークに接続します。
オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.2版.pdf(PDF:2.2 MB)
オンライン資格確認等システム接続ガイド(IP-VPN接続方式)1.3版.pdf(PDF:2.8 MB)
に従って、IPv6アドレスが、リンクローカルアドレスだけでなく、外部のアドレスを引けているかを確認します。PDFのガイドでは、アドレスの最初が2408だと決めつけていますが、(1.3版で修正されたようです。)プロバイダーによって異なるので、24xxで始まるネットワークであれば、おそらく大丈夫です。fe80のアドレスだけの場合には、失敗しています。ルーターの設定の見直しが必要です。
DNSは、ルーターに指定せずに、windows側に指定するのが良いかと思います。( 2021年3月中に数度要件が変わったりしているので、windows側での修正が楽です。) 地域に合わせたDNSサーバーを手動で設定しましょう。
既存LANとの接続用IPv4のアドレスは、新設するルータBと通信できるように設定します。その時に、DHCPで取得でも良いですが、手動でIPアドレスとネットマスク、デフォルトゲートウェイは指定して、DNSサーバーの設定は手動設定の空欄のままにしておくのが良いと思います。資格確認端末と院内LANとの通信であれば、DNSは不要、セキュリティ対策としてあまりアクセス範囲が広くない方が良いと思うのも大きな理由ですが、以下の理由が大きいです。
何故かわからないのですが、オンライン資格確認サーバーとの通信がとても不安定になり、このDNS設定を変更したらとても安定したからです。おそらく、オンライン資格確認サーバー(DNS)が一般利用できないIPv4アドレスを返すために、通信エラーを引き起こしているのではないかと推測しています。
(その後、追記)
ルーターにYamahaのRTXシリーズを使用しているのであれば、新規に追加したルーターBに以下のようなコマンドを追記してあげれば、Windows側に設定せずとも、いけそうです。
まだ、一部上手くいかないので、削除。検証中です。
dns server select 50 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any onshikaku.org
dns server select 51 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any lineauth.mnw
dns server select 52 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any base.oqs-pdl.org
dns server select 53 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any managedpki.ne.jp
dns server select 54 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any cybertrust.ne.jp
dns server select 55 2404:01A8:F583:0D00::53:1 2404:01A8:F583:0D00::53:2 any secomtrust.net
( 他のドメインも追記していきます。 50の部分の数字を51, 52のように上げていってください。)ネットワーク確認
ネットワーク設定が完了したら、先ほどのシステム接続ガイドPDFに従って、nslookup等進めて、ネットワークの疎通の確認をします。
ネットワーク回線認証も行っていない場合には、マニュアルに従って回線認証も行います。回線認証するときには、事前にオンライン資格確認利用申請で、回線ID(ユーザーID)を申請しておくことを忘れないように。これを忘れると、ここから進めません。
回線認証は、オンライン資格確認端末用の証明書がなくても出来るので、事前に進めておくと楽です。また、これは、回線を変えなければ、1度実施すれば良いので、すでに行っている場合には不要です。
コンピューター名の修正
コンピューター名をネットワークの画面から、わかりやすい名前に変更しておきます。標準のままだとDESKTOP-xxxxxxみたいな名前ですよね? どれだかわからないと思います。わかりやすいような名前、例えば “onshi-1″とか”OQS-1″とかにしてみるのはどうでしょうか?
セットアップ その1
さて、ここから先は、どのドキュメントをどの順で読んでいけば良いのかが、わかりにくくなります。本blogでは、極力わかりやすいように、進めていきますが、混乱するので、覚悟してください。
まずは、下記のドキュメントを進めていきます。
01_01_医療機関等向けセットアップ手順書(資格確認端末編)_1.13版.pdf(PDF:15.4 MB)
P.1に事前準備と書かれ、証明書や顔認証機能付きカードリーダーが必要となっていますが、それがなくても、進めるところまで、今回は進めていきたいと思います。
まずは、P.2-3を見て、ユーザーを作成します。ユーザー名がいきなり指定されていますが、どうやらこのユーザー名でなくとも管理者権限であれば、動作するようです。しかし、わかりにくくなるので、このユーザー名を使用するのが(のちのちのサポート面なども考慮すると)良さそうです。
インターネット接続が可能かどうかによって、途中の質問なども変化しますが、基本的には、「ローカルアカウントを作成して管理者ユーザーにする」、と言う部分を押さえておきましょう。
作成したユーザーで再度ログインして、Edgeブラウザを既定のブラウザに設定します。この辺りは、サクサク進めましょう。
共有フォルダを作成してみる
P.6に入ると、.NETFramework4.8をインストールする部分が出てきます。
私は、ここで躓きました。ネットワークのセキュリティ対策として厳しめに設定していたので、通常のネットワークには接続できない状態になっているからです。
解決方法としては、
- 他のPCでダウンロードして、USBメモリ等でこのPCに持ってくる。
- 作業用の共有フォルダを作成して、院内LANのPCからコピーする。
どちらの方法であっても、ファイルをcopyしてくれば良いのですが、2の方法を私はおすすめします。何故なら、最終的にこの先で、共有フォルダを連携用に作成しないといけないのですが、できたと思っていても、院内LANからアクセスできなかったりして、手間取るからです。
手間取るのであれば、先に手間取る方が、いろいろと気が楽です。また、いろいろとファイルをインストールしてから、windowsの設定をごちゃごちゃいじると、何が悪さをしているのかわからないからです。
そんな理由から、ここでは、共有の作業用ファイル置き場を作成して、院内LANのPCからコピーできるかを試しましょう。
まずは、何でも良いのですが、エクスプローラーで、Cドライブに、workと言うフォルダを作成してみましょう。フォルダを右クリックして、共有をしていきます。共有をかけたら、「読み書き可能」に設定します。(所有者でも同等なので、平気です。)
まずは、エクスプローラーの画面から、マイネットワーク、ネットワークコンピュータに、このPCが出てきて、workという共有があるかを確認します。なければ、共有の設定から間違っているかもしれませんね。
マイネットワーク、ネットワークコンピュータに表示されたとしたら、今度は院内LANのPCから見えるかを確認します。上手く見えれば、問題なしですが、すぐには上手くいきません。次は、院内LANと接続されているIPアドレスを指定して、共有が見えるかを確認します。
エクスプローラーのアドレス欄に “¥¥[IPアドレス]¥”と入力します。例えば ¥¥10.10.10.10¥ のようにです。これで上手く見えれば、良い感じです。
でも、そんなに簡単に見えるようにはならないと思います。次に疑うべきは、Windows Firewallです。試しに、全部のゾーン ( プライベート、パブリック等 )の Firewallを停止してみてから、 IPアドレスを指定して共有が見えるかを確認してください。 これで上手く見えるようになったら、 悪さをしているのは Windows Firewallです。Windows Firewallのファイル共有の設定などを調査して、Firewallでブロックされないように設定して、使えるようにします。
Windows Firewallを停止しても、ファイル共有が見えない場合には、きっと、ルーターの設定が悪いのだと思います。ルーターの設定は、各メーカーで違うので具体的には、修正方法はかけません。
でも、TCPの137, 138, 139ポートが閉じられているルーターはよくあるので、そこを確認してみてください。最近では、TCP 445ポートもWindows10のファイル共有では使用されているようなので、その辺りも確認してください。
ここで、オンライン資格確認端末の workフォルダの共有が読み書きできるようになると、これ以降でかなり楽になります。ファイル共有がきちんと動作しつつ、正しいセキュリティが守られるように、時間をかけつつ調整していくのが良いでしょう。
