SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Archive for the ‘ISA’ Category

ワークグループ環境の TMG 2010 でスタンドアロン アレイを構築 – その 2 スタンドアロン アレイの構築 –

leave a comment

証明書が作成できたのでスタンドアロン アレイを構築していきたいと思います。

今回はこの環境を作りたいと思います。

image

?

  • アレイ マネージャーにはサーバー認証証明書と、ルート証明書。
  • アレイメンバーにはルート証明書

が必要となりますので先ほどエクスポートしたファイルをコピーしておきます。

また、今回はサーバーの IP を DNS に登録していませんので、HOSTS で解決できるよう以下の設定をしています。
# IP は塗りつぶしています。
image

[アレイ マネージャーにルート証明書をインポート]

まずはアレイマネージャーにルート証明書をインポートします。

  • ファイル名を指定して実行で [mmc] を実行します。
    image
  • [スナップインの追加と削除] で [証明書] を追加します。
    image
  • [コンピュータ アカウント] を選択して、スナップインを追加します。
    image
  • [信頼されたルート証明機関] を右クリックして、[すべてのタスク] → [インポート] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • コピーしたルート証明書を選択し、[次へ] をクリックします。
    image
  • 証明書をすべて次のストアに配置するが [信頼されたルート証明機関] になっていることを確認し、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

これでルート証明書のインポートは完了です。

[アレイ マネージャーにサーバー認証証明書をインポート]

サーバー認証証明書は TMG の管理コンソールからインポートします。

  • [Forefront TMG の管理] を実行します。
    image
  • [システム] でサーバーを選択し、[サーバー証明書のインストール] をクリックします。
    この操作をすることでアレイ マネージャーにするサーバーにサーバー認証証明書をインストーすることができます。
    image
  • コピーしたサーバー認証証明書を選択し、証明書のパスワードを入力します。
    今回はルート証明書は手動でインポートしているため、[このアレイ マネージャーに~] のチェックは外しています。
    # 証明書チェーンを使ってルート証明書ごとインストール方法がいまいちわかっていないですよね。
    image

これでアレイ マネージャーの準備は完了です。

?

[アレイ メンバーをアレイに参加]

今回は [TMG-02] をメンバーにしていますので、[TMG-02] で参加させるための操作を実行します。
HOSTS の設定と、ルート証明書のファイルとしてのコピーは実施済みです。

ルート証明書のインポートはアレイを参加させる操作の中で実施できますので、手動でインポートする必要はありません。

  • [Forefront TMG の管理] を実行します。
  • [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [指定したアレイ メンバー ~] を選択して、[次へ] をクリックします。
    image
  • アレイ マネージャーのサーバー名を入力して、[ログ尾インしているユーザーの資格情報を使って接続する] を選択し、
    [次へ] をクリックします。
    今回は [Administrator] のミラーアカウント (同一ユーザー名 / パスワード) のユーザーで作業をしていますので、
    この設定で認証することができます。
    今回は DNS に登録がないので、HOSTS ファイルに設定をしていないとサーバーに接続することができません。
    image
  • ルート証明書のファイルを選択して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

これでスタンドアロン アレイの構成の基本部分は完了です。

?

[アレイ内の資格情報の変更]

最後にアレイ内の資格情報を変更します。

  • [Forefront TMG の管理] を実行します。
  • [Forefornt TMG (<アレイ名>)] を右クリックして、[プロパティ] をクリックします。
    image
  • [アレイ内の資格情報] タブを選択し、[次のアカウントを使用して認証する] を選択して、[アカウントの] をクリックします。
    image?
  • 今回は、[Administrator] を設定しています。
    image
  • 後は TMG で設定を適用します。
    image

以上で設定は完了です。

これでワークグループ環境でスタンドアロン アレイを構築することができます。

サーバー認証証明書の発行先がアレイ マネージャーのサーバー名になっていない場合、構成がエラーとなったままになります。
image?

[警告] に [上位方向へのチェーン構成の資格情報] のエラー、[Forefront TMG で構成保管サーバーに接続できません。] の警告が
出力されていてエラーとなったまま場合、アレイマネージャーにインストールしたサーバー認証証明書の発行先を確認したほうが
よいかと思います。
image

最終的な構成はこのような形になっています。
image

証明書の作成さえできればそれほど構築は難しくないみたいですね。
私は証明書が苦手なのでここまで来るのに結構時間がかかってしまいましたが…。

ISA 2006 のワークグループ環境もこのような方法で構築ができるはずです。
# ワークグループ環境は証明書を使って構築するはずだったので。

証明書を使用するとワークグループ環境で EMS を使用したエンタープライズ アレイを構築することも可能です。

エンタープライズ アレイに関しては次の投稿でまとめてみたいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:43 pm

Posted in ISA

ワークグループ環境の TMG 2010 でスタンドアロン アレイを構築 – その 1 証明書の作成 –

leave a comment

ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。

ワークグループ環境でも [スタンドアロン アレイ] / [エンタープライズ アレイ] を構築することが可能です。
ただし、ドメイン環境と異なり [証明書] が必要となります。

証明書は

  • サーバー認証証明書
  • ルート証明書 (サーバー認証証明書に署名した証明機関の証明書)

の 2 種類が必要となります。

サーバー認証証明書はアレイ マネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。
# ルート証明書はアレイ マネージャーにもインストールする必要があります。

これらの証明書は Active Directory 証明書サービス (AD CS) で作成することができますので、検証には AD CS で
発行された証明書を使うのが楽だと思います。

その 1 として証明書の作成手順をまとめていきたいと思います。
この証明書の作成手順ですが、ワークグループ環境のエンタープライズ アレイでも同様の方法を利用することができます。

[AD CS のインストール]

  • AD CS のインストールは、[サーバー マネージャー] で [Active Directory 証明書サービス] をインストールします。
    image
  • 証明書の要求をするため、[証明機関 Web 登録] の役割を追加して機能をインストールしておきます。
    image
  • 今回はワークグループ環境ですので、[スタンドアロン] のみ選択ができるようになっています。
    image
  • あとは、[ルート CA] として設定し、それ以降の設定はデフォルトのままインストールをします。
    image
    image

これで以下の環境が構築できた状態になっています。
# 実際のサーバー名もこちらの図の内容となっています。
image

インストールが終わったら、[証明機関 Web 登録] でサーバー認証証明書を発行できるように IIS を設定します。

[IIS の設定]

Web ベースで証明書を発行するため、IIS で SSL の設定を行います。
HTTP 経由で証明書発行用のサイトにアクセスすると以下のメッセージが表示され、証明書要求を発行することができません。
image

IIS 7.0 以降は自己署名証明書が簡単に作れるので、この機能を使って SSL が使用できるようにします。

  • まずは、[IIS マネージャー] を実行します。
    image
  • サーバー名を選択し、[サーバー証明書] をダブルクリックします。
    image
  • [自己署名入り証明書の作成] をクリックします。
    # 一番上に表示されている証明書はルート証明書になりますがこちらは使うことができません。
    image?
  • 証明書のフレンドリ名を入力して、[OK] をクリックします。
    image
  • 自己署名証明書が作成されていることが確認できますね。
    image
  • あとは、証明機関 Web 登録で使用しているサイトで SSL を有効にします。
    [Default Web Site] を選択して、[バインド] をクリックします。
    image
  • [追加] をクリックします。
    image
  • 種類で [https] を選択し、[SSL 証明書] で先ほど作成した、自己署名証明書を選択して、[OK] をクリックします。
    image

以上で SSL の設定は完了です。

[https://localhost/certsrv] にアクセスして証明機関 Web 登録にアクセスします。

?

[サーバー認証証明書の作成]

  • 自己署名証明書のため、URL にアクセスするとセキュリティ警告が発生しますが、[このサイトの閲覧を続行する] をクリックして
    サイトを開きます。
    image
  • [証明書を要求する] をクリックします。
    image
  • [証明書の要求の詳細設定] をクリックします。
    image
  • [この CA への要求を作成し送信する。] をクリックします。
    image?
  • メッセージボックスが表示されたら、[はい] をクリックします。
    image
  • 後は証明書に必要な情報を入力します。
    image

    最低限必要なのは [名前] と [証明書の種類] と [エクスポート可能なキーとしてマークする] の 3 つの設定です。
    各項目は以下のように設定します。

    • 名前
      アレイマネージャーとして設定するサーバー名を入力します。
      今回の場合は、[TMG-01] と設定しています。
    • 証明書の種類
      サーバー認証証明書を選択します。
    • エクスポート可能なキーとしてマークする
      チェックを有効にしてエクスポートができるようにします。
  • 入力が終わったら [送信] をクリックします。
  • 証明書を発行するため、[管理ツール] → [証明機関] をクリックします。
    image
  • [保留中の要求] を選択すると先ほど送信した証明書がありますので、[すべてのタスク] → [発行] をクリックします。
    image
  • ブラウザに戻ってトップページの [保留中の証明書の要求の状態] をクリックします。
    image
  • [サーバー認証証明書] をクリックします。
    image
  • [はい] をクリックします。
    image
  • [この証明書のインストール] をクリックします。
    image

これでサーバー内にサーバー認証証明書がインストールされました。
あとは、このサーバー認証証明書とルート証明書をアレイ マネージャー / アレイ メンバーで使用できるようにエクスポートします。

[サーバー認証証明書のエクスポート]

インストールしたサーバー認証証明書は [ユーザー アカウント] の [個人] ストアに格納されています。
この証明書をエクスポートして他のサーバーで使用できるようにします。

  • ファイル名を指定して実行から [mmc] を実行します。
    image
  • [スナップインの追加と削除] で [証明書] を追加します。
    image
  • ? [ユーザー アカウント] を選択して、[完了] をクリックします。
    image
  • スナップインを追加して、[OK] をクリックすると、証明書ストアが表示されます。
    先ほどインストールした証明書が [個人] → [証明書] の下にありますので、右クリックして [すべてのタスク] → [エクスポート] を
    クリックします。
    image
  • [次へ] をクリックします。
    image
  • [はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • パスワードを設定して、[次へ] をクリックします。
    image
  • エクスポートする場所を選択して、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上でサーバー認証証明書のエクスポートは完了です。

証明書作成の最後の手順としてルート証明書をエクスポートします。

?

[ルート証明書のエクスポート]

最後の手順はルート証明書のエクスポートです。

  • [管理ツール] → [証明機関] をクリックします。
  • 証明機関を右クリックして、[プロパティ] をクリックします。
    image
  • CA 証明書の [証明書の表示] をクリックします。
    image
  • [詳細] タブの [ファイルにコピー] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • [次へ] をクリックします。
    image
  • エクスポートする場所を設定し、[次へ] をクリックします。
    image
  • [完了] をクリックします。
    image
  • [OK] をクリックします。
    image

以上で、証明書の作成は完了です。

次はこの証明書を使ってスタンドアロン アレイを構築したいと思います。

Written by Masayuki.Ozawa

5月 23rd, 2010 at 2:22 pm

Posted in ISA

ドメイン環境の TMG 2010 でエンタープライズ アレイを構築 – その 2 アレイに参加 –

leave a comment

続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。

現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。

image

[アレイに参加]

TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で
作業を開始しています。

  1. [Forefront TMG の管理] を実行します。
    image
  2. [Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。
    image
  3. [次へ] をクリックします。
    image
  4. [EMS サーバーによって管理されるアレイに参加します。] を選択し、[次へ] をクリックします。
    image
  5. EMS のサーバー名を入力し、[次へ] をクリックします。
    今回はドメインユーザーでログオンしているので、[ログオンしているユーザーの資格情報を使って接続する] を選択しています。
    image
  6. まだ、アレイを作成していないので [EMS で管理れされる新しいアレイを作成します。] を選択して、[次へ] をクリックします。
    アレイにかんしては参加のウィザード内または、EMS で TMG の管理コンソールを実行して事前に作っておくことも可能です。
    image
  7. 作成するアレイの [アレイ名 ]と [DNS 名] を入力して、[次へ] をクリックします。
    # [アレイ名] [DNS 名] はあとで変更することが可能です。
    image
  8. [完了] をクリックします。
    image
    完了をクリックするとアレイが作成され、作成後にアレイにサーバーが参加されます。
    image
    image
  9. [OK] をクリックします。
    image

以上で、アレイの作成と参加が完了です。
同様の作業を [TMG-02] でも実施し、アレイにサーバーを参加させます。

1 台目と 2 台目のインストールの違いというと、すでにアレイが作成されている状態ですので、既存のアレイに参加するという形で
導入ができるというところだけで後の操作は 1 台目と同じです。
image

?

[アレイ参加後の環境]

アレイ参加後のサーバーの状態を確認してみます。

image
image

アレイが作成され、参加した TMG サーバーが正常に稼働していることが確認できますね。
# 新規に参加させた TMG サーバーの状態が変わらない場合、一度 TMG の管理コ
ンソールを起動しなおすと状態が変わることがあります。

構成としては以下のような状態となっています。
image?
アレイに参加したサーバーでは AD LDS が停止されるので、ディレクトリのマークが消えています。

エンタープライズ アレイの構成では、EMS が CSS を持つようになるので EMS 以外役割のサーバーでは参加したタイミングで
AD LDS が停止された状態となります。

[エンタープライズ アレイ構築後の設定変更]

エンタープライズ アレイ構築後にいくつか設定変更が必要となりますので、それらをまとめてみたいと思います。

  1. [代替構成保管サーバー] の設定
    今回の環境では、EMS が 2 台構築された状態となっています。
    EMS の環境では構成保管サーバーの冗長化として、[代替構成保管サーバー] というものが設定できます。

    代替構成保管サーバーは [Forefront TMG (<アレイ名>)] を右クリックして、[プロパティ] を開くことで設定できます。
    # アレイの名称や、DNS 名もこのプロパティから変更できます。
    image

    デフォルトの状態では、代替構成保管サーバーがブランクになっていますので、2 台目の EMS を設定します。
    image
    image

    TMG も ISA 同様、変更は適宜適用する必要があります。
    # 今回の手順では一つの作業を終わるごとに適用しています。
    image

  2. [構成保管サーバーのレプリケーション] の設定
    今回の EMS は 2 台構成になっています。
    今までの画面は、[TMG-EMS-01] で表示していたものなので、[TMG-EMS-02] でも管理ツールを開いてみたいと思います。

    [構成] と [システム] でアレイ内のサーバーがうまく認識できていないですね。
    image?
    image

    この状態ですが、[システム ポリシー] の設定が影響しているようです。
    [システム ポリシー] ですが、[ファイアウォール ポリシー] を右クリックすることで表示することが可能です。
    image?

    システム ポリシーの中に、[構成保管サーバーのレプリケーション] というポリシーがあり、デフォルトでは有効になっていません。
    image?

    このポリシーを有効にします。
    image?

    [宛先] のタブを見ると、[構成保管サーバーのレプリケーション] という宛先があるので、これを [編集] で開いてみます。
    image

    デフォルトでは何も設定がされていません。
    image?

    [追加] をクリックして、EMS サーバーを登録します。
    # 今回は [コンピューター] で各 EMS サーバーを登録しています。
    image

    設定が終わったら適用をします。
    各サーバーに構成の反映が終わったタイミングで、[TMG-EMS-02] の管理コンソールでサーバーの状態を確認します。
    image

    [構成保管サーバーのレプリケーション] を設定することで、追加した EMS サーバーの [システム] の [サーバー] の状態が
    確認できるようになります。
    image?

  3. [ローカル構成保管サーバーへのアクセス] の設定
    追加した EMS サーバーで、[サーバー] の状態は確認できるようになったのですが、[構成] の情報に関しては、
    エラーが表示されています。
    ?image

    この状態を回避するためには、[システム ポリシー] で [ローカル構成保管サーバーへのアクセス] を有効にします。
    デフォルトではこのポリシーは無効になっています。
    image?

    ポリシーを有効にして適用します。
    image

    この設定をすることで、追加した EMS サーバーで構成を正常に確認することができるようになります。
    image

以上でエンタープライズ アレイの構築は完了です。

構成としては ISA 2006 の CSS をレプリカした構成と同じなのですが、ISA 2006 とは異なり構成をレプリカするためには、
EMS が必要となりますので、単一障害点をなくすためには都合 4 台のサーバーが必要となりそうです。

TMG 2010 になって大きく変わった点だと思うのですが、情報があまりなく今回の投稿をまとめるのにも一苦労でした…。

Written by Masayuki.Ozawa

5月 22nd, 2010 at 6:12 pm

Posted in ISA

ドメイン環境の TMG 2010 でエンタープライズ アレイを構築 – その 1 EMS のインストール –

leave a comment

続いてはエンタープライズ アレイの構築になります。
エンタープライズ アレイの場合、[Enterprise Management Server] (EMS) という役割のサーバーが必要となります。

この EMS ですが、TMG サーバー (TMG の F/W 機能を持つサーバー) と共存することができません。
そのため、エンタープライズ アレイを構築する場合は、別途 EMS 用のサーバーを準備する必要があります。

エンタープライズ アレイの構築としてまずは、EMS のインストールについてまとめていきたいと思います。

[環境の概要]

今回の環境ですが最初の環境は以下の図のようになっています。
TMG-01 / 02 に関してはスタンドアロン アレイと同様で最初はスタンドアロン サーバーとして構築しています。
EMS をインストールする TMG-EMS-01 / 02 に関しては、ドメインに参加させた状態となっています。
今回の投稿では、EMS をインストールする手順からまとめていきたいと思います。

image

[1 台目の EMS のインストール]

それでは、EMS をインストールしていきたいと思います。

  1. TMG 2010 Enterprise Edition のインストールメディアを挿入し、[autorun.hta] を実行します。
  2. [準備ツールの実行] をクリックします。
    image
  3. UAC が働いた場合は、[はい] をクリックします。
    image
  4. [次へ] をクリックします。
    image
  5. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
    image
  6. [Enterprise Management Server (EMS) (アレイの一元管理に使用)]? を選択し、[次へ] をクリックします。
    image?
  7. [次へ] をクリックすると、EMS をインストールするのに必要な役割、機能がインストールされます。
    image
  8. [Forefront TMG インストール ウィザードの起動] を有効 (デフォルト) にし、[完了] をクリックします。
    image
  9. UAC が働いた場合は、[はい] をクリックします。
    image
  10. [次へ] をクリックします。
    image
  11. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
    image
  12. [次へ] をクリックします。
    image?
  13. [次へ] をクリックします。
    image
  14. 今回は最初の EMS のインストールになりますので、[この EMS に新しいエンタープライズ構成を作成] を選択し、
    [次へ] をクリックします。
    image
  15. [次へ] をクリックします。
    image
  16. エンタープライズ名を入力して、[次へ] をクリックします。
    エンタープライズは TMG の管理単位の最上位の階層となります。
    image
  17. 今回はドメイン環境ですので、[単一のドメインに展開] を選択して、[次へ] をクリックします。
    image?
  18. [インストール] をクリックします。
    image
    image
  19. [完了] をクリックします。
    image

これで 1 台目の EMS のインストールは完了です。
インストールが完了すると以下のような構成となります。
image
EMS は TMG の CSS の機能のみを持つサーバーとなり、F/W の機能は持ちません。
このサーバーは以下のサービスが動いているシンプルなサーバーとなります。

  • Microsoft Forefront TMG 記憶域
  • ISAGCCTRL

構成を補完するためのサービスのみを提供している形になりますね。

[2 台目の EMS のインストール]

続いて、EMS を冗長化するために 2 台目の EMS をインストールしたいと思います。

  1. 以下の画面までは 1 台目のインストールと手順は同じです。
    こちらの画面が表示されたら、[この EMS に既存のエンタープライズ構成をコピー] を選択し、[次へ] をクリックします。
    image
  2. 1 台目の構成保管サーバーのサーバー名を入力し、[次へ] をクリックします。
    image
  3. 今回は、[Domain Users] グループのユーザーで、各 TMG / EMS サーバーのローカル [Administrators] グループに
    参加しているユーザーでログオンしています。

  4. [ネットワーク上でレプリケートする] を選択して、[次へ] をクリックします。
    # 私の環境ですとなぜか表示がおかしいのです…。
    image
  5. 今回はドメイン環境なので、[単一のドメイン内に展開] を選択して、[次へ] をクリックします。
    image
  6. [インストール] をクリックします。
    image
    image
  7. [完了] をクリックします。
    image

以上で、EMS のインストールは完了です。
この手順までで以下の環境が構築できました。

image

このままでは、TMG サービスのサーバーはスタンドアロン サーバーとなっており、各 TMG サーバーが EMS に接続していない
状態となっています。

次の投稿で、スタンドアロン サーバーを EMS に接続する手順をまとめていきたいと思います。

Written by Masayuki.Ozawa

5月 22nd, 2010 at 4:37 pm

Posted in ISA

ドメイン環境の TMG 2010 でスタンドアロン アレイを構築

leave a comment

TMG (Threat Management Gateway) 2010 で冗長構成をとるためには、TMG でアレイを構成する必要があります

TMG のアレイには以下の 2 種類があります。

  1. スタンドアロン アレイ
  2. エンタープライズ アレイ

ドメイン環境とワークグループ環境では構築の方法が異なるようなのですが、今回は非武装 AD に参加している TMG が 2 台ある状態で、
スタンドアロン アレイ を構築する手順をまとめてみたいと思います。
# ワークグループ環境の場合は、サーバー認証証明書とそのサーバー認証証明書のルート証明書が必要となります。

[環境の概要]

今回の環境ですが、最初は以下のような状態で構築しています。
image?

TMG を AD 上に 2 台構築してあり、現在はアレイを組んでいない状態 (スタンドアロン サーバー) となっています。

TMG の Enterprise Edition では、構成保管サーバー (CSS:Configuration Storage Server) として AD LDS が使用されています。
内容を確認したい場合、[LDAP://localhost:2171/CN=FPC2] に ADSI エディターで接続をすることで確認をすることができます。
image?
TMG ではマスターの情報は、AD LDS に格納され、その情報が各 TMG サーバーのローカルレジストリに反映されるようになっています。
image

アレイを組むことで、各 TMG サーバーで同一の CSS を使用できるようになります。

スタンドアロン アレイの場合は、CSS は単一、エンタープライズ アレイの場合は CSS のレプリカを作成し冗長化を
することができるようになります。

?

[スタンドアロン アレイの構築]

それでは実際にスタンドアロン アレイを構築したいと思います。

  1. まずは、どの TMG サーバーをアレイ マネージャーとするかを決めます。
    アレイ マネージャーは AD LDS を実行するサーバーになります。
    スタンドアロン アレイの場合、アレイ マネージャーに TMG サーバーを参加させることで冗長構成をとることになります。
  2. アレイ マネージャーとするサーバーを決めたら、参加させるサーバーで [Forefront TMG の管理] を実行します。
    image
  3. [Forefront TMG (<サーバー名>)] を右クリックして、[アレイへの参加] をクリックします。
    image
  4. [次へ] をクリックします。
    image
  5. [指定したアレイ メンバー (アレイ マネージャー) によって管理されるスタンドアロン アレイに参加します。] を選択し、[次へ] をクリックします。
    image?
  6. アレイ マネージャーとする TMG サーバーのサーバー名を入力し、[ログオンしているユーザーの資格情報を使って接続する] を選択し、
    [次へ] をクリックします。
    image
    今回は、[Domain Users] グループのユーザーで、各 TMG サーバーのローカル [Administrators] グループに参加しているユーザーで
    ログオンしています。
  7. [完了] をクリックします。
    image

    [完了] をクリックすると、アレイの参加が開始されます。
    image

  8. [OK] をクリックします。
    image

以上で、スタンドアロン アレイの設定は完了です。

構成とシステムを確認した画面が以下になるのですが、サーバーが 2 台構成となっているのが確認できます。image
image

[Forefront TMG (<サーバー名>)] を右クリックして、プロパティを開いた画面が以下になります。
[種類] が [スタンドアロン アレイ] になっているのが確認できますね。
エンタープライズ アレイの場合は、使用する CSS のサーバーが指定できるのですが、スタンドアロン アレイの場合、CSS は単一の
サーバーとなるため、CSS のサーバーを指定することはできません。
image

こちらは、アレイに参加していない別のサーバーで取得したものになります。
アレイに参加する前のサーバーは、[スタンドアロン サーバー] となっていますね。
?image

[スタンドアロン アレイ構築後のサーバーの環境]

スタンドアロン アレイを構築するとサーバーの環境は以下のように変更されます。
パッと見わかりずらいのですが、[TMG-02] からディレクトリサービスの画像が消えています。
image?

スタンドアロン アレイ構築時の環境変化のポイントだと思うのですが、アレイに参加しているサーバーは、アレイ マネージャー以外の
サーバーで AD LDS が [無効] な状態になります。
image

これは、スタンドアロン アレイでは、アレイ マネージャーが唯一の CSS になるからだと思います。

はじめ、この辺の動きが理解できておらず、すったもんだしましたがようやく構成が理解できてきました。
この構成では、TMG サーバーは冗長化されているのですが、CSS が冗長化できていない状態となっています。

CSS を冗長化するためにはエンタープライズ アレイの構成を構築する必要があります。

次の投稿でエンタープライズ アレイの構成で構築をしてみたいと思います。

Written by Masayuki.Ozawa

5月 22nd, 2010 at 2:29 pm

Posted in ISA

TMG 2010 のネットワーク検査システム (NIS) をテスト

leave a comment

TMG 2010 ではネットワーク検査システム (Network Inspection System) という機能が追加されています。
バーチャルパッチといわれるような機能に相当し、TMG で既知の脆弱性の検査をし脆弱性を狙った攻撃をブロックする機能になります。

検査される内容に関しては、以下のように管理されており基本的には MS のセキュリティ情報と対応付けられており、
それぞれのセキュリティの問題に対して、署名という形でブロックする情報が管理されています。
image

この情報は Microsoft Update 経由で更新ができるようになっており、定期的に更新ができるようになっています。
image

検査の内容に関しては署名セットという形でパックされた形で管理されており、内部ではバージョン管理がされています。
何かの理由で以前配信された署名セットを使いたいといった場合には、アクティブにする署名セットを手動で選択することも可能です。
image

?

この検査機能ですが、昨日から構成について調べてみたのですが、以下の図のようなインライン型の IDS (Intrusion Detection System) となるようで、
検査をするためには、TMG を介してアクセスされるようにネットワークを構成する必要があるようなんですよね。
# IDS 大きく分類すると、はインライン型とネットワーク型に分かれるようです。私はネットワーク苦手で恥ずかしながらインライン型しか知りませんでした…。
 【特集】 続 不正侵入対策最前線
image

この機能を使うことで、セキュリティパッチが提供されていない、レガシー OS (Windows NT / 95 / 98 / 2000 (2000 はもうじきですね) 等) に関しても、
TMG 経由のアクセスに関しては脆弱性を狙っての攻撃をブロックすることができるようになります。

簡単な図にするとこのような形式でしょうか。
TMG で検査がされれば脆弱性を狙った攻撃はブロックされますので、TMG の後ろに配置しているサーバーの OS には依存しない形になります。
?image

ただし、このような形でアクセスができるネットワーク環境になると TMG では検査ができないので NIS が機能しません。
# ネットワーク機器側でポートミラーで飛ばせば良いのかな??
ネットワークの構成は考える必要がありそうですね。
私はネットワーク関連が苦手なので、もしかしたら間違っているのかも…。
このようなアクセスが可能な場合でも検査できる!!ということでしたらコメントを頂けるととても助かります。
image

?

この NIS の機能なのですが、TMG ではテスト用に 2 種類の署名が用意されており、正常に構成されているかの動作検証をすることができるようになっています。
今回は、このテスト用の署名を使った NIS のテストについてまとめていきたいと思います。

[テスト用の署名]

NIS のテスト用の署名として、HTTP と SMB のテスト署名が用意されています。
これらの署名を使ったテストなのですが、TMG のヘルプにも記載があるのですがヘルプの内容が間違っているようで、テスト用の署名の名称だったり、
テストで使用するための URL / ファイル名を見つけることができなかったりします…。
# [NIS の機能をテストする] というヘルプがあるのですが、内容がいまいち…。

TMG の書籍として、
Microsoft Forefront Threat Management Gateway (TMG) Administrator’s Companion (Pro -Administrator’s Campanion)
という書籍があるのですが、この中に HTTP を使用した NIS のテスト方法について記載がされています。

本を買うのはちょっと・・・。という方にはホワイトペーパーも用意されています。
# というより、NIS に関してはホワイトペーパーの方が詳しいです。
ホワイトペーパーでは、HTTP だけでなく、SMB のテスト方法についても記載されています。

[Word]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

[PDF]
Guide for Configuring, Monitoring and Troubleshooting the Network Inspection System (NIS) in Forefront Threat Management Gateway (TMG) 2010

テストをする際には、ホワイトペーパーを一読した方が良いと思います。
# 私は英語の能力がべらぼーに低いので眺めながら (とてもとても読めません…) やったのですが何とかテストで
きました。

テスト用の署名は以下の 2 種類になります。

[HTTP 用]
image

[SMB 用]
image
# 私の環境、なぜか SMB のテスト用の署名が同一名称で 2 つありました…。

これらの署名で検知されるようなアクセスをすることで NIS のテストをすることが可能です。

[HTTP のテスト]

HTTP 用のテストに関しては方法は簡単で、TMG を経由するような環境を作ってからブラウザで特定の URL にアクセスすることで確認ができます。

テスト用の URL は以下のものになります。
# ホワイトペーパーに記載されています。

http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%6^[{NIS-Test-URL}]1!2@34$5%6^

NIS の署名を無効にしている状態で、上記の URL にアクセスすると、US の microsfot.com にアクセスされます。
image

それでは HTTP 用の NIS の署名を有効にしてテスト用の URL にアクセスをしてみます。
image

[500 Internal Server Error. トラフィックが IPS によってブロックされましたという。] というエラーが発生し、
ネットワークのアクセスがブロックされます。

TMG のログにも以下のように NIS でブロックされたというログが出力されます。
image
image

上のアクセスですが、このような形になっています。
デフォルトゲートウェイとして、TMG を構成しています。
# NIC 2 枚で、[エッジ ファイアウォール] として構成しています。
この場合、エラーコードとしては [500] となるようです。
image

?

以下の図のような形で、クライアントのデフォルト G/W としては、ルーターを設定して、プロキシとして TMG を設定してアクセスをしてみます。
image

?

エラーメッセージは同じなのですが、[502 Proxy Error] という形で NIS による検査がされます。
?image

プロキシとして設定した場合に NIS で検査された場合は以下のようなログが TMG に記録されます。
image

ゲートウェイでなく、プロキシにしても HTTP に関しては検査ができますね。
単一ネットワークの場合、ゲートウェイとして TMG を構成するのはできないと思いますので、その場合はプロキシとして構成する必要があります。

?

[SMB のテスト]

もう一つのテスト用の署名として SMB の署名が用意されています。

SMB のテスト署名を使ったテストに関してもホワイトペーパーに記載がされています。
これに関しては、TMG を経由するようにして特定のファイル名のファイルをコピーすることでテストをすることができます。

今回は以下の構成に市提案す。
image

テストに使用するファイル名は以下の名称になります。

C0AABD79-351B-4c98-8AE7-69F4279FEF54.txt

SMB 用のテスト用署名を無効にしている状態ではこのファイル名のファイルをゲートウェイとして構成している TMG を介してコピーすることができます。
image

SMB のテスト用署名が有効になっている状態では、ファイルをコピーすると以下のエラーが発生します。
image

TMG のログには、CIFS が NIS によりブロックされていることが出力されています。
image
image

テストに関してはこれらのテスト署名を使用することで実施することができます。
パフォーマンス測定などもこれらのテスト署名でできそうですね。

Written by Masayuki.Ozawa

5月 16th, 2010 at 2:40 pm

Posted in ISA

TMG 2010 で RD Web アクセスを公開

2 comments

先週の頭まで、MCP 70-659 の勉強で検証環境に VDI や RemoteApp を構築していました。
VDI と RemoteApp は RD (リモートデスクトップ) Web アクセスで公開することができます。

私の使っている検証環境には TMG 2010 があるので、リバースプロキシ越しで使うことができるのかな?
と思って RD Web アクセス用のルールを作って試してみました。

?

■TMG 2010 のファイアウォールポリシー

リバースプロキシはファイアウォールポリシーで設定をすることになります。
パスの変換ルールとして [RDWeb] を許可するルールを作る必要があります。

設定については以下の画像の用になります。
[/RDWeb/*] のパスに対してのアクセスを許可しています。
image?

ブリッジに関しては [HTTPS to HTTPS] (TMG が 443 で受けて RD Web アクセスの 443 に接続) で設定しているのですが、
これは [HTTPS to HTTP] (TMG が 443で受けて RD Web アクセスの 80 に接続) でもよいかもしれないですね。
image?

ざっくりとした概要図を書くと以下のようになります。
# 正確には RD 接続ブローカーや、RD ゲートウェイも入っていたりするのですが。

image?

クライアントからは、TMG 2010 に HTTPS でアクセスできれば RD Web アクセスを経由して、VDI や RemoteAppを
使用することができるようになります。

image?

image

VDI / RemoteApp は RD ゲートウェイを設定することができ、[接続承認ポリシー] [リソース承認ポリシー] と
組み合わせることもできます。
image  image image  image

TMG と RD ゲートウェイが組み合わされるため、構築していて認証される個所がよくわからなくなってきましたが…。
設定がきちんとされていれば、TMG 2010 越しで VDI と RemoteAppを使用することができるようになります。

Windows 7 の [RemoteApp とデスクトップ接続] も TMG 2010 越しで使用することができます。
image?
image  image
image

リスナーの認証設定によっては、[認証の委任] を [委任できません。クライアントは直接認証できます] に
設定しないとうまく動作しないことがあるかも知れません。
# クライアントは直接認証できないのが望ましいんでしょうけど。私の環境はリスナーの認証設定をきちんと整備していないので
 直接認証できないと接続ができないことがしばしばあります。
image?

HTTPS を公開することでいろいろなサービスが享受できるようになりますね。

Written by Masayuki.Ozawa

3月 22nd, 2010 at 2:33 pm

Posted in ISA