SE の雑記

続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。

現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。

[アレイに参加]

TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で
作業を開始しています。

1. [Forefront TMG の管理] を実行します。
   
2. [Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。
   
3. [次へ] をクリックします。
   
4. [EMS サーバーによって管理されるアレイに参加します。] を選択し、[次へ] をクリックします。
   
5. EMS のサーバー名を入力し、[次へ] をクリックします。
   今回はドメインユーザーでログオンしているので、[ログオンしているユーザーの資格情報を使って接続する] を選択しています。
   
6. まだ、アレイを作成していないので [EMS で管理れされる新しいアレイを作成します。] を選択して、[次へ] をクリックします。
   アレイにかんしては参加のウィザード内または、EMS で TMG の管理コンソールを実行して事前に作っておくことも可能です。
   
7. 作成するアレイの [アレイ名 ]と [DNS 名] を入力して、[次へ] をクリックします。
   # [アレイ名] [DNS 名] はあとで変更することが可能です。
   
8. [完了] をクリックします。
   
   完了をクリックするとアレイが作成され、作成後にアレイにサーバーが参加されます。
   
   
9. [OK] をクリックします。
   

以上で、アレイの作成と参加が完了です。
同様の作業を [TMG-02] でも実施し、アレイにサーバーを参加させます。

1 台目と 2 台目のインストールの違いというと、すでにアレイが作成されている状態ですので、既存のアレイに参加するという形で
導入ができるというところだけで後の操作は 1 台目と同じです。

?

[アレイ参加後の環境]

アレイ参加後のサーバーの状態を確認してみます。

アレイが作成され、参加した TMG サーバーが正常に稼働していることが確認できますね。
# 新規に参加させた TMG サーバーの状態が変わらない場合、一度 TMG の管理コ
ンソールを起動しなおすと状態が変わることがあります。

構成としては以下のような状態となっています。
?
アレイに参加したサーバーでは AD LDS が停止されるので、ディレクトリのマークが消えています。

エンタープライズ アレイの構成では、EMS が CSS を持つようになるので EMS 以外役割のサーバーでは参加したタイミングで
AD LDS が停止された状態となります。

[エンタープライズ アレイ構築後の設定変更]

エンタープライズ アレイ構築後にいくつか設定変更が必要となりますので、それらをまとめてみたいと思います。

1. [代替構成保管サーバー] の設定
   今回の環境では、EMS が 2 台構築された状態となっています。
   EMS の環境では構成保管サーバーの冗長化として、[代替構成保管サーバー] というものが設定できます。

   代替構成保管サーバーは [Forefront TMG (<アレイ名>)] を右クリックして、[プロパティ] を開くことで設定できます。
   # アレイの名称や、DNS 名もこのプロパティから変更できます。
   

   デフォルトの状態では、代替構成保管サーバーがブランクになっていますので、2 台目の EMS を設定します。
   
   

   TMG も ISA 同様、変更は適宜適用する必要があります。
   # 今回の手順では一つの作業を終わるごとに適用しています。
   

2. [構成保管サーバーのレプリケーション] の設定
   今回の EMS は 2 台構成になっています。
   今までの画面は、[TMG-EMS-01] で表示していたものなので、[TMG-EMS-02] でも管理ツールを開いてみたいと思います。

   [構成] と [システム] でアレイ内のサーバーがうまく認識できていないですね。
   ?
   

   この状態ですが、[システム ポリシー] の設定が影響しているようです。
   [システム ポリシー] ですが、[ファイアウォール ポリシー] を右クリックすることで表示することが可能です。
   ?

   システム ポリシーの中に、[構成保管サーバーのレプリケーション] というポリシーがあり、デフォルトでは有効になっていません。
   ?

   このポリシーを有効にします。
   ?

   [宛先] のタブを見ると、[構成保管サーバーのレプリケーション] という宛先があるので、これを [編集] で開いてみます。
   

   デフォルトでは何も設定がされていません。
   ?

   [追加] をクリックして、EMS サーバーを登録します。
   # 今回は [コンピューター] で各 EMS サーバーを登録しています。
   

   設定が終わったら適用をします。
   各サーバーに構成の反映が終わったタイミングで、[TMG-EMS-02] の管理コンソールでサーバーの状態を確認します。
   

   [構成保管サーバーのレプリケーション] を設定することで、追加した EMS サーバーの [システム] の [サーバー] の状態が
   確認できるようになります。
   ?

3. [ローカル構成保管サーバーへのアクセス] の設定
   追加した EMS サーバーで、[サーバー] の状態は確認できるようになったのですが、[構成] の情報に関しては、
   エラーが表示されています。
   ?

   この状態を回避するためには、[システム ポリシー] で [ローカル構成保管サーバーへのアクセス] を有効にします。
   デフォルトではこのポリシーは無効になっています。
   ?

   ポリシーを有効にして適用します。
   

   この設定をすることで、追加した EMS サーバーで構成を正常に確認することができるようになります。
   

以上でエンタープライズ アレイの構築は完了です。

構成としては ISA 2006 の CSS をレプリカした構成と同じなのですが、ISA 2006 とは異なり構成をレプリカするためには、
EMS が必要となりますので、単一障害点をなくすためには都合 4 台のサーバーが必要となりそうです。

TMG 2010 になって大きく変わった点だと思うのですが、情報があまりなく今回の投稿をまとめるのにも一苦労でした…。

続いてはエンタープライズ アレイの構築になります。
エンタープライズ アレイの場合、[Enterprise Management Server] (EMS) という役割のサーバーが必要となります。

この EMS ですが、TMG サーバー (TMG の F/W 機能を持つサーバー) と共存することができません。
そのため、エンタープライズ アレイを構築する場合は、別途 EMS 用のサーバーを準備する必要があります。

エンタープライズ アレイの構築としてまずは、EMS のインストールについてまとめていきたいと思います。

[環境の概要]

今回の環境ですが最初の環境は以下の図のようになっています。
TMG-01 / 02 に関してはスタンドアロン アレイと同様で最初はスタンドアロン サーバーとして構築しています。
EMS をインストールする TMG-EMS-01 / 02 に関しては、ドメインに参加させた状態となっています。
今回の投稿では、EMS をインストールする手順からまとめていきたいと思います。

[1 台目の EMS のインストール]

それでは、EMS をインストールしていきたいと思います。

1. TMG 2010 Enterprise Edition のインストールメディアを挿入し、[autorun.hta] を実行します。
2. [準備ツールの実行] をクリックします。
   
3. UAC が働いた場合は、[はい] をクリックします。
   
4. [次へ] をクリックします。
   
5. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
   
6. [Enterprise Management Server (EMS) (アレイの一元管理に使用)]? を選択し、[次へ] をクリックします。
   ?
7. [次へ] をクリックすると、EMS をインストールするのに必要な役割、機能がインストールされます。
   
8. [Forefront TMG インストール ウィザードの起動] を有効 (デフォルト) にし、[完了] をクリックします。
   
9. UAC が働いた場合は、[はい] をクリックします。
   
10. [次へ] をクリックします。
    
11. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
    
12. [次へ] をクリックします。
    ?
13. [次へ] をクリックします。
    
14. 今回は最初の EMS のインストールになりますので、[この EMS に新しいエンタープライズ構成を作成] を選択し、
    [次へ] をクリックします。
    
15. [次へ] をクリックします。
    
16. エンタープライズ名を入力して、[次へ] をクリックします。
    エンタープライズは TMG の管理単位の最上位の階層となります。
    
17. 今回はドメイン環境ですので、[単一のドメインに展開] を選択して、[次へ] をクリックします。
    ?
18. [インストール] をクリックします。
    
    
19. [完了] をクリックします。
    

これで 1 台目の EMS のインストールは完了です。
インストールが完了すると以下のような構成となります。

EMS は TMG の CSS の機能のみを持つサーバーとなり、F/W の機能は持ちません。
このサーバーは以下のサービスが動いているシンプルなサーバーとなります。

• Microsoft Forefront TMG 記憶域
• ISAGCCTRL

構成を補完するためのサービスのみを提供している形になりますね。

[2 台目の EMS のインストール]

続いて、EMS を冗長化するために 2 台目の EMS をインストールしたいと思います。

1. 以下の画面までは 1 台目のインストールと手順は同じです。
   こちらの画面が表示されたら、[この EMS に既存のエンタープライズ構成をコピー] を選択し、[次へ] をクリックします。
   
2. 1 台目の構成保管サーバーのサーバー名を入力し、[次へ] をクリックします。
   

今回は、[Domain Users] グループのユーザーで、各 TMG / EMS サーバーのローカル [Administrators] グループに
参加しているユーザーでログオンしています。

3. [ネットワーク上でレプリケートする] を選択して、[次へ] をクリックします。
   # 私の環境ですとなぜか表示がおかしいのです…。
   
4. 今回はドメイン環境なので、[単一のドメイン内に展開] を選択して、[次へ] をクリックします。
   
5. [インストール] をクリックします。
   
   
6. [完了] をクリックします。
   

以上で、EMS のインストールは完了です。
この手順までで以下の環境が構築できました。

このままでは、TMG サービスのサーバーはスタンドアロン サーバーとなっており、各 TMG サーバーが EMS に接続していない
状態となっています。

次の投稿で、スタンドアロン サーバーを EMS に接続する手順をまとめていきたいと思います。

TMG (Threat Management Gateway) 2010 で冗長構成をとるためには、TMG でアレイを構成する必要があります

TMG のアレイには以下の 2 種類があります。

1. スタンドアロン アレイ
2. エンタープライズ アレイ

ドメイン環境とワークグループ環境では構築の方法が異なるようなのですが、今回は非武装 AD に参加している TMG が 2 台ある状態で、
スタンドアロン アレイ を構築する手順をまとめてみたいと思います。
# ワークグループ環境の場合は、サーバー認証証明書とそのサーバー認証証明書のルート証明書が必要となります。

[環境の概要]

今回の環境ですが、最初は以下のような状態で構築しています。
?

TMG を AD 上に 2 台構築してあり、現在はアレイを組んでいない状態 (スタンドアロン サーバー) となっています。

TMG の Enterprise Edition では、構成保管サーバー (CSS:Configuration Storage Server) として AD LDS が使用されています。
内容を確認したい場合、[LDAP://localhost:2171/CN=FPC2] に ADSI エディターで接続をすることで確認をすることができます。
?
TMG ではマスターの情報は、AD LDS に格納され、その情報が各 TMG サーバーのローカルレジストリに反映されるようになっています。

アレイを組むことで、各 TMG サーバーで同一の CSS を使用できるようになります。

スタンドアロン アレイの場合は、CSS は単一、エンタープライズ アレイの場合は CSS のレプリカを作成し冗長化を
することができるようになります。

?

[スタンドアロン アレイの構築]

それでは実際にスタンドアロン アレイを構築したいと思います。

1. まずは、どの TMG サーバーをアレイ マネージャーとするかを決めます。
   アレイ マネージャーは AD LDS を実行するサーバーになります。
   スタンドアロン アレイの場合、アレイ マネージャーに TMG サーバーを参加させることで冗長構成をとることになります。
2. アレイ マネージャーとするサーバーを決めたら、参加させるサーバーで [Forefront TMG の管理] を実行します。
   
3. [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
   
4. [次へ] をクリックします。
   
5. [指定したアレイ メンバー (アレイ マネージャー) によって管理されるスタンドアロン アレイに参加します。] を選択し、[次へ] をクリックします。
   ?
6. アレイ マネージャーとする TMG サーバーのサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、
   [次へ] をクリックします。
   
   今回は、[Domain Users] グループのユーザーで、各 TMG サーバーのローカル [Administrators] グループに参加しているユーザーで
   ログオンしています。
7. [完了] をクリックします。
   

   [完了] をクリックすると、アレイの参加が開始されます。
   

8. [OK] をクリックします。
   

以上で、スタンドアロン アレイの設定は完了です。

構成とシステムを確認した画面が以下になるのですが、サーバーが 2 台構成となっているのが確認できます。

[Forefront TMG (<サーバー名>)] を右クリックして、プロパティを開いた画面が以下になります。
[種類] が [スタンドアロン アレイ] になっているのが確認できますね。
エンタープライズ アレイの場合は、使用する CSS のサーバーが指定できるのですが、スタンドアロン アレイの場合、CSS は単一の
サーバーとなるため、CSS のサーバーを指定することはできません。

こちらは、アレイに参加していない別のサーバーで取得したものになります。
アレイに参加する前のサーバーは、[スタンドアロン サーバー] となっていますね。
?

[スタンドアロン アレイ構築後のサーバーの環境]

スタンドアロン アレイを構築するとサーバーの環境は以下のように変更されます。
パッと見わかりずらいのですが、[TMG-02] からディレクトリサービスの画像が消えています。
?

スタンドアロン アレイ構築時の環境変化のポイントだと思うのですが、アレイに参加しているサーバーは、アレイ マネージャー以外の
サーバーで AD LDS が [無効] な状態になります。

これは、スタンドアロン アレイでは、アレイ マネージャーが唯一の CSS になるからだと思います。

はじめ、この辺の動きが理解できておらず、すったもんだしましたがようやく構成が理解できてきました。
この構成では、TMG サーバーは冗長化されているのですが、CSS が冗長化できていない状態となっています。

CSS を冗長化するためにはエンタープライズ アレイの構成を構築する必要があります。

次の投稿でエンタープライズ アレイの構成で構築をしてみたいと思います。