SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for 5月, 2010

AD RMS の再インストールでエラーが発生してしまう場合の対処

leave a comment

先ほどの環境で一度 AD RMS をアンインストールしてインストールしたところ以下のエラーが。image

AD RMS の管理コンソールで接続を使用してもエラーになってしまいます。
image

きちんとインストールができていないようですね…。

?

■SCP のコンテナの削除

SCP 関係でインストールが失敗しているようなので、ADSI エディターを使って AD RMS の SCP を削除して
再度インストールしてみます。
image

SCP を削除後にインストールしてみたところ正常にインストールが完了しました。
image?

■ SCP の登録

AD RMS の管理コンソールを開いて設定を確認してみると SCP が登録されていないみたいですね。
image

[SCP を変更する] を有効にして SCP を登録してみます。
image

SCP を登録しようとするとエラーになってしまいました…。
image

?

■SCP のコンテナの作成

この現象ですが SCP 用のコンテナが登録されていないので発生しているみたいですね。
ADSI エディターを開いて SCP 用のコンテナを作成します。

[CN=RightsManagementServices] を右クリックして、[新規作成] → [オブジェクト] をクリックします。
image

オブジェクトの種類に [serviceConnectionPoint] がありますので、これを選択して、
image

[SCP] という名称で作成します。
image

?

SCP のコンテナを再作成した後に SCP の変更をすると正常に登録がされます。
image

?

私が使っている環境は、手動で SCP を書き換えたりしていたので、必ず発生する現象とは思えませんがメモとして。

Written by Masayuki.Ozawa

5月 29th, 2010 at 10:05 am

Posted in Active Directory

AD RMS の設定情報の格納場所について

leave a comment

そもそもの始まりは AD RMS をインストールするときに内部アドレスの設定を FQDN ではなく
コンピューター名で設定してしまったことから…。
image

AD RMS で使用する証明書は FQDN で設定していました。

そのため、IRM で文章を保護しようとするとこのようなセキュリティ警告が表示されてしまいます。
# HTTPS 通信時に AD RMS で設定している内部アドレスはコンピュータ名で、証明書は FQDN のため。
image?
[はい] を選択すれば開けるのですがちょっと面倒ですよね。

この状態で AD RMS の管理コンソールを開くと、こちらも証明書の警告が表示されます。
image?

AD RMS の管理コンソールをに関しては管理コンソールからスナップインを一度削除して、
image
[クラスターの追加] でリモートコンピューターとして FQDN でスナップインを追加すれば回避できます。
image
image?

■SCP の設定

クライアントの接続時の接続先は上記のスナップインとはまた別で、AD RMS の [Service Control Point] (SCP) で
設定されている値が使用されます。

インストール時に、[構成した後で、このアドレスまたはポート番号を変更することができません。]と表示されているように
AD RMS の管理コンソールを開いても、この SCP のアドレスは変更ができないようになっています。

この接続の時に使用されているのが SCP のアドレスになるのですが、グレーアウトしています。
SCP のアドレス自体は、[クラスターの URL] の [証明] がベースになっているのですがこちらも同様にグレーアウトしています。
image image

SCP は AD の構成パーティションに設定されていますので、ADSI エディタで直接変更してしまえば、値を修正することはできたりします。
# 構成パーティションの変更ですので [Enterprise Admins] の権限が必要となります。

構成パーティションの [CN=SCP,CN=RightsManagementServices,CN=Services] のプロパティを開くと設定を確認できます。
image

[serviceBindingInformation] の属性が SCP の URL となっています。
こ値を FQDN に設定することでクライアントのセキュリティ警告は一応回避することができます。
image

インストール時にアドレスを変更することはできませんと表示されているので、一度役割を削除して
再度追加したほうが良いとは思いますが。

?

■SQL Server に格納されている情報

URL としては、ライセンスの URL もありますがこちらに関しては SQL Server のデータベースに格納されています。
[DRMS_Config_<サーバー名>_443] というデータベースの [dbo].[DRMS_ClusterPolicies] テーブルを SELECT すると
情報を確認することが可能です。

image

実際に SELECT して確認してみると、[LicensingClusterUrl] に値が設定されているのが確認できますね。?
image

?

AD RMS をインストールしていてちょっと調べてみたことをまとめてみました。

Written by Masayuki.Ozawa

5月 29th, 2010 at 8:19 am

Posted in Active Directory

IRM に対応している Office のエディションについて

leave a comment

最近、ちょっと調べたので投稿を。

Office には [Rights Management Services]? (RMS) と連携して文書保護をする
[Information Rights Management] (IRM) という機能があります。

家の AD の環境に AD RMS の役割を追加して構築をして、さて Excel で試そうとしたところ、IRM を設定するための項目がない…。

image

IRM を設定する場合は、[配布準備] の [アクセスの制限] を使うのですが、私の用意した環境には表示されていない…。
image

なんでだろうと思っていたら、Office のエディションによって IRM で文書保護を設定する機能がないんですね。

今回、[アクセスの制限] が表示されていなかった Excel は [Office 2007 Professional] を使用していました。
# OS は Windows XP ですが、IRM クライアントはインストール済みです。
image

[アクセスの制限] が表示されているのは [Office 2007 Ultimate] を使用していました。
# こちらの OS は Vista です。
image

?

■Office で IRM が使用できるエディション

Office の製品ページを見たところ、以下の情報が掲載されていました。

Office Professional Edition 2003 の IRM (Information Rights Management)
2007 Microsoft Office system スイート
Office 2010 製品エディション

Office 2007 の場合は、Professional Plus 以上のエディションでないと、IRM で文書を保護することができないんですね。
今まで意識したことがなかったので気づいていませんでした。
# 企業ですと Enterprise が使用されていることが多かったので。

このエディションですが文章の保護ができるエディションになるようで、それ以外のエディションでも IRM で保護された
文章を開くことはできました。

今回は、無償の Excel Viewer を使ってみたのですが、以下の画像のようにアクセス制限が有効になった状態で開けています。
image?

アクセス権がない場合はこの通り。
image

IRM で保護できない理由がわからず、半日ぐらい悩んでしまいました…。

Written by Masayuki.Ozawa

5月 29th, 2010 at 5:13 am

Posted in Active Directory

Microsoft Office & SharePoint Conference 2010 セミナーレポート

leave a comment

本日は Microsoft Office & SharePoint Conference 2010 に参加していますので、そのセミナーレポートを。
セッションを受講するたびに適宜アップデートしていきます。

■基調講演

クラウドに人材をシフトして行こうという動きが MS 社内にある。
→信頼性を確保できる体制を作っていくことが重要という認識を会社として持っていく。

Office 2010 は 5/1 より企業向けの VL の提供開始。
→クラウドに完全に対応した製品としてリリース。

?

– クラウド自体におけるマイクロソフトの強み –

ソフトウェア+サービス
→ソフトウェアとサービスがシームレスに連携

  1. 同一の技術、設計のソフトウェアとサービスにおける柔軟なデータの移行と連携
  2. あらゆるデバイスからのクラウド利用
  3. 優れたクラウドプラットフォームの提供
  4. 世界規模でのデータセンターへの投資
    →メガデータセンターを 6 個所に構築
  5. セキュリティやプライバシーなどへの取り組み

場所を問わずに使用できることを意識したのが Office 2010。

?

– The Future Of Productivity ワークスタイル新標準の到来 –

Office 製品群の統括は日本の方。
→ということで同時通訳なし。

Office 2010 は最終的には 94 か国語 に対応される。

エンドユーザー視点
作業の効率化により 1 年間で 2 週間分の時間を取り戻せる。

PC、スマートフォン、ブラウザーによる最高の操作性と生産性
どのデバイスを使っても最高の生産性を得られる
デバイス、場所の制約を取り払い、共同作業を実現する。
?

– デモ Ofice 2010 の新機能 –

リボンインターフェースが使いやすくなっている。

[Excel 2010]

バックステージビュー
プレビューを見ながら印刷の設定を変更することができる。(設定とプレビューが同時に行える)

貼り付けプレビュー
貼り付ける前に、どのような形式で貼り付けられるか確認できる。

データバー
Office 2010 ではマイナスのデータも表現できるようになった。

スパークライン
スパークラインの書式変更 / グラフの種類 (折れ線から縦線) の変更

Excel 2010 ではデータを分析する機能が強化されている。

SPS 2010 を使用した Office Web Apps
スパークライン / グラフも表示できる。
ブラウザー上で編集可能。

?

[OneNote 2010]

2010 では Personal 以外のエディションで OneNote が使えるようになった。
検索ボックスが強化されている。
→画像の中の文字に対しても検索がされる。(画像内の対象の文字がハイライト表示される)

OneNote Web App
SPS 2010 上に置くことで、共同編集が可能となっている。

T-01B の OneNote Movile を使用したデモ
写真 / 音声データを手軽に取得し、PC の OneNote と同期することができる。

?

[PowerPoint 2010]

画像編集
画像の背景を簡単に削除することができる。
プレビューを見ながら画像の明暗を調整することができる。

ビデオ編集
ビデオのトリミング、スタイルの設定ができるようになっている。

編集したPowerPointの共有
SPS にアップロード
PowerPoint でビデオを作成
ブロードキャストを使用して配信
→ Windows Phone でもブロードキャストの閲覧が可能

?

– Microsoft の目指す長期的な戦略について –

  1. PC、スマートフォン、ブラウザーによる、最高の操作性と生産性
    どのデバイスを使用しても、お客様のデータ / 文書を壊さないようにという考え。
  2. クラウドへの完全対応
    お客様の目線に立った価値でサービスを提供
    オンプレミスだけ / オンラインだけということではなくハイブリッドな環境

    スターバックスは Exchange / Exchange Online / SharePoint Online を使っている。
    →オンプレミス、BPOS を意識しないで使える環境となっている。

    コカコーラ (?) も BPOS を使用している。

  3. 幅広い観点で Productivity を考えている
    – ユニファイドコミュニケーション
    – ビジネスインテリジェンス
    – エンタープライズコンテンツ管理
    – コラボレーション
    – エンタープライズサーチ

– 統合化されたソリューションプラットフォームのデモ –

SharePoint 2010 に構築した企業ポータルを使用してデモ

ビデオファイル
ビデオファイルを SPS 上にアップすることでポータル上でビデオを再生することが可能。

ドキュメントライブラリ
バージョン管理、ワークフローの実行
ドキュメントの評価の実施
管理メタデータタグの設定
→必要なドキュメントを表示するためのタグとして使う事ができる
タグ付けは Office 2010 のバックステージビューからも実施することができる。

SharePoint Workspace Movile のデモ
モバイルで SPS のドキュメントをダウンロードしてオフラインでも利用できる。

FAST Search
Enterprise では FAST 検索が使用できる。
従来の検索よりリッチな検索が実現できる。
検索結果からさらに検索の絞り込みが可能 。
検索結果上でファイルを開くことなくプレビューをすることができる。
人の検索も可能。
→組織図では Silverlight が使われている。
タグクラウドも使える。
名前にプレゼンスが表示されるので OCS と連動可能。

ビジネスダッシュボード
Enterprise で搭載されている。
以前の Parformance Point Server の機能。
分解ツリーで特定のデータのみをドリルダウンしながらデータを分析できる。

PowerPivot
Excel Web App で SPS 上で表示。
PowerPivot for Excel では従来の Excel の上限以上のデータが表示できる。

?

– クラウド: We’re All In –

意味:Microsoft 丸ごと本気です。

クラウド上でも各製品が使える。
Office / Exchange / SharePoint / Office Communications / Windows Azure /? Windows Server / Dynamics CRM / Windows Intune

インフラへの投資
23 億ドルの投資
データセンターの地理的冗長化
パブリック / プライベートの柔軟性
30,000 人のエンジニアがクラウドに従事
→全社の開発エンジニアの 7 割、今後 9 割になるかも。

サービス
SLA を定義

Office 2010 のベータプログラムの参加は、全世界 860万人 (日本 40 万人 (前回は 15 万人))

– 早期導入事例 –

KOMATSU
→ App-V で Office 2010 を利用

学校法人日本女子大学
→ オンプレミスだけでなく Web アクセスを利用

株式会社エーザイ
→ PowerPivot を利用したセルフサービス BI (SPS / Excel / SQL Server)

キヤノンファインテック株式会社
→ SPS 2010 を利用して業務プロセス改善等

早期導入事例 ファーストリテイリング
ビデオによるデモ

世界市場で一番にならないと日本市場でも一番になれない。
世界中には日本の何十倍というビジネスチャンスがある。
Global One (世界の一番良い標準化された方法で、仕事と経営を行う)
仕事の標準化をするためには IT がないと何もできない。(全世界で情報を共有
IT で標準化を行う (頭の中にあるだけでは誰も理解できない、日本人と日本人でないと通用しない)
世界中の人が隣にいるような状況にして仕事をする。

?

– Office 2010 互換性検証パートナー –

来月から互換性のホワイトペーパーが提供される予定

?

?

■[A3-1] Outlook 2010 でさらに進化した次世代 ユニファイドコミュニケーションのご紹介

OCS “14” 日本初公開
→ 2010 年下半期提供予定
アイコンは Office 2010 のようなスタイル。(C のマークに OCS の輪っかのアイコン)

組織内の生産性の向上

?

– Business Productivity Infra –

– ユニファイドコミュニケーション
? → OCS / Exchange
– コラボレーション
– エンタープライズコンテンツ管理
– ビジネスインテリジェンス
– エンタープライズ検索

?

– マイクロソフトのユニファイドコミュニケーション –

単一のプラットフォーム (ソフトウェア) に単一の管理方法

?

– マイクロソフト ユニファイドコミュニケーションのデモ –

[Outlook 2010]

宛先に写真を表示する機能が使われていた。

リボン UI の採用
メールをさばく効率が上がる。

スレッドビュー
スレッドビューによりメールの流れを視覚的に表示
クリーンアップにより、枝分かれしたメールを管理しやすくする。
→不要なメールを削除済みアイテムに移動させる

クイック操作
複数の動作をワンワンクリックで実行できるようにする。
メンバーに送信。
上長に承認メールを送付。
部下に本文を入れてメールを転送する。
クイック操作は GUI でアクションを設定することで作成していく。
→複数のアクションを定義できる (メールを転送した後にメールを削除することも可能)

コンプライアンス対応 (セキュリティ)
Outlook 2010 + Exchange 2010 によるメールヒント。
メールヒントにより、特定の条件に当てはまる場合は警告が表示される。
→警告のメッセージなので強制力はないが、うっかりミスを減少させる。

Outlook 2010 + Exchange 2010 によるメールフロー設定。
メールフローを設定し、上長の承認を必要とすることができる。

Outlook 2010 + Exchange 2010 による IRM 設定。
社外秘という文言があった場合は、IRM で自動的に保護する設定をしてある。
Outlook Web App を使用して、転送 / 印刷ができなくなっている事の確認。
→ボタンがグレーアウトしている。

会議開催依頼
会議開催依頼のメール内に予定表の内容を確認することができる。
会議依頼の返信を使うことで、受信メールを元に会議開催通知を使う事ができる。

階層型アドレス帳
日本の企業からの要望を受けて開発された機能
部署をベースにアドレス帳を使える。

会議室の検索
Exchange の会議室と連携して、会議室の空き状況を検索することができる。

グループスケジュール
チームの予定表を横並びで表示することができる。
横並びになることで、空き時間を視覚的に探しやすい。

ソーシャルコネクター
プレビューウィンドウの下に、過去にその人とやり取りをしたメール、開催した会議等を表示できる。
人にフォーカスを充てて表示させる機能。
ファーストリテイリングでは写真を表示する機能は好評であった。
SPS の情報も確認することができる。(リンクをクリックすると SPS がブラウザーで開かれる)

?

– OCS “W14” の価値 (OCS フォーティーン) –

– 操作性の大幅な向上
?? →2010 シリーズの最後にリリースされる機能。
???? Office 2010 との連携。
– TCO 削減
?? →S/W ベースの製品なので H/Wベースの製品より費用が安い。
– 競争力の強化
?? →多彩な API が公開されている。

?

– OCS "W14" と連携したデモ –

デモで使っていた OCS クライアントは英語版

プレゼンス表示
Outlook から相手の状態を確認できる。
OCS からプレゼンスの状態を取得している。
リアルタイムで自分の状態、相手の状態を伝える。

コンタクトカード
名前にカーソルを置くと表示される。
相手の基本情報や、電話、チャットの開始をすることができる。

OCS を利用したコミュニケーション
チャット
音声通話
デスクトップシェア
→資料の共有、デスクトップ全体の共有ができる。
 相手側には、別ウィンドウでデスクトップシェアしている内容が表示される。

ワンクリックで、音声 / デスクトップ共有に発展することができる。

Conversation History
Outlook を起点とした場合、Outlook にOCS のログ等が記録される。

Web 会議
グループスケジュールからワンクリックで Web 会議を開催
→ New Online Meeting (OCS)
ラウンドテーブルを使用した Web 会議のデモ。
→Active Speaker でしゃべっている人にフォーカスを当ててくれる。
ホワイトボードにより情報を共有しながら会議を実施 (OCS の機能)
→ホワイトボードは OneNote のインターフェースに近いかな。
録画機能もある。
→SPS に保存することでチーム内で共有することができる。

クラウドサービスでもユニファイドコミュニケーションのサービスが提供されている。

?

■[A1-2] ファーストリテイリング様、コマツ様における Office 2010 導入事例のご紹介

株式会社 大塚商会様、株式会社 日本システムディベロップメント様によるセッション

?

– Office 2010 導入事例 株式会社 ファーストリテイリング様 ビデオ –

グループ全体でシステム / 組織 / オペレーションを統合
以前の Office 製品より高評価
→最初に UI (リボン) に慣れるまでは少し時間がかかった。
条件付きグラフは良い。
マクロの移行はスムーズにできた。
今まで資料作成で数ステップかかっていた操作のステップ数が減った。

Office 2010 / SPS / SCCM は使っているらしい。
→ Excel Service も使っているみたい。

?

– 株式会社 ファーストリテイリング様導入事例のご紹介 –

大塚商会様のセッション

?

導入事例のご紹介

本日は朝からユニクロのセール中
→でも会場内にセールに参加していた人は挙手なし。
 スピーカーの方は朝から並んでパンゲット。

導入課題
– VBA 互換性検証???? 60.3%
– 社員トレーニング?? 52.4%
? →海外の対応も?
– ソフトウェアの配布?? 31.7%
? →SCCM による自動キッティング

導入コンセプト
ヘルプ ユアセルフ
→利用者が自分で自分をサポートできる環境

マクロの互換性検証
450 ファイルを1 か月で検証
MS と共同開発したマクロ検証ツールを使用 (レイアウトの検証ツールもある)
散在している情報の集約

障害事象の例
全ファイルの 10% で互換性障害が発生 (8 パターンの事象)
→ コントロールの命名規則、DAO 互換性 、セルの結合、 参照設定
検証レポートと、詳細レポートをを作成
→ 8 パターンの事象について作成した。

トレーニング
– マニュアル作成 (日英中)
– ビデオ作製 (日英中フ)
? →セルフラーニングに利用
– オンサイトトレーニング (7日/22コース)
– Q &A
? →オンサイトトレーニングでは質問時間は設けなかった。
??? SPS 上で質問ボックスを作ってそちらにに投稿

?

会社紹介
大塚商会さんの会社説明
たのメールの犬は、たの君

サービス紹介
独自の互換性検証ツール
トレーニングを含めた広範囲なサービス
検証サービスとアップデートサービス (検証で発生した問題の修正) は別

?

– Office 2010 導入事例 コマツ様 ビデオ –

国内、海外含めて 4 万人の従業員。
直観的な UI (リボン) は高評価。
PowerPoint の動画の編集は便利。
→現場の動画を見てもらうのに使い勝手がよい。
バックステージビューも高評価。

Office 2003 → 2007 の順で利用している。
Office 2010 は App-V で展開している。

軽量化+仮想化 (効率化)

?

– コマツ様導入事例のご紹介 –

日本システムディベロップメント様によるセッション

お客様事例のご紹介

Office 2010 の仮想配信環境の構築
App-V / KMS
標準構成 PC を対象に試験導入し、全社展開
→全社展開は現在作業中の用

ハンズオントレーニング
Excel / PowerPoint を対象として新機能についての紹介

マクロ / レイアウト互換性検証
MS Office 導入支援センターと共同で実施。
Excel / Access のマクロ互換性検証 (388 ファイル)
PowerPoint / Word のレイアウト互換性検証 (45 ファイル)

マクロ改修サービス
改修は、日本システムディベロップメント様が担当
報告書をつくって改修は別ベンダー or お客様で実施するのではなく一連の作業を行った。

マクロ改修例
Application.FileSearch で互換性が NG となった。
→ 2010 では廃止されたので、「オブジェクトは個の動作をサポートしていません」になった。
  Dir と Do While でファイルを取得するように変更した。

16 パターン、140 ファイルで互換性に問題が発生した
(要修正は? 2 パターン 20 ファイル)

NSD のご紹介
ほとんどの社員がエンジニア
Office 旧バージョンから 2007 への互換性検証のホワイトペーパーを作成。

NSD Office 導入支援サービス
移行元は 2003 以前が対象となっている。 (2003 → 2010)
OS は Vista / Windows 7

?

■[A1-3] Office 2010 導入 / 展開手法

セッション内の挙手では 1/3 ~ 半分が Office 2010 (Beta 含む) の利用者

?

– IT 管理者向け Office 2010 の強化ポイント –

– やりたいことがもっとも早く
– 今いる場所が使える場所
– 一つ上のチーム作業を実現
– コストを抑え効果を最大化されるプラットフォーム
? →ライセンス認証、アプリケーションへの仮想化への対応 (この 2 つはポイント)
???? SharePoint クライアントとしての最適化、64bit 版のリリース

?

– Microsoft Office の展開プロセス –

– 計画
? →リソースキット
– 検証と移行
– 導入 / 展開
? → Volume Activation / アプリケーション仮想化
– トレーニング
– メンテナンス
? →Windows Update / アプリケーション仮想化

?

– Office 2010 のライセンス認証 –

Volume Activation 環境の準備が必要になったのが 2010 の特徴
→2003 / 2007 ではなかった。(KMS はなかった)

KMS / MAK を利用して認証 (VA 2.0)
→ライセンス認証キーの流出を防止したいというお客様要望は以前あがっていた。
考え方は Vista 以降の OS の VA 2.0 と同じ。
KMS はメディアにはインストールキーが埋め込まれている。(KMS ホストのみ KMS ホストのキーを入力する必要がある)

対象は Office / Visio / Project
→クライアント製品が対象。SPS 2010 はサーバー製品なので対象外となっている。

– ライセンス認証に関連するツール –

VAMT 2.0
→GUI 操作なので、大規模だと少し重いかもしれない。

Microsoft Office 2010 KMS ホストライセンス パック

OSPP.vbs
→ライセンス認証に使えるコマンドライン

?

– よくある問い合わせ –

Windows 用の KMS と同じサーバーに構築可能か
構築可能
slmgr.vbs /dlv <ライセンス認証用 ID> で Office 用のライセンス認証が確認できる。
Offic 2010 の KMS ホストは 2003 / 2008 R2 / Windows 7 となる。
→2008 / Vista は対応していない

Office の KMS ホストキーは各アプリケーションごとにあるのか。
ffice の KMS キーは一種類の共通キー

Office のライセンス認証状況の確認
ライセンス認証 ID を使用して slmgr.vbs を実行 (ライセンス認証 ID はワールドワイドで共通)

Office の KMS 認証に必要なクライアント数
5 台

ライセンス認証が切れると
警告が出るがそのまま使う事が可能

OS のイメージ展開
OSPPREARM.exe を使用して Office のライセンス認証情報をリセットする
sysprep は OS 部分のみ。

Visio の KMS 認証
Vsio はインストールイメージは共通で、KMS のクライアントキーでエディションを判断している。
指定しないと Premium になるので注意が必要。

?

– Office 2010 の展開手法 –

– DVD の配布
– ネットワークインストール
– イメージングツールを使用したディスクイメージ
– グループポリシー
– SCCM
– App-V
? →App-V を使用した場合は Office の一部機能に制限あり

インストール時は管理者権限が必要となる
→SCCM / App-V / スタートアップスクリプト で対応

ネットワーク帯域の対応
→ローカルインストールのプリキャッシュ
 これはリソースキットで紹介されている。

?

– アプリケーション仮想化への対応強化 –

App-V で配信することでインストールの簡略化、メンテナンスの集中化ができる。

App-V 4.6 / App-V 4.5 SP2 で Office 2010 に対応している。

関連ツール
– Microsoft Office 2010 Deployment Kit for App-V
– Microsoft Office IME 2010
? →App-V で IME は配布できない (IME はシーケンスできない)
?? IME 2010 は Office XP 以降を保有しているユーザーは単体でダウンロード可能 (6月中旬)
?? IME 2010 は個別にインストール

Microsoft Office 2010 Deployment Kit for App-V
イメージの作成時 / 利用時に必要
MAK のライセンス認証 / Office と他製品の連携が利用可能となる。
→アプリケーションをカプセル化するので一部の連携機能は使えない。
 SPS 2010 の SharePoint Workspace と同期が使えない。(インストールされていることを認識できないため。)
クライアント側にインストールする必要がある。

?

– App-V を使用した Office 2010 の配信のデモ –

パッケージを有効にして、ログイン時に配信するデモ。

?

– まとめ –

VA 2.0 の準備
OCT とConfig.xml によるカスタマイズ
展開方法の選択

?

– リソース –

リソースキットは MS のホームページからダウンロード可能

?

■[B1-4] Office 2010 をクラウドで拡張!Microsoft Online Services/BPOS によるグループウェアの展開

– Office 2010 シリーズの強み –

どのデバイスから使用しても同じエクスペリエンスで使用できる。
社内設置サーバー / クラウドで利用できる。

– クラウドって何ですか? –

雲の向こう (インターネット / 自社の向こう) にあるコンピュータリソース。
所有から利用に変わる。
→アセットから経費に変わる。
スケーラビリティとコストメリットを実現する大規模なデータセンター

?

– クラウドのメリット –

所有から使用へ
マルチテナンシー (シェアリングすることでコストの低下)
利用したいと思ったときに迅速に対応可能
スケールアップ / ダウンが容易 (用意された基盤を必要なだけ使う)

?

– クラウドの後押し –

経費削減の一つの方法
インターネットの整備 / PC の利用数 / 仮想化 / インターネットを経由してさまざまなデバイスからアクセス
経済産業省による “J-Saas” の促進

?

– マイクロソフトのクラウドへの取り組み –

15 年前の Windows Live Hotmail から取り組んでいる。
Windows Update は 12 年前から。

Microsoft は世界の 10 大データセンターの内 4 つを持っている。

?

– Office 2010+BPOS でさらなる生産性の向上 –

Office 2010 と BPOS のシームレスな統合

– Exchange Online
– SharePoint Online
– Office Communications Online
– Office Live Meeting 2007

オンプレミスの AD とディレクトリ同期が可能

シングルサインインツールによりログインする。

– Outlook 2010 + Exchange Online でワークスタイル変革 –

メールがクラウド上にあるので外出先から他のデバイスを使っても同じメールが見られる。
メールボックスサイズは 25G。

?

– Office 2010 + SharePoint Online で情報共有を促進 –

– 企業ポータル
– チームサイト
– 検索

?

– Communication Onile と Office Live Meeting –

– 仮想会議室
– 内線テレビ電話
– 行先掲示板

– Online Services の管理方法 –

– 管理センター
– オンプレミスの AD とディレクトリ同期
– メールの移行ツール
– PowerShell

– Outlook 2010 + Exchange Online のデモ –

初回起動時にシングルサインインツールで認証をする必要がある。
→認証情報は保存できるので再起動しても再認証の入力は不要

Outlook 2010 の説明
– リボン UI とバックステージビュー
? →バックステージビューでメールボックスが 25GB になっていることの確認
– スレッド表示
– フォルダーのクリーンアップ
– Exchange Online の削除済みアイテムの復元可能期間は 14 日。

クイック操作
→ワンクリックでチームメンバーに転送

グループスケジュールビュー

プレビューに予定表を表示

Windows Mobileを使用したデモ
モバイルから予定を承諾して、Outlook で確定されていることを確認
→どこからでも同じデータを見ることができる。

管理
管理センターにログインして管理
サポートについてはサービスリクエストで問い合わせが可能 (何回でも可能)
メールボックスサイズの管理はPowerShellを使う事で、自動で管理できる。
→Microsoft.Exchange.Transport のスナップインで実施していた
MSDN に Microsoft Online Services デベロッパーセンターがある。

– Microsoft Online Serivces のセキュリティ対策 –

Exchange Online
Forefront Online Protection for Exchange でスパム、ウイルス対策
Exchange Hosted Archive (オプション) でアーカイブ
SLAは <99.9% / 99% / 95%
メールサーバーは、プライマリはシンガポールでセカンダリは香港になっている
→刑務所並みにセキュリティは強固、各レイヤーで強固なセキュリティを持っている。
監査機関からセキュリティの認証を取得している。

?

– Microsoft Online Service のロードマップ –

Microsoft Online Services “2010”
→2010年下半期提供開始予定
 現状は 2007 ベース

?

– Office 2010 + SharePoint の進化系 –

SharePoint Online でも Office Web Apps が利用可能になる予定
Office 2010 シリーズは SharePoint からもWeb ベースでファイルの閲覧、編集が可能。

?

– 最新情報の入手 –

製品サイト (購入のための情報)
TechCenter (技術情報)

Twitter アカウントは msonline_ja
→ご質問はこちら。

毎月 2 回、クラウドニュースレターを発行している。

?

■[B1-5] 最新の Windows Phone と Officd Mobile 2010 で高めるモバイル ワークスタイル

iPhoneもAndroid も良い端末。
今日フォロワーが 2010 人になった。

– Windows Phone ラインナップ –

全キャリアで、Windows Phone を出せるようになった。
最新は Windows Mobile 6.5.3

?

– 進化の方向性 –

ハードウエアの進化
ナチュラルインターフェース
→直観的に使えるインターフェース
いつでも、どこでも

?

– オンもオフもスマートに使える –

– IS02 by au
– T01B by docomo

?

– Mobile 6.5.3 の紹介 –

– 静電容量サポート
– ナビゲーションボタンを下に配置
– アイコンの巨大化
– 新UI
– ズームの搭載

日本のユーザーの意見が反映された OS

– Web ページのロード時間の短縮
– メモリー管理の最適化
→カクカク感が無くなっている。


Twitter フォンとして
→Qerty 端末で入力簡単、選べるアプリ

ポータブルゲーム

?

– Office Mobile 2010 –

Windows Mobile 6.5 ユーザーに Market Place for Mobile から無償で提供
Word / Excel / PowerPoint / SharePoint WorkSpace / Outlook / OneNote

?

– Office Mobile 2010 の特徴トップ 5 –

– PowerPoint リモコン
– SharePoint 2010 にアクセス
– スマートにコミュニケーション
– OnNote のメモを PC と同期
– グラフィカルなドキュメントを着実に表示

?

– Office Moile “空” と “大地” の連携? デモ –

SC-01B を使った Exchange Online の設定 (1 分間クッキング)
ActiveSync を開いてメールアドレスを設定
サーバーアドレスを設定
ユーザー情報を入力 (ユーザー名はメールアドレス)
以上で設定完了。

設定完了後、メールと予定表が同期されていた。

Outlook Mobile 2010 でメールをスレッド表示できる。

Communicator を使うとWindows Phone でプレゼンス情報の表示ができる。
→インスタンスメッセージや電話をかけられる。

Windows Mobile 6.5.3 端末のデモ
Qwerty キーボード搭載でも普通の携帯と同じ厚み。
拡大、縮小機能が追加された。
3D UI もぬるぬる動く。

PowerPoint Mobile 2010
編集もできる。
PowerPoint リモコンのデモ。
→セカンドスクリーンとして PowerPoint のメモを表示できる。
? Bluetooth を使っている。
? Pocket Controller-Pro については後で調べよう。

?

ShrePoint Workspace Mobile
ドキュメントライブラリにセルラー網でアクセス。
ドキュメントライブラリに格納されている内容を Windows Phone 上で表示。
最新のものを外出先から表示できる。
仮想メモリにファイルをダウンロードしている。
→更新された場合、差分転送になるのでパケット代を抑えられる。
SharePoint なので外出先から変更しても記録が残る。

?

– SharePoint WorkSpace Mobile 2010-

UAG を経由して 443 でセキュアに接続をさせる。
UAG の導入はそれほど難易度は高くない。

クラウド / オンプレミス / PC と連携ができる

?

空と大地の連携
→Software + Service

?

– トライアルキャンペーン-

BPOS のモバイル導入評価プログラム
→東京近郊

SharePoint
→SharePoint のソリューションの中に Windows Phone を組み込んで検証

Windows Phone のハッシュタグ #wpjp でつぶやかれた内容は確認していただけている。

Written by Masayuki.Ozawa

5月 28th, 2010 at 3:52 am

Posted in セミナー

コマンドでライブ / クイックマイグレーションを実行

leave a comment

今日はコマンドで Live Migration / Quick Migration を実行する方法について。

[Quick Migration の実行]

まずは Quick Migration の実行から。
ゲスト OS のクラスターグループを移動することで QuickMigration を実行することができます。
Hyper-V のコマンドではなく、クラスターのコマンドを使ってグループを移動させることで実行することが可能です。

  • PowerShell (Windows Server 2008 R2)
    Import-Module FailoverClusters
    Move-ClusterGroup “<クラスターグループ名>” ?Node “<ノード名>”

    例)
    Import-Module FailoverClusters
    Move-ClusterGroup "SCVMM 2008R2-OWA-01 Resources" -Node "T60-01"

  • Cluster コマンド
    Cluster Group “<グループ名>” /MOVETO:”<ノード名>”

    例)
    Cluster Group "SCVMM 2008R2-OWA-01 Resources" /MOVETO:"T60-01"

  • SCVMM 2008 R2
    Move-VM -VM "<ゲスト OS 名>" -VMHost "<ノード名>" -UseCluster

    例)
    Move-VM -VM "2008R2-OWA-01" -VMHost "T60-01" ?UseCluster

?

[Live Migration の実行]

続いて Live Migration の実行です。
Live Migration ですが Cluster コマンドでは実行できないようです。
PowerShell と SCVMM 2008 R2 からは実行可能です。

  • PowerShell (Windows Server 2008 R2)
    Import-Module FailoverClusters
    Move-ClusterVirtualMachineRole "<クラスターグループ名>" -Node "<ノード名>"

    例)
    Import-Module FailoverClusters
    Move-ClusterVirtualMachineRole "SCVMM 2008R2-OWA-01 Resources" -Node "T60-01"

  • SCVMM 2008 R2
    Move-VM -VM "<ゲスト OS 名>" -VMHost "<ノード名>"

    例)
    Move-VM -VM "2008R2-OWA-01" -VMHost "T60-01"

?

今回は単純なコマンドベースで実行してみたのですが、WMI を使っても実行できるようですね。

[関連情報]
I want to know the wmi function for live migration as moveToNode perfrom quick migration
CLUSCTL_RESOURCE_VM_START_MIGRATION Control Code
ClusterResourceControl Function
ExecuteResourceControl Method of the MSCluster_Resource Class
CLUSCTL_RESOURCE_VM_START_MIGRATION Control Code
External Resource Control Codes
Internal Resource Control Codes

param
(
??? $Name = $(throw New-Object ArgumentNullException -Args "Name"),
??? $Target = $(throw New-Object ArgumentNullException -Args "Target")
)

# Get the desired virtual machine resource from the Failover Cluster WMI Provider
$Query = @"
??? Select * From MSCluster_Resource Where Type=’Virtual Machine’ And Name=’$Name’
"@

$Vm = Get-WmiObject -Namespace rootmscluster -Query $Query

# Tell the virtual machine resource to move.
try
{
??? $vm.ExecuteResourceControl(`
??????? 23068676, [System.Text.Encoding]::UNICODE.GetBytes($Target))
}
catch [System.Management.ManagementException]
{

Written by Masayuki.Ozawa

5月 27th, 2010 at 1:53 pm

Posted in Hyper-V

異なるベンダーの CPU のホスト OS 間でライブ / クイックマイグレーションを実行

one comment

以前、Twitter でつぶやいた内容をブログとしてまとめてみました。

私の家の検証環境は ThinkPad で 3 ノードクラスターを構築している環境があります。

ThinkPad では、CPU としては Intel の Core 2 Duo が使用されています。
image

それとは別に AMD の Phenom 9950 を使用している ML115 G5 もあります。
image?

同一のベンダーの CPU であれば、プロセッサ バージョンが異なった場合でも、ゲスト OS の設定で CPU の機能制限をすることで、
Live Migration / Quick Migration を実行することができます。
image?

この動作を全く別のベンダーの CPU で実行するとどうなるんだろうというのが今回の検証です。

私の検証環境に Intel のマシンとして、ML110 G5 がありこちらは Xeon を使用しているのですが、Core 2 Duo とさほど
機能的には変わらなかったので、ThinkPad と ML115 G5 間でゲスト OS を移行させてみたいと思います。

参考となりますが、Xeon の CPU 情報はこちらとなります。
image

?

[クラスターを構築]

Live Migration / Quick Migration をするためにはまずは、クラスターを構築しなくてはいけません。
ThinkPad は T60 と T61 を使って 3 ノード構成のクラスターを構築しているので、ここに ML115 G5 を追加させたいと思います。
# ML115 G5 は共有ディスクに接続済みです。

image
?

クラスターにノードを追加する前に [ノードの検証] を実行します。
すでにクラスターを構築しているノードと今回使用する ML115 G5 を選択して検証を実行してみます。
image

テスト項目としては全テストを実施するようにしています。
image

テストが終了するとレポートを表示することができるので、今回は CPU についてのレポートを確認してみたいと思います。
CPU については [同じプロセッサ アーキテクチャの検証] というテストで確認されるのですが、このテストではベンダーの
確認はしていないようです。
image?

そのため、異なるベンダーの CPU を使っていてもクラスターを構築することは可能です。image

image

SCVMM でも 4 ノードクラスターとして認識できています。
# クラスターとしてノード追加した後に追加したサーバーを最新の状態に更新すれば自動的にクラスター配下の
  サーバーとして認識されます。
image

それでは、Live Migration と Quick Migration を実行していきたいと思います。

?

[SCVMM で Live Migration を実行]

Live Migration ですが、SCVMM とフェールオーバークラスターマネージャーで実行することができます。
まずは SCVMM で Live Migration を実行したいと思います。

  • 今回、[2008R2-OWA-01] というゲスト OS を CSV 上に配置していますので、このゲスト OS であれば
    Live Migration をすることができます。
    # このゲスト OS は Intel の CPU の T61 で実行されています。
    対象のゲスト OS を右クリックして、[移行] をクリックします。
    image?
  • T61 から ML115 に移行をしようとすると、異なる CPU ということで移行対象として選択することができないようになっています。
    [t61-01] に監視ては単純にメモリが足りていないので移行ができないのですが、[t61-02] に
    関しては Live Migration で
    移行可能なサーバーとして選択ができるようになっていますね。
    image

SCVMM を使用している場合、異なるベンダーの CPU のホスト OS には移行ができないように制御がされていますね。

?

[フェールオーバー クラスター マネージャーで Live Migration を実行]

つづいて、クラスターの管理ツールで Live Migration を実行してみたいと思います。

  • 管理ツールで ML115 に Live Migration を実行してみます。
    image?
  • クラスターの管理ツールでも同様にエラーとなりますね。
    メッセージとしてはこちらの方がわかりやすい気がします。
    ?image

異なるベンダーの CPU 間では Live Migration の実行はできないようですね。
続いて Quick Migration を試してみたいと思います。

?

[フェールオーバー クラスター マネージャーで Quick Migration を実行]

Quick Migration の実行ですが、Live Migration が可能な場合は SCVMM からは実行できないようです。
# ライブ移行しかできないようです。

Live Migration が実行できる環境で、Quick Migration を実行するためにはクラスターの管理ツールで実行する必要があります。

  • ML115 に [クイック移行] をしてみます。
    image
  • 異なるベンダーの CPU を使用しているホスト間で Quick Migration を実行すると以下のエラーになります。
    Quick Migration は [保存→移動→開始] という流れになるのですが、この方法は使用できないようですね。
    [はい、仮想マシンをシャットダウンして移動します] をクリックするこちで [シャットダウン→移動→開始] という形で
    クラスターのノード間でゲスト OS を移行することが可能です。
    image
  • [はい、~] をクリックするとシャットダウンが開始され
    image
  • 他のノードに移動がされます。
    image?
  • ここまでの操作は、[クイック移行] で試してみましたが、[仮想マシンの移動] を実行することでも、Quick Migration を
    実行することができます。
    image
  • 移動をするとゲスト OS が保存され、移動先として指定したノードに移動がされます。
    image
  • 保存された状態を復元するのですが、失敗します。
    image
    image

@IT の以下の記事では Quick Migration が成功することもあるということが書かれているのですが、私の環境では NG でした。
Hyper-V実践サーバ統合術 第4回

保存されたままでは、元のノードでしか起動できませんのでこの状態で他のノードで起動したい場合は、[保存された状態を破棄する] で
保存状態を破棄して、解除する必要があります。
image

異なるベンダーの CPU 間でゲスト OS を Live Migration / Quick Migration を実行することはできないみたいですね。
ゲスト OS の CPU に関してはこのような技術情報もあるようで
す。
Partition Properties

今回は GUI から実行してみましたが、Live Migration / Quick Migration はコマンドでも実行することができます。
次の投稿でコマンドから Live Migration / Quick Misgration を実行する方法をまとめてみたいと思います。

Written by Masayuki.Ozawa

5月 24th, 2010 at 2:36 pm

Posted in Hyper-V

ワークグループ環境の TMG 2010 でエンタープライズ アレイを構築

leave a comment

続いてはワークグループ環境でエンタープライズ アレイを構築する方法になります。

以下の環境が構築済みです。

image

[TMG-EMS-01] を EMS として構築しますので、このサーバーでは準備ツールを実行して、EMS に必要となる
役割 / 機能はインストール済みです。

今回もサーバー認証証明書とルート証明書が必要となります。

サーバー認証証明書は EMS にインストールをしますので、発行先を [TMG-EMS-01] として設定した証明書を作成済みです。
[TMG-EMS-01] にはルート証明書をインポートして、[TMG-01] [TMG-02] [TMG-03] の HOSTS には以下の設定がしてあります。
# サーバー認証証明書の作成、ルート証明書のインポート手順はスタンドアロン アレイと同じですので記載は省略しています。
  ルート証明書に関しては、[TMG-01] [TMG-02] にもファイルコピー済みです。

image

[EMS のインストール]

セットアップウィザードを起動して、EMS のインストールを行います。

  • [次へ] をクリックします。
    image
  • [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image?
  • [次へ] をクリックします。
    image
  • [この EMS に新しいエンタープライズ構成を作成] を選択し、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • エンタープライズ名を入力して、[次へ] をクリックします。
    image
  • [ワークグループ内に展開] を選択して、発行先を EMS のサーバー名にしたサーバー認証証明書を選択し、[次へ] をクリックします。
    パスワードは証明書のエクスポート時に指定したパスワードを入力します。
    # 発行先が EMS をインストールしているサーバー名でない証明書を使おうとするとエラーになることがありました。
      ならないこともあったのですが…。
    image
  • [インストール] をクリックします。
    image
    image
  • [完了] をクリックします。
    image

以上で、ワークグループ環境の EMS のインストールは完了です。

ISA 2006 でも同様の仕様だったのですが、ワークグループ環境では EMS のレプリカは設定することができません。
image

EMS を冗長構成で構築する場合はドメイン環境が必須になりますね。

[アレイに参加]

続いてエンタープライズにアレイ メンバーとしてサーバーを参加させます。
まずは、[TMG-01] をアレイに参加させたいと思います。操作は、[TMG-01] で実施します。

  • [Forefront TMG の管理] を実行します。
  • [Forefront TMG
    (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [EMS サーバーによって管理されるアレイに参加します。] を選択して、[次へ] をクリックします。
    image
  • EMS のサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、[次へ] をクリックします。
    今回も [Administrator] をミラーアカウントとして使用しています。
    image
  • ルート証明書を選択し、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • アレイの情報を入力して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。

同様の手順を [TMG-02] でも実施し、アレイに参加させます。

?

[アレイ内の資格情報の変更]

ワークグループ環境のスタンドアロン アレイと同様に、アレイ内の資格情報の変更を実施します。
手順はワークグループ環境の時と同じですね。

アレイを右クリックして、[プロパティ] を開いて設定を変更します。
image
image?

システムポリシーの [ローカルの構成保管サーバーへのアクセス] に関しては有効にしないでも、サーバーの認識には問題は
なさそうでしたが、うまく認識できない場合はこのシステムポリシーを有効にすると解消できるかもしれません。
image

今回構築した環境の最終的な構成は以下のようになります。
image

考え方としてはスタンドアロン アレイと同じですので一度ワークグループ環境でスタンドアロン アレイが組めてしまえば、
それほど迷わずに構築できそうですね。

これで TMG を構築する際の基本的なパターンは大体構築することができたかと思います。
TMG では CSS をどうするかを考えるのが構築する際のポイントとなりそうですね。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 4:05 pm

Posted in ISA

ワークグループ環境の TMG 2010 でスタンドアロン アレイを構築 – その 2 スタンドアロン アレイの構築 –

leave a comment

証明書が作成できたのでスタンドアロン アレイを構築していきたいと思います。

今回はこの環境を作りたいと思います。

image

?

  • アレイ マネージャーにはサーバー認証証明書と、ルート証明書。
  • アレイメンバーにはルート証明書

が必要となりますので先ほどエクスポートしたファイルをコピーしておきます。

また、今回はサーバーの IP を DNS に登録していませんので、HOSTS で解決できるよう以下の設定をしています。
# IP は塗りつぶしています。
image

[アレイ マネージャーにルート証明書をインポート]

まずはアレイマネージャーにルート証明書をインポートします。

  • ファイル名を指定して実行で [mmc] を実行します。
    image
  • [スナップインの追加と削除] で [証明書] を追加します。
    image
  • [コンピュータ アカウント] を選択して、スナップインを追加します。
    image
  • [信頼されたルート証明機関] を右クリックして、[すべてのタスク] → [インポート] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • コピーしたルート証明書を選択し、[次へ] をクリックします。
    image
  • 証明書をすべて次のストアに配置するが [信頼されたルート証明機関] になっていることを確認し、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

これでルート証明書のインポートは完了です。

[アレイ マネージャーにサーバー認証証明書をインポート]

サーバー認証証明書は TMG の管理コンソールからインポートします。

  • [Forefront TMG の管理] を実行します。
    image
  • [システム] でサーバーを選択し、[サーバー証明書のインストール] をクリックします。
    この操作をすることでアレイ マネージャーにするサーバーにサーバー認証証明書をインストーすることができます。
    image
  • コピーしたサーバー認証証明書を選択し、証明書のパスワードを入力します。
    今回はルート証明書は手動でインポートしているため、[このアレイ マネージャーに~] のチェックは外しています。
    # 証明書チェーンを使ってルート証明書ごとインストール方法がいまいちわかっていないですよね。
    image

これでアレイ マネージャーの準備は完了です。

?

[アレイ メンバーをアレイに参加]

今回は [TMG-02] をメンバーにしていますので、[TMG-02] で参加させるための操作を実行します。
HOSTS の設定と、ルート証明書のファイルとしてのコピーは実施済みです。

ルート証明書のインポートはアレイを参加させる操作の中で実施できますので、手動でインポートする必要はありません。

  • [Forefront TMG の管理] を実行します。
  • [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [指定したアレイ メンバー ~] を選択して、[次へ] をクリックします。
    image
  • アレイ マネージャーのサーバー名を入力して、[ログ尾インしているユーザーの資格情報を使って接続する] を選択し、
    [次へ] をクリックします。
    今回は [Administrator] のミラーアカウント (同一ユーザー名 / パスワード) のユーザーで作業をしていますので、
    この設定で認証することができます。
    今回は DNS に登録がないので、HOSTS ファイルに設定をしていないとサーバーに接続することができません。
    image
  • ルート証明書のファイルを選択して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

これでスタンドアロン アレイの構成の基本部分は完了です。

?

[アレイ内の資格情報の変更]

最後にアレイ内の資格情報を変更します。

  • [Forefront TMG の管理] を実行します。
  • [Forefornt TMG (<アレイ名>)] を右クリックして、[プロパティ] をクリックします。
    image
  • [アレイ内の資格情報] タブを選択し、[次のアカウントを使用して認証する] を選択して、[アカウントの] をクリックします。
    image?
  • 今回は、[Administrator] を設定しています。
    image
  • 後は TMG で設定を適用します。
    image

以上で設定は完了です。

これでワークグループ環境でスタンドアロン アレイを構築することができます。

サーバー認証証明書の発行先がアレイ マネージャーのサーバー名になっていない場合、構成がエラーとなったままになります。
image?

[警告] に [上位方向へのチェーン構成の資格情報] のエラー、[Forefront TMG で構成保管サーバーに接続できません。] の警告が
出力されていてエラーとなったまま場合、アレイマネージャーにインストールしたサーバー認証証明書の発行先を確認したほうが
よいかと思います。
image

最終的な構成はこのような形になっています。
image

証明書の作成さえできればそれほど構築は難しくないみたいですね。
私は証明書が苦手なのでここまで来るのに結構時間がかかってしまいましたが…。

ISA 2006 のワークグループ環境もこのような方法で構築ができるはずです。
# ワークグループ環境は証明書を使って構築するはずだったので。

証明書を使用するとワークグループ環境で EMS を使用したエンタープライズ アレイを構築することも可能です。

エンタープライズ アレイに関しては次の投稿でまとめてみたいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:43 pm

Posted in ISA

ワークグループ環境の TMG 2010 でスタンドアロン アレイを構築 – その 1 証明書の作成 –

leave a comment

ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。

ワークグループ環境でも [スタンドアロン アレイ] / [エンタープライズ アレイ] を構築することが可能です。
ただし、ドメイン環境と異なり [証明書] が必要となります。

証明書は

  • サーバー認証証明書
  • ルート証明書 (サーバー認証証明書に署名した証明機関の証明書)

の 2 種類が必要となります。

サーバー認証証明書はアレイ マネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。
# ルート証明書はアレイ マネージャーにもインストールする必要があります。

これらの証明書は Active Directory 証明書サービス (AD CS) で作成することができますので、検証には AD CS で
発行された証明書を使うのが楽だと思います。

その 1 として証明書の作成手順をまとめていきたいと思います。
この証明書の作成手順ですが、ワークグループ環境のエンタープライズ アレイでも同様の方法を利用することができます。

[AD CS のインストール]

  • AD CS のインストールは、[サーバー マネージャー] で [Active Directory 証明書サービス] をインストールします。
    image
  • 証明書の要求をするため、[証明機関 Web 登録] の役割を追加して機能をインストールしておきます。
    image
  • 今回はワークグループ環境ですので、[スタンドアロン] のみ選択ができるようになっています。
    image
  • あとは、[ルート CA] として設定し、それ以降の設定はデフォルトのままインストールをします。
    image
    image

これで以下の環境が構築できた状態になっています。
# 実際のサーバー名もこちらの図の内容となっています。
image

インストールが終わったら、[証明機関 Web 登録] でサーバー認証証明書を発行できるように IIS を設定します。

[IIS の設定]

Web ベースで証明書を発行するため、IIS で SSL の設定を行います。
HTTP 経由で証明書発行用のサイトにアクセスすると以下のメッセージが表示され、証明書要求を発行することができません。
image

IIS 7.0 以降は自己署名証明書が簡単に作れるので、この機能を使って SSL が使用できるようにします。

  • まずは、[IIS マネージャー] を実行します。
    image
  • サーバー名を選択し、[サーバー証明書] をダブルクリックします。
    image
  • [自己署名入り証明書の作成] をクリックします。
    # 一番上に表示されている証明書はルート証明書になりますがこちらは使うことができません。
    image?
  • 証明書のフレンドリ名を入力して、[OK] をクリックします。
    image
  • 自己署名証明書が作成されていることが確認できますね。
    image
  • あとは、証明機関 Web 登録で使用しているサイトで SSL を有効にします。
    [Default Web Site] を選択して、[バインド] をクリックします。
    image
  • [追加] をクリックします。
    image
  • 種類で [https] を選択し、[SSL 証明書] で先ほど作成した、自己署名証明書を選択して、[OK] をクリックします。
    image

以上で SSL の設定は完了です。

[https://localhost/certsrv] にアクセスして証明機関 Web 登録にアクセスします。

?

[サーバー認証証明書の作成]

  • 自己署名証明書のため、URL にアクセスするとセキュリティ警告が発生しますが、[このサイトの閲覧を続行する] をクリックして
    サイトを開きます。
    image
  • [証明書を要求する] をクリックします。
    image
  • [証明書の要求の詳細設定] をクリックします。
    image
  • [この CA への要求を作成し送信する。] をクリックします。
    image?
  • メッセージボックスが表示されたら、[はい] をクリックします。
    image
  • 後は証明書に必要な情報を入力します。
    image

    最低限必要なのは [名前] と [証明書の種類] と [エクスポート可能なキーとしてマークする] の 3 つの設定です。
    各項目は以下のように設定します。

    • 名前
      アレイマネージャーとして設定するサーバー名を入力します。
      今回の場合は、[TMG-01] と設定しています。
    • 証明書の種類
      サーバー認証証明書を選択します。
    • エクスポート可能なキーとしてマークする
      チェックを有効にしてエクスポートができるようにします。
  • 入力が終わったら [送信] をクリックします。
  • 証明書を発行するため、[管理ツール] → [証明機関] をクリックします。
    image
  • [保留中の要求] を選択すると先ほど送信した証明書がありますので、[すべてのタスク] → [発行] をクリックします。
    image
  • ブラウザに戻ってトップページの [保留中の証明書の要求の状態] をクリックします。
    image
  • [サーバー認証証明書] をクリックします。
    image
  • [はい] をクリックします。
    image
  • [この証明書のインストール] をクリックします。
    image

これでサーバー内にサーバー認証証明書がインストールされました。
あとは、このサーバー認証証明書とルート証明書をアレイ マネージャー / アレイ メンバーで使用できるようにエクスポートします。

[サーバー認証証明書のエクスポート]

インストールしたサーバー認証証明書は [ユーザー アカウント] の [個人] ストアに格納されています。
この証明書をエクスポートして他のサーバーで使用できるようにします。

  • ファイル名を指定して実行から [mmc] を実行します。
    image
  • [スナップインの追加と削除] で [証明書] を追加します。
    image
  • ? [ユーザー アカウント] を選択して、[完了] をクリックします。
    image
  • スナップインを追加して、[OK] をクリックすると、証明書ストアが表示されます。
    先ほどインストールした証明書が [個人] → [証明書] の下にありますので、右クリックして [すべてのタスク] → [エクスポート] を
    クリックします。
    image
  • [次へ] をクリックします。
    image
  • [はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • パスワードを設定して、[次へ] をクリックします。
    image
  • エクスポートする場所を選択して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上でサーバー認証証明書のエクスポートは完了です。

証明書作成の最後の手順としてルート証明書をエクスポートします。

?

[ルート証明書のエクスポート]

最後の手順はルート証明書のエクスポートです。

  • [管理ツール] → [証明機関] をクリックします。
  • 証明機関を右クリックして、[プロパティ] をクリックします。
    image
  • CA 証明書の [証明書の表示] をクリックします。
    image
  • [詳細] タブの [ファイルにコピー] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • エクスポートする場所を設定し、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上で、証明書の作成は完了です。

次はこの証明書を使ってスタンドアロン アレイを構築したいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:22 pm

Posted in ISA

ドメイン環境の TMG 2010 でエンタープライズ アレイを構築 – その 2 アレイに参加 –

leave a comment

続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。

現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。

image

[アレイに参加]

TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で
作業を開始しています。

  1. [Forefront TMG の管理] を実行します。
    image
  2. [Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。
    image
  3. [次へ] をクリックします。
    image
  4. [EMS サーバーによって管理されるアレイに参加します。] を選択し、[次へ] をクリックします。
    image
  5. EMS のサーバー名を入力し、[次へ] をクリックします。
    今回はドメインユーザーでログオンしているので、[ログオンしているユーザーの資格情報を使って接続する] を選択しています。
    image
  6. まだ、アレイを作成していないので [EMS で管理れされる新しいアレイを作成します。] を選択して、[次へ] をクリックします。
    アレイにかんしては参加のウィザード内または、EMS で TMG の管理コンソールを実行して事前に作っておくことも可能です。
    image
  7. 作成するアレイの [アレイ名 ]と [DNS 名] を入力して、[次へ] をクリックします。
    # [アレイ名] [DNS 名] はあとで変更することが可能です。
    image
  8. [完了] をクリックします。
    image
    完了をクリックするとアレイが作成され、作成後にアレイにサーバーが参加されます。
    image
    image
  9. [OK] をクリックします。
    image

以上で、アレイの作成と参加が完了です。
同様の作業を [TMG-02] でも実施し、アレイにサーバーを参加させます。

1 台目と 2 台目のインストールの違いというと、すでにアレイが作成されている状態ですので、既存のアレイに参加するという形で
導入ができるというところだけで後の操作は 1 台目と同じです。
image

?

[アレイ参加後の環境]

アレイ参加後のサーバーの状態を確認してみます。

image
image

アレイが作成され、参加した TMG サーバーが正常に稼働していることが確認できますね。
# 新規に参加させた TMG サーバーの状態が変わらない場合、一度 TMG の管理コ
ンソールを起動しなおすと状態が変わることがあります。

構成としては以下のような状態となっています。
image?
アレイに参加したサーバーでは AD LDS が停止されるので、ディレクトリのマークが消えています。

エンタープライズ アレイの構成では、EMS が CSS を持つようになるので EMS 以外役割のサーバーでは参加したタイミングで
AD LDS が停止された状態となります。

[エンタープライズ アレイ構築後の設定変更]

エンタープライズ アレイ構築後にいくつか設定変更が必要となりますので、それらをまとめてみたいと思います。

  1. [代替構成保管サーバー] の設定
    今回の環境では、EMS が 2 台構築された状態となっています。
    EMS の環境では構成保管サーバーの冗長化として、[代替構成保管サーバー] というものが設定できます。

    代替構成保管サーバーは [Forefront TMG (<アレイ名>)] を右クリックして、[プロパティ] を開くことで設定できます。
    # アレイの名称や、DNS 名もこのプロパティから変更できます。
    image

    デフォルトの状態では、代替構成保管サーバーがブランクになっていますので、2 台目の EMS を設定します。
    image
    image

    TMG も ISA 同様、変更は適宜適用する必要があります。
    # 今回の手順では一つの作業を終わるごとに適用しています。
    image

  2. [構成保管サーバーのレプリケーション] の設定
    今回の EMS は 2 台構成になっています。
    今までの画面は、[TMG-EMS-01] で表示していたものなので、[TMG-EMS-02] でも管理ツールを開いてみたいと思います。

    [構成] と [システム] でアレイ内のサーバーがうまく認識できていないですね。
    image?
    image

    この状態ですが、[システム ポリシー] の設定が影響しているようです。
    [システム ポリシー] ですが、[ファイアウォール ポリシー] を右クリックすることで表示することが可能です。
    image?

    システム ポリシーの中に、[構成保管サーバーのレプリケーション] というポリシーがあり、デフォルトでは有効になっていません。
    image?

    このポリシーを有効にします。
    image?

    [宛先] のタブを見ると、[構成保管サーバーのレプリケーション] という宛先があるので、これを [編集] で開いてみます。
    image

    デフォルトでは何も設定がされていません。
    image?

    [追加] をクリックして、EMS サーバーを登録します。
    # 今回は [コンピューター] で各 EMS サーバーを登録しています。
    image

    設定が終わったら適用をします。
    各サーバーに構成の反映が終わったタイミングで、[TMG-EMS-02] の管理コンソールでサーバーの状態を確認します。
    image

    [構成保管サーバーのレプリケーション] を設定することで、追加した EMS サーバーの [システム] の [サーバー] の状態が
    確認できるようになります。
    image?

  3. [ローカル構成保管サーバーへのアクセス] の設定
    追加した EMS サーバーで、[サーバー] の状態は確認できるようになったのですが、[構成] の情報に関しては、
    エラーが表示されています。
    ?image

    この状態を回避するためには、[システム ポリシー] で [ローカル構成保管サーバーへのアクセス] を有効にします。
    デフォルトではこのポリシーは無効になっています。
    image?

    ポリシーを有効にして適用します。
    image

    この設定をすることで、追加した EMS サーバーで構成を正常に確認することができるようになります。
    image

以上でエンタープライズ アレイの構築は完了です。

構成としては ISA 2006 の CSS をレプリカした構成と同じなのですが、ISA 2006 とは異なり構成をレプリカするためには、
EMS が必要となりますので、単一障害点をなくすためには都合 4 台のサーバーが必要となりそうです。

TMG 2010 になって大きく変わった点だと思うのですが、情報があまりなく今回の投稿をまとめるのにも一苦労でした…。

Written by Masayuki.Ozawa

5月 22nd, 2010 at 6:12 pm

Posted in ISA