SE の雑記

証明書が作成できたのでスタンドアロン アレイを構築していきたいと思います。

今回はこの環境を作りたいと思います。

?

• アレイ マネージャーにはサーバー認証証明書と、ルート証明書。
• アレイメンバーにはルート証明書

が必要となりますので先ほどエクスポートしたファイルをコピーしておきます。

また、今回はサーバーの IP を DNS に登録していませんので、HOSTS で解決できるよう以下の設定をしています。
# IP は塗りつぶしています。

[アレイ マネージャーにルート証明書をインポート]

まずはアレイマネージャーにルート証明書をインポートします。

• ファイル名を指定して実行で [mmc] を実行します。
  
  
• [スナップインの追加と削除] で [証明書] を追加します。
  
  
• [コンピュータ アカウント] を選択して、スナップインを追加します。
  
  
• [信頼されたルート証明機関] を右クリックして、[すべてのタスク] → [インポート] をクリックします。
  
  
• [次へ] をクリックします。
  
  
• コピーしたルート証明書を選択し、[次へ] をクリックします。
  
  
• 証明書をすべて次のストアに配置するが [信頼されたルート証明機関] になっていることを確認し、[次へ] をクリックします。
  
  
• [完了] をクリックします。
  
  
• [OK] をクリックします。
  

これでルート証明書のインポートは完了です。

[アレイ マネージャーにサーバー認証証明書をインポート]

サーバー認証証明書は TMG の管理コンソールからインポートします。

• [Forefront TMG の管理] を実行します。
  
  
• [システム] でサーバーを選択し、[サーバー証明書のインストール] をクリックします。
  この操作をすることでアレイ マネージャーにするサーバーにサーバー認証証明書をインストーすることができます。
  
  
• コピーしたサーバー認証証明書を選択し、証明書のパスワードを入力します。
  今回はルート証明書は手動でインポートしているため、[このアレイ マネージャーに～] のチェックは外しています。
  # 証明書チェーンを使ってルート証明書ごとインストール方法がいまいちわかっていないですよね。
  

これでアレイ マネージャーの準備は完了です。

?

[アレイ メンバーをアレイに参加]

今回は [TMG-02] をメンバーにしていますので、[TMG-02] で参加させるための操作を実行します。
HOSTS の設定と、ルート証明書のファイルとしてのコピーは実施済みです。

ルート証明書のインポートはアレイを参加させる操作の中で実施できますので、手動でインポートする必要はありません。

• [Forefront TMG の管理] を実行します。
  
• [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
  
  
• [次へ] をクリックします。
  
  
• [指定したアレイ メンバー ～] を選択して、[次へ] をクリックします。
  
  
• アレイ マネージャーのサーバー名を入力して、[ログ尾インしているユーザーの資格情報を使って接続する] を選択し、
  [次へ] をクリックします。
  今回は [Administrator] のミラーアカウント (同一ユーザー名 / パスワード) のユーザーで作業をしていますので、
  この設定で認証することができます。
  今回は DNS に登録がないので、HOSTS ファイルに設定をしていないとサーバーに接続することができません。
  
  
• ルート証明書のファイルを選択して、[次へ] をクリックします。
  
  
• [完了] をクリックします。
  
  
• [OK] をクリックします。
  

これでスタンドアロン アレイの構成の基本部分は完了です。

?

[アレイ内の資格情報の変更]

最後にアレイ内の資格情報を変更します。

• [Forefront TMG の管理] を実行します。
  
• [Forefornt TMG (<アレイ名>)] を右クリックして、[プロパティ] をクリックします。
  
  
• [アレイ内の資格情報] タブを選択し、[次のアカウントを使用して認証する] を選択して、[アカウントの] をクリックします。
  ?
  
• 今回は、[Administrator] を設定しています。
  
  
• 後は TMG で設定を適用します。
  

以上で設定は完了です。

これでワークグループ環境でスタンドアロン アレイを構築することができます。

サーバー認証証明書の発行先がアレイ マネージャーのサーバー名になっていない場合、構成がエラーとなったままになります。
?

[警告] に [上位方向へのチェーン構成の資格情報] のエラー、[Forefront TMG で構成保管サーバーに接続できません。] の警告が
出力されていてエラーとなったまま場合、アレイマネージャーにインストールしたサーバー認証証明書の発行先を確認したほうが
よいかと思います。

最終的な構成はこのような形になっています。

証明書の作成さえできればそれほど構築は難しくないみたいですね。
私は証明書が苦手なのでここまで来るのに結構時間がかかってしまいましたが…。

ISA 2006 のワークグループ環境もこのような方法で構築ができるはずです。
# ワークグループ環境は証明書を使って構築するはずだったので。

証明書を使用するとワークグループ環境で EMS を使用したエンタープライズ アレイを構築することも可能です。

エンタープライズ アレイに関しては次の投稿でまとめてみたいと思います。

ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。

ワークグループ環境でも [スタンドアロン アレイ] / [エンタープライズ アレイ] を構築することが可能です。
ただし、ドメイン環境と異なり [証明書] が必要となります。

証明書は

• サーバー認証証明書
• ルート証明書 (サーバー認証証明書に署名した証明機関の証明書)

の 2 種類が必要となります。

サーバー認証証明書はアレイ マネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。
# ルート証明書はアレイ マネージャーにもインストールする必要があります。

これらの証明書は Active Directory 証明書サービス (AD CS) で作成することができますので、検証には AD CS で
発行された証明書を使うのが楽だと思います。

その 1 として証明書の作成手順をまとめていきたいと思います。
この証明書の作成手順ですが、ワークグループ環境のエンタープライズ アレイでも同様の方法を利用することができます。

[AD CS のインストール]

• AD CS のインストールは、[サーバー マネージャー] で [Active Directory 証明書サービス] をインストールします。
  
  
• 証明書の要求をするため、[証明機関 Web 登録] の役割を追加して機能をインストールしておきます。
  
  
• 今回はワークグループ環境ですので、[スタンドアロン] のみ選択ができるようになっています。
  
  
• あとは、[ルート CA] として設定し、それ以降の設定はデフォルトのままインストールをします。
  
  

これで以下の環境が構築できた状態になっています。
# 実際のサーバー名もこちらの図の内容となっています。

インストールが終わったら、[証明機関 Web 登録] でサーバー認証証明書を発行できるように IIS を設定します。

[IIS の設定]

Web ベースで証明書を発行するため、IIS で SSL の設定を行います。
HTTP 経由で証明書発行用のサイトにアクセスすると以下のメッセージが表示され、証明書要求を発行することができません。

IIS 7.0 以降は自己署名証明書が簡単に作れるので、この機能を使って SSL が使用できるようにします。

• まずは、[IIS マネージャー] を実行します。
  
  
• サーバー名を選択し、[サーバー証明書] をダブルクリックします。
  
  
• [自己署名入り証明書の作成] をクリックします。
  # 一番上に表示されている証明書はルート証明書になりますがこちらは使うことができません。
  ?
  
• 証明書のフレンドリ名を入力して、[OK] をクリックします。
  
  
• 自己署名証明書が作成されていることが確認できますね。
  
  
• あとは、証明機関 Web 登録で使用しているサイトで SSL を有効にします。
  [Default Web Site] を選択して、[バインド] をクリックします。
  
  
• [追加] をクリックします。
  
  
• 種類で [https] を選択し、[SSL 証明書] で先ほど作成した、自己署名証明書を選択して、[OK] をクリックします。
  

以上で SSL の設定は完了です。

[https://localhost/certsrv] にアクセスして証明機関 Web 登録にアクセスします。

?

[サーバー認証証明書の作成]

• 自己署名証明書のため、URL にアクセスするとセキュリティ警告が発生しますが、[このサイトの閲覧を続行する] をクリックして
  サイトを開きます。
  
  
• [証明書を要求する] をクリックします。
  
  
• [証明書の要求の詳細設定] をクリックします。
  
  
• [この CA への要求を作成し送信する。] をクリックします。
  ?
  
• メッセージボックスが表示されたら、[はい] をクリックします。
  
  
• 後は証明書に必要な情報を入力します。
  

  最低限必要なのは [名前] と [証明書の種類] と [エクスポート可能なキーとしてマークする] の 3 つの設定です。
  各項目は以下のように設定します。

  • 名前
    アレイマネージャーとして設定するサーバー名を入力します。
    今回の場合は、[TMG-01] と設定しています。
    
  • 証明書の種類
    サーバー認証証明書を選択します。
    
  • エクスポート可能なキーとしてマークする
    チェックを有効にしてエクスポートができるようにします。
• 入力が終わったら [送信] をクリックします。
  
• 証明書を発行するため、[管理ツール] → [証明機関] をクリックします。
  
  
• [保留中の要求] を選択すると先ほど送信した証明書がありますので、[すべてのタスク] → [発行] をクリックします。
  
  
• ブラウザに戻ってトップページの [保留中の証明書の要求の状態] をクリックします。
  
  
• [サーバー認証証明書] をクリックします。
  
  
• [はい] をクリックします。
  
  
• [この証明書のインストール] をクリックします。
  

これでサーバー内にサーバー認証証明書がインストールされました。
あとは、このサーバー認証証明書とルート証明書をアレイ マネージャー / アレイ メンバーで使用できるようにエクスポートします。

[サーバー認証証明書のエクスポート]

インストールしたサーバー認証証明書は [ユーザー アカウント] の [個人] ストアに格納されています。
この証明書をエクスポートして他のサーバーで使用できるようにします。

• ファイル名を指定して実行から [mmc] を実行します。
  
  
• [スナップインの追加と削除] で [証明書] を追加します。
  
  
• ? [ユーザー アカウント] を選択して、[完了] をクリックします。
  
  
• スナップインを追加して、[OK] をクリックすると、証明書ストアが表示されます。
  先ほどインストールした証明書が [個人] → [証明書] の下にありますので、右クリックして [すべてのタスク] → [エクスポート] を
  クリックします。
  
  
• [次へ] をクリックします。
  
  
• [はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
  
  
• [次へ] をクリックします。
  
  
• パスワードを設定して、[次へ] をクリックします。
  
  
• エクスポートする場所を選択して、[次へ] をクリックします。
  
  
• [完了] をクリックします。
  
  
• [OK] をクリックします。
  

以上でサーバー認証証明書のエクスポートは完了です。

証明書作成の最後の手順としてルート証明書をエクスポートします。

?

[ルート証明書のエクスポート]

最後の手順はルート証明書のエクスポートです。

• [管理ツール] → [証明機関] をクリックします。
  
• 証明機関を右クリックして、[プロパティ] をクリックします。
  
  
• CA 証明書の [証明書の表示] をクリックします。
  
  
• [詳細] タブの [ファイルにコピー] をクリックします。
  
  
• [次へ] をクリックします。
  
  
• [次へ] をクリックします。
  
  
• エクスポートする場所を設定し、[次へ] をクリックします。
  
  
• [完了] をクリックします。
  
  
• [OK] をクリックします。
  

以上で、証明書の作成は完了です。

次はこの証明書を使ってスタンドアロン アレイを構築したいと思います。

続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。

現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。

[アレイに参加]

TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で
作業を開始しています。

1. [Forefront TMG の管理] を実行します。
   
2. [Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。
   
3. [次へ] をクリックします。
   
4. [EMS サーバーによって管理されるアレイに参加します。] を選択し、[次へ] をクリックします。
   
5. EMS のサーバー名を入力し、[次へ] をクリックします。
   今回はドメインユーザーでログオンしているので、[ログオンしているユーザーの資格情報を使って接続する] を選択しています。
   
6. まだ、アレイを作成していないので [EMS で管理れされる新しいアレイを作成します。] を選択して、[次へ] をクリックします。
   アレイにかんしては参加のウィザード内または、EMS で TMG の管理コンソールを実行して事前に作っておくことも可能です。
   
7. 作成するアレイの [アレイ名 ]と [DNS 名] を入力して、[次へ] をクリックします。
   # [アレイ名] [DNS 名] はあとで変更することが可能です。
   
8. [完了] をクリックします。
   
   完了をクリックするとアレイが作成され、作成後にアレイにサーバーが参加されます。
   
   
9. [OK] をクリックします。
   

以上で、アレイの作成と参加が完了です。
同様の作業を [TMG-02] でも実施し、アレイにサーバーを参加させます。

1 台目と 2 台目のインストールの違いというと、すでにアレイが作成されている状態ですので、既存のアレイに参加するという形で
導入ができるというところだけで後の操作は 1 台目と同じです。

?

[アレイ参加後の環境]

アレイ参加後のサーバーの状態を確認してみます。

アレイが作成され、参加した TMG サーバーが正常に稼働していることが確認できますね。
# 新規に参加させた TMG サーバーの状態が変わらない場合、一度 TMG の管理コ
ンソールを起動しなおすと状態が変わることがあります。

構成としては以下のような状態となっています。
?
アレイに参加したサーバーでは AD LDS が停止されるので、ディレクトリのマークが消えています。

エンタープライズ アレイの構成では、EMS が CSS を持つようになるので EMS 以外役割のサーバーでは参加したタイミングで
AD LDS が停止された状態となります。

[エンタープライズ アレイ構築後の設定変更]

エンタープライズ アレイ構築後にいくつか設定変更が必要となりますので、それらをまとめてみたいと思います。

1. [代替構成保管サーバー] の設定
   今回の環境では、EMS が 2 台構築された状態となっています。
   EMS の環境では構成保管サーバーの冗長化として、[代替構成保管サーバー] というものが設定できます。

   代替構成保管サーバーは [Forefront TMG (<アレイ名>)] を右クリックして、[プロパティ] を開くことで設定できます。
   # アレイの名称や、DNS 名もこのプロパティから変更できます。
   

   デフォルトの状態では、代替構成保管サーバーがブランクになっていますので、2 台目の EMS を設定します。
   
   

   TMG も ISA 同様、変更は適宜適用する必要があります。
   # 今回の手順では一つの作業を終わるごとに適用しています。
   

2. [構成保管サーバーのレプリケーション] の設定
   今回の EMS は 2 台構成になっています。
   今までの画面は、[TMG-EMS-01] で表示していたものなので、[TMG-EMS-02] でも管理ツールを開いてみたいと思います。

   [構成] と [システム] でアレイ内のサーバーがうまく認識できていないですね。
   ?
   

   この状態ですが、[システム ポリシー] の設定が影響しているようです。
   [システム ポリシー] ですが、[ファイアウォール ポリシー] を右クリックすることで表示することが可能です。
   ?

   システム ポリシーの中に、[構成保管サーバーのレプリケーション] というポリシーがあり、デフォルトでは有効になっていません。
   ?

   このポリシーを有効にします。
   ?

   [宛先] のタブを見ると、[構成保管サーバーのレプリケーション] という宛先があるので、これを [編集] で開いてみます。
   

   デフォルトでは何も設定がされていません。
   ?

   [追加] をクリックして、EMS サーバーを登録します。
   # 今回は [コンピューター] で各 EMS サーバーを登録しています。
   

   設定が終わったら適用をします。
   各サーバーに構成の反映が終わったタイミングで、[TMG-EMS-02] の管理コンソールでサーバーの状態を確認します。
   

   [構成保管サーバーのレプリケーション] を設定することで、追加した EMS サーバーの [システム] の [サーバー] の状態が
   確認できるようになります。
   ?

3. [ローカル構成保管サーバーへのアクセス] の設定
   追加した EMS サーバーで、[サーバー] の状態は確認できるようになったのですが、[構成] の情報に関しては、
   エラーが表示されています。
   ?

   この状態を回避するためには、[システム ポリシー] で [ローカル構成保管サーバーへのアクセス] を有効にします。
   デフォルトではこのポリシーは無効になっています。
   ?

   ポリシーを有効にして適用します。
   

   この設定をすることで、追加した EMS サーバーで構成を正常に確認することができるようになります。
   

以上でエンタープライズ アレイの構築は完了です。

構成としては ISA 2006 の CSS をレプリカした構成と同じなのですが、ISA 2006 とは異なり構成をレプリカするためには、
EMS が必要となりますので、単一障害点をなくすためには都合 4 台のサーバーが必要となりそうです。

TMG 2010 になって大きく変わった点だと思うのですが、情報があまりなく今回の投稿をまとめるのにも一苦労でした…。

続いてはエンタープライズ アレイの構築になります。
エンタープライズ アレイの場合、[Enterprise Management Server] (EMS) という役割のサーバーが必要となります。

この EMS ですが、TMG サーバー (TMG の F/W 機能を持つサーバー) と共存することができません。
そのため、エンタープライズ アレイを構築する場合は、別途 EMS 用のサーバーを準備する必要があります。

エンタープライズ アレイの構築としてまずは、EMS のインストールについてまとめていきたいと思います。

[環境の概要]

今回の環境ですが最初の環境は以下の図のようになっています。
TMG-01 / 02 に関してはスタンドアロン アレイと同様で最初はスタンドアロン サーバーとして構築しています。
EMS をインストールする TMG-EMS-01 / 02 に関しては、ドメインに参加させた状態となっています。
今回の投稿では、EMS をインストールする手順からまとめていきたいと思います。

[1 台目の EMS のインストール]

それでは、EMS をインストールしていきたいと思います。

1. TMG 2010 Enterprise Edition のインストールメディアを挿入し、[autorun.hta] を実行します。
2. [準備ツールの実行] をクリックします。
   
3. UAC が働いた場合は、[はい] をクリックします。
   
4. [次へ] をクリックします。
   
5. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
   
6. [Enterprise Management Server (EMS) (アレイの一元管理に使用)]? を選択し、[次へ] をクリックします。
   ?
7. [次へ] をクリックすると、EMS をインストールするのに必要な役割、機能がインストールされます。
   
8. [Forefront TMG インストール ウィザードの起動] を有効 (デフォルト) にし、[完了] をクリックします。
   
9. UAC が働いた場合は、[はい] をクリックします。
   
10. [次へ] をクリックします。
    
11. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
    
12. [次へ] をクリックします。
    ?
13. [次へ] をクリックします。
    
14. 今回は最初の EMS のインストールになりますので、[この EMS に新しいエンタープライズ構成を作成] を選択し、
    [次へ] をクリックします。
    
15. [次へ] をクリックします。
    
16. エンタープライズ名を入力して、[次へ] をクリックします。
    エンタープライズは TMG の管理単位の最上位の階層となります。
    
17. 今回はドメイン環境ですので、[単一のドメインに展開] を選択して、[次へ] をクリックします。
    ?
18. [インストール] をクリックします。
    
    
19. [完了] をクリックします。
    

これで 1 台目の EMS のインストールは完了です。
インストールが完了すると以下のような構成となります。

EMS は TMG の CSS の機能のみを持つサーバーとなり、F/W の機能は持ちません。
このサーバーは以下のサービスが動いているシンプルなサーバーとなります。

• Microsoft Forefront TMG 記憶域
• ISAGCCTRL

構成を補完するためのサービスのみを提供している形になりますね。

[2 台目の EMS のインストール]

続いて、EMS を冗長化するために 2 台目の EMS をインストールしたいと思います。

1. 以下の画面までは 1 台目のインストールと手順は同じです。
   こちらの画面が表示されたら、[この EMS に既存のエンタープライズ構成をコピー] を選択し、[次へ] をクリックします。
   
2. 1 台目の構成保管サーバーのサーバー名を入力し、[次へ] をクリックします。
   

今回は、[Domain Users] グループのユーザーで、各 TMG / EMS サーバーのローカル [Administrators] グループに
参加しているユーザーでログオンしています。

3. [ネットワーク上でレプリケートする] を選択して、[次へ] をクリックします。
   # 私の環境ですとなぜか表示がおかしいのです…。
   
4. 今回はドメイン環境なので、[単一のドメイン内に展開] を選択して、[次へ] をクリックします。
   
5. [インストール] をクリックします。
   
   
6. [完了] をクリックします。
   

以上で、EMS のインストールは完了です。
この手順までで以下の環境が構築できました。

このままでは、TMG サービスのサーバーはスタンドアロン サーバーとなっており、各 TMG サーバーが EMS に接続していない
状態となっています。

次の投稿で、スタンドアロン サーバーを EMS に接続する手順をまとめていきたいと思います。

TMG (Threat Management Gateway) 2010 で冗長構成をとるためには、TMG でアレイを構成する必要があります

TMG のアレイには以下の 2 種類があります。

1. スタンドアロン アレイ
2. エンタープライズ アレイ

ドメイン環境とワークグループ環境では構築の方法が異なるようなのですが、今回は非武装 AD に参加している TMG が 2 台ある状態で、
スタンドアロン アレイ を構築する手順をまとめてみたいと思います。
# ワークグループ環境の場合は、サーバー認証証明書とそのサーバー認証証明書のルート証明書が必要となります。

[環境の概要]

今回の環境ですが、最初は以下のような状態で構築しています。
?

TMG を AD 上に 2 台構築してあり、現在はアレイを組んでいない状態 (スタンドアロン サーバー) となっています。

TMG の Enterprise Edition では、構成保管サーバー (CSS:Configuration Storage Server) として AD LDS が使用されています。
内容を確認したい場合、[LDAP://localhost:2171/CN=FPC2] に ADSI エディターで接続をすることで確認をすることができます。
?
TMG ではマスターの情報は、AD LDS に格納され、その情報が各 TMG サーバーのローカルレジストリに反映されるようになっています。

アレイを組むことで、各 TMG サーバーで同一の CSS を使用できるようになります。

スタンドアロン アレイの場合は、CSS は単一、エンタープライズ アレイの場合は CSS のレプリカを作成し冗長化を
することができるようになります。

?

[スタンドアロン アレイの構築]

それでは実際にスタンドアロン アレイを構築したいと思います。

1. まずは、どの TMG サーバーをアレイ マネージャーとするかを決めます。
   アレイ マネージャーは AD LDS を実行するサーバーになります。
   スタンドアロン アレイの場合、アレイ マネージャーに TMG サーバーを参加させることで冗長構成をとることになります。
2. アレイ マネージャーとするサーバーを決めたら、参加させるサーバーで [Forefront TMG の管理] を実行します。
   
3. [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
   
4. [次へ] をクリックします。
   
5. [指定したアレイ メンバー (アレイ マネージャー) によって管理されるスタンドアロン アレイに参加します。] を選択し、[次へ] をクリックします。
   ?
6. アレイ マネージャーとする TMG サーバーのサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、
   [次へ] をクリックします。
   
   今回は、[Domain Users] グループのユーザーで、各 TMG サーバーのローカル [Administrators] グループに参加しているユーザーで
   ログオンしています。
7. [完了] をクリックします。
   

   [完了] をクリックすると、アレイの参加が開始されます。
   

8. [OK] をクリックします。
   

以上で、スタンドアロン アレイの設定は完了です。

構成とシステムを確認した画面が以下になるのですが、サーバーが 2 台構成となっているのが確認できます。

[Forefront TMG (<サーバー名>)] を右クリックして、プロパティを開いた画面が以下になります。
[種類] が [スタンドアロン アレイ] になっているのが確認できますね。
エンタープライズ アレイの場合は、使用する CSS のサーバーが指定できるのですが、スタンドアロン アレイの場合、CSS は単一の
サーバーとなるため、CSS のサーバーを指定することはできません。

こちらは、アレイに参加していない別のサーバーで取得したものになります。
アレイに参加する前のサーバーは、[スタンドアロン サーバー] となっていますね。
?

[スタンドアロン アレイ構築後のサーバーの環境]

スタンドアロン アレイを構築するとサーバーの環境は以下のように変更されます。
パッと見わかりずらいのですが、[TMG-02] からディレクトリサービスの画像が消えています。
?

スタンドアロン アレイ構築時の環境変化のポイントだと思うのですが、アレイに参加しているサーバーは、アレイ マネージャー以外の
サーバーで AD LDS が [無効] な状態になります。

これは、スタンドアロン アレイでは、アレイ マネージャーが唯一の CSS になるからだと思います。

はじめ、この辺の動きが理解できておらず、すったもんだしましたがようやく構成が理解できてきました。
この構成では、TMG サーバーは冗長化されているのですが、CSS が冗長化できていない状態となっています。

CSS を冗長化するためにはエンタープライズ アレイの構成を構築する必要があります。

次の投稿でエンタープライズ アレイの構成で構築をしてみたいと思います。

Twitter で SQL Server 2008 R2 CU1 の情報が流れましたのでさっそくスリップストリームインストールができるか検証です。

[Setup.exe] のヘルプには以下のオプションが明記されているので、使えることはコマンドからでも確認できるのですが。

CUSOURCE???????????????????? セットアップ メディアの更新に使用される、抽出された累積した更新ファイルのディレクトリ。 PCUSOURCE??????????????????? セットアップ メディアの更新に使用される、抽出されたサービス パック ファイルのディレクトリ。

?

SQL Server 2008 R2 CU1 ですが、SQL Server 2008 SP1 CU5,6,7 相当の修正が適用されるみたいですね。

?

[CU1 のダウンロード]

CU1 は以下のサイトからダウンロードすることが可能です。
Cumulative Update package 1 for SQL Server 2008 R2

SQL Server 2008 R2 Non SP の累積修正プログラムの情報は以下のサイトに掲載されるようですので、こちらも定期的に
チェックをするとよさそうです。
The SQL Server 2008 R2 builds that were released after SQL Server 2008 R2 was released

[CU1 の展開]

スリップストリームインストールをする前に、まずはダウンロードした CU1 を展開する必要があります。

以下の形式でダウンロードした EXE を実行することで展開することができます。

SQLServer2008R2-KB981355-x64.exe /extract:<展開先> 例) SQLServer2008R2-KB981355-x64.exe /extract:C:CU1

# [/x:] でも展開可能です。

?

[CU1 をスリップストリームインストール]

CU をスリップストリームセットアップする場合は、[CUSOURCE] というオプションを使ってインストールメディアの [Setup.exe] を実行します。

Setup.exe /CUSource=<展開先> 例) Setup.exe /CUSource=C:CU1

?

あとはウィザードに従ってインストールをしていきます。
インストールの準備完了で、アクションが [Install (Sripstream)] となっているのが確認できます。

?

今回インストールしたインスタンスは [SQL2008R2ENT] という名称なのですが、バージョンが [10.50.1702.0] となっていますね。

スリップストリームインストールが使えると楽でいいですね♪

TMG 2010 ではネットワーク検査システム (Network Inspection System) という機能が追加されています。
バーチャルパッチといわれるような機能に相当し、TMG で既知の脆弱性の検査をし脆弱性を狙った攻撃をブロックする機能になります。

検査される内容に関しては、以下のように管理されており基本的には MS のセキュリティ情報と対応付けられており、
それぞれのセキュリティの問題に対して、署名という形でブロックする情報が管理されています。

この情報は Microsoft Update 経由で更新ができるようになっており、定期的に更新ができるようになっています。

検査の内容に関しては署名セットという形でパックされた形で管理されており、内部ではバージョン管理がされています。
何かの理由で以前配信された署名セットを使いたいといった場合には、アクティブにする署名セットを手動で選択することも可能です。

?

この検査機能ですが、昨日から構成について調べてみたのですが、以下の図のようなインライン型の IDS (Intrusion Detection System) となるようで、
検査をするためには、TMG を介してアクセスされるようにネットワークを構成する必要があるようなんですよね。
# IDS 大きく分類すると、はインライン型とネットワーク型に分かれるようです。私はネットワーク苦手で恥ずかしながらインライン型しか知りませんでした…。
　【特集】 続 不正侵入対策最前線

この機能を使うことで、セキュリティパッチが提供されていない、レガシー OS (Windows NT / 95 / 98 / 2000 (2000 はもうじきですね) 等) に関しても、
TMG 経由のアクセスに関しては脆弱性を狙っての攻撃をブロックすることができるようになります。

簡単な図にするとこのような形式でしょうか。
TMG で検査がされれば脆弱性を狙った攻撃はブロックされますので、TMG の後ろに配置しているサーバーの OS には依存しない形になります。
?

ただし、このような形でアクセスができるネットワーク環境になると TMG では検査ができないので NIS が機能しません。
# ネットワーク機器側でポートミラーで飛ばせば良いのかな？？
ネットワークの構成は考える必要がありそうですね。
私はネットワーク関連が苦手なので、もしかしたら間違っているのかも…。
このようなアクセスが可能な場合でも検査できる！！ということでしたらコメントを頂けるととても助かります。

?

この NIS の機能なのですが、TMG ではテスト用に 2 種類の署名が用意されており、正常に構成されているかの動作検証をすることができるようになっています。
今回は、このテスト用の署名を使った NIS のテストについてまとめていきたいと思います。

[テスト用の署名]

NIS のテスト用の署名として、HTTP と SMB のテスト署名が用意されています。
これらの署名を使ったテストなのですが、TMG のヘルプにも記載があるのですがヘルプの内容が間違っているようで、テスト用の署名の名称だったり、
テストで使用するための URL / ファイル名を見つけることができなかったりします…。
# [NIS の機能をテストする] というヘルプがあるのですが、内容がいまいち…。

TMG の書籍として、
Microsoft Forefront Threat Management Gateway (TMG) Administrator’s Companion (Pro -Administrator’s Campanion)
という書籍があるのですが、この中に HTTP を使用した NIS のテスト方法について記載がされています。

本を買うのはちょっと・・・。という方にはホワイトペーパーも用意されています。
# というより、NIS に関してはホワイトペーパーの方が詳しいです。
ホワイトペーパーでは、HTTP だけでなく、SMB のテスト方法についても記載されています。

[Word]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

[PDF]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

テストをする際には、ホワイトペーパーを一読した方が良いと思います。
# 私は英語の能力がべらぼーに低いので眺めながら (とてもとても読めません…) やったのですが何とかテストで
きました。

テスト用の署名は以下の 2 種類になります。

[HTTP 用]

[SMB 用]

# 私の環境、なぜか SMB のテスト用の署名が同一名称で 2 つありました…。

これらの署名で検知されるようなアクセスをすることで NIS のテストをすることが可能です。

[HTTP のテスト]

HTTP 用のテストに関しては方法は簡単で、TMG を経由するような環境を作ってからブラウザで特定の URL にアクセスすることで確認ができます。

テスト用の URL は以下のものになります。
# ホワイトペーパーに記載されています。

http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%6^[{NIS-Test-URL}]1!2@34$5%6^

NIS の署名を無効にしている状態で、上記の URL にアクセスすると、US の microsfot.com にアクセスされます。

それでは HTTP 用の NIS の署名を有効にしてテスト用の URL にアクセスをしてみます。

[500 Internal Server Error. トラフィックが IPS によってブロックされましたという。] というエラーが発生し、
ネットワークのアクセスがブロックされます。

TMG のログにも以下のように NIS でブロックされたというログが出力されます。

上のアクセスですが、このような形になっています。
デフォルトゲートウェイとして、TMG を構成しています。
# NIC 2 枚で、[エッジ ファイアウォール] として構成しています。
この場合、エラーコードとしては [500] となるようです。

?

以下の図のような形で、クライアントのデフォルト G/W としては、ルーターを設定して、プロキシとして TMG を設定してアクセスをしてみます。

?

エラーメッセージは同じなのですが、[502 Proxy Error] という形で NIS による検査がされます。
?

プロキシとして設定した場合に NIS で検査された場合は以下のようなログが TMG に記録されます。

ゲートウェイでなく、プロキシにしても HTTP に関しては検査ができますね。
単一ネットワークの場合、ゲートウェイとして TMG を構成するのはできないと思いますので、その場合はプロキシとして構成する必要があります。

?

[SMB のテスト]

もう一つのテスト用の署名として SMB の署名が用意されています。

SMB のテスト署名を使ったテストに関してもホワイトペーパーに記載がされています。
これに関しては、TMG を経由するようにして特定のファイル名のファイルをコピーすることでテストをすることができます。

今回は以下の構成に市提案す。

テストに使用するファイル名は以下の名称になります。

C0AABD79-351B-4c98-8AE7-69F4279FEF54.txt

SMB 用のテスト用署名を無効にしている状態ではこのファイル名のファイルをゲートウェイとして構成している TMG を介してコピーすることができます。

SMB のテスト用署名が有効になっている状態では、ファイルをコピーすると以下のエラーが発生します。

TMG のログには、CIFS が NIS によりブロックされていることが出力されています。

テストに関してはこれらのテスト署名を使用することで実施することができます。
パフォーマンス測定などもこれらのテスト署名でできそうですね。

Windows Embedded Standard 7 の RTM が発表されましたが、MSDN サブスクリプションでも Windows Embedded Standard 7 の提供が開始されました。

提供が開始されたのは、

• Windows Embedded Standard 7 Runtime (x64) – DVD (English)?
• Windows Embedded Standard 7 Runtime (x86) – DVD (English)
• Windows Embedded Standard 7 Toolkit (x86) – DVD (English)

の 3 種類で、[Runtime] がブータブル可能なインストールメディアで、[Toolkit] が [Image Configuration Editor] のインストールメディアになります。

[Image Configuration Editor] の RC 版を使っていた場合、アップグレードはできないため、一度アンインストールをしてからインストールする必要があります。

[Image Configuration Editor] の初回実行時には、プロダクトキーの入力が求められるようになっています。
# プロダクトキーは MSDN サブスクリプションで、Toolkit 用のキーが提供されています。

Runtime の方に関しては、RC のブータブルメディアからのインストールから内容は変わっていませんでした。
# 表示が、Windows Embedded Standard 2011 から Windows Embedded Standard 7 に変わったぐらいでした。

Runtime に関してもプロダクトキーが提供されているのですが、どうもこのプロダクトキーを使って RTM としてインストールするのが、
うまくできないんですよね。

インストール時にプロダクト入力の妥当性チェックが行われており、MSDN で提供されている RTM のプロダクトキーであれば、
妥当性チェックはパスできるのですが、評価版としてインストールがされてしまいます。
# これが正しいのかは調査中です。
プロダクトキーを入力しないでインストールしても評価版になるので、プロダクトキーの使い道がいまいちわかっていないです。

Windows Embedded Standard 7 を [ThinClient] でインストールした場合、[slui.exe] が使えないので、
プロダクトキーの変更やライセンス認証も通常の方法ではできないみたいなんですよね。

RTM としてのインストール方法は引き続き調べていきたいと思います。

2010/5/22 追記
WES 7 missing slui.exe

Books Online や Web で SQL Server 2008 R2 の新機能の情報を収集していて、SQL Server 2008 R2 でメジャーな新機能以外に
いくつかデータベース管理者向けの新機能があったので検証してみました。

以下のブログで新機能がまとめられており、こちらの情報がとても参考になります。
INF: New SQL Server features in SQL Server 2008 R2 ? Part 1
INF: New SQL Server features in SQL Server 2008 R2 ?Part 2

1. SQL Server 2008 R2 Express Edition のデータベース上限の変更

SQL Server 2008 Express Edition までは、データベースの上限は [4GB] となっていました。
?

SQL Server 2008 R2 Express Edition では、データベースの上限が [10GB] に変更となりました。
?

Books Online には以下のように記載されています。

SQL Server Express でサポートされるデータベースの最大サイズが 4 GB から 10 GB に引き上げられました。

# ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.ja/s10de_0evalplan/html/8f625d5a-763c-4440-97b8-4b823a6e2439.htm

2. Standard Edition でバックアップ圧縮をサポート
   
   SQL Server 2008 でバックアップ圧縮の機能が追加されました。
   ただし、使える Edition は [Enterprise Edition のみ] となっていました。

   SQL Server 2008 Standard Edition でバックアップ圧縮を使ったデータベースアックアップを取得しようとすると以下のエラーとなります。

   print @@version BACKUP DATABASE [master] TO? DISK = N’C:Program FilesMicrosoft SQL ServerMSSQL10.SQL2008STDMSSQLBackupmaster.bak’ WITH NOFORMAT, NOINIT, NAME = N’master-完全 データベース バックアップ’, SKIP, NOREWIND, NOUNLOAD, COMPRESSION,? STATS = 10 GO Microsoft SQL Server 2008 (SP1) – 10.0.2746.0 (X64) ??? Nov? 9 2009 16:37:47 ??? Copyright (c) 1988-2008 Microsoft Corporation ??? Standard Edition (64-bit) on Windows NT 6.1 <X64> (Build 7600: ) (VM) メッセージ 1844、レベル 16、状態 1、行 1 BACKUP DATABASE WITH COMPRESSION は Standard Edition (64-bit) ではサポートされません。 メッセージ 3013、レベル 16、状態 1、行 1 BACKUP DATABASE が異常終了しています。

   ?

   それでは SQL Server 2008 R2 Standard Edition で同様の処理を実行してみます。

   print @@version BACKUP DATABASE [master] TO? DISK = N’C:Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2STDMSSQLBackupmaster.bak’ WITH NOFORMAT, NOINIT,? NAME = N’master-完全 データベース バックアップ’, SKIP, NOREWIND, NOUNLOAD, COMPRESSION,? STATS = 10 GO Microsoft SQL Server 2008 R2 (RTM) – 10.50.1600.1 (X64) ??? Apr? 2 2010 15:48:46 ??? Copyright (c) Microsoft Corporation ??? Standard Edition (64-bit) on Windows NT 6.1 <X64> (Build 7600: ) (Hypervisor) 10 パーセント処理されました。 21 パーセント処理されました。 31 パーセント処理されました。 40 パーセント処理されました。 50 パーセント処理されました。 61 パーセント処理されました。 71 パーセント処理されました。 80 パーセント処理されました。 90 パーセント処理されました。 データベース ‘master’ の 376 ページ、ファイル 2 のファイル ‘master’ を処理しました。 100 パーセント処理されました。 データベース ‘master’ の 4 ページ、ファイル 2 のファイル ‘mastlog’ を処理しました。 BACKUP DATABASE により 380 ページが 0.390 秒間で正常に処理されました (7.612 MB/秒)。

   Standard Edition でもバックアップ圧縮のオプションを設定しても正常にバックアップができています。
   バックアップは常に使用する機能ですので、Standard Edition でバックアップ圧縮が使えるようになったのはうれしいですね。
   Standard Edition でリソースガバナーを使うことができませんので、バックアップ中の CPU の利用状況の制限に関してはできません。

   こちらも Books Online に記載されています。

   バックアップ圧縮は SQL Server 2008 Enterprise で導入されました。 SQL Server 2008 R2 以降、バックアップ圧縮は SQL Server 2008 R2 Standard 以上のエディションでサポートされています。 圧縮されたバックアップは、SQL Server 2008 以降の各エディションで復元できます

   # ms-help://MS.SQLCC.v10/MS.SQLSVR.v10.ja/s10de_4deptrbl/html/05bc9c4f-3947-4dd4-b823-db77519bd4d2.htm
   ?

3. 共有フォルダにデータベースを配置

   SQL Server 2008 R2 では [共有フォルダにデータベースを配置] することが可能となりました。

   SQL Server 2008 で共有フォルダにデータベースを作ろうとすると以下のようなエラーとなります。

   CREATE DATABASE [TEST] ON? PRIMARY ( NAME = N’TEST’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST.mdf’ , SIZE = 3072KB , FILEGROWTH = 1024KB ) LOG ON ( NAME = N’TEST_log’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST_log.ldf’ , SIZE = 1024KB , FILEGROWTH = 10%) GO メッセージ 5110、レベル 16、状態 2、行 1 ファイル "127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10.SQL2008EXPRESSMSSQLDATATEST.mdf" が存在するネットワーク パスは、データベース ファイルでサポートされません。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   SQL Server 2008 R2 で実行すると正常に作成することが可能です。
   # Express Edition でも配置することが可能でした。

   CREATE DATABASE [TEST] ON? PRIMARY ( NAME = N’TEST’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf’ , SIZE = 3072KB , FILEGROWTH = 1024KB ) LOG ON ( NAME = N’TEST_log’, FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST_log.ldf’ , SIZE = 1024KB , FILEGROWTH = 10%) GO コマンドは正常に完了しました。

   共有フォルダへのアクセスですが、[SQL Server のサービスアカウント] で実行されます。
   共有フォルダへアクセスできない場合は、以下のエラーになります。

   メッセージ 5133、レベル 16、状態 1、行 1 オペレーティング システム エラー 5(アクセスが拒否されました。) により、ファイル "127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf" のディレクトリ参照に失敗しました。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   データベースの新規作成だけでなく、アタッチもすることができます。

   CREATE DATABASE TEST ON (FILENAME = N’127.0.0.1c$Program FilesMicrosoft SQL ServerMSSQL10_50.SQL2008R2EXPRESSMSSQLDATATEST.mdf’) FOR ATTACH

   クラスタの場合はこのようなエラーになります。
   クラスタの場合、共有フォルダではなく物理ディスクを使う必要があるようですね。
   # クラスタの共有ディスクに共有フォルダを設定しています。
   　クラスタリソースの仮想コンピュータに関しては、[IPアドレス] のアクセスができないので [コンピュータ名] でアクセスしています。

   メッセージ 5184、レベル 16、状態 2、行 1 クラスター サーバーにファイル ‘2008r2-wsfc-sqlgMSSQL10_50.MSSQLSERVERMSSQLDATATEST.mdf’ を使用できません。 サーバーのクラスター リソースが依存関係を持つ、フォーマットされたファイルだけを使用できます。 このファイルを含んでいるディスク リソースがクラスター グループに存在しないか、SQL Server のクラスター リソースが このファイルに依存していません。 メッセージ 1802、レベル 16、状態 1、行 1 CREATE DATABASE が失敗しました。一覧されたファイル名の一部を作成できませんでした。関連するエラーを確認してください。

   これについては最初に紹介しているブログの中に書かれているのですが、Books Online ではちょっと記載が見つけられませんでした。

?

ユーティリティ コントロール ポイント / データ層アプリケーション / PowerPivot のようなメジャーな新機能ではありませんが、
個人的には、どれも気になる機能でした。
まだ、たくさん新機能はありますので検証ができたタイミングで投稿したいと思います。

Windows Server 2003 では、[Microsoft ネットワーク用ファイルとプリンタ共有] のプロパティに、[サーバーの最適化] というタブがあり、
その中で、以下のような設定をすることが可能でした。

IIS や SQL Server のパフォーマンスチューニングで設定をすることがよくある項目ですね。
ネットワーク アプリケーションのデータ スループットを最大にする
データ スループットの最大化
[HOWTO] Windows Server 2003 で Web サーバーのパフォーマンスを最適化する
[HOW TO] Windows 2000 で Web サーバーのパフォーマンスを最適化する方法

Windows Server 2008 以降でもネットワークのプロパティに、[Microsoft ネットワーク用ファイルとプリンタ共有] はあるのですが、
[プロパティ] をクリックすることができなくなっています。

設定自体がなくなったのかといえば、そういうわけではなく GUI からではなくレジストリを変更して設定する必要があるようです。
# 2003 で GUI で変更した場合も、レジストリが変更されています。

レジストリ値に関しては、以下の技術情報に記載されています。
LargeSystemCache
Setting: maximize data throughput for network applications

• HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManagementLargeSystemCache
• HKLMSYSTEMCurrentControlSetServicesLanmanServerParametersSize

このレジストリの設定値の組み合わせで、[サーバーの最適化] の値が設定されているようです。

Windows Server 2003 / 2008 / R2 のデフォルトの組み合わせは [Maximize data throughput for file sharing] となっているので、
[ファイル共有のデータスループットを最大にする] になっています。

Windows Server 2008 以降ではレジストリを直接変更する必要があるので、ちょっと面倒ですね。