SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for 10月, 2009

2008 R2 Active Directory に移行 ? AD DS / DNS の移行 –

without comments

検証環境のインフラ整備をそろそろしないといけないと思い、まずは AD の移行から着手してみました。
私の検証環境の AD は 2008 SP2 で構築してあるのですが、これを 2008 R2 に移行してみます。

ワークグループ環境の DNS として設定しているものもあるため、移行の方針としては

  1. コンピュータ名は新規のもの
  2. IP アドレスは最終的に現行の AD のアドレスに変更

で作業したいと思います。

[フォレストとドメインの準備]

2008 R2 を 2008 ドメインのドメインコントローラーとして追加するために、フォレストとドメインの準備をします。
下の画像は、フォレストの準備をする前 / 後 スキーマのバージョンになります。
# 左がコマンド実行前、右がコマンド実行後です。
[objectVersion] が [44] から [47] に変更されています。
image?image

  1. 2008 のドメインコントローラーに Windows Server 2008 R2 のインストールメディアを挿入します。
  2. 以下のコマンドを実行します。
    RODCPREP は以前実行していたか覚えていなかったので改めて実行しています。

    >DVD ドライブ
    >cd supportadprep
    >adprep.exe /forestprep
    >adprep.exe /domainprep /gpprep
    > adprep.exe /rodcprep

    実行例)
    >D:
    >cd supportadrep
    >adprep.exe /forestprep

    ADPREP の警告:

    adprep を実行する前に、フォレスト内のすべての Windows 2000 Active Directory ドメイン コントローラーを Windows 2000 Service Pack 4 (SP4) 以降にアップグレードする必要があります。

    [ユーザーによる操作]
    既存の Windows 2000 Active Directory ドメイン コントローラーのすべてがこの要件を満たす場合は、C キーを押してから Enter キーを押して続行してください。中止するには、その他のキーを押してから Enter キーを押してください。

    c

    xxxxxx への接続を開始しました
    SSPI 結合に成功しました
    現在のスキーマのバージョン 44
    スキーマをバージョン 47 にアップグレードしています
    ファイルの署名を検証しています
    "xxxxxx" に接続しています
    SSPI を使って現在のユーザーとしてログインしています
    ファイル "C:Windowssystem32sch45.ldf" からディレクトリをインポートしています
    エントリを読み込んでいます…………………………………………………………
    66 個のエントリを正しく修正しました。

    コマンドが正しく完了しました
    ファイルの署名を検証しています
    "xxxxxxx" に接続しています
    SSPI を使って現在のユーザーとしてログインしています
    ファイル "C:Windowssystem32sch46.ldf" からディレクトリをインポートしています
    エントリを読み込んでいます….
    3 個のエントリを正しく修正しました。

    コマンドが正しく完了しました
    ファイルの署名を検証しています
    "xxxxxx" に接続しています
    SSPI を使って現在のユーザーとしてログインしています
    ファイル "C:Windowssystem32sch47.ldf" からディレクトリをインポートしています
    エントリを読み込んでいます…..
    4 個のエントリを正しく修正しました。

    コマンドが正しく完了しました
    "xxxxxx" に接続しています
    SSPI を使って現在のユーザーとしてログインしています
    ファイル "C:Windowssystem32PAS.ldf" からディレクトリをインポートしています
    エントリを読み込んでいます…………..
    13 個のエントリを正しく修正しました。

    コマンドが正しく完了しました
    …………………………………………………………………….
    Adprep はフォレスト全体の情報を正しく更新しました。

    >adprep.exe /domainprep /gpprep

    Domainprep を実行中…

    Adprep はドメイン全体の情報を正しく更新しました。

    更新が必要なグループ ポリシー オブジェクト (GPO) はありません。または、GPO 情報は既に更新されています。
    [状態/結果]
    Adprep はこの操作を再試行しませんでした。

    >adprep.exe /rodcprep

    Adprep はドメイン FSMO に接続しました: xxxxxx。

    Adprep は、パーティション DC=ForestDnsZones,DC=xxxxxx,DC=xxxxxに対して操作が実行されたことを検出しました。スキップして、次のパーティションに進みます。
    ===========================================================

    Adprep は、パーティション DC=DomainDnsZones,DC=xxxxxx,DC=xxxxxx に対して操作が実行されたことを検出しました。スキップして、次のパーティションに進みます。
    ===========================================================

    ===========================================================
    Adprep はパーティション DC=xxxx,DC=xxxx を検出しました。アクセス許可を更新しようとしています。

    Adprep はインフラストラクチャ FSMO に接続しました: xxxxxx。

    パーティション DC=xxxxx,DC=xxxxxx に対する操作は成功しました。
    ======================================================

    Adprep は問題なく完了しました。すべてのパーティションが更新されました。詳細については、C:Windowsdebugadpreplogs20091031130646 ディレクトリの ADPrep.log を確認してください。

[固定 IP と DNS の設定]

まずは、追加のドメインコントローラとして設定するために、既存の AD を参照先 DNS として設定して、
固定 IP を割り当てます。

最終的に、現行の AD の IP アドレスに変更するつもりですので、設定している IP は仮の IP になりますね。

image

では次に追加のドメインコントローラーとして設定します。

[ドメインコントローラーの追加]

  1. [ファイル名を指定して実行] から [dcpromo] を実行します。
    image
    サーバーマネージャで事前に、役割を追加していなくても dcpromo 実行時に自動でインストールをしてくれます。
    image
  2. [詳細モード インストールを使用する] を有効にして、[次へ] をクリックします。
    詳細モードは必ず有効にする必要があるわけではないですが、設定を確認したかったので今回は有効にしています。
    image
  3. [次へ] をクリックします。
    image
  4. [既存のフォレスト] [既存のドメインにドメイン コントローラーを追加する] を選択し、[次へ] をクリックします。
    image
  5. ドメイン名と追加のドメインコントローラーに設定するために使用するドメインアカウントの情報を入力し、
    [次へ] をクリックします。
    今回はワークグループの状態からドメインコントローラーとして追加しています。
    image
  6. 追加するドメインを選択し、[次へ] をクリックします。
    image
  7. 追加するサイトを選択して [次へ] をクリックします。
    image
  8. DNS と GC はデフォルトで有効になっているようです。
    今回は置き換えを目的としているので両方必要となります。
    デフォルト状態で [次へ] をクリックします。
    image
  9. [はい] をクリックします。
    image
  10. [次へ] をクリックします。
    image
  11. [次へ] をクリックします。
    image
  12. [次へ] をクリックします。
    image
  13. ディレクトリ復元モードのパスワードを設定し、[次へ] をクリックします。
    image
  14. [次へ] をクリックします。
    image
  15. [完了時に再起動する] を有効にしてインストールが完了するまで待ちます。
    image

これでドメインコントローラーと DNS の追加が完了しました。

[FSMO の移行]

追加したドメインコントローラーに FSMO を移行します。
作業は追加したドメインコントローラー上で実行しています。

  1. ドメイン名前付けマスターの移行
    1. [Active Directory ドメインと信頼関係] を実行します。
      image
    2. [Active Directory ドメインと信頼関係] を右クリックして、[Active Directory ドメイン コントローラーの変更] を
      クリックします。
      image
    3. 追加したドメインコントローラーを選択します。
      image
    4. 再度右クリックして、[操作マスター] をクリックします。
    5. [変更] をクリックします。
      image
    6. [はい] をクリックします。
      image
    7. [OK] をクリックします。
      image
    8. [閉じる] をクリックします。
  2. RID / PDC / インフラストラクチャマスターの移行
    1. [Active Directory ユーザーとコンピューター] を実行します。
      image
    2. ドメイン名を右クリックして、[操作マスター] をクリックします。
      image
    3. [RID] タブを選択して、[変更] をクリックします。
      image
    4. [はい] をクリックします。
      image
    5. [OK] をクリックします。
      image
    6. [PDC] タブを選択して、[変更] をクリックします。
      image
    7. [はい] をクリックします。
    8. [OK] をクリックします。
    9. [インフラストラクチャ] を選択して、[変更] をクリックします。
      image
    10. [はい] をクリックします。
    11. [OK] をクリックします。
  3. スキーママスタの移行
    1. [ファイル名を指定して実行] で [regsvr32 schmmgmt.dll] を実行して、[OK] をクリックします。
      image
    2. [mmc] を実行します。
    3. [ファイル] → [スナップインの追加と削除] をクリックします。
      image
    4. [Active Directory スキーマ] を選択して、[追加] をクリックし、[OK] をクリックします。
      ?image
    5. 右クリックして、 [Active Directory ドメイン コントローラーの変更] をクリックします。
      image
    6. 追加したドメインコントローラーを選択して、[OK] をクリックします。
      image
    7. [OK] をクリックします。
    8. [Active Directory スキーマ] を展開してから右クリックして、[操作マスター] をクリックします。
      image
    9. [変更] をクリックします。
      image
    10. [はい] をクリックします。
    11. [OK] をクリックします。
    12. [閉じる] をクリックします。

以上で FSMO の移行は完了です。

[IP アドレスの変更]

最初の AD の IP を変更して、追加した AD に割り当てられるようにしてみました。

  1. 現行の AD の IP アドレスを変更します。
  2. 現行の AD の 参照先 DNS を上で設定した IP に変更します。
  3. 代替 DNS に変更前の IP を設定します。
    # このあと、追加した AD に変更前の IP を設定するため。
  4. コマンドプロンプトで [ipconfig /registerdns] を実行します。

続いて追加した AD の IP を変更します。

  1. 追加した AD の IP アドレスを、現行の AD の IP アドレスに変更します。
  2. 追加
    した AD の参照先 DNS を上で設定した IP に変更します。

  3. 代替 DNS に現行の AD の IP を設定します。
  4. コマンドプロンプトで [ipconfig /registerdns] を実行します。

再起動後も AD DS のサービスは正常に動いているので、ひとまず変更は完了のようです。

Written by Masayuki.Ozawa

10月 31st, 2009 at 8:49 am

Posted in Active Directory

TMG 2010 RC でリバプロ その 1 – インストール –

without comments

TMG 2010 RC のインストールをまとめてみたいと思います。
今回は Windows Server 2008 R2 + TMG 2010 RC の環境を構築しています。

インストーラーで役割までインストールできるのでかなり簡単に導入できます。

ISA 2006 は CSS をインストールしてから、ISA をインストールするパターンで構築しましたが、
今回は両方を一度にインストールする方法でインストールしてみたいと思います。

[役割 / 機能のインストール]

サーバーマネージャで必要となる役割をインストールしなくても、インストーラーから必要なものを
一括でインストールすることができます。

  1. インストーラーを起動します。
  2. [Run Preparation Tool] をクリックします。
    image
  3. [次へ] をクリックします。
    image
  4. [I accept the terms of the License Agreements] を有効にして、[次へ] をクリックします。
    image
  5. [Forefront TMG services and Management] を選択し、[次へ] をクリックします。
    image
  6. 必要となる役割 / 機能がインストールされます。
    image
  7. [完了] をクリックします。
    image?

これでインストール前の準備は完了です。

役割は

  • Active Directory ライトウェイト ディレクトリサービス
  • ネットワーク ポリシーとアクセスサービス

機能は

  • .NET Framework 3.5.1
  • ネットワーク負荷分散
  • AD LDS スナップインおよびコマンドライン ツール
  • Windows PowerShell の Active Directory モジュール
  • ネットワーク負荷分散ツール

がインストールされます。

[TMG 2010 のインストール]

[Launch Forefront TMG Installation Wizard] を有効にした状態で、[完了] をクリックすると
自動的にインストールウィザードが起動されます。
有効にしていなかった場合は、インストーラーの [Run Installation Wizard] をクリックします。

  1. [Next] をクリックします。
    image
  2. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
    image
  3. [Next] をクリックします。
    image
  4. [Next] をクリックします。
    image
  5. [Add] をクリックして、内部ネットワークを追加し、[Next] をクリックします。
    ?image
  6. [Next] をクリックします。
    image
  7. [Install] をクリックします。
    image image
    image
  8. [Finish] をクリックします。
    image?

これでインストールは完了です。

次は冗長構成のためにサーバーを追加してみたいと思います。

Written by Masayuki.Ozawa

10月 26th, 2009 at 9:34 pm

Posted in ISA

ISA 2006 では SNP を有効にしないほうがよい?

without comments

ISA 2006 SP1 をインストールするとイベントビューアのアプリケーションに以下の警告が表示されることがあります。
image

SNP が有効になっていると警告が表示されるみたいですね。
SNP を無効にする方法は説明に表示されている KB948496 に記載されています。

Windows Server 2003 ベースおよび Small Business Server 2003 ベースの既定の SNP 機能をオフにする更新プログラム

KB948496 の更新プログラムを適用するかレジストリ変更により、SNP を無効にできます。

直接レジストリを変更する場合は以下のコマンドを実行すると楽かも。

REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableTCPChimney /t REG_DWORD /d 0
REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableRSS /t REG_DWORD /d 0
REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableTCPA /t REG_DWORD /d 0

?

Windows Server 2008 で SNP を無効にする場合は、以下の KB が参考になります。

Windows Server 2008 で TCP Chimney オフロード、受信側のスケーリング、およびダイレクト メモリ アクセスのネットワーク機能に関する情報

TMG 2010 では特に警告は表示されないみたいですね。
SNP が有効になっているとたまに障害が発生することがあるので、無効にしておいた方がよいのでしょうか??

Windows Server 2008 R2 では NetDMA も netsh コマンドで変更できますので、レジストリ操作はせずに
コマンドだけで SNP が無効にできそうです。
# netdma というパラメータが使用できます。

Written by Masayuki.Ozawa

10月 26th, 2009 at 2:29 pm

Posted in ISA

ISA 2006 経由で Windows Update を実行

without comments

ISA 2006 には Windows Update 用のルールがデフォルトで作成されていますが、現在の Windows Update で
必要となるドメイン名セットがいくつか入っていません。
# 投稿を書く前に設定をしてしまったので、具体的にどのドメイン名が抜けていたのかが記載できません…。

必要となるドメイン名は以下の KB に記載されています。

ISA Server を実行するサーバーを経由して Windows Update Version 6 の Web サイトにアクセスするときにエラーが発生する

Windows Update の設定ですが、既定のポリシーでは設定されている個所が 2 個所ありそうです。

  1. システム ポリシーの許可サイト
  2. Microsoft Update ドメイン名

[システム ポリシーの許可サイト] は ISA サーバー自身のアクセスが許可されるドメイン名が定義されています。
# Enterprise Edition の場合はエンタープライズのポリシーとして設定されています。
ISA サーバーが Windows Update に接続できない場合はこのポリシーにドメイン名を設定します。

[Microsoft Update ドメイン名] はアレイにデフォルトで作成されている Windows Update ドメイン名です。
Web プロキシを使用する場合は、許可する宛先としてこのドメイン名セットを指定してルールを作成します。

Windows Update ができない場合は、上記ポリシーの内容を変更して、許可するドメインを増やしていきます。

手動で Windows Update をした場合、 [go.microsoft.com] 経由でアクセスされることがありますので、
KB の記載以外に [go.microsoft.com] または、[*.microsoft.com] の定義も追加が必要かもしれません。
# Windows Update → Microsoft Update への切り替えで必要だったみたいです。

ドメイン名セットだけでアクセスできない場合は、[65.55.0.0 / 16] のセグメントや [202.232.140.15] への
アクセスが拒否されて実行できていないこともあるようです。
アクセス拒否のログを確認していたところ、上記 IP アドレスへのアクセスが拒否となって Windows Update が
できなかったことがありました。

65.55 のセグメントは Microsoft が使用しているもののようですね。202.~ は akamai のようです。
65.55 はサブネットでは開けたくないのですが、Windows Update 用にいくつか IP があるみたいなんですよね。

サーバーで Windows Update を実行するのであれば、この辺の設定を構築段階で確認しておいた方が良さそうです。

TMG でも IP を設定しておかないと手動で Windows Update できませんでした。
私の環境特有の問題なのでしょうか??DNS の逆引きがうまくいっていないのかな…。

ちなみに TMG になると KB のドメイン名はデフォルトで設定されていました。
# [forefrontdl.microsoft.com] が増えているようですね。

ドメイン名セットを確認したくて TMG をインストールしてみたのですがインストーラーに
適切な役割を追加する機能が付いていてかなり簡単にインストールできました。
TMG は x64 専用なんですね。はじめて知りました。

Written by Masayuki.Ozawa

10月 25th, 2009 at 2:42 pm

Posted in ISA

ISA 2006 EE でリバプロ その 4 サーバー ファームの設定

without comments

ISA 2006 EE ではサーバー ファームの機能があります。

サーバー ファームは ISA 2006 を経由して公開する Web サーバーの負荷分散を Web サーバーで NLB を
組むのではなく、ISA 側で実装する機能です。

絵に描くと下図の形になります。
image

青が ISA で設定する個所になります。
緑が Web サーバーで NLB を設定する個所です。

サーバー ファームで負荷分散する場合は、どの Web サーバーを負荷分散させるのかの設定までをISA で設定します。
NLB ではないので Web サーバーで仮想 IP は付与しません。

NLB で負荷分散構成を行う場合は、ISA からの転送先は Web サーバー側で設定した仮想 IP になりますので
通常のリバースプロキシと同じですね。

それでは実際の設定です。

[サーバー ファームの作成]

まずは負荷分散をする Web サーバーをファームとしてまとめる必要があります。

  1. [ISA Server の管理] を実行します。
  2. 設定をするアレイを展開し、[ファイアウォール ポリシー] を選択します。
    image
  3. [ツールボックス] から [ネットワーク オブジェクト]? を選択し、[新規作成] → [サーバー ファーム] をクリックします。
    image
  4. [サーバー ファーム名] を入力して、[次へ] をクリックします。
    image
  5. [追加] をクリックして、ファームに登録するサーバーを設定します。
    image image
    今回は、Windows Server 2003 のサーバーを 2 台用意してありますので、追加をして [次へ] をクリックします。
    image
  6. サーバーの死活監視方法を設定し、[次へ] をクリックします。
    image
  7. [完了] をクリックします。
    image?
  8. [適用] をクリックします。
    image
  9. [OK] をクリックします。
    image

これでファームの設定は完了です。

あとはこのファームを宛先として、Web サイトの公開ルールを作成します。

[サーバー ファームを使用した公開ルールの作成]

  1. [タスク] から [Web サイトの公開] をクリックします。
    image
  2. ルール名を入力して、[次へ] をクリックします。
    image
  3. [許可] を選択して、[次へ] をクリックします。
    image
  4. [負荷分散 Web サーバーのサーバー ファームを公開する] を選択して、[次へ] をクリックします。
    image
  5. HTTP / HTTPS のどちらで公開するかを
    選択して、[次へ] をクリックします。
    今回は HTTP で公開します。
    image
  6. 内部サイト名を入力して、[次へ] をクリックします。
    NLB を使っていない場合は、ホストヘッダーを使っている場合以外に利用することってあるのでしょうか??
    ?image
  7. 特定のディレクトリの公開設定をする場合はパスを入力して、[次へ] をクリックします。
    今回は特にディレクトリを限定しないので省略しています。
    image
  8. 負荷分散に使用するファームと負荷分散方法を選択して、[次へ] をクリックします。
    image
  9. パブリック名を入力して、[次へ] をクリックします。
    こちらの名称は外部からのアクセスで使用される名称ですね。
    image
  10. 要求を受け付けるリスナーを選択して、[次へ] をクリックします。
    image
  11. 認証の委任方法を選択して、[次へ] をクリックします。
    image
  12. アクセスの許可対象を選択して、[次へ] をクリックします。
    image
  13. [完了] をクリックします。
    image?
  14. [適用] をクリックします。
  15. [OK] をクリックします。

これでファームを使用した負荷分散構成の設定は完了です。
HTTP の GET 要求で負荷分散をしてくれますので、サーバーは動いているが IIS が落ちているという状態だと、
IIS が動いているサーバーに要求が行くようになるので便利そうです。
# NLB はポートや要求の死活監視はしていなかった気がします。
  IIS が落ちてもサーバーが動いてると負荷分散対象として収束されたままだったかと。

Application Center Server がなくなってから、ポート単位での負荷分散はどのようにやればいいのかと
思っていたのですが、ISA のサーバー ファームを使うことで対応できるかも。

今回の投稿で ISA をいろいろと調べることができたので、次期バージョンの TMG を使用したリバースプロキシも
検証してみたいと思います。
Forefront Threat Management Gateway

Written by Masayuki.Ozawa

10月 25th, 2009 at 10:33 am

Posted in ISA

ISA 2006 EE でリバプロ その 3 NLB の設定

without comments

リバースプロキシで使用する仮想 IP アドレスを設定するために NLB の設定を行います。

[Hyper-V 2.0 特有の設定]

今回は検証環境に Hyper-V 2.0 を使用しています。
Hyper-V 2.0 で NLB を設定する場合は、仮想 IP を付与する NIC の設定で、[MAC アドレスのスプーフィングを有効にする] を
有効にしておく必要があります。
# この設定は SCVMM でみた時は、ゲスト OS のネットワークアダプタの下の方にあるのでプロパティウィンドウを下に伸ばして、
  大きくしないと表示されません。
image

Hyper-V 1.0 の時は [静的 MAC アドレス] にして、ゲスト OS に同様の MAC アドレスを割り当てる必要があったはずです。

[統合 NLB の設定]

通常、Winodws の NLB の設定をする場合、[ネットワーク負荷分散マネージャ] から NLB クラスタを構築しますが、
ISA の統合 NLB の場合は ISA の管理コンソールから設定します。

  1. NLB を設定するアレイを選択し、[構成] → [ネットワーク] を右クリック → [ネットワーク負荷分散の統合の有効化]
    をクリックします。
    image
  2. [次へ] をクリックします。
    image
  3. NLB を設定するネットワークが含まれる対象のチェックを有効にし、選択した状態にし、[仮想 IP の設定] をクリックします。
    image
  4. NLB の仮想 IP を設定し、[OK] → [次へ] をクリックします。
    image
  5. [完了] をクリックします。
    image
  6. [OK] をクリックします。
    image
  7. [適用] をクリックします。
    image
  8. [変更は保存するが、サービスは再起動しない] を選択し、[OK] をクリックします。
    ?image
  9. [OK] をクリックします。
    image
  10. 操作をしなかった ISA でも管理コンソールを起動して、ネットワークを右クリックした際に、[負荷分散ネットワークの構成] が
    表示されることを確認します。
    ISA で NLB が有効になると右クリック時のメニューが変更されます。
    image
  11. 両 ISA サーバーで [Microsoft Firewall] サービスを再起動します。
    image?
  12. サービス再起動後に [ipconfig] コマンドを実行して仮想 IP が付与されていれば設定は完了です。
    NLB が収束するまで時間がかかりますが、設定が終わると IP アドレスが 2 種類 (実 IP と 仮想 IP) 表示されます。
    image

以上で NLB の設定は終了です。
統合 NLB ですと [ユニキャスト] モードで設定がされるので、NIC が 1 枚だとサーバー間の通信ができなくなったはずです。
1 枚の NIC だと ISA + CSS 複数台で統合 NLB の設定はできないかもしれないですね。

今回は NIC を 2 枚設定しているので問題なく稼働しています。

[マルチキャスト] モードで設定する場合は、統合 NLB ではなく普通に設定しないといけないのでしょうか??
NLB の設定に関してはまだまだ確認の余地があります。

これで NLB の設定は完了です。

あとはリバースプロキシ用の [Web サイト公開ルール] を作成すれば一通りの作業完了です。
この設定は SE のリバプロ設定と変わらないので割愛したいと思います。

設定方法を全然覚えていなくて設定したら、
公開 Web サイトにアクセス クライアントの要求をパススルー認証を使用して、公開 Web サーバーにアクセスする ISA Server 2006 を構成するときにブロックされます。
の KB のエラーが出て四苦八苦しましたが…。
# 認証の委任の設定
が [委任できません。クライアントは直接認証できません。] であればエラーは出なかったですが、
  どこで認証させるかによってこの辺の設定も変わりますよね。

次は ISA 2006 でサーバーファームの設定をまとめてみたいと思います。

Written by Masayuki.Ozawa

10月 25th, 2009 at 4:58 am

Posted in ISA

ISA 2006 EE でリバプロ その 2 ISA のインストール

without comments

構成保管サーバーのインストールが終了したら ISA 本体をインストールします。

まずは 1 台目の ISA を追加したいと思います。

[ISA のインストール]

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
  3. [次へ] をクリックします。
  4. [変更] を選択し、[次へ] をクリックします。
    image
  5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
    image image
  6. 構成保管サーバーを指定し、[次へ] をクリックします。
    今回は 2 台構成なのですが構成保管サーバーをたすき掛けで参照するのではなく、自分自身を指定しています。
    # 実際に使用する構成保管サーバーの設定ではなく、インストール時の構成情報を取得するための参照先だお思います。
    image
  7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
    image
  8. 参加させるアレイを設定し、[次へ] をクリックします。
    image image
  9. [次へ] をクリックします。
    image
  10. 内部セグメントとして指定するネットワークを追加し、[次へ] をクリックします。
    今回は内部セグメントとして、Hyper-V の [内部ネットワーク] のネットワークに [192.168.0.x] のセグメントを
    割り当てています。
    image
    [追加] をクリック → [アダプタの追加] → 内部ネットワークの NIC を選択し、対象のアダプタのネットワークを追加します。
    # AD も 192 のセグメントに配置しています。
    image image image image

    AD に参加している場合、AD のセグメントが内部ネットワーク外になる場合は 次へをクリックした際に
    ドメインコントローラー用のコンピュータセットを作成し、その中にドメインコントローラーの IP を設定してくれます。

  11. [次へ] をクリックします。
    image
  12. [インストール] をクリックします。
    image image
  13. [完了] をクリックします。
    image

[2003-ISA-11] の構成保管サーバーでアレイに登録されているサーバーを確認してみます。
image 
サーバーが登録されて、緑丸アイコンが表示され正常に認識されていますね。

[2003-ISA-12] の構成保管サーバーでされいに登録されているサーバーを確認すると、
砂時計アイコンの状態となりこの状態から変更されません。

image

[2003-ISA-11] に ISA をインストールされることでファイアウォール機能が稼働しますので、
ポリシーで許可されていないサーバーの送信パケットは拒否されるようになります。
このまま、[2003-ISA-12] に ISA をインストールすると 12 側でもファイアウォールが稼働し、
構成保管サーバーの複製も拒否されてしまうようです。

アレイのシステムポリシーとして、[構成保管サーバーのレプリケーション] というポリシーが設定されています。
# システムポリシーはアレイ内の [ファイアウォール ポリシー] を右クリックして、[システム ポリシーの編集] から表示できます。
image

このポリシーの宛先として、[構成保管サーバーのレプリケート] というものが設定されています。

image image

今回のインストール方法で構築した場合、[構成保管サーバーのレプリケート] にはどのサーバーも指定されていません。

image

この設定は [エンタープライズ] の [エンタープライズ ポリシー] の [コンピュータ セット] として登録さていますので、
今回使用している ISA を設定しておきます。

image

2 台なので個別に登録してもいいのですがせっかくなので範囲で登録してみました。

image image

これで [2003-ISA-11] で接続が許可されるようになりますので、[2003-ISA-12] でサーバーを確認すると正常になります。

image

これで一台目の ISA が構築できましたので続いて 2 台目を追加します。

[2 台目の ISA の追加]

[2003-ISA-11] は ISA + CSS の構成となっていますが、[2003-ISA-12] は CSS のみとなっています。
ISA 部分の冗長性を確保するため [2003-ISA-12] に ISA をインストールします。

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
  3. [次へ] をクリックします。
  4. [変更] を選択し、[次へ] をクリックします。
  5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
  6. 構成保管サーバーを指定し、[次へ] をクリックします。
    今回も自身を指定しています。
    image 
  7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
  8. 参加させるアレイを設定し、[次へ] をクリックします。
  9. [次へ] をクリックします。
    # 1 台目のインストール時に内部ネットワークの設定は完了しているため、ネットワーク設定は表示されません。
  10. [次へ] をクリックします。
  11. [インストール] をクリックします。
  12. [完了] をクリックします。

これで ISA の冗長化が完了です。
両サーバーの管理コンソールでサーバーが 2 台になっていることが確認できます。

image 

[追加した ISA の接続先構成保管サーバーの変更]

追加した [2003-ISA-12] の ISA の管理コンソールの使用する構成保管サーバーが [2003-ISA-11] に変更されているので、
[構成保管サーバーに接続] で接続先の構成保管サーバーを自身に変更しておきます。
# これは管理コンソールで接続する先のサーバーの指定なんでしょうね。
  実際の代替構成は代替構成保管サーバーで設定しているはずですので。

  1. [Microsoft Internet ~] を右クリック
    image
  2. [次へ] をクリックします。
    image
  3. [ローカルコンピュータ] を選択し、[次へ] をクリックします。
    image
  4. [次へ] をクリックします。
    image
  5. [完了] をクリックします。
     image

[構築後の確認]

再起動後に AD の認証で時間がかかっている場合は ISA のシステムポリシーの設定が影響している可能性があります。
# ドメインユーザーを指定しての認証で時間がかかる場合は、ISA のシステムポリシーで AD へのアクセスがはじかれている
  可能性があります。

AD に参加している ISA は一般的な構成でない気がしますが、ISA 構築後は一度再起動してみて、イベントビューアに
[netlogon] のエラーが出ていないことを確認したほうがよいかと思います。

ISA の認証で動きがおかしい場合は、Active Directory のシステムポリシーにドメインコントローラーが許可されているかを確認します。
image image

あとは構成保管サーバーのレプリケート確認を兼ねて、エンタープライズにテスト用のルールを作成して複製されるか、
image

アレイ内にルールを設定して複製されるかの確認はしておいた方がよいかもしれませんね。

image

ファイアウォールポリシーで ISA サーバー間の複製が妨げられているといつまでたっても各構成保管サーバーに
情報が伝搬されませんので。

 

これで ISA の構成が冗長化されました。
リバースプロキシとして使用する場合はサーバー共通で使用する仮想 IP の設定を行う必要があります。
ISA 2006 EE は ISA を NLB として構築することが可能です。

次は ISA の統合 NLB の設定を行います。

Written by Masayuki.Ozawa

10月 25th, 2009 at 4:41 am

Posted in ISA