SCCM 2007 の検証を少し始めています。

まだまだ初期段階なのですが、関連情報をメモとして投稿しておきたいと思います。
2 年ぐらい前までは日本語の情報はあまりなかったみたいなのですが、今は情報が充実しているようですね。

Windows Server 2008 R2 + SQL Server 2008 SP1 RU5 + SCCM 2007 R2 SP2 という環境を構築している最中なのですが、
結構リソースを多めに割り当てないと検証が厳しいかもしれないですね。
メモリ 2 GB + 2 CPU の環境でも少し重いような気がしています。
# OpsMgr もメモリが 2 GB ないと厳しかったような。

SCCM 2007 SP2 であれば Windows Server 2008 R2 にも対応しています。
マイクロソフト製品の Windows Server 2008 R2 対応状況

R2 の SSRS 統合が SQL Server 2008 の SSRS にも対応できるかはまだ未検証です。
SSRS がなくてもレポート実行はできるので、統合させなくても運用面では問題はないのではと考えてはいます。

■自習書

■日本の System Center チームのブログ

運用管理とセキュリティのウタタゴト

■日本の System Center チームの SkyDrive

SCCM

■ネイティブモードと混在モード

System Center Configuration Manager 2007 ~ よくある質問 1 ~

混在モードは互換モードなのかと思っていたのですが、そういうわけでもないんですね。
実際の運用環境でネイティブモードを使うと証明書運用も考慮しないといけないので、混在モードのほうが敷居が低く導入が
できそうな気がしています。
お客様の運用工数が上がりそうな構成は個人的には好きではないです。

■Active Directory スキーマ拡張

Configuration Manager に対して Active Directory スキーマを拡張する方法

[ldifde] で [CONFIGMGR_AD_SCHEMA.LDF] を適用するか、[extadsch.exe] で拡張
スキーマ拡張後は、[System Management] コンテナを作成し、SCCM のコンピュータアカウントのフルコントロールを付与
インストールはドメインユーザーで実行しないと、インストールのチェックでスキーマ拡張が警告になるような気が。
# ローカルユーザーでは警告が表示され、ドメインユーザーでは全項目正常に完了していました。

■WebDAV の設定

Windows Server 2008 をサイト システムとして構成する方法

IIS 7.5 の場合は標準で WebDAV を追加することが可能ですので、別途 WebDAV をダウンロードする必要はありません。
WebDAV の設定は既定の Web サイト (ポート 80 のサイト??) に対して実行する必要があるようですね。

現在、クライアントプッシュインストールがうまくできていないので、この辺の設定が影響していそうな気がします。
管理ポイント関連の設定がうまくできていないと思うのですが、現在調査中です。

■クライアントのファイアウォール

Configuration Manager クライアントのインストールおよびアップグレードに関する問題

クライアントのファイアウォールも正しく設定されていないとプッシュインストールができません。
この辺に関してはグループポリシーで一括設定をする方向で考える必要がありそうです。

1/4 になってしまいましたが新年明けましておめでとうございます。
本年も日々、勉強を積み重ねていきたいと思います。

年末、年始はちょっとした調べ物やインストールマニアックスの作業を少しずつこなしていました。

インストールマニアックスに関しては総インストール数が 50 ぐらいで終了してしまいそうですが、時間がある限り、
インストールをしていきたいと思います。

本年の初投稿は Exchange 関連の内容から。
SQL Server 関連の投稿をしたかったのですが、直近で調べていたのが Exchange だったもので…。
# Exchange の引き合いを対応することが多くなってきました。

Exchange 2007 SP2 以降では、Windows Server 2008 の Windows Server バックアップに対応した VSS プラグインが組み込まれています。

Exchange Server 2007 SP2 の新機能

Exchange 2007 の書籍は、Windows Server 2003 をベースに記載されていることが多く、Windows Server 2008 を使用した場合の
バックアップは今まできちんと調べたことがなかったので、年末の暇な時間を利用していろいろと調べてみました。

• Exchange 2007 SP1 以前のバージョン
  VSS プラグインが組み込まれたのは Exchange 2007 SP2 からになります。
  それ以前のバージョンに関してはバックアップを取得してもトランザクションログの切り捨てが行われません。
  そのため、Exchange に対応したバックアップを取得する場合は、サードパーティーのバックアップ製品を使用する必要がありました。

  [vssadmin list writers] を実行すると、[Microsoft Exchange Writer] が表示されるので、一見すると完全に対応した
  バックアップを標準の Windows Server バックアップでで取得できそうに見えるのですが、この状態でバックアップを
  取得してもトランザクションログは切り捨てがされずに蓄積されていきます。

  

• Exchange 2007 SP2  / Exchange 2010
  Exchange 2007 SP2 / Exchange 2010 では Windows Server バックアップに対応したプラグインが組み込まれます。
  プラグインが組み込まれることにより、Windows Server バックアップを取得した際に、トランザクションログの切り捨てが
  実行されるようになります。
  また、リストア時に Exchange のデータのみをリストアすることが可能になります。
  # アプリケーションとして、[Exchange] が選択できるようになります。

  以下の画像は、Exchange 2010 のレジストリを表示したものになるのですが、Windows Server バックアップのライタとして、
  Exchange が登録されていることが確認できます。

  – Exchange 2010 の VSS の登録状況 –
  

プラグインが組み込まれることで、Windows Server バックアップが Exchange に対応するのですが、取得時には以下の設定を
する必要があります。

1. 完全バックアップを取得
2. ストレージグループ (Exchange 2010 ではデータベース) を含むボリューム全体を取得

Windows Server バックアップを使用した Exchange データのバックアップと復元

[完全バックアップを取得]

[完全バックアップ] で取得することで、バックアップ取得時にトランザクションログの切り捨てが実行されます。
Windows Server バックアップのデフォルトは、[完全バックアップ] ではなく、[コピーバックアップ] となっています。

– Windows Server 2008 R2 のバックアップ設定 –
 

そのためバックアップの設定をする際に、明示的に [完全バックアップ] として設定する必要があります。
デフォルトの状態でバックアップを取得すると [コピーバックアップ] となっているため、トランザクションログが切り捨てられません。

[ストレージグループ (Exchange 2010 ではデータベース) を含むボリューム全体を取得]

バックアップを取得する際は、ストレージグループのディレクトリのみを取得するのではなく、ストレージグループを含む
ボリュームを取得する必要があります。
ストレージグループをディレクトリのみを取得した場合、リストア時に [Exchange] をリストア対象として選択することができません。
# ファイルとしてはリストアできるのですが、アプリケーションとしてリストアすることはできません。

– アプリケーションから Exchange をリストア –

Windows Server 2008 R2 の Windows Server バックアップであれば、バックアップの取得先は無印と比較して、
柔軟に選択できますので、標準機能だけでも小規模な環境であれば、基本的なバックアップは取得できそうです。
ストレージグループ / データベース単位でのリストアはできないので、細かな障害回復はできませんが、
全体を特定時点まで戻して、残っているトランザクションログでロールフォワードといった運用は可能かと。

サードパーティ製品を使わないでもある程度バックアップ / リストアができるようになっていると提案に幅ができていいですね。

久しぶりにクラスタ関連の投稿を。
といっても私はクラスタのエンジニアではないのですが…。

今まで、クラスタの構築は何件か投稿しているのですが、設定項目についてきちんとまとめたことがありませんでした。
いくつか調べたいことがあったので、小出しにクラスタの設定項目を確認していきたいと思います。

[構築ができる = 知っている] と思われることって多々ありますよね。会社の技術レベルによるのでしょうか？？
構築は事前に検証して、手順書があれば対応できるパターンが多いとおもいますので、構築だけで終わってしまうと、
その技術を知っていると言えるレベルには達しないですよね…。
このあたりの考え方の違いが今の会社とのスキルレベルに関して埋まらな溝なんだろうな～と最近ひしひしと感じます。
# 最近、自分のスキルレベルについて不安がいっぱいです。

まずは、リソース モニターについて。

リソース モニター関連の設定として
– [このリソースを別のリソース モニターで実行する]
という項目があります。

– Windows Server 2003 R2 –

– Windows Server 2008 R2 –
?

リソース モニターは各クラスタリソースの制御 / 監視をするためのもので、この設定はリソース単位で設定することができます。
SysInternals の Process Explorer を使用して、クラスタのプロセスの階層を見てみます。
Process Explorer

– Windows Server 2003 R2 –

– Windows Server 2008 R2 –

2003 と 2008 ではプロセス名が違うのですが、[resrcmon.exe] / [rhs.exe] がリソース モニターのプロセスとなります。
[このリソースを別の リソースモニターで実行する] が有効になっているとそのリソース単位でリソースモニターの
プロセスが起動されることになります。
# クラスタのサービスは [clussvc.exe] で制御がされていますので、各リソースモニターの親プロセスが [clussvc.exe] となっています。

各リソース モニターが対象リソースのリソース DLL をロードして、リソースの制御 / 監視が行われるという仕組みのようです。
2008 のプロセスを確認していたところ、リソース DLL をロードしているのが確認できたものがありました。

上の画像だと、[clusres.dll] がリソース DLL となります。
この DLL は標準で用意されているリソースのリソース DLL ですね。

ためしにこのプロセスを強制終了させてみました。
するとイベントビューアにエラーが出力され、一部のリソースがオフライン→自動でオンラインとなりました。

終了させたプロセスで制御されていたリソースだけがオフラインになったようですね。
別のリソースモニターで制御されているリソースには影響は無かったようです。

各リソースで独立したモニターを起動させることで、プロセスのハングアップした際の影響を分散させることができそうですね。
ただし、複数のプロセスが起動する分オーバーヘッドはあるのでしょうが。
後は一つのプロセス モニターではリソース DLL が競合してしまうような場合に設定を変更することもあるのかと。

リソースによっては、別のリソース モニターは使わないことが推奨されている場合もあったはずなので、この辺はリソースに
合わせて柔軟に設定する必要がありそうです。
# 別のリソース モニターを使うことが推奨される場合もあったはずです。

インストールマニアックスの初期導入ドキュメントとして、勉強を兼ねて以下の 3 つを作成してみました。

ゲスト OS を作成する前までの手順をまとめてみたつもりです。
あとは Vista の接続編と、ゲスト OS の作成手順を作ってみようと思っています。

2009/12/23 追記

ファイル名を間違っていたりしたので、ディレクトリのリンクに変えました。

インストールマニアックス用ドキュメント

VPS コースで当選したのですが、もしも Self-Hosted コースに当選していたらどんな準備が必要だったのかなと思い、
少しメモ書きを。

せっかくの Hyper-V 祭りですので、遊んでいるノート PC で、ゲスト OS をインストールするところまでは
試してみようと思っています。
VHD ブートで Hyper-V Server 2008 R2 をインストールした環境を用意しています。
画面キャプチャは携帯のカメラでパシャパシャと。

[構築のパターン]

Self-Hosted コースの場合は、Hyper-V 祭りの名の通り、ホスト OS で Hyper-V を動かす必要があります。
OSS の導入に使用する、Windows Web Server 2008 R2 はゲスト OS となります。

構築のパターンですが、2 パターンが許可されています。

1. Hyper-V Server 2008 R2 + Windows Web Server 2008 R2
2. Windows Server 2008 R2 評価版 + Windows Web Server 2008 R2

1. と 2. の使い分けですが、手持ちに Windows Vista SP1 以降の OS が入っている端末の有無がポイントとなります。

Hyper-V Server 2008 R2 のゲスト OS を管理するためには [Hyper-V マネージャー] というコンソールが必要となります。
Hyper-V Server 2008 R2 自身にはゲスト OS を管理するためのコンソールは含まれていません。
コンソールがなくても気合いを入れればコマンドでがりがりとゲスト OS をインストールすることも不可能ではないと思うのですが
とても大変です。

しかし、Hyper-V マネージャーですが、Windows Vista SP1 以降でないとインストールすることができません…。

XP しかない人はどうしましょう…。

そこで、公式ブログの以下の投稿で書かれている救済策として、
インストールマニアックスに関するQ&A その2
2. のパターンが許可されました。

Windows Server 2008 R2 なら [Hyper-V マネージャー] を使用することができますので、Hyper-V マネージャーに
対応したクライアント PC を持っていなくても、ゲスト OS をインストールすることができるようになります。

評価版には複数のエディションのWindows Server 2008 R2 が含まれているはずですが、使用できるエディションは

• Windows Server 2008 R2 Standard (x64)
• Windows Server 2008 R2 Enterprise (x64)
• Windows Server 2008 R2 Datacenter (x64)

のいずれかになります。
これ以外のエディションでは Hyper-V を使用することができません。
# これ以外のエディションといっても残りは、Windows Web Server 2008 R2 しかないはずですが。

XP に Virtual PC をインストールして、Windows Vista / Windows 7 の評価版をインストールすという手もあるかと思います。
その場合は、XP しかなくても 1. のパターンを使用できますね。

[サーバーソフトウェア]

ホスト OS としては、Hyper-V Server 2008 R2 または、Windows Server 2008 R2 評価版のどちらかになります。

• Hyper-V Server 2008 R2
  MicrosoftR Hyper-V? Server 2008 R2
• Windows Server 2008 R2 評価版
  Windows Server 2008 R2 評価版ソフトウェアのダウンロード

[クライアントに必要なソフト]

Hyper-V を管理するために Hyper-V マネージャーが必要となります。

• Windows Vista x86 用
  Windows Vista 用の更新プログラム (KB952627)
• Windows Vista x64 用
  Windows Vista for x64-based Systems 用の更新プログラム (KB952627)
• Windows 7 用
  Windows 7 用のリモート サーバー管理ツール

Vista の評価版は見つからなかったのですが、Windows 7 の評価版はダウンロード可能です。
Virtual PC 2007 で Windows 7 は動くのかな??

• Virtual PC 2007 SP1
  Microsoft Virtual PC 2007 SP1
• Windows 7 評価版
  Windows 7 Enterprise 評価版 ダウンロード

環境を作るために最低限必要になるのは以上でしょうか。

後は実際に環境を作ってみて足りなかったら都度投稿していきたいと思います。

本日、インストールマニアックス 3 VPS コース当選の連絡をいただきました♪

VPS 環境を使用できるようになるのは来週からのようですが今からわくわくしています。
IIS を集中的に触る良い機会を頂くことができました。

コンテスト開始まではまだ期間がありますので、今のうちに勉強がてらいくつか OSS を
インストールしてみようかと。

作業内容は本ブログで随時投稿していきたいと思います。

TMG 2010 には Exchange 用のアクセスルールとして、Exchange 2010 に対応したものが含まれています。

作成されたルールでは、パスが以下のように設定されます。

TMG 2010 で作成した Exchange 2007 用のルールが下になります。

ISA 2006 で作成した Exchange 2007 のルールが下になります。

Exchange 2007 のルールは TMG も ISA も同じですね。
Exchange 2010 と Exchange 2007 の違いは、[ecp] と [Exchweb] になるようですね。

[Exchweb] は予定表やアドレス帳の制御機能を提供していたディレクトリになるようです。
Exchange 2010 でも [Exchweb] は IIS 上で存在しているのですが OWA のパスを
仮想ディレクトリとして設定しているものになっています。

Exchange 2007 では アプリケーションとして登録されていたかと。
# Exchange 2007 を撤去してしまったので、書籍で確認したレベルですがアプリケーションになっているようです。

Exchange 2010 では、[Exchweb] の機能は [OWA] ディレクトリに統一されているようですね。

ECP は確認していなかったのですが、Outlook Web App は Exchange 2007 のルールそのままでもそれなりに
動いていたと思います。
# 旧環境をいろいろと撤去してしまったので、きちんとした確認はできていませんが。

ISA 2006 で Exchange 2010 を公開する場合には Exchange 2007 のルールをベースに ecp のパスを
追加してあげれば対応できそうです。

ISA 2006 の設定が終了したので、開始ウィザードの内容を実行していきたいと思います。

1. [Forefront TMG の管理] を実行します。
   
2. 以前に自動的に起動するを無効にしていなかった場合は、管理コンソール起動時に開始ウィザードが起動します。
   ?
   手動で起動する場合には、サーバーを選択した状態のタスクから [開始ウィザードの起動] をクリックします。
   
3. [ネットワーク設定の構成] をクリックします。
4. [次へ] をクリックします。
   
5. ネットワークテンプレートの種類を選択して、[次へ] をクリックします。
   今回は NIC が一枚だけですので、[単一ネットワーク アダプター] しか選択ができない状態となっています。
   
6. ネットワークアダプターを選択して、[次へ] をクリックします。
   
7. [完了] をクリックします。
   
8. [システム設定の構成] をクリックします。
   
9. [次へ] をクリックします
   
10. ホスト ID の情報を設定して、[次へ] をクリックします。
    今回の環境はワークグループ環境で構築しています。
    
11. [完了] をクリックします。
    
12. [展開オプションの定義] をクリックします。
    
13. [次へ] をクリックします。
    
14. Microsoft Update の設定をして、[次へ] をクリックします。
    
15. 保護機能の設定をして、[次へ] をクリックします。
    
16. NIS の更新設定をして、[次へ] をクリックします。
    
17. CEIP の設定をして、[次へ] をクリックします。
    
18. 遠隔測定レポートサービスの設定をして、[次へ] をクリックします。
    
19. [完了] をクリックします。
    
20. [閉じる] をクリックします。
    
21. [次へ] をクリックします。
    
22. [次へ] をクリックします。
    
23. [次へ] をクリックします。
    
24. [次へ] をクリックします。
    
25. [次へ] をクリックします。
    
26. [次へ] をクリックします。
    
27. 証明書のエクスポート先を設定し、[次へ] をクリックします。
    
28. [次へ] をクリックします。
    # キャッシュサイズは 0MB より大きい数値を設定する必要があります。
    
29. [完了] をクリックします。
    
30. [適用] をクリックします。
    ?
31. [OK] をクリックします。
    
32. [適用] をクリックします。
    
33. [OK] をクリックします。
    ?

以上で、初期設定は完了です。

ISA 2006 と比較して初期設定で NIS の設定や、保護機能の設定が増えているようですね。
この辺はヘルプで機能を確認しないと。

TMG 2010 になるとエンタープライズ構成が ISA 2006 から変わっていそうなんですよね。
1 台構成だと Enterprise Edition でもアレイ構成にはならないようですし。
構成保管サーバーの複製に関しても変わっていそうなので、この辺は要調査です。

まずは、この環境を使って TMG 2010 のリバースプロキシの基本動作を理解したいと思います。

ISA 2006 の設定を TMG 2010 に移行できるかを検証してみました。

• ISA 2006 から設定をエクスポート

1. ISA 2006 で [ISA Server の管理] を起動します。
   
2. [エクスポート (バックアップ)] をクリックします。
   
3. [次へ] をクリックします。
   
4. [機密の情報をエクスポートする] と [ユーザーアクセス許可設定をエクスポートする] を有効にして、
   [次へ] をクリックします。
   
5. ファイルの出力場所を選択して、[次へ] をクリックします。
   
6. [完了] をクリックします。
   ?
7. [OK] をクリックします。
   

エクスポートしたファイルを TMG 2010 に移します。
この状態では両方共の ISA / TMG のファイアウォールが設定されている状態ですので、
どちらかに CIFS を許可するアクセスルールを作成して、ファイルを移動させます。

?

• TMG 2010 に設定をインポート

1. TMG 2010 で [Forefront TMG の管理] を起動します。
   
2. [開始ウィザード] が起動するので、[閉じる] で閉じます。
   
3. [はい] をクリックします。
   
4. [インポート (復元)] をクリックします。
   
5. [次へ] をクリックします。
   
6. インポートするファイルを選択して、[次へ] をクリックします。
   
7. [OK] をクリックします。
   
8. 今回はエクスポート時にパスワードを設定していますので、エクスポート時に設定したパスワードを入力して、
   [次へ] をクリックします。
   
9. [完了] をクリックします。
   
10. [OK] をクリックします。
    
11. [閉じる] をクリックします。
    ?
12. [適用] をクリックします。
    
13. [適用] をクリックします。
    
14. [OK] をクリックします。
    

この状態では、上のダイアログに表示されているように、サーバー証明書と、レポート構成設定はインポートされていないので、
これらに関しては手動でインポート、設定を行います。

以上で設定の移行は完了です。

ISA 2006 の IP に付け替えてみたところ、正常にルールも稼働しています。

TMG 2010 は x64 専用ですので、ISA 2006 から直接アップグレードをすることができません。
# ISA 2006 は x86 専用です。
インポート / エクスポートで設定が簡単に移行できると、移行工数を抑えることができていいですね。

開始ウィザードを使用した初期設定は次の投稿で。

Forefront Threat Management Gateway 2010 RTM が TechNet サブスクリプションでダウンロードできるようになったので、
さっそくインストールしてみました。

1. [準備ツールの実行] をクリックします。
   
2. [次へ] をクリックします。
   
3. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
   
4. [Forefront TMG のサービスと管理] を選択し、[次へ] をクリックします。
   
5. [Forefront TMG インストール ウィザードの起動] を有効にして、[完了] をクリックします。
   
6. [次へ] をクリックします。
   
7. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
   
8. [次へ] をクリックします。
   
9. [次へ] をクリックします。
   
10. 内部ネットワークの IP アドレスセグメントを追加して、[次へ] をクリックします。
    ??
11. [次へ] をクリックします。
    
12. [インストール] をクリックします。
    
    
13. [完了] をクリックします。
    私の環境ではインストールの終了まで 1 時間程かかりました。
    

インストールは以上で終了です。

[Forefront TMG のサービスと管理] で構成保管サーバーとしての AD LDS もインストールされているようです。
現在、検証環境で ISA 2006 Standard Edition を使用しているのですがこの設定内容が、TMG 2010 Enterprise Edition に
引き継げるが少し検証してみたいと思います。