TMG (Threat Management Gateway) 2010 はMicrosoft Forefront Threat Management Gateway Best Practices Analyzer Tool に含まれている Data Pakager を使用することで VPN 接続のログを取得することができます。
Azure の Virtual Network (VPN) を NAT の後ろにある TMG で接続できないものかと試行錯誤しているのですが、接続ができない原因のログをとるために使いたかったので使用方法を少しまとめてみたいと思います。
以下の技術情報を参考にさせていただいています。
Using TMG Data Packager to Troubleshoot Exchange Web, Lync Web and SharePoint connectivity
How TMG Data Packager can assist you troubleshooting VPN Site to Site Issues
■使用する OS の注意事項
今回は OS に Windows Server 2008 SP2 を使用しています。
Windows Server 2008 R2 SP1 を使用していないのには理由がありまして、2008 R2 には取得した ETL のファイルをフォーマットを整えるための TMF ファイルが含まれていないためです。
Data Packager を使用すると ikeext.etl が取得できるのですがこのファイルだけでは中身を見ても解析ができませんので、解析ができるように wfp.tmf を使用してフォーマットを整える必要があります。
Windows Server 2008 SP2 であれば [C:windowsSystem32] に含まれているのですが、Windows Server 2008 R2 SP1 にはこの TMF ファイルが含まれていません。
Where can i download wfp.tmf に以下のように記載されているように、
Based on my research, I found this file only publicly available on Windows 2008 SP2. For R2 the WFP seems to be available internal only.
となっており、2008 R2 用の TMF ファイルに関しては MS さんの Internal 用のファイルとなっているようです。
# サポートに問い合わせをするとファイルを入手できるような情報もありましたが。なお、Windows Server 8 Beta にも wfp.tmf は含まれていませんでした。
そのため、Data Packager でログを取得して自分で確認をしたい場合には Windows Server 2008 SP2 を使用して TMG を構築するのが手っ取り早いかと思います。
# 2008 SP2 の TMG でデータを取得してから、2008 R2 で本構築するという形でもよいと思います。
2008 R2 で取得した ikeext.etl を 2008 SP2 の wfp.tmf を使用してもログのフォーマットを整えることができないので注意が必要です。
■必要となるモジュールのダウンロード
ログを取得する際に必要となる Data Packager は標準では含まれていません。
Microsoft Forefront Threat Management Gateway Best Practices Analyzer Tool をインストールすることで Data Packager がインストールされます。
リモートで取得するということが出来なさそうですので、TMG をインストールしているサーバーに導入する必要があるようです。
取得したデータを解析するためには tracefmt.exe を使用する必要があるのですが、このツールは標準では含まれていません。
このツールを使用するためには Windows Driver Kit (WDK) 7.1.0 をインストールする必要があります。
# WDK 8 Release Preview をインストールしてみたのですが、こちらには含まれていないようでした。
WDK のインストールモジュールのうち、Tools だけインストールすれば tracefmt.exe は使用できるようになります。
セットアップが完了すると [C:WinDDK7600.16385Toolstracingamd64] に tracefmt.exe がインストールされます。
■VPN のログを取得
TMG の BPA をインストールすると、TMG Tools の下に TMG Data Packager が表示されます。
VPN のログであれば [Collect Data ~] の VPN を選択することで必要となるログを取得することができます。
デフォルトの状態だと VPN のログと TMG の基本情報が取得される設定となっています。
TMG の BPA も実行されますので、デフォルトの状態だと取得に少し時間がかかります。
実行時の時間を短縮したい場合には、[Modify Options] から [TMG BPA] を外してしまっても良いかと思います。
データの取得を開始すると、[Press spacebar to start capturing.] と表示されますので、これが表示されたらスペースキーを押すと VPN のログ取得が開始されます。
以上でログの収集は終了です。
ログの取得が完了するとデスクトップに [TmgPackage.cab] が保存されます。
このファイルと tracefmt.exe を使用して VPN のログの解析を行います。
■VPN のログを解析
ログの取得が完了したら解析を行います。
CAB の中に ikeext.etl が含まれていますのでこのファイルを解析します。
以下のコマンドを実行することで ETL ファイルを解析できます。
cd C:WinDDK7600.16385Toolstracingamd64 tracefmt.exe c:tempikeext.etl -tmf c:windowssystem32wfp.tmf -o c:tempoutput.txt |
出力されるのはテキストファイルですので内容を確認することで VPN の接続で問題が発生しているかの確認をすることができます。
Azure の Virtual Network とサイト間接続ができない理由を調べるために使ってみたのですが、結構便利ですね。
[…] ネットワークは不得手なのでログ見ないといかんともしがたいかったので、TMG の Data Packager で VPN のログを取得 の投稿のように Data Packager を使用してログを取得しながら検証することにしました。 そのため、Windows Server 2008 SP2 + TMG 2012 SP2 CU2 の環境を使用することにしています。 […]
TMG で Azure の Virtual Network に接続できるか挑戦中 (未完) « SE の雑記
1 7月 12 at 19:39