Windows server 2012
Download
1 / 299

Windows Server 2012 ほぼ “ 全 ” 新機能 解説セミナー - PowerPoint PPT Presentation


  • 611 Views
  • Uploaded on

Windows Server 2012 R2 Preview を試す前に知っておきたい. Windows Server 2012 ほぼ “ 全 ” 新機能 解説セミナー. 第 1 版 2013.07.12. Agenda. Server Manager ユーザーインターフェースオプション の追加 Windows PowerShell 3.0 SMB 3. 0 ストレージ スケールアウトファイルサーバー Hyper-V VDI DirectAccess IIS 8.0 IPAM DHCP Failover

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Windows Server 2012 ほぼ “ 全 ” 新機能 解説セミナー' - gryta


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Windows server 2012

WindowsServer2012R2Previewを試す前に知っておきたい

Windows Server 2012 ほぼ “全”新機能 解説セミナー

第 1 版 2013.07.12


Agenda
Agenda

  • ServerManager

  • ユーザーインターフェースオプション の追加

  • WindowsPowerShell3.0

  • SMB3.0

  • ストレージ

  • スケールアウトファイルサーバー

  • Hyper-V

  • VDI

  • DirectAccess

  • IIS8.0

  • IPAM

  • DHCPFailover

  • ActiveDirectoryDomainService

    • AD DSonHyper-V

    • DynamicAccess Control



Modern ui
ModernUIの採用

  • 規定ではログオンするとサーバーマネージャーが起動

  • 管理ツールは「ツール」メニューから起動


複数サーバーの管理

  • ダッシュボードによる視認性の向上


複数サーバーの管理

  • 表示にアクションを直結


複数サーバーの管理

  • 複数サーバーのサービスを同時に操作


複数サーバーの管理

  • カスタム サーバーグループの作成

1

2

3



役割や機能の追加

  • ローカルサーバー

  • リモートサーバ(含 Server Core)

  • オフライン VHD


Powershell
PowerShellでサーバーマネージャーの処理を自動化

  • 2300 以上のコマンドレット

  • コマンドレットの検索機能

  • IntelliSense



ユーザーインターフェースの変更

Windows Server 2012 では3段階のインストールオプションが用意されている:

  • Server Core

    • 従来からの ServerCore

  • 最少インストールシェル (“MinShell”)

    • Server Core に加えてサーバーマネージャーなどの限定的なGUI

  • フルシェル

    • 全てのGUIがインストールされたモード。デスクトップエクスペリエンスを追加することもできる。

  • NEW


    なぜこうなったのか?

    The challenges…

    • 攻撃の対象を減らすために、システム管理者は常にパッチの適用に気を使わなければならない

    • 多くの管理者にとって ServerCore によるコマンドライン操作は不便だった

    The Windows Server 2012 のソリューション… 複数のインターフェースオプション

    • リモート管理ツールを使用せずに、システム管理者が使い慣れた GUI で管理することができる

    • さまざまなコンポーネントによるサーバー負荷をできる限り低減したい

    • GUIをインストールするために、OSごと再インストールするのではなく、機能の追加や削除で対応できると便利

    • GUIによってサーバーのインストールイメージや手順を複数用意するのではなく、1種類で済ませたい


    Server Core

    • .Net Framework 4.5

    • Active Directory (AD)

    • Active Directory Lightweight Directory Services (ADLDS)

    • Active Directory Certificate Services (ADCS)

    • DHCP Server

    • DNS Server

    • File Services

    • BITS Server

    • BranchCache

    • Hyper-V

    • Internet Information Services (IIS)

    • Printing Services

    • Streaming Media Services

    • iSCSI

    • Load Balancing

    • MPIO

    • qWave

    • Telnet

    • Unix Migration

    • SQL Server 2012

    マイクロソフトの推奨インストール構成

    • Server Core は以前と比較して多くの役割や機能をサポートしている-.Net Framework 4.5- SQL Server 2012

    • WinRM により、リモートからの管理も容易

    • Windows PowerShell の利用も可能

    • Server Core とMinShell 間の移行が可能


    MinShell

    最少のGUIをインストールするためのオプション

    • GUI ツールを持った Server Core

    • Server Manager と cmd.exe が規定で起動する

    • 他のGUIも起動可能

    • 役割や機能の追加も可能(PowerShell からのインストールも可能)


    MinShell の有効化と無効化

    Install-WindowsFeature Server-Gui-Mgmt-Infra

    Install-WindowsFeature Server-Gui-Shell

    Install-WindowsFeature

    Desktop-Experience

    Uninstall-WindowsFeature Server-GUI-Shell

    Uninstall-WindowsFeature Server-GUI-Shell -remove




    Windows PowerShell とは何か?

    分散処理や自動化のためのエンジンであり、スクリプトによるバッチ処理と対話シェルが用意されている

    • 自動化によって処理の品質を向上

    • 目的ベースのコマンドレット

    • 管理者と開発者のギャップを埋めるツール

    PowerShell 3.0 は以下のOSでサポートされている:

    • Built-in:

      • Windows Server 2012

      • Windows 8

  • ダウンロード:

    • Windows 7 SP1

    • Windows Server 2008 SP2

    • Windows Server 2008 R2 SP1


  • スクリプトの実行環境

    bat

    VBScript

    JScript

    PowerShell スクリプト

    PowerShell エンジン

    COM

    exe

    COM

    .NET Framework

    Script Engine

    Class Library

    Windows Script Host

    cmd/command

    Cscript.exe

    Wscript.exe

    CLR(共通言語ランタイム)

    Windows


    Powershell1
    マイクロソフト製品と PowerShell の関係

    • 製品ごとに専用の”コマンドレット”が用意されている

    • 多くの管理 GUI は裏でコマンドレットを呼んでいる

    • インフラ担当者に、各製品への”標準化されたアクセス方法”を提供する

    Active Directory

    管理センター

    PowerShell

    コンソール

    System Center

    Virtual Machine Manager

    Active Directory

    PowerShell コマンドレット

    Hyper-V

    PowerShell コマンドレット

    Active Directory

    Hyper-V


    事前準備

    • コンソールの環境設定

      • 簡易編集を有効に

    • エクスプローラー(フォルダー)の環境設定

      • 「拡張子を表示しない」を無効に

    • 実行ポリシーの設定※オンプレミスの”署名無しスクリプト”を実行できるようにする

    • リモートからの操作を有効にする(リモーティングの有効化)

    • 必要に応じて自分専用の初期設定ファイルを作成(規定では存在しない)

    • PS C:\>Set-ExecutionPolicyRemoteSigned

    • PS C:\>Enable-PSRemoting –force

    • PS C:\>notepad $profile


    Set executionpolicy
    実行ポリシーの設定~ Set-ExecutionPolicy

    http://technet.microsoft.com/ja-jp/library/dd347628.aspx

    • “管理者として実行” する必要がある

    • 実行ポリシーの一覧

      • Restricted:制限つき (オペレーターモード)(規定値)

        • 対話形式のみ

        • スクリプトは実行できない

      • AllSigned:署名

        • スクリプトは、信頼された発行元による署名が必要

      • RemoteSigned:リモートの署名

        • “インターネットゾーン” のスクリプトは信頼された発行元による署名が必要

      • Unrestricted:無制限

        • すべてのスクリプトを実行可能

        • リモートのスクリプトについては常に警告

      • Bypass:バイパス

        • 何もブロックされず警告も表示されない

    “ポリシーの設定”は、規定ではコンピューター全体に影響する。適用範囲を制限するには、Scope も同時に定義する。


    基本操作 ~ コマンドレット情報を取得する

    • 使用可能なコマンドレット一覧を取得する

    • “Storage” という文字列を含むコマンドレットの一覧

    • 特定のモジュール内のコマンドレット一覧

    • コマンドレットの書式

    • PS C:\>Get-Command

    PS C:\>Get-Command *-vm* -CommandTypeCmdlet

    • PS C:\>Get-Command -Module Hyper-V

    • PS C:\>Get-Help<コマンドレット>-detailed

    • PS C:\>Get-HelpMove-VM -detailed


    unixのあのコマンドは?

    • ls→ get-ChildItem

    • cp→ copy-Object

    • grep→ select-String

    • sort → sort-Object

    • man → help

    • clear → clear-Host

    • cat → get-Content

    • kill → stop-Process

    • tee → tee-Object

    • tail → get-Content

    「アレはあるかな?」と思ったら

    Get-Alias <unix 上のコマンド>


    IT Pro にとってのWindowsPowerShell 3.0

    自動化

    Windows Workflow Foundation との統合

    ジョブのスケジューリング

    堅牢なセッション

    • ~2,430 コマンドレット (Windows Server 2008/R2 は 230 コマンドレット)

    • シンプルな書式で習得が容易

    • オーサリングツール(PowerShellISE)の進化

      • Intellisense

      • Snippets

      • 3rdパーティによる拡張性

      • Show-Command ウィンドウ

    • PowerShell のスキルだけでワークフローを記述

    • タスクスケジューラーとのシームレスな連携

    • セッションへの再接続が可能に


    Show-Command Cmdlet

    初心者向けのダイアログボックス

    • 必要なパラメターはダイアログから入力可能

    • モジュールをフィルタ可能

    • コマンドレット名で検索可能


    堅牢なPS セッション

    • リユーザーブルな PS セッションには他のコンピューターから再接続が可能

      • State=Disconnected, Availability=None に対してのみ

        • Disconnect-PSSession コマンドレットで明に Disconnect した場合

        • ネットワークの切断や PC のハングアップ等で Disconnected になった場合

        • ※ コンソールを明に落とした場合は強制終了したものとみなされる

    • 同時に2台以上のコンピューターからは接続できない

    State=Disconnected

    Availability=None

    Target

    Source1

    セッション

    Disconnect-PSSession

    Connect-PSSession

    Source2

    再接続可能


    Target

    PC1

    PS > $S = New-PSSession -ComputerName Target1

    PS > $Result = Invoke-Command -Session $S {Get-Service}

    PS > Disconnect-PSSession -Session $S

    Id Name ComputerName State ConfigurationName Availability

    -- ---- ------------ ----- ----------------- ------------

    121 Session121 Target1 DisconnectedMicrosoft.PowerShellNone

    PC2

    PS > Get-PSSession -ComputerName Target1

    Id Name ComputerName State ConfigurationName Availability

    -- ---- ------------ ----- ----------------- ------------

    10 Session112 tfdc01 Disconnected Microsoft.PowerShell Busy

    12 Session121 tfdc01 DisconnectedMicrosoft.PowerShellNone

    PS > $S = Get-PSSession -Name Session121 -ComputerName Target1

    PS > Connect-PSSession -Session $S


    Powershell 3 0
    PowerShell 3.0- ワークフロー

    • 複数のリモートコンピューターに対して一斉に行う処理

    • 長時間を要する処理

    • 途中で一時停止する可能性がある処理

    • 結果を永続化したい処理

    パラレル

    サスペンド

    ジョブと結果の永続化

    WF

    WF

    結果ストア

    処理1

    結果1

    処理1

    サスペンド

    checkpoint

    サーバーが条件に合致しない場合にサスペンドし、あとでレジューム

    サーバー

    ダウン

    処理2

    処理2

    checkpoint

    WF

    処理3


    ワークフローの作成

    • PowerShell ISE(またはテキストエディタ) で作成する

    • workflow キーワードを使用する

    workflow <ワークフロー名> (<引数>)

    {

    <処理>

    }

    (例)MyWorkflow という名前でリモートコンピューターのサービス一覧を取得するワークフロー

    workflow MyWorkflow ( [String] $ServiceName )

    {

    Get-Service -PSComputerName $PSComputerName -Name $ServiceName

    }

    (例)実行例

    PS C:\>mywf -PSComputerName 127.0.0.1 -ServiceNamewuauserv


    ワークフローの実行からレジュームまで

    Remote

    Server

    (DC01)

    ローカルPC

    PSワークフローセッションを張る

    $S = New-PSWorkflowSession -ComputerName DC01

    ワークフローをDC01上に作成する

    状態なし

    Invoke-Command -Session $S -FilePath .\CreateNewUser.ps1

    ワークフローが作られたことを確認

    Invoke-Command -Session $S {Get-Command -CommandType Workflow}

    ワークフローを実行

    Running

    Invoke-Command -Session $S {CreateUser -PSPersist $true -ErrorActionSilentlyContinue -AsJob}

    Suspended

    DC01 が停電によりシャットダウン

    DC01 が復電により再起動

    もう一度セッションを張る

    $S = New-PSWorkflowSession -ComputerName DC01

    ジョブIDを確認

    Invoke-Command -Session $S {Get-Job}

    ジョブをレジューム

    Running

    Invoke-Command -Session $S {Resume-Job3}


    Windows powershell web access
    Windows PowerShell Web Access

    WS-Man に接続するためのゲートウェイ

    Internet

    Home

    Intranet

    DMZ

    Server

    Session

    PSWA

    PC

    PSSession

    Devices

    PSSession

    再接続

    リバースプロキシ


    Powershell web access
    PowerShell Web Access のセットアップ

    1.サーバーマネージャーから PowerShell Web Access をインストールする


    .IIS で自己署名証明書を作成してバインドを設定する(SSLを有効に)

    ご自身のサーバーを指定してください

    バインドの設定で

    作成した証明書を選択


    3. PowerShell を管理者モードで起動

    4. 以下のコマンドを実行

    PS C:\>Set-ExecutionPolicyRemoteSigned

    PS C:\>Import-Module PowerShellWebAccess

    PS C:\>Install-PswaWebApplication -webSiteName "Default Web Site"

    PS C:\> Add-PswaAuthorizationRule * * *

    5. https://<サーバー名>/pswa にアクセス

    ここで指定するサーバーは、

    接続先となるサーバー


    権限の委譲

    別の権限を使用したワークフローの実行

    • 資格情報を作成

    • ワークフローの RunAsUser プロパティに作成した資格情報をセット

    • WinRM を再起動して権限を有効にする

    • 設定された内容を見る

    ↪ $Cred = Get-Credential –Credential contoso\administrator

    ↪ Set-Item WSMan:\localhost\Plugin\Microsoft.Powershell.Workflow\RunAsUser -Value $Cred

    ↪ Restart-Service WinRM

    ↪ Get-ChildItemWSMan:localhost\Plugin\Microsoft.Powershell.Workflow


    Snippets

    ISE からコードスニペット機能を使用することができる

    • [編集]-[スニペット開始]

    • オリジナルのスニペットを登録するにはNew-ISESnippet

    • 登録したスニペットを参照するにはGet-ISESnippet


    Intellisense

    コマンドレットやパラメタを自動補完してくれる機能

    入力スピードが飛躍的に向上

    補完が開始されるタイミング

    “-“ (dash) verb(動詞)の後のダッシュ

    “.” (period) オブジェクトの後にピリオド

    “::” (double colon) オブジェクトタイプの後にダブルコロン

    “\” (backslash) プロバイダーの後にエンサイン(バックスラシュ)

    “ “ (space) コマンドレットの後ろにスペース


    Smb 3 0
    SMB3.0


    どうしてこうなったのか?

    • スループットが向上することで…

    • ファイルサーバーは複数のコネクションを同時に使用して、より多くのデータを高速に転送できる

    • ネットワークフォールトトレンランスにより…

      • 同時に複数のネットワークコネクションを使用して、クライアントはネットワークの切断を回避できる

  • 自動構成機能により…

    • SMB マルチチャネルは自動的にネットワークパスを探索して、必要に応じて動的にネットワークパスを追加する

    • 管理コストを低減


  • Nic smb 3 0
    NICチーミング&SMB3.0マルチチャネル

    • NICチーミング(最大32NIC/Team)を OS 標準でサポート

    • スイッチ依存(Static or LACP)/ 非依存

    • ネットワークフォールトトレランス

    • SMB3.0マルチチャネル with RSS

    • SMBスループット向上

    • 1インターフェース(=1NIC)あたり最大 4TCP/IPConnection

    • 1セッションあたり 既定で 32Connection

    CPU

    NICTeaming

    NICTeaming

    SMB Multi.

    Core

    Core

    SWITCH

    SMB Multi.

    RSS

    tNIC

    NIC

    tNIC

    RSS

    NIC

    Core

    Core

    RSS

    NIC

    NIC

    RSS

    Core

    Core

    Core

    NIC

    RSS

    NIC

    RSS

    Core

    RSS: Receive-side scaling

    SMB コネクション

    ※NICチーミングでRDMA(Remote Direct Memory Access)はサポートされていない


    SMB3.0 マルチチャネルを使用するための条件

    • 必要条件

    • Windows Server 2012 または Windows 8 が動作していること

    • 少なくとも以下の 1つの構成が有効であること

      • 複数のネットワークアダプターを実装している

      • 少なくとも1つのネットワークアダプターが RSS (Receive Side Scaling) をサポート

      • 少なくとも2つのネットワークアダプターが NIC チーミング構成であること

      • 少なくとも1つのネットワークアダプターが RDMA (Remote Direct Memory Access)をサポートしていること

  • SMB マルチチャネルが使用できない構成

  • 1枚の RSS 非対応ネットワークアダプターしか実装していない

  • スピードの異なるネットワークアダプター

  • インストール手順

    • Windows Server 2012 と Windows 8 で自動的に有効になる

    • WindowsPowerShell を使用して有効/無効を切り替えられる


  • シングル NIC の場合

    1セッション、マルチチャネル利用

    1セッション、マルチチャネル無し

    • 複数のTCP/IPコネクションにより NIC の帯域を使い切る

    • RSS が処理をサポート

    • 1NIC あたり、4コネクション(規定値)

    • NIC の帯域を使いきれない

    • 1 core のみ使用

    SMBClient

    SMBClient

    CPU

    CPU

    CPUの使用状況

    CPUの使用状況

    RSS

    NIC

    NIC

    SWITCH

    SWITCH

    SMBServer

    SMBServer

    NIC

    NIC

    RSS

    CPU

    CPU


    複数 NIC の場合(チーミング無し)

    1セッション、マルチチャネル利用

    1セッション、マルチチャネル無し

    • NICの自動フェールオーバーをサポート

    • 複数の RSS NIC により帯域幅が増加(最大32コネクション ※1NICは既定で4コネクション)

    • RSS非サポートNICの場合はNICごとに1コネクション

    • 帯域を使いきれない

    • 1枚のNICを使用

    RSS 非対応の場合

    RSS 対応の場合

    SMBClient

    SMBClient

    SMBClient

    CPU

    CPU

    RSS

    RSS

    NIC

    NIC

    NIC

    NIC

    NIC

    NIC

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SMBServer

    SMBServer

    SMBServer

    NIC

    NIC

    NIC

    NIC

    NIC

    NIC

    RSS

    RSS

    CPU

    CPU


    1枚または複数の RDMA NIC の場合

    1セッション、マルチチャネル無し

    1セッション、マルチチャネル利用

    • NICの自動フェールオーバー

    • 複数の RDMA により帯域幅が倍増

    • 複数のRDMAコネクション(最大 2 connections /1NIC)

    • 自動フェールオーバーされない

    • 帯域を使い切れない

      • 1TCP/IP コネクション(NIC1枚のみ)

      • SMBover RDMA は無効

    SMBClient

    SMBClient

    RDMA

    NIC

    RDMA

    NIC

    RDMA

    NIC

    RDMA

    NIC

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SMBServer

    SMBServer

    RDMA

    NIC

    RDMA

    NIC

    RDMA

    NIC

    RDMA

    NIC


    NICチーミング

    1セッション、NICチーミング、マルチチャネル利用

    1セッション、NICチーミング、マルチチャネル無し

    • 自動フェールオーバーされる

    • 帯域を使い切れない

      • 1TCP/IP コネクション(NIC1枚のみ)

    • NICの自動フェールオーバー(NICチーミングにより高速)

    • マルチコネクションによる帯域幅増加

      • ※ただしNICが1枚に見えるためコネクションはそれぞれのNICで分割

    SMBClient

    SMBClient

    Teaming

    RSS

    RSS

    Teaming

    NIC

    NIC

    NIC

    NIC

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SWITCH

    SMBServer

    SMBServer

    NIC

    NIC

    NIC

    NIC

    RSS

    RSS

    Teaming

    Teaming

    ※RDAM はNICチーミングが使用できない


    まとめ:マルチチャネル/RDMA/NIC Teaming の比較


    SMB セッション について

    NIC インターフェースあたりのコネクション

    • RSSNIC :(規定値)4 TCP/IP コネクション

    • RDMANIC :2 RDMA コネクション

    • その他のNIC :1 TCP/IP コネクション

    クライアント―サーバー間のコネクション数は 規定値 32(セッション数は1)

    Client

    SMB

    SMB

    Server

    最大 1Session/32 Connections

    Microsoft recommends keeping default settings, but the parameters can be modified


    SMB マルチチャネルの有効化/無効化

    無効にする

    SMB サーバー側:

    SMB クライアント側

    • Set-SmbServerConfiguration -EnableMultiChannel $false

    • Set-SmbClientConfiguration -EnableMultiChannel $false

    有効にする

    SMB サーバー側:

    SMB クライアント側:

    • Set-SmbServerConfiguration -EnableMultiChannel $true

    • Set-SmbClientConfiguration -EnableMultiChannel $true


    SMB 関連パラメタの編集

    クライアント/サーバー間のコネクション数

    Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n>

    ※規定値 8

    RSSNIC のコネクション数

    Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n>

    RDMANIC のコネクション数

    Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force

    それ以外のNICのコネクション数

    Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force


    SMB マルチチャネルの検証手順

    1. アダプターの構成を確認する(サーバー、クライアント両方で実施)

    2. SMB マルチチャネルの構成を確認する

    SMB クライアント側:

    SMB サーバー側:

    Get-NetAdapter

    Get-NetAdapterRSS

    Get-NetAdapterRDMA

    Get-SmbClientConfiguration | Select EnableMultichannel

    Get-SmbClientNetworkInterface

    Get-SmbServerConfiguration | Select EnableMultichannel

    Get-SmbServerNetworkInterface

    3. SMB 接続を確認する(ファイルのコピー中に実行)

    Get-SmbConnection

    Get-SmbMultichannelConnection

    Get-SmbMultichannelConnection -IncludeNotSelected


    SMB マルチチャネル関連のイベントログ

    • [イベントビューアー] – [アプリケーションとサービスログ] – [マイクロソフト] – [Windows] – [SMBClient] – [Operational]

      • Event ID 30700-30705 でフィルタ

  • PowerShell から ~ SMB クライアント

  • エラーだけ抽出するには

  • Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge 30700 –and $_.Id –le 30705 }

    Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge 30700 –and $_.Id –le 30705 –and $_.Level –eq 2 }



    記憶域スペースとシンプロビジョニング

    • 記憶域スペース

      • Windows Server 2012 で実装された新しい仮想記憶域

      • 仮想化テクノロジーを使用して低コストでストレージを拡張

      • 未使用領域を寄せ集めてプーリング

    • シンプロビジョニング

      • ジャストインタイムで割り当て、必要なくなれば解放

      • 記憶域スペースとの統合


    どうしてこうなったのか?

    記憶域スペースはストレージの高可用性を生かしたさまざまな用途を想定している

    • 記憶域プール

    • 小容量のSSDなど、複数のハードディスクを1つに結合

    • データの増加に伴い、動的に容量を拡張可能

    • マルチテナントと柔軟な制御

      • ストレージプール単位に管理者を定義することができる

      • ActiveDirectory のセキュリティモデルと統合されており、ACLによるアクセス管理が可能

      • 復元力を備えた記憶域

  • 記憶域スペースでは3種類の構成が可能(ストライプ、ミラー、パリティ)

  • ホットスペアによる自動修復


  • どうしてこうなったのか?(続き)

    • 継続的な可用性

      • フェールオーバークラスターとの連携により継続的で可用性の高いサービスが提供できる

  • 効率的な記憶域の消費

    • 複数のビジネスアプリケーションでストレージのキャパシティを共有

    • 必要なくなった領域を別のアプリケーションで再利用

  • シンプルな管理

    • サーバーマネージャーからの容易な管理

    • リモート管理

    • スクリプト(WindowsPowerShell)による管理の自動化

    • 既存のバックアップ、リストア機能との整合性を維持


  • 記憶域スペースの要件

    • Windows Server 2012 がインストールされていること

    • 記憶域プールの作成用に 1 つの物理ドライブ

    • 復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要

    • パリティまたは 3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要

    • ドライブは空であり、フォーマットされていないこと

    • 他のプールに使用されていないこと

    • ドライブの容量が 10 GB 以上あること

    • サポートされているドライブタイプ


    記憶域スペースの管理アーキテクチャ

    アプリケーション

    I/O

    記憶域スペース

    管理プロバイダー

    ファイルシステム

    シャドウコピードライバー Volsnap.sys

    ボリューム

    マネージャー

    パーティション

    マネジャー

    仮想記憶域ポートドライバ

    Spaceport.sys

    ClassPnP

    クラスドライバー

    • パーティションが作成されているデバイスは検出されない

    MPIOドライバー

    ポート/ミニポート

    バス ドライバー

    JBOD


    記憶域スペースの構造

    記憶域プール

    切り出し

    統合

    記憶域スペース

    物理ディスク

    または

    仮想ハードディスク

    仮想ディスク


    物理ディスクの代わりにVHD(X)ファイルを使用するには



    増加し続けるストレージの使用量と対策

    急激なストレージの増加

    従来

    • シングルインスタンスストレージ

    ハード ディスク ボリュームにある重複したファイルを管理するファイル システム フィルタ。このフィルタにより、ファイルの 1 つのインスタンスを中央のフォルダにコピーし、重複したファイルは中央のファイルへのリンクに置き換えることにより、ディスクを節約する。

    • NTFS データ圧縮

    WindowsServer2012

    • Data Dedupplication(データ重複除去)

      • ファイルの重複を削減しつつ、従来通りのアクセスを提供

    Source: IDC Worldwide File-Based Storage 2011-2015 Forecast: Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December 2011


    Deduplication のアーキテクチャ

    重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位(32~128kb)に分割され、SystemVolumeInformationStore 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去されるため、容量を大幅に削減することができる。

    File1

    File2

    Metadata

    Data

    Metadata

    Data

    N

    Y

    A

    B

    C

    M

    A

    B

    C

    X

    ファイル名

    属性…

    ファイル名

    属性…

    Deduplicate Filter

    チャンク ストリーム

    File1

    チャンクストア

    Metadata

    マッピング情報

    N

    A

    B

    C

    M

    リパース

    ポイント

    ファイル名

    属性…

    スパース

    Y

    X

    チャンク ストリーム

    File2

    Metadata

    マッピング情報

    ファイル名

    属性…

    スパース

    リパース

    ポイント

    --

    --

    ・・・・・・・


    Deduplication
    Deduplication のメリット:容量の節約率

    Source: Sample File Server Production data (12 Servers, 7TB)


    Deduplication1
    Deduplication のメリットパフォーマンスへの影響

    • 最適化処理の性能:

    • 最大 20-35MB/s

    • 1コアあたり 100GB/h(マルチコアを同時利用可能)

    • Read/Write Access:

    No impact

    VHD update (1.3x)

    VHD copy (0.7-1.5x)

    キャッシュが効いている


    Deduplication2
    Deduplication の留意点

    未サポート

    • Boot, System, FAT, ReFS, クラスター共有ボリューム(CSV)

    • ネットワークドライブ

    • 拡張属性を持ったファイル

    • 暗号化されたファイル

    • 32Kb未満のファイル

    その他

    頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。

    • 向いてる

    • ユーザー用のファイルサーバー

    • 仮想マシンライブラリ(VHDがオフライン)

    • ソフトウェア展開用の共有

    • SQL Server や Exchange Server のバックアップ用ボリューム

    • 向いてない

    • Hyper-Vホスト(VHDがオンライン)

    • VDI(VHDがオンライン)

    • WSUS

    • 動作中の SQL Server や Exchange Server

    • 1TBを超える(超えそうな)ファイル


    WindowsPowerShellからの管理

    さまざまな場面で、SMAPI(Storage Management API) にアクセスするための PowerShell コマンドレットを使用できるため、管理の自動化が容易に可能

    PS C:\> Get-Command *storage*

    CommandType Name ModuleName

    ----------- ---- ----------

    Function Get-StorageJob Storage

    Function Get-StoragePool Storage

    Function Get-StorageProvider Storage

    Function Get-StorageReliabilityCounter Storage

    Function Get-StorageSetting Storage

    Function Get-StorageSubSystem Storage

    Function New-StoragePool Storage

    Function New-StorageSubsystemVirtualDisk Storage

    Function Remove-StoragePool Storage

    Function Reset-StorageReliabilityCounter Storage

    Function Set-StoragePool Storage

    Function Set-StorageSetting Storage

    Function Set-StorageSubSystem Storage

    Function Update-HostStorageCache Storage

    Function Update-StorageProviderCache Storage

    Cmdlet Add-VMStoragePath Hyper-V

    Cmdlet Get-VMStoragePath Hyper-V

    Cmdlet Move-VMStorage Hyper-V

    Cmdlet Remove-VMStoragePath Hyper-V



    ファイルサーバーの構成イメージ

    フェールオーバークラスター

    従来のファイルサーバー

    汎用ファイルサーバー

    スケールアウトファイルサーバー

    Passive

    Active

    Active

    Active

    共有

    共有

    共有

    共有

    共有

    データ

    データ

    データ


    2種類の ファイルサーバーシナリオ

    • IW ワーカー用の共有ファイル サービスおよび記憶域サービス

      • 通常のファイルサーバー

      • 汎用ファイルサーバー(フェールオーバークラスター)

    • アプリケーション ワークロード用のファイル サービスおよび記憶域サービス

      • スケールアウトファイルサーバー(フェールオーバークラスター)

      • サーバー アプリケーションのデータ格納用にファイル サーバー共有を使用(基本的に SQLServer、Hyper-V 用)

        • 高価な SAN 接続のコスト削減。

        • 記憶域管理者が、各アプリケーション サーバーをオンラインにするための LUN を準備する必要がなくなり、アプリケーション サーバーが各記憶域にアクセスできるようにファブリックを再構成する必要もなくなるため、記憶域管理コストが削減される。

        • モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動できる。


    スケールアウト ファイルサーバーとは

    • ファイル サーバーをサーバーアプリケーションのデータストアに提供・Hyper-V(ゲストOS、スナップショットの格納先として)・SQLServer(データストアとして)

    • フェールオーバークラスターにより動的にファイルサービスの拡大や縮小が可能

    • SMB 3.0

    • SMB スケールアウト

    • SMB 透過フェールオーバー

    • SMB マルチチャネル

    • SMB ダイレクト(RDMA)

    • サーバーアプリ用の SMB パフォーマンスカウンター

    • パフォーマンスの向上

    • Windows PowerShell からの管理

    • SMB リモート記憶域

    • CSV File System (CSVFS)

    • 単一の永続的な名前空間(DNN)を提供し、NTFS をカプセルする

    • スパースファイルを含めたデータファイルへのダイレクトアクセス

    • BitLocker暗号化をサポート

    • リダイレクトIOを使用せずにスナップショットやバックアップが可能

    • SMB 3.0 との密接な連携


    なぜこうなったのか?

    現状

    • Windows Server 2008R2 時代から, 高可用性ファイルサービスはフェールオーバークラスターの CAP(クライアントアクセスポイント)によって提供されていた。これによって、クライアントは物理ディスク上の SMB 共有や NFS 共有にアクセスできる

    • ファイルサーバーグループの1つのノードだけがオンラインになる

    • 障害が発生したり、ファイルサーバーが別のノードに移動した場合、クライアントは切断され、移動先のノードに再接続しなければならない

    ソリューション

    • ファイルサーバー役割が拡張され、WindowsServer2012 フェールオーバークラスター上では、可用性の高い SMB 共有上での Hyper-V や SQLServer データストアがサポートされた。これにより、ダウンタイムを最小限に抑えることができる。


    高可用性ファイルサーバー

    • 一般的な用途のファイルサーバー(汎用ファイルサーバー)

      • Windows Server 2008 R2 とほぼ同等の機能

      • SMB3.0 によって”共有”の可用性と転送性能は高まる

      • スケールアウトファイルサーバー

      • アプリケーションデータを格納するファイルサーバーとしての可用性を提供

      • ノードやディスクの追加時にもファイルサービスを停止させない

      • WindowsServer2012 フェールオーバークラスターの新機能を使用している

        • 分散ネットワーク名(Distributed Network Name: DNN)

        • クラスター共有ボリューム(CSV) Version 2

        • スケールアウトフィルサーバーの役割 (すべてのノードで有効に設定されている必要あり)

      • スケールアウトファイルサーバーの最大ノード数は4


    Csv cluster shared volume
    (復習)CSV(Cluster-SharedVolume)とは

    • 複数のノードからの同時アクセスを可能にするための CSVFS を提供する

    • WindowsServer2008R2 では、Hyper-VCluster(VHDファイルの共有)のために提供された

    • Windows Server 2012 では ファイルサーバークラスターのストレージとしても利用可能

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    Hyper-V

    +

    Failover Cluster

    Node

    SMB 3.0

    SAN/iSCSI

    ClusteredFile Server

    (ScaleoutFileServer)

    HDD

    CSV

    HDD

    CSV

    WS2008R2 以降

    WS2012 以降


    スケールアウト ファイルサーバー

    SMB3.0

    \\Server\Share

    File Server

    FailoverCluster(max 4 nodes)

    Node3

    Node1

    Node2

    Node4

    iSCSI/SAN

    CSV

    CSV v2


    Hyper v
    Hyper-V& フェールオーバークラスター & スケールアウトファイルサーバー

    FailoverCluster(max 64 nodes)

    Node

    Node

    Node

    Node

    Node

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    SMB3.0

    File Server

    \\Server\Share

    Node1

    Node2

    Node8

    Node8

    FailoverCluster(max 8 nodes)

    AD DS(KDC)

    iSCSI/SAN

    CSV

    CSV v2


    スケールアウトファイルサーバーのアーキテクチャスケールアウトファイルサーバーのアーキテクチャ

    DNS

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Node1 A 10.0.0.1

    Node2 A 10.0.0.2

    Node3 A 10.0.0.3

    Node4 A 10.0.0.4

    HAFileServer A 10.0.0.1

    HAFileServer A 10.0.0.2

    HAFileServer A 10.0.0.3

    HAFileServer A 10.0.0.4

    スケールアウトファイルサーバー

    DNN

    HAFileServer

    Node1

    Node2

    Node3

    Node4

    iSCSI/SAN

    CSV

    CSV v2

    ※iSCSIのNICチーミングは現時点で未サポート


    DNNスケールアウトファイルサーバーのアーキテクチャが書き換わるタイミング


    Witness
    Witnessスケールアウトファイルサーバーのアーキテクチャ(立会人)の役割

    DNS

    Client

    Node1 A 10.0.0.1

    Node2 A 10.0.0.2

    HAFileServer A 10.0.0.1

    HAFileServer A 10.0.0.2

    SMBClient

    クライアントはDNSを使用してDNNを名前解決(ここではNode1とする)

    SMBクライアントはNode1に対して接続要求する

    Node1は接続を受け入れる

    ClientはWitnessを決定するために、Nodeの一覧を要求

    Node1からNode一覧が送付される

    Node一覧から選定したNode2に、Witnessを依頼し、自分自身を登録

    Node2 が了解し、Client を登録する

    Node2 が Client の WitnessNode となる

    Node1がダウン

    Node2 は SMB3.0 を通じて Node1のダウンを検出

    Client にNode1のダウンを通知し、通信先の切り替えを要求(この処理によってTCPコネクションエラーが発生するまえに接続先を切り替えられる)

    ❽WitnessNode

    SMBServer

    SMBServer

    SMB3.0

    Node1

    Node2

    CSV v2

    CSV


    なぜスケールアウトファイルサーバーのアーキテクチャ“アプリケーションサーバー用” と言われるのか?

    • 実データの管理情報)

    • 作成日時

    • 更新日時

    • 作成者

    • アクセス権限

    • 実データのアドレス など

    書き込むデータ

    メタデータ

    実データ

    Node1

    Node2

    • Hyper-V や SQLServer はメタデータへの書き込みが最適化されているため問題になりずらい。Office などのアプリケーションは、60%~70%がメタデータへの書き込みであるといわれる。

    • CSVFSでは以下がサポートされない

      • クオータ

      • スクリーニング

      • Classification(分類)

      • DataDedupplication

    Redirect

    OWNER

    Direct

    ボリュームごとに Owner が割り振られる

    CSVFS

    NTFS


    従来機能との互換性スケールアウトファイルサーバーのアーキテクチャ


    Windows server 2012 storage space csv
    WindowsスケールアウトファイルサーバーのアーキテクチャServer2012StorageSpace と CSV の互換性

    • ・サポートされているディスクのフォーマット

    • ○ NTFS

    • ×ReFS

    • ×Fat32

    • ×Fat16

    • ・サポートされている仮想ストレージのタイプ

    • ○ シンプル

    • ○ ミラー

    • × パリティ

    • ・クオーラムディスクには使用できない

    • ・CSVに組み込まれた瞬間に、CSVFS 用コマンドが有効になるので、一部のNTFSコマンドは使用できない(暗号化など)


    Hyper v1
    Hyper-Vスケールアウトファイルサーバーのアーキテクチャ

    • WindowsServer2012 で何が進化したのか


    Hyper v2

    Hyper-Vスケールアウトファイルサーバーのアーキテクチャ のスケーラビリティ


    Hyper-Vスケールアウトファイルサーバーのアーキテクチャ のスケーラビリティ


    Virtual NUMAスケールアウトファイルサーバーのアーキテクチャ

    NUMA: Non-Uniform Memory Access

    • 仮想 NUMA ノード

      • ダイナミックメモリと同時利用はできない

      • SQLServer などのアプリケーションサーバーのパフォーマンス向上

      • Windows Server 2012 フェールオーバークラスタリングとの連携


    Sr iov single root i o virtualization
    SR-IOVスケールアウトファイルサーバーのアーキテクチャ(SingleRootI/OVirtualization)

    仮想スイッチをバイパスして、NICと仮想マシンが直接通信

    Physical NIC

    Virtual NIC

    Virtual Function

    Host

    Host

    Root Partition

    Root Partition

    Virtual Machine

    Virtual Machine

    Hyper-V Switch

    Hyper-V Switch

    Routing

    VLAN Filtering

    Data Copy

    Routing

    VLAN Filtering

    Data Copy

    VMBUS

    SR-IOV Physical NIC

    Network I/O path without SRIOV

    Network I/O path with SRIOV


    Hyper v over smb shared nothing live migration

    Hyper-V over SMBスケールアウトファイルサーバーのアーキテクチャ&Shared-NothingLiveMigration


    いまさらですがスケールアウトファイルサーバーのアーキテクチャ...物理マシン vs仮想マシン

    Compute/Storage の

    補強が容易

    物理マシン

    仮想マシン

    CPU/RAM/NIC

    CPU/RAM/NIC

    HDD

    HDD

    リソースは固定

    リソースの柔軟な割り当て


    仮想マシンをさらに柔軟にするにはスケールアウトファイルサーバーのアーキテクチャ

    接続性が担保されれば物理的に分離可能

    物理マシン

    仮想マシン

    CPU/RAM/NIC

    network

    HDD

    Compute と Storage は一体

    Compute と Storage の分離


    Hyper-V over SMBスケールアウトファイルサーバーのアーキテクチャ

    Server Message Block (SMB) プロトコルとは…

    • ネットワークファイル共有のためのプロトコル

    • Windows Server 2012 には最新の SMB3.0 が実装されている

    Windows Server 2012Hyper-V とともに使用すると…

    • 仮想マシンのストレージを、共有フォルダに配置できる(SMB3.0 必須)

    • スタンドアロン 、クラスターいずれにも対応

    • 記憶域として、スケールアウトファイルサーバーの利用も可能

    • SMB マルチチャネルにより通信経路の堅牢性が向上


    Hyper v over smb
    Hyper-VスケールアウトファイルサーバーのアーキテクチャoverSMB

    従来

    WindowsServer2012 以降

    OSとストレージを分離できる

    仮想OS

    仮想OS

    仮想ストレージ

    仮想ストレージ

    SMB 3.0

    ファイルサーバー

    Hyper-V ホスト

    Hyper-V ホスト


    Hyper-V over SMBスケールアウトファイルサーバーのアーキテクチャ の必須要件

    • ファイルサーバー:Windows Server 2012(SMB3.0 が必要なため)

    • ※SMB2.0 でも構成時にはエラーとはならないが未サポート

    • Hyper-V :Windows Server2012(SMB3.0 が必要なため)

    • ※SMB2.0 でも構成時にはエラーとはならないが未サポート

    • ※Hyper-Vサーバーとファイルサーバーは別々のサーバーでなければならない

    • ADDS :WindowsServer2012 である必要はない

    • ※ 共有フォルダに Hyper-V コンピュータのコンピューターアカウントに対する   アクセス権を与える必要があるため、ADDS 環境は必須

    Hyper-V

    ファイルサーバー

    SMB3.0

    \\Server\Share\xxx.vhdx

    共有フォルダへのフルアクセス

    ActiveDirectoryDomainService


    ライブマイグレーション スケールアウトファイルサーバーのアーキテクチャ&ライブ ストレージ マイグレーション

    • サービスを止めずに移動できる

    仮想OS

    仮想OS

    仮想 OSのみ

    仮想ストレージのみ

    仮想マシン全体

    仮想ストレージ

    仮想ストレージ

    Hyper-V ホスト

    Hyper-V ホスト

    ※ライブストレージマイグレーションは WindowsServer2012 よりサポート


    従来のライブ マイグレーションスケールアウトファイルサーバーのアーキテクチャ

    • 共有ストレージにゲストOSの仮想ストレージを格納する必要がある

    • フェール オーバー クラスターを構成する必要がある

    • 共有ボリュームを用意する必要がある

    フェールオーバークラスタリング

    構成情報

    Node

    Node

    Hyper-V

    Hyper-V

    メモリ内データ

    VMステート

    SAN/iSCSI

    クラスター共有ストレージ(CSV)


    シェアード ナシング ライブマイグレーション

    • クラスター構成は必須ではない

    • 共有フォルダに仮想ハードディスクを格納できる

    構成情報

    Compute

    Compute

    メモリ内データ

    VMステート

    SMB 3.0

    SMB 3.0

    共有フォルダ上の仮想ストレージ

    \\Server\Share\xxx.vhdx


    共有フォルダ ライブマイグレーション

    VHD/

    VHDX

    SMB3.0

    SMB3.0

    ⑧ 削除

    ①仮想マシンを作成

    VirtualMachine

    VirtualMachine

    ② 構成情報を複製

    構成情報

    構成情報

    メモリ情報

    メモリ情報

    ③メモリをページ単位で複製

    ④Dirtyページを複製

    ⑤停止

    ⑦ Running

    ⑥ ステートを複製

    ステート

    ステート

    ⑨ arp

    Hyper-V ホスト

    Hyper-V ホスト

    Switch


    ライブ ライブマイグレーション”ストレージ”マイグレーション

    • 仮想マシンのストレージ部分のみを移行

    Hyper-V

    SMB 3.0

    SMB 3.0

    ストレージ

    ストレージ

    移動

    仮想ストレージ

    仮想ストレージ


    ライブストレージマイグレーション はこんな時にも便利

    • バラバラになった構成ファイルを1か所に集める

    ITCAMP-PCxx

    192.168.210.xx

    ITCAMP-PCxx

    192.168.210.xx

    仮想マシンのすべてのデータを1か所に移動する

    記憶域を移行

    Hyper-V

    Hyper-V

    VMxx

    VMxx

    C:\ProgramData\Microsoft

    \Windows\Hyper-V

    SMB 3.0

    SMB 3.0

    スナップショット

    構成

    ファイル

    \\ITCAMP-FS\VMSTORE\\VMxx

    \\ITCAMP-FS\VMSTORE\VMxx

    VMxx.vhd

    スナップショット

    構成

    ファイル

    VMxx.vhd


    管理しやすいシステム構成 はこんな時にも便利

    • Computeと Storage を分離

    switch

    WS2012 Hyper-V

    WS2012 Hyper-V

    SMBにより自由な移動が可能に!

    ∴ネットワークの堅牢性とスピードが重要

    SMB

    switch

    SMB

    SMB

    Storage

    Storage


    Hyper v3

    Hyper-V はこんな時にも便利 レプリカ


    Hyper-V はこんな時にも便利 レプリカとは?

    LAN や WAN を通じてリモートサイトに仮想マシンレベルの複製を作成することができる。

    ビジネスの継続性とディザスタリカバリが目的。

    • Windows Server 2012 Hyper-V ロールの新機能

    • ストレージやワークロードに依存しない

    • 複製元と複製先のサーバーは同じドメインである必要はない(ワークグループでもOK ※ただしクラスター構成である場合を除く)

    • Hyper-V マネージャー、Hyper-V RSAT、System Center Virtual Machine Manager (SCVMM) から管理可能

    • さまざまな複製シナリオに対応

      • 本社と支店

      • 企業内データセンター内

      • ホスティングプロバイダー内

      • クロスプレミス(企業オフィス-データセンター 等)

    複製

    VM

    VM

    Hyper-V

    Hyper-V

    プライマリサイト

    レプリカ

    サイト


    必須要件 はこんな時にも便利

    • WindowsServer2012Hyper-V をサポートしているハードウェア

    • 仮想マシンをホストするのに十分な性能と安全性を持ったストレージ

    • プライマリサイトとレプリカサイト間の接続性

    • サイト間の複製を許可するための適切な Firewall 設定(HTTP/HTTPS)

    • X.509v3 証明書(証明書ベースの認証を使用する場合)※複製を暗号化するには証明書ベースの認証が必須

      • 詳細は…

      • http://blogs.technet.com/b/virtualization/archive/2012/03/13/hyper-v-replica-certificate-requirements.aspx


    (参考)アーキテクチャ はこんな時にも便利


    Hyper v4

    Hyper-V はこんな時にも便利 クラスター


    (復習)シェアード はこんな時にも便利ナシング ライブマイグレーション

    • クラスター構成は必須ではない

    構成情報

    Compute

    Compute

    メモリ内データ

    VMステート

    SMB 3.0

    SMB 3.0

    共有フォルダ上の仮想ストレージ

    \\Server\Share\xxx.vhdx


    Hyper v over smb1
    Hyper-V over SMB はこんな時にも便利の難点

    フォールト トレンンスではない

    ライブマイグレーションは手動で行わなければならない

    (または自動化するサービスを自作する)


    シェアード ナシング ライブマイグレーション+フェールオーバークラスター

    フェールオーバークラスタリング

    構成情報

    Compute

    Node

    Node

    Compute

    メモリ内データ

    VMステート

    SMB 3.0

    SMB 3.0

    共有フォルダ上の仮想ストレージ

    \\Server\Share\xxx.vhdx


    Hyper v5
    Hyper-V ライブマイグレーション& フェールオーバークラスター

    • フェールオーバークラスターを使用して仮想マシンをクラスタリングすることで、以下が可能になる

    • 最大64ノード

    • サーバー(ノード)メンテナンス時の自動ドレイン

    • サーバー(ノード)復帰時の自動フェールバック

    • 移行に最適なサーバーの自動選定

    • ※サーバーダウンを想定する場合は、Hyper-Vレプリカによる複製で対応する必要がある


    Hyper v over smb2
    “Hyper-V ライブマイグレーションover SMB” &フェールオーバークラスター

    FailoverCluster(max 64 nodes)

    Node

    Node

    Node

    Node

    Node

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    SMB3.0

    通常の

    ファイルサーバー

    ITCAMP-FS

    192.168.210.30

    \\ITCAMP-FS\VMStore

    この部分の信頼性が問題になる

    VMSTORE

    AD DS(KDC)

    VHD

    VHD

    VHD


    Hyper v over smb3
    Hyper-V ライブマイグレーションover SMB &フェールオーバークラスター & スケールアウトファイルサーバー

    FailoverCluster(max 64 nodes)

    Node

    Node

    Node

    Node

    Node

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    SMB3.0

    スケールアウトファイルサーバー

    \\FileServer\Share

    Node8

    Node1

    Node2

    Node8

    FailoverCluster(max 4 nodes)

    ストレージ部分の信頼性を担保

    AD DS(KDC)

    iSCSI/SAN

    CSV

    CSV v2


    メリット ライブマイグレーション

    堅牢性+柔軟性

    FailoverCluster(max 64 nodes)

    Node

    Node

    Node

    Node

    Node

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-V

    Hyper-VとStorageを分離

    SMB3.0

    スケールアウトファイルサーバー

    \\FileServer\Share

    堅牢性+柔軟性

    Node1

    Node2

    Node8

    FailoverCluster(max 4 nodes)

    ストレージ部分の信頼性を担保

    AD DS(KDC)

    iSCSI/SAN

    ストレージスペースにより堅牢性+柔軟性

    CSV

    CSV v2


    VDI ライブマイグレーション


    シナリオ: ライブマイグレーション自分の PCから社内デスクトップへ

    • 安全性を維持しつつ、個人の多様なデバイスで業務を遂行

    キーワード:VDI, App-V, UE-V, Office 365

    AD

    Hello

    Virtual

    Desktop

    Infrastructure

    アプリ配信

    ConfigMgr,

    EndpointProtection,

    グループポリシー

    Lync

    FileServer

    Hyper-V & RDS

    Office 365

    Firewall

    Gateway

    リモート デスクトップ クライアント

    リモート デスクトップ クライアント


    Vdi desktop 3 1
    VDI ライブマイグレーション=Desktop を構成する3要素 +1

    Desktop

    UserState

    Application

    Apps

    Store

    User States

    Store

    OS

    OS

    Store

    どのデバイスでも動作する

    Device

    Device

    Device


    Microsoft vdi
    Microsoft VDI ライブマイグレーションを支えるテクノロジー

    WindowsServerActiveDirectoryDomainService

    • InfrastructureManagement

    • 仮想クライアントの展開

    • 仮想アプリケーションの展開

    • ユーザー管理

    アプリケーションの仮想化

    OS の仮想化

    仮想クライアントのホスティング

    RemoteApp

    App-V

    ユーザー状態の仮想化

    RDS

    プロファイルディスク

    移動プロファイル

    Hyper-V

    UE-V


    OS ライブマイグレーションの仮想化


    3 os virtualization
    3 ライブマイグレーション タイプの OS Virtualization

    Powered by Windows Server 2012

    パーソナル仮想マシン

    共用仮想マシン

    セッションホスト

    RDS+Hyper-V


    Architecture
    Architecture ライブマイグレーション 選択基準

    Sessions

    Pooled VMs

    Personal VMs

    Good

    Better

    Best

    パーソナライズ

    アプリケーション互換性

    管理のしやすさ

    コスト効率


    OS ライブマイグレーション の仮想化を支えるテクノロジー

    • Hyper-V+Storage

    • SMB3.0, NIC Teaming

    • Hyper-VoverSMB

    • Live Migration, Live Storage Migration

    • Hyper-VCluster( Failover Cluster)

    • Scale-out File Server(Failover clustered file server)

    • RDS(RemoteDesktopServices)

    • WEBAccess

    • ConnectionBroker

    • Gateway

    • LicenseService

    • SessionHost/VM Host


    Remote ライブマイグレーションDesktopServices


    セッション ホスト( ライブマイグレーションRDSH)

    • Windows Server 内に「セッション」を設立し、RDPで接続して利用する

    • WindowsServer 以外に必要なものはない

    • UI は WindowsServer

    Session#0=ConsoleSession

    Session#1

    RDP

    Session#2

    RDP

    Session#3

    Session#4

    RDP

    Remote Desktop Service

    WindowsServer


    共有 ライブマイグレーションor パーソナル仮想マシン

    • Hyper-V 上に展開した仮想マシン(VM)をOSとして利用する

    • リモートデスクトップサービスがセッションを制御する

    RDP

    RDP

    RDP

    Remote Desktop Service

    VM3

    VM1

    VM2

    RDS

    RDS

    RDS

    Hyper-V

    WindowsServer


    Remote desktop service
    Remote Desktop Service ライブマイグレーション

    Firewall

    仮想マシンベース

    OWNDEVICE

    Firewall

    SSL

    RDWebAccess

    RDGateway

    RD Connection Broker

    Windows ServerHyper-V

    SSL

    RDP

    セッションベース

    SSL

    アクセス承認

    アクセス制御

    ポータル


    「切断」と「ログオフ ライブマイグレーション」の違い

    • ログオフ:セッションは初期化される

    • 切断:セッション状態を維持することで、再接続が可能

    •  アイドルタイムによる自動切断、切断されたセッションの維持時間などを、コレクション単位で設定可能

    仮想マシンベース

    接続ブローカー

    接続ブローカーが切断されたセッションにリダイレクトしてくれる

    Hyper-V

    session

    切断して

    マシンを移動

    セッションベース

    同じ仮想マシンに接続

    session


    Rd gateway
    RD Gateway ライブマイグレーション によるアクセス承認

    • RDP over SSL を RDP に変換

    • NAP(NetworkAccessProtection)との連携

    • セッションの監視(イントラネットでも利用可能)

    • 接続承認ポリシー(CAP)とリソース承認ポリシー(RAP)

    NAP

    検疫

    Firewall

    RDGateway

    • 接続承認ポリシー(CAP)

    • 認証

    • デバイスリダイレクトの可否

    • セッションタイムアウトの設定

    • その他のネットワークポリシー

    RDPover SSL

    (443/tcp)

    • リソース承認ポリシー(RAP)

    • ユーザーグループ(規定は DomainUsers)

    • 接続可能なコンピューター(規定は DomainComputer)

    • ポート番号(規定は 3389)

    RDP(3389)


    可用性 ライブマイグレーション

    後述

    Remote Desktop Connection Broker

    Active/Active

    Web farm

    Hyper-V cluster

    Remote Desktop Web Access

    仮想化ホスト

    SQL Server Clustering

    Web farm

    セッションホスト

    farm

    Remote Desktop Licensing

    Remote Desktop Gateway

    Cluster


    Application
    Application ライブマイグレーションの仮想化


    アプリケーションの仮想化 ライブマイグレーション

    • 2種類の配信方法

    • 異なるバージョンを同時に利用可能

    • RemoteApp

    • リモートデスクトップ方式

    • サーバーまたは仮想マシンにインストールされているアプリケーションを公開

    • App-V

    • ストリーミング方式

    • クライアントで実行

    RDP

    HTTPS


    Remoteapp
    RemoteApp ライブマイグレーション によるアプリケーションの公開

    • 仮想マシンや物理マシンにインストールされているアプリケーションを、リモート デスクトップ プロトコルを介して使用する機能。

    • WindowsServer2012 に直接インストールすることができないアプリケーションやセッションベースに対応していないアプリケーションは、仮想マシンベースで公開することができる。

    RDConnectionBroker

    RDS

    仮想マシンベース

    Hyper-V

    Firewall

    RDWebAccess

    • 接続方法

    • ポータルサイトでアイコンをクリック

    • RDPファイルをダブルクリック

    RDP

    RDP

    RDGateway

    セッションベース


    Rd web web
    RD ライブマイグレーションWeb ポータルと Web フィード

    • 仮想デスクトップ プールの公開

    • RemoteApp アプリケーションの公開

    • 特定のリモートデスクトップへの接続

    • アプリケーションリストをRSSフィードとして公開https://<ServerName>/RDWEB/Feed/WebFeed.aspx

    仮想マシンベース

    Hyper-V

    RDWebAccess

    RDP

    RDP

    Control

    Panel

    RSS

    セッションベース

    AD DS

    GPOで設定

    Win8 の場合


    User state
    User State ライブマイグレーション の仮想化


    ユーザープロファイルディスク ライブマイグレーション

    • OSとは独立した仮想 VHD ファイル

    • 中身はユーザープロファイルフォルダ

    • コレクション単位に管理される

    • コレクション間の共有は不可能

    セッションベース

    仮想デスクトップベース

    OS

    ユーザー1

    ユーザー2

    ユーザー1

    ユーザー2

    ユーザー3

    ユーザー3


    仮想デスクトップのロール バックとユーザー プロファイル ディスク

    プールされた仮想デスクトップコレクション

    • ロールバック

    • ユーザーのログオフ時に仮想マシンが初期化される

    • ユーザープロファイルディスク

    • ユーザー個別の環境が「独立した仮想 HDD として」保存される

    セッションベースのコレクション

    プールされた仮想デスクトップコレクション

    ログオン

    作業

    ログオフ

    差分

    VHD

    ユーザープロファイルディスク


    Remoteapp1
    RemoteApp バックとユーザー プロファイル ディスク で保存したデータはどこに?

    • 規定

      • RemoteApp サーバーの C:\Users 配下にテンポラリのプロファイルフォルダが作成される

      • ユーザーがログオフするとプロファイルフォルダは削除される

      • プロファイルフォルダ内に保存したデータは、次回ログオン時に再利用できない

    • プロファイルディスクを設定

      • プロファイルディスクの保存先として設定したパスに、仮想ハードディスクとして保存される。

      • 次回ログオン時にマウントされるため、保存したデータを再利用可能


    Ue user experience v
    ユーザーステートの仮想化 ~ バックとユーザー プロファイル ディスクUE(User Experience)-V

    きめ細かなローミング設定が行える

    SettingsLocationTemplate

    アプリケーション

    IE

    Office

    LOB

    others

    GroupPolicy

    ADDS

    UE-V

    Agent

    Windows 8

    Windows7 SP1

    Windows Server 2008 R2 SP1

    WindowsServer2012

    設定情報

    共有

    フォルダ

    規定はホームディレクトリ


    Ux remotefx
    UX バックとユーザー プロファイル ディスクを向上させるために -RemoteFX


    Remotefx
    RemoteFX バックとユーザー プロファイル ディスク

    仮想デスクトップのUX品質を高め、ローカルデバイスに近づけるためテクノロジー

    • 仮想GPU(vGPU)※RemoteFX 対応ビデオアダプタが必須

    • サーバーに実装された GPU を Hyper-V 上の仮想デスクトップから利用する

    • Hyper-V ホストが SLAT に対応していること

    • Hyper-V ホストが DirectX11 対応のビデオカードを実装していること

    • RDP7.1 以上に対応したリモートデスクトップクライアントを使用していること

    • VRAM 1MB あたり約 16500 ピクセル

    • 1920*1200 で約 150MB のビデオメモリを消費(シングルモニタの場合)

    • USB デバイスリダイレクション ※Windows 7 仮想マシンには RemoteFX 対応ビデオアダプタ必須

      • ローカルPCに接続されたUSBデバイスを仮想デスクトップにリダイレクトして利用する

      • RD 仮想化ホスト、RD セッションホスト(WS2012)の両方で利用可能

      • Windows8 仮想マシンには RemoteFX 対応ビデオアダプタは必要ない

      • グループポリシーで使用を許可する必要がある(規定では無効)

  • アダプティブグラフィックス

  • ネットワークの品質に応じてマルチメディアデータを最適化する

  • WAN 対応

  • マルチトランスポート(自動的にUDPを使用)

  • ストリーミングの最適化

  • マルチタッチ対応


  • デバイスのリダイレクト機能について バックとユーザー プロファイル ディスク

    • RemoteFX でリダイレクトするのは USB デバイス(ドライブ以外)

    • その他のデバイスは RDP によって独自に制御される

    • RDP8.0 では RDP セッション使用中のデバイス接続/切断が可能

    ローカルPC

    USBPort

    USB メモリ、ハードディスク

    ドライブ

    リダイレクション

    USBCD/DVD ドライブ

    USB プリンタ(印刷機能)

    EasyPrint

    USB 複合機、スキャナ

    USBWEBカメラ

    RemoteFXUSB

    リダイレクション

    USB ガジェット

    パラレルポート プリンタ

    ネットワークプリンター

    EasyPrint

    オーディオ再生

    オーディオ録音

    オーディオリモート再生/録音


    Easy print
    Easy Print バックとユーザー プロファイル ディスク とは

    • RDP6.1 以降で利用可能

    • サーバー側にプリンタードライバーがインストールされていなくても印刷が可能

    • サーバーで生成した XPS 形式ドキュメントを、クライアントにリダイレクトすることによってクライアント側プリンタドライバーを使用する。

    • (注意)スケーリング機能(拡大縮小)には対応していない

    MSTSC

    Printing Plugin

    WindowsServerSpooler

    Windows Client Spooler

    XPSto GDI

    EasyPrintPrinterDriver

    EMF Spool

    XPSSpool

    RD サーバー

    クライアント

    (参考)EasyPrint でのスケーリング機能の非対応について

    http://blogs.technet.com/b/askcorejp/archive/2011/08/03/scaling-feature-has-not-supported-from-windows-server-2008-r2-sp1.aspx


    リモート デスクトップ クライアント バックとユーザー プロファイル ディスク


    リモートデスクトップ サービスのプロファイルパス を設定したらどうなるか

    ログオン時に、プロファイルフォルダからプロファイルディスクにコピー

    利用中はプロファイルディスクが更新される

    ログオフ時に、プロファイルフォルダに書き戻し

    プロファイルディスク

    リモートデスクトップサービスのプロファイルフォルダ


    Directaccess
    DirectAccess サービスのプロファイルパス を設定したらどうなるか


    シナリオ: サービスのプロファイルパス を設定したらどうなるか社内デバイスをもちあるきたい

    • デバイスの安全性を維持し、シームレスに社内リソースにアクセス

    キーワード: DirectAccess、BitLocker、RMS、Lync

    Active Directory

    Hello

    ExchangeServer

    SharePointServer

    Lync

    各種業務サーバー

    ファイル サーバー

    Office 365

    Firewall

    SkyDrive

    DirectAccess

    BitLocker/BitLocker To Go


    DirectAccess サービスのプロファイルパス を設定したらどうなるか

    DirectAccess により、インターネットから社内ネットワークにシームレスに接続することが可能

    End User: Great Experience

    Exchange

    IT: どこからでも管理

    SharePoint

    リモートクライアントを発見

    Apps

    Intranet

    生産性の向上

    FIREWALL

    更新プログラムを確実に適用

    VPN

    Win XP / Vista / Non-Windows

    ユーザーの操作無しで接続を確立

    DirectAccess

    グループポリシーによる集中管理

    Mobile Broadband

    Windows 7

    Windows 8

    VPN はネットワークに接続する

    DirectAccessはネットワークを拡張する


    Vpn directaccess
    従来型 サービスのプロファイルパス を設定したらどうなるかVPN と DirectAccess の違い

    VPN

    • ユーザーによる起動がトリガー

    • 接続されているときだけポリシーの適用が可能

    • すべての通信がVPNを経由する

    DirectAccess

    • PC 起動中は常時接続

    • 常に社内セキュリティポリシーが適用

    • 社内リソースにアクセスする必要があるときのみ通信を行う(WindowsServer2012 では強制トンネリングも可能)

    クライアントの VPN インフラへの依存度を低減できるため、

    シン エッジ ネットワークの実現が可能


    Windows サービスのプロファイルパス を設定したらどうなるかServer2012 で DirectAccess はどうなったのか

    これまで…

    • DirectAccess と RRAS は同じサーバーに共存できなかった

    • Direct Access の展開は容易ではなかった

      • PKIを含め複雑なアーキテクチャを理解しなければならなかった

    WindowsServer2012 により…

    • DirectAccess and RRAS の共存 (リモートアクセス ロールに統合)

    • アーキテクチャの簡素化

    • PKI のオプション化

    • クライアント認証を Kerberos プロキシサービス経由で行えるようになった

    • NAT64 と DNS64 を標準でサポート(従来は UAG が必要)

    • その他

      • ロードバランス構成

      • 複数ドメイン、複数サイトへの対応

      • トークンベースの認証 (OTP:OneTimePassword)への対応

      • 強制トンネリング(すべての通信を強制的に社内に誘導)

      • WindowsPowerShell を使用した管理

      • ユーザーとサーバーの正常性監視


    Directaccess1
    DirectAccess サービスのプロファイルパス を設定したらどうなるか サーバーの要件

    • ActiveDirectory ドメインのメンバーであり、ドメインコントローラーと通信できること

    • もし構成時にドメインに参加していないことが検出されると、強制的にドメイン参加のプロセスが開始される(再起動要)

    • DirectAccess の構成は、ローカルコンピューターの管理者権限を持ったドメインユーザーでなければならない。また以下の要件を満たしている必要がある。

    • ドメインの AccountOperators グループのメンバー

    • DomainAdmins グループのメンバー

    • EnterpriseAdmins グループのメンバー

    • サーバーで IPv6 および IPv6 移行テクノロジーが有効であること

    • サーバーで IP ヘルパー サービスが起動していること

    • サーバーで Windows Firewall が正常に稼働していること(無効にすると接続セキュリティ規則が処理できないため動作しない)

    • ネットワークカードがネットワークに接続され、正常に稼働していること


    その他の要件 サービスのプロファイルパス を設定したらどうなるか

    • クライアント

    • OSとして以下が稼働していること

    • Windows7 または Windows8

    • WindowsServer2008R2 または WindowsServer2012

    • ActiveDirectory ドメインのメンバーであること

    • ActiveDirectory ドメインコントローラー

    • IPv6 に対応したドメインコントローラー

    • WindowsServer2008

    • WindowsServer2008R2

    • WindowsServer2012

    • ドメインおよびフォレストレベルは問わない

    • DNS

    • 以下のOSで稼働しているDNSサーバー

    • WindowsServer2008

    • WindowsServer2008R2

    • WindowsServer2012


    Directaccess ipv6
    DirectAccess サービスのプロファイルパス を設定したらどうなるかは IPv6 ベースのテクノロジー

    • WindowsServer2012DirectAccess では IPv6 移行テクノロジーにより、IPv4網との通信も可能にしている

    • 必要な IPv6 移行テクノロジーは DirectAccess サーバーに実装されている

    インターネット

    社内ネットワーク

    DirectAccess Server

    IPSec

    IPv6

    DirectAccess Core

    IPv6

    IPv6網

    IPv6網

    IPv6 移行

    テクノロジー

    IPv6 移行

    テクノロジー

    IPv4網

    IPv4網


    Directaccess2
    DirectAccess サービスのプロファイルパス を設定したらどうなるか のネットワークトポロジー

    Internet

    Intranet

    DirectAccess Server

    NIC

    NIC

    DMZ

    Firewall

    DirectAccess Server

    NIC

    NIC

    Firewall

    NIC

    DirectAccess Server

    AD DS


    Ipv4 or ipv6
    IPv4 or IPv6 サービスのプロファイルパス を設定したらどうなるか(インターネット側)

    自動構成

    Firewall

    DirectAccess

    Server

    (Public) IPv6

    社内ネットワーク

    IPv6 網

    IPv6 over IPSec

    Public IPv4

    IPv4 網

    だめなら次

    IPv6 over IPv4(w/ IPSec)

    6to4

    6to4

    だめなら次

    Private IPv4

    Firewall

    NAT, Proxy

    IP-HTTPS

    IPv4 網

    (IPv6 packets on an HTTPS)

    IP-HTTPS

    Server

    IP-HTTPS

    Client


    Ipv4 or ipv61
    IPv4 or IPv6 サービスのプロファイルパス を設定したらどうなるか(社内ネットワーク側)

    DirectAccess

    Server

    Public IPv6

    Ipv6網

    クライアントトリガーで通信が開始される

    Internet

    IPv4 網

    NAT64

    業務サーバー

    業務サーバー

    業務サーバー

    IPv4 only

    DNS64

    ISATAP

    ISATAP

    Private IPv6


    IPv6 サービスのプロファイルパス を設定したらどうなるか移行テクノロジー

    IPv6 ホスト が IPv4 ネットワークで IPv6 トラフィックをトンネリングできるようにするテクノロジー

    • 6to4(RFC3056)

    • IPv6 パケットを IPv4 でカプセル化するテクノロジー

    • Teredo(RFC4380)

    • IPv6 と IPv4 をリレーするテクノロジー

    • リレー用に2つの連続したパブリックIPv4アドレスを持ったNICが必要

    • WindowsServer2012+Windows8 では使用されなくなった

    • IP-HTTPS(RFC1945, RFC2616, RFC2818)

    • IPv6 パケットを IPv4HTTPS でカプセル化するテクノロジー

    • DirectAccess では、IPv6 をIPSecで暗号化し、さらに HTTPS により暗号化しているため、

    • コンバージョンの負荷が高い

    • ISATAP(Intra-SiteAutomaticTunnel Addressing Protocol)

      • IPv4 網内にある IPv6ホスト同士が通信を行うためのトンネリングテクノロジー


    クライアント側アプリケーションは サービスのプロファイルパス を設定したらどうなるかIPv6 対応でなければならない

    • IPv6 移行テクノロジーは IPv6 スタックを IPv4 スタックに変換(カプセル化)するために使用される。

    • 社内業務サーバー側にはNAT64、DNS64が提供されるため IPv4アプリケーションサーバーが使用できる

    IPv4 網

    DirectAccessClient

    DirectAccess

    Server

    Application

    DirectAccess

    Agent

    NIC

    NIC

    IPv6Stack

    IPv6Stack

    カプセル化

    IPv4Stack

    IPv4Stack


    Firewall
    企業内 サービスのプロファイルパス を設定したらどうなるかFirewall に必要な設定

    DA

    Firewall

    Dist.IP50

    NativeIPv6

    Dist. UDP500

    Src. UDP 500

    Dist. IP41

    6to4

    Dist. IP 41

    Dist. TCP443

    IP-HTTPS

    Src. TCP 443


    HTTPS サービスのプロファイルパス を設定したらどうなるか ベースの Kerberos Proxy

    Windows Server 2012 DirectAccess では、PKI の展開はオプションとなり構成管理がシンプルになった

    AD DS

    クライアントの認証リクエストが DirectAccessサーバーのKerberos プロキシーに送られる

    Kerberos プロキシは、Kerberos 関連リクエストをクライアントに代わってドメインコントローラーに転送。認証が完了すると内部の業務サーバーとの通信が可能になる。

    クライアント/ユーザー認証

    業務サーバー

    DirectAccess

    Server

    Firewall

    Kerberos

    Proxy

    Internet

    IPSec tunnel

    Intranet


    マルチサイト構成 サービスのプロファイルパス を設定したらどうなるか

    • 地理的に分散した拠点にDirectAccessサーバーを設置可能

    • 障害時のフェールーバーが可能

    DirectAccess Server

    DirectAccess Server

    Client

    DirectAccess Server


    Manage-Out サービスのプロファイルパス を設定したらどうなるかのサポート

    • 社内サーバーからDirectAccessクライアントを直接管理することができる

    • DirectAccess を使用した社内への接続とは別に有効化することが可能

    Firewall

    Internet

    管理サーバー

    クライアント

    DirectAccess Server

    パッチ

    セキュリティポリシー


    ネットワークロードバランス構成 サービスのプロファイルパス を設定したらどうなるか


    強制トンネリング サービスのプロファイルパス を設定したらどうなるか

    すべての通信を強制的に社内ネットワークを経由するようにすることで、全ての通信の監視が行える。

    ※規定では無効

    社内ネットワーク

    Firewall

    DirectAccess Server

    クライアント

    本来の経路

    Proxy

    WEB


    名前解決ポリシーテーブル( サービスのプロファイルパス を設定したらどうなるかNRPT)

    • DNS 名前空間ごとに「使用する DNS サーバーを決定するポリシー」定義できる機能

    • ポリシールールに存在しない名前空間は、NICで定義されたDNSサーバーに問い合わせる

    • インターネットトラフィックとイントラネットトラフィックの分離を実現するために、Windows7/Windows Server 2008 R2 から導入された

    • DirectAccess によりインターネットのクライアントは社内 DNS を使用できる

    DNS

    AD DS

    Client

    NRPT 規則

    NRPT 規則

    Firewall

    DirectAccess Server

    DNS

    Internet

    Internet

    Intranet


    [ サービスのプロファイルパス を設定したらどうなるかコンピューターの構成]

    ┗ [Windows の設定]

      ┗ [名前解決ポリシー]


    ネットワーク ロケーション サーバー( サービスのプロファイルパス を設定したらどうなるかNLS)

    • クライアントがイントラネットに直接接続されている場合のみアクセス可能な HTTPS サーバー

    • DirectAccess クライアントが接続を試みて、正常に WEB ページを取得できた場合には、クライアントはイントラネット上に存在すると判断される

    • イントラネット上のクライアントであると認識されると、DirectAccess サーバーは使用しない

    • NLS が正しく動作していないとイントラネットかインターネットかの判別が行えないので、高可用性化することが推奨される

    NLS

    Firewall

    NLSの名前解決

    できない

    Internet

    Intranet

    Internet


    [ サービスのプロファイルパス を設定したらどうなるかコンピューターの構成]

    ┗ [管理用テンプレート]

      ┗ [ネットワーク]

        ┗ [ネットワーク接続状態インジケーター]

          ┗ [ドメインの場所を特定する]


    Nrpt nls
    NRPT サービスのプロファイルパス を設定したらどうなるか による NLS の除外

    • NLS がインターネットから名前解決できてしまうと、インターネット上のクライアントはイントラネットに存在すると判断されてしまうため、DirectAccess が使用できなくなる。そのため、NLS は NRPT の除外規則によって名前解決ができないようにしておく必要がある

    外部 DNS

    AD DS

    NLS

    NRPT 規則

    NRPT 規則

    Client

    DirectAccess 規則

    DirectAccess 規則

    Firewall

    DirectAccess Server

    内部 DNS

    Internet

    Internet

    Intranet


    オフライン ドメイン ジョイン サービスのプロファイルパス を設定したらどうなるか

    • プロビジョン用ファイルを使用し、ドメインコントローラと通信できない状態でドメインに参加する手法

    • WindowsServer2012 では DirectAccessに必要なグループポリシー設定を埋め込むことができるため、インターネット上でオフラインドメインジョインすることができる

    Firewall

    AD DS

    ①Djoin.exe /provision

    ドメイン

    メンバー

    ③プロビジョンファイルをクライアントに送信

    Internet

    • コンピューターアカウント情報

    • グループポリシー

    GP 設定

    ②プロビジョンファイル

    ④プロビジョンファイルを使用してドメインにオフライン参加

    クライアント

    DirectAccess Server

    ⑤ DirectAccessサーバーを介して社内にアクセスできるようになる


    リモートアクセスを構成するコンポーネント サービスのプロファイルパス を設定したらどうなるか

    • リモートアクセス

    •  ┣ DirectAccess および VPN(RAS)

    •  ┗ ルーティング

    • WEB サーバー(IIS)

    •  ┣ WEB サーバー

    •   ┣ HTTP 共通機能

    •   ┃┣ HTTP エラー

    •   ┃┣ディレクトリの参照

    •   ┃┣ 既定のドキュメント

    •   ┃┗ 静的なコンテンツ

    •   ┣ セキュリティ

    •   ┃┣ 要求フィルター

    •   ┃┗ IP およびドメインの制限

    •   ┣ パフォーマンス

    •   ┃┗ 静的なコンテンツの圧縮

    •   ┗ 状態と診断

    •    ┗ HTTP ログ

    • 管理ツール

    役割


    つづき サービスのプロファイルパス を設定したらどうなるか

    機能

    • RAS 接続マネージャー管理キット(CMAK)

    • グループポリシーの管理

    • WindowsInternalDatabase

    • リモートサーバー管理ツール

    •  ┗ 役割管理ツール

    •   ┗ リモートアクセス管理ツール

    •    ┣ WindowsPowerShell 用リモートアクセスモジュール

    •    ┗ リモートアクセスGUIツールとコマンドラインツール


    Iis 8 0
    IIS 8.0 サービスのプロファイルパス を設定したらどうなるかの管理性向上


    IIS サービスのプロファイルパス を設定したらどうなるか8.0 で導入された新テクノロジー

    • NUMA対応

    • Server Name Indication

    • SSL 証明書の集中管理

    • IIS CPU スロットリング

    • Application initialization

    • 動的 IP 制限

    • FTP ログオンの試行制限

    • オープンスタンダードのサポート

      • Web Socket Protocol(ASP.NET 4.5)

      • ASP 3.5 と 4.5 の同時サポート

    WEBサーバーのスケーラビリティ

    セキュリティ

    開発環境


    WEB サービスのプロファイルパス を設定したらどうなるか サーバーのスケーラビリティ

    規模の拡大に伴う問題点

    • マルチテナント環境における SSL サイトのホスティング

    • 証明書の管理

    • アプリケーション性能

    IIS8 では

    • NUMA 対応によるハードウェア性能向上に伴うアプリケーション性能向上

    • SNI によるホスティングやクラウドにおける SSL サイトのスケールアウト

    • 証明書を共有フォルダで集中管理し、オンデマンドで証明書をロード

    • SSL バインディング管理の簡素化

    • CPU スロットリングによるロードバランシング、SLA 対応


    NUMA サービスのプロファイルパス を設定したらどうなるか対応

    • NUMA ノードに合わせてワーカープロセスが自動調整されるため、パフォーマンスを最適化することができる。

    • アプリケーションプールによって対応するため、アプリケーション自身の作りこみは必要無い

    • 効果

      • ハードウェアの性能を、アプリケーションの改修なく享受することができる

      • プロセッサコアが増えるほど性能向上

      • 可用性

      • CPUのメモリアクセス負荷を低減し、アプリケーションのワークロードをNUMAノードごとに分散

    • 管理性

    • アプリケーションプールの設定を変えるだけなので、特に複雑な仕組みを理解する必要がない

    将来のCPUコアやメモリの低価格化によってより大きなメリットを得られる


    アプリケーションプールを サービスのプロファイルパス を設定したらどうなるかNUMA対応にするには

    1

    2

    詳細設定

    4

    3

    5

    値を 0 に設定するだけ


    Sni server name indicator rfc4366
    SNI サービスのプロファイルパス を設定したらどうなるか(ServerNameIndicator: RFC4366)サポート

    従来の SSL では、クライアントが HOSTヘッダーを送信する前にホスト名が書かれた証明書が送られてきてしまう。そのため、1台のサーバーに複数のSSLサイトが存在する場合には IP アドレスで切り替える必要があった。

    パブリックサイトの場合、複数のパブリックアドレスが必要になる。

    従来:テナントごとにIPアドレスを変える必要があった

    xxx.xxx.xxx.xxx

    Client

    Server

    Hello

    IP=xxx.xxx.xxx.xxx

    Hello

    証明書

    ホスト名が書かれている

    キー交換

    証明書ストア

    暗号化通信


    SNI サービスのプロファイルパス を設定したらどうなるか では クライアントからの Hello 送信時にホスト名を通知できるように拡張された

    WEBサーバー側とブラウザ側の対応が必要(IIS8 以降、Vista の IE7以降)

    IIS8:1つのIPアドレスで複数のSSLサイトをホストできる

    Cotoso.com

    Client

    Server

    Hello、HOST

    HOST=contoso.com

    Hello

    証明書

    ホスト名が書かれている

    キー交換

    証明書ストア

    暗号化通信


    IIS CPU サービスのプロファイルパス を設定したらどうなるか スロットリング

    アプリケーションプールが使用する CPU使用率を制限する機能

    • KillW3wp:制限を超えたらプロセスをKILLする

    • Throttle :CPU使用率を無条件に制限

    • ThrottoleUnderLoad:CPU のアイドルタイムに余裕がなくなると使用を制限

    テナント1 の実行空間

    テナント3

    テナント2

    WEB サイト1

    WEB サイト2

    WEB サイト3

    WEB サイト4

    AppPool3

    AppPool2

    AppPool1

    最大使用率

    15%

    最大使用率

    50%

    最大使用率

    35%


    証明書の集中管理 サービスのプロファイルパス を設定したらどうなるか

    従来

    IIS8

    ServerFarm

    ServerFarm

    IIS

    IIS

    IIS www.contoso.com

    IISwww.contoso.com

    証明書

    証明書

    証明書

    www.Contoso.com.pfx

    共有フォルダに証明書(.pfx)を保存しておき、各サーバーでは共有フォルダを参照するだけ。

    ホスト名と同じファイル名の証明書が自動的にロードされる。

    同じWEBサイトをホストするファームであっても、個々のサーバーごとに証明書をインストールする必要があった


    証明書の有効期限管理 サービスのプロファイルパス を設定したらどうなるか

    IIS 管理コンソールから証明書の有効期限を容易に識別できる

    有効期限ごとにグルーピング表示

    • 期限切れ

    • 明日

    • 今週

    • 来週

    • 来月

    • それ以降


    Application Initialization サービスのプロファイルパス を設定したらどうなるか

    • WEBアプリケーションの最初のレスポンスを早くするためのテクノロジー

      • アプリケーションプールの初期化を待つ間に静的なスプラッシュページを表示

    applicationHost.config の構成例

    Application pool configuration entry:

    <addname=".NET v4.5"managedRuntimeVersion="v4.0"/>

    Application configuration entry:

    <applicationpath="/appinit"applicationPool=".NET v4.5">

    • x

    アプリケーションレベルのweb.config の構成例

    <applicationInitializationskipManagedModules="true"><addinitializationPage="/default.aspx"/></applicationInitialization>


    動的 サービスのプロファイルパス を設定したらどうなるかIP 制限

    • IIS7 以前では、IPアドレスの静的な制限機能を持っていた

      • ブロック時には 403.6 Forbidden をクライアントに送信

    • 同時要求数、一定時間内の要求の数によって要求元 IPアドレスを動的にフィルタする

    • IP アドレスだけでなく、 x-forwarded-for による制限も可能

    • フィルタが発動した際には以下の対応が可能

      • Unauthorized: IIS は HTTP 401 を返す

      • Forbidden: IIS は HTTP 403 を返す

      • Not Found: IIS は HTTP 404 を返す

      • Abort: IIS はコネクションを切断する


    Ip address management ipam
    IP Address Management (IPAM) サービスのプロファイルパス を設定したらどうなるか


    IP Address Management (IPAM) サービスのプロファイルパス を設定したらどうなるか

    企業内ネットワークで使用している IPアドレス空間の集中的な管理、監視、監査を行うためのフレームワーク

    • IPアドレス基盤の自動検出

      • ドメインコントローラー

      • DHCP サーバー

      • DNS サーバー

  • IP アドレス空間の監視、レポーティグ、管理

  • サーバー構成変更の監査とIPアドレス利用の追跡

    • DHCP リースとユーザーログオンイベントをベースにした IP address、クライアントID、ホスト名、ユーザー名による追跡

  • DHCP と DNS の集中管理と監視

    • サービスの稼働監視

    • DNS ゾーンの正常性監視

    • DNS レコードの管理

    • DHCP のスコープ管理


  • IPAM サービスのプロファイルパス を設定したらどうなるかのアーキテクチャ

    IPAM Client

    WS-Management

    Win 8

    RPC/WMI/SMB/MS-EVEN6/ WS-Management

    DHCP Server

    WCF

    IPAM

    Administrators

    WS2012

    RPC/WMI/MS-EVEN6

    DNS Server

    IPAM ASM

    Administrators

    IPAM Server

    WID

    WMI/LDAP/MS-EVEN6

    DC Server

    IPAM MSM

    Administrators

    Role-based access control

    Data-collection tasks

    NPS Server

    IPAM

    Users

    MS-EVEN6

    WS2012; WS08R2 & SPs; WS8

    IPAM Audit

    Administrators

    Address Expiry

    ServerDiscovery

    Server Configuration

    Address Utilization

    Event Collection

    Server Availability

    Server Monitoring

    MS-EVEN6 :Event Log Remoting Protocol Version 6

    WID:WindowsInternalDatabase


    IPAM サービスのプロファイルパス を設定したらどうなるか で管理されるアドレス空間の構造

    169.34.2.0/24

    192.168.0.0/16

    ISP や RIR から割り当てられたアドレス空間や、社内で取り決めたプライベートアドレス空間

    アドレスブロック

    192.168.1/24

    192.168.3/24

    ブロックから切り取られた、実際に使用するアドレス空間の定義。DHCPで定義された空間も検出される。

    アドレス レンジ

    192.168.1.173

    192.168.1.101

    割り当てられたアドレス。DHCPによって動的に割り当てられたアドレスも管理される。

    アドレス


    Dhcp failover
    DHCP サービスのプロファイルパス を設定したらどうなるかFailover


    Dhcp failover1

    アドレス空間 サービスのプロファイルパス を設定したらどうなるか

    DHCPFailover

    未使用

    SCOPE1

    従来

    DHCPFailover

    アドレス空間

    DHCP サーバー1

    DHCP サーバー2

    未使用

    SCOPE1

    SCOPE2

    SCOPE1

    SCOPE1

    DHCP サーバー1

    DHCP サーバー2

    ロードバランス、フェールオーバー

    SCOPE1

    SCOPE2

    アドレス要求

    Client

    アドレス要求

    Client


    Active directory domain service
    Active Directory サービスのプロファイルパス を設定したらどうなるかDomainService


    マイクロソフトの サービスのプロファイルパス を設定したらどうなるかIdP プラットフォーム全体像

    Consumer

    Enterprise

    WindowsAzure

    Active Directory

    Microsoft Account

    (WindowsLiveID)

    Sync

    WindowsServer

    ActiveDirectory

    Federation

    他社 IdP

    Microsoft

    全製品

    Microsoft

    全 OS

    Windows 8

    Metadata

    Sync

    Sync

    HR


    ドメインコントローラーの仮想化 サービスのプロファイルパス を設定したらどうなるか


    仮想 サービスのプロファイルパス を設定したらどうなるかDC の要件

    • Hyper-VServer

    • WindowsServer2008 以降

    • GuestOS

    • WindowsServer2012 以降


    DC サービスのプロファイルパス を設定したらどうなるか 仮想化のメリット

    • スケーラビリティ

      • 物理 PC がなくても展開可能

    • サーバーのロールバック(スナップショット)

    • 自動展開のしやすさ

    • パブリックウラウドへの移行

      • 仮想 DC を IaaS に展開


    仮想 サービスのプロファイルパス を設定したらどうなるかDC の展開

    • サーバーマネージャーを使用して

    • Windows PowerShell を使用して

    • VHDファイルを所定の手続きでクローン

    いずれの処理もリモートから行える


    DC サービスのプロファイルパス を設定したらどうなるかクローンの動作イメージ

    ①クローン先情報を埋め込む

    DC02

    VHD

    DC01

    ②エクスポート

    ③インポート

    Hyper-V

    Hyper-V


    仮想 サービスのプロファイルパス を設定したらどうなるかDC のクローン手順

    ソース DC で FSMO が起動していないことを確認。起動している場合には他の DC に移動。

    ソース DC をクローン可能な DC として認可する

    非互換アプリを調査し CustomDCCloneAllowList.xml を生成

    複製先情報を記載した DcCloneConfig.xmlファイルを作成

    ソース DC をシャットダウン

    ソース DC を Export

    ソースを起動

    Exportしたイメージを新しい仮想マシンとして Import

    複製先マシンを起動( DC 間複製が開始される)


    $ サービスのプロファイルパス を設定したらどうなるかSourceDC = "ITCAMP-DC02"

    $DistDC = "ITCAMP-DC03"

    $distPDCEmu = "ITCAMP-DC01"

    $SourceHyperVHost = "ITCAMP-FS"

    $DistHyperVHost = "ITCAMP-FS"

    $VMStore = "\\$DistHyperVHost\VMStore"

    $ConfirmPreference = "none"

    Move-ADDirectoryServerOperationMasterRole -Identity $distPDCEmu -OperationMasterRolePDCEmulator

    Get-ADComputer $SourceDC | %{Add-ADGroupMember -Identity "Cloneable Domain Controllers" -Members $_.samAccountName}

    Invoke-Command -ComputerName $SourceDC -ScriptBlock { Get-ADDCCloningExcludedApplicationList -GenerateXml -Force }

    Invoke-Command -ComputerName $SourceDC -ScriptBlock { `

    New-ADDCCloneConfigFile -Static -IPv4Address "192.168.210.52" `

    -IPv4DNSResolver "192.168.210.50" `

    -IPv4SubnetMask "255.255.255.0" `

    -IPv4DefaultGateway "192.168.210.254" `

    -CloneComputerName "$Args" `

    -SiteName "Default-First-Site-Name" } `

    -ArgumentList $DistDC

    Stop-VM -ComputerName $SourceHyperVHost -Name $SourceDC

    Get-VM -ComputerName $SourceHyperVHost -Name $SourceDC | %{ Export-VM $_ -Path $VMStore}

    Start-VM -ComputerName $SourceHyperVHost -Name $SourceDC

    $CFG = (Dir "$VMStore\$SourceDC\Virtual Machines\*.xml").FullName

    MD \\$DistHyperVHost\F$\$DistDC

    Import-VM -ComputerName $DistHyperVHost -Path $CFG -GenerateNewId -Copy-VhdDestinationPath F:\$DistDC

    Get-VM -ComputerName $DistHyperVHost -Name $SourceDC |Where-Object {$_.State -EQ "Off"} | Rename-VM -NewName $DistDC

    Start-VM -ComputerName $DistHyperVHost -Name $DistDC

    DCクローンを自動化するスクリプト例

    DC03

    DC01

    DC02

    複製

    ここから

    コマンドを実行

    ITCAMP-FS

    step1

    step2

    step3

    step4

    step5

    step6

    step7

    step8

    step9


    Step 1: サービスのプロファイルパス を設定したらどうなるかソースDCでPDCエミュレーターが動作していないことを確認

    PDCエミュレーターがインストールされているDCはクローンできない

    $ConfirmPreference = "none"

    Move-ADDirectoryServerOperationMasterRole -Identity $distPDCEmu `

    -OperationMasterRolePDCEmulator


    Step 2: サービスのプロファイルパス を設定したらどうなるかソースDCをクローン可能なDCに設定する

    Get-ADComputer $SourceDC | %{Add-ADGroupMember `

    -Identity "Cloneable Domain Controllers" -Members $_.samAccountName}

    複製元となるドメインコントローラーを CloneableDomainControllers のメンバーにする


    Step3. サービスのプロファイルパス を設定したらどうなるか非互換アプリを調査し CustomDCCloneAllowList.xml を生成

    Invoke-Command -ComputerName $SourceDC -ScriptBlock { Get-ADDCCloningExcludedApplicationList -GenerateXml -Force }

    コマンドレットを実行することで、C:\Windows\NTDS\CustomDCCloneAllowList.xml ファイルが作成される

    <AllowList>

    <Allow>

    <Name>Active Directory Management Pack Helper Object</Name>

    <Type>Program</Type>

    </Allow>

    <Allow>

    <Name>System Center Operations Manager 2012 Agent</Name>

    <Type>Program</Type>

    </Allow>

    <Allow>

    <Name>Microsoft Silverlight</Name>

    <Type>WoW64Program</Type>

    </Allow>

    <Allow>

    <Name>AdtAgent</Name>

    <Type>Service</Type>

    </Allow>

    <Allow>

    <Name>HealthService</Name>

    <Type>Service</Type>

    </Allow>

    <Allow>

    <Name>QWAVE</Name>

    <Type>Service</Type>

    </Allow>

    <Allow>

    <Name>System Center Management APM</Name>

    <Type>Service</Type>

    </Allow>

    <Allow>

    <Name>wlidsvc</Name>

    <Type>Service</Type>

    </Allow>

    </AllowList>


    Step4. サービスのプロファイルパス を設定したらどうなるか複製先情報を記載した DcCloneConfig.xmlファイルを作成

    Invoke-Command -ComputerName $SourceDC -ScriptBlock { `

    New-ADDCCloneConfigFile -Static -IPv4Address "192.168.210.52" `

    -IPv4DNSResolver "192.168.210.50" `

    -IPv4SubnetMask "255.255.255.0" `

    -IPv4DefaultGateway "192.168.210.254" `

    -CloneComputerName "$Args" `

    -SiteName "Default-First-Site-Name" } `

    -ArgumentList $DistDC

    すでに作成されていると上書きでいないので注意


    DcCloneConfig.xml サービスのプロファイルパス を設定したらどうなるかの例

    <?xml version="1.0"?>

    <d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">

    <ComputerName>ITCAMP-DC03</ComputerName>

    <SiteName>Default-First-Site-Name</SiteName>

    <IPSettings>

    <IPv4Settings>

    <StaticSettings>

    <Address>192.168.210.52</Address>

    <SubnetMask>255.255.255.0</SubnetMask>

    <DefaultGateway></DefaultGateway>

    <DNSResolver>192.168.210.50</DNSResolver>

    <DNSResolver>192.168.210.51</DNSResolver>

    <DNSResolver></DNSResolver>

    <DNSResolver></DNSResolver>

    <PreferredWINSServer></PreferredWINSServer>

    <AlternateWINSServer></AlternateWINSServer>

    </StaticSettings>

    </IPv4Settings>

    <IPv6Settings>

    <StaticSettings>

    <DNSResolver></DNSResolver>

    <DNSResolver></DNSResolver>

    <DNSResolver></DNSResolver>

    <DNSResolver></DNSResolver>

    </StaticSettings>

    </IPv6Settings>

    </IPSettings>

    </d3c:DCCloneConfig


    Step 5: サービスのプロファイルパス を設定したらどうなるかソース DC をシャットダウン

    Stop-VM -ComputerName $SourceHyperVHost -Name $SourceDC


    Step 6: サービスのプロファイルパス を設定したらどうなるかソース DC を Export

    Get-VM -ComputerName $SourceHyperVHost `

    -Name $SourceDC | %{ Export-VM $_ -Path $VMStore}


    Step7 dc
    Step7. サービスのプロファイルパス を設定したらどうなるかソースDCを起動

    Start-VM -ComputerName $SourceHyperVHost -Name $SourceDC

    複製先のDCは複製元DCと複製を開始するので、事前に起動しておく必要がある。


    Step 8: Export サービスのプロファイルパス を設定したらどうなるかしたイメージを新しい仮想マシンとして Import

    $CFG = (Dir "$VMStore\$SourceDC\Virtual Machines\*.xml").FullName

    MD \\$DistHyperVHost\F$\$DistDC

    Import-VM -ComputerName $DistHyperVHost `

    -Path $CFG -GenerateNewId -Copy -VhdDestinationPath F:\$DistDC

    重要!!インプレースインポートはできない!

    重要!!インプレースインポートはできない!


    Step9
    Step9. サービスのプロファイルパス を設定したらどうなるか複製先マシンを起動


    仮想 サービスのプロファイルパス を設定したらどうなるかDC 展開の留意点

    • 単一障害点にならないこと

      • 少なくとも2台のHyper-V サーバーに1台づつ展開

      • 1つのハードウェアの障害が複数のDCに影響を与えないようにすること

      • できるだけ物理的に異なるリージョンに配置すること

      • 可能であれば、少なくとも1台は物理 DC を構築しておくこと

    V-DC

    V-DC

    V-DC

    V-DC

    Hyper-V

    Hyper-V

    Hyper-V


    • セキュリティ上の考慮点 サービスのプロファイルパス を設定したらどうなるか

      • できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともにServer Core を採用すること

      • 必要に応じて RODC を検討すること

      • VHDファイルの安全性に考慮すること

        • VHDファイルが含まれるドライブごと暗号化することをお勧め

    V-DC

    (Server Core)

    Hyper-V

    (Server Core)


    • セキュリティ上の考慮点(つづき) サービスのプロファイルパス を設定したらどうなるか

      • ホストコンピューターは死守すること

        • 可能であればホストコンピューターは管理用ネットワークのみと通信を行うように設定されていること

        • ホストコンピューターはゲストであるDCのドメインに所属させない

    V-DC

    V-DC

    3

    Sysvol 共有に

    アタック

    Hyper-V

    (domain member)

    DC からスタートアップスクリプトを送り込む

    2


    Adtest.exe 使用 http://www.microsoft.com/en-us/download/details.aspx?id=15275


    • 展開に関する考慮点 サービスのプロファイルパス を設定したらどうなるか

      • 差分ディスクは使わないこと

    固定

    実使用領域

    指定領域に達するまで自動拡張

    未使用領域

    可変

    差分

    元の領域

    差分

    差分

    差分


    • 展開に関する考慮点(続き) サービスのプロファイルパス を設定したらどうなるか

      • VHDファイルを”単純複製”しないこと

        • SID の重複(..かといって ドメインコントローラーでの Sysprep は未サポート)

        • USN(Update Sequence Number)ロールバック問題

      • 起動しているドメインコントローラーを Export しないこと

    詳細:http://technet.microsoft.com/en-us/library/

    virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx


    Windows server 2012 dc
    詳細解説: サービスのプロファイルパス を設定したらどうなるかWindowsServer2012 仮想 DC は、なぜスナップショットからのリストアが使えるのか


    復習 「権限の無い復元」と「権限のある復元」

    Non-Authoritative Restore

    Authoritative Restore

    権限の無い復元:障害で動作しなくなったサーバーの回復を目的としている

    DC1

    DC2

    回復モード

    バックアップ

    ①復元

    DIT

    複製

    DIT

    権限のある復元:削除してしまったオブジェクトの回復を目的としている

    DC1

    DC2

    回復モード

    バックアップ

    ①復元

    差分複製

    DIT

    DIT

    ② 復元対象のオブジェクトにマーク

    (権限付け)


    “正しい復元”にとって重要 「権限の無い復元」と「権限のある復元」な 4 つの ID

    • USN(Update Sequence Number)

      • オブジェクトが追加、変更、削除されるたびに+1

      • ドメインコントローラー個々に管理されている

    • RID (Relative Identifier)

      • DC 内オブジェクトの通番.

      • SID の構成要素

      • RID Master の RIDPool によって集中管理されている

    • Invocation(発動,召喚) ID

      • DIT のバージョン管理に使用される

      • Get-ADDomainController で参照可能

    • GUID(Globally Unique IDentifier)

      • サーバー内オブジェクトのID

      • 恒久的


    USN 「権限の無い復元」と「権限のある復元」 とは

    • Update Sequence Number

    • オブジェクトを変更、作成、するごとに +1

    • ドメインコントローラーごとに管理されている

    • ドメインコントローラー間でどこまで複製が完了したかを確認するための番号

    • ドメインコントローラーに変更が加えられるたびに加算される

    DC2

    DC1

    複製

    My USN=100

    My USN=200

    USN_DC2 = 100

    USN_DC1 = 200

    HighWatermark

    DIT

    DIT

    DC1からはUSN=200まで複製完了したということ


    High watermark
    複製の基本動作: 「権限の無い復元」と「権限のある復元」High Watermark をベースにした差分複製

    HWM

    DC2

    DC1

    複製リクエスト

    My USN=200

    USN_DC1 = 200

    複製無し

    DIT

    DIT

    ユーザー追加

    50人

    DC2

    DC1

    複製リクエスト

    USN_DC1 = 200

    My USN=250

    USN=201~250

    DIT

    DIT

    250


    USN 「権限の無い復元」と「権限のある復元」 ロールバック問題

    DC2

    DC1

    USN_DC1 = 250

    My USN=250

    DIT

    DIT

    なんらかの原因で USN ロールバックが発生

    DC1

    DC2

    複製リクエスト

    My USN=200

    USN_DC1 = 250

    複製無し

    DIT

    DIT

    矛盾


    DC1 「権限の無い復元」と「権限のある復元」

    DC2

    複製リクエスト

    My USN=250

    USN_DC1 = 250

    複製無し

    DIT

    DIT

    ユーザー追加

    50人

    ユーザー追加

    10人

    DC1

    DC2

    複製リクエスト

    My USN=260

    USN_DC1 = 250

    USN=251~260

    DIT

    DIT

    260

    矛盾

    矛盾


    USN 「権限の無い復元」と「権限のある復元」 ロールバックの検知

    • 「USNロールバック」を検知すると、複製は停止する

      • Windows Server Backup から古い DIT をリストアした場合

      • 古い VHD ファイルをリストアした場合

      • 古い Export ファイルをインポートした場合

    Event ID 2103:Active Directory データベースがサポートされていない方法で復元されました。Active Directory はこの状態が継続している間、ユーザーのログオンを処理できません。

    USNロールバックが検知されないと、データベース全体に影響を及ぼしてしまう!

    だから、「検知」されないとならない。


    Invocation id
    Invocation ID 「権限の無い復元」と「権限のある復元」

    • Invocation ID:ディレクトリデータベース(NTDS.DIT)のID

      • DITのバージョン識別子として扱われる

    DIT

    Invocation ID


    USN 「権限の無い復元」と「権限のある復元」 ロールバック問題を回避するには

    ロールバックを検知し、Invocation ID をリセット(変更)する必要がある

    複製パートナー側に新しいHWMが作成される

    DC2が把握しているDC1 の状態

    DC1 が把握している

    DC1(自分自身)の状態

    DC1(A)@USN1000

    USN = 1000

    InvocationID = A

    USNロールバック

    ロールバック検知

    新しいHWM

    DC1(A)@USN1000

    DC1(B)@USN500

    USN = 500

    InvocationID = B

    複製要求

    頭から複製

    DIT変更(USN変更)

    複製要求

    DC1(A)@USN1000

    DC1(B)@USN600

    USN=600

    InvocationID= B

    差分複製


    旧バージョンでのスナップショットによる 「権限の無い復元」と「権限のある復元」USNロールバック

    • スナップショットをリストアした場合には、USN ロールバックが検知されない

    Timeline of events

    DC2

    DC1

    Create

    Snapshot

    USN: 100

    ID: A

    RID Pool: 500 - 1000

    TIME: T1

    • USN rollback はDC2に反映されない→50ユーザーが複製されてしまう

    • All others are either on one or the other DC

    • 100 ユーザー(RID= 500-599)は SID 競合

    +100 users added

    USN: 200

    TIME: T2

    ID: A

    RID Pool: 600- 1000

    DC2 receives updates: USNs >100

    DC1(A)@USN = 200

    T1 Snapshot

    Applied!

    USN: 100

    ID: A

    RID Pool: 500 - 1000

    TIME: T3

    +150 more users created

    USN: 250

    ID: A

    RID Pool: 650 - 1000

    DC2 receives updates: USNs >200

    TIME: T4

    DC1(A)@USN = 250


    Windows server 20121
    Windows Server 2012 「権限の無い復元」と「権限のある復元」 では

    Hyper-V ホストで VM-Generation ID を管理している

    • ユニークな 128 ビットの ID

      • 専用ドライバーによりゲストOSに通知できるようになっている

        WS2012 仮想 DC は VM-Generation ID をトラックする

    仮想 DC

    DIT

    Invocation ID

    • 異なっていれば DC の invocation ID と RID pool をリセットしてから、コミット

    VM-GenID

    • Active Directory database (DIT) に保存

  • DIT への変更をコミットする前に、

    • “DIT 内部の VM-Generation ID” と “ホストが認識している VM-Generation ID” を比較

    • 異なれば DC の invocation ID と RID pool をリセットしてから、コミット

      同じ操作を、起動時に実行する

  • 比較

    Hyper-V ホスト

    VM-Gen ID


    Windows server 20122
    Windows Server 2012 「権限の無い復元」と「権限のある復元」 ではこうなっている

    Timeline of events

    DC2

    DC1

    Create

    Snapshot

    USN: 100

    ID: A

    savedVMGID: G1

    VMGID: G1

    TIME: T1

    +100 users added

    USN: 200

    ID: A

    savedVMGID: G1

    VMGID: G1

    TIME: T2

    DC1(A)@USN = 200

    DC2 receives updates: USNs >100

    T1 Snapshot

    Applied!

    USN: 100

    ID: A

    savedVMGID: G1

    VMGID: G2

    … missing users replicate back to DC1

    TIME: T3

    DC2 again accepts updates: USNs >100

    +150 users created: VM generation ID の差異が発生

    USN: 250

    ID: B

    savedVMGID: G2

    VMGID: G2

    DC1(A)@USN = 200

    DC1(B)@USN = 250

    TIME: T4

    USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs


    結局のところ 「権限の無い復元」と「権限のある復元」...

    以下の用途には使えないので注意

    「作成したユーザーを削除したい」

    「変更したユーザーの属性を元に戻したい」

    • Authoritative Restore を使用しましょう

    • または Forefront Identity Manager を使用し、メタデータで管理しましょう

    消してしまったユーザーを復元するには「ゴミ箱」を使いましょう


    Dynamic access control dac
    ダイナミックアクセス 「権限の無い復元」と「権限のある復元」制御DynamicAccess Control(DAC)


    「権限の無い復元」と「権限のある復元」データガバナンス” へのニーズ

    正しいコンプライアンスが必要

    CIO

    自分のデータが適切に保護されているかどうやって監査すればよいのだろう?

    インフラサポート

    コンテンツオーナー

    どのデータに責任があって、どうやって制御すればよいかわからない

    コンプライアンスに違反しているかどうか心配せずに必要なデータを使用したい

    Information Worker


    そうは言っても、複雑な 「権限の無い復元」と「権限のある復元」”データガバナンス”

    • ファイル単位のアクセス権

    • 増え続けるファイル

    • 管理の分散(コンプライアンス測定不能)

    • グループメンバーシップの管理

    • 増え続けるグループとメンバー増減への対応

    • 複雑なメンバーシップルール

    アクセス

    ポリシー

    ID管理

    • 暗号化すべきデータの識別

    • 膨大なデータ

    • 監査対象データの識別

    監査

    暗号化


    Windows server 2012 dac
    Windows Server 2012 「権限の無い復元」と「権限のある復元」 ダイナミックアクセス制御(DAC)

    DAC によってそれぞれのテクノロジーを結びつける

    • アクセスポリシーの集中管理

    • 最新のユーザー情報の保持

    アクセス

    ポリシー

    ID 管理

    Dynamic Access Control

    • 自動識別と自動暗号化

    • 監査ポリシーの集中管理

    監査

    暗号化


    アクセスコントロールとは 「権限の無い復元」と「権限のある復元」

    • アクセスコントロール(アクセス制御)とは...... ユーザーがアクセスしてもよいかどうかを評価するためのプロセス

    • Windows の場合以下の 2 種類

      • ACL ベースのアクセスコントロール

      • Expression ベースのアクセスコントロール

    アクセス権

    ID 情報

    アクセス


    Acl access control list
    ACL 「権限の無い復元」と「権限のある復元」(Access Control List)ベースのアクセスコントロール

    • リソースにアクセスコントロールエントリ(ACE)を静的に割り当てる

    • 各 ACE は「OR」で接続される

    ユーザー

    ACL

    Resource

    ACE

    ACE

    Read/Write

    OR

    ACE

    A

    OR

    グループ

    ACE

    ACE

    OR

    ACE

    ReadOnly


    Agdlp
    AGDLP 「権限の無い復元」と「権限のある復元」

    A :Account

    G :GlobalGroup

    DL :DomainLocalGroup

    P :Permission

    ユーザー

    組織や役割ごとのグループ

    ACL

    Resource

    グローバル

    グループ

    ACE

    “アクセス権”に合わせて作成されたグループ

    OR

    ACE

    OR

    ACE

    ドメイン ローカル

    グループ

    グローバル

    グループ

    OR

    ACE

    ReadOnly


    Acl id
    “静的な 「権限の無い復元」と「権限のある復元」ACL”を動的に管理するための Id プロビジョニングシステム

    • 「静的」な ACE を「動的」に割り当てる仕組みも存在する

      • ForefrontIdentityManager のダイナミックグループ機能

    ForefrontIdentityManager

    グループ

    ユーザーの属性を判別して自動的にグループメンバーに追加

    Active Directory

    A

    メタデータ

    グループ

    workflow


    Expression based
    Expression-Based 「権限の無い復元」と「権限のある復元」グループ

    Expression-Based グループ

    通常のグループ

    メンバー

    メンバー

    メンバーは動的

    メンバーを明に指定する(静的)

    • 所属 = 営業部

    • AND

    • 役職 =Manager


    Rbac role based access control
    RBAC 「権限の無い復元」と「権限のある復元」(Role-Based Access Control)

    ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること

    ....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない....


    グループベース 「権限の無い復元」と「権限のある復元」RBAC の限界

    • リソースの増加とグループの増加

    • 複雑なメンバーシップ管理(1グループ1人 !?)

    • イレギュラーでダイナミックな組織構造

    • リソース管理者 ≠ ID 管理者

    リソース管理(リソース管理者)

    連携が必要

    ID 管理(ID 管理者)

    Resource

    ACL

    A

    A

    A

    A

    A

    A

    A

    A

    A

    A

    A

    A

    ACE

    ACE

    Resource

    ACL

    ACE

    ACE


    Expression based access control
    Expression-Based Access Control 「権限の無い復元」と「権限のある復元」

    • ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御

    条件が合致すればアクセス可能

    アクセスルール

    ユーザーCountry= リソース Country

    ユーザー Department= リソース Department

    デバイス Owner=“Microsoft”

    ユーザー属性

    リソース属性

    • Country

    • Department

    • Country

    • Department

    Rules

    デバイス属性

    • Type

    • Owner


    Dynamic access control
    Dynamic 「権限の無い復元」と「権限のある復元」Access Control

    • Expression-BasedAccessControl......利用者とリソースの属性によって動的にアクセスを制御する

    • ID 管理者は ID のプロビジョニングに対して責任を持つ

    • リソース管理者は、リソースの属性に対して責任を持つ

    リソース属性管理(リソース管理者)

    アクセスルール管理

    ID 管理(ID 管理者)

    A

    Rules

    A

    人事部

    IT部

    営業部

    A

    所属

    Resource

    経理部

    営業部:Read

    IT部:Backup

    経理部:R/W

    IT部

    A

    A

    企画部

    営業部

    経理部


    DAC 「権限の無い復元」と「権限のある復元」 の想定シナリオ

    リソースごとに行っていたアクセス制御をエンタープライズレベルで統制

    • アクセスポリシー(Central Access Policy)の集中管理

      • 全社コンプライアンスポリシー

      • 組織の認可ポリシー

    • ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理

    • File Classification Infrastructure(FCI)と連携したファイルの自動分類

      • データの自動分類

      • 社外秘データの自動暗号化

      • 法廷保存期間に沿ったファイルサーバー上のデータの保管


    重要な概念 「権限の無い復元」と「権限のある復元」

    「クレームベースのアクセス制御」とは

    • 「クレーム」とは「要求」のこと

    • 「要求」を出すのは「リソース(例:ファイルサーバー)側」

    • ユーザーはリソース側のクレームに合致した属性情報を「トークン」として提示

    • リソースは受け取ったトークンを解析してアクセス認可を判断

    トークンを解析してアクセス認可を判断

    クレーム(要求)

    トークン

    Name = Junichi Anno

    Company = MSKK

    Department = Evangelism

    Title = Evangelist

    ユーザー

    リソース


    DAC 「権限の無い復元」と「権限のある復元」 でのアクセス制御プロセス

    • DAC においては

    • クレーム = 「分類属性」として定義

    • トークン =Kerberos チケットとして ADDS から発行される

    Kerberos チケット(トークン)に含めるのに必要な属性は、ADDS 上に定義されていなければならない

    Windows Server 2012 必須※Kerberosに属性を含める機構が必要

    AD DS

    ファイルサーバー

    ①ログオン

    事前に「分類属性」を定義しておく

    Windows

    Server 2012/8 必須

    ※属性を受信して解析する機能が必要

    ②属性情報を含んだKerberos チケット

    Ticket

    ③ アクセス

    ユーザー

    on Windows 8

    Name = Junichi Anno

    Company = MSKK

    チケットとクレームを照合


    Rfc 2113 kerberos armoring
    RFC 「権限の無い復元」と「権限のある復元」2113 - Kerberos Armoring

    • WindowsServer2012ActiveDirectoryに実装

    Whoami /claims


    Pre windows 8
    (参考)クライアントが 「権限の無い復元」と「権限のある復元」Pre-Windows8 の場合

    Windows7 以前のクライアントの場合、属性が格納されたKerberosチケットを要求することができないため、ファイルサーバーがADDSから属性情報を受け取る

    WindowsServer2003 以上のドメインレベル※Service-for-User-to-Self(S4U2Self)機構が必要

    AD DS

    ファイルサーバー

    S4U2Self

    ログオン

    Ticket

    属性情報を含んだKerberos チケット

    Windows

    Server 2012/8 必須

    ※属性を受信して解析する機能が必要

    従来の Kerberos

    チケット

    Ticket

    属性は含まれない

    ユーザー

    on Pre-Windows 8

    チケットとクレームを照合


    Dac dc
    DAC 「権限の無い復元」と「権限のある復元」 に必要なすべての情報が DC で集中管理される

    • DAC に必要な情報は3つ

    • ソース(ユーザーおよびデバイス)の属性情報

    • リソースの属性情報(分類属性)

    • アクセスルール

    アクセスポリシー

    リソース

    ソース

    条件が合致すれば

    アクセス可能

    クレーム

    属性

    リソース

    プロパティ

    分類属性

    アクセスルール

    定義

    関連付け


    DAC 「権限の無い復元」と「権限のある復元」 によるアクセスポリシー管理の全体像

    「ActiveDirectory 管理センター」で作成した「集約型アクセスポリシー」をグループポリシーオブジェクト(GPO)に結合することでファイルサーバーに適用する

    リソース

    集約型アクセスポリシー

    集約型アクセス規則(ルール)

    分類属性

    アクセス元の条件と、条件を満たした時のアクセス権

    ターゲットとなるリソースの条件

    分類属性とリソースの条件が合致すればアクセス権が与えられる

    クレームタイプ

    (要求の種類)

    リソース プロパティ リスト

    結合

    リソース プロパティ

    ソース属性

    GPO

    Country

    Country

    Active Directory

    ソース属性

    Department

    GPO

    ソース

    (ユーザー)

    Department

    適用

    アクセス権


    Active directory
    アクセスポリシーの管理は「 「権限の無い復元」と「権限のある復元」ActiveDirectory 管理センター」から行う


    アクセスポリシーはグループポリシーで配信するアクセスポリシーはグループポリシーで配信する


    アクセス権判定の例アクセスポリシーはグループポリシーで配信する

    Full

    Full

    Full

    Modify

    Modify

    Read

    Modify

    Modify

    None

    [rule ignored – not processed]

    Modify

    Modify

    Read

    Modify

    None

    Read


    アクセス拒否発生時の速やかなアクセスポリシーはグループポリシーで配信する対応

    ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、

    速やかな問題解決を図るために以下の対応が可能。

    • メッセージの送信

      • to システム管理者

      • to 共有フォルダーの所有者

    • アクセス権取得の要求

    • グループポリシーおよびファイルサーバーリソースマネジャーで設定


    DACアクセスポリシーはグループポリシーで配信する に求められる条件

    管理者の管理責任範囲は狭くなるが、管理の精密性が求められる

    リソース管理者の責任

    • コンプライアンスに沿った条件設定

    • 状況に応じたダイナミックな設定変更

    IT(ID)管理者の責任

    • ID 情報の精密性

    • 迅速な ID 情報の反映


    DACアクセスポリシーはグループポリシーで配信する を支えるテクノロジー

    • AD DSと FSRM が鍵

    Dynamic Access Control

    FSRM Protocol

    ActiveDirectoryDomainService

    FileServer

    ResourceManager

    (FSRM)

    GPO

    GLOBAL Classification Attributes

    A


    ファイルサーバーリソースマネージャー(アクセスポリシーはグループポリシーで配信するFSRM)

    • ファイル サーバーに保存されたデータを管理および分類できるようにするための機能セット

    • ファイル分類インフラストラクチャ(FCI)

    • ファイル管理タスク 

    • クォータの管理   

    • ファイル スクリーンの管理

    • 記憶域レポート 

    Global ResourceProperty

    スクリーニング

    FSRM Protocol

    FileServer

    ResourceManager

    分類属性の定義

    Property

    Schema

    ファイル管理タスク

    ディレクトリ クオータ

    記憶域レポート

    分類モジュール

    拡張機能の登録

    ストレージ

    モジュール


    分類属性アクセスポリシーはグループポリシーで配信する

    • ファイル/フォルダを分類するための拡張属性

      • ローカル属性

        • FSRM管理コンソール、または WindowsPowerShell で管理

      • グローバル属性

        • ActiveDirectory のオブジェクトとして定義し、GPO を使用して Schema に反映

    • Update-FsrmClassificationPropertyDefinition で属性としてコミット

    FSRM

    Fsrm protocol

    Schema

    Local

    Global


    グローバルタイプの分類属性 は アクセスポリシーはグループポリシーで配信するAD 上に格納されている


    グローバル 分類属性アクセスポリシーはグループポリシーで配信する

    • ADDS 側で属性リストを集中管理し、グループポリシーとして配布可能※FSRM 側は WindowsServer2012 または Windows8

    • グローバル リソース プロパティ

    • (例)

    • R_Country

    • R_Department

    FSRM

    AD DS

    グループポリシー

    Fsrm protocol

    Update-FsrmClassificationPropertyDefinition

    Schema

    Global

    ファイルサーバー

    + ファイルサーバーリソースマネージャー

    (Windows Server2012orWindows8)


    PACアクセスポリシーはグループポリシーで配信する


    Windows azure active directory
    (アクセスポリシーはグループポリシーで配信する参考)WindowsAzureActive Directory


    Identity technology
    Identityアクセスポリシーはグループポリシーで配信するTechnologyの課題

    • ROI(投資収益率) が見えずらい

    • アーキテクチャが複雑でエンジニアがいない

    • 導入コストと管理コストが結構大きい

    • “変化”が外部に与える影響が大きい

    セキュリティトークン

    Forefront Identity Manager

    PIN

    クレーム認証

    CHAP

    802.1x

    同期

    OTP

    パスワード

    ACL

    Provisioning

    ACE

    ldap

    Active Directory

    メタディレクトリ

    NTLM

    認可

    SAML

    WS-Federation

    SCIM

    IRM

    ServiceforUNIX

    radius

    Kerberos

    Nis+

    OpenID

    nis

    統合認証

    ICカード

    フェデレーション

    SMB

    信頼関係

    マルチマスター

    ACS

    OAuth

    IdM

    信頼関係

    証明書

    SSO

    NDS

    ACE

    2要素認証

    アサーション

    OpenIDConnect

    WS-Trust

    ADSI


    Identity solution cloud single sign on with access control

    Windows Azureアクセスポリシーはグループポリシーで配信するActive Directory~2013年4月リリース

    Identity Solution: Cloud Single Sign-on with Access Control

    • IdMasaService

    • マルチテナント

    • 認証 HUB(トークンゲートウェイ)

    • ID ストア

    • RESTAPI

    External IdP

    LIVE

    連携

    Access Control

    Sync

    Directory

    GraphAPI

    3rd PartyServices

    Windows Server

    Active Directory

    or

    Shibboleth

    or

    PingFederate

    Windows AzureActive Directory

    Auth. Library

    Apps in Azure


    Windowsアクセスポリシーはグループポリシーで配信するAzureActiveDirectory

    definitely not!

    WindowsServer Active Directory

    (on premise / on Azure IaaS)


    Coreio core infrastructure optimization
    CoreIOアクセスポリシーはグループポリシーで配信する(CoreInfrastructureOptimization)

    • ID を中心に、すべてのリソースを結合

    • EndtoEnd のセキュリティポリシー

    • IdM により関係性が管理されている

    • IdM の役割

    • DigitalIdentity の Provisioning

      • Create

      • Retrieve(Read)

      • Update

      • Delete

    • 最新状態の維持

    • IdM の目的

    • ただしく認証、ただしく認可

    • 適切なアクセス権管理

    • リソースの保護

    • セキュリティポリシーの管理

    Network

    Devices

    Users, Devices, Services

    Groups

    Attributes

    IdM

    DigitalIdentity

    Data

    Services


    Id domain based identity management
    従来の アクセスポリシーはグループポリシーで配信するID 管理 ~ Domain-based Identity Management

    • ドメイン境界内の保護

    • ID による企業統制

    • セキュリティポリシーの集中管理

    ドメイン境界(Firewall)

    Active Directory ドメイン


    IdPアクセスポリシーはグループポリシーで配信する の乱立問題をどう回避したのか?

    回避は........できませんでした...

    そのかわり...こんな方法で対応してきました

    統合認証

    同期

    Metadata

    認証サーバー

    業務

    業務

    業務

    業務

    業務


    組織間、企業間連携のニーズアクセスポリシーはグループポリシーで配信する

    • ドメインの異なる組織、企業間でサービス連携を行いたい

    • ActiveDirectory 以外のドメインとの連携

    サービス(ServiceProvider:SP)には、認証と認可がつきもの

    Active Directory ドメイン

    Active Directory ドメイン

    連携


    パブアクセスポリシーはグループポリシーで配信するリッククラウド連携へのニーズ

    • 企業向け SaaS(Office365, GAE, Saleceforce など)

    • SNS との連携

    サービス(ServiceProvider:SP)には、認証と認可がつきもの

    WebService

    WebService

    WebService

    office365

    WebService

    WebService

    Active Directory ドメイン

    WebService

    WebService

    Google.com

    Outlook.com

    Salesforce.com

    Facebook.com


    新たな課題アクセスポリシーはグループポリシーで配信する

    • IdP(IdentityProvider)として

    • 企業ドメインの ”境界” を超えたリソース利用

    • パブリッククラウド上での Identity 管理

    • SP(RP)として

    • 複数企業の受け入れ方法(コードを書き換える!?)

    • テナントごとのアクセス管理

    • 受け入れ企業の Digital Identity 管理、保守

      • 「パスワード管理なんてやってられっか!」


    Identity federation model
    Identityアクセスポリシーはグループポリシーで配信するFederationModel

    • ドメインベースモデルの大いなる拡張!

    • ドメイン外サービスとの連携

    • 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい)

    認可

    認証

    SP(RP)

    IdP(CP)

    同一人物

    PROVESWHOSHEIS

    CLAIMS

    WHOAMI?


    クレーム ベースアクセスポリシーはグループポリシーで配信するの認証と認可

    IdP:ユーザー認証、デバイス認証を行いトークン(アサーション)を発行

    SP:トークンから本人を識別し、ロールを決定してアクセスを認可する

    クレーム ベースの認証と認可

    信頼

    IdP(認証)

    SP(認可)

    クレームを格納

    業務

    ロール

    管理簿

    トークン

    トークン

    ユーザー

    情報

    • トークンを解析

    • 本人識別

    • ロール決定

    認証

    属性ストア

    利用者

    プロトコルが存在する


    アクセス権はロールによって決定されるアクセスポリシーはグループポリシーで配信する

    • ロールを決定するための「クレーム」は SP が提示する

    • アプリケーションには「ロール」決定のためのロジックを実装

    Token

    Claims

    IdP(認証)

    SP(認可)

    mail

    提示

    業務

    ロール

    管理簿

    ユーザー

    情報

    name

    • トークンを解析

    • 本人識別

    • ロール決定

    company

    属性ストア

    title

    署名


    アイデンティティフェデレーションのメリットアイデンティティフェデレーションのメリット

    • ドメイン(Firewall)を超えたリソースの利用

    • 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能

      • プロトコル(SAML2.0、WS-Federation、WS-Trust)& プロファイル

      • トークン(アサーション)のフォーマット(SAML1.1、SAML2.0)

    • IdP の違い(認証方式の違い)がアプリケーションに影響しない

    SAML2.0

    C 社 IdP

    STS

    SecurityTokenService(STS)

    SAML2.0

    SP 側は STS に IdP を登録。STS が IdP の違いを吸収する。

    必要なクレームは SP 側が IdP に提示する。

    SAML2.0

    B 社 IdP

    STS

    A 社 IdP

    WS-Fed

    WS-Fed

    CRM

    WS-Fed

    STS

    ロール

    管理簿

    STS:SecurityTokenService


    Ad fs sts id
    ADアイデンティティフェデレーションのメリットFS(STS)を使用した ID フェデレーションの例

    Domain-BasedIdentityManagementモデルの延長でしかない

    トークンの

    やり取り

    ActiveDirectoryドメイン

    ADonIaaS

    業務サービス

    STS

    ADFS

    (STS)

    複製

    クラウド上の

    業務サービス

    STS

    VPN

    クラウド上の

    業務サービス

    STS

    IDは一元管理、SSO

    業務サービス


    Identity
    Identityアイデンティティフェデレーションのメリット の中心をパブリッククラウドへ

    IdMas a Service

    CoreIO

    • マルチテナント

    • シンプルな共通管理インターフェース

    • 外部 IdP との連携

    • スケーラビリティ

    • オンプレミスとの連携

    • セキュアな ID 管理

    Network

    Devices

    Web Service

    IdM

    DigitalIdentity

    Web Service

    Data

    Services

    Web Service


    Identity solution cloud single sign on with access control1

    Windows AzureアイデンティティフェデレーションのメリットActive Directory

    Identity Solution: Cloud Single Sign-on with Access Control

    • IdMasaService

    • マルチテナント

    • 認証 HUB(トークンゲートウェイ)

    • ID ストア

    • RESTAPI

    External IdP

    LIVE

    連携

    Access Control

    Sync

    Directory

    GraphAPI

    3rd PartyServices

    Windows Server

    Active Directory

    or

    Shibboleth

    or

    PingFederate

    Windows AzureActive Directory

    Auth. Library

    Apps in Azure


    Waad directory service
    WAADアイデンティティフェデレーションのメリットーDirectoryService

    • ユーザー情報の格納庫

    • ユーザー認証

    • トークン発行

    DirectoryService

    SAML2.0

    WS-Fed

    • アカウント情報へのアクセス

    • ユーザー

    • グループ

    • デバイス

    Graph

    (RESTAPI)

    Federation Gateway

    (STS)

    IDStore

    Application

    WebService

    OAuth 2.0

    SAML 2.0(限定的サポート)

    WS-Fed

    STS

    • Windows Server Active Directory

    • Shibboleth

    • PingFederate

    IdP


    マルチテナント対応アプリケーションの実現アイデンティティフェデレーションのメリット

    http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx


    Waad directory service 2
    WAADアイデンティティフェデレーションのメリットーDirectoryService2要素認証(プレビュー)

    • WindowsAzureActiveDirectory の追加認証要素として実装

      • サービスプロバイダーから透過的

    • 携帯電話(スマートフォン)を使用することで認証チャネルを分離

    • 現時点では WAAD で認証を行うユーザーにのみ適用可能

      • ブラウザ利用のみ

    SP

    Token

    Token

    DirectoryService

    Access

    IE

    ID/Password

    PhoneFactor

    Application

    WebService

    #


    Identity solution cloud single sign on with access control2
    Identity Solution: アイデンティティフェデレーションのメリットCloud Single Sign-on with Access Control

    WAAD - Access Control Service

    • 外部IdP から SP に対するトークンゲートウェイ

    • オンプレミス ActiveDirectoryとの ID フェデレーション

    Directory

    Service

    OpenID

    Oauh2.0

    STS

    AccessControlService

    IdP

    Application

    トークン

    変換

    SP

    WS-Fed

    WAAD

    WS-Fed

    STS

    Application

    OAuthWrap

    IdP

    WS-Fed をサポートしている IdP


    Access control
    Access Controlアイデンティティフェデレーションのメリット

    Graph API

    • API 認可(OAuth2.0)による情報保護

    • RESTful Graph API を使用した Directory へのアクセス

      • JSON/XML で応答を受信

    • API エコノミーを支えるアセット

    対称キーや証明書を共有

    Token Request

    OAuth 2.0 Endpoint

    LOB

    JWT

    Graph APIEndpoint

    Request w/ JWT

    Check

    Response

    Windows AzureActive Directory


    まとめアイデンティティフェデレーションのメリット

    • IdMaaS は

    • 企業ドメインの枠を超えて、あらゆる DigitalIdentity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス(API)とともに “API エコノミー” を構成します

    • 将来、企業のソーシャルグラフとなり、EnterpriseSocialNetwork を実現します


    まとめアイデンティティフェデレーションのメリット

    IdMaaS は企業組織のソーシャルグラフである

    Enterprise Social Network

    IdMaaS

    業務

    システム

    Partners

    IdM

    Customers

    DigitalIdentity

    顧客

    サービス

    Employees


    Kerberos windows
    (参考)アイデンティティフェデレーションのメリットKerberos と Windows について


    Kerberos kdc key distribution center
    Kerberosアイデンティティフェデレーションのメリット の歴史 ~ KDC(KeyDistribution Center)の誕生

    • KDC は銀行間の送金トラフィックの保護をきっかけとして規格化された

    ANSIX9.17:KDCにより一時暗号化キーを集中管理して発行できるようになった

    従来:共通の暗号化キー

    KDC

    発行

    発行

    発行


    KDCアイデンティティフェデレーションのメリットと各サイト用マスターキー

    • KDC では各サイトのマスターキーを管理しており、各サイトとの通信もマスターキーで暗号化できる

    KDC

    マスターキーDB

    暗号化キー

    暗号化キー

    マスターキーで暗号化

    マスターキーで暗号化

    共通の暗号化キーで通信を暗号化


    KDCアイデンティティフェデレーションのメリット を使用した間接認証の基本概念

    • ユーザー(ユーザーが使用しているPC)とメールサーバーの通信の正当性を保証するため、それぞれのマスターキーを使用して「共通の暗号化キー(共有シークレット)を暗号化して送付する

    • 「KDC の偽装」問題(本当に正しいKDCが発行したキーなのかどうか?)が残るため、チャレンジレスポンス認証を併用(Needham-Schroederプロトコル)

    KDC

    マスターキーDB

    ②ランダムな暗号化キーを生成

    ③キーを暗号化して送付

    ①ID/Password

    KDCにより、通信先が正しいメールサーバーであることが保障される

    KDCにより、通信相手が正当なユーザーであることが保障される

    User

    Mail Server

    ④暗号化キーを送付

    ⑤キーを複合

    ⑥アクセスを認可


    (いまさらですが)チャレンジレスポンス認証(いまさらですが)チャレンジレスポンス認証

    • サーバー側からの「チャレンジ」に対して、正しい「レスポンス」を返すことで、双方が正しい相手であることを証明し合う

    • リプレイ攻撃を回避する

    User

    Server

    チャレンジを生成

    要求

    開始

    チャレンジ:123456789123456789

    チャレンジを根拠にしたレスポンス

    (例)

    User

    Server

    チャレンジを生成

    要求

    開始

    共通鍵で暗号化した要求

    共通鍵で暗号化したチャレンジ

    (123)

    複合して -1 されているかを確認

    チャレンジを複合し、-1する

    結果を共通鍵で暗号化してレスポンス

    (122)


    Kerberos
    Kerberos(いまさらですが)チャレンジレスポンス認証

    • 1983 年 MIT Project Athena 始動

    • 分散コンピューティング環境モデルの研究プロジェクト

    • KDC を核としたセキュリティソリューションを含む

    • 現在一般的に使用されているのは Kerberos v5

    • 多くの場合、マスターキー = ユーザーのパスワード

    • TGT 方式

    • ユーザー名

    • アクセスしたいサービス名

    • チケットとセッションキーの有効期間

    • 現在利用しているワークステーションの識別子

    • ナンス

    多くの場合パスワードが使用される

    User

    KDC

    Ticket リクエスト

    ユーザーが入力したパスワードを使用して複合化

    Ticket(ユーザーのマスターキーで暗号化)

    マスターキーDB

    • ユーザー名

    • アクセスしたいサービス名

    • チケットとセッションキーの有効期間

    • ユーザーとサーバー間で共有される秘密鍵

    • 現在利用しているワークステーションの識別子

    • ナンス


    Tgt ticket granting tickets
    TGT(いまさらですが)チャレンジレスポンス認証(Ticket-GrantingTickets)

    • チケットの発行に伴うユーザーの不便(パスワードの再入力等)を解消するため、チケット発行のためのチケット(TGT)をローカルにキャッシュする

    • 盗難対策のため、TGT は定期的に更新される

    TGTが無いと

    チケット発行のたびにパスワード入力が必要

    TGT を使用すれば、バックグラウンドで各サーバー用のチケットを自動発行することができる

    User

    KDC

    User

    KDC

    TGT

    認証

    PC用

    パスワード入力

    認証

    PC用

    Mail用

    自動処理

    交付

    File用

    Mail用

    マスターキーDB

    マスターキーDB

    File用

    PC

    MailServer

    FileServer

    PC

    MailServer

    FileServer


    Windows pc
    Windows (いまさらですが)チャレンジレスポンス認証ログオン = PC の利用権を得ること

    標準的なKerberosとは異なり、ActiveDirectory ドメインを使用するとワークステーション認証が併用される

    ユーザーのマスターキーを使用して複合

    KDC

    TGT があるので、③~⑥ は自動的に行われる

    事前にコンピューターアカウントを登録しておく(ドメイン参加)ことで、コンピューターアカウントのパスワードがマスターキーとして登録される

    事前にユーザーアカウントを登録しておくことで、ユーザーアカウントのパスワードがマスターキーとして登録される

    マスターキーDB

    認証サービス

    チケット交付サービス

    • PCとの共有秘密鍵がPCのマスターキーで暗号化された状態で含まれる

    ②TGT発行

    ③PCへのチケット要求

    ①ログオン要求

    ④チケット発行

    ユーザーのパスワードを使用して暗号化

    KerberizedPC

    User

    ⑤チケットを送付

    Ticket

    ⑥利用を認可


    IT(いまさらですが)チャレンジレスポンス認証CAMP


    ad