「ほっ」と。キャンペーン
タグ:WindowsServer2008 ( 33 ) タグの人気記事
DFSサーバ障害時にすべきこと
WindowsServer2008R2を2台使ってドメインDFSサービスを提供しています。
しかし、クライアントOSがXPの場合、片方のDFSサーバに障害が起きると、共有フォルダアクセス時に30秒弱の遅延が発生します。
(フォルダ開く毎に30秒かかるので、作業になりません。Windows7の場合は遅延は最初の一回だけで後はサクサクでした。)

詳しい原因はわかりませんが、パケットキャプチャした結果XPの場合、障害後も両方のサーバにアクセスしているようです。

いろいろ試した結果、障害があったサーバをDFSサーバとして無効にしてやればいいようです。
(削除すると、おかしなことになり、DFSサービスを再インストールする羽目になりました。)

削除の手順としては障害発生時に、正常稼動中のDFSサーバの管理ツール→DFSの管理を起動します。
そして、名前空間ツリー展開→名前空間名 をクリックし、中央ペインの "名前空間サーバ" タブを選択します。
障害がおきているサーバを右クリック→名前空間サーバを無効にする を押下します。

これで障害サーバが切り離されました。
しかし、この設定が各クライアントOSに適用されるまでにおおよそ20分程度掛かりました。(早い場合は数分で適用されます)

サーバが普及した場合は、上記と同じ設定のところで、有効にしてやればいいようです。


障害を考えて冗長化しているので、ほんとはタイムラグ無しで障害サーバを見ないよう切り替わって欲しいわけですが、とりあえずこの方法しか思いつきませんでした。

もっといい方法があれば教えて欲しいですね。
[PR]
by Jehoshaphat | 2012-05-15 23:37 | サーバがらみ | Trackback | Comments(0)
(WindowsServer2008R2)GACに.Netアセンブリを登録したいがassemblyフォルダへのドラッグで拒否られる
WindowsServer2008 R2 のサーバで、.Net のアセンブリをGACに、C:\Windows\assembly フォルダへのドラッグアンドドロップで登録したかったんですが、結構ハマリました。
(エクスプローラからのGACからのアンインストールも同様だと思います。)

原因はUACです。まぁUAC切ればいいんですが、本番稼働中のRDSサーバのためそうはいきません。

Administratorsグループのユーザで、普通にドラッグアンドドロップすると下記のように怒られます。

アセンブリキャッシュビューア - インストールできませんでした。
アクセスが拒否されました。


Windowsエクスプローラ(explorer.exe)を右クリック→"管理者として実行"からやっても同様です。

explorer.exeのショートカットを作成し、互換性タブから管理者権限をつけようとしましたが、グレーアウトしてできません。
エクスプローラはOSの一機能なので互換性タブは使えないようです。

結局下記の方法で出来ました。


1.
まず、フォルダオプションで、"別のプロセスでフォルダーウィンドウを開く" のチェックが外れいていることを確認します。

2.
タスクマネージャーを起動し、explorer.exeを殺します。

3.
タスクマネージャーの "新しいタスク" で、C:\Windows\explorer.exe を 右クリック→"管理者として実行" します。

これで、アセンブリをドラッグアンドドロップすればGACに登録できました。


多分、Windows7やVistaでも同様だと思います。
いやぁー、結構面倒です。。。
[PR]
by Jehoshaphat | 2012-01-10 23:36 | .Net開発 | Trackback | Comments(0)
WindowsServer2008R2をiSCSIターゲットにする
iSCSIのターゲット(サーバ側)って、今まで本格的なストレージ製品しかないと思ってたんですが、そうじゃなかったんですね。

WindowsServerR2でも、Microsoft iSCSI Software Target を入れれば iSCSI のターゲットになれるように最近なったようです(しかも無償で)。
また、WindowsStorageServer2008 でも TechNetサブスクリプション から Microsoft iSCSI Software Target 3.2 をダウンロードしてインストールすれば iSCSI のターゲットになれるようです。(言語を英語にしないと出てきませんが。。。)
(WindowsStoreServer2008 R2の方はもとからiSCSIターゲット3.3は入ってるようです)

WindowsStorageServer の方で検証してみても良かったんですが、通常の WindowsServer2008 R2 で無償で使えるようになった Microsoft iSCSI Software Target 3.3 を試してみました。
Microsoft iSCSI Software Target 3.3のダウンロードは、こちら(iSCSITargetDLC)からできます。
解凍したx64フォルダ内の iscsitarget_public.msi インストーラからインストールすると、サーバーマネージャーの記憶域配下に "Microsoft iSCSI Software Target" ができ、iSCSIターゲットして振る舞えるようになります。


iSCSI Software Targetでは iSCSI の領域を仮想ディスク(VHD)として利用するようです。
また、通常のLANとは分けたEthernetを使ったほうが良いようです。(分けなくても使えました。)


新規 iSCSI ターゲットの作成は"Microsoft iSCSI Software Target" MMCから、"iSCSIターゲット"を右クリック→"iSCSIターゲットの作成"から行えます。
e0091163_23244324.jpg


ウィザード中の iSCSI ターゲット名 は適当に決めます。
"IQN識別子"はIPアドレスにしました。
注意としてこの時のIPアドレスはiSCSIイニシエータ側(アクセスするクライントホスト側)のIPアドレスになります。

次に、iSCSIターゲットの実体となる仮想ディスクを作成します。
(先に固定長のVHDを作り、それを割り当てたほうがパフォーマンスはいいようです)
e0091163_23245535.jpg


さて、はまった点ですが、iSCSIターゲット作成中にイニシエータのIPアドレスを指定した場合、設定を変更しないといけません。
iSCSIターゲットのプロパティの"iSCSIイニシエータ"タブで、識別子のメソッドが "IQN" になっていると思います。
これを "IP" に編集しないといけません。
e0091163_23251024.jpg

e0091163_23251528.jpg


後は、イニシエータ(ホスト)側で、iSCSIイニシエータを起動します。(最初はiSCSIのサービスを起動してないというので、OKを押下しサービスを起動してやります)
"ターゲット" にiSCSIターゲットを動かしているサーバのIPアドレスを入れて、"クイック接続" すると、接続が完了します。
e0091163_23253810.jpg


イニシエータ側のディスクの管理を見ると、ちゃんと割り当ててますね。
ただ、最初はオフラインになっているので、オンラインにしてから、ディスクの初期化とパーティション作成をしてやる必要があります。
e0091163_23255170.jpg


今回は評価目的なので一台のサーバの上にHyper-VでiSCSIターゲット用仮想サーバ、iSCSIイニシエータ用仮想サーバで検証しました。
一応iSCSIイニシエータ側からiSCSIアクセスしたときと、iSCSIターゲットで仮想VHDをマウントした後ファイル共有をかけ、iSCSIイニシエータ側からネットワークドライブした状態のベンチマークを測りました。
仮想環境なので信頼できるか情報かはわかりませんが、下記のような感じです。

↓iSCSIでアクセスしたとき。
e0091163_2326623.jpg


↓ネットワークドライブ経由でアクセスしたとき。
e0091163_23262194.jpg


読み込みに関してはほぼ同じですが、書き込みはネットワークドライブ経由のほうが1~2割程優れているという結果が出ました。
まぁ、評価環境に問題あるので信用置けませんが。。

Impress の記事でも実HDDの約10%~約20%のオーバーヘッドで済むようです。

ターゲットのプロパティで、複数のiSCSIイニシエータを接続しようとすることは出来ましたが、下記のような警告が出ます。
クラスタの検証で使うので、構わないんですが、そうでない場合はターゲットとイニシエータは1:1でないとダメなようです。
e0091163_23263590.jpg


Windowsフェールオーバークラスタの検証には、共有ディスクが必要になるんですが、これで簡単に評価ができるようになり助かりました。


参考:
【仮想化道場】 無償の純正iSCSIターゲットソフト「Microsoft iSCSI Target」を試す -クラウド Watch
iSCSI Software Target 3.2をWindows Server 2008で利用する - http://pnpk.net
Windows Storage Server2008 インストール 2
@IT:特集:最新IPストレージ技術「iSCSI」 - Part.1
iSCSI - Wikipedia
MSFCとクイックマイグレーション この記事ではRocketEivisionというiSCSIターゲットソフトを使ってますが、このあたりもMSのiSCSIターゲットに置き換えられそうですね。
@IT:Hyper-V 2.0実践ライブ・マイグレーション術 第1回 Hyper-Vのライブマイグレーションの評価にもiSCSIによる共有ディスクは必要になります。
[PR]
by Jehoshaphat | 2012-01-10 23:28 | サーバがらみ | Trackback | Comments(0)
WindowsServerソフトRAIDのミラーボリューム修復

WindowsServer2008のソフトウェアRAIDを使って、ミラーボリュームとストライプボリュームを組んでいました。

しばらく前にその内の1台のHDDが不調になったようで、ディスクの管理を見るとディスクが"不足"となっていました。
Windows上から片方のHDDが見えなくなったようです。
e0091163_0415663.jpg


案の定というか当然ストライプボリューム内のデータはおじゃんです。
ミラーボリュームはちゃんと冗長化されてたので、1台ダメになっても動いてました。
しかし、このまま放置してもう一台がおじゃんになると困ります。

ということで、新しいディスクに交換して、ミラーボリュームの修復を試みて見ました。

まず、不足のディスクの"ディスクの再アクティブ化"、ミラーボリュームの"ボリュームの再アクティブ化"を試しましたが、"プレフィックスが見つかりません。"というエラーになります。

新しいディスクを接続後、@IT:Windows 2000 ServerのソフトウェアRAIDを極める(後編)4. ソフトウェアRAIDの障害復旧の手順は?には、[形式の異なるディスクのインポート]をするとよいと有りましたが、先に初期化してダイナミックディスクにしてしまったので、試せませんでした。(一度ダイナミックディスクにしてしまうと、[形式の異なるディスクのインポート]はグレーアウトして選択できなくなりました)
e0091163_044129.jpg


それで、TechNet:障害が発生したミラーを別のディスク上の新しいミラーで置き換えるの方法を試して見ました。

まず、ミラーボリュームを右クリックし、[ミラーの削除]をします。
e0091163_0442427.jpg


削除するのは認識できなくなった[不足]のディスクです。
e0091163_0443688.jpg

ミラーの削除が終わるとこうなります。
e0091163_0444781.jpg

これでミラー対象ボリュームを右クリックし[ミラーの追加]を選択し、新しいディスクを選択します。
e0091163_0445536.jpg

e0091163_045124.jpg


そうすると、再同期が始まります。
e0091163_0451375.jpg



完了するとこのようになります。
e0091163_0452323.jpg



ちなみに、ストライプボリュームは削除するしかないようですね。

参考:
TechNet:ディスクを再接続してミラー ボリュームを修復する
[PR]
by Jehoshaphat | 2011-11-15 00:46 | 豆知識 | Trackback | Comments(0)
WindowsServer 2008 R2 のHyper-V上のライセンス

WindowsServer2008 や WindowsServer2008 R2 は、ライセンスにHyper-V上の仮想インスタンスも含んでいます。

例えば WindowsServer2008 Standard エディションだと仮想インスタンスのラインセス数1、Enterprise になると仮想インスタンス数4 となります。

どうもいまだにこれを勘違いしているSEもいるようで。。。(取引先のSEなんですが。。。)

これは仮想インスタンス(仮想マシン)自体が一つもしくは4つしか動かせないというわけではありません。

ホストOSに Standard エディションを使っていると、その物理ライセンスで、仮想インスタンス(WindowsServer2008 Standardエディション)が一つ実行できるということです。
つまり、仮想マシン用のWindowsライセンスを買わなくても一つなら物理ライセンスで動かせるというわけですね。
(もし、仮想マシンで WindowsServer2008 Standard を5つ動かすなら、残り4つのサーバOSライセンスは購入する必要があります。)

なので、仮想インスタンス自体はサーバスペックが許す限り無制限に配置できます。


ちなみに、物理ライセンスに付属の仮想インスタンス用ライセンスは、物理ライセンスと同じエディションで無いといけません。
ホストOSが Enterprise エディションなら、仮想インスタンスも Enterprise エディションにしないといけません。


また、仮想インスタンスに物理ライセンスを使ってWindowsServer2008をインストールしたのですが、プロダクトキーにハマりました。
ホストOSインストール時のプロダクトキーを入力したのですが、エラーになります。

プロダクトキーは仮想インスタンス用のものがあるので、そっちを使わないといけないようです。
そのキーは、プロダクトキーが書いているシール(COAラベル)の横の方に VirtualKey(仮想キー) として表示されています。

ラックサーバとかだと容易に確認するのが難しい場合もあるので、設置時にVirualKeyも必ず確認するようにしておいた方がいいですね。


注意点として、物理インスタンス付属のラインセスで仮想インスタンスを使った場合、その仮想マシンを別の物理サーバ上のHyper-Vに移動した時に、移動先で既に制限数まで物理インスタンス付属のライセンスで仮想インスタンスを動かしている場合は移動は無理なようです。
ここら辺の詳しい話は、参考先のMSのページで説明されています。


参考:
Windows Server 2008 早わかりライセンス ガイド : 仮想環境とライセンス : エディションごとのライセンスの違いは?
Windows Server 2008 Hyper-V のライセンス: Microsoft Virtualization
Dell PowerEdge システム用Microsoft Hyper-V重要情報ガイド
[PR]
by jehoshaphat | 2011-02-17 23:48 | サーバがらみ | Trackback | Comments(0)
いつのまにやらMS製無料セキュリティソフトが公開
Microsoftの無料セキュリティソフト:「Microsoft Security Essentials」はインストールすべきか? - ITmedia News


しばらくネットチェックしてないうちに、MSが無料のセキュリティソフト Microsoft Security Essentials を公開してたようです。

仮想マシン上のクライアントOSとか評価環境用として使えそうですね。

ただ、対応OSがWindows XP,Vista,7 のようですが、サーバOSに対応しないのが残念でなりません。
今自宅サーバに使ってる Windows Server 2008 はアンチウイルス対策で NOD32 v2.7 を使ってますが、こいつのサポートが今年いっぱいのようなのです。
後継の v3 はサーバOSに対応しないようなので困ってます。
ただ、ここによると、ウイルスバスター16.10 はOKみたいなので、OEMである(フレッツ光プレミアムについている)セキュリティ対策ツールでいけるかもしれませんね。

あと、ZDNET:「Security Essentials」か「Forefront」、Windowsユーザーはどちらを選択すべきか?見るとMS製セキュリティ製品として、Forefront Client Security というものもあるようです。
この製品の2010年版は Windows Server 2008 R2 にも対応してるらしいで、R2にアップグレードしてからこれ使うのもいいですね。ただ、有償らしいです。。。。
[PR]
by jehoshaphat | 2009-10-06 22:57 | 思ったこととかニュースとか。。 | Trackback | Comments(0)
スリープ状態が有効にならない
Vistaの休止状態の記事を書いてて、ふと思いだしたのがサーバにしてるPCの電源オプションです。
Windows Server 2008(x64) なんですが、確か終了オプションにスタンバイとかスリープとか無かったような。。。

確認してみると、確かにありません。
コントロールパネルの電源オプション(Vista同様わかりにくい)にも、スリープや休止状態に関する設定が無いか見てみましたが、やはりありません。
どうやら、OSがスリープ、休止状態機能を認識してないっぽいです。

それで、下記コマンドでシステムがどの電源オプションに対応しているか調べてみました。

>powercfg /a
以下のスリープ状態はこのシステムでは利用できません:
スタンバイ (S1)
内部システム コンポーネントでこのスタンバイ状態が無効になっています。
スタンバイ (S2)
システム ファームウェアはこのスタンバイ状態をサポートしていません。
内部システム コンポーネントでこのスタンバイ状態が無効になっています。
スタンバイ (S3)
システム ファームウェアはこのスタンバイ状態をサポートしていません。
内部システム コンポーネントでこのスタンバイ状態が無効になっています。
休止状態
内部システム コンポーネントで休止状態が無効になっています。
ハイブリッド スリープ


ググってみるとMSサポート:Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 で 4 GB を超えるメモリを搭載したコンピュータを休止状態にできないというのを発見。
どうやら4GBを超えるメモリが搭載していると休止状態はサポートされないようです。
確かにサーバPCのメモリは4GBです。

MSサポート:Windows Server 2008 を実行しているコンピュータで Windows Vista のユーザー エクスペリエンス機能を有効にする方でスリープの要件が書かれていました。
BIOSもS3にしてますし、ドライバも最新に入れなおしました。

でも、やはりダメです。
マザボやユーティリティの問題かと思い、いろいろやってみましたが、結局スリープを有効にできませんでした。
(参考:Vistaでスリープ失敗メインPCが休止状態から勝手に復帰)

まあ、サーバOSで常に電源入れっぱなしなので、スリープ使えなくてもいいんですが、気になります。
[PR]
by jehoshaphat | 2009-07-28 04:10 | 豆知識 | Trackback | Comments(0)
(WindowsServer2008)会社と自宅間で L2TP/IPSec VPNを構築してみた (その2)
(WindowsServer2008)会社と自宅間で L2TP/IPSec VPNを構築してみたの続きです。

しばらく運用してたんですが、ある社内LANのクライアントPCがVPN兼ファイル兼DNSサーバにSMBアクセスできないという事態になりました。
ただ、ほかのクライアントPCはサーバにアクセスできてます。

調査していると、社外からVPNでVPN兼ファイル兼DNSサーバに接続している間に、社内クライアントPCのOSを起動させサーバ見ようとするとつながらないということでした。
ただし、pingでサーバ名のIPを指定するとちゃんと届きます。
また、エクスプローラから ¥¥サーバIP でもちゃんとつながります。

ということで、DNS周りが曲者だと思って "nslookup サーバ名" してみました。
すると、
 192.168.1.10 →これは実際のNICの静的IP
 192.168.1.247 →見覚えのないIP
となります。

この見覚えのないIPを使って、エクスプローラからサーバにアクセスしようとするとできません。

この見覚えのないIPですが、管理ツール「ルーティングとリモートアクセス」の「IPv4」→「全般」で表示される一覧の「内部」というインターフェイスに割り当てられていました。
(ちなみに、DHCPの設定はサーバのプロパティ「IPv4」で「動的ホスト構成プロトコルを使う」にしています。)
e0091163_22251425.jpg


どうやら、VPNでセッションがつながると、VPN(RAS)用に一つ仮想的な内部インターフェイス(PPPアダプタRASインターフェイス)を生成するようです。
そして、このPPP RASインターフェイスにも、サーバのプロパティで指定した方法でIPを割り振るようです。
さらに、割り振られたIPをご丁寧に自身のDNSサーバに動的更新してくれます。

しかし、このPPP RASインターフェイスはRAS(VPN)用なので、実在のLAN上の各クライアントからはアクセスできないようです。(ただし、そのIPは見える)

途方にくれてると、アンの開発日記 : Small Business Server 2003 上の SQL Server 2005 との通信が不安定にという記事にヒントが。。

どうやら、RRASサーバとDNS,WINSサーバが共存している時におこるようです。
MS:ルーティングとリモート アクセス サーバーで DNS または WINS を実行する場合の名前解決と接続の問題で解決方法と現象の原因が説明されてるみたいです。

上のサポートページは Windows Server 2000,2003用ですが、 2008 でも問題なく解決しました。
要は下記のレジストリを設定することで、PPP RASインターフェイスのIPアドレスを自身のDNSサーバに登録できないように出来るようです。

・下記の場所に新しい値作成
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
値の名前 : PublishAddresses
データ型 : REG_SZ
値のデータ :サーバの IP アドレス。複数の場合はスペースで区切る。

・下記の場所に新しい値作成
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
値の名前 : RegisterDnsARecords
データ型 : REG_DWORD
値のデータ : 0

これで、DNS と Netlogon サービスを再起動すればいいようです。

結果、nslookup で引いても 192.168.1.10 しか出ないようになりました。
ただ、PublishAddresses の値に IPv6 アドレスを入れようとしたら、ダメでした。
どうやら IPv4 の値しか受け付けてくれないようです。

まあ、まだ社内ではIPv6使ってるクライアントいないからかまわないんですけどね。。。
PublishAddresses に無効な値入れると、再度 PPP RAS インターフェイスのIPアドレスがDNSに登録されちゃうので要注意です。
[PR]
by jehoshaphat | 2009-07-05 22:26 | ネットワーク | Trackback | Comments(0)
(WindowsServer2008)会社と自宅間で L2TP/IPSec VPNを構築してみた
MCP70-642の勉強中で出てきたリモートアクセス用のVPNを会社~自宅間でテスト構築してみることにしました。

VPNサーバは Windows Server 2008 で、NAPTによりインターネットにアクセス可能です。
ネットワーク図は下記のような感じです。
e0091163_1243425.jpg


VPNサーバ側の設定
まずは Windows Server 2008 で役割の追加で「ネットワークポリシーとアクセスサービス」から「リモートアクセスサービス」をインストールします。
e0091163_12537.jpg


管理ツール「ルーティングとリモートアクセス」から、サーバを右クリックし「ルーティングとリモートアクセスの構成と有効化」を押下します。
e0091163_1251935.jpg


これで「ルーティングとリモートアクセスサーバーのセットアップウィザード」が開始します。

●ネットワークカード(NIC)が2枚以上ある場合
構成 は「リモートアクセス(ダイヤルアップまたはVPN)」にします。
e0091163_1255271.jpg

「リモートアクセス」では「VPN」にチェック。
VPN接続 で、ネット側のNICを選択します。その際、「静的パケットフィルタをセットアップしてセキュリティを有効にする」のチェックは外します。
(このチェックがついていると、VPN以外のパケットは通さなくなるため、LAN内からサーバへの通常アクセスもできなくなります。VPNサーバをルータ替わりで使うときに使うオプションだと思われます。このチェックはNICのプロパティの「入力フィルタ」、「出力フィルタ」に反映されます。)
IPアドレスの割り当て で「自動」にしとくとDHCPを使ってアドレスを割り当てることができ、「指定したアドレス範囲」にしとくと次の画面で払いだすIPを設定することができるようです。


●NICが1枚しかない場合
構成 は「カスタム構成」→「VPNアクセス」にします。(「リモートアクセス」にしてもNICが1枚しかないとダメだと怒られます)
e0091163_1261965.jpg

e0091163_1263268.jpg

今回はNAT内部にリモートアクセスサーバを置いているので、特別なフィルタリングはしません。
なので、NICのプロパティで全ての通信を許可するようになっていることを確認します。(最初は「静的パケットフィルタをセットアップしてセキュリティを有効にする」のチェックを入れてせってしたため、フィルタが生成され通常通信できずにかなりハマりました。)
e0091163_1265437.jpg

e0091163_127945.jpg



ルーティングとリモートアクセスサーバーの役割インストール後、「リモートアクセスのログとポリシー」を右クリックし「NPSの起動」を押下します。
e0091163_1274025.jpg


すると「ネットワークポリシーサーバー」が起動するので、ここでリモートアクセスを許可するポリシーを作成していきます。
e0091163_1275793.jpg


「ネットワーク接続の方法」には「リモートアクセスサーバー」を指定。
e0091163_1281614.jpg


条件の選択で指定したWindowsグループのアカウントに許可を与えます。
e0091163_1285911.jpg

e0091163_1291264.jpg

続けて認証の方式(今回は MS-CHAPv2 のみ許可)や制約(セッション時間や時刻など)、暗号化のポリシーを決めていきます。

今回は L2TP/IPSec を用いるので、それ以外のVPNプロトコルは無効しておきます。
管理ツール「ルーティングとリモートアクセス」の「ポート」のプロパティから各VPNの構成でセッション数や有効無効が設定できます。
e0091163_1293480.jpg


本来 IPSec では証明書を使ったコンピュータ認証をするのがセキュリティ的に望ましいのですが、今回はテスト接続ということで、キー文字列による暗号化をするように設定します。
e0091163_1295233.jpg


L2TP/IPSecでは L2TP を IPSec でカプセル化しているため、IPSecで使うポートを開放する必要があります。
開放する必要があるのは
 UDP 500 (IKE:鍵交換で必要)
 IPプロトコル番号 50 (ESPプロトコル)

です。
しかし、IPSecには NAT や NAPT を介するとその際のプロトコルやポート変換を、IPSecが改ざんとみなすため、正常に通信ができません。
これを回避するための方法が NAT-T (NATトラバーサル)というもので、IPSec のパケットをさらにUDPのパケットでカプセル化するというものです。
使う UDP は 4500 ポートです。
Windows Server 2008ではもともとNAT-Tにも対応済みなので、サーバ側OSの設定で特にすることはありません。

ということで、ルータ側でポートフォワーディングするのは下記のような設定になります。
 UDP 500 → 192.168.1.10へ
 UDP 4500 → 192.168.1.10へ

(ルータでファイアウォールの設定してる場合は、UDP 500,4500 の外向き通信も許可しないといけません。またサーバのファイアウォールでも上記ポートを開放しておきます。)

各VPNプロトコルで必要なポートはTechNet:VPN およびファイアウォールで参照できます。
NAT-Tの概要はIPsec - NAT Traversalでわかりやすく解説されています。




ここからはクライアントの設定です。
●Vistaの場合
コンパネの「ネットワークと共有センター」のタスクから「接続またはネットワークのセットアップ」を押下します。
「職場に接続します」を選択します。
e0091163_1302544.jpg


「インターネット接続(VPN)を使用ます」を選択します。
e0091163_1304151.jpg


ここで、接続するルータのダイナミックDNS名を入れます。(固定IP持ってるならそっちのほうがいい)
そして、「今は接続しない」にチェックを入れます。
e0091163_131065.jpg


VPNサーバ上でVPN接続が許可されているグループに所属するユーザアカウントを入力します。
e0091163_13121100.jpg


接続の使用準備ができました 画面では、「閉じる」を押下します。
e0091163_1314685.jpg


後は、暗号化や認証等の細かい設定が必要なので、コンパネの「ネットワーク接続」より、先ほど作成した接続のプロパティを表示します。
「ネットワーク」タブで、VPNの種類を「L2TP IPsec VPN」にします。
e0091163_132626.jpg

そして、「IPsec 設定」ボタンを押下し、「認証に事前共有キー」を使うをチェックし、サーバ側と同じキーを入力します。
e0091163_1322872.jpg


これで、設定を保存し、ダイアログを閉じます。

●XP の場合(SP2以上必須)
コンパネの「ネットワーク接続」からネットワークタスクの「新しい接続を作成する」を押下します。
「職場のネットワークへ接続する」を選択します。
e0091163_1325334.jpg

「仮想プライベートネットワークに接続」を選択します。
e0091163_133865.jpg

「接続名」は適当で、「ホスト名またIPアドレス」に接続するルータのダイナミックDNS名を入れます。(固定IP持ってるならそっちのほうがいい)

ウィザードが完了するとすぐに接続用ダイアログボックスが開くみたいなので、「プロパティ」を押下します。
このプロパティで IPSec の事前共有キーの設定をするんですが、Vistaと押下するボタンが違うので注意が必要です。
「セキュリティ」タブの「IPSec 設定」を押下します。
e0091163_1333444.jpg

そしたら、事前共有キー入れるダイアログボックスが開くのキーを入力します。
e0091163_1335423.jpg

「ネットワーク」タブで、VPNの種類を「L2TP IPsec VPN」にします。
e0091163_1341984.jpg


これで、設定を保存し、ダイアログを閉じます。



これで済めば楽なんですが、例の NAPT 絡みでこれだけではつながりません。
クライアント側で NAT-T を使えるように設定してやらないといけません。初期設定では NAT-T つかない設定らしいのです。
これがどうやらレジストリ使うしか方法がなさそうなのです。。(しかもXPとVistaじゃ場所違うし、XPはどうやらSP2以上が必要)

追加するレジストリのキーと値は下記の通りです。

・キー
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec (XPの場合)
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent(Windows Vistaの場合)
・値の名前
 AssumeUDPEncapsulationContextOnSendRule
・値の種類
 REG_DWORD
・値
 0 (NAT-T無効。デフォルト)
 1 (片一方がNATの背後)
 2 (サーバ、クライアント共にNATの背後)

このクライアントのNAT-T対応は、MS:ネットワーク アドレス変換 (NAT) の使用に関する問題や、第2回 VPNを使って安全・簡単なリモート接続 その2で詳しく解説されてます。

レジストリ設定後、クライアントPCを再起動します。

これでネットワーク接続で、作成したVPNを接続すればつながります。


自宅も会社も同じフレッツIPv6網なので、試しにその網を使ってIPv6通信してみました。
クライアント側は接続先をVPNサーバが持っている IPv6 アドレス(NTTから払いだされる 2001:xxx に変更するだけでOKです。
サーバ側も特に何もしなくてもOKでした。(ルータやFWでIPv6のUDPを許可する必要はありますが。。)
ルーティングとリモートアクセスのサーバのプロパティで「IPv6リモートアクセスサーバー」や「IPv6転送を有効にする」にチェックを入れないといけないのかと思ってましたが、なくても行けます。(チェック入れるとクライアントの PPP のアダプタに IPv6 アドレスが振られるようです。ただ、今回はVPNのトンネルさえIPv6でつなげれば、中はIPv4でもかまわないのでチェックなしにしてます)


ちなみに、TinyVPNとL2TP/IPsecとで会社~自宅間のVPNのベンチ結果です。
TinyVPN 1.3MB/s
L2TP/IPSec 2.4MB/s


追記:
VPNサーバとDNSサーバ同じ場合、問題が生じるようです。
詳しくは(WindowsServer2008)会社と自宅間で L2TP/IPSec VPNを構築してみた (その2)を参照。
[PR]
by jehoshaphat | 2009-07-02 01:36 | ネットワーク | Trackback | Comments(19)
(MCP70-642)3.2 ネットワークアクセス保護(NAP)

MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)


これはまだ使ったことないので、なかなか難解な部分です。。。

■3.2.1 ネットワークアクセス保護(NAP)
セキュリティ要件を満たしていないPCを隔離(検疫)する機能。


■3.2.2 NAP実施環境の要素
下記の要素があるらしい。

NAPクライアント
 NAPクライアント機能が有効化されてないとダメ。

ネットワークポリシーサーバ(NPS)
 クライアントに対するポリシーを定義しておく。
 また、ポリシーにOK、ポリシーにNG、NAP非対応時の動作も定義できる。

修復サーバー
 ポリシー満たしていないクライアントに対して、ポリシーを満たさせるためのパッチや手順等を提供するサーバ。

アクセスデバイス(NAP実施サーバ)
 NAPクライアントとNPSとの間にある機器。NAP実施方法により、配置物は変わるらしい。

NAPの動作
NAPではネットワーク的に3つのゾーンとなるらしい。
・検疫ゾーン:ポリシーNG、NAP非対応のクライアントがいるゾーン
・境界ゾーン:アクセスデバイス、修復サーバ
・セキュアゾーン:保護されてるサーバ達

NAP実施方法として以下5つが提供されている。
・DHCP NAP
 アクセスデバイス:DHCPサーバ。
 クライアントがDHCPサーバーからIP取得するときにNAPを実施する。
 DHCPオプションやサブネットで区別。
・VPN NAP
 アクセスデバイス:RRASサーバ。
 VPNクライアントが接続するときにNAPを実施。
 ポリシーNGな場合は、パケットフィルタで、限定的アクセスを強制。
・IPSec NAP
 セキュアゾーンにアクセスにIPSecを強制。
 認証に正常性証明書とやらを使うらしい。なにやら複雑そう。
・IEEE802.1x NAP
 アクセスデバイス:802.1x対応のスイッチ、アクセスポイント。
 有線でも無線でもOK。ポリシーNGは違うVLANにするなどができる。
・ターミナルサービスゲートウェイNAP
 RDPをHTTPSでカプセル化したのがTSゲートウェイ。
 ポリシーNGだと、ターミナルサーバへのアクセス拒否。


■3.2.2 NAPコンポーネント
システム正常性エージェント(SHA)
 クライアントの状態検査と、検証。サーバのSHVと対になる。
システム正常性検証ツール(SHV)
 SHAに対応するNPS側コンポーネント。ポリシーのチェックをするのかな。
検疫エージェント(QA)
 SHAの情報をECに渡す。
実施クライアント(EC)
 動作を強制するクライアントコンポーネント。ESに正常性ステートメントを送信する。
実施サーバ(ES)
 ECから渡された情報をSHVに中継。
検疫サーバ(QS)
 SHVから来た正常性ステートメント応答(SoHR)を受け取り、RADIUSを使ってアクセスデバイスに送信。


■3.2.3 NAPクライアントの構成
・セキュリティセンター
・Network Access Protection Agentサービス
・NAP実施クライアント
が有効になってないとダメ。
※現状では Vista と XP SP3 が対応。

これらがグループポリシーで有効化できる。(AD環境)
NAP実施クライアントをローカルで指定するにはnapclcfg.mscの「NAPクライアントの構成」から有効にできる。


■3.2.4 DHCP強制
クライアントはDHCPを使わないといけない。
ポリシーNGのときは下記のDHCPオプションをリースする。
・サブネットマスク : 255.255.255.255
・デフォルトゲートウェイなし
・設定した非準拠用DHCPオプション

DHCP NAPは最も制限の緩やかな方法。クライアントが手動でIP構成すると制限が適用されないから。
ただし、お手軽感あり。

DHCP NAP構成ポイント
NAPサーバ側
管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法でDHCPを選択)
・NPSとDHCPサーバが別コンピュータのときは「RADIUSクライアント」を追加する。
 この場合、DHCPサーバにもNPSをインストールし、RADIUSプロキシとして構成する。
 ※アクセスデバイスとNPS間は RADIUS 通信が必要のため。
DHCPサーバ側
・DHCPサーバのスコープでNAPを有効化するには、管理ツール「DHCP」のプロパティで、「ネットワークアクセス保護」タブ→「このスコープに対して有効にする」で可能。
・ポリシーNG時の構成を変更するには、管理ツール「DHCP」の「スコープオプション」右クリ「オプションの構成」→「詳細設定」タブで可能。

■3.2.5 VPN強制
VPN NAP構成ポイント
NAPサーバ側
管理ツール「ネットワークポリシーサーバ」→「NAPを構成する」から可能。(ネットワーク接続の方法で仮想プライベートネットワークを選択)
・RADIUSに関してはDHCP NAPと同じ。
・「認証方法の構成」で EPP-TLS , PEAP-MS-CHAP のどちらかを選択。
VPNクライアント側(RRASサーバではなくVPNクライアント側の設定となる)
・VPN接続プロパティで「詳細(カスタム設定)」→「拡張認証プロトコルを使う(EAP)」で、認証方法選択。
 後は、サーバの証明書を検証するすばやい再接続を有効化する検疫のチェックを有効にするでOK。


■3.2.6 IPSec強制
正常性証明書
 これを用いてコンピュータ認証を行う。
 ポリシーがOKなクライアントのみ、これを受けてとれる。ポリシーNGになったらクライアントは証明書を削除する。
正常性登録機関
 IPSec NAP におけるアクセスデバイスのこと。

セキュアゾーンのサーバはIPSec出ないと通信できない。
境界ゾーンはIPSecと通常の通信両方ともOK。
※NAPポリシーOKなクライアント間でもIPSecで安全な通信ができる。(エンドtoエンドで安全なのはIPSec NAPだけ)

IPSecで必要な設定
・セキュア、境界ゾーンのコンピュータに正常性証明書を配布。
・IPSecポリシー設定
 セキュアゾーン:正常性証明書によるIPSec通信必須。
 境界ゾーン:IPSecと通常の通信両方許可。
 クライアント:IPSecで要求されたら、IPSec通信で応答する。
・正常性登録機関(アクセスデバイス)とCAを設定(正常性証明書を配布)
・NAPポリシー作成(NPS
・NAPクライアントの構成(セキュリティセンター、NAPサービス、NAP実施クライアントの有効化)


と、ここでタイムアウト。。。
試験本番まで残り数時間しかないので、あとは赤本を斜め読みでなんとか踏ん張るのみです。。。
残っているはNAPの802.1x、無線LAN、ファイウォールと、ファイルおよび印刷サービスの構成、ネットワークの監視と管理です。。
赤本でのこりおよそ240頁ほど。。

さあて、どうなることやら。。。。
[PR]
by jehoshaphat | 2009-06-27 00:48 | サーバがらみ | Trackback | Comments(0)