• 新サイトに移転しました

    Posted over 4 years ago
    by Sysplag}

    今後は Windows インフラチーム ブログ をご参照ください。
    Windows Server だけでなく、インフラ関連の全般(Windows Client、System Center、Forefront)の情報も1つのサイトにて発信していきます。

    どうそ よろしくお願いします。

  • FIM 2010 で実現するグループの効率的な管理

    Posted over 4 years ago
    by Sysplag}

    皆さん、こんにちは。
    暑くてジメジメした日が続来ますね。ウチの犬は、なんと早くも夏バテを起こしてしまいました。人間にとっても犬にとっても辛い季節です。。。

    今回、Forefront Identity Manager(FIM) 2010 を利用した、Active Directroy ドメインサービス(AD DS)上でのグループ管理機能について紹介させていただきます。
    FIM 2010 では、 ID統合管理基盤として利用できる機能を提供していますが、パスワードセルフリセットをはじめとし、AD DS との親和性が非常に高い機能を提供しています。グループ管理機能も AD DS と親和性の高い機能を提供しています。(もちろん、グループオブジェクトは AD DS のみではなく、他のシステムに対しても同期を行う事は可能です。)

    FIM 2010 では、同期サービスによるバッチでのグループオブジェクトの一括処理(登録 / 変更 / 削除)やFIM ID 管理ポータルによるグループオブジェクトの作成 / 変更 / 削除が行え、特に FIM ID 管理ポータルでは、よりグループの管理が行いやすい管理機能を提供しています。今回は、FIM 2010 の ID 管理ポータルで提供しているグループに関する以下の機能を紹介させていただきます。

    (1)様々な条件指定できるグループメンバーの設定
    (2)ワークフローを利用した、申請ベースでのグループ参加
    (3)Outlookを利用したメールベースでのグループ参加申請と承認
    (4)検索フィルターによる様々な条件でのグループ検索

    (1)様々な条件で指定するグループメンバーの設定

    FIM ID 管理ポータルからは、セキュリティグループおよび配布グループを作成する事ができます。これを AD DS と同期させることで、AD DS 上にグループオブジェクトが作成されます。
    FIM ID 管理ポータル上でグループオブジェクト作成時に、メンバーの構成を以下の3つのパターンで定義する事ができます。

    #

    メンバーの選択

    構成条件
    1 手動 グループのメンバーを手動で構成します。
    2 管理者ベース FIM ID 管理ポータル上で管理者(上長)として設定されているユーザー(部下)がメンバーとして構成されます。
    3 条件ベース カスタム検索フィルターによって動的にメンバーが構成されます。動的なので、例えば、条件に指定されている属性が変更された場合は、それに基づいてメンバーも変更されます。

    条件ベースでは、FIM ID 管理ポータルで管理されている属性でグループのメンバー条件の指定ができます。これらの条件は 「AND」 または 「OR」 で条件を定義する事ができるので柔軟なグループのメンバー定義を指定する事ができます。また、確認として条件に適合するメンバーの確認も行う事が可能です。以下にメンバーの条件を設定画面を示します。

    image
    図1 メンバー選定条件の設定画面

    (2)ワークフローを利用した、申請ベースでのグループ参加

    FIM 2010 では、Windows Workflow Fundation ベースをワークフローを標準機能として提供しています。このワークフローの機能を利用して、申請ベースによるグループ参加を行う事ができます。
    例えば、ユーザーが、あるグループに参加しようとした場合、グループ作成時に設定されたグループの所有者の承認を得て初めてグループのメンバーとして参加ができるといった運用が可能となります。これにより、これまでシステム管理者に依頼が来ていたグループ参加申請がシステム的に行う事で、管理コストの削減ができ、さらにユーザーにとっても、グループへのメンバー登録が迅速に行われることにより、生産性の向上につながるのではないかと考えます。
    既定の機能は、「グループの所有者に対しての申請」で提供されていますが、ワークフローの承認者を変更する事で、承認者を変更する事も可能です。以下に承認の制約を設定したグループ作成画面を示します。

    image
    図2 承認の制約を設定したグループ作成画面

    (3)Outlookを利用したメールベースでのグループ参加申請と承認

    上記の(2)で示したグループへの参加申請および承認は FIM ID 管理ポータルから行う事が可能ですが、 Outlook と Exchage 環境を利用し、メールベースでのグループ参加申請と承認も行う事が可能です。 Outlook で申請 / 承認を行う為ににはクライアント上に FIM 2010 で提供している Outlook Add-in モジュールが別途必要となります。現状で対応している環境は、Outlook 2007 SP2 以降、Exchange Server 2007 SP1 以降または Exchange Server 2010 に対応しています。
    Outlook Add-in モジュールをインストールしていただく事で、Outlook のメニューバーに「グループ」メニューが表示されグループ関連の操作を行う事ができます。また、申請などのメールの文面も参加申請用や承諾メールなどテンプレートを独自に定義する事ができますので要件に応じた文面でメールを送信する事が可能です。

    (4)検索フィルターによる様々な条件でのグループ検索

    管理者の方はじめユーザーの方は、自分が現在どのようなグループに参加ているか、確認や、自分が管理しているグループの確認などの要件や要望はよくあるのではないでしょうか?
    FIM ID 管理ポータルでは、既定で、「自分が参加しているグループの検索」と「自分が所有しているグループの検索」がポータル上から行える様に定義されています。さらにグループの検索条件を要件に合わせて定義していただく事で、様々な条件で検索する事が可能となっています。検索条件は XPath で定義します。これらの検索条件のメニューは、一般ユーザーに表示を許可する、または管理者のみに表示を許可するといった様に表示の許可を指定する事が可能ですので、一般ユーザー用の検索と管理者用の検索を分けて表示させる事も可能となっています。一般ユーザーの ID 管理ポータル画面を以下に示します。

    image
    図3 一般ユーザーの FIM ID 管理ポータル画面

     

    この様に FIM 2010 では、ID 管理ポータルを利用する事で、管理が面倒だったグループのメンテナンスが簡単に行えるようになっております。またこれらの作業は最小限の設定で対応でき、管理者の管理コストの低減化が行えさらにユーザーへの利便性の向上にもつながると考えております。

    是非、FIM 2010をご評価またご検討ください。
    FIM 2010 の書籍が出ました。ご評価 / ご導入され場合は是非、参考にしていただければと思います。

    Active Directory ID管理ガイド Forefront Identity Managerで実装するID統合管理

    また、8月に行われる TechED でも FIM 2010 のセッションで登壇させていただく予定です。さらに FIM 2010 を詳しく紹介させていただき、少しでも皆様のお役に立てれる情報を提供したいと考えております。ご興味がある方(そうでない方も)是非ご参加ください!!

    中村 仁吏

  • Windows Server 2008 R2 RDS の構築・設計指針

    Posted over 4 years ago
    by Sysplag}

    みなさん、こんにちは。
    ワールド カップの日本はとてつもなく悔しい終わり方で残念でした。ですが逆境の中、格上の国を相手に強いハートとチーム ワークで勝ち上がる様は、「俺たちのフィールド」を読んで毎回泣くスポ根漫画好きとしてはたまりませんでした。

    さて、今回は RDS の導入にあたって、全体構成を決めるうえで必要となる指針についてお伝えします。
    RD セッション ホスト (旧ターミナル サーバー) のサイジングは既にお伝えした通り (以前の記事) ですが、全体構成を決めるためにはその冗長化をどうとるか、さらにその他のコンポーネントをどう構成するかを考慮する必要があります。考慮すべき RDS の構成要素は以下です。

    • RD ライセンス サーバー
    • RD セッション ホスト
    • RD 接続ブローカー
    • プロファイル共有、フォルダー リダイレクト用ファイル サーバー
    • RD ゲートウェイ
    • RD Web アクセス
    • App-V for RDS

    image

    たくさんありますね。
    全体構成を決定するには、これらの役割、サイジング、冗長化方法、冗長化しない場合の影響、他のサーバーとの共存可否を理解する必要があります。本来であれば皆様のところに伺って直接解説させていただきたいのですが限界がありますので、以下資料としてまとめました。参考構成も入れていますのでご参考下さい。

    ・Windows Server 2008 R2 リモート デスクトップ サービス (RDS) 評価・導入のポイント資料

    (PDF, 3.5 MB)

    マイクロソフト 高田祐二

  • DirectAccess サイジングの指針

    Posted over 4 years ago
    by Sysplag}

    みなさま、こんにちは。

    ワールドカップで少し寝不足気味の竹内です。こんばんわ。仕事から帰ってテレビをつけるとちょうど試合がやってて、ついつい見ちゃって気が付けば深夜の繰り返しです。

    さて今回はDirectAccessのサイジングの指針についてお話しさせていただきます。これまで何度かDirectAccessの技術概要から注意点、さらには実際に構築する手順まで紹介してきました。これまでの記事を未確認の方は、そちらもぜひご覧ください→http://blogs.technet.com/b/windowsserverjp/archive/tags/directaccess/

    結論から言いますと、Quad CoreのCPU×2 (例えばIntel Xeon L5520, 2.26 GHzなど) でメモリ16GBのサーバーマシン1台で2,300ユーザーをカバーすることが可能です。もちろん、DirectAccessはリモートアクセスを提供する機能ですので冗長化の構成をとるべきなので、その場合にはUAGのアレイの機能を利用します。

    すでにご存じのとおり、DirectAccessはインターネット上の通信をIPSecで暗号化するします。End to EdgeのIPSecを利用するのであれば、DirectAccess ServerのCPUが最も注目する点となります。

    本日紹介したサイジングの指針は以下のTechNetサイト (英語) で公開されています。

    Forefront UAG DirectAccess performance information

    http://technet.microsoft.com/en-us/library/ff723731.aspx

    マイクロソフト株式会社 竹内宏之

  • ADMT 3.2 リリース

    Posted over 4 years ago
    by Sysplag}

    Windows 2000のセキュリティ修正モジュールの提供も、残すところ7月の1回となりました。みなさま新しいOSへの移行準備は進められてますでしょうか?Windows 2000をP2Vで仮想化すれば、セキュリティリスクは防げるといった記事も見かけますが、そんなことはありませんのでご注意ください。

    Windows Server 2008 R2 がボリュームライセンス(VL)でのご提供が始まったのが、昨年の9月1日ですから、そろそろ10か月経とうとしております。大変お待たせしましたが、ADMT 3.2 がやっとベータ版から正式版となりました。

    ADMT 3.2 では 2008 R2 DCへの接続が可能になりました。(ADMT 3.1 では、2008 R2 の DC が存在していてもOKでしたが、接続先は2008のDCでなければなりませんでした)

    また、本バージョンでは 2008 R2 でのみ実行可能です。ためしに、2008 上でインストールしようと試みましたが、「有効な Win32アプリケーションではありません」とのエラーでインストールもできません。(2008 の 64bit でもNGです)

    移行元、移行先のドメインとしては以下がサポート対象です。

    移行先ドメイン : Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2
    移行元ドメイン : Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2

    Windows 2000は移行元の対象から外れましたのでご注意ください。ただし、前のバージョンである ADMT 3.1 をご利用いただければ、Windows 2000からの移行は実施可能です。

    インストールステップですが、本バージョンから SQLExpressは別途インストールが必要になりました(以前は同梱されていました。) SQLExpress 2008 SP1(または SQLExpress 2005  SP3)でないとADMTのインストールで弾かれますのでご注意ください。

    ここまで、ADMTのインストールの話題を書いていたのですが、すでにマイクロソフトのサポートチームが記事にしていました。インストールのステップに関しては以下のブログをご参照ください。

    ADMT 3.2 がリリースされました。 by マイクロソフト Network & AD サポートチーム公式ブログ

    ところで、
    ADMTはバージョンアップされるごとに、移行元のサポートするドメインが1つずつ無くなっていくのが通例です。本バージョンでは Windows 2000 が移行元から削除されました。また、Windows Server 2008 R2 でのみ実行可能です。どうしてもこの条件に合わない場合には古いバージョンを使用する必要があります。

    以下にADMT 3.0~3.2までの移行元、移行先のドメインの条件、およびADMTの各バージョンのリンクを記載しましたので、参考にしてください。

    ADMT_Version

    ※) ADMT 3.1を使用する場合、移行先のDCが 2008 であれば他のDCが2008R2でもサポートされます。http://support.microsoft.com/kb/976659/en-us
    このため、Windows 2000から 2008 R2 へ移行したい場合には接続先に2008のDCを入れてください。

    以下は各バージョンのダウンロードリンクです。

    ADMT 3.2(日本語版) http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=20c0db45-db16-4d10-99f2-539b7277ccdb

    ADMT 3.1(日本語) http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=ja

    ADMT 3.0(日本語)http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212&displaylang=ja

    ではまたお会いいたしましょう。

    石澤史明