Archive for the ‘ISA’ Category

言語パックは、現在のサーバーにインストールされており、Exchange バイナリでアップグレードする必要があります。
アップグレード操作で言語バンドルを指定してください。
ヘルプを参照するにはここをクリックしてください…
http://technet.microsoft.com/ja-JP/library/ms.exch.err.default(EXCHG.141).aspx?v=14.1.218.11&e=ms.exch.err.Ex28883C&l=0&cl=cp

アップグレードの場合、[DVD に含まれる～] は使えないようですので以下のURL から言語パックバンドルをダウンロードして、[言語バンドルからすべての言語をアップグレードする] を使用して、言語オプションを指定するようにします。
Microsoft Exchange Server 2010 SP1 言語パックバンドル

言語オプションの選択が終了したら、[Microsoft Exchange Server アップグレードのインストール] をクリックします。
[次へ] をクリックします。
[使用許諾契約書に同意します。] を選択して、[次へ] をクリックします。

前提条件のチェックが実行されます。
エッジトランスポートと TMG が共存している場合、以下のエラーが発生します。

‘IsaManagedCtrl’ () プロセス (ID: 3256) で開かれているファイルがあるため、アップグレードを続行できません。
プロセスを閉じてセットアップを再起動してください。
ヘルプを参照するにはここをクリックしてください…
http://technet.microsoft.com/ja-JP/library/ms.exch.err.default(EXCHG.141).aspx?v=14.1.218.11&e=ms.exch.err.Ex28883C&l=0&cl=cp

[IsaManagedCtrl] ですが、[Microsoft Forefront TMG Managed Control] サービスになります。
インストール時にはこのサービスを停止した状態にしておきます。

サービスが停止した状態であれば、前提条件のチェックはすべて完了します。

[アップグレード] をクリックしてアップグレードを実行します。
アップグレードが完了したら、[終了] をクリックします。
再起動後に、[Microsoft Forefront TMG Managed Control] サービスを開始しようとしたところ以下のエラーが発生してしまい、サービスを起動することができませんでした…。

サーバーを再起動しても状況は変わらず、TMG 2010 の管理コンソールを確認すると、[電子メールポリシー] でエラーが発生してしまっています。

TMG 2010 SP1 ですが、Exchange 2010 SP1 には対応していないバージョンとなっています。
Exchange 2010 SP1 に対応させるためには TMG 2010 SP1 RU1 を適用する必要があります。

Forefront TMG 2010 Service Pack 1 用のソフトウェア更新プログラム 1

■TMG 2010 SP1 RU1 の適用

TMG 2010 SP1 RU1 をダウンロードして適用し、Exchange 2010 SP1 に対応させてみたいと思います。

TMG 2010 SP1 RU1 を実行してインストーラーを起動します。
[次へ] をクリックします。
[使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
[次へ] をクリックします。
# 今回は TMG の管理者としてログオンしているので、ログオンユーザーで接続が可能です。
[インストール] をクリックして、SP1 RU1 を適用します。
[完了] をクリックします。
[はい] をクリックしてサーバーを再起動します。

以上で SP1 RU1 の適用は完了です。

[Microsoft Forefront TMG Managed Control] サービスも起動して、[電子メールポリシー] のエラーも出力されなくなっています。
# [Microsoft Forefront TMG Managed Control] サービスは手動起動しないとちょっと調子悪かったりしましたが…。

Exchange 2010 の現時点の最新版は Exchange 2010 SP1 RU1 ですが、このバージョンでも [電子メールポリシー] は起動しました。
Exchange Server 2010 Service Pack 1 用の更新プログラムのロールアップ 1 (KB2407028)

Edge on TMG を Exchange 2010 SP1 で構築する場合、TMG を SP1 RU1 にしないと正常に機能が起動しないので注意する必要がありそうです。

Written by Masayuki.Ozawa

10月 12th, 2010 at 10:25 pm

Posted in Exchange,ISA

Tagged with Exchange 2010, TMG 2010

Exchange 2010 と TMG 2010 の共存環境の構築

leave a comment

Exchange Server 2010 のエッジトランスポートサーバーと Threat Management Gateway (TMG) 2010 は共存することが可能になっています。

TMG 2010 では [電子メールポリシー] という設定があります。

上記のダイアログにも表示されているようにこの機能を使用するためには Forefront Protection 2010 for Exchange (FPE) と Exchange のエッジトランスポートサーバーをインストールしている必要があります。

この構成は以下の 3 種類のソフトで構成されます。

Exchange Server 2010 エッジトランスポート
Forefront Protection 2010 for Exchange Server
Forefront Threat Management Gateway 2010

自宅の検証環境にも TMG とエッジトランスポートは構築されているのですが、常時起動しているサーバーで起動するにはリソースが足りていないので、複数の物理サーバーで実行しています。

検証環境のサーバー増強で一台でTMG とエッジを実行できる環境を構築できそうなので、この環境の構築方法をまとめてみたいと思います。
# メモリが 2GB はないと検証環境として動かすのも少し厳しいかと。 AD LDS が 2 インスタンス、SQL Server Express、TMG、Exchange 2010 が動作しますので。

FPE に関してはオプションではなく必須コンポーネントとなっています。
エッジトランスポート + TMG の構成で電子メールアドレスポリシーを設定しようとしても以下のエラーとなり、電子メールポリシーが動作しません。

■Exchange 2010 エッジトランスポートのインストール

まずは、エッジトランスポートをインストールします。
Exchange 2010 の現時点の最新版は、[Exchange Server 2010 SP1] となっています。

最近、[TMG 2010 SP1 Software Update 1] の提供が開始されました。
Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1

こちらの Overview に以下の記載があります。

Support for Exchange 2010 SP1

あまり意識していなかったのですが、 Update 1 から Exchange 2010 SP1 をサポートとなっています。
Update 1 に関しては、現時点では日本語版の提供がされていません。

そのためエッジトランスポートに関しては Exchange 2010 RU4 で構築をしています。

エッジトランスポートのインストールに関しては通常のインストールと変わりませんのでインストール手順の概要のみ記載しておきます。

システムのプロパティを開き、[このコンピューターのプライマリ DNS サフィックス] を設定します。
コマンドプロンプトで以下のコマンドを実行して必要となる機能をインストールして、再起動します。

ServerManagerCmd ?ip D:ScriptsExchange-Edge.xml
Exchange 2010 のセットアップを起動してエッジトランスポートの役割をインストールします。
Exchange 2010 RU4 をインストールします。
Exchange Server 2010 用の更新プログラムのロールアップ 4 (KB982639)

■Forefront Protection 2010 for Exchange のインストール

次に FPE をインストールします。
Exchange 2010 のインストーラーを起動すると FPE 2010 のインストールというメニューがあります。

これをクリックすると、Download Center の FPE のダウンロードサイトが開きます。

TMG のインストーラーにも FPE のインストールメニューがあります。

こちらをクリックすると、FPE のインストールが開始されます。

TMG のインストーラーには FPE のインストールモジュールが含まれていますので、FPE をインストールする場合にはこちらを使った方が楽かと。

FPE のインストールも通常のインストールと同じですので概要を。

FPE のインストールを実行します。

■Threat Management Gateway 2010 のインストール

最後に TMG をインストールします。

こちらもインストールの概要を。

[準備ツールの実行] をクリックして、TMG に必要な役割/機能をインストールします。

今回はアレイ構成ではないので、[Forefront TMG のサービスと管理] を選択しています。
TMG のインストールを開始します。
TMG 2010 SP1 をインストールします。
Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1

以上で、Exchange 2010 のエッジトランスポートと TMG の共存環境の構築は完了です。

インストールですが、

Forefront Threat Management Gateway 2010
Exchange Server 2010 エッジトランスポート
Forefront Protection 2010 for Exchange Server

の順番でも構築することは可能です。

FPE は、Exchange を保護するものになりますので、エッジトランスポート導入後にインストールする必要がありますが。

通常であればエッジトランスポートの受信/送信コネクタは [Exchange Management Console] から作成することになりますが共存環境で電子メールポリシーを有効にすると、TMG の管理コンソールで設定をすることになるようです。

電子メールのゲートウェイとして使用できるようにするための設定は別の投稿でまとめたいと思います。

Written by Masayuki.Ozawa

10月 3rd, 2010 at 1:24 pm

Posted in ISA

Tagged with Exchange 2010, TMG 2010

TMG 2010 のログキューについて

one comment

TMG 2010 のログキューについて少しまとめてみたいと思います。

TMG 2010 になりログキューという設定が追加されました。

Forefront TMG ログを構成する
ログキューの構成
TMG Large Logging Queue: No More SQL Lockdowns?

■ログキューとは

TMG はログの出力処理による負荷が高くなる、出力先が応答なしの状態になった場合にログの内容をバイナリ形式で
キューとして出力します。

この際、ログキューを [Large Logging Queue (LLQ)] として特定のディレクトリに出力を行います。

TMG では、ログは SQL Server に蓄積していくことができるのですが、ログの蓄積先の SQL Server が停止している状態や、ファイルとして出力している場合は、ログファイルの出力先の容量が枯渇してしまった場合などにログキューが使用されます。

ログの出力先が正常に使用できるようになると、ログキューの内容を最終的なログに出力する処理が再開されます。

ファイアウォール製品ですので、証跡管理のためログは重要な要素となります。
そのため、ログが出力できない場合でもその間のログをロストしないようにするためキューに出力がされているのだと思います。

■ログキューの出力先の設定

ログキューの出力先ですが、TMG の管理コンソールの、[ログ & レポート] の [ログキューの構成] で変更することが可能です。

デフォルトでは、[%ProgramFiles%Microsoft Forefront Threat Management GatewayLogs] に出力される設定となっています。

■ログキューの基本的な動作

日本語のドキュメントは見当たらなかったのですが、TechNet に以下の情報が記載されています。
Overview of the Logging Improvements in Forefront Threat Management Gateway (TMG)

この中に、[Logging Queue] としてログキューの基本的な動作概要図が記載されています。

ログキューを [Binary LLQ Data] として出力をして、[ISA Control] が [Log Database] に格納するという流れになっています。

大まかに書くとログキューが使用されると以下のような経路で DB に格納がされます。

Binary LLQ Data
これは、ログキューのディレクトリに出力される、拡張子が [LLQ] のファイルになります。

ログキューが使用されると、このファイルがログキュー用のディレクトリに出力されるようになります。
私の環境だと、1 分間で 3 ファイルほど出力がされていました。
そのため、ログキューの使用が開始されると、ログが使用できるようになるまでかなりのファイルが生成されるようになります。
ISA Control
ISA Control と書かれていますが、TMG の [Microsoft Forefront TMG コントロール] サービスのことになります。
# サービス名は TMG になっても isactrl だったりするのですが。

ログキューをログ DB に格納する処理はこのサービスが実施しています。
TMG のコアなサービスになるので、依存関係がかなり多いです。

Log Database
これは SQL Server のデータベースになります。
TMG をインストールすると [MSFW] というインスタンスが作成されます。
このインスタンスにログ用の DB が作成され、その DB にログが格納されていきます。

ファイアウォールポリシーと、Web アクセスポリシーのログは独立した DB に日付単位で格納されます。

■ログキューの動作を確認してみる

ログキューの動作を確認してみるのは簡単にできます。
ログで使用している SQL Server のインスタンスのサービスを停止することで、ログに出力が行えなくなりますのでログキューが使用されるようになります。

サービスから停止してもよいのですが、TMG の管理コンソールからも停止することができます。

TMG のサービスで、サービスが [SQL Server Express] となっているものが、ログに使用しているインスタンスになりますので、このサービスを停止します。
# MSFW のインスタンスが停止されます。

そうすると、ログが SQL Server に格納できなくなりますので、ログがログキューに出力されるようになります。

ログキューを使用しているかどうかは、[ログ & レポート] の [ログの状態を表示] から確認することができます。

キューが使われていると以下の状態になります。
# ログの状態が [キューを使用中] になっているとログキューが使用されています。

SQL Server を起動するとキューがデータベースに書き込まれるようになりますので、ログの状態が以下のようになります。
# 正常な状態ですと、[準備完了] となっています。

■ログキューがロックしてしまう

原因はわかっていないのですが、ログキューのファイルが稀にロックしてしまいキューから DB に書き込みが行われなくなることがあります。
TMG コントロールサービスがキューファイルを開いたままになってしまい、処理が継続されない状態になるようです。
# キューとして残っているファイルの更新日時が一番古いファイルがロックされてしまっているファイルになるはずです。

Process Explorer からも [mspadmin.exe] (Microsoft Forefront TMG コントロールサービス) がファイルを使用していることを確認できます。

この状態になった場合、一度 TMG コントロールのサービスを停止してロックしてしまっているファイルを削除し、サービスを開始することでDB への書き込みが再開されます。
# ロックしてしまったファイルが存在していると DB への書き込みが再開されないのですよね…。

FCS のようなウイルススキャンソフトでファイルをロックしてしまっているのかと思っていたのですが、TMG 用に推奨されているスキャンの除外設定をしても現象が発生してしまったのですよね。
プロセスとしても mspadmin.exe がファイルを開いているので、内部的に処理が進んでいないように見受けられるのですが。

TMG コントロールサービスを停止すると TMG のサービスが停止してしまうので、この方法で解消するのは現実問題としては結構難しいですよね。

ログ用のインスタンスを停止して、ログキューのディレクトリを変更することで稀にロックが解除されることもあるのですが、確実な方法ではないのですよね。

これについてはもう少し情報を集めていきたいと思います。
# ファイルがロックしていない状態でもキューが蓄積されていることがあるので、単純にスペックが足りていないだけかもしれませんが。

ログキューをロックしてテストをしたい場合は、以下のコマンドを PowerShell で実行することで、ファイルをロックすることができます。
# 改行されている箇所は 1 行で実行します。

 
$file = Get-Item &quot;C:Program FilesMicrosoft Forefront Threat Management GatewayLogs*.llq&quot; | Sort-Object LastWriteTime -Descending | Select-Object -First 1 
$fs = New-Object System.IO.FileStream($file, [System.IO.FileMode]::Open, [System.IO.FileAccess]::Read, [System.IO.FileShare]::None)

# ファイルのロックを解除するタイミングで実行 
$fs.Close()

ログキューが蓄積されすぎると、サーバーの再起動時に TMG のサービスが起動しないことがありますので少し気を付ける必要があると思います。
# ロックダウンモードが働いているのかもしれませんが。

TMG は日本語の情報をあまり見かけないので、情報集めるのも結構大変ですね…。

2010/10/12 追記

TMG 2010 SP1 RU1 を適用したところ、私の環境では解消されました。
Forefront TMG 2010 Service Pack 1 用のソフトウェア更新プログラム 1

この更新プログラムには、以下の修正が含まれていますのでこの対応で現象が解消されているかもしれません。
Forefront TMG 2010 SP1 はローカル SQL Server データベースにログを書き込めない

Written by Masayuki.Ozawa

9月 18th, 2010 at 5:04 am

Posted in ISA

Tagged with TMG 2010

TMG 2010 SP1 をスリップストリームインストール

leave a comment

先日 Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 日本語版の提供が開始されました。
Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1

Release Notes for Forefront TMG 2010 SP1

この SP1 ですが、以下のサイトで紹介がされている方法でスリップストリームインストールが可能となっているようです。
How to Slipstream Service Pack 1 for TMG

TechNet では、以下の技術情報で TMG 2010 SP1 のインストールについて記載されているのですが、スリップストリームインストールについて
明記されている記載が見つかりませんでした。
Installing Forefront TMG SP1

TMG 2010 SP1 のスリップストリームインストールですが、特定のディレクトリに SP1 の更新モジュールを配置するというのではなく、
MSIEXEC で NosSP の MSI (Microsoft Windows Installer) と SP1 の MSP (Microsoft Windows Patch Package) を指定することで、
統合したインストーラーを作成し、そこからインストールをすることで実施することが可能なようです。

ただし、TechNet 等の技術情報で、記載されている個所が見つからなかったのが少し気になっています。
#統合したインストーラーでインストールするとバージョンが SP1 のものになっているのは確認をしているのですが。

■SP1 を統合したインストーラーの作成

SP1 を統合したインストーラーを作成するためには、インストールメディア内のファイル一式をローカルドライブ等の
書き込みが可能なドライブにコピーします。
DVD メディアのインストーラーに統合をしようとしても、書き込みができないという事で、先に進むことができません。
TMG 2010 のメディア内のファイルと、SP1 のインストーラーをローカルディスク等の書き込み可能なディスクに保存したら、
以下のコマンドを実行します。

msiexec /a <TMG の MSI> /p <SP1 の MSP>

例）
msiexec /a C:TMGFPCMS_FPC_Server.msi /p C:SP1TMG-KB981324-amd64-JPN.msp
コマンドを実行すると、SP1 のインストールウィザードが起動しますので、[次へ] をクリックします。
[/a] で指定したファイルのディレクトリが自動的に設定されていますので、[次へ] をクリックします。
[インストール] をクリックします。
?
[完了] をクリックします。
[splash.hta] を実行してインストーラーを起動してインストールを開始します。
?

あとはインストールを進めていけばスリップストリームインストールは完了です。
インストール直後のバージョン情報が以下の画像になります。
SP1 は [7.0.8108.200] ですので、SP1 がスリップストリームインストールされているのが確認できますね。

ちなみに、こちらの画像が NonSP をインストールしたときのバージョンとなります。

最近の製品はスリップストリームインストールができて楽で良いですね。

Written by Masayuki.Ozawa

7月 9th, 2010 at 1:58 pm

Posted in ISA

TMG 2010 と Exchange 2010 で高可用性環境を構築

leave a comment

Exchange? Server 2010 では 2007 の時と違い、可用性を持ったメールボックスサーバーと他の役割が共存できるようになっています。

今回はこのような環境を作ってみました。
?

CAS に関しては NLB で冗長化をすることが一般的だと思います。
# HUB は内部に関しては自動で冗長化されますので、エッジトランスポートでエッジサブスクリプションを使わない場合、
?? NLB で冗長化することがあるかと。

ただし、クラスター環境では NLB を構築することができません。

セミナーだと H/W ロードバランサで負荷分散をするという構成例が紹介されるのですが、さすがに個人で BIG-IP のような
H/W ロードバランサを導入するのは敷居が高いです…。

ということで今回は TMG を S/W ロードバランサとして使用して、Exchange 2010 の高可用性環境を作ってみたいと思います。

■サーバーファームで Exchange 2010 を冗長化

ISA 2006 でもサーバーファームという機能があったのですが、この機能は TMG 2010 でも引き続き使用することができます。

環境としては下図のようになります。

設定としては以前投稿した、[ISA 2006 EE でリバプロその 4 サーバーファームの設定] と同じ操作で設定ができそうです。

[サーバーファーム] を作成して、

そのファームを使用した [Exchange の公開ルール] を作成します。

以上で、Exchange 2010 の OWA を冗長化することが可能です。
今回は [2008r2-dag-nlb.exchange.local] というパブリック名に対してサーバーファームで冗長化をしています。
?

TMG 2010 はエッジトランスポートと組み合わせることも可能なので、かなり Exchange と親和性の高い製品なんでしょうね。
検証用途の S/W ロードバランサとしても TMG は便利ですので、検証環境に一台あるといろいろと利用できそうです。

Written by Masayuki.Ozawa

6月 6th, 2010 at 1:45 pm

Posted in ISA

ワークグループ環境の TMG 2010 でエンタープライズアレイを構築

leave a comment

続いてはワークグループ環境でエンタープライズアレイを構築する方法になります。

以下の環境が構築済みです。

[TMG-EMS-01] を EMS として構築しますので、このサーバーでは準備ツールを実行して、EMS に必要となる
役割 / 機能はインストール済みです。

今回もサーバー認証証明書とルート証明書が必要となります。

サーバー認証証明書は EMS にインストールをしますので、発行先を [TMG-EMS-01] として設定した証明書を作成済みです。
[TMG-EMS-01] にはルート証明書をインポートして、[TMG-01] [TMG-02] [TMG-03] の HOSTS には以下の設定がしてあります。
# サーバー認証証明書の作成、ルート証明書のインポート手順はスタンドアロンアレイと同じですので記載は省略しています。
　ルート証明書に関しては、[TMG-01] [TMG-02] にもファイルコピー済みです。

[EMS のインストール]

セットアップウィザードを起動して、EMS のインストールを行います。

[次へ] をクリックします。
[使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
[次へ] をクリックします。
?
[次へ] をクリックします。
[この EMS に新しいエンタープライズ構成を作成] を選択し、[次へ] をクリックします。
[次へ] をクリックします。
エンタープライズ名を入力して、[次へ] をクリックします。
[ワークグループ内に展開] を選択して、発行先を EMS のサーバー名にしたサーバー認証証明書を選択し、[次へ] をクリックします。
パスワードは証明書のエクスポート時に指定したパスワードを入力します。
# 発行先が EMS をインストールしているサーバー名でない証明書を使おうとするとエラーになることがありました。
　ならないこともあったのですが…。
[インストール] をクリックします。
[完了] をクリックします。

以上で、ワークグループ環境の EMS のインストールは完了です。

ISA 2006 でも同様の仕様だったのですが、ワークグループ環境では EMS のレプリカは設定することができません。

EMS を冗長構成で構築する場合はドメイン環境が必須になりますね。

[アレイに参加]

続いてエンタープライズにアレイメンバーとしてサーバーを参加させます。
まずは、[TMG-01] をアレイに参加させたいと思います。操作は、[TMG-01] で実施します。

[Forefront TMG の管理] を実行します。
[Forefront TMG
(<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
[次へ] をクリックします。
[EMS サーバーによって管理されるアレイに参加します。] を選択して、[次へ] をクリックします。
EMS のサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、[次へ] をクリックします。
今回も [Administrator] をミラーアカウントとして使用しています。
ルート証明書を選択し、[次へ] をクリックします。
[次へ] をクリックします。
アレイの情報を入力して、[次へ] をクリックします。
[完了] をクリックします。
[OK] をクリックします。

同様の手順を [TMG-02] でも実施し、アレイに参加させます。

[アレイ内の資格情報の変更]

ワークグループ環境のスタンドアロンアレイと同様に、アレイ内の資格情報の変更を実施します。
手順はワークグループ環境の時と同じですね。

アレイを右クリックして、[プロパティ] を開いて設定を変更します。

?

システムポリシーの [ローカルの構成保管サーバーへのアクセス] に関しては有効にしないでも、サーバーの認識には問題は
なさそうでしたが、うまく認識できない場合はこのシステムポリシーを有効にすると解消できるかもしれません。

今回構築した環境の最終的な構成は以下のようになります。

考え方としてはスタンドアロンアレイと同じですので一度ワークグループ環境でスタンドアロンアレイが組めてしまえば、
それほど迷わずに構築できそうですね。

これで TMG を構築する際の基本的なパターンは大体構築することができたかと思います。
TMG では CSS をどうするかを考えるのが構築する際のポイントとなりそうですね。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 4:05 pm

Posted in ISA

ワークグループ環境の TMG 2010 でスタンドアロンアレイを構築 – その 2 スタンドアロンアレイの構築 –

leave a comment

証明書が作成できたのでスタンドアロンアレイを構築していきたいと思います。

今回はこの環境を作りたいと思います。

アレイマネージャーにはサーバー認証証明書と、ルート証明書。
アレイメンバーにはルート証明書

が必要となりますので先ほどエクスポートしたファイルをコピーしておきます。

また、今回はサーバーの IP を DNS に登録していませんので、HOSTS で解決できるよう以下の設定をしています。
# IP は塗りつぶしています。

[アレイマネージャーにルート証明書をインポート]

まずはアレイマネージャーにルート証明書をインポートします。

ファイル名を指定して実行で [mmc] を実行します。
[スナップインの追加と削除] で [証明書] を追加します。
[コンピュータアカウント] を選択して、スナップインを追加します。
[信頼されたルート証明機関] を右クリックして、[すべてのタスク] → [インポート] をクリックします。
[次へ] をクリックします。
コピーしたルート証明書を選択し、[次へ] をクリックします。
証明書をすべて次のストアに配置するが [信頼されたルート証明機関] になっていることを確認し、[次へ] をクリックします。
[完了] をクリックします。
[OK] をクリックします。

これでルート証明書のインポートは完了です。

[アレイマネージャーにサーバー認証証明書をインポート]

サーバー認証証明書は TMG の管理コンソールからインポートします。

[Forefront TMG の管理] を実行します。
[システム] でサーバーを選択し、[サーバー証明書のインストール] をクリックします。
この操作をすることでアレイマネージャーにするサーバーにサーバー認証証明書をインストーすることができます。
コピーしたサーバー認証証明書を選択し、証明書のパスワードを入力します。
今回はルート証明書は手動でインポートしているため、[このアレイマネージャーに～] のチェックは外しています。
# 証明書チェーンを使ってルート証明書ごとインストール方法がいまいちわかっていないですよね。

これでアレイマネージャーの準備は完了です。

[アレイメンバーをアレイに参加]

今回は [TMG-02] をメンバーにしていますので、[TMG-02] で参加させるための操作を実行します。
HOSTS の設定と、ルート証明書のファイルとしてのコピーは実施済みです。

ルート証明書のインポートはアレイを参加させる操作の中で実施できますので、手動でインポートする必要はありません。

[Forefront TMG の管理] を実行します。
[Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
[次へ] をクリックします。
[指定したアレイメンバー～] を選択して、[次へ] をクリックします。
アレイマネージャーのサーバー名を入力して、[ログ尾インしているユーザーの資格情報を使って接続する] を選択し、
[次へ] をクリックします。
今回は [Administrator] のミラーアカウント (同一ユーザー名 / パスワード) のユーザーで作業をしていますので、
この設定で認証することができます。
今回は DNS に登録がないので、HOSTS ファイルに設定をしていないとサーバーに接続することができません。
ルート証明書のファイルを選択して、[次へ] をクリックします。
[完了] をクリックします。
[OK] をクリックします。

これでスタンドアロンアレイの構成の基本部分は完了です。

[アレイ内の資格情報の変更]

最後にアレイ内の資格情報を変更します。

[Forefront TMG の管理] を実行します。
[Forefornt TMG (<アレイ名>)] を右クリックして、[プロパティ] をクリックします。
[アレイ内の資格情報] タブを選択し、[次のアカウントを使用して認証する] を選択して、[アカウントの] をクリックします。
?
今回は、[Administrator] を設定しています。
後は TMG で設定を適用します。

以上で設定は完了です。

これでワークグループ環境でスタンドアロンアレイを構築することができます。

サーバー認証証明書の発行先がアレイマネージャーのサーバー名になっていない場合、構成がエラーとなったままになります。
?

[警告] に [上位方向へのチェーン構成の資格情報] のエラー、[Forefront TMG で構成保管サーバーに接続できません。] の警告が
出力されていてエラーとなったまま場合、アレイマネージャーにインストールしたサーバー認証証明書の発行先を確認したほうが
よいかと思います。

最終的な構成はこのような形になっています。

証明書の作成さえできればそれほど構築は難しくないみたいですね。
私は証明書が苦手なのでここまで来るのに結構時間がかかってしまいましたが…。

ISA 2006 のワークグループ環境もこのような方法で構築ができるはずです。
# ワークグループ環境は証明書を使って構築するはずだったので。

証明書を使用するとワークグループ環境で EMS を使用したエンタープライズアレイを構築することも可能です。

エンタープライズアレイに関しては次の投稿でまとめてみたいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:43 pm

Posted in ISA

ワークグループ環境の TMG 2010 でスタンドアロンアレイを構築 – その 1 証明書の作成 –

leave a comment

ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。

ワークグループ環境でも [スタンドアロンアレイ] / [エンタープライズアレイ] を構築することが可能です。
ただし、ドメイン環境と異なり [証明書] が必要となります。

証明書は

サーバー認証証明書
ルート証明書 (サーバー認証証明書に署名した証明機関の証明書)

の 2 種類が必要となります。

サーバー認証証明書はアレイマネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。
# ルート証明書はアレイマネージャーにもインストールする必要があります。

これらの証明書は Active Directory 証明書サービス (AD CS) で作成することができますので、検証には AD CS で
発行された証明書を使うのが楽だと思います。

その 1 として証明書の作成手順をまとめていきたいと思います。
この証明書の作成手順ですが、ワークグループ環境のエンタープライズアレイでも同様の方法を利用することができます。

[AD CS のインストール]

AD CS のインストールは、[サーバーマネージャー] で [Active Directory 証明書サービス] をインストールします。
証明書の要求をするため、[証明機関 Web 登録] の役割を追加して機能をインストールしておきます。
今回はワークグループ環境ですので、[スタンドアロン] のみ選択ができるようになっています。
あとは、[ルート CA] として設定し、それ以降の設定はデフォルトのままインストールをします。

これで以下の環境が構築できた状態になっています。
# 実際のサーバー名もこちらの図の内容となっています。

インストールが終わったら、[証明機関 Web 登録] でサーバー認証証明書を発行できるように IIS を設定します。

[IIS の設定]

Web ベースで証明書を発行するため、IIS で SSL の設定を行います。
HTTP 経由で証明書発行用のサイトにアクセスすると以下のメッセージが表示され、証明書要求を発行することができません。

IIS 7.0 以降は自己署名証明書が簡単に作れるので、この機能を使って SSL が使用できるようにします。

まずは、[IIS マネージャー] を実行します。
サーバー名を選択し、[サーバー証明書] をダブルクリックします。
[自己署名入り証明書の作成] をクリックします。
# 一番上に表示されている証明書はルート証明書になりますがこちらは使うことができません。
?
証明書のフレンドリ名を入力して、[OK] をクリックします。
自己署名証明書が作成されていることが確認できますね。
あとは、証明機関 Web 登録で使用しているサイトで SSL を有効にします。
[Default Web Site] を選択して、[バインド] をクリックします。
[追加] をクリックします。
種類で [https] を選択し、[SSL 証明書] で先ほど作成した、自己署名証明書を選択して、[OK] をクリックします。

以上で SSL の設定は完了です。

[https://localhost/certsrv] にアクセスして証明機関 Web 登録にアクセスします。

[サーバー認証証明書の作成]

自己署名証明書のため、URL にアクセスするとセキュリティ警告が発生しますが、[このサイトの閲覧を続行する] をクリックして
サイトを開きます。
[証明書を要求する] をクリックします。
[証明書の要求の詳細設定] をクリックします。
[この CA への要求を作成し送信する。] をクリックします。
?
メッセージボックスが表示されたら、[はい] をクリックします。
後は証明書に必要な情報を入力します。

最低限必要なのは [名前] と [証明書の種類] と [エクスポート可能なキーとしてマークする] の 3 つの設定です。
各項目は以下のように設定します。
- 名前
  アレイマネージャーとして設定するサーバー名を入力します。
  今回の場合は、[TMG-01] と設定しています。
- 証明書の種類
  サーバー認証証明書を選択します。
- エクスポート可能なキーとしてマークする
  チェックを有効にしてエクスポートができるようにします。
入力が終わったら [送信] をクリックします。
証明書を発行するため、[管理ツール] → [証明機関] をクリックします。
[保留中の要求] を選択すると先ほど送信した証明書がありますので、[すべてのタスク] → [発行] をクリックします。
ブラウザに戻ってトップページの [保留中の証明書の要求の状態] をクリックします。
[サーバー認証証明書] をクリックします。
[はい] をクリックします。
[この証明書のインストール] をクリックします。

これでサーバー内にサーバー認証証明書がインストールされました。
あとは、このサーバー認証証明書とルート証明書をアレイマネージャー / アレイメンバーで使用できるようにエクスポートします。

[サーバー認証証明書のエクスポート]

インストールしたサーバー認証証明書は [ユーザーアカウント] の [個人] ストアに格納されています。
この証明書をエクスポートして他のサーバーで使用できるようにします。

ファイル名を指定して実行から [mmc] を実行します。
[スナップインの追加と削除] で [証明書] を追加します。
? [ユーザーアカウント] を選択して、[完了] をクリックします。
スナップインを追加して、[OK] をクリックすると、証明書ストアが表示されます。
先ほどインストールした証明書が [個人] → [証明書] の下にありますので、右クリックして [すべてのタスク] → [エクスポート] を
クリックします。
[次へ] をクリックします。
[はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
[次へ] をクリックします。
パスワードを設定して、[次へ] をクリックします。
エクスポートする場所を選択して、[次へ] をクリックします。
[完了] をクリックします。
[OK] をクリックします。

以上でサーバー認証証明書のエクスポートは完了です。

証明書作成の最後の手順としてルート証明書をエクスポートします。

[ルート証明書のエクスポート]

最後の手順はルート証明書のエクスポートです。

[管理ツール] → [証明機関] をクリックします。
証明機関を右クリックして、[プロパティ] をクリックします。
CA 証明書の [証明書の表示] をクリックします。
[詳細] タブの [ファイルにコピー] をクリックします。
[次へ] をクリックします。
[次へ] をクリックします。
エクスポートする場所を設定し、[次へ] をクリックします。
[完了] をクリックします。
[OK] をクリックします。

以上で、証明書の作成は完了です。

次はこの証明書を使ってスタンドアロンアレイを構築したいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:22 pm

Posted in ISA

ドメイン環境の TMG 2010 でエンタープライズアレイを構築 – その 2 アレイに参加 –

leave a comment

続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。

現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。

[アレイに参加]

TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で
作業を開始しています。

[Forefront TMG の管理] を実行します。
[Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。
[次へ] をクリックします。
[EMS サーバーによって管理されるアレイに参加します。] を選択し、[次へ] をクリックします。
EMS のサーバー名を入力し、[次へ] をクリックします。
今回はドメインユーザーでログオンしているので、[ログオンしているユーザーの資格情報を使って接続する] を選択しています。
まだ、アレイを作成していないので [EMS で管理れされる新しいアレイを作成します。] を選択して、[次へ] をクリックします。
アレイにかんしては参加のウィザード内または、EMS で TMG の管理コンソールを実行して事前に作っておくことも可能です。
作成するアレイの [アレイ名 ]と [DNS 名] を入力して、[次へ] をクリックします。
# [アレイ名] [DNS 名] はあとで変更することが可能です。
[完了] をクリックします。

完了をクリックするとアレイが作成され、作成後にアレイにサーバーが参加されます。
[OK] をクリックします。

以上で、アレイの作成と参加が完了です。
同様の作業を [TMG-02] でも実施し、アレイにサーバーを参加させます。

1 台目と 2 台目のインストールの違いというと、すでにアレイが作成されている状態ですので、既存のアレイに参加するという形で
導入ができるというところだけで後の操作は 1 台目と同じです。

[アレイ参加後の環境]

アレイ参加後のサーバーの状態を確認してみます。

アレイが作成され、参加した TMG サーバーが正常に稼働していることが確認できますね。
# 新規に参加させた TMG サーバーの状態が変わらない場合、一度 TMG の管理コ
ンソールを起動しなおすと状態が変わることがあります。

構成としては以下のような状態となっています。
?
アレイに参加したサーバーでは AD LDS が停止されるので、ディレクトリのマークが消えています。

エンタープライズアレイの構成では、EMS が CSS を持つようになるので EMS 以外役割のサーバーでは参加したタイミングで
AD LDS が停止された状態となります。

[エンタープライズアレイ構築後の設定変更]

エンタープライズアレイ構築後にいくつか設定変更が必要となりますので、それらをまとめてみたいと思います。

[代替構成保管サーバー] の設定
今回の環境では、EMS が 2 台構築された状態となっています。
EMS の環境では構成保管サーバーの冗長化として、[代替構成保管サーバー] というものが設定できます。
代替構成保管サーバーは [Forefront TMG (<アレイ名>)] を右クリックして、[プロパティ] を開くことで設定できます。
# アレイの名称や、DNS 名もこのプロパティから変更できます。

デフォルトの状態では、代替構成保管サーバーがブランクになっていますので、2 台目の EMS を設定します。

TMG も ISA 同様、変更は適宜適用する必要があります。
# 今回の手順では一つの作業を終わるごとに適用しています。
[構成保管サーバーのレプリケーション] の設定
今回の EMS は 2 台構成になっています。
今までの画面は、[TMG-EMS-01] で表示していたものなので、[TMG-EMS-02] でも管理ツールを開いてみたいと思います。
[構成] と [システム] でアレイ内のサーバーがうまく認識できていないですね。
?

この状態ですが、[システムポリシー] の設定が影響しているようです。
[システムポリシー] ですが、[ファイアウォールポリシー] を右クリックすることで表示することが可能です。
?

システムポリシーの中に、[構成保管サーバーのレプリケーション] というポリシーがあり、デフォルトでは有効になっていません。
?

このポリシーを有効にします。
?

[宛先] のタブを見ると、[構成保管サーバーのレプリケーション] という宛先があるので、これを [編集] で開いてみます。

デフォルトでは何も設定がされていません。
?

[追加] をクリックして、EMS サーバーを登録します。
# 今回は [コンピューター] で各 EMS サーバーを登録しています。

設定が終わったら適用をします。
各サーバーに構成の反映が終わったタイミングで、[TMG-EMS-02] の管理コンソールでサーバーの状態を確認します。

[構成保管サーバーのレプリケーション] を設定することで、追加した EMS サーバーの [システム] の [サーバー] の状態が
確認できるようになります。
?
[ローカル構成保管サーバーへのアクセス] の設定
追加した EMS サーバーで、[サーバー] の状態は確認できるようになったのですが、[構成] の情報に関しては、
エラーが表示されています。
?
この状態を回避するためには、[システムポリシー] で [ローカル構成保管サーバーへのアクセス] を有効にします。
デフォルトではこのポリシーは無効になっています。
?

ポリシーを有効にして適用します。

この設定をすることで、追加した EMS サーバーで構成を正常に確認することができるようになります。