SE の雑記

TMG (Threat Management Gateway) 2010 で冗長構成をとるためには、TMG でアレイを構成する必要があります

TMG のアレイには以下の 2 種類があります。

1. スタンドアロン アレイ
2. エンタープライズ アレイ

ドメイン環境とワークグループ環境では構築の方法が異なるようなのですが、今回は非武装 AD に参加している TMG が 2 台ある状態で、
スタンドアロン アレイ を構築する手順をまとめてみたいと思います。
# ワークグループ環境の場合は、サーバー認証証明書とそのサーバー認証証明書のルート証明書が必要となります。

[環境の概要]

今回の環境ですが、最初は以下のような状態で構築しています。
?

TMG を AD 上に 2 台構築してあり、現在はアレイを組んでいない状態 (スタンドアロン サーバー) となっています。

TMG の Enterprise Edition では、構成保管サーバー (CSS:Configuration Storage Server) として AD LDS が使用されています。
内容を確認したい場合、[LDAP://localhost:2171/CN=FPC2] に ADSI エディターで接続をすることで確認をすることができます。
?
TMG ではマスターの情報は、AD LDS に格納され、その情報が各 TMG サーバーのローカルレジストリに反映されるようになっています。

アレイを組むことで、各 TMG サーバーで同一の CSS を使用できるようになります。

スタンドアロン アレイの場合は、CSS は単一、エンタープライズ アレイの場合は CSS のレプリカを作成し冗長化を
することができるようになります。

?

[スタンドアロン アレイの構築]

それでは実際にスタンドアロン アレイを構築したいと思います。

1. まずは、どの TMG サーバーをアレイ マネージャーとするかを決めます。
   アレイ マネージャーは AD LDS を実行するサーバーになります。
   スタンドアロン アレイの場合、アレイ マネージャーに TMG サーバーを参加させることで冗長構成をとることになります。
2. アレイ マネージャーとするサーバーを決めたら、参加させるサーバーで [Forefront TMG の管理] を実行します。
   
3. [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
   
4. [次へ] をクリックします。
   
5. [指定したアレイ メンバー (アレイ マネージャー) によって管理されるスタンドアロン アレイに参加します。] を選択し、[次へ] をクリックします。
   ?
6. アレイ マネージャーとする TMG サーバーのサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、
   [次へ] をクリックします。
   
   今回は、[Domain Users] グループのユーザーで、各 TMG サーバーのローカル [Administrators] グループに参加しているユーザーで
   ログオンしています。
7. [完了] をクリックします。
   

   [完了] をクリックすると、アレイの参加が開始されます。
   

8. [OK] をクリックします。
   

以上で、スタンドアロン アレイの設定は完了です。

構成とシステムを確認した画面が以下になるのですが、サーバーが 2 台構成となっているのが確認できます。

[Forefront TMG (<サーバー名>)] を右クリックして、プロパティを開いた画面が以下になります。
[種類] が [スタンドアロン アレイ] になっているのが確認できますね。
エンタープライズ アレイの場合は、使用する CSS のサーバーが指定できるのですが、スタンドアロン アレイの場合、CSS は単一の
サーバーとなるため、CSS のサーバーを指定することはできません。

こちらは、アレイに参加していない別のサーバーで取得したものになります。
アレイに参加する前のサーバーは、[スタンドアロン サーバー] となっていますね。
?

[スタンドアロン アレイ構築後のサーバーの環境]

スタンドアロン アレイを構築するとサーバーの環境は以下のように変更されます。
パッと見わかりずらいのですが、[TMG-02] からディレクトリサービスの画像が消えています。
?

スタンドアロン アレイ構築時の環境変化のポイントだと思うのですが、アレイに参加しているサーバーは、アレイ マネージャー以外の
サーバーで AD LDS が [無効] な状態になります。

これは、スタンドアロン アレイでは、アレイ マネージャーが唯一の CSS になるからだと思います。

はじめ、この辺の動きが理解できておらず、すったもんだしましたがようやく構成が理解できてきました。
この構成では、TMG サーバーは冗長化されているのですが、CSS が冗長化できていない状態となっています。

CSS を冗長化するためにはエンタープライズ アレイの構成を構築する必要があります。

次の投稿でエンタープライズ アレイの構成で構築をしてみたいと思います。

Twitter で SQL Server 2008 R2 CU1 の情報が流れましたのでさっそくスリップストリームインストールができるか検証です。

[Setup.exe] のヘルプには以下のオプションが明記されているので、使えることはコマンドからでも確認できるのですが。

CUSOURCE???????????????????? セットアップ メディアの更新に使用される、抽出された累積した更新ファイルのディレクトリ。 PCUSOURCE??????????????????? セットアップ メディアの更新に使用される、抽出されたサービス パック ファイルのディレクトリ。

?

SQL Server 2008 R2 CU1 ですが、SQL Server 2008 SP1 CU5,6,7 相当の修正が適用されるみたいですね。

?

[CU1 のダウンロード]

CU1 は以下のサイトからダウンロードすることが可能です。
Cumulative Update package 1 for SQL Server 2008 R2

SQL Server 2008 R2 Non SP の累積修正プログラムの情報は以下のサイトに掲載されるようですので、こちらも定期的に
チェックをするとよさそうです。
The SQL Server 2008 R2 builds that were released after SQL Server 2008 R2 was released

[CU1 の展開]

スリップストリームインストールをする前に、まずはダウンロードした CU1 を展開する必要があります。

以下の形式でダウンロードした EXE を実行することで展開することができます。

SQLServer2008R2-KB981355-x64.exe /extract:<展開先> 例) SQLServer2008R2-KB981355-x64.exe /extract:C:CU1

# [/x:] でも展開可能です。

?

[CU1 をスリップストリームインストール]

CU をスリップストリームセットアップする場合は、[CUSOURCE] というオプションを使ってインストールメディアの [Setup.exe] を実行します。

Setup.exe /CUSource=<展開先> 例) Setup.exe /CUSource=C:CU1

?

あとはウィザードに従ってインストールをしていきます。
インストールの準備完了で、アクションが [Install (Sripstream)] となっているのが確認できます。

?

今回インストールしたインスタンスは [SQL2008R2ENT] という名称なのですが、バージョンが [10.50.1702.0] となっていますね。

スリップストリームインストールが使えると楽でいいですね♪

TMG 2010 ではネットワーク検査システム (Network Inspection System) という機能が追加されています。
バーチャルパッチといわれるような機能に相当し、TMG で既知の脆弱性の検査をし脆弱性を狙った攻撃をブロックする機能になります。

検査される内容に関しては、以下のように管理されており基本的には MS のセキュリティ情報と対応付けられており、
それぞれのセキュリティの問題に対して、署名という形でブロックする情報が管理されています。

この情報は Microsoft Update 経由で更新ができるようになっており、定期的に更新ができるようになっています。

検査の内容に関しては署名セットという形でパックされた形で管理されており、内部ではバージョン管理がされています。
何かの理由で以前配信された署名セットを使いたいといった場合には、アクティブにする署名セットを手動で選択することも可能です。

?

この検査機能ですが、昨日から構成について調べてみたのですが、以下の図のようなインライン型の IDS (Intrusion Detection System) となるようで、
検査をするためには、TMG を介してアクセスされるようにネットワークを構成する必要があるようなんですよね。
# IDS 大きく分類すると、はインライン型とネットワーク型に分かれるようです。私はネットワーク苦手で恥ずかしながらインライン型しか知りませんでした…。
　【特集】 続 不正侵入対策最前線

この機能を使うことで、セキュリティパッチが提供されていない、レガシー OS (Windows NT / 95 / 98 / 2000 (2000 はもうじきですね) 等) に関しても、
TMG 経由のアクセスに関しては脆弱性を狙っての攻撃をブロックすることができるようになります。

簡単な図にするとこのような形式でしょうか。
TMG で検査がされれば脆弱性を狙った攻撃はブロックされますので、TMG の後ろに配置しているサーバーの OS には依存しない形になります。
?

ただし、このような形でアクセスができるネットワーク環境になると TMG では検査ができないので NIS が機能しません。
# ネットワーク機器側でポートミラーで飛ばせば良いのかな？？
ネットワークの構成は考える必要がありそうですね。
私はネットワーク関連が苦手なので、もしかしたら間違っているのかも…。
このようなアクセスが可能な場合でも検査できる！！ということでしたらコメントを頂けるととても助かります。

?

この NIS の機能なのですが、TMG ではテスト用に 2 種類の署名が用意されており、正常に構成されているかの動作検証をすることができるようになっています。
今回は、このテスト用の署名を使った NIS のテストについてまとめていきたいと思います。

[テスト用の署名]

NIS のテスト用の署名として、HTTP と SMB のテスト署名が用意されています。
これらの署名を使ったテストなのですが、TMG のヘルプにも記載があるのですがヘルプの内容が間違っているようで、テスト用の署名の名称だったり、
テストで使用するための URL / ファイル名を見つけることができなかったりします…。
# [NIS の機能をテストする] というヘルプがあるのですが、内容がいまいち…。

TMG の書籍として、
Microsoft Forefront Threat Management Gateway (TMG) Administrator’s Companion (Pro -Administrator’s Campanion)
という書籍があるのですが、この中に HTTP を使用した NIS のテスト方法について記載がされています。

本を買うのはちょっと・・・。という方にはホワイトペーパーも用意されています。
# というより、NIS に関してはホワイトペーパーの方が詳しいです。
ホワイトペーパーでは、HTTP だけでなく、SMB のテスト方法についても記載されています。

[Word]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

[PDF]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

テストをする際には、ホワイトペーパーを一読した方が良いと思います。
# 私は英語の能力がべらぼーに低いので眺めながら (とてもとても読めません…) やったのですが何とかテストで
きました。

テスト用の署名は以下の 2 種類になります。

[HTTP 用]

[SMB 用]

# 私の環境、なぜか SMB のテスト用の署名が同一名称で 2 つありました…。

これらの署名で検知されるようなアクセスをすることで NIS のテストをすることが可能です。

[HTTP のテスト]

HTTP 用のテストに関しては方法は簡単で、TMG を経由するような環境を作ってからブラウザで特定の URL にアクセスすることで確認ができます。

テスト用の URL は以下のものになります。
# ホワイトペーパーに記載されています。

http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%6^[{NIS-Test-URL}]1!2@34$5%6^

NIS の署名を無効にしている状態で、上記の URL にアクセスすると、US の microsfot.com にアクセスされます。

それでは HTTP 用の NIS の署名を有効にしてテスト用の URL にアクセスをしてみます。

[500 Internal Server Error. トラフィックが IPS によってブロックされましたという。] というエラーが発生し、
ネットワークのアクセスがブロックされます。

TMG のログにも以下のように NIS でブロックされたというログが出力されます。

上のアクセスですが、このような形になっています。
デフォルトゲートウェイとして、TMG を構成しています。
# NIC 2 枚で、[エッジ ファイアウォール] として構成しています。
この場合、エラーコードとしては [500] となるようです。

?

以下の図のような形で、クライアントのデフォルト G/W としては、ルーターを設定して、プロキシとして TMG を設定してアクセスをしてみます。

?

エラーメッセージは同じなのですが、[502 Proxy Error] という形で NIS による検査がされます。
?

プロキシとして設定した場合に NIS で検査された場合は以下のようなログが TMG に記録されます。

ゲートウェイでなく、プロキシにしても HTTP に関しては検査ができますね。
単一ネットワークの場合、ゲートウェイとして TMG を構成するのはできないと思いますので、その場合はプロキシとして構成する必要があります。

?

[SMB のテスト]

もう一つのテスト用の署名として SMB の署名が用意されています。

SMB のテスト署名を使ったテストに関してもホワイトペーパーに記載がされています。
これに関しては、TMG を経由するようにして特定のファイル名のファイルをコピーすることでテストをすることができます。

今回は以下の構成に市提案す。

テストに使用するファイル名は以下の名称になります。

C0AABD79-351B-4c98-8AE7-69F4279FEF54.txt

SMB 用のテスト用署名を無効にしている状態ではこのファイル名のファイルをゲートウェイとして構成している TMG を介してコピーすることができます。

SMB のテスト用署名が有効になっている状態では、ファイルをコピーすると以下のエラーが発生します。

TMG のログには、CIFS が NIS によりブロックされていることが出力されています。

テストに関してはこれらのテスト署名を使用することで実施することができます。
パフォーマンス測定などもこれらのテスト署名でできそうですね。

Windows Embedded Standard 7 の RTM が発表されましたが、MSDN サブスクリプションでも Windows Embedded Standard 7 の提供が開始されました。

提供が開始されたのは、

• Windows Embedded Standard 7 Runtime (x64) – DVD (English)?
• Windows Embedded Standard 7 Runtime (x86) – DVD (English)
• Windows Embedded Standard 7 Toolkit (x86) – DVD (English)

の 3 種類で、[Runtime] がブータブル可能なインストールメディアで、[Toolkit] が [Image Configuration Editor] のインストールメディアになります。

[Image Configuration Editor] の RC 版を使っていた場合、アップグレードはできないため、一度アンインストールをしてからインストールする必要があります。

[Image Configuration Editor] の初回実行時には、プロダクトキーの入力が求められるようになっています。
# プロダクトキーは MSDN サブスクリプションで、Toolkit 用のキーが提供されています。

Runtime の方に関しては、RC のブータブルメディアからのインストールから内容は変わっていませんでした。
# 表示が、Windows Embedded Standard 2011 から Windows Embedded Standard 7 に変わったぐらいでした。

Runtime に関してもプロダクトキーが提供されているのですが、どうもこのプロダクトキーを使って RTM としてインストールするのが、
うまくできないんですよね。

インストール時にプロダクト入力の妥当性チェックが行われており、MSDN で提供されている RTM のプロダクトキーであれば、
妥当性チェックはパスできるのですが、評価版としてインストールがされてしまいます。
# これが正しいのかは調査中です。
プロダクトキーを入力しないでインストールしても評価版になるので、プロダクトキーの使い道がいまいちわかっていないです。

Windows Embedded Standard 7 を [ThinClient] でインストールした場合、[slui.exe] が使えないので、
プロダクトキーの変更やライセンス認証も通常の方法ではできないみたいなんですよね。

RTM としてのインストール方法は引き続き調べていきたいと思います。

2010/5/22 追記
WES 7 missing slui.exe

Books Online や Web で SQL Server 2008 R2 の新機能の情報を収集していて、SQL Server 2008 R2 でメジャーな新機能以外に
いくつかデータベース管理者向けの新機能があったので検証してみました。

以下のブログで新機能がまとめられており、こちらの情報がとても参考になります。
INF: New SQL Server features in SQL Server 2008 R2 ? Part 1
INF: New SQL Server features in SQL Server 2008 R2 ?Part 2

1. SQL Server 2008 R2 Express Edition のデータベース上限の変更

SQL Server 2008 Express Edition までは、データベースの上限は [4GB] となっていました。
?

SQL Server 2008 R2 Express Edition では、データベースの上限が [10GB] に変更となりました。
?

Books Online には以下のように記載されています。

SQL Server Express でサポートされるデータベースの最大サイズが 4 GB から 10 GB に引き上げられました。

# ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.ja/s10de_0evalplan/html/8f625d5a-763c-4440-97b8-4b823a6e2439.htm

2. Standard Edition でバックアップ圧縮をサポート
   
   SQL Server 2008 でバックアップ圧縮の機能が追加されました。
   ただし、使える Edition は [Enterprise Edition のみ] となっていました。

   SQL Server 2008 Standard Edition でバックアップ圧縮を使ったデータベースアックアップを取得しようとすると以下のエラーとなります。

   print @@version BACKUP DATABASE [master] TO? DISK = N’C:Program FilesMicrosoft SQL ServerMSSQL10.SQL2008STDMSSQLBackupmaster.bak’ WITH NOFORMAT, NOINIT, NAME = N’master-完全 データベース バックアップ’, SKIP, NOREWIND, NOUNLOAD, COMPRESSION,? STATS = 10 GO Microsoft SQL Server 2008 (SP1) – 10.0.2746.0 (X64) ??? Nov? 9 2009 16:37:47 ??? Copyright (c) 1988-2008 Microsoft Corporation ??? Standard Edition (64-bit) on Windows NT 6.1 <X64> (Build 7600: ) (VM) メッセージ 1844、レベル 16、状態 1、行 1 BACKUP DATABASE WITH COMPRESSION は Standard Edition (64-bit) ではサポートされません。 メッセージ 3013、レベル 16、状態 1、行 1 BACKUP DATABASE が異常終了しています。

   ?

   それでは SQL Server 2008 R2 Standard Edition で同様の処理を実行してみます。

   print @@version BACKUP DATABASE [master] TO? DISK = N’C:Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2STDMSSQLBackupmaster.bak’ WITH NOFORMAT, NOINIT,? NAME = N’master-完全 データベース バックアップ’, SKIP, NOREWIND, NOUNLOAD, COMPRESSION,? STATS = 10 GO Microsoft SQL Server 2008 R2 (RTM) – 10.50.1600.1 (X64) ??? Apr? 2 2010 15:48:46 ??? Copyright (c) Microsoft Corporation ??? Standard Edition (64-bit) on Windows NT 6.1 <X64> (Build 7600: ) (Hypervisor) 10 パーセント処理されました。 21 パーセント処理されました。 31 パーセント処理されました。 40 パーセント処理されました。 50 パーセント処理されました。 61 パーセント処理されました。 71 パーセント処理されました。 80 パーセント処理されました。 90 パーセント処理されました。 データベース ‘master’ の 376 ページ、ファイル 2 のファイル ‘master’ を処理しました。 100 パーセント処理されました。 データベース ‘master’ の 4 ページ、ファイル 2 のファイル ‘mastlog’ を処理しました。 BACKUP DATABASE により 380 ページが 0.390 秒間で正常に処理されました (7.612 MB/秒)。

   Standard Edition でもバックアップ圧縮のオプションを設定しても正常にバックアップができています。
   バックアップは常に使用する機能ですので、Standard Edition でバックアップ圧縮が使えるようになったのはうれしいですね。
   Standard Edition でリソースガバナーを使うことができませんので、バックアップ中の CPU の利用状況の制限に関してはできません。

   こちらも Books Online に記載されています。

   バックアップ圧縮は SQL Server 2008 Enterprise で導入されました。 SQL Server 2008 R2 以降、バックアップ圧縮は SQL Server 2008 R2 Standard 以上のエディションでサポートされています。 圧縮されたバックアップは、SQL Server 2008 以降の各エディションで復元できます

   # ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.ja/s10de_4deptrbl/html/05bc9c4f-3947-4dd4-b823-db77519bd4d2.htm
   ?

3. 共有フォルダにデータベースを配置

   SQL Server 2008 R2 では [共有フォルダにデータベースを配置] することが可能となりました。

   SQL Server 2008 で共有フォルダにデータベースを作ろうとすると以下のようなエラーとなります。

   CREATE DATABASE [TEST] ON? PRIMARY ( NAME = N’TEST’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST.mdf’ , SIZE = 3072KB , FILEGROWTH = 1024KB ) LOG ON ( NAME = N’TEST_log’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST_log.ldf’ , SIZE = 1024KB , FILEGROWTH = 10%) GO メッセージ 5110、レベル 16、状態 2、行 1 ファイル "127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST.mdf" が存在するネットワーク パスは、データベース ファイルでサポートされません。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   SQL Server 2008 R2 で実行すると正常に作成することが可能です。
   # Express Edition でも配置することが可能でした。

   CREATE DATABASE [TEST] ON? PRIMARY ( NAME = N’TEST’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf’ , SIZE = 3072KB , FILEGROWTH = 1024KB ) LOG ON ( NAME = N’TEST_log’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST_log.ldf’ , SIZE = 1024KB , FILEGROWTH = 10%) GO コマンドは正常に完了しました。

   共有フォルダへのアクセスですが、[SQL Server のサービスアカウント] で実行されます。
   共有フォルダへアクセスできない場合は、以下のエラーになります。

   メッセージ 5133、レベル 16、状態 1、行 1 オペレーティング システム エラー 5(アクセスが拒否されました。) により、ファイル "127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf" のディレクトリ参照に失敗しました。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   データベースの新規作成だけでなく、アタッチもすることができます。

   CREATE DATABASE TEST ON (FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf’) FOR ATTACH

   クラスタの場合はこのようなエラーになります。
   クラスタの場合、共有フォルダではなく物理ディスクを使う必要があるようですね。
   # クラスタの共有ディスクに共有フォルダを設定しています。
   　クラスタリソースの仮想コンピュータに関しては、[IPアドレス] のアクセスができないので [コンピュータ名] でアクセスしています。

   メッセージ 5184、レベル 16、状態 2、行 1 クラスター サーバーにファイル ‘2008r2-wsfc-sqlgMSSQL10_50.MSSQLSERVERMSSQLDATATEST.mdf’ を使用できません。 サーバーのクラスター リソースが依存関係を持つ、フォーマットされたファイルだけを使用できます。 このファイルを含んでいるディスク リソースがクラスター グループに存在しないか、SQL Server のクラスター リソースが このファイルに依存していません。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   これについては最初に紹介しているブログの中に書かれているのですが、Books Online ではちょっと記載が見つけられませんでした。

?

ユーティリティ コントロール ポイント / データ層アプリケーション / PowerPivot のようなメジャーな新機能ではありませんが、
個人的には、どれも気になる機能でした。
まだ、たくさん新機能はありますので検証ができたタイミングで投稿したいと思います。

Windows Server 2003 では、[Microsoft ネットワーク用ファイルとプリンタ共有] のプロパティに、[サーバーの最適化] というタブがあり、
その中で、以下のような設定をすることが可能でした。

IIS や SQL Server のパフォーマンスチューニングで設定をすることがよくある項目ですね。
ネットワーク アプリケーションのデータ スループットを最大にする
データ スループットの最大化
[HOWTO] Windows Server 2003 で Web サーバーのパフォーマンスを最適化する
[HOW TO] Windows 2000 で Web サーバーのパフォーマンスを最適化する方法

Windows Server 2008 以降でもネットワークのプロパティに、[Microsoft ネットワーク用ファイルとプリンタ共有] はあるのですが、
[プロパティ] をクリックすることができなくなっています。

設定自体がなくなったのかといえば、そういうわけではなく GUI からではなくレジストリを変更して設定する必要があるようです。
# 2003 で GUI で変更した場合も、レジストリが変更されています。

レジストリ値に関しては、以下の技術情報に記載されています。
LargeSystemCache
Setting: maximize data throughput for network applications

• HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementLargeSystemCache
• HKLMSYSTEMCurrentControlSetServicesLanmanServerParametersSize

このレジストリの設定値の組み合わせで、[サーバーの最適化] の値が設定されているようです。

Windows Server 2003 / 2008 / R2 のデフォルトの組み合わせは [Maximize data throughput for file sharing] となっているので、
[ファイル共有のデータスループットを最大にする] になっています。

Windows Server 2008 以降ではレジストリを直接変更する必要があるので、ちょっと面倒ですね。

本日はお休みをとっていたので、購入したばかりの ThinkPad x201i のセットアップをちょこちょことやっていました。

私は仮想 CD / DVD のソフトとして、Alcohol 52% Free Edition を使っています。
Alcohol 52% Free Edition

?

Daemon Tools の方が有名だと思いますが、以前から Alcohol 52% を使っていたのでなんとなくこのソフトを使い続けていました。

現在のバージョンは、2.0.0 (Build 1331) で、このバージョンは Windows 7 や Windows Server 2008 R2 が入っている ThinkPad T61 で
問題なく動いていたので、今回セットアップをしていた ThinkPad x201i にもインストールしました。

インストール自体は正常に完了し、いざ仮想ドライブを追加しようとしたらこのようなエラーが。

?

————————— Alcohol Emulation Core ————————— アダプターを加えることができません。 デバイスの問題　12。BIOSのACPI機能は切られてはなりません。 ————————— OK?? —————————

?

他の Windows Server 2008 R2 では正常に動作していたので機種固有の問題のようですね。

Alcohol 52% や Daemon Tools では、[SCSI Pass Through Direct (SPTD)] というドライバが使用されているようなのですが、
Alcohol 52% の 2.0.0 では [1.62] というバージョンがインストールされています。

最新のバージョンは何なのかなと調べてみたところ、[1.69] というバージョンが最新のようでしたので、ひとまず SPTD を最新のものに更新してみました。
SPTD for Windows 2000/XP/2003/Vista/Windows 7

Windows 7 用であれば、大体 Windows Server 2008 R2 でも使えるはずなので、x64 用のものをダウンロードしてさっそくアップデート。

アップデート後、再起動して再度 Alcohol 52% で仮想ドライブを追加してみたところ、正常に追加することができました。

x201i + Windows Server 2008 R2 / Windows 7 ともに発生していたのですが、両 OS とも SPTD をアップデートすれば、エラーは発生しなくなりました。

TechNet / MSDN サブスクリプションのダウンロードメディアは ISO のため、仮想メディアをマウントできるソフトは頻繁に使うので、
新しいソフトを探すのは少し面倒だな～と思ったのですが、動作したのでよかったです♪

続いて 2 ノード目のインストールです。

.NET Framework 3.5 SP1 とネットワークバインドの順序の手順は実施済みです。

■2 ノード目のインストール

1. [Setup.exe] を実行します。
   
2. [インストール] → [SQL Server フェールオーバー クラスターにノードを追加します。] をクリックします。
   
3. [OK] をクリックします。
   
4. [次へ] をクリックします。
   
5. [ライセンス条項に同意する。] を有効にして、[次へ] をクリックします。
   
6. ? [インストール] をクリックします。
   
7. [次へ] をクリックします。
   
8. ノードを追加するインスタンスを選択し、[次へ] をクリックします。
   
9. サービスアカウントのユーザーのパスワードを入力し、[次へ] をクリックします。
   ?
10. エラー レポートの設定をして、[次へ] をクリックします。
    
11. [次へ] をクリックします。
    
12. [インストール] をクリックします。
    
    
13. [閉じる] をクリックします。
    

以上で 2 ノード目のインストールは完了です。
実行可能な所有者として、ノードが追加されています。

2 ノード目には、BIDTS と SSMS も一緒にインストールされていますね。
?

SQL Server 2008 R2 のデータベースエンジンのクラスタのインストールは以上で完了です。
CTP と同一の手順でインストールが可能ですね。

今までの投稿で書いていなかった内容もいくつかあったので、クラスタのインストールを補完するいい機会でした。

ネットワークのバインド順序の設定は実施済みの状態です。
SQL Server 2008 R2 のクラスターインストール時のネットワークバインド順序の警告について

■.NET Framework 3.5 SP1 のインストール

SQL Server 2008 R2 は .NET Framework 3.5 SP1 が必要になります。

Windows Server 2008 R2 の場合、.NET Framework 3.5 SP1 は機能の追加からインストールすることができます。
SQL Server のインストールメディアの [redistDotNetFrameworks] に .NET Framework のセットアップが含まれていますが、
Windows Server 2008 R2 では、管理ツールから追加するようにメッセージが表示されます。

1. サーバー ネージャーから [機能の追加] をクリックします。
   
2. [.NET Framework 3.5.1] を有効にし、[次へ] をクリックします。
   
3. [インストール] をクリックします。
   
4. [閉じる] をクリックします。
   ?

?

■共有ディスクの準備
インストールを実行しているノードが利用可能な共有ディスクを持っていない場合、インストール時に以下のエラーとなります。

事前に、SQL Server をインストールするためのクラスタグループを作る場合は、そのグループに共有ディスクを割り当て、
インストールを実行しているノードに移動すればよいのですが、事前にグループを作成しない場合は、[使用可能記憶域] を
インストールを実行するノードに移動させる必要があります。

このクラスタグループですが GUI からは移動ができないのでコマンドで移動をさせます。

cluster group “使用可能記憶域” /move:%computername%

?

■コンピュータアカウントの準備

事前にコンピュータアカウントを作成しておく場合は適切な状態にする必要があります。
# コンピュータアカウントの新規作成になる場合は、クラスターのコンピュータアカウントで SQL Server のコンピュータアカウントが作成されます。

コンピュータアカウントを事前に作成していて、適切な設定がされていない場合は、インストールの最後で以下のエラーが発生します。

?

コンピュータアカウントの事前準備は DTC の場合と同じです。

1. コンピュータアカウントを作成します。?
2. 作成したコンピュータアカウントを [無効] にします。?
3. 作成したコンピュータアカウントに [クラスタのコンピュータアカウントのフルコントロール] を設定します。

ここまで終われば事前準備完了です。

■SQL Server 2008 R2 クラスタ環境のインストール

1. インストールメディアの [setup.exe] を実行します。
   
2. [インストール」→ [SQL Server フェールオーバー クラスターの新規インストール] をクリックします。
   
3. [OK]? をクリックします。
   
4. [次へ] をクリックします。
   
5. [ライセンス条項に同意する] を有効にし、[次へ] をクリックします。
   
6. [インストール]? をクリックします。
   
7. [次へ] をクリックします。
   
8. 必要な機能を選択して、[次へ] をクリックします。
   # 今回は、データベースエンジンで必要な機能をインストールしています。
   
9. [SQL Server のネットワーク名] を入力して、[次へ] をクリックします。
   ネットワーク名が SQL Server のクラスタのコンピュータ名になります。
   インスタンスに関しては用途に応じて設定します。今回は既定のインスタンスでインストールをしています。
   
10. [次へ] をクリックします。
    
11. SQL Server をインストールするクラスタのグループ名を入力し、[次へ] をクリックします。
    # プルダウンはコンボボックスなので入力可能です。以下の画像はデフォルトで設定されているグループ名になります。
    
12. SQL Server をインストールする共有ディスクを選択し、[次へ] をクリックします。
    
13. SQL Server のクラスタで使用する IP アドレスを設定し、[次へ] をクリックします。
    今回は DHCP を使用しています。
    
14. セキュリティで使用する ID を選択し、[次へ] をクリックします。
    今回は Windows Server 2008 R2 を使っていますので、サービス SID が使用できます。
    Windows Server 2003 の場合は、ドメイングループが必要となります。
    # ドメイングループを使用する場合は、この後で設定するサービスアカウントをグループのメンバーとして追加しておく必要があります。
    
15. サービスで使用する [ドメイン ユーザー] を設定します。
    # [SQL Server Agent] と [SQL Server Database Engine] はドメイン ユーザーで実行する必要があります。
    ?
16. 必要に応じて [照合順序] を設定し、[次へ] をクリックします。
    # デフォルトは [Japanese_CI_AS] になっています。
    日本語環境なので、[Japanese_XJIS] に変更しています。
    ?
17. インストール後の SQL Server の管理者ユーザーを設定し、[次へ] をクリックします。
    # データディレクトリと FILESTREAM はお好みで変更します。
    
    
    
18. エラーレポートの設定をし、[次へ] をクリックします
    ?
19. [次へ] をクリックします。
    ?
20. [インストール] をクリックします。
    
    
21. [閉じる] をクリックします。
    

以上で 1 ノード目のインストールは完了です。
?

現在は、まだ 2 ノード目のインストールはしていないので、実行可能な所有者はインストールを実行したノードのみになっています。

次の投稿で 2 ノード目の追加についてまとめてみます。

SQL Server 2008 R2 の日本語版 RTM がダウンロードできるようになったので、さっそくクラスタのインストールをまとめてみたいと思います。
# 私のブログに期待されているのはこの内容だと思いますので。

まずは、MSDTC のリソース作成から。
今までまとめたことなかったみたいなんですよね。

WSFC のコアクラスタリソースに関しては構築が完了しています。
コンピュータ名等に関しては以下の図のようになっています。
# 2008R2-WSFC-01 がクラスタのコンピュータ名になります。

■MSDTC 作成前の準備

MSDTC のリソース作成時に [共有ディスク] [コンピュータアカウント] [IP アドレス] が必要となります。

• 共有ディスク
  共有ディスクに関しては、クラスタで使用可能なディスクとして [使用可能記憶域] に割り当てをしておきます。
  クォーラムディスクと違って DTC で使用するディスクはドライブ文字が必要になります。
  
  
• コンピュータアカウント
  [コンピュータアカウント作成権限の委任] か [Account Operators] を付与している場合は特に準備は必要ないのですが、
  事前にコンピュータアカウントを作成しておく場合は、適切な設定をしておく必要があります。

1. コンピュータアカウントを作成します。
   
2. 作成したコンピュータアカウントを [無効] にします。
   
   
3. 作成したコンピュータアカウントに [クラスタのコンピュータアカウントのフルコントロール] を設定します。
   ?

以上でコンピュータアカウントの設定は完了です。
事前にコンピュータアカウントを作成している場合、適切な設定がされていないと DTC のサービスを作成する際に以下のエラーがとなります。
?

コンピュータアカウントを事前に作成していない場合は、[Computers] のコンテナにコンピュータアカウントが作成されます。
# 作成されるコンピュータアカウントの [ms-DS-Creator-SID] はクラスタのコンピュータアカウントになっていますので、
　 クラスタのコンピュータアカウントを利用して DTC のコンピュータアカウントを作成しています。
この場合は、[フルコントロール] ではなく必要となりそうな権限のみが付与されているようですので、厳密には [フルコントロール] である
必要はないんでしょうね。

• IP アドレス
  MSDTC には　IP アドレスのリソースが必要になりますので、割り当て可能な IP アドレスを事前に準備しておきます。
  今回は DHCP で作ってしまっているので、固定 IP は用意していません。

以上で事前準備は完了です。

続いて MSDTC のリソースを作成します。

■MSDTC の作成

フェールオーバークラスターマネージャーで MSDTC のリソースを作成します。

1. [操作] → [サービスまたはアプリケーションの構成] をクリックします。
   
2. [次へ] をクリックします。
   
3. [分散トランザクションコーディネーター (DTC)] を選択し、[次へ] をクリックします。
   
4. [名前] を設定し、[次へ] をクリックします。
   # 以下の名前は、自動で設定されていたものです。また、固定 IP を使っている場合はここで設定することになったはずです。
   [名前] に入力したものが DTC のコンピュータアカウントとなります。
   
5. DTC で使用するディスクを選択して、[次へ] をクリックします。
   
6. [次へ] をクリックします。
   
7. [完了] をクリックします。
   
   ?

以上で、MSDTC のリソース作成は完了です。
?
# [名前] の状態が [オンライン (名前解決はまだ使用できません)] となっている場合は、DTC のコンピュータリソースの DNS 登録がされていない
??? 可能性がありますので、DNS の登録状況を確認します。
? [ipconfig /registerdns] や、コンピュータ名リソースのオフライン→オンラインを実行すると解消できると思います。

作成した DTC は [クラスター化された DTC] として設定がされます。
# 以下はコンポーネント サービスの表示内容です。

作成した DTC のプロパティを開き、セキュリティの設定をしておきます。
このセキュリティの設定はいろいろな情報を見てこれかな～といったレベルの設定ですので、ベストプラクティスではありません…。
# DTC のリソースを保持していないノードだと、コンピューター展開しても反応がない可能性があります。
　その場合は、リソースを保持しているノードまたは、サービスを操作するノードに移動して設定をします。
??? 一度サービスを保持していれば、リソースが他のノードに移動しても設定はできるみたいなんですけどね。

?

これで SQL Server をインストールする際に必要な DTC のリソースを作成することができました。
次の投稿で SQL Server のインストールをしたいと思います。