SE の雑記

TMG 2010 RC のインストールをまとめてみたいと思います。
今回は Windows Server 2008 R2 + TMG 2010 RC の環境を構築しています。

インストーラーで役割までインストールできるのでかなり簡単に導入できます。

ISA 2006 は CSS をインストールしてから、ISA をインストールするパターンで構築しましたが、
今回は両方を一度にインストールする方法でインストールしてみたいと思います。

[役割 / 機能のインストール]

サーバーマネージャで必要となる役割をインストールしなくても、インストーラーから必要なものを
一括でインストールすることができます。

1. インストーラーを起動します。
2. [Run Preparation Tool] をクリックします。
   
3. [次へ] をクリックします。
   
4. [I accept the terms of the License Agreements] を有効にして、[次へ] をクリックします。
   
5. [Forefront TMG services and Management] を選択し、[次へ] をクリックします。
   
6. 必要となる役割 / 機能がインストールされます。
   
7. [完了] をクリックします。
   ?

これでインストール前の準備は完了です。

役割は

• Active Directory ライトウェイト ディレクトリサービス
• ネットワーク ポリシーとアクセスサービス

機能は

• .NET Framework 3.5.1
• ネットワーク負荷分散
• AD LDS スナップインおよびコマンドライン ツール
• Windows PowerShell の Active Directory モジュール
• ネットワーク負荷分散ツール

がインストールされます。

[TMG 2010 のインストール]

[Launch Forefront TMG Installation Wizard] を有効にした状態で、[完了] をクリックすると
自動的にインストールウィザードが起動されます。
有効にしていなかった場合は、インストーラーの [Run Installation Wizard] をクリックします。

1. [Next] をクリックします。
   
2. [I accept the terms in the license agreement] を選択し、[Next] をクリックします。
   
3. [Next] をクリックします。
   
4. [Next] をクリックします。
   
5. [Add] をクリックして、内部ネットワークを追加し、[Next] をクリックします。
   ?
6. [Next] をクリックします。
   
7. [Install] をクリックします。
   
   
8. [Finish] をクリックします。
   ?

これでインストールは完了です。

次は冗長構成のためにサーバーを追加してみたいと思います。

ISA 2006 SP1 をインストールするとイベントビューアのアプリケーションに以下の警告が表示されることがあります。

SNP が有効になっていると警告が表示されるみたいですね。
SNP を無効にする方法は説明に表示されている KB948496 に記載されています。

Windows Server 2003 ベースおよび Small Business Server 2003 ベースの既定の SNP 機能をオフにする更新プログラム

KB948496 の更新プログラムを適用するかレジストリ変更により、SNP を無効にできます。

直接レジストリを変更する場合は以下のコマンドを実行すると楽かも。

REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableTCPChimney /t REG_DWORD /d 0 REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableRSS /t REG_DWORD /d 0 REG ADD HKLMSYSTEMCurrentControlSetServicesTcpipParameters /v EnableTCPA /t REG_DWORD /d 0

?

Windows Server 2008 で SNP を無効にする場合は、以下の KB が参考になります。

Windows Server 2008 で TCP Chimney オフロード、受信側のスケーリング、およびダイレクト メモリ アクセスのネットワーク機能に関する情報

TMG 2010 では特に警告は表示されないみたいですね。
SNP が有効になっているとたまに障害が発生することがあるので、無効にしておいた方がよいのでしょうか？？

Windows Server 2008 R2 では NetDMA も netsh コマンドで変更できますので、レジストリ操作はせずに
コマンドだけで SNP が無効にできそうです。
# netdma というパラメータが使用できます。

ISA 2006 には Windows Update 用のルールがデフォルトで作成されていますが、現在の Windows Update で
必要となるドメイン名セットがいくつか入っていません。
# 投稿を書く前に設定をしてしまったので、具体的にどのドメイン名が抜けていたのかが記載できません…。

必要となるドメイン名は以下の KB に記載されています。

ISA Server を実行するサーバーを経由して Windows Update Version 6 の Web サイトにアクセスするときにエラーが発生する

Windows Update の設定ですが、既定のポリシーでは設定されている個所が 2 個所ありそうです。

1. システム ポリシーの許可サイト
2. Microsoft Update ドメイン名

[システム ポリシーの許可サイト] は ISA サーバー自身のアクセスが許可されるドメイン名が定義されています。
# Enterprise Edition の場合はエンタープライズのポリシーとして設定されています。
ISA サーバーが Windows Update に接続できない場合はこのポリシーにドメイン名を設定します。

[Microsoft Update ドメイン名] はアレイにデフォルトで作成されている Windows Update ドメイン名です。
Web プロキシを使用する場合は、許可する宛先としてこのドメイン名セットを指定してルールを作成します。

Windows Update ができない場合は、上記ポリシーの内容を変更して、許可するドメインを増やしていきます。

手動で Windows Update をした場合、 [go.microsoft.com] 経由でアクセスされることがありますので、
KB の記載以外に [go.microsoft.com] または、[*.microsoft.com] の定義も追加が必要かもしれません。
# Windows Update → Microsoft Update への切り替えで必要だったみたいです。

ドメイン名セットだけでアクセスできない場合は、[65.55.0.0 / 16] のセグメントや [202.232.140.15] への
アクセスが拒否されて実行できていないこともあるようです。
アクセス拒否のログを確認していたところ、上記 IP アドレスへのアクセスが拒否となって Windows Update が
できなかったことがありました。

65.55 のセグメントは Microsoft が使用しているもののようですね。202.～ は akamai のようです。
65.55 はサブネットでは開けたくないのですが、Windows Update 用にいくつか IP があるみたいなんですよね。

サーバーで Windows Update を実行するのであれば、この辺の設定を構築段階で確認しておいた方が良さそうです。

TMG でも IP を設定しておかないと手動で Windows Update できませんでした。
私の環境特有の問題なのでしょうか？？DNS の逆引きがうまくいっていないのかな…。

ちなみに TMG になると KB のドメイン名はデフォルトで設定されていました。
# [forefrontdl.microsoft.com] が増えているようですね。

ドメイン名セットを確認したくて TMG をインストールしてみたのですがインストーラーに
適切な役割を追加する機能が付いていてかなり簡単にインストールできました。
TMG は x64 専用なんですね。はじめて知りました。

ISA 2006 EE ではサーバー ファームの機能があります。

サーバー ファームは ISA 2006 を経由して公開する Web サーバーの負荷分散を Web サーバーで NLB を
組むのではなく、ISA 側で実装する機能です。

絵に描くと下図の形になります。

青が ISA で設定する個所になります。
緑が Web サーバーで NLB を設定する個所です。

サーバー ファームで負荷分散する場合は、どの Web サーバーを負荷分散させるのかの設定までをISA で設定します。
NLB ではないので Web サーバーで仮想 IP は付与しません。

NLB で負荷分散構成を行う場合は、ISA からの転送先は Web サーバー側で設定した仮想 IP になりますので
通常のリバースプロキシと同じですね。

それでは実際の設定です。

[サーバー ファームの作成]

まずは負荷分散をする Web サーバーをファームとしてまとめる必要があります。

1. [ISA Server の管理] を実行します。
2. 設定をするアレイを展開し、[ファイアウォール ポリシー] を選択します。
   
3. [ツールボックス] から [ネットワーク オブジェクト]? を選択し、[新規作成] → [サーバー ファーム] をクリックします。
   
4. [サーバー ファーム名] を入力して、[次へ] をクリックします。
   
5. [追加] をクリックして、ファームに登録するサーバーを設定します。
   
   今回は、Windows Server 2003 のサーバーを 2 台用意してありますので、追加をして [次へ] をクリックします。
   
6. サーバーの死活監視方法を設定し、[次へ] をクリックします。
   
7. [完了] をクリックします。
   ?
8. [適用] をクリックします。
   
9. [OK] をクリックします。
   

これでファームの設定は完了です。

あとはこのファームを宛先として、Web サイトの公開ルールを作成します。

[サーバー ファームを使用した公開ルールの作成]

1. [タスク] から [Web サイトの公開] をクリックします。
   
2. ルール名を入力して、[次へ] をクリックします。
   
3. [許可] を選択して、[次へ] をクリックします。
   
4. [負荷分散 Web サーバーのサーバー ファームを公開する] を選択して、[次へ] をクリックします。
   
5. HTTP / HTTPS のどちらで公開するかを
   選択して、[次へ] をクリックします。
   今回は HTTP で公開します。
   
6. 内部サイト名を入力して、[次へ] をクリックします。
   NLB を使っていない場合は、ホストヘッダーを使っている場合以外に利用することってあるのでしょうか？？
   ?
7. 特定のディレクトリの公開設定をする場合はパスを入力して、[次へ] をクリックします。
   今回は特にディレクトリを限定しないので省略しています。
   
8. 負荷分散に使用するファームと負荷分散方法を選択して、[次へ] をクリックします。
   
9. パブリック名を入力して、[次へ] をクリックします。
   こちらの名称は外部からのアクセスで使用される名称ですね。
   
10. 要求を受け付けるリスナーを選択して、[次へ] をクリックします。
    
11. 認証の委任方法を選択して、[次へ] をクリックします。
    
12. アクセスの許可対象を選択して、[次へ] をクリックします。
    
13. [完了] をクリックします。
    ?
14. [適用] をクリックします。
15. [OK] をクリックします。

これでファームを使用した負荷分散構成の設定は完了です。
HTTP の GET 要求で負荷分散をしてくれますので、サーバーは動いているが IIS が落ちているという状態だと、
IIS が動いているサーバーに要求が行くようになるので便利そうです。
# NLB はポートや要求の死活監視はしていなかった気がします。
　 IIS が落ちてもサーバーが動いてると負荷分散対象として収束されたままだったかと。

Application Center Server がなくなってから、ポート単位での負荷分散はどのようにやればいいのかと
思っていたのですが、ISA のサーバー ファームを使うことで対応できるかも。

今回の投稿で ISA をいろいろと調べることができたので、次期バージョンの TMG を使用したリバースプロキシも
検証してみたいと思います。
Forefront Threat Management Gateway

リバースプロキシで使用する仮想 IP アドレスを設定するために NLB の設定を行います。

[Hyper-V 2.0 特有の設定]

今回は検証環境に Hyper-V 2.0 を使用しています。
Hyper-V 2.0 で NLB を設定する場合は、仮想 IP を付与する NIC の設定で、[MAC アドレスのスプーフィングを有効にする] を
有効にしておく必要があります。
# この設定は SCVMM でみた時は、ゲスト OS のネットワークアダプタの下の方にあるのでプロパティウィンドウを下に伸ばして、
　 大きくしないと表示されません。

Hyper-V 1.0 の時は [静的 MAC アドレス] にして、ゲスト OS に同様の MAC アドレスを割り当てる必要があったはずです。

[統合 NLB の設定]

通常、Winodws の NLB の設定をする場合、[ネットワーク負荷分散マネージャ] から NLB クラスタを構築しますが、
ISA の統合 NLB の場合は ISA の管理コンソールから設定します。

1. NLB を設定するアレイを選択し、[構成] → [ネットワーク] を右クリック → [ネットワーク負荷分散の統合の有効化]
   をクリックします。
   
2. [次へ] をクリックします。
   
3. NLB を設定するネットワークが含まれる対象のチェックを有効にし、選択した状態にし、[仮想 IP の設定] をクリックします。
   
4. NLB の仮想 IP を設定し、[OK] → [次へ] をクリックします。
   
5. [完了] をクリックします。
   
6. [OK] をクリックします。
   
7. [適用] をクリックします。
   
8. [変更は保存するが、サービスは再起動しない] を選択し、[OK] をクリックします。
   ?
9. [OK] をクリックします。
   
10. 操作をしなかった ISA でも管理コンソールを起動して、ネットワークを右クリックした際に、[負荷分散ネットワークの構成] が
    表示されることを確認します。
    ISA で NLB が有効になると右クリック時のメニューが変更されます。
    
11. 両 ISA サーバーで [Microsoft Firewall] サービスを再起動します。
    ?
12. サービス再起動後に [ipconfig] コマンドを実行して仮想 IP が付与されていれば設定は完了です。
    NLB が収束するまで時間がかかりますが、設定が終わると IP アドレスが 2 種類 (実 IP と 仮想 IP) 表示されます。
    

以上で NLB の設定は終了です。
統合 NLB ですと [ユニキャスト] モードで設定がされるので、NIC が 1 枚だとサーバー間の通信ができなくなったはずです。
1 枚の NIC だと ISA + CSS 複数台で統合 NLB の設定はできないかもしれないですね。

今回は NIC を 2 枚設定しているので問題なく稼働しています。

[マルチキャスト] モードで設定する場合は、統合 NLB ではなく普通に設定しないといけないのでしょうか？？
NLB の設定に関してはまだまだ確認の余地があります。

これで NLB の設定は完了です。

あとはリバースプロキシ用の [Web サイト公開ルール] を作成すれば一通りの作業完了です。
この設定は SE のリバプロ設定と変わらないので割愛したいと思います。

設定方法を全然覚えていなくて設定したら、
公開 Web サイトにアクセス クライアントの要求をパススルー認証を使用して、公開 Web サーバーにアクセスする ISA Server 2006 を構成するときにブロックされます。
の KB のエラーが出て四苦八苦しましたが…。
# 認証の委任の設定
が [委任できません。クライアントは直接認証できません。] であればエラーは出なかったですが、
　 どこで認証させるかによってこの辺の設定も変わりますよね。

次は ISA 2006 でサーバーファームの設定をまとめてみたいと思います。

構成保管サーバーのインストールが終了したら ISA 本体をインストールします。

まずは 1 台目の ISA を追加したいと思います。

[ISA のインストール]

1. インストーラーを起動します。
2. [ISA Server 2006 のインストール] をクリックします。
3. [次へ] をクリックします。
4. [変更] を選択し、[次へ] をクリックします。
   
5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
   
6. 構成保管サーバーを指定し、[次へ] をクリックします。
   今回は 2 台構成なのですが構成保管サーバーをたすき掛けで参照するのではなく、自分自身を指定しています。
   # 実際に使用する構成保管サーバーの設定ではなく、インストール時の構成情報を取得するための参照先だお思います。
   
7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
   
8. 参加させるアレイを設定し、[次へ] をクリックします。
   
9. [次へ] をクリックします。
   
10. 内部セグメントとして指定するネットワークを追加し、[次へ] をクリックします。
    今回は内部セグメントとして、Hyper-V の [内部ネットワーク] のネットワークに [192.168.0.x] のセグメントを
    割り当てています。
    
    [追加] をクリック → [アダプタの追加] → 内部ネットワークの NIC を選択し、対象のアダプタのネットワークを追加します。
    # AD も 192 のセグメントに配置しています。
    

    AD に参加している場合、AD のセグメントが内部ネットワーク外になる場合は 次へをクリックした際に
    ドメインコントローラー用のコンピュータセットを作成し、その中にドメインコントローラーの IP を設定してくれます。

11. [次へ] をクリックします。
    
12. [インストール] をクリックします。
    
13. [完了] をクリックします。
    

[2003-ISA-11] の構成保管サーバーでアレイに登録されているサーバーを確認してみます。
 
サーバーが登録されて、緑丸アイコンが表示され正常に認識されていますね。

[2003-ISA-12] の構成保管サーバーでされいに登録されているサーバーを確認すると、
砂時計アイコンの状態となりこの状態から変更されません。

[2003-ISA-11] に ISA をインストールされることでファイアウォール機能が稼働しますので、
ポリシーで許可されていないサーバーの送信パケットは拒否されるようになります。
このまま、[2003-ISA-12] に ISA をインストールすると 12 側でもファイアウォールが稼働し、
構成保管サーバーの複製も拒否されてしまうようです。

アレイのシステムポリシーとして、[構成保管サーバーのレプリケーション] というポリシーが設定されています。
# システムポリシーはアレイ内の [ファイアウォール ポリシー] を右クリックして、[システム ポリシーの編集] から表示できます。

このポリシーの宛先として、[構成保管サーバーのレプリケート] というものが設定されています。

今回のインストール方法で構築した場合、[構成保管サーバーのレプリケート] にはどのサーバーも指定されていません。

この設定は [エンタープライズ] の [エンタープライズ ポリシー] の [コンピュータ セット] として登録さていますので、
今回使用している ISA を設定しておきます。

2 台なので個別に登録してもいいのですがせっかくなので範囲で登録してみました。

これで [2003-ISA-11] で接続が許可されるようになりますので、[2003-ISA-12] でサーバーを確認すると正常になります。

これで一台目の ISA が構築できましたので続いて 2 台目を追加します。

[2 台目の ISA の追加]

[2003-ISA-11] は ISA + CSS の構成となっていますが、[2003-ISA-12] は CSS のみとなっています。
ISA 部分の冗長性を確保するため [2003-ISA-12] に ISA をインストールします。

1. インストーラーを起動します。
2. [ISA Server 2006 のインストール] をクリックします。
3. [次へ] をクリックします。
4. [変更] を選択し、[次へ] をクリックします。
5. [ISA Server] をクリックし、[ローカル ドライブにすべてインストール] をクリックし、[次へ] をクリックします。
6. 構成保管サーバーを指定し、[次へ] をクリックします。
   今回も自身を指定しています。
    
7. [既存のアレイに参加する] を選択し、[次へ] をクリックします。
8. 参加させるアレイを設定し、[次へ] をクリックします。
9. [次へ] をクリックします。
   # 1 台目のインストール時に内部ネットワークの設定は完了しているため、ネットワーク設定は表示されません。
10. [次へ] をクリックします。
11. [インストール] をクリックします。
12. [完了] をクリックします。

これで ISA の冗長化が完了です。
両サーバーの管理コンソールでサーバーが 2 台になっていることが確認できます。

 

[追加した ISA の接続先構成保管サーバーの変更]

追加した [2003-ISA-12] の ISA の管理コンソールの使用する構成保管サーバーが [2003-ISA-11] に変更されているので、
[構成保管サーバーに接続] で接続先の構成保管サーバーを自身に変更しておきます。
# これは管理コンソールで接続する先のサーバーの指定なんでしょうね。
　 実際の代替構成は代替構成保管サーバーで設定しているはずですので。

1. [Microsoft Internet ～] を右クリック
   
2. [次へ] をクリックします。
   
3. [ローカルコンピュータ] を選択し、[次へ] をクリックします。
   
4. [次へ] をクリックします。
   
5. [完了] をクリックします。
    

[構築後の確認]

再起動後に AD の認証で時間がかかっている場合は ISA のシステムポリシーの設定が影響している可能性があります。
# ドメインユーザーを指定しての認証で時間がかかる場合は、ISA のシステムポリシーで AD へのアクセスがはじかれている
　 可能性があります。

AD に参加している ISA は一般的な構成でない気がしますが、ISA 構築後は一度再起動してみて、イベントビューアに
[netlogon] のエラーが出ていないことを確認したほうがよいかと思います。

ISA の認証で動きがおかしい場合は、Active Directory のシステムポリシーにドメインコントローラーが許可されているかを確認します。

あとは構成保管サーバーのレプリケート確認を兼ねて、エンタープライズにテスト用のルールを作成して複製されるか、

アレイ内にルールを設定して複製されるかの確認はしておいた方がよいかもしれませんね。

ファイアウォールポリシーで ISA サーバー間の複製が妨げられているといつまでたっても各構成保管サーバーに
情報が伝搬されませんので。

 

これで ISA の構成が冗長化されました。
リバースプロキシとして使用する場合はサーバー共通で使用する仮想 IP の設定を行う必要があります。
ISA 2006 EE は ISA を NLB として構築することが可能です。

次は ISA の統合 NLB の設定を行います。

ISA 2006 Enterprise Edition (EE) でリバースプロキシ環境構築方法を勉強中です。

一通り、流れがつかめた気がするので一度まとめてみたいと思います。
今回構築したいのは以下構成になります。

ISA は NIC × 2 の構成でインターネット向けの口とイントラネット向けの口を用意しています。
厳密な F/W は導入していないのですが セグメント違いますよ」というイメージ図のため、壁を入れてあります。

?

まずは構成保管サーバー (CSS: Configuration Storage Server) の構築から。

ISA 2006 では構成情報を構成保管サーバーに格納します。

Standard Edition (SE) の場合は構成情報をレジストリに格納されます。
– HKLMIsaStg_Eff1
– HKLMIsaStg_Eff1Policy
– HKLMIsaStg_Eff1Prot
に格納されているようです。

SE はシングルサーバー構成のため、レジストリに情報を格納して自身が参照できれば問題ないですよね。

EE の場合は複数ノードで ISA を構成することができます。
そのため CSS は ADAM (Active Directory Application Mode) を使用して管理されます。
# レジストリも使っているようですが、マスターは ADAM になるようです。
構成保管サーバーは ADAM をマルチマスタレプリケーションで複製することによる、レプリカを作成できますので
設定情報自体の冗長化を図ることが可能です。

ただし、この構成保管サーバーなのですが、CSS をワークグループ環境に設置した場合、レプリカ設定ができません。
ワークグループ環境の CSS に構成保管のレプリカを追加しようとすると以下のエラーになります。

CSS のレプリカ構成はドメイン環境必須になります。
そのため ISA 2006 EE を構築する場合は、CSS を内部ドメインに配置し、Active Directory 環境とする構成を
検討する必要があります。

今回はリソースが足りないので、ISA 2006 EE をドメインに参加させ、ISA 兼 CSS の構成として冗長性を確保しています。
# DMZ に配置するサーバーをドメイン環境に設置しています。微妙な構成？？

[事前準備]

インストール前の事前準備として以下の作業をしておきます。

1. ドメインに参加
2. Domain Users グループのユーザーを作成し、各 ISA サーバーのローカル Administrators グループに追加
3. 追加したドメインユーザーでログイン

[構成保管サーバーのインストール]

最初の構成保管サーバーをインストールします。
今回は OS に Windows Server 2003 R2 x86 を使用しています。

構成保管サーバーには ADAM を使用しており、2003 R2 にインストールする場合には、インストール中に
R2 の Disk2 の挿入が必要となります。

インストール中にディスクを入れ替えるの手間ですので、構成保管サーバーをインストールする際は

1. ISA のインストールメディアをローカルディスクに保存
2. R2 の Disk を挿入しておく
3. ローカルディスクのインストーラー? (isaautorun.exe)を起動

で行うと楽かと。
以前、インストールできないと困っていたら裏に、CD 挿入のダイアログが出ていただけだったことがあります…。
それ以来、EE のインストール時は上記の方法で行っています。
# SE は ADAM のインストールがないので CD 挿入のダイアログが表示されません。

インストールの手順は以下になります。

1. インストーラーを起動します。
2. [ISA Server 2006 のインストール] をクリックします。
   
3. [次へ] をクリックします。
   
4. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
   
5. [次へ] をクリックします。
   
6. [構成保管サーバーのインストール] を選択し、[次へ] をクリックします。
   
7. [次へ] をクリックします。
   
8. [新しい ISA Server エンタープライズの作成] を選択し、[次へ] をクリックします。
   
9. [次へ] をクリックします。
   
10. [エンタープライズ名] を設定し、[次へ] をクリックします。
    
11. [単一のドメイン内、または信頼関係のあるドメインに展開しています。] を選択し、[次へ] をクリックします。
    
12. [インストール] をクリックします。
    
13. [完了] をクリックします。
    

これで最初の構成保管サーバーのインストールは完了です。

[構成保管サーバーのレプリカの作成]

続いてレプリカを作成します。

1. インストーラーを起動します。
2. [ISA Server 2006 のインストール] をクリックします。
3. [次へ] をクリックします。
4. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
5. [次へ] をクリックします。
6. [エンタープライズ構成のレプリカの作成] を選択し、[次へ] をクリックします。
   
7. 最初にインストールした構成保管サーバーを FQDN で指定して、[次へ] をクリックします。
   両サーバーのローカル Administrators グループに追加さている Domain Users のアカウントを使用しているので、
   資格情報を設定しなくても通ります。
   # 今回は [isa.local] ドメイン/ [2003-ISA-11] / [2003-ISA-12] を構築して検証しています。
   
8. [ネットワーク上でレプリケートする] を選択し、[次へ] をクリックします。
   
9. [単一のドメイン内、または信頼関係のあるドメイン内に展開しています] を選択し、[次へ] をクリックします。
10. [インストール] をクリックします。
11. [完了] をクリックします。

これで構成保管サーバーのレプリカが作成されます。

[アレイの作成]

この後に、ISA 2006 の本体を導入しますので、インストール時に指定するアレイを作成しておきます。
アレイの作成は ISA の管理コンソール [ISA Server の管理] で行います。

1. [アレイ] を右クリック → [新規のアレイ] をクリックします。
   
2. [アレイ名] を設定し、[次へ] をクリックします。
   ?
3. [次へ] をクリックします。
   
4. [次へ] をクリックします。
   
5. [次へ] をクリックします。
   
6. [完了] をクリックします。
   
7. [OK] をクリックします。
   
8. [適用] をクリックして設定を反映させます。
   ?
9. [OK] をクリックします。
   

今回は [2003-ISA-11] 上で操作をしたのですが、構成情報は複製されていますので [2003-ISA-12] でも設定されています。

[代替構成保管サーバーの設定]

アレイには代替保管サーバーを設定できます。
構成保管サーバーのレプリカがあっても、代替構成保管サーバーを設定しないとアレイが使用している構成情報の冗長化ができません。

1. 作成したアレイを右クリック → [プロパティ] をクリックします。
   
2. [構成の保管] タブをクリックし、[代替構成保管サーバー] を設定し、[OK] をクリックします。
   今回の環境の初期状態では、代替構成保管サーバーは設定されていません。
   [2003-ISA-12] にも構成保管サーバーはインストールされていますので、代替構成保管サーバーとして設定します。
   ?
3. [適用] をクリックして設定を反映させます。
4. [OK] をクリックします。

しばらく待つと設定を行っていない構成保管サーバーにも複製されますので、全構成保管サーバーに設定されていることを
確認できれば設定完了です。

現在の設定ですとこの後、ISA 本体をインストールしたときにいろいろと不具合が起きるのですが、
それはこの後の投稿で確認しながら対処していきたいと思います。

忘れないうちに基本的な手順だけ投稿しておきたいと思います。

ISA をプロキシサーバーとして使用するときの設定です。

1. アクセスルールの作成
   [ファイアウォール ポリシー] → [タスク] → [アクセス ルールの作成] をクリックします。
   
2. アクセスルールの名称を入力し、[次へ] をクリックします。
   
3. [許可する] を有効にして、[次へ] をクリックします。
   
4. プロトコルとして [HTTP] / [HTTPS] を設定し、[次へ] をクリックします。
   ?
   基本的なプロトコルは ISA にデフォルトで登録されているので、プロトコルを事前に定義しなくても大丈夫です。
   今回は、[Web] のカテゴリに登録されていたプロトコルを選択しています。
   
5. ルールを適用する送信元を選択し、[次へ] をクリックします。
   私は、内部ネットワークに検証環境のプライベート IP を登録してあるので、[内部] の検証環境の全 IP を対象として
   設定しています。
   
6. ルールが適用される宛先を選択し、[次へ] をクリックします。
   今回は、検証環境から HTTP / HTTPS で外部にアクセスしたときに適用されるルールにしたいと思います。
   
7. デフォルトの [すべてのユーザー] の状態で [次へ] をクリックします。
   
8. [完了] をクリックしてルールを作成します。
   
9. [適用] をクリックしてルールを反映させます。
   

それでは作成した、ルールをテストしてみたいと思います。
まずは、クライアントの IE にプロキシの設定をします。
今回はクライアントに Vista Enterprise Edition x86 SP2 を使用しています。

IP は塗りつぶしてしまっていますが、ISA サーバーの IP アドレスを指定しています。

?

ポートは ISA の Web プロキシ用のデフォルトのポートを指定しています。
Web プロキシで使用するポートは ISA の内部ネットワークのプロパティで変更することが可能です。
[構成] → [ネットワーク] → [内部] のプロパティ
?

Web プロキシ用のルールが設定されていない場合は、ブラウザには以下の表示がされます。

ルールを有効にするとプロキシサーバーが要求を受け付けますので、ブラウジングが可能になります。

現在はすべてのユーザーを許可するオープンプロキシとなっていますが、作成したルールのプロパティのユーザーから
[すべてのユーザー] を削除し、[認証されたすべてのユーザー] とすることで、認証されたユーザーのみがブラウザで
インターネットに接続できる構成とすることも可能です。

ユーザーセットは独自に定義することも可能ですので、特定の Windows グループにメンバとして登録されている
ユーザーのみがブラウザでインターネットに接続できるような構成も簡単にできそうです。

認証方式はデフォルトでは [統合] 認証となっていますが、[構成] → [ネットワーク] → [内部] → [Web プロキシ] の
[認証] から認証方式を変更することが可能です。

[URL セット] や [ドメイン名セット] でブラックリストやホワイトリストの定義ができそうですね。

まだ、本当に基礎の基礎しか触れていないのですが、プロキシ環境を使用した検証が必要な場合はこのあたりの設定をすれば
対応できそうかなと思っています。

ISA の次期バージョン TMG が発売されるタイミングで自習書のようなものが提供されるとうれしいです。
ネットワーク関連の知識は弱い方だと思っているのでこのような製品を触りながらスキルアップをしていきたいです。

HTTPS で ISA を公開するための手順の続きです。

[Web リスナ の作成? (SSL) ]

作成の手順は証明書関連を除くと HTTP のときとほとんど同じです。
同じ箇所は画像は省略して手順を記載しています。

1. [スタート] → [すべてのプログラム] → [Microsoft ISA Server] から [ISA Server の管理] を開きます。
2. [ファイアウォール ポリシー] を選択し、[ツールボックス] → [ネットワーク オブジェクト] → [Web リスナ]
   → [右クリック] → [新しい Web リスナ] をクリックします。
3. 任意の [Web リスナ名] を入力し、 [次へ] をクリックします。
4. [クライアントとの SSL セキュリティ保護接続を必要とする] を選択し、[次へ] をクリックします。
   
5. 外部からの要求を受け付ける IP アドレスが指定されているネットワークを選択し、[次へ] をクリックします。
6. ネットワークに複数の IP を割り当てている場合は IP 単位で証明書を設定できるようです。
   今回は単一の IP を割り当てていますので、[この Web リスナに 1 つの証明書を使う] を選択し、[証明書の選択] を
   クリックします。
   
7. 証明書の設定が完了していると、サイト用の証明書が選択できるようになっています。
   使用する証明書を選択し、[選択] をクリックし、[次へ] をクリックします。
   
8. [クライアントが ISA Server に～] は [認証なし] を選択し、[次へ] をクリックします。
9. [次へ] をクリックします。
10. [完了] をクリックします。

これで SSL を使用するリスナーの作成は終了です。
あとは HTTP のときと同様にこのリスナーを使用するポリシーを作成します。

[ファイアウォール ポリシーの作成]

こちらも HTTP のときと同じ箇所の画像は省略で。

1. [タスク] → [Web サイトの公開] をクリックします。
2. 任煮の [公開ルール名] を入力し、[次へ] をクリックします。
3. [許可] を選択し、[次へ] をクリックします。
4. [1 つの Web サイトまたは付加分散装置を公開する] を選択し、[次へ] をクリックします。
5. 今回は Web サーバー側も SSL を適用したサイトで作成しているのでこちらの設定を使用しています。
   [公開された Web サーバーまたはサーバー ファームへの接続に SSL を使用する] を選択し、[次へ] をクリックします。
   クライアント ←→ ISA 間は SSL で保護されているので、 ISA ←→ Web サーバー間は SSL を使用しないという
   考え方もあるかも知れません。
   その場合は下のラジオボタンを選択します。
   今まで、SSL のサイト展開をした経験がないのでわからないのですが、一般的にはどちらが多いんでしょう？？
   
6. [内部サイト名] と、必要に応じて [コンピュータ名または IP アドレス～] を有効にして、入力を行い [次へ] をクリックします。
7. [内部公開の詳細] はデフォルトのままで [次へ] をクリックします。
8. [パブリック名] に外部公開のドメイン名を入力し、[次へ] をクリックします。
9. [Web リスナ] に作成した SSL 用のリスナ名を選択し、[次へ] をクリックします。
   
10. 認証方式は、[委任できません。クライアントは直接認証できません] を選択し、[次へ] をクリックします。
    作成したルールを RD ゲートウェイで使用する場合は、ゲートウェイ側と ISA 側の設定にもよるかも知れませんが、
    [委任できません。クライアントは直接認証できます] に設定しないと RD ゲートウェイへの接続時に認証ダイアログに
    ユーザー情報を指定してもログインできないことがあります。
    # 設定を [クライアントは直接認証できます] にしてもユーザー名にはきちんとドメイン名を入力しないと
    　 接続できませんでした。
    RD ゲートウェイには SSL ブリッジという機能があるんですね～。いままで気づきませんでした。
    
11. [次へ] をクリックします。
12. [完了] をクリックします。
13. [適用] をクリックして、今までの設定を反映させます。

これで HTTPS 経由でのリバースプロキシとして使用することが可能です。

ISA のプロキシ機能がうまく使えると検証環境を柔軟に構成変更できる環境にできそうです。

HTTPS で ISA を公開する場合の手順になります。
HTTP の設定と大きく異なるのは証明書の設定です。

手順としては

1. ルート証明書のインポート
2. サイト用証明書のインポート
3. Web リスナ の作成? (SSL)
4. ファイアウォール ポリシーの作成

になります。

まずは [その 1] として証明書のインポート関連の手順をまとめてみたいと思います。

verisign 等の証明機関から発行されている証明書を使用する場合は [ルート証明書のインポート] は不要です。
私は AD CS (Active Directory 証明書サービス) で発行している証明書を使用しており、ISA はワークグループの
環境で配置しているため、AD CS のルート証明書をインポートしています。

[ルート証明書のインポート]

1. ルート証明書をエクスポートします。
   Windows Server 2008 の AD CS の場合には、管理ツールの [証明機関] を実行して、証明機関のプロパティを開き、
   [証明書の表示] → [詳細タブ] → [ファイルにコピー] からルート証明書をエクスポートし、エクスポートしたファイルを
   ISA にコピーします。
   # 検証で証明書を使っているので塗りつぶしだらけです･･･。
   
2. ISA でファイル名を指定して実行から [mmc] を起動します。
3. [ファイル] → [スナップインの追加と削除] →[証明書] → [追加] をクリックします。
   
4. [コンピュータ アカウント] を選択し、[次へ] をクリックします。
   
5. [完了] をクリックして、スナップインを追加します。
6. [信頼されたルート証明機関] → [右クリック] → [すべてのタスク] → [インポート] をクリックします。
   
7. [次へ] をクリックし、[参照] でコピーしておいた証明書を選択し、[次へ] をクリックします。
8. [証明書をすべて次のストアに配置する] が選択され、[信頼されたルート証明機関] が表示されていることを確認し、
   [次へ] をクリックします。
   
9. [完了] をクリックし、ルート証明書をインポートします。

これで、AD CS で発行された証明書が有効なルート証明機関から発行された証明書として認識できるようになります。

[サイト用証明書のインポート]

続いてサイト用の証明書をインポートします。

IIS 7.0 では IIS マネージャからドメイン証明書が簡単に作成できます。
サイト用の証明書はこの機能を使用して作成しました。
以下、簡単ですがサイト用証明書の作成手順です。
[Domain Admins] のメンバーで操作をしないとうまくいかないかも知れないです。
# [Cert Publishers] で大丈夫かなと思っていたのですが駄目でした･･･。

1. IIS マネージャを起動します
2. サーバーを選択して、[サーバー証明書] をクリックします。
   
3. [ドメイン証明書] の作成をクリックします。
   
4. [一般名] に SSL を使用するサイトの名称を入力し、他の情報も入力して [次へ] をクリックします。
   一般名を [*.ドメイン名] として証明書を作成しておくと複数のサイト用の証明書として使用できます。
   [*.test.local] で証明書を作成した場合は、[www.test.local] [www2.test.local] というサイト名を
   一つの証明書で使用することが可能となります。
   
5. [オンライン証明機関の指定] で AD CS サーバーを選択し、[フレンドリ名] を入力し、[終了] をクリックします。
   フレンドリ名は実際のサイト名とは異なる証明書の管理名を入力すれば問題ありません。
   # AD CS サーバーの構築が正常に終了していないと [選択] ボタンで AD CS のサーバーを選択できないようです。
   IIS 7.0: IIS 7.0 でドメイン サーバー証明書を作成する

これでサイト用の証明書の作成は終了です。
IIS マネージャのサーバー証明書に以下のような表示がされていれば成功です。
この証明書は AD CS 側では自動的に [発行した証明書] として設定されています。

証明書を右クリックして [エクスポート] をするとファイルにエクスポートすることが可能です。

これでファイルにエクスポートした証明書を ISA にコピーして登録します。

1. MMC を実行して、スナップインを追加するところまでは [ルート証明書のインポート] と同じです。
2. [個人] → [右クリック] → [すべてのタスク] → [インポート] をクリックします。
   
3. [次へ] をクリックし、[参照] でコピーしておいた証明書を選択し、[次へ] をクリックします。
   IIS マネージャでエクスポートした証明書は [pfx] のファイルですので、ファイルの種類で [*pfx,*p12] を選択しておきます。

   

4. パスワードの入力画面では、エクスポート時に指定したパスワードを入力し、[次へ] をクリックします。
   
5. [証明書をすべて次のストアに配置する] が選択され、[個人] が表示されていることを確認し、[次へ] をクリックします。
   
6. [完了] をクリックし、サイト用証明書をインポートします。

これで ISA で SSL サイトを設定するための事前準備が完了です。
次の投稿で実際に HTTPS でサイトを公開するための ISA の設定をまとめたいと思います。
# リモートデスクトップ ゲートウェイ (以前の TS ゲートウェイ) を公開するときの設定も少し書きたいと思っています。