• Hyper-V ライブマイグレーション時のネットワーク切り替えの仕組み

    Posted over 4 years ago
    by infrajp}

    みなさん、こんにちは。
    今回は Hyper-V のライブマイグレーション時のネットワークの切り替えの仕組みをご説明します。

    ご存知のようにライブマイグレーションは、仮想マシン(ゲスト OS )を動作させたまま別の Hyper-V ホストへ移動することができ、仮想マシンと外部のコンピュータとのセッションは切れません。実際には仮想マシンの移動の前後でネットワークスイッチの接続ポートなど物理的な経路が変わってしまいますが、その影響を回避する仕組みを備えています。

    下図はライブマイグレーション時の動きを図解したものです。

    <移動前、移動中>
    ・仮想マシン(仮想 NIC:ここでは vNIC-A)は、は外部スイッチの Port-1に接続
    ・移動処理が終わるまでは、Port-1 経由で外部機器と通信
    ・外部スイッチの MAC アドレステープルは、vNIC-A は Port-1 に接続されていると学習

    <移動直後>
    ・仮想マシン(vNIC-A)は 外部スイッチ Port-2 に物理的に接続される
    ・vNIC-A の MAC アドレスは、移動前後で不変
    ・外部スイッチの MAC アドレステープルを書き換え、vNIC-A が Port-2 になるよう、ARP パケットが送信される

    実際の ARP パケットを Network Monitor で採取したものが下記です。

    <環境>
    ・vNIC の MAC アドレス:00 15 5D 00 29 0C
    ・ゲストOS:Windows Server 2008 R2(192.168.0.201)

    <キャプチャパケット>
     - Ethernet: Etype = ARP,DestinationAddress:[FF-FF-FF-FF-FF-FF],SourceAddress:[00-15-5D-00-29-0C]
       + DestinationAddress: *BROADCAST [FF-FF-FF-FF-FF-FF]
       + SourceAddress: Microsoft Corporation 00290C [00-15-5D-00-29-0C]
         EthernetType: ARP, 2054(0x806)
         UnknownData: Binary Large Object (18 Bytes)
     - Arp: Request, 192.168.0.201 asks for 192.168.0.201
         HardwareType: Ethernet
         ProtocolType: Internet IP (IPv4)
         HardwareAddressLen: 6 (0x6)
         ProtocolAddressLen: 4 (0x4)
         OpCode: Request, 1(0x1)
         SendersMacAddress: 00-15-5D-00-29-0C
         SendersIp4Address: 192.168.0.201
         TargetMacAddress: FF-FF-FF-FF-FF-FF
         TargetIp4Address: 192.168.0.201

    MAC レベルでのブロードキャストなので、スイッチにミラーポート設定しなくとも空きポートに繋げばパケットを採取できます。
    ご興味ある方は、お試しください。
    Network Monitor は下記より無償ダウンロードできます。
     http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f


    参考情報:
    Network Monitor 3 を使用したパケットの採取(マイクロソフト Network & AD サポートチーム公式ブログ)
     http://blogs.technet.com/b/jpntsblog/archive/2010/05/07/network-monitor-3.aspx

     

  • AD FS 2.0 の最新技術情報アップデート

    Posted over 4 years ago
    by infrajp}

    みなさん、こんにちは。今回はクラウドサービスに対する認証基盤として注目が集まりつつあるフェデレーションサービスについてご紹介します。

    フェデレーションサービス自体は、弊社固有のテクノロジというわけではなく、標準化された規格の元、ソフトウェアベンダー各社からフェデレーションサーバー製品がリリースされています。フェデレーションサービスは概念的に理解しにくいと言われますが、マイクロソフトのフェデレーションサービスである AD FS(Active Directory フェデレーションサービス) 2.0 は、以下の点で優れています。

    ・標準規格への準拠。SAML 2.0 や WS-Federation、WS-Trust といった規格に準拠し、クラウドサービスとの相互接続性も十分です。

    ・UI の充実度。難解なコンフィグファイルを直接編集する必要性を極力排除しています。そしてUIは完全日本語化されています。

    ・独自開発アプリケーションをフェデレーション対応にするにあたっての、実装ハードルをグッと下げる開発環境「Visual Studio」の存在。

    ・AD FS 使用ライセンスは Windows Server + CAL のライセンスに包含。既にWindows Server + CAL ライセンスをお持ちなら、追加ライセンスは不要です。

    ・日本語技術情報の充実度。

    特に日本語の技術情報については、ここ最近一気に充実してきましたので、以下技術情報についてご紹介させていただきます。

    そもそも、フェデレーションサービスや AD FS って?については、以下をご参照ください。

    Windows で構築する、クラウド・サービスと社内システムの SSO 環境
    ――クラウド時代のアイデンティティ管理とは?――
    http://www.atmarkit.co.jp/fwin2k/operation/adsf2sso01/adsf2sso01_01.html
    ※ こちらは実践的な技術情報としてもお勧めです。

    Active Directory フェデレーション サービス (AD FS)
    http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-fs2.mspx
    ※ AD FS 2.0 のマイクロソフト公式サイトです。AD FS を使った認証の流れ、システム構成について、図とアニメーションで分かりやすく説明しています。

    そして、今月相次いでリリースされた日本語技術情報がこちらです。

    AD FS 2.0 デザイン ガイド
    http://technet.microsoft.com/ja-jp/library/gg308546.aspx
    弊社の公式技術情報となります。AD FS の構築手順といった直接的な技術情報はもちろんですが、AD FS のサーバー構成の取り方、AD FS プロキシや電子証明書がどのような場面で必要になるのかといった、設計概念的な情報を中心に翻訳されています。AD FS はこれまでの一般的な認証のフローとは異なる独特の仕組みを持っていますので、一見どんなサーバーやネットワーク構成が必要なのか分かりにくく、とっつきにくさがあるのも事実です。そこで、上 2 つのサイトでまずは AD FS の概念を理解いただいた上で、現実的な技術情報をこの Technet から理解いただくのがお勧めです。

    AD FS 2.0 を使用して Windows Azure との SSO を実現しよう
    http://technet.microsoft.com/ja-jp/cloud/gg471269.aspx
    弊社エバンジェリストの安納がセミナーで解説した際の資料です。Windows Azure 上に配置する独自アプリケーションを、どのように AD FS 認証に対応させれば良いのかが分かりやすく解説されています。

    是非、 ご活用いただければと思います。

     

  • System Center Service Manager 2010 SP1 リリース

    Posted over 4 years ago
    by infrajp}

    System Center Service Manager 2010 SP1 がリリースされました。

    SP1では新機能などは特に提供されておりませんが、過去にリリースされた更新プログラムなどが含まれておりますので、インストールしていただくことをお勧めします。

    SP1展開に関しては、こちらの Technet 記事もご覧ください。

    Service Manager 2010 SP1 展開ガイド
    http://technet.microsoft.com/ja-jp/library/ff460909.aspx

    あと、Authoring tool も合わせて日本語版のSP1がリリースされております。

    System Center Service Manager Authoring Tool SP1 - 日本語
    http://www.microsoft.com/downloads/details.aspx?familyid=78DCB15B-8744-4A93-B3FA-6A7A40FFEAAE&displaylang=ja

    System Center Service Manager Authoring Tool リリース ノート
    http://technet.microsoft.com/ja-jp/library/ff848708.aspx

  • "Optimized Desktop" 評価環境構築ガイド リリースのお知らせ

    Posted over 4 years ago
    by infrajp}

    みなさん、こんにちは、

    前回に引き続き、コンテンツ リリースのお知らせです。

    Optimized Desktop” (OD:デスクトップ環境最適化)は、Windows 7 Enterprise, Microsoft Desktop Optimized Pack (MDOP) を中心としたインフラ製品群が提供する、企業ユーザーのデスクトップ環境を最適化するソリューションになります。

    グローバル化コンプライアンス対応 など企業に求められるニーズに変化に伴って、従業員の働き方の変化が急速に進み、企業のデスクトップ環境に求められるニーズも大きく変わってきています。

    マイクロソフトでは、デスクトップ環境の最適化を進める手段として

    「デスクトップ環境の集中管理」、
    「仮想化による柔軟なアプリケーション環境」、
    「高いセキュリティと高い利便性の両立」

    といった、企業デスクトップに求められる環境を提供し、

    「社外への安全なPCの持ち出し」、
    「在宅勤務や自宅での作業」、
    「出張先から    の個人デスクトップ環境の利用」、
    「PC切り替え時のダウンタイムの短縮」

    など、従業員からの高い要求にも応えられる環境を整備することが可能な、”Optimized Desktop” (OD:デスクトップ環境最適化) を推奨しています。

    ODに関するさらに詳しくい説明はこちら (http://www.microsoft.com/japan/business/optimizeddesktop/default.mspx) を参考にしてください。

     

    先日、この新しいデスクトップ環境を評価していただくための、環境構築ガイドがリリースされています。

    Optimized Desktop 評価環境構築ガイド
    http://technet.microsoft.com/ja-jp/windows/gg447071.aspx

    OD 全般の説明にはページを割かずに、具体的な構築方法をステップ バイ ステップ で説明している技術解説書です。
    以下のような技術の環境構築手順が含まれています。

    • Active Directory / グループポリシーを利用した様々なルールの適用
    • App-Vアプリケーション仮想化)によるアプリケーション配布の最適化
    • MED-Vデスクトップの仮想化)を使った、既存アプリケーションの迅速な移行
    • Windows 7 標準の暗号化技術(BitLocker)の利用
    • VDIを使った、リモート環境からの作業

    全ての環境を構築することを前提に記述されていますが、一部分を参考にしていただくこともできるとおもいますので、ぜひご利用ください。

     

     

  • System Center Data Protection Manager 2010 で Windows Server 2008 / 2008 R2 のベアメタルリカバリーを行う

    Posted over 4 years ago
    by infrajp}

    皆様こんにちは

    今回はSystem Center Data Protection Manager 2010 によるベアメタルリカバリ手順についてお知らせします。

    Windows Serverのシステムリストアは今まで様々な方法がありました。
    OS標準機能としては、Windows 2000 の ERD(システム修復ディスク)、Windows Server 2003 の ASR(Automated System Recovery)そして、Windows Server 2008 の Complete PC バックアップなどがあります。
    2008 以前の復元方法では、サーバーごとの特殊なFDやCDを用意したり、一旦OSをインストールしたのちに、バックアップしたシステムデータをリストアしたりなど、幾重の手順が必要になりました。

    DPM 2010 では、保護対象のサーバーを復旧する際、サーバーをWindows Server 2008 / 2008 R2 を OS の DVD から起動するだけで、システム領域はすべてネットワーク経由で戻すことで、システムの復旧が可能になりました。OS標準機能でも、Complete PC バックアップ(復元)の名の通り、システム領域を復元することができますが、リモートから細かな設定変更、スケジューリングできるのが DPM 2010 の特徴です。

    以前の DPM 2007 と Windows Server 2008 の組み合わせでは、保護サーバー側で Windows Server Backup を実施し、そのデータをDPMでリモートバックアップしていました。DPM 2010 ではこれらすべてをリモートから実施することができます。

    参考:
    System Center Data Protection Manager 2007 で Windows Server 2008 のイメージバックアップとベアメタルリカバリーを行う (2/2)

    では、DPM 2010によるベアメタルリカバリ手順を見ていきましょう。

    ●事前準備と保護の実施
    1)保護対象のサーバーには事前にWindows Server Backup をインストールしておく必要があります。 デフォルトではインストールされていないので、大規模サーバー展開時にはすべてのサーバーに事前インストールしておくことをお勧めします。

    2)DPM管理者コンソールで保護対象のサーバに対し[Bare Metal Recovery], [System State]の保護を設定します。(必要に応じて、システムディスク以外のアプリケーションデータも保護対象とします)

    以上の2ステップで、保護対象のサーバーのバックアップが実行されます。

    ●回復ステップ
    ステップ1)DPM管理者コンソールで、[Bare Metal Recovery]の回復を選択し、バックアップイメージを、ネットワーク上の共有フォルダへコピーします。 WindowsImageBackupフォルダの1つ上のフォルダをファイル共有することがミソです。別のフォルダを指定すると、今後のステップでバックアップデータが検索されません。


    ステップ2)回復対象のサーバーを OS の DVD から起動し、「コンピューターを修復する」を実行します。

    ステップ3)「システム回復オプション」のステップで、ネットワークの共有フォルダからバックアップデータを指定します。

    ステップ4)リストアを実施し、サーバーが再起動して終了です。

     

    この手順では、DPMで取得したバックアップデータをいったん共有フォルダ上にリストアし、このデータを OSのDVDから立ち上げたサーバーがネットワーク越しにリストアします。一旦、リストアが実施されればあとは、サーバー再起動まで待つだけです。リストアが2ステップになるため、システムディスク以外のデータディスクはBMRには含���ず、直接DPMから戻すとよいでしょう。

    仮想環境でもテスト可能ですので、この簡単な復元ステップをぜひお試しください。