SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for 10月, 2009

ISA 2006 EE でリバプロ その 3 NLB の設定

leave a comment

リバースプロキシで使用する仮想 IP アドレスを設定するために NLB の設定を行います。

[Hyper-V 2.0 特有の設定]

今回は検証環境に Hyper-V 2.0 を使用しています。
Hyper-V 2.0 で NLB を設定する場合は、仮想 IP を付与する NIC の設定で、[MAC アドレスのスプーフィングを有効にする] を
有効にしておく必要があります。
# この設定は SCVMM でみた時は、ゲスト OS のネットワークアダプタの下の方にあるのでプロパティウィンドウを下に伸ばして、
  大きくしないと表示されません。
image

Hyper-V 1.0 の時は [静的 MAC アドレス] にして、ゲスト OS に同様の MAC アドレスを割り当てる必要があったはずです。

[統合 NLB の設定]

通常、Winodws の NLB の設定をする場合、[ネットワーク負荷分散マネージャ] から NLB クラスタを構築しますが、
ISA の統合 NLB の場合は ISA の管理コンソールから設定します。

  1. NLB を設定するアレイを選択し、[構成] → [ネットワーク] を右クリック → [ネットワーク負荷分散の統合の有効化]
    をクリックします。
    image
  2. [次へ] をクリックします。
    image
  3. NLB を設定するネットワークが含まれる対象のチェックを有効にし、選択した状態にし、[仮想 IP の設定] をクリックします。
    image
  4. NLB の仮想 IP を設定し、[OK] → [次へ] をクリックします。
    image
  5. [完了] をクリックします。
    image
  6. [OK] をクリックします。
    image
  7. [適用] をクリックします。
    image
  8. [変更は保存するが、サービスは再起動しない] を選択し、[OK] をクリックします。
    ?image
  9. [OK] をクリックします。
    image
  10. 操作をしなかった ISA でも管理コンソールを起動して、ネットワークを右クリックした際に、[負荷分散ネットワークの構成] が
    表示されることを確認します。
    ISA で NLB が有効になると右クリック時のメニューが変更されます。
    image
  11. 両 ISA サーバーで [Microsoft Firewall] サービスを再起動します。
    image?
  12. サービス再起動後に [ipconfig] コマンドを実行して仮想 IP が付与されていれば設定は完了です。
    NLB が収束するまで時間がかかりますが、設定が終わると IP アドレスが 2 種類 (実 IP と 仮想 IP) 表示されます。
    image

以上で NLB の設定は終了です。
統合 NLB ですと [ユニキャスト] モードで設定がされるので、NIC が 1 枚だとサーバー間の通信ができなくなったはずです。
1 枚の NIC だと ISA + CSS 複数台で統合 NLB の設定はできないかもしれないですね。

今回は NIC を 2 枚設定しているので問題なく稼働しています。

[マルチキャスト] モードで設定する場合は、統合 NLB ではなく普通に設定しないといけないのでしょうか??
NLB の設定に関してはまだまだ確認の余地があります。

これで NLB の設定は完了です。

あとはリバースプロキシ用の [Web サイト公開ルール] を作成すれば一通りの作業完了です。
この設定は SE のリバプロ設定と変わらないので割愛したいと思います。

設定方法を全然覚えていなくて設定したら、
公開 Web サイトにアクセス クライアントの要求をパススルー認証を使用して、公開 Web サーバーにアクセスする ISA Server 2006 を構成するときにブロックされます。
の KB のエラーが出て四苦八苦しましたが…。
# 認証の委任の設定
が [委任できません。クライアントは直接認証できません。] であればエラーは出なかったですが、
  どこで認証させるかによってこの辺の設定も変わりますよね。

次は ISA 2006 でサーバーファームの設定をまとめてみたいと思います。

Written by Masayuki.Ozawa

10月 25th, 2009 at 4:58 am

Posted in ISA

ISA 2006 EE でリバプロ その 2 ISA のインストール

leave a comment

構成保管サーバーのインストールが終了したら ISA 本体をインストールします。

まずは 1 台目の ISA を追加したいと思います。

[ISA のインストール]

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
  3. [次へ] をクリックします。
  4. [変更] を選択し、[次へ] をクリックします。
    image
  5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
    image image
  6. 構成保管サーバーを指定し、[次へ] をクリックします。
    今回は 2 台構成なのですが構成保管サーバーをたすき掛けで参照するのではなく、自分自身を指定しています。
    # 実際に使用する構成保管サーバーの設定ではなく、インストール時の構成情報を取得するための参照先だお思います。
    image
  7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
    image
  8. 参加させるアレイを設定し、[次へ] をクリックします。
    image image
  9. [次へ] をクリックします。
    image
  10. 内部セグメントとして指定するネットワークを追加し、[次へ] をクリックします。
    今回は内部セグメントとして、Hyper-V の [内部ネットワーク] のネットワークに [192.168.0.x] のセグメントを
    割り当てています。
    image
    [追加] をクリック → [アダプタの追加] → 内部ネットワークの NIC を選択し、対象のアダプタのネットワークを追加します。
    # AD も 192 のセグメントに配置しています。
    image image image image

    AD に参加している場合、AD のセグメントが内部ネットワーク外になる場合は 次へをクリックした際に
    ドメインコントローラー用のコンピュータセットを作成し、その中にドメインコントローラーの IP を設定してくれます。

  11. [次へ] をクリックします。
    image
  12. [インストール] をクリックします。
    image image
  13. [完了] をクリックします。
    image

[2003-ISA-11] の構成保管サーバーでアレイに登録されているサーバーを確認してみます。
image 
サーバーが登録されて、緑丸アイコンが表示され正常に認識されていますね。

[2003-ISA-12] の構成保管サーバーでされいに登録されているサーバーを確認すると、
砂時計アイコンの状態となりこの状態から変更されません。

image

[2003-ISA-11] に ISA をインストールされることでファイアウォール機能が稼働しますので、
ポリシーで許可されていないサーバーの送信パケットは拒否されるようになります。
このまま、[2003-ISA-12] に ISA をインストールすると 12 側でもファイアウォールが稼働し、
構成保管サーバーの複製も拒否されてしまうようです。

アレイのシステムポリシーとして、[構成保管サーバーのレプリケーション] というポリシーが設定されています。
# システムポリシーはアレイ内の [ファイアウォール ポリシー] を右クリックして、[システム ポリシーの編集] から表示できます。
image

このポリシーの宛先として、[構成保管サーバーのレプリケート] というものが設定されています。

image image

今回のインストール方法で構築した場合、[構成保管サーバーのレプリケート] にはどのサーバーも指定されていません。

image

この設定は [エンタープライズ] の [エンタープライズ ポリシー] の [コンピュータ セット] として登録さていますので、
今回使用している ISA を設定しておきます。

image

2 台なので個別に登録してもいいのですがせっかくなので範囲で登録してみました。

image image

これで [2003-ISA-11] で接続が許可されるようになりますので、[2003-ISA-12] でサーバーを確認すると正常になります。

image

これで一台目の ISA が構築できましたので続いて 2 台目を追加します。

[2 台目の ISA の追加]

[2003-ISA-11] は ISA + CSS の構成となっていますが、[2003-ISA-12] は CSS のみとなっています。
ISA 部分の冗長性を確保するため [2003-ISA-12] に ISA をインストールします。

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
  3. [次へ] をクリックします。
  4. [変更] を選択し、[次へ] をクリックします。
  5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
  6. 構成保管サーバーを指定し、[次へ] をクリックします。
    今回も自身を指定しています。
    image 
  7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
  8. 参加させるアレイを設定し、[次へ] をクリックします。
  9. [次へ] をクリックします。
    # 1 台目のインストール時に内部ネットワークの設定は完了しているため、ネットワーク設定は表示されません。
  10. [次へ] をクリックします。
  11. [インストール] をクリックします。
  12. [完了] をクリックします。

これで ISA の冗長化が完了です。
両サーバーの管理コンソールでサーバーが 2 台になっていることが確認できます。

image 

[追加した ISA の接続先構成保管サーバーの変更]

追加した [2003-ISA-12] の ISA の管理コンソールの使用する構成保管サーバーが [2003-ISA-11] に変更されているので、
[構成保管サーバーに接続] で接続先の構成保管サーバーを自身に変更しておきます。
# これは管理コンソールで接続する先のサーバーの指定なんでしょうね。
  実際の代替構成は代替構成保管サーバーで設定しているはずですので。

  1. [Microsoft Internet ~] を右クリック
    image
  2. [次へ] をクリックします。
    image
  3. [ローカルコンピュータ] を選択し、[次へ] をクリックします。
    image
  4. [次へ] をクリックします。
    image
  5. [完了] をクリックします。
     image

[構築後の確認]

再起動後に AD の認証で時間がかかっている場合は ISA のシステムポリシーの設定が影響している可能性があります。
# ドメインユーザーを指定しての認証で時間がかかる場合は、ISA のシステムポリシーで AD へのアクセスがはじかれている
  可能性があります。

AD に参加している ISA は一般的な構成でない気がしますが、ISA 構築後は一度再起動してみて、イベントビューアに
[netlogon] のエラーが出ていないことを確認したほうがよいかと思います。

ISA の認証で動きがおかしい場合は、Active Directory のシステムポリシーにドメインコントローラーが許可されているかを確認します。
image image

あとは構成保管サーバーのレプリケート確認を兼ねて、エンタープライズにテスト用のルールを作成して複製されるか、
image

アレイ内にルールを設定して複製されるかの確認はしておいた方がよいかもしれませんね。

image

ファイアウォールポリシーで ISA サーバー間の複製が妨げられているといつまでたっても各構成保管サーバーに
情報が伝搬されませんので。

 

これで ISA の構成が冗長化されました。
リバースプロキシとして使用する場合はサーバー共通で使用する仮想 IP の設定を行う必要があります。
ISA 2006 EE は ISA を NLB として構築することが可能です。

次は ISA の統合 NLB の設定を行います。

Written by Masayuki.Ozawa

10月 25th, 2009 at 4:41 am

Posted in ISA

ISA 2006 EE でリバプロ その 1 構成保管サーバーの設定

leave a comment

ISA 2006 Enterprise Edition (EE) でリバースプロキシ環境構築方法を勉強中です。

一通り、流れがつかめた気がするので一度まとめてみたいと思います。
今回構築したいのは以下構成になります。

ISA は NIC × 2 の構成でインターネット向けの口とイントラネット向けの口を用意しています。
厳密な F/W は導入していないのですが セグメント違いますよ」というイメージ図のため、壁を入れてあります。

?image

まずは構成保管サーバー (CSS: Configuration Storage Server) の構築から。

ISA 2006 では構成情報を構成保管サーバーに格納します。

Standard Edition (SE) の場合は構成情報をレジストリに格納されます。
– HKLMIsaStg_Eff1
– HKLMIsaStg_Eff1Policy
– HKLMIsaStg_Eff1Prot
に格納されているようです。

SE はシングルサーバー構成のため、レジストリに情報を格納して自身が参照できれば問題ないですよね。

EE の場合は複数ノードで ISA を構成することができます。
そのため CSS は ADAM (Active Directory Application Mode) を使用して管理されます。
# レジストリも使っているようですが、マスターは ADAM になるようです。
構成保管サーバーは ADAM をマルチマスタレプリケーションで複製することによる、レプリカを作成できますので
設定情報自体の冗長化を図ることが可能です。

ただし、この構成保管サーバーなのですが、CSS をワークグループ環境に設置した場合、レプリカ設定ができません。
ワークグループ環境の CSS に構成保管のレプリカを追加しようとすると以下のエラーになります。

image

CSS のレプリカ構成はドメイン環境必須になります。
そのため ISA 2006 EE を構築する場合は、CSS を内部ドメインに配置し、Active Directory 環境とする構成を
検討する必要があります。

今回はリソースが足りないので、ISA 2006 EE をドメインに参加させ、ISA 兼 CSS の構成として冗長性を確保しています。
# DMZ に配置するサーバーをドメイン環境に設置しています。微妙な構成??

[事前準備]

インストール前の事前準備として以下の作業をしておきます。

  1. ドメインに参加
  2. Domain Users グループのユーザーを作成し、各 ISA サーバーのローカル Administrators グループに追加
  3. 追加したドメインユーザーでログイン

[構成保管サーバーのインストール]

最初の構成保管サーバーをインストールします。
今回は OS に Windows Server 2003 R2 x86 を使用しています。

構成保管サーバーには ADAM を使用しており、2003 R2 にインストールする場合には、インストール中に
R2 の Disk2 の挿入が必要となります。

インストール中にディスクを入れ替えるの手間ですので、構成保管サーバーをインストールする際は

  1. ISA のインストールメディアをローカルディスクに保存
  2. R2 の Disk を挿入しておく
  3. ローカルディスクのインストーラー? (isaautorun.exe)を起動

で行うと楽かと。
以前、インストールできないと困っていたら裏に、CD 挿入のダイアログが出ていただけだったことがあります…。
それ以来、EE のインストール時は上記の方法で行っています。
# SE は ADAM のインストールがないので CD 挿入のダイアログが表示されません。

インストールの手順は以下になります。

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
    image
  3. [次へ] をクリックします。
    image
  4. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
    image
  5. [次へ] をクリックします。
    image
  6. [構成保管サーバーのインストール] を選択し、[次へ] をクリックします。
    image
  7. [次へ] をクリックします。
    image
  8. [新しい ISA Server エンタープライズの作成] を選択し、[次へ] をクリックします。
    image
  9. [次へ] をクリックします。
    image
  10. [エンタープライズ名] を設定し、[次へ] をクリックします。
    image
  11. [単一のドメイン内、または信頼関係のあるドメインに展開しています。] を選択し、[次へ] をクリックします。
    image
  12. [インストール] をクリックします。
    image image
  13. [完了] をクリックします。
    image

これで最初の構成保管サーバーのインストールは完了です。

[構成保管サーバーのレプリカの作成]

続いてレプリカを作成します。

  1. インストーラーを起動します。
  2. [ISA Server 2006 のインストール] をクリックします。
  3. [次へ] をクリックします。
  4. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
  5. [次へ] をクリックします。
  6. [エンタープライズ構成のレプリカの作成] を選択し、[次へ] をクリックします。
    image
  7. 最初にインストールした構成保管サーバーを FQDN で指定して、[次へ] をクリックします。
    両サーバーのローカル Administrators グループに追加さている Domain Users のアカウントを使用しているので、
    資格情報を設定しなくても通ります。
    # 今回は [isa.local] ドメイン/ [2003-ISA-11] / [2003-ISA-12] を構築して検証しています。
    image
  8. [ネットワーク上でレプリケートする] を選択し、[次へ] をクリックします。
    image
  9. [単一のドメイン内、または信頼関係のあるドメイン内に展開しています] を選択し、[次へ] をクリックします。
  10. [インストール] をクリックします。
  11. [完了] をクリックします。

これで構成保管サーバーのレプリカが作成されます。

[アレイの作成]

この後に、ISA 2006 の本体を導入しますので、インストール時に指定するアレイを作成しておきます。
アレイの作成は ISA の管理コンソール [ISA Server の管理] で行います。
image

  1. [アレイ] を右クリック → [新規のアレイ] をクリックします。
    image
  2. [アレイ名] を設定し、[次へ] をクリックします。
    ?image
  3. [次へ] をクリックします。
    image
  4. [次へ] をクリックします。
    image
  5. [次へ] をクリックします。
    image
  6. [完了] をクリックします。
    image
  7. [OK] をクリックします。
    image
  8. [適用] をクリックして設定を反映させます。
    image?
  9. [OK] をクリックします。
    image

今回は [2003-ISA-11] 上で操作をしたのですが、構成情報は複製されていますので [2003-ISA-12] でも設定されています。
image

image

[代替構成保管サーバーの設定]

アレイには代替保管サーバーを設定できます。
構成保管サーバーのレプリカがあっても、代替構成保管サーバーを設定しないとアレイが使用している構成情報の冗長化ができません。

  1. 作成したアレイを右クリック → [プロパティ] をクリックします。
    image
  2. [構成の保管] タブをクリックし、[代替構成保管サーバー] を設定し、[OK] をクリックします。
    今回の環境の初期状態では、代替構成保管サーバーは設定されていません。
    [2003-ISA-12] にも構成保管サーバーはインストールされていますので、代替構成保管サーバーとして設定します。
    ?image image
  3. [適用] をクリックして設定を反映させます。
  4. [OK] をクリックします。

しばらく待つと設定を行っていない構成保管サーバーにも複製されますので、全構成保管サーバーに設定されていることを
確認できれば設定完了です。

現在の設定ですとこの後、ISA 本体をインストールしたときにいろいろと不具合が起きるのですが、
それはこの後の投稿で確認しながら対処していきたいと思います。

Written by Masayuki.Ozawa

10月 25th, 2009 at 4:16 am

Posted in ISA

MDOP 2009 R2 が TechNet / MSDN で提供開始されました

leave a comment

MDOP 2009 R2 が TechNet / MSDN の会員サイトで提供が開始されました。
MDOP 2009 R2 for Windows 7 is now available!

このバージョンで Windows 7 に対応がされているはずです。
久しぶりに MED-V を触ろうと考えていたので、このタイミングでのリリースはうれしい限りです。
明日の Windows 7 発売のタイミングに合わせたのでしょうか??
# 私も自宅の検証環境以外で使用する Windows 7 のライセンス購入しないと。

ファイルサイズだけみると倍以上になっているんですね。
MDOP に含まれる製品は増えていないと思っていたのですが。

image

現在ダウンロード中なので本日帰宅してから少し触ってみたいと思います。

VHD ブートが使えると Windows 7 の物理検証環境が手軽に用意できていいですね。
MED-V は物理環境が必須なので、今まではサーバーのパーティションを一つ潰していたのですが、
VHD でしたら BCD のエントリ追加だけですので。
物理検証環境用に x64 対応の中古のノート PC を購入したので、最近この手の検証も
効率よくできるようになりました。

追記

Windows 7 に対応した MED-V の提供は 2010 年の予定なんですね。
この投稿を書いた後、すべてわかる仮想化大全 2010 を読んでいたら書かれていました。
こちらの書籍で Windows 7 上で MED-V を動かしている画像があったので期待していたのですが。
# 2009 R2 の MED-V も Windows 7 ではインストールできません。
MED-V の WIndows 7 対応の情報を一度集めないといけないなと思いました。

Written by Masayuki.Ozawa

10月 20th, 2009 at 10:56 pm

Posted in MDOP

Windows 7 で LCD-8000U を使う方法 その 2

leave a comment

LCD-8000U ですがモニターを変えなくても Windows Update 経由でインストールできる DisplayLink の
[5.21555.0] (2009/10/10) を使用すればそのまま利用できそうです。

image?

このドライバを使用した場合、モニターは [汎用 PnP モニター] で利用可能です。

image

DisplayLink のホームページにはまだ本バージョンのドライバはアップされていないようです。
今日になって Windows Update のドライバが更新されたのでしょうか?
気づいたらドライバの更新ができ、汎用モニターで使用できるようになっていました。

標準のドライバだけで設定をしないでも使えると安心感があっていいですね。

Written by Masayuki.Ozawa

10月 20th, 2009 at 3:40 pm

Posted in Windows Client