Presentation is loading. Please wait.

Presentation is loading. Please wait.

Windows Server 2012 ほぼ “全” 新機能 解説セミナー

Similar presentations


Presentation on theme: "Windows Server 2012 ほぼ “全” 新機能 解説セミナー"— Presentation transcript:

1 Windows Server 2012 ほぼ “全” 新機能 解説セミナー
Windows Server 2012 R2 Preview を試す前に知っておきたい Windows Server ほぼ “全” 新機能 解説セミナー 第 1 版

2 Agenda Server Manager IPAM ユーザーインターフェースオプション の追加 DHCP Failover
Windows PowerShell 3.0 Active Directory Domain Service SMB 3.0 AD DS on Hyper-V ストレージ Dynamic Access Control スケールアウトファイルサーバー Hyper-V VDI DirectAccess IIS 8.0

3 Server Manager

4 Modern UI の採用 規定ではログオンするとサー バーマネージャーが起動 管理ツールは「ツール」メ ニューから起動

5 複数サーバーの管理 ダッシュボードによる 視認性の向上

6 複数サーバーの管理 表示にアクションを直結

7 複数サーバーの管理 複数サーバーのサービスを同時に操作

8 複数サーバーの管理 カスタム サーバーグループの作成 1 2 3

9 複数サーバーの管理 フィルター

10 役割や機能の追加 ローカルサーバー リモートサーバ(含 Server Core) オフライン VHD
You can now add roles locally, remotely, on Server Core, or on offline VHDs directly from Server Manager.

11 PowerShell でサーバーマネージャーの処理を自動化
2300 以上のコマンドレット コマンドレットの検索機能 IntelliSense

12 ユーザーインターフェースオプションの追加

13 ユーザーインターフェースの変更 Windows Server 2012 では3段階のインストールオプションが用意されている:
Server Core 従来からの Server Core 最少インストールシェル (“MinShell”) Server Core に加えてサーバーマネージャーなどの限定的なGUI フルシェル 全てのGUIがインストールされたモード。デスクトップエクスペリエンスを追加することもできる。 NEW

14 なぜこうなったのか? The challenges… 攻撃の対象を減らすために、システム管理者は常にパッチの適用に気を使わなければならない
多くの管理者にとって Server Core によるコマンドライン操作は不便だった The Windows Server 2012 のソリューション… 複数のインターフェースオプション リモート管理ツールを使用せずに、システム管理者が使い慣れた GUI で管理することができる さまざまなコンポーネントによるサーバー負荷をできる限り低減したい GUIをインストールするために、OS ごと再インストールするのではなく、機能の追加や削除で対応できると便利 GUIによってサーバーのインストールイメージや手順を複数用意するのではなく、1種類で済ませたい

15 Server Core マイクロソフトの推奨インストール構成
.Net Framework 4.5 Active Directory (AD) Active Directory Lightweight Directory Services (ADLDS) Active Directory Certificate Services (ADCS) DHCP Server DNS Server File Services BITS Server BranchCache Hyper-V Internet Information Services (IIS) Printing Services Streaming Media Services iSCSI Load Balancing MPIO qWave Telnet Unix Migration SQL Server 2012 マイクロソフトの推奨インストール構成 Server Core は以前と比較して多くの役割や機能をサポートしている -.Net Framework SQL Server 2012 WinRM により、リモートからの管理も容易 Windows PowerShell の利用も可能 Server Core と MinShell 間の移行が可能 While Microsoft remains committed to GUIs, they believe the primary place GUIs should exist is on the administrator’s desktop – not on the Server, Server resources are much more expensive than client resources and running GUIs on servers requires additional software components. Every component increases the security and serviceability exposure of that server so you should only install those components that are necessary to that server workload. Fewer things running on the server means fewer patches and more resources available to the server workload. In Windows Server they’ve made several investments to help administrators succeed in choosing Server Core as the primary deployment option for Windows Server. The traditional “Server with a GUI” is still provided as a backwards compatibility option. The number of server roles that run on Server Core has increased with support for .Net Framework 4.5 included. SQL Sever 2012 now installs, eliminating the most common reason administrators cited for not being able to run in the Server Core configuration. Firewall-friendly remote management (WinRM) and Windows PowerShell are now enabled and installed by default on all servers, removing any configuration needed before being able to manage the server remotely. Windows PowerShell’s cmdlets provide the command line coverage necessary for most admin scenarios. For the first time ever, Microsoft released a Beta version of the Remote Server Administrative Tools at the same time as the Server Beta providing a rich GUI experience to manage all Servers, including Server Core, from a Windows Client. Perhaps most significantly however, they’ve added the ability to move between Server Core and Server with a GUI (MinShell) without the need to reinstall the server! This means administrators can safely start with their server deployed in the Server Core configuration and if they find they need the GUI they can add it, and also remove it as needed using the SCONFIG CLI tool, Windows PowerShell or the Add/Remove Roles and Features Wizard. This “in-between” option provides many of the benefits of Server Core while still having the safety-factor of being able to run GUIs should the administrator need to log into the Server directly.

16 MinShell 最少のGUIをインストールするためのオプション GUI ツールを持った Server Core
Server Manager と cmd.exe が規定で起動する 他のGUIも起動可能 役割や機能の追加も可能(PowerShell からのインストールも可能) The minimal user experience option (MinShell) provides Server Core with GUI tools. Server Manager and cmd.exe launch by default when server is booted allowing other GUI tools to be loaded as desired. MinShell can be enabled Add Roles and Features wizard, or with PowerShell.

17 MinShell の有効化と無効化 Install-WindowsFeature Server-Gui-Mgmt-Infra
Install-WindowsFeature Server-Gui-Shell Install-WindowsFeature Desktop-Experience MinShell can be enabled through the Add Roles and Features Wizard of Server Manager or by using PowerShell to install the appropriate Windows Features: Server-Gui-Mgmt-Infra: infrastructure and a minimal server interface that supports GUI management tools Server-Gui-Shell: provides the full Windows graphical user interface for server, including Windows Explorer and Internet Explorer. Unilnstalling the shell reduces the servicing footprint of the installation, while leaving the ability to run local GUI management tools Desktop-Experience: includes features of Windows Server 2012, such as Windows Media Player, desktop themes, an photo management. Desktop Experience does not enable any of the Windows Server 2012 features; you must manually enable them. In previous versions of Windows, even if a server role or feature was disabled, the binary files for it were still present on the disk, consuming space. In Windows Server 2012, not only can you disable a role or feature, but you can also completely remove its files, a state called “disabled with payload removed.” To reinstall a role or feature that is disabled with payload removed, you must have access to an installation source, such as an installation DVD. To completely remove a role or feature, use –Remove with the Uninstall- WindowsFeature cmdlet of Windows PowerShell. For example, to completely remove Windows Explorer, Internet Explorer, and dependent components, run: Uninstall-WindowsFeature Server-Gui-Shell -remove Uninstall-WindowsFeature Server-GUI-Shell Uninstall-WindowsFeature Server-GUI-Shell -remove

18 インターフェースの違い Server Core MinShell Server W/GUI Desktop Experience
コマンドプロンプト Available Windows PowerShell サーバーマネージャー Not Available MMC コントロールパネル コントロールパネル内のアプレット Some Available Windows Explorer タスクバー 通知エリア Internet Explorer ヘルプ テーマ スタートスクリーン WinRTアプリ メディアプレーヤー [review the differences in feature sets between the available interfaces]

19 Windows PowerShell

20 Windows PowerShell とは何か?
分散処理や自動化のためのエンジンであり、スクリプトによるバッチ処理と対話シェルが用意されている 自動化によって処理の品質を向上 目的ベースのコマンドレット 管理者と開発者のギャップを埋めるツール PowerShell has always focused on people using computers in a business context. PowerShell needed to be consistent, safe, and productive. Much has been made of the similarities between PowerShell and UNIX but in this regard, Microsoft’s ties are much closer to VMS/DCL and AS400/CL. Consistent: Operators and developers don’t have a lot of time to learn new things. A consistent experience lets them to invest once in a set of skills and then use those skills over and over again. PowerShell uses a single common parser for all commands and performs common parameter validation delivering absolute consistency in command line syntax. PowerShell cmdlets are designed in a way that ubiquitous parameters can provide consistent functions to all commands (e.g. –ErrorAction, – ErrorVariable, –OutputVariable, etc) Safe: An Operator once said that occasionally he was about to do something and realized that if he got it wrong, he would be fired. In PowerShell, if you ever execute a cmdlet which has a side-effect on the system, you can always type –WhatIf to test what would happen if you go through with the operation. It also supports –Confirm, - Verbose and –Debug. Despite these safeguards, things can go wrong and when they do, PowerShell spends a lot of effort to speed up the process of diagnosing and resolving the error. Productive: Every aspect of PowerShell’s design maximizes the power of users (ergo the name). PowerShell makes it easy to perform bulk operations across a large number of machines. PowerShell also makes it easy to have productive engagements between your operators and developers because it allows them to speak a common language and to help each other with their scripts. Microsoft’s goal has always been to deliver a single tool which could span the needs of operators doing ad hoc operations, simple scripting, formal scripting, advanced scripting and developers doing systems-level programming. Most importantly, they wanted to develop a tool which could be used by BOTH operators and developers to bridge the gap between the groups and allow them to create common scripts, learn from each other and work together. As you’ll see, PowerShell 3.0 continues in that effort. <Discuss the operating systems that support PowerShell 3.0 – see slide> PowerShell 3.0 は以下のOSでサポートされている: Built-in: Windows Server 2012 Windows 8 ダウンロード: Windows 7 SP1 Windows Server 2008 SP2 Windows Server 2008 R2 SP1

21 スクリプトの実行環境 Windows bat VBScript JScript PowerShell スクリプト exe COM COM
.NET Framework Script Engine Windows Script Host Class Library cmd/ command Cscript.exe Wscript.exe CLR(共通言語ランタイム) Windows

22 マイクロソフト製品と PowerShell の関係
製品ごとに専用の”コマンドレット”が用意されている 多くの管理 GUI は裏でコマンドレットを呼んでいる インフラ担当者に、各製品への”標準化されたアクセス方法”を提供する Active Directory 管理センター PowerShell コンソール System Center Virtual Machine Manager Active Directory PowerShell コマンドレット Hyper-V PowerShell コマンドレット Active Directory Hyper-V

23 事前準備 コンソールの環境設定 簡易編集を有効に エクスプローラー(フォルダー)の環境設定 「拡張子を表示しない」を無効に
実行ポリシーの設定 ※オンプレミスの”署名無しスクリプト”を実行できるようにする リモートからの操作を有効にする(リモーティングの有効化) 必要に応じて自分専用の初期設定ファイルを作成(規定では存在しない) PS C:\>Set-ExecutionPolicy RemoteSigned PS C:\>Enable-PSRemoting –force PS C:\>notepad $profile

24 実行ポリシーの設定~ Set-ExecutionPolicy
17/3/6 6時30分 実行ポリシーの設定~ Set-ExecutionPolicy “管理者として実行” する必要がある 実行ポリシーの一覧 Restricted:制限つき (オペレーターモード)(規定値) 対話形式のみ スクリプトは実行できない AllSigned:署名 スクリプトは、信頼された発行元による署名が必要 RemoteSigned:リモートの署名 “インターネットゾーン” のスクリプトは信頼された発行元による署名が必要 Unrestricted:無制限 すべてのスクリプトを実行可能 リモートのスクリプトについては常に警告 Bypass:バイパス 何もブロックされず警告も表示されない “ポリシーの設定”は、規定ではコンピューター全体に影響する。適用範囲を制限するには、Scope も同時に定義する。 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 基本操作 ~ コマンドレット情報を取得する 使用可能なコマンドレット一覧を取得する
“Storage” という文字列を含むコマンドレットの一覧 特定のモジュール内のコマンドレット一覧 コマンドレットの書式 PS C:\> Get-Command PS C:\> Get-Command *-vm* -CommandType Cmdlet PS C:\> Get-Command -Module Hyper-V PS C:\> Get-Help <コマンドレット> -detailed PS C:\> Get-Help Move-VM -detailed

26 unix のあのコマンドは? ls → get-ChildItem cp → copy-Object grep → select-String sort → sort-Object man → help clear → clear-Host cat → get-Content kill → stop-Process tee → tee-Object tail → get-Content 「アレはあるかな?」と思ったら Get-Alias <unix 上のコマンド>

27 IT Pro にとっての Windows PowerShell 3.0
自動化 ~2,430 コマンドレット (Windows Server 2008/R2 は 230 コマンドレット) シンプルな書式で習得が容易 オーサリングツール(PowerShell ISE)の進化 Intellisense Snippets 3rd パーティによる拡張性 Show-Command ウィンドウ Easier to Automate Windows Server 2008/R2 shipped with ~230 cmdlets. Windows Server 2012 beats that by a factor of over 10 shipping ~ 2,430 cmdlets. You can now automate almost every aspect of the server. There are cmdlets for networking, storage, clustering, RDS, DHCP, DNS, File Servers, Print, SMI-S etc. – the list goes on. Windows Server 2012 is, by far, the most automatable version of Windows ever. Microsoft wanted to significantly lower the skill level required to successfully automate a complex solution. The ultimate goal is a world where operators think about what they want, type it and get it. Every customer’s needs and scenarios are different so they need to script their own solutions. Microsoft’s goal is to make it simple and easy to author scripts gluing together high level task oriented abstractions. The number one factor in making it simple is cmdlet coverage. That is why having ~2,430 cmdlets makes Windows Server 2012 so much easier to automate. A number of these cmdlets are extremely effective in dealing with the messy, real-world life of datacenters. There are cmdlets to work with REST APIs, JSON objects and even to get, parse and post web pages from management applications if required. There are already a large number of hardware and software partners that are shipping PowerShell cmdlets and those that haven’t released them yet are working to quickly deliver them in the next versions of their products. You should definitely make sure that any product you buy delivers a full set of PowerShell cmdlets. If it doesn’t, you should think twice and do some due diligence to make sure you are getting a product that is current and is still being invested in. If they didn’t do PowerShell, what other things they missing? The good news is that a lot of the products will support PowerShell by the time Windows Server 2012 ships. PowerShell 3.0 simplifies the language and utility cmdlets to reduce the steps and syntax necessary to perform an operation. <Below is an example showing the old way of doing something and the new simplified syntax – provide as example, if desired> PowerShell3.0 improves the authoring tools operators use to create scripts and author workflows. PowerShell-ISE now supports rich IntelliSense, snippets, 3rd party extensibility and a Show-Command window which makes it easy to find exactly the right command and parameters you need to accomplish a task. Workflow Microsoft integrated the Windows Workflow Foundation engine into PowerShell to make it simple and easy to automate things that take a long time, that operate against a very large scale, or that require the coordination of multiple steps across multiple machines. Traditionally Windows Workflow has been a developer-only tool requiring visual studio and a lot of code to create a solution. They’ve made it an in-the-box solution that allows administrators to create a solution using their existing PowerShell scripting skill. Workflow provides direct support for parallel execution, operation retries, and the ability to suspend and resume operations. For example, a workflow can detect a problem that requires manual intervention, notify the operator of this condition and then suspend operations until the operator corrects the situation and resumes the workflow. You can use any of the available Workflow designers to create workflows; however, Microsoft took it a step further and simplified authoring by extending the PowerShell language with the workflow keyword. Any operator or developer can now easily author a workflow using the tools that ship in all Windows SKUs. The behaviors of a workflow are different than a function and there are a few more rules but if you know how to write a PowerShell function, you are 80% of the way to being able to write a workflow. Authoring workflows using PowerShell is much easier than working with XAML and many of us easier to understand than Workflow designer tools. You also get the benefit of being able to paste them into and have someone be able to read/review it without having to install special tools. Scheduled jobs Microsoft seamlessly integrated Powershell and Task Scheduler to make it simple and easy to automate operations that either occur on a regular schedule or in response to an event occurring. For example, let’s say you have a workflow which is meant to run forever. It collects configuration information (disk info) and then suspends itself. The workflow is started and given a well- known name “CONFIG”. You can resume the workflow using Task Scheduler by registering a Scheduled Job to run at a specific time each week and after every system startup. When a configured trigger occurs, the scheduled job runs and resumes the workflow using its well-known name. The workflow then collects the configuration information, putting it into a new file, and suspending itself again. (continued from previous hidden slide) Robust Networking In previous releases, PowerShell shipped with remoting disabled by default and required operators to go to each machine and issue the Enable-PSRemoting cmdlet in order to remotely manage it. As a Cloud OS, remote management of servers via PowerShell is now the mainstream scenario, so we’ve reduced the steps required and enabled PowerShell remoting by default in all server configurations. We did extensive security analysis and testing to ensure that this was safe. WS-MAN is Microsoft’s primary management protocol, while COM and DCOM are kept for backwards compatibility. WS-MAN is a Web-Services protocol using HTTP and HTTPS. While these are effectively REST protocols, PowerShell establishes a session layer on top of these to reuse a remote process for performance and to take advantage of session state. These sessions were robust in the face of modest network interruptions but would occasionally break when operators managed servers from their laptops over Wi-Fi networks while roaming between buildings. The session layer of WSMAN has been enhanced. By default, it will survive network interruptions up to 3 minutes. Disconnected Sessions support was added to PowerShell sessions which give users the option to disconnect from an active remote session and later reconnect to the same session, without losing state or being forced to terminate task execution. You can even connect to the session from a different computer (just like a remote desktop session). Let’s take a closer look at a few of these new features. Windows Workflow Foundation との統合 PowerShell のスキルだけでワークフローを記述 ジョブのスケジューリング タスクスケジューラーとのシームレスな連携 堅牢なセッション セッションへの再接続が可能に

28 Show-Command Cmdlet 初心者向けのダイアログボックス 必要なパラメターはダイアログから入力可能 モジュールをフィルタ可能
コマンドレット名で検索可能 The new Show-Command cmdlet lets beginners run cmdlets from a dialog box. Running Show- Command without parameters displays a list of available cmdlets. Like Get-Command, it lists all cmdlets, functions, aliases, and scripts installed on the system. At the Windows PowerShell command prompt, type Show-Command, and then press ENTER. You can filter by Module and use the Name box to search. In the example we are searching through all modules for any name containing “Item”. When you click on a command, in this case “Get-Item” it will provide you with a dialog box in which to designate parameters.

29 堅牢なPS セッション Source1 Target Source2 セッション
State=Disconnected, Availability=None に対してのみ Disconnect-PSSession コマンドレットで明に Disconnect した場合 ネットワークの切断や PC のハングアップ等で Disconnected になった場合 ※ コンソールを明に落とした場合は強制終了したものとみなされる 同時に2台以上のコンピューターからは接続できない State=Disconnected Availability=None Source1 Target Disconnect-PSSession セッション Source2 Connect-PSSession 再接続可能

30 Id Name ComputerName State ConfigurationName Availability
PC1 PS > $S = New-PSSession -ComputerName Target1 PS > $Result = Invoke-Command -Session $S {Get-Service} PS > Disconnect-PSSession -Session $S Id Name ComputerName State ConfigurationName Availability 121 Session Target Disconnected Microsoft.PowerShell None Target PC2 PS > Get-PSSession -ComputerName Target1 Id Name ComputerName State ConfigurationName Availability 10 Session tfdc Disconnected Microsoft.PowerShell Busy 12 Session tfdc Disconnected Microsoft.PowerShell None PS > $S = Get-PSSession -Name Session121 -ComputerName Target1 PS > Connect-PSSession -Session $S

31 PowerShell 3.0 - ワークフロー パラレル サスペンド WF WF 処理1 処理1 結果1 処理2 処理2 WF 処理3
複数のリモートコンピューターに対して一斉に行う処理 長時間を要する処理 途中で一時停止する可能性がある処理 結果を永続化したい処理 パラレル サスペンド ジョブと結果の永続化 WF WF 結果ストア 処理1 処理1 結果1 サスペンド checkpoint 処理2 サーバーが条件に合致しない場合にサスペンドし、あとでレジューム 処理2 サーバー ダウン checkpoint WF 処理3

32 ワークフローの作成 PowerShell ISE(またはテキストエディタ) で作成する workflow キーワードを使用する
{ <処理> } (例)MyWorkflow という名前でリモートコンピューターのサービス一覧を取得するワークフロー workflow MyWorkflow ( [String] $ServiceName ) { Get-Service -PSComputerName $PSComputerName -Name $ServiceName } (例)実行例 PS C:\>mywf -PSComputerName ServiceName wuauserv

33 ワークフローの実行からレジュームまで ローカルPC Remote Server (DC01) PSワークフローセッションを張る
$S = New-PSWorkflowSession -ComputerName DC01 ワークフローをDC01上に作成する Invoke-Command -Session $S -FilePath .\CreateNewUser.ps1 状態なし ワークフローが作られたことを確認 Invoke-Command -Session $S {Get-Command -CommandType Workflow} ワークフローを実行 Running Invoke-Command -Session $S {CreateUser -PSPersist $true -ErrorAction SilentlyContinue -AsJob} Suspended DC01 が停電によりシャットダウン DC01 が復電により再起動 もう一度セッションを張る $S = New-PSWorkflowSession -ComputerName DC01 ジョブIDを確認 Invoke-Command -Session $S { Get-Job } ジョブをレジューム Running Invoke-Command -Session $S { Resume-Job 3 }

34 Windows PowerShell Web Access
WS-Man に接続するためのゲートウェイ Internet Home DMZ Intranet Session Server PSWA PC PS Session Devices PS Session 携帯からも 再接続 リバースプロキシ

35 PowerShell Web Access のセットアップ

36 2.IIS で自己署名証明書を作成してバインドを設定する(SSLを有効に)
ご自身のサーバーを指定してください バインドの設定で 作成した証明書を選択

37 3. PowerShell を管理者モードで起動 4. 以下のコマンドを実行
PS C:\> Set-ExecutionPolicy RemoteSigned  PS C:\> Import-Module PowerShellWebAccess  PS C:\> Install-PswaWebApplication -webSiteName "Default Web Site"  PS C:\> Add-PswaAuthorizationRule * * * 5. https://<サーバー名>/pswa にアクセス ここで指定するサーバーは、 接続先となるサーバー

38 権限の委譲 別の権限を使用したワークフローの実行 資格情報を作成 ワークフローの RunAsUser プロパティに作成した資格情報をセット
WinRM を再起動して権限を有効にする 設定された内容を見る ↪ $Cred = Get-Credential –Credential contoso\administrator Delegated Permissions allow for the use of alternate credentials during a workflow. 1. Type the following command, and then press ENTER. ↪ $Cred = Get-Credential –Credential contoso\administrator When prompted for a password, type Passw0rd!, and then click OK. 2. Type the following command, and then press ENTER. ↪ Set-Item WSMan:\localhost\Plugin\Microsoft.Powershell.Workflow\RunAsUser -Value $Cred To set the RunAsUser property, you use the Set-Item cmdlet with the $Cred parameter as the value of the Value parameter. The RunAsPassword value is configured automatically based on the value of the PSCredential object. 3. To make the change effective, type the following command, and then press ENTER. ↪ Restart-Service WinRM To make the change effective, you use the Restart-Service cmdlet to restart the WinRM service. 4. To see the effect of the change, type the following command, and then press ENTER. ↪ Get-ChildItem WSMan:localhost\Plugin\Microsoft.Powershell.Workflow To see the effect of the change, use the Get-ChildItem cmdlet to view the properties of the Microsoft.PowerShell.Workflow session configuration. All commands that are invoked in the Microsoft.PowerShell.Workflow endpoint will now run using the administrator credentials. ↪ Set-Item WSMan:\localhost\Plugin\Microsoft.Powershell.Workflow\RunAsUser -Value $Cred ↪ Restart-Service WinRM ↪ Get-ChildItem WSMan:localhost\Plugin\Microsoft.Powershell.Workflow

39 Snippets ISE からコードスニペット機能を使用することができる [編集]-[スニペット開始]
オリジナルのスニペットを登録するには New-ISESnippet 登録したスニペットを参照するには Get-ISESnippet PowerShell 3.0 has support for built-in snippets and those that you create using the New-IseSnippet command. The snippet will persist across ISE sessions!

40 Intellisense 補完が開始されるタイミング コマンドレットやパラメタを自動補完してくれる機能 入力スピードが飛躍的に向上
IntelliSense complements tab completion in the Windows PowerShell Integrated Scripting Environment (ISE). While tab completion allows you to cycle through the options, IntelliSense displays a drop-down list of context-sensitive options. IntelliSense automatically displays a list of options when you type any of the following: · “-“ (dash) after a verb, as in Get- or before a parameter name, as in Get-Process – · “.” (period) after an object, as in $host. · “::” (double colon) after a type, as in [int]:: · “\” (backslash) for providers, as in C:\ · “ “ (space) after parameters “-“ (dash) verb(動詞)の後のダッシュ “.” (period) オブジェクトの後にピリオド “::” (double colon) オブジェクトタイプの後にダブルコロン “\” (backslash) プロバイダーの後にエンサイン(バックスラシュ) “ “ (space) コマンドレットの後ろにスペース

41 SMB 3.0

42 どうしてこうなったのか? スループットが向上することで…
ファイルサーバーは複数のコネクションを同時に使用して、より多くのデータを高速に転送できる ネットワークフォールトトレンランスにより… 同時に複数のネットワークコネクションを使用して、クライアントはネットワークの切断を回避できる 自動構成機能により… SMB マルチチャネルは自動的にネットワークパスを探索して、必要に応じて動的にネットワークパスを追加する 管理コストを低減 Increased throughput. The file server can simultaneously transmit more data using multiple connections for high speed network adapters or multiple network adapters. Network Fault Tolerance. When using multiple network connections at the same time, the clients can continue to work uninterrupted despite the loss of a network connection. Automatic Configuration: SMB Multichannel automatically discovers the existence of multiple available network paths and dynamically adds connections as required. Administrative effort is reduced.

43 NICチーミング & SMB 3.0 マルチチャネル tNIC tNIC SWITCH
NIC チーミング(最大 32 NIC/Team)を OS 標準でサポート スイッチ依存(Static or LACP)/ 非依存 ネットワークフォールトトレランス SMB 3.0 マルチチャネル with RSS SMB スループット向上 1インターフェース(=1NIC)あたり最大 4 TCP/IP Connection 1セッションあたり 既定で 32 Connection NIC Teaming CPU NIC Teaming SWITCH SMB Multi. Core Core SMB Multi. RSS NIC tNIC tNIC NIC RSS Core Core RSS NIC NIC RSS Core Core (Continued from previous hidden slide) SMB3.0には、スケールアウトファイルサーバーの基盤となる様々なテクノロジーが含まれています。 SMB スケールアウト SMBスケールアウトにより、ファイルサーバークラスター内のすべてのノードが直接、かつ同時にアクセスできるファイル共有を作成することができる。 その結果、ファイルサーバーのロードバランスやネットワーク帯域の利用を改善することができる。そして、その結果サーバーアプリケーションのパフォーマンスが最適かされる。SMBスケールアウトを 使用するには、CSV V2が必須であり、これはWindows Server 2012に実装されている。 SMB透過フェールオーバー SMB 透過フェールオーバーを使用すると、管理者は、ファイル共有にデータを格納しているサーバー アプリケーションを中断することなく、 ファイル共有をノード間で移動して (汎用ファイル サーバーの場合)、ファイル サーバーのフェールオーバー クラスター内のノードのハードウェアまたはソフトウェアの保 守を行えます。 移動が発生すると、スケールアウト ファイル サーバーの場合、クライアントはクラスター内の別のノードに再接続されます。 また、クラスター ノードでハードウェアまたはソフトウェアの障害が発生した場合は、SMB 透過フェールオーバーによって、ファイル共有は別のクラスター ノードに フェールオーバーされます。 このとき、ファイル共有にデータを保存しているサーバー アプリケーションに中断は発生しません。フェールオーバーはサーバー アプリケーションから透過で、エラーが アプリケーションまで影響することはありません。 自動再接続時に、非常にわずかな遅延がネットワーク I/O で発生するだけです。 SMB マルチチャネル SMB クライアントと SMB サーバー間で複数のパスが使用可能である場合、SMB マルチチャネルを使用すると、ネットワーク帯域幅の集約とネットワーク フォールト ト レランスを実現できます。 これにより、サーバー アプリケーションは利用可能なすべてのネットワーク帯域幅を完全に活用できると共に、ネットワーク障害からの復元力を確保できます。 SMB ダイレクト SMB ダイレクト機能では、特殊なネットワーク アダプターを使用します。このアダプターはリモート ダイレクト メモリ アクセス (RDMA) 機能を搭載し、待機時間が非常 に短く、CPU をほとんど使用せずに最高速度で動作できます。この機能により、Hyper-V や SQL Server などのワークロードを処理する際に、ローカル記憶域への接 続時に匹敵するパフォーマンスをリモート ファイル サーバーで達成できます。 サーバー アプリケーション用のパフォーマンス カウンター: パフォーマンス カウンターは、I/O サイズ、I/O 待機時間、IOPS などについての詳細な情報を提供します。 SQL Server のデータベース管理者または Hyper-V の管理者は、これらの情報を基に、データが格納されている SMB ファイル共有のパフォーマンスを分析できます。 SMB パフォーマンスの最適化: SMB3 クライアントおよび SMB3 サーバーが、SQL Server オンライン トランザクション処理 (OLTP) などのサーバー アプリケーションで 一般的な、小規模なランダム読み取り/書き込み (I/O) 向けに最適化されています。また、SMB は大きな MTU (1 MB SMB メッセージ サイズ) を既定でサポートするよ うになったので、SQL Server データ ウェアハウス、データベースのバックアップと復元、仮想ハード ディスクの展開とコピーなどの、大規模なシーケンシャル転送のパ フォーマンスが大幅に向上します。 PowerShell を使用した管理: Windows PowerShell を使用して、ファイル サーバーの SMB をコマンド ラインからエンド ツー エンドで管理できます。 SMB リモートファイルストレージ Hyper-V はSMB3.0 によってVHD ファイル(スナップショット含む)を SMB 共有に格納し、SMBプロトコルでアクセスできるようになりました。ちなみに、SQL Server 2008 R2 では、SMB共有にデータ ベースを格納できるようになっている。 RSS NIC NIC RSS Core Core SMB コネクション RSS: Receive-side scaling ※ NIC チーミングで RDMA(Remote Direct Memory Access) はサポートされていない

44 SMB 3.0 マルチチャネルを使用するための条件
必要条件 Windows Server 2012 または Windows 8 が動作していること 少なくとも以下の 1 つの構成が有効であること 複数のネットワークアダプターを実装している 少なくとも1 つのネットワークアダプターが RSS (Receive Side Scaling) をサポート 少なくとも2 つのネットワークアダプターが NIC チーミング構成であること 少なくとも1 つのネットワークアダプターが RDMA (Remote Direct Memory Access) をサポートしていること SMB マルチチャネルが使用できない構成 1枚の RSS 非対応ネットワークアダプターしか実装していない スピードの異なるネットワークアダプター インストール手順 Windows Server 2012 と Windows 8 で自動的に有効になる Windows PowerShell を使用して有効/無効を切り替えられる Requirements SMB Multichannel requires the following: At least two computers running Windows Server 2012 or Windows 8. At least one of the configurations below: Multiple network adapters One or more network adapters that support RSS (Receive Side Scaling) One of more network adapters configured with NIC Teaming One or more network adapters that support RDMA (Remote Direct Memory Access) Sample Configurations that do not use SMB Multichannel The following are sample network configurations that do not use SMB Multichannel: Single non-RSS-capable network adapters. This configuration would not benefit from multiple network connections, so SMB Multichannel is not used. Network adapters of different speeds. SMB Multichannel will choose to use the faster network adapter. Only network interfaces of same type (RDMA, RSS or none) and speed will be used simultaneously by SMB Multichannel, so the slower adapter will be idle. Installation SMB Multichannel is enabled by default. There is no need to install components, roles, role services or features. The SMB client will automatically detect and use multiple network connections if a proper configuration is identified.

45 シングル NIC の場合 SMB Client SMB Client SMB Server SMB Server
1セッション、マルチチャネル無し 1セッション、マルチチャネル利用 複数のTCP/IPコネクションにより NIC の帯域を使い切る RSS が処理をサポート 1NIC あたり、4コネクション(規定値) NIC の帯域を使いきれない 1 core のみ使用 SMB Client SMB Client CPU CPUの使用状況 CPU CPUの使用状況 RSS NIC NIC SWITCH SWITCH This typical configuration involves an SMB client and SMB Server configured with a single 10GbE NIC. Without SMB multichannel, if there is only one SMB session established, SMB uses a single TCP/IP connection, which naturally gets affinitized with a single CPU core. If lots of small IOs are performed, it’s possible for that core to become a performance bottleneck. Most NICs today offer a capability called Receive Side Scaling (RSS), which allows multiple connections to be spread across multiple CPU cores automatically. However, when using a single connection, RSS cannot help. With SMB Multichannel, if the NIC is RSS-capable, SMB will create multiple TCP/IP connections for that single session, avoiding a potential bottleneck on a single CPU core when lots of small IOs are required. SMB Server SMB Server NIC NIC RSS CPU CPU

46 複数 NIC の場合(チーミング無し) SMB Client SMB Client SMB Client SMB Server
1セッション、マルチチャネル利用 1セッション、マルチチャネル無し NICの自動フェールオーバーをサポート 複数の RSS NIC により帯域幅が増加 (最大32コネクション ※1NICは既定で4コネクション) RSS非サポートNICの場合はNICごとに1コネクション 帯域を使いきれない 1枚のNICを使用 RSS 対応の場合 RSS 非対応の場合 SMB Client SMB Client SMB Client CPU CPU RSS RSS NIC NIC NIC NIC NIC NIC SWITCH SWITCH SWITCH SWITCH SWITCH SWITCH When using multiple NICs without SMB multichannel, if there is only one SMB session established, SMB creates a single TCP/IP connection using only one of the many NICs available. In this case, not only it’s not possible to aggregate the bandwidth of the multiple NICs (achieve 2Gbps when using two 1GbE NICs, for instance), but there is a potential for failure if the specific NIC chosen is somehow disconnected or disabled. With Multichannel, SMB will create multiple TCP/IP connections for that single session (at least one per interface or more if they are RSS-capable). This allows SMB to use the combined NIC bandwidth available and makes it possible for the SMB client to continue to work uninterrupted if a NIC fails. SMB Server SMB Server SMB Server NIC NIC NIC NIC NIC NIC RSS RSS CPU CPU

47 1枚または複数の RDMA NIC の場合 SMB Client SMB Client SMB Server SMB Server
1セッション、マルチチャネル無し 1セッション、マルチチャネル利用 自動フェールオーバーされない 帯域を使い切れない 1 TCP/IP コネクション(NIC1枚のみ) SMB over RDMA は無効 NICの自動フェールオーバー 複数の RDMA により帯域幅が倍増 複数のRDMAコネクション(最大 2 connections /1NIC) SMB Client SMB Client RDMA NIC RDMA NIC RDMA NIC RDMA NIC SWITCH SWITCH SWITCH SWITCH SWITCH SMB Multichannel is the feature responsible for detecting the RDMA capabilities of NICs to enable the SMB Direct feature (SMB over RDMA). Without SMB Multichannel, SMB will use regular TCP/IP with these RDMA-capable NICs (they all provide a TCP/IP stack side-by-side with the new RDMA stack). With SMB Multichannel, SMB will detect the RDMA capability and create multiple RDMA connections for that single session (two per interface). This allows SMB to use the high throughput, low latency and low CPU utilization offered by these RDMA NICs. It will also offer fault tolerance if you’re using multiple RDMA interfaces. SMB Server SMB Server RDMA NIC RDMA NIC RDMA NIC RDMA NIC

48 NICチーミング SMB Client SMB Client SMB Server SMB Server
自動フェールオーバーされる 帯域を使い切れない 1 TCP/IP コネクション(NIC1枚のみ) NICの自動フェールオーバー(NICチーミングにより高速) マルチコネクションによる帯域幅増加 ※ただしNICが1枚に見えるためコネクションはそれぞれのNICで分割 SMB Client SMB Client Teaming Teaming RSS RSS NIC NIC NIC NIC SWITCH SWITCH SWITCH SWITCH SWITCH Windows Server 2012 supports the ability to combine multiple NICs into one using a new feature commonly referred to as NIC teaming. Although a team always provides fault tolerance, SMB without Multichannel will create only one TCP/IP connection per team, leading to limitations in both the number of CPU cores engaged and the use of the full team bandwidth. SMB Multichannel will create multiple TCP/IP connections, allowing for better balancing across CPU cores with a single SMB session and better use of the available bandwidth. NIC Teaming will continue to offer the failover capability, which will work faster than using SMB Multichannel by itself. NIC Teaming is also recommended because it offers failover capabilities to other workloads that do not rely on SMB and therefore cannot benefit from the failover capabilities of SMB Multichannel. SMB Server SMB Server NIC NIC NIC NIC RSS RSS Teaming Teaming ※ RDAM はNICチーミングが使用できない

49 まとめ:マルチチャネル/RDMA/NIC Teaming の比較
スループット SMB フォールト トレランス SMB 以外の フォールト トレランス CPU 負荷低減 N/A シングル マルチ △△ RSS ▲▲ RDMA Here’s a table summarizing the different capabilities available when combining SMB Multichannel, RDMA (SMB Direct) and NIC Teaming. For non-RDMA NICs, your best bet is combining NIC Teaming with SMB Multichannel. This will give you the best throughput, plus fault tolerance for applications using SMB and other protocols. When using RDMA NICs, Load Balancing and Failover with NIC Teaming is not a good option, since it disables the RDMA capability of the NIC.

50 最大 1 Session/32 Connections
SMB セッション について NIC インターフェースあたりのコネクション RSS NIC :(規定値)4 TCP/IP コネクション RDMA NIC :2 RDMA コネクション その他のNIC :1 TCP/IP コネクション クライアント―サーバー間のコネクション数は 規定値 32(セッション数は1) Client SMB SMB Server 最大 1 Session/32 Connections SMB Multichannel will use a different number of connections depending on the type of interface: For RSS-capable interfaces, 4 TCP/IP connections per interface are used For RDMA-capable interfaces, 2 RDMA connections per interface are used For all other interfaces, 1 TCP/IP connection per interface is used There is also a limit of 8 connections total per client/server pair which will limit the number connections per interface. For instance, if you have 3 RSS-capable interfaces, you will end up with 3 connections on the first, 3 connections on the second and 2 connections on the third interface. Microsoft recommends that you keep the default settings for SMB Multichannel. However, those parameters can be adjusted. Microsoft recommends keeping default settings, but the parameters can be modified

51 SMB マルチチャネルの有効化/無効化 無効にする SMB サーバー側:
Set-SmbServerConfiguration -EnableMultiChannel $false Set-SmbClientConfiguration -EnableMultiChannel $false 有効にする Disabling SMB Multichannel is enabled by default and there is typically no need to disable it. However, if you want to disable SMB Multichannel (for testing purposes, for instance), you can use PowerShell. On the SMB server side: Set-SmbServerConfiguration -EnableMultiChannel $false On the SMB client side: Set-SmbClientConfiguration -EnableMultiChannel $false Disabling the feature on either the client or the server prevents its use. Re-enabling You can re-enable SMB Multichannel after you disabled it: Set-SmbServerConfiguration -EnableMultiChannel $true Set-SmbClientConfiguration -EnableMultiChannel $true You need to enable the feature on both the client or the server to start using it again. SMB サーバー側: SMB クライアント側: Set-SmbServerConfiguration -EnableMultiChannel $true Set-SmbClientConfiguration -EnableMultiChannel $true

52 SMB 関連パラメタの編集 クライアント/サーバー間のコネクション数
Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n> ※規定値 8 RSS NIC のコネクション数 Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n> Total Connections per client/server pair You can configure the maximum total number of connections per client/server pair using the PowerShell cmdlet: Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n> Connections per RSS-capable NIC You can configure the number SMB Multichannel connections per RSS-capable network interface using the PowerShell cmdlet: Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n> Connections per RDMA-capable NIC It is even less likely that you’ll need to adjust the number of connections per RDMA-capable interface. That can be configured via a registry key using PowerShell: Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force Connections for other types of NIC For NICs that are not RSS-capable or RDMA-capable, there is likely no benefit of using multiple connections. In fact, this will likely reduce your performance. However, for troubleshooting purposes, there is also a registry key to change the default settings of 1 connection per setting. Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force RDMA NIC のコネクション数 Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force それ以外のNICのコネクション数 Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force

53 SMB マルチチャネルの検証手順 1. アダプターの構成を確認する (サーバー、クライアント両方で実施)
Get-NetAdapter Get-NetAdapterRSS Get-NetAdapterRDMA Get-SmbClientConfiguration | Select EnableMultichannel Get-SmbClientNetworkInterface You can use PowerShell to verify you are using SMB Multichannel. Step 1: Verify network adapter configuration Use the following PowerShell cmdlets to verify you have multiple NICs and/or to verify the RSS and RDMA capabilities of the NICs. Run on both the SMB server and the SMB client. Get-NetAdapter Get-NetAdapterRSS Get-NetAdapterRDMA Step 2: Verify SMB configuration Use the following PowerShell cmdlets to make sure SMB Multichannel is enabled, confirm the NICs are being properly recognized by SMB and that their RSS and RDMA capabilities are being properly identified. On the SMB client, run the following PowerShell cmdlets: Get-SmbClientConfiguration | Select EnableMultichannel Get-SmbClientNetworkInterface On the SMB client, runthe following PowerShell cmdlets: Get-SmbServerConfiguration | Select EnableMultichannel Get-SmbServerNetworkInterface Step 3: Verify the SMB connection On the SMB client, start a long-running file copy to create a lasting session with the SMB Server. While the copy is ongoing, open a PowerShell window and run the following cmdlets to verify the connection is using the right version of SMB and that SMB Multichannel is working: Get-SmbConnection Get-SmbMultichannelConnection Get-SmbMultichannelConnection -IncludeNotSelected Get-SmbServerConfiguration | Select EnableMultichannel Get-SmbServerNetworkInterface 3. SMB 接続を確認する(ファイルのコピー中に実行) Get-SmbConnection Get-SmbMultichannelConnection Get-SmbMultichannelConnection -IncludeNotSelected

54 SMB マルチチャネル関連のイベントログ [イベントビューアー] – [アプリケーションとサービスログ] – [マイクロソフト] – [Windows] – [SMB Client] – [Operational] Event ID でフィルタ PowerShell から ~ SMB クライアント エラーだけ抽出するには SMB Multichannel events are recorded in the SMB Client log. You can look at this log using the Event Viewer or query it using PowerShell. Here’s how to do it: Option 1: Using Event Viewer To view the SMB Multichannel events using Event Viewer, use the following steps on the SMB Client: Open Server Manager In Server Manager, click on “Tools”, then “Event Viewer” In Event Viewer, expand the tree on the left to show “Applications and Service Logs”, “Microsoft”, “Windows”, “SMB Client”, “Operational” Click on “Filter Current Log…” on the Actions pane on the right and enter “ ” on the filter for Event IDs. To view only errors: Click on “Filter Current Log…” on the Actions pane on the right and click on the checkbox labeled “Errors”. Option 2: Using PowerShell To view the SMB Multichannel events using PowerShell, use the following cmdlet on the SMB Client: Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le } To list only errors, use the following cmdlet: Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le –and $_.Level –eq 2 } Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le } Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le –and $_.Level –eq 2 }

55 記憶域スペースとシンプロビジョニング

56 記憶域スペースとシンプロビジョニング 記憶域スペース Windows Server 2012 で実装された新しい仮想記憶域
仮想化テクノロジーを使用して低コストでストレージを拡張 未使用領域を寄せ集めてプーリング シンプロビジョニング ジャストインタイムで割り当て、必要なくなれば解放 記憶域スペースとの統合 記憶域スペースとは、Windows Server 2012 の新しい仮想化機能です。この機能によって、物理環境や 仮想環境においてれた使用可能な高可用性記憶域に関するコストが大幅に削減されます。記憶域ス ペースは、プーリング モデルに基づきます。記憶域プールは、手頃な価格の市販のハードウェアを使用 して、展開のニーズに応じて柔軟に作成できます。記憶域スペースは、既存のプールから切り出され、 Windows で仮想ディスクとして表示されます。また、Windows で利用可能なその他の機能とうまく統合 できるため、さまざまなシナリオにおいて、ビジネスクリティカルな記憶域に対してコスト効率に優れたプ ラットフォームを提供することができます。 記憶域スペースは外部の記憶域サブシステムを必要としないため、可用性、信頼性、スケーラビリティに 優れた記憶域の取得コストおよび管理コストが大幅に削減されます。 また、プールやスペースを需要に応じて拡張することができるので、最終的に必要な記憶域容量を事前 に予想する管理者の負荷が軽減されます。記憶域スペースは、さまざまなシナリオに対応するよう設計さ れた機能セットを備えています。それらの機能には、ジャスト イン タイムのプロビジョニング、ミラーリング とパリティによる障害からの復元性、インテリジェントなエラー訂正によるより高いデータ整合性、ホストさ れた展開に対するマルチテナント機能のサポート、フェールオーバー クラスタリング機能で提供されるク ラスターの共有ボリューム (CSV) との統合による可用性とスケールアウトなどがあります。

57 どうしてこうなったのか? 記憶域スペースはストレージの高可用性を生かしたさまざまな用途を想定している 記憶域プール
小容量のSSDなど、複数のハードディスクを1つに結合 データの増加に伴い、動的に容量を拡張可能 マルチテナントと柔軟な制御 ストレージプール単位に管理者を定義することができる Active Directory のセキュリティモデルと統合されており、ACLによるアクセス管理が可能 復元力を備えた記憶域 記憶域スペースでは3種類の構成が可能(ストライプ、ミラー、パリティ) ホットスペアによる自動修復 スケーラブルな記憶域スペースと記憶域プール 物理ドライブを記憶域プールに集約する主な利点の 1 つは、管理者による管理を必要とするオブジェクトの数を削 減できることです。記憶域スペースは、多くの物理ドライブを集約するためにスケール アップできるだけでなく、少数 のプールのみを必要とする管理者にとっても引き続き十分な柔軟性を提供します (記憶域プールに対処する頻度は 低いほど良いといえます)。これは、プール上で作成される記憶域スペースにも当てはまります。管理者は、必要な 数だけのプールを構成できます。 柔軟な制御 記憶域スペースで使用されるプーリング モデルにより、柔軟できめ細かな管理が実現します。管理の定義と委任を プール単位で行うことができるため、異なる管理者をそれぞれのプールおよびそれぞれのスペースに割り当てるこ とが可能です。また、記憶域スペースは Active Directory および Windows セキュリティ モデルと完全に統合され るので、使い慣れたモデルやツールを管理に利用できます。 復元力を備えた記憶域 ユーザー データの価値があらゆる顧客セグメントにおいて高まっています。ドライブ エラーからデータの損失が発 生すると、コストなどで大きな影響が及ぶこともめずらしくありません。そこで、記憶域スペースは、次のような多くの メカニズムを通じて記憶域の復元性を提供します。 • シンプル: ストライピング • ミラー: 2 方向および 3 方向ミラーリング • パリティ: パリティ付きストライピング 管理者は、記憶域スペースから 2 方向ミラーおよびパリティによる冗長性を得ることで、1 つのドライブでエラーが 発生してもデータにアクセスできるようになります。さらに、3 方向ミラーでは、2 つのドライブでエラーが発生しても データへのアクセスが可能です。これにより、企業は、手頃な価格の市販のドライブ アレイを展開しながら、ドライブ のエラーやクラッシュの発生に対するトレランスを備えることができます。 多様な復元性 記憶域スペースおよび記憶域プールの作成を容易にするために、管理者は記憶域スペース機能によって、2 方向 または 3 方向ミラーリングのような既定の冗長性の種類や、固定またはジャスト イン タイムのいずれかのプロビ ジョニングの種類の選択などの機能を設定できます。これにより、調整した一連の冗長性特性を、作成するすべて のスペースで使用できるようになります。管理者がプールの作成時にこれらの詳細を省略すると、記憶域スペース ではその既定値が使用されます。ただし、管理者は、スペースの作成時に優先する冗長性特性 (シンプル、ミラー、 またはパリティ) を定義する必要があります。 クラッシュからの復元性 クラッシュが発生すると、記憶域スペースはホストしているデータの整合性を保護します。実行される上書きペイ ロードおよびデータの再同期から保存データが影響を受けないようにするだけでなく、必要であれば、クラッシュから の回復時にすばやく完了させます。 柔軟な冗長性の修復 プール内でのドライブ エラーによって、プール内の記憶域スペースの冗長性が低下することがあります。ドライブ エ ラー時に 1 つまたは複数のスペースの冗長性が低下した状態になると、記憶域スペースは、そのプールに 1 つま たは複数のホット スペア ドライブあるいは十分な記憶域容量があれば、影響を受けたスペースの冗長性の自動修 復を有効にします。さらに、記憶域スペースは、プール内の特定のドライブを "ホット スペア" として指定する機能を サポートしているため、プール内の他の場所でドライブ エラーが発生した場合には、すぐにそのドライブをオンライ ン化することができます。これにより、ドライブ エラーからの迅速な回復が可能になり、すべてのデータの適切な保 護が保証されます。

58 どうしてこうなったのか?(続き) 継続的な可用性 フェールオーバークラスターとの連携により継続的で可用性の高いサービスが提供できる
効率的な記憶域の消費 複数のビジネスアプリケーションでストレージのキャパシティを共有 必要なくなった領域を別のアプリケーションで再利用 シンプルな管理 サーバーマネージャーからの容易な管理 リモート管理 スクリプト(Windows PowerShell)による管理の自動化 既存のバックアップ、リストア機能との整合性を維持 経費節減を目的として、多くのワークロードを少数のサーバーに統合する企業が増えており、サー バー エラー時のフェールオーバー クラスタリングの価値が認識されるようになっています。クラス ター化しない場合、1 台のサーバーでエラーが発生すると、複数のワークロードおよびそれらのデー タセットの可用性が阻害される可能性があります。記憶域スペースは、フェールオーバー クラスタリ ングにおけるフェールオーバーをサポートし、この種のエラーによってデータの可用性が失われない ように保護します。これにより企業は、個々のサーバーに障害が発生してもデータセットの可用性が 維持されることを確信すると同時に、より低額な市販の記憶域ハードウェアを展開して、複数のワー クロードを 1 つのフェールオーバー クラスターに統合できるようになります。 スケーラブルなフェールオーバー クラスタリング 記憶域スペースは、2 ノード クラスターでのフェールオーバーだけでなく、3 ノード以上のクラスターで構 成されるマルチ サーバー シナリオともうまく連携するよう設計されています (フェールオーバー クラス ターでサポートされるノードの最大数は、63 台です)。 迅速なフェールオーバー処理 記憶域スペースを使用することで、管理者は、2 ノード フェールオーバー クラスター内の 1 台のサー バーでエラーが発生した場合でも、残り 1 台のクラスター ノードを使用してすべてのスペース内のデータ にアクセスできます。また、3 台以上のノードから成るクラスターの場合、そのフェールオーバーの単位は 柔軟になります。 容易なクラスター リソースの構成 記憶域のプーリングの主な利点の 1 つは、管理者による管理を必要とする記憶域オブジェクトの数を削 減できることです。つまり、記憶域スペースによって、プールをクラスター リソースとして作成できるように なります。これにより、含まれるすべての記憶域スペースの追加や削除を一度に行えるので、管理者の 利便性が高まります。 効率的な記憶域容量の消費 記憶域容量の共有を容易にするために、各仮想プロビジョニング スペースは、実際にデータをホストする うえで必要な容量のみを消費します。つまり、容量がジャスト イン タイムで割り当てられ、特定のスペー スが使用しなくなった容量は解放されます。記憶域スペースの機能の多くは、データセットの増加に合わ せた高効率な記憶域容量の消費を自然と促すようになっています。ただし、通常増加する傾向にあると はいえ、一時的な縮小がみられる可能性がすべてのデータセットにあり、場合によってはそれが永久的 な縮小となることさえあります。記憶域スペースは、縮小したデータセットによって記憶域容量が誤って消 費され、記憶域プールにおける自然な容量の共有が損なわれることがないようにします。 プール内での柔軟性 記憶域スペースを利用すると、管理者は、固定プロビジョニング スペースと仮想プロビジョニング スペー スの両方を同じプール内で作成できるようになります。また、保証の期限切れやデータセットの増加と いった避けがたい状況の結果を想定して、プールの有効期間内に何度もプールへの物理ドライブの削除 や追加を行うことができます。使用可能な記憶域容量の消費量が Windows によって自動的に負荷分散 されます。

59 記憶域スペースの要件 タイプ スタンドアロンファイルサーバー SATA Supported SCSI iSCSI SAS USB
Windows Server 2012 がインストールされていること 記憶域プールの作成用に 1 つの物理ドライブ 復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要 パリティまたは 3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要 ドライブは空であり、フォーマットされていないこと 他のプールに使用されていないこと ドライブの容量が 10 GB 以上あること サポートされているドライブタイプ タイプ スタンドアロンファイルサーバー フェールオーバークラスター SATA Supported SCSI iSCSI SAS USB 記憶域スペース機能を活用するための要件は、次のとおりです。 Windows Server 2012 がインストールされていること 記憶域プールの作成用に 1 つの物理ドライブ、復元性のあるミラー化された記憶域ス ペースの作成用に 2 つ以上の物理ドライブが必要 パリティまたは 3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要 ドライブは空であり、フォーマットされていないこと ドライブの容量が 10 GB 以上あること ドライブは、次のようなさまざまなバス インターフェイスを使用して接続できます。 SATA: Serial Advanced Technology Attachment (フェールオーバー クラスターで は使用できません) SCSI: Small Computer System Interface (フェールオーバー クラスターではサポー トされていません) iSCSI: Internet Small Computer System Interface SAS: Serial Attached SCSI USB: ユニバーサル シリアル バス (フェールオーバー クラスターでは使用できませ ん) 1記憶域プール内のディスクの数:160 1記憶域プールの最大容量:450TB 1記憶域プール内の記憶域スペース:128 1サーバー内の記憶域プールの数:4

60 シャドウコピードライバー Volsnap.sys
記憶域スペースの管理アーキテクチャ アプリケーション I/O 記憶域スペース 管理プロバイダー ファイルシステム シャドウコピードライバー Volsnap.sys ボリューム マネージャー 仮想記憶域ポートドライバ Spaceport.sys パーティション マネジャー ClassPnP クラスドライバー パーティションが作成されているデバイスは検出されない MPIOドライバー ポート/ミニポート The presentation of LUNs as disks to the operating system is a function of the storage stack. As an example, suppose a drive array (e.g. Just a Bunch of Drives (JBOD)) is connected to Windows Server 2012 and four 100 Gigabyte LUNs are presented. The Windows storage stack along with the requisite third party drivers to support connectivity to the storage solution allows for proper detection of the drives. Opening the Disk Management interface, the four disks are brought online and initialized. No partitioning is required for the disks. If any disk is partitioned, Storage Spaces will not use it. Opening Device Manager and expanding Disk Drives, the four disks are verified as being properly registered with the operating system. To this point, we have only relied on part of the storage stack. If the attached storage meets the requirements for Storage Spaces, the Primordial Pool will be populated in the File and Storage Services interface. バス ドライバー JBOD

61 記憶域スペースの構造 記憶域プール 切り出し 統合 記憶域スペース 物理ディスク または 仮想ハードディスク 仮想ディスク

62 物理ディスクの代わりにVHD(X)ファイルを使用するには

63 冗長構成 冗長性の種類 説明 シンプル データが複数の物理ディスクにまたがってストライプ化されま す。これにより、容量が最大限に利用され、スループットが向 上します。 ミラー データが 2 つまたは 3 つの物理ディスクに複製されます。これ により、信頼性が高まり、容量は 50 ~ 66% 減少します。 パリティ データおよびパリティ情報が複数の物理ディスクにまたがって ストライプ化されます。これにより、信頼性が高まり、容量は 13 ~ 33% 減少します。 [Review the types of data redundancy available for Storage Spaces and the pros/cons of each]

64 増加し続けるストレージの使用量と対策 急激なストレージの増加 従来 シングルインスタンスストレージ NTFS データ圧縮
ハード ディスク ボリュームにある重複したファイルを管理するファイル システム フィルタ。このフィルタにより、ファイルの 1 つのインスタンスを中央のフォルダにコピーし、重複したファイルは中央のファイルへのリンクに置き換えることにより、ディスクを節約する。 NTFS データ圧縮 Windows Server 2012 Data Dedupplication(データ重複除去) ファイルの重複を削減しつつ、従来通りのアクセスを提供 Source: IDC Worldwide File-Based Storage Forecast: Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December 2011

65 Deduplication のアーキテクチャ
重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位(32~128kb)に分割され、System Volume Information Store 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去されるため、容量を大幅に削減することができる。 File1 Metadata ファイル名 属性… Data A B C M N File2 Metadata Data A B C X Y ファイル名 属性… Deduplicate Filter File1 チャンク ストリーム Metadata チャンクストア マッピング情報 A B C M N ファイル名 属性… スパース リパース ポイント X Y File2 チャンク ストリーム Metadata マッピング情報 ファイル名 属性… スパース リパース ポイント -- -- ・・・・・・・

66 Deduplication のメリット:容量の節約率
Source: Sample File Server Production data (12 Servers, 7TB)

67 Deduplication のメリットパフォーマンスへの影響
Tech Ready 15 3/6/2017 Deduplication のメリットパフォーマンスへの影響 最適化処理の性能: 最大 20-35MB/s 1コアあたり 100GB/h(マルチコアを同時利用可能) Read/Write Access: No impact VHD copy ( x) VHD update (1.3x) キャッシュが効いている © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

68 Deduplication の留意点 未サポート Boot, System, FAT, ReFS, クラスター共有ボリューム(CSV)
Tech Ready 15 3/6/2017 Deduplication の留意点 未サポート Boot, System, FAT, ReFS, クラスター共有ボリューム(CSV) ネットワークドライブ 拡張属性を持ったファイル 暗号化されたファイル 32Kb未満のファイル その他 頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。 向いてる ユーザー用のファイルサーバー 仮想マシンライブラリ(VHDがオフライン) ソフトウェア展開用の共有 SQL Server や Exchange Server のバックアップ用ボリューム 向いてない Hyper-V ホスト(VHDがオンライン) VDI(VHDがオンライン) WSUS 動作中の SQL Server や Exchange Server 1TBを超える(超えそうな)ファイル © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

69 Windows PowerShell からの管理
さまざまな場面で、SMAPI(Storage Management API) にアクセスするための PowerShell コマンドレットを使用できるため、管理の自動化が容易に可能 PS C:\> Get-Command *storage* CommandType Name ModuleName Function Get-StorageJob Storage Function Get-StoragePool Storage Function Get-StorageProvider Storage Function Get-StorageReliabilityCounter Storage Function Get-StorageSetting Storage Function Get-StorageSubSystem Storage Function New-StoragePool Storage Function New-StorageSubsystemVirtualDisk Storage Function Remove-StoragePool Storage Function Reset-StorageReliabilityCounter Storage Function Set-StoragePool Storage Function Set-StorageSetting Storage Function Set-StorageSubSystem Storage Function Update-HostStorageCache Storage Function Update-StorageProviderCache Storage Cmdlet Add-VMStoragePath Hyper-V Cmdlet Get-VMStoragePath Hyper-V Cmdlet Move-VMStorage Hyper-V Cmdlet Remove-VMStoragePath Hyper-V All Provisioning and management of storage can be done using PowerShell. Although the new Server Manager user interface in Windows Server provides a very convenient and intuitive workflow to provision and manage storage, interaction with PowerShell is required to access many of the advanced features afforded by the new Storage Management application programming interface. For example, you can easily create a virtual disk in the user interface; however, the wizard only allows setting the following parameters: Underlying storage pool name Virtual disk name Resiliency setting (Simple, Mirror, or parity) Provisioning type (Thin or Fixed) Virtual disk size In contrast, when creating a virtual disk via PowerShell, you can specify additional parameters to tune both resiliency and performance. Number of columns: the number of columns the virtual disk contains Number of data copies: Number of complete copies of data that can be maintained Disk interleave: Number of bytes forming a stripe Physical disks to use: Specific disks to use in the virtual disk

70 スケールアウトファイルサーバー

71 ファイルサーバーの構成イメージ 従来のファイルサーバー 汎用ファイルサーバー スケールアウトファイルサーバー フェールオーバークラスター
Active Passive Active Active 共有 共有 共有 共有 共有 データ データ データ

72 2種類の ファイルサーバーシナリオ IW ワーカー用の共有ファイル サービスおよび記憶域サービス 通常のファイルサーバー
汎用ファイルサーバー (フェールオーバークラスター) アプリケーション ワークロード用のファイル サービスおよび記憶域サービス スケールアウトファイルサーバー(フェールオーバークラスター) サーバー アプリケーションのデータ格納用にファイル サーバー共有を使用 (基本的に SQL Server、Hyper-V 用) 高価な SAN 接続のコスト削減。 記憶域管理者が、各アプリケーション サーバーをオンラインにするための LUN を準備する必要がなく なり、アプリケーション サーバーが各記憶域にアクセスできるようにファブリックを再構成する必要も なくなるため、記憶域管理コストが削減される。 モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動で きる。 IW ワーカー用のファイル サービスおよび記憶域サービスのシナリオ クライアントのシナリオは、従来からのファイル サーバーの使用法であり、管理者はエンド ユーザー用にファイル サーバー 上に共有を構成します。これらのファイル共有は通常、次のように使用されます。 エンド ユーザーがファイルおよびドキュメントをホーム ディレクトリ内に格納する。 エンド ユーザーがチーム共有を介して他のユーザーとファイルを共有する。 ファイルを社内全体に公開し、必要に応じてアクセスできるようにする。 これは非常に一般的なシナリオであり、企業は多くのファイル サーバーを展開させてきました。企業の多くは、ファイル サー バーの不規則な拡大に伴い、展開方法を評価し直すようになり、以下を目標にファイル サーバーの統合を進めています。 ハードウェア使用率の向上によるコスト削減。 床面積、電力および冷却装置の削減によるデータ センターのコスト削減。 管理効率の向上。 ファイル サーバーを統合すると、多数のユーザーが影響を受けるようになるので全体的または部分的な停止による影響はよ り重大になります。さらに、データが統合されるので、記憶域のスケーラビリティおよび容量の要件が増大します。このため、 顧客はコンポーネント、サーバー、およびインフラストラクチャの障害から容易に回復できる高可用性ファイル サーバー ソ リューションを求めるようになりました。 さらに、管理者は、エンド ユーザーに対するファイル サービスの可用性に影響を与えることなく、所定勤務時間内にソフト ウェアの更新またはハードウェアのアップグレードなどのシステム メンテナンスを実行する機能を望んでいます。 アプリケーション ワークロード用のファイル サービスおよび記憶域サービスのシナリオ サーバー アプリケーションのシナリオは、ファイル サーバー (NAS ボックス) のより新しい使用法であり、管理者は、サー バー アプリケーションのデータ格納用にファイル サーバー上に共有を構成します。このようなアプリケーションの一例は、 SQL Server 2008 R2 です。SQL Server 2008 R2 は、SMB (任意のバージョン) のファイル共有への SQL データベース ファイ ルの格納をサポートしています。さらに、Hyper-V により、Windows Server 2012 で導入された SMB (SMB 3.0) のファイル 共有に仮想マシン ファイルを配置するサポートが追加されます。 顧客は、下記のようなさまざまな理由で、ファイル共有上にサーバー アプリケーション データを格納することに関心を持って います。 エントリ レベル サーバーのコストの 2 倍になることもある、高価な SAN 接続ハードウェア (あれば役立つが必須ではな い) のコストが不要になる。 記憶域管理者が、各アプリケーション サーバーをオンラインにするための LUN を準備する必要がなくなり、アプリケー ション サーバーが各記憶域にアクセスできるようにファブリックを再構成する必要もなくなるため、記憶域管理コストが 削減される。 モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動できる。 ファイル サーバーを使用してサーバー アプリケーション データを格納することは、これら利点をもたらすと同時に、顧客が記 憶域アレイに期待する信頼性、可用性、および保守性の要件 (マルチパス、透過的コントローラー フェールオーバー、ディス ク障害に対するデータ保護、データの整合性などの機能) を実現するか、それを上回るものを提供する必要があります。さら に高度なシナリオでは、記憶域アレイは、データ レプリケーションによってサイト障害からデータを保護する機能も提供できま す。

73 スケールアウト ファイルサーバーとは ファイル サーバーをサーバーアプリケーションのデータストアに提供 ・Hyper-V(ゲストOS、スナップショットの格納先として) ・SQL Server(データストアとして) フェールオーバークラスターにより動的にファイルサービスの拡大や縮小が可能 CSV File System (CSVFS) 単一の永続的な名前空間(DNN)を提供し、NTFS をカプセルする スパースファイルを含めたデータファイルへのダイレクトアクセス BitLocker暗号化をサポート リダイレクトIOを使用せずにスナップショットやバックアップが可能 SMB 3.0 との密接な連携 SMB 3.0 SMB スケールアウト SMB 透過フェールオーバー SMB マルチチャネル SMB ダイレクト(RDMA) サーバーアプリ用の SMB パフォーマンスカウンター パフォーマンスの向上 Windows PowerShell からの管理 SMB リモート記憶域 スケールアウト ファイル サーバーとは、Windows Server 2012 において従来のファイル サーバーの役割の後継となる機能であり、ファイル サーバーの役割を完全に新しいレベルへと引き上げます (従来のファイル サーバーの役割も引き続き提供されます)。 スケールアウト ファイル サーバーは、Windows Server 2012 のフェールオーバー クラスターとSMB 3.0 を基盤にして構築されています。 フェールオーバー クラスタリングは、検証済みのエンタープライズ レベルの高可用性技術です。Windows Server 2012 では、フェールオーバー クラスタリングも、特に SQL Server および Hyper-V の ようなビジネス上重要な (HBI) エンタープライズ アプリケーション用に、継続的に使用可能 (CA) でスケーラブルなファイルベースのサーバー アプリケーション記憶域を提供するように設計されています。 スケールアウト ファイル サービスは、業界最先端の SMBv3.0 (サーバー メッセージ ブロック) スタックに依存しており、これにより今日の高性能記憶域環境で期待されている堅実で信頼性の高いパ フォーマンスおよび継続的可用性が実現されます。 主な利点 動的に容量を拡大縮小可能 フェールオーバー クラスターを管理するのは簡単です。SMB スケールアウトを使用すると、分散名前空間構成のフェールオーバー クラスターでこれが可能になります。 低コストで導入可能 スケールアウト SMB ファイル サーバー ソリューションは、2 つのノードという小さな規模で開始でき、そこから規模を拡大できます (現時点でSOFS は最大 8ノードをサポート、フェールオーバー クラスター自身は64ノードをサポート)。クラスター化されたスケールアウト システムを使用すると、ファイル サーバー機能に影響を与えることなく、ノードを追加および削除できます。 ジャスト イン タイムのスケーラビリティ スケールアウトのモジュール的な性質により、サーバー、電源、冷却装置などを購入する必要がありません。 このため、サーバーと記憶域の費用が削減され、管理が簡単になって運用経費も軽減され、記憶域使用率は最大化されます。 稼動率の向上 すべてのクラスター ノードが、すべてのスケールアウト ファイル共有に対する SMB クライアントの要求を受け入れ、対応できます。 このため、帯域幅と稼動率を向上できます。さらに、SMB クライアントに対応する能力は、クラスター ノードによって制限されることはなくなり、 基盤となる記憶域システムの能力によって制限されるようになります。 技術のスムーズなリフレッシュ 確立された Windows フェールオーバー クラスターおよび SMBv3.0 スタックが基盤です。 フェールオーバー クラスターは、汎用ファイル サーバーを使用して構成した場合、付加価値のある機能を Windows Server 2012 の顧客に提供すると同時に、引き続きレガシ クライアントの処理にも 対応できます。 単一ウィンドウ管理のエクスペリエンス — IT プロフェッショナルは、サーバー マネージャー コンソールを使用して、ファイル サーバー、記憶域、およびネットワークを表示して管理できます。 要約すると、スケールアウト ファイル サーバーを使用することによって、スケーラブルな SMB ソリューションを構築することが可能になり、あらゆる規模のビジネスにおいてファイル サーバー機能をス ケールアウトするという難題に対処することができます。スケールアウト ファイル サーバーと SMB スケールアウト機能の組み合わせは、Windows ファイル サーバーの顧客にとって重要な価値提案と なります。 クラスタ共有ボリューム(CSV)とスケールアウトファイルサーバー スケールアウト ファイル サーバーを実装するには、すべてのアプリケーション データ共有がクラスターの共有ボリューム v2 (CSVv2) でホストされている必要があります。 これは、SMB クライアントがクラスター内の任意のノードから、スケールアウト ファイル サーバー リソースのコンテキストで構成されたすべての共有にアクセスするための唯一の方法です (それを許可 するようにアクセス制御が適切に実装されている場合)。 クラスターの共有ボリューム (CSV) は、Windows Server 2008 R2 でフェールオーバー クラスターの機能として導入されました。 この機能は、特に Windows Server 2008 R2 の Hyper-V フェールオーバー クラスターの機能を向上させることを目的に設計されました。CSV ボリュームは、クラスター ノード間の仮想マシンのライブ マイグレーションをサポートするためには必要ではありませんが、この機能を使用して仮想マシン ファイルを格納すると、ライブ マイグレーションがより効率的になります。 Windows Server 2012 のフェールオーバー クラスターでは、CSV が向上しました。 Windows Server 2012 での CSV に関する主な目標は、CSV をより多くの役割に拡張すること、および CSV ボリュームのバックアップと復元機能を向上させることです。 CSVv2 には、次の機能があります。 - CSV 名前空間が、フェールオーバー クラスターのコア機能として既定で有効化されるようになり、CSV への記憶域の追加がより容易になりました。 - CSVv2 ボリュームにマウントされる CSV ファイル システム (CSVFS)。CSVFS は、次の機能を提供します。 クラスター化されたアプリケーション (SQL、Hyper-V) に対応するローカル ファイル セマンティクス NTFS 機能のサポート (トランザクション以外)。CSVv2 では引き続き NTFS パーティションが必要です。 ファイル データ アクセスのダイレクト I/O (スパース ファイルを含む) メタデータ I/O 操作をコーディネーター ノードにリダイレクト すべてのデータおよびメタデータへのアクセスをファイルと同期させ、エンド ツー エンドのデータの整合性を保証 データとメタデータの両方のアクセスにフォールト トレランスを提供 CSV ファイル (SMB/SRV など) にアクセスするアプリケーションのための便宜的ロック (oplock) をサポートして、CSVFS ファイル データのリモート キャッシングを実現 複数の CSVFS インスタンスがファイルへ同時にアクセスする際に oplock を利用してデータの整合性を保証 I/O リダイレクトやクラスター ノード間でのボリュームの移動を行うことなくリモート スナップショット (バックアップ) を実行する機能 仮想マシンの生成の向上 ファイル コピーのパフォーマンスの向上 マルチサブネットのサポート (ルーティング ネットワークを使用したマルチサイト クラスターの実装) SMB マルチチャネルおよび SMB ダイレクトとの統合。 これにより、クラスター内の複数のネットワークを経由する CSV トラフィックのストリーミングが可能になり、RDMA 搭載のネットワーク アダプターを活用できます。 このため、ボリュームがリダイレクト モード時の I/O のパフォーマンスが向上します。 サード パーティのフィルター ドライバー (ウイルス対策、継続的なデータ保護、バックアップ アプリケーション、データ レプリケーションなど) とのより適切な統合 CSV ボリュームの BitLocker 暗号化のサポート

74 なぜこうなったのか? 現状 Windows Server 2008 R2 時代から, 高可用性ファイルサービスはフェールオーバークラスターの CAP(クライアントアクセスポイント)によって提供されていた。これによって、クライアントは物理ディスク上の SMB 共有や NFS 共有にアクセスできる ファイルサーバーグループの1つのノードだけがオンラインになる 障害が発生したり、ファイルサーバーが別のノードに移動した場合、クライアントは切断され、移動先のノードに再接続しなければならない ソリューション ファイルサーバー役割が拡張され、Windows Server 2012 フェールオーバークラスター上では、可用性の高い SMB 共有上での Hyper-V や SQL Server データストアがサポートされた。これにより、ダウンタイムを最小限に抑えることができる。 In operating systems prior to Windows Server 2012, highly available file services were provided by failover cluster Client Access Point (CAP) that clients could use to connect to SMB (Server Message Block) or Network File System (NFS) shares on physical disk resources. If you deployed a shared-nothing cluster, only one node in a cluster File Server group could be online. In the event of a failure or if the File Server group was moved to another cluster node, clients were disconnected and had to reconnect when the group became available on an online node in the cluster. In Windows Server 2012, the File Server Role has been expanded to include a new scenario where application data (specifically Hyper-V and SQL Server) is supported on highly available SMB shares in Windows Server 2012 Failover Clustering.

75 高可用性ファイルサーバー 一般的な用途のファイルサーバー(汎用ファイルサーバー)
Windows Server 2008 R2 とほぼ同等の機能 SMB 3.0 によって”共有”の可用性と転送性能は高まる スケールアウトファイルサーバー アプリケーションデータを格納するファイルサーバーとしての可用性を提供 ノードやディスクの追加時にもファイルサービスを停止させない Windows Server 2012 フェールオーバークラスターの新機能を使用している 分散ネットワーク名(Distributed Network Name: DNN) クラスター共有ボリューム(CSV) Version 2 スケールアウトフィルサーバーの役割 (すべてのノードで有効に設定されている必要あり) スケールアウトファイルサーバーの最大ノード数は 4

76 (復習)CSV(Cluster-Shared Volume)とは
複数のノードからの同時アクセスを可能にするための CSVFS を提供する Windows Server 2008 R2 では、Hyper-V Cluster(VHDファイルの共有)のために提供された Windows Server 2012 では ファイルサーバークラスターのストレージとしても利用可能 Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node SMB 3.0 SAN/iSCSI Clustered File Server (Scale out File Server) HDD CSV HDD CSV WS2008 R2 以降 WS2012 以降

77 Failover Cluster(max 4 nodes)
スケールアウト ファイルサーバー SMB 3.0 \\Server\Share File Server Failover Cluster(max 4 nodes) Node1 Node2 Node3 Node4 iSCSI/SAN CSV CSV v2

78 Hyper-V & フェールオーバークラスター & スケールアウトファイルサーバー
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 File Server \\Server\Share Failover Cluster(max 8 nodes) Node1 Node2 Node8 Node8 AD DS(KDC) iSCSI/SAN CSV CSV v2

79 スケールアウトファイルサーバーのアーキテクチャ
DNS Hyper-V Hyper-V Hyper-V Hyper-V Node1 A Node2 A Node3 A Node4 A HAFileServer A HAFileServer A HAFileServer A HAFileServer A スケールアウトファイルサーバー DNN HAFileServer Node1 Node2 Node3 Node4 (補足) 分散ネットワーク名 (DNN) フェールオーバー クラスターによって提供される高可用性ファイルサーバー役割にアクセスする場合、クライア ントは、クライアント アクセス ポイント (CAP) と呼ばれている共通の接続ポイントを使用して接続します。CAP は、以下のリソースから成ります。 ネットワーク名 (NN) リソース (NetBIOS 名) 1 つ以上の一意の IP アドレス リソース (IPv4 および/または IPv6) クラスター ノードが DNS および WINS の名前解決サービスに登録されるように構成されており、それらのサー ビスが動的登録を受け入れている場合は、CAP は自動的に DNS および WINS に登録されます。1つのクラス タグループに対して最大4つの CAP が登録され、こららによってアクセスが分散されます(だからDNN)。 従来のクライアント アクセス ポイント (CAP) は、クラスター内の単一ノード上でのみオンラインになれます。 つまり、クライアントが接続を行っている間、その CAP をホストしているノードのみが、それに接続中のクライア ントに特定の高可用性の役割を提供できます。 クラスター内の他のノードは、リソースが現在の所有者でオンラインである限り、それらのリソースにアクセスし ません。 Windows Server 2012 スケールアウト ファイル サーバーでは、フェールオーバー クラスターでホストされた共 有を使用するアプリケーションに対応するために別の方法を用います。 スケールアウト ファイル サーバー の リソース グループは、フェールオーバー クラスター内の 1 つのノードで のみオンラインになります。そのノードは、"リーダー" ノードとみなされます。クラスター内のすべてのノードが、 このリソース グループの "クローン" をホストします。 クローンは、リーダーによって制御されます。 リーダーは、クローンの起動およびシャットダウンの順序付けを行い、クラスターの他のノード上のクローンの状 態を追跡します。 クローンの少なくとも 1 つがクラスターのノード上で機能している限り、SOFS グループはオフラインになりません。 リーダー グループは、クラスター内の任意のノードに移動できます (たとえば、クラスター サービスがいずれか のノード上で予期せず終了した場合)。 リーダー グループを別のクラスター ノードに移動しても、ファイル共有の可用性に影響はありません。ただし、 クラスター管理者が意図的に SOFS グループをオフラインにすると、リーダーはクローンをすべてシャットダウン して、このグループはオフラインとしてマークされます。さらに、すべてのスケールアウト ファイル共有は解消さ れます。 iSCSI/SAN CSV CSV v2 ※iSCSI のNICチーミングは現時点で未サポート

80 DNNが書き換わるタイミング DNN はフェールオーバー クラスターの各ノードの IP アドレスに依存しています。
クラスター内に構成された各ネットワーク インターフェイスがクライアント接続を受け入れる ために、DNN リソースはクラスターの各ノードの IP アドレスを使用して DNS に登録されま す。 さらに、DNN リソースは、Kerberos 機能をサポートするために、適切なコンピューター オ ブジェクトを Active Directory に作成します。 また、DNN リソースは、クラスター内のノードを追跡して下記の場合に DNS を更新します。 クラスターにノードが追加される、または削除される パブリック クラスター ネットワーク (クライアント アクセスに対応したネットワーク) に特定 の IP アドレスが追加される、または削除される DNS レコードが最新の情報に更新される (既定では 24 時間ごと、または DNN リソー スがクラスター内でオンラインになった場合) この方法によって、クラスターは DNS のラウンドロビン機能を利用して、クライアント接続を クラスター内のノードに分散します。 SMB クライアントは、分散ネットワーク名リソースに関連付けられている IP アドレスの完全 な一覧を受け取ります。 クライアントは、DNS サーバーの応答で返された最初の 8 つの IP アドレスを使用してリ ソースへの接続を試みます。100 ミリ秒以内に接続されない場合は、リスト内の残りの IP アドレスへの接続が同時に試みられ、応答した最初の IP アドレスへの接続 (SMB セッショ ン) が確立されます。

81 Witness(立会人)の役割 Client Node1 Node2 CSV DNS Node1 A 10.0.0.1
HAFileServer A HAFileServer A SMB Client クライアントはDNSを使用してDNNを名前解決(ここではNode1とする) SMBクライアントはNode1に対して接続要求する Node1は接続を受け入れる ClientはWitnessを決定するために、Nodeの一覧を要求 Node1からNode一覧が送付される Node一覧から選定したNode2に、Witnessを依頼し、自分自身を登録 Node2 が了解し、Client を登録する Node2 が Client の Witness Node となる Node1がダウン Node2 は SMB3.0 を通じて Node1のダウンを検出 Client にNode1のダウンを通知し、通信先の切り替えを要求(この処理によってTCPコネクションエラーが発生するまえに接続先を切り替えられる) ❽Witness Node SMB Server SMB Server SMB3.0 Node1 Node2 CSV v2 CSV

82 なぜ“アプリケーションサーバー用” と言われるのか?
実データの管理情報) 作成日時 更新日時 作成者 アクセス権限 実データのアドレス など 書き込むデータ メタデータ 実データ Node1 Node2 Hyper-V や SQL Server はメタデータへの書き込みが最適化されているため問題になりずらい。Office などのアプリケーションは、60%~70%がメタデータへの書き込みであるといわれる。 CSVFSでは以下がサポートされない クオータ スクリーニング Classification(分類) Data Dedupplication Redirect OWNER Direct ボリュームごとに Owner が割り振られる CSVFS NTFS

83 汎用ファイル サーバー スケールアウト ファイル サーバー 頻繁にファイルを開いて閉じる操作を行うユーザーまたはアプリケーションによる使用を目的として共有されているファイルの可用性を高めることができます。 長時間ファイルを開いたままにするアプリケーションまたは仮想マシンの記憶域の可用性を高めることができます。 一度に 1 つのクラスター ノードを実行します。 一度に複数のクラスター ノードを実行します。サーバー メッセージ ブロック (SMB) クライアント接続は、スループットを向上するために複数のノードに分散されます。この接続には、Windows Server 2012 の分散ネットワーク名と呼ばれるフェールオーバー クラスタリング機能が使用されます。この機能を使用すると、複数の IP アドレスを持つ複数のクラスター ノードで、DNS ラウンド ロビンを使用して同じネットワーク名に応答できます。 クラスター化共有ボリューム(CSV)を使用することはできません。 クラスター化共有ボリューム(CSV)を使用する必要があります。 アクティブ/パッシブ モデルを使用して、一度に 1 つ のノードでファイル サーバーを実行します。必要に応じて、他のノードでファイル サーバーを実行できます。 アクティブ/アクティブ モデルを使用して、複数のノードでファイル サーバーを連携して実行します。

84 従来機能との互換性 テクノロジ 汎用ファイル サーバー スケールアウト ファイル サーバー SMB サポート
Network File System (NFS) サポートなし BranchCache データ重複除去 DFS 名前空間 - 名前空間サーバー DFS 名前空間 – フォルダー ターゲット DFS レプリケーション ファイル サーバー リソース マネージャーのクォータ、スクリーン処理、およびレポート ファイル分類インフラストラクチャ ファイル サーバー ボリューム シャドウ コピー サービス (VSS) エージェント フォルダー リダイレクト オフライン ファイル

85 Windows Server 2012 Storage Space と CSV の互換性
・サポートされているディスクのフォーマット ○ NTFS × ReFS × Fat32 × Fat16 ・サポートされている仮想ストレージのタイプ ○ シンプル ○ ミラー × パリティ ・クオーラムディスクには使用できない ・CSVに組み込まれた瞬間に、CSVFS 用コマンドが有効になるので、一部のNTFSコマンドは使用できない(暗号化など)

86 Hyper-V Windows Server 2012 で何が進化したのか

87 Hyper-V のスケーラビリティ

88 Hyper-V のスケーラビリティ 物理ホスト 論理プロセッサ数 64 320 5x System Resource 最大値
前バージョンとの比較 Windows Server 2008 R2 Windows Server 2012 物理ホスト 論理プロセッサ数 64 320 5x 物理メモリ 1 TB 4 TB 4x 仮想プロセッサ 512 2,048 仮想マシン 仮想マシンあたりの 仮想プロセッサ数 4 16x 仮想マシンあたりのメモリ 64 GB 1サーバーあたりの アクティブな仮想マシン 384 1,024 2.7x クラスター ノード数 16 仮想マシン数 1,000 4,000 Features in Hyper-V in Windows Server 2012 that support the virtualization of high-performance, scale- up workloads include: Increased hardware support for the virtualization host. Hyper-V in Windows Server 2012 RC supports running on a host system with up to 320 logical processors and 4 terabytes of memory, providing greater compatibility with very large server systems. • Support for large virtual machines. Hyper-V in Windows Server 2012 supports configuration of virtual machines with up to 64 virtual processors and 1 TB of memory. Use of NUMA to speed up the performance of virtual machines. Non-Uniform Memory Access (NUMA) is a computer architecture used in multiprocessor systems in which the time required for a processor to access memory depends on the memory’s location relative to the processor. NUMA provides the affinity to prefer local memory access over remote memory access. By projecting a virtual NUMA topology onto large virtual machines, Hyper-V in Windows Server 2012 RC enables the guest operating system and applications such as Microsoft SQL Server to use their existing thread scheduler and memory allocation optimizations, which provides better performance and scalability of demanding workloads.

89 Virtual NUMA 仮想 NUMA ノード ダイナミックメモリと同時利用はできない
NUMA: Non-Uniform Memory Access 仮想 NUMA ノード ダイナミックメモリと同時利用はできない SQL Server などのアプリケーションサーバーのパフォーマンス向上 Windows Server 2012 フェールオーバークラスタリングとの連携 Virtual NUMA In addition to its expanded processor and memory support on hosts and for VMs, Hyper-V in Windows Server 2012 also expands support for Non-Uniform Memory Access (NUMA) from the host into the VM. NUMAはプロセッサからみた メモリ使用領域の最適化技術です。SQL Serverのようなハイパフォーマンスを要求す るアプリケーションサーバーは、NUMAのアドバンテージを享受できるように設計され ている。 以前のHyper-Vでは、仮想マシンはNUMAの恩恵を享受できなかった。つまり、VM上 で動作するSQL Server もNUMAの恩恵を得られなかったということになる。なぜなら ば、以前のバージョンではNUMA が使われておらず、VMのRAMがリモートメモリに 分割される可能性があった。このことはリモートCPUのメモリを使用する場合に大きな パフォーマンス上のインパクトになる可能性があった。 2012では仮想マシンがNUMA対応となり、アプリケーションサーバーのパフォーマン スはよくなった。 なお、NUMAがサポートされるのはダイナミックメモリが設定されていない仮想マシン に限ります。 How It Works 仮想NUMAにより、仮想マシンはNUMAトポロジーが使用できる。それによって、ゲス トOSやそのうえで動作するアプリケーションは、スレッドやメモリの配置において、物 理OS上で動作するのと同様にインテリジェントな判断をすることができる。たとえば、 スライドに書かれているのはNUMAが有効な4ソケットのマシンであり、4つのNUMA ノードを持っている。2つの仮想マシンがホスト上で動作しており、 2つの仮想NUMA ノードが各仮想マシンに割り振られている。これらの仮想NUMAノードは、物理NUMA ノードに依存している。 Virtual NUMA and failover clustering フェールオーバークラスタリングにおいても、仮想マシンを適切な場所に配置する際に NUMAが評価される。

90 SR-IOV(Single Root I/O Virtualization)
仮想スイッチをバイパスして、NICと仮想マシンが直接通信 Host Host Root Partition Virtual Machine Root Partition Virtual Machine Hyper-V Switch Virtual NIC Hyper-V Switch Virtual Function Routing VLAN Filtering Data Copy VMBUS Routing VLAN Filtering Data Copy Physical NIC SR-IOV Physical NIC Network I/O path without SRIOV Network I/O path with SRIOV

91 Hyper-V over SMB & Shared-Nothing Live Migration

92 Compute /Storage の 補強が容易 いまさらですが... 物理マシン vs 仮想マシン 物理マシン 仮想マシン
CPU/RAM/NIC CPU/RAM/NIC HDD HDD 仮想マシンはComputeとStorageを分離できる。 リソースは固定 リソースの柔軟な割り当て

93 仮想マシンをさらに柔軟にするには 接続性が担保されれば物理的に分離可能 物理マシン 仮想マシン CPU/RAM/NIC HDD
network HDD 仮想マシンはComputeとStorageを分離できる。 Compute と Storage は一体 Compute と Storage の分離

94 Hyper-V over SMB Server Message Block (SMB) プロトコルとは…
ネットワークファイル共有のためのプロトコル Windows Server 2012 には最新の SMB 3.0 が実装されている Windows Server 2012 Hyper-V とともに使用すると… 仮想マシンのストレージを、共有フォルダに配置できる(SMB 3.0 必須) スタンドアロン 、クラスターいずれにも対応 記憶域として、スケールアウトファイルサーバーの利用も可能 SMB マルチチャネルにより通信経路の堅牢性が向上 The Server Message Block (SMB) protocol is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs in a computer network. The SMB protocol can be used on top of the TCP/IP protocol or other network protocols. Using the SMB protocol, an application (or the user of an application) can access files or other resources at a remote server. This allows applications to read, create, and update files on the remote server. It can also communicate with any server program that is set up to receive an SMB client request. Windows Server 2012 introduces the new 3.0 version of the SMB protocol. Hyper-V in Windows Server 2012 RC introduces a new storage option— support for Server Message Block 3.0 – for remote file storage. This capability provides increased flexibility, easier storage provisioning, and reduced system costs when compared to the storage options in Windows Server 2008 R2. Hyper-V can store virtual machine files, such as configuration, Virtual hard disk (VHD) files, and snapshots, in file shares over the SMB 3.0 protocol. This can be used for both stand-alone file servers and clustered file servers that use Hyper-V together with shared file storage for the cluster.

95 Hyper-V over SMB Windows Server 2012 以降 従来 SMB 3.0 仮想OS OSとストレージを分離できる
仮想ストレージ 仮想OS 仮想ストレージ SMB 3.0 Hyper-V ホスト Hyper-V ホスト ファイルサーバー

96 Hyper-V over SMB の必須要件 \\Server\Share\xxx.vhdx SMB 3.0
ファイルサーバー :Windows Server 2012(SMB 3.0 が必要なため)   ※ SMB 2.0 でも構成時にはエラーとはならないが未サポート Hyper-V :Windows Server 2012(SMB 3.0 が必要なため)   ※ Hyper-Vサーバーとファイルサーバーは別々のサーバーでなければならない AD DS :Windows Server 2012 である必要はない   ※ 共有フォルダに Hyper-V コンピュータのコンピューターアカウントに対する    アクセス権を与える必要があるため、AD DS 環境は必須 Hyper-V ファイルサーバー SMB 3.0 \\Server\Share\xxx.vhdx 共有フォルダへのフルアクセス The requirements for implementing Hyper-V over SMB 3.0 include: One or more computers running Windows Server 2012 with the File Services role installed The file server must have Windows Server 2012 installed, so the new SMB 3.0 protocol is available. You can also use non-Microsoft file servers that implement the SMB 3.0 protocol. Hyper-V does not block older versions of SMB, however, the Hyper-V Best Practice Analyzer issues an alert when an older version of SMB is detected. One or more computers running Windows Server 2012 with the Hyper-V role installed Loopback configurations (where the computer that is running Hyper-V is used as the file server for virtual machine storage) are not supported. A common Active Directory infrastructure. The servers running Active Directory Domain Services (AD DS) do not need to run Windows Server 2012. An Active Directory infrastructure is required, so you can grant permissions to the computer account of the Hyper-V hosts. Note: Although not required, Failover Clustering is supported on the Hyper-V side, the File Services side, or both. They must be separate clusters. Active Directory Domain Service

97 ライブマイグレーション & ライブ ストレージ マイグレーション
サービスを止めずに移動できる 仮想OS 仮想OS 仮想 OS のみ 仮想ストレージのみ 仮想マシン全体 仮想ストレージ 仮想ストレージ Hyper-V ホスト Hyper-V ホスト ※ライブストレージマイグレーションは Windows Server 2012 よりサポート

98 従来のライブ マイグレーション SAN/iSCSI 共有ストレージにゲストOSの仮想ストレージを格納する必要がある
フェール オーバー クラスターを構成する必要がある 共有ボリュームを用意する必要がある フェールオーバークラスタリング 構成情報 Hyper-V Node Hyper-V Node メモリ内データ VMステート SAN/iSCSI クラスター共有ストレージ(CSV)

99 シェアード ナシング ライブマイグレーション
クラスター構成は必須ではない 共有フォルダに仮想ハードディスクを格納できる 構成情報 Compute Compute メモリ内データ VMステート SMB 3.0 SMB 3.0 共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

100 SMB 3.0 SMB 3.0 Hyper-V ホスト Hyper-V ホスト 共有フォルダ VHD/ VHDX ⑧ 削除
①仮想マシンを作成 Virtual Machine Virtual Machine 構成情報 ② 構成情報を複製 構成情報 メモリ情報 メモリ情報 ③メモリをページ単位で複製 ④Dirtyページを複製 ⑤停止 ⑦ Running ⑥ ステートを複製 ステート ステート Windows Server 2008 R2 では,フェールオーバー クラスタリングの中でライブマイグレーション機能が実装されていた. 仮想マシンには2つのコンポーネントがあります。1つはストレージ(VHDまたは VHDXファイル)、もう1つはステート(プロセスやメモリ)。フェールオーバークラスターはその両方を安全にサーバーからサーバーに移動するための機能を持っている。 当然、Windows Server Hyper-V クラスターにも同じ機能が実装されており、Windows Server 2008 R2と同じことができる。核心に触れてしまえば、ライブマイグレーションとはVMの状態の移行のことである. Remember, you can still perform Live Migration on VMs with shared storage or in clusters, しかし、ここでは”シェアードナッシング“に焦点をあててみたい。 Windows Server 2012 Hyper-Vでは、ライブマイグレーションを使用することで、動作している仮想マシンを、ある物理サーバーから別のサーバーにサービスを止めることなく移動することができる。動 作中の仮想マシンのメモリ情報を、移行先のサーバーに事前にコピーすることで、ライブマイグレーションは仮想マシンの転送時間を最小限に抑えている。管理者やスクリプトがライブマイグレーション 実行しようとすると、 移行先のコンピューターが決定される。ゲストOSは、マイグレーションが実行されていることを知らないので、ゲストOSに特別な構成は必要ない。 ステージ1. Live migration の準備. ライブマイグレーションの準備段階では、ソースサーバーは移動先サーバーとイーサネットを使用してTCP接続を確立する。この接続により、仮想マシンの構成データが移行先サーバーに転送される。 移行先サーバーでは、仮想マシンの骨組みが作成され、メモリが割り当てられる。結果として、移行先サーバーには空っぽの仮想マシン設定が作られ、メモリ情報やステートの待ち合わせに入る。 ステージ2. メモリページがソースから移行先サーバーに転送される VMのメモリが複製されるときは、一度に1ページ単位で複製される。当然、VMの動作に伴いメモリページ情報は変更される。ページ単位で変更されたかどうかが管理されており、変更が発生すると 「ダーティページ」としてマークされ、あとから再複製できるようになっている。コピーが完了すると、“クリーン“としてフラグされる。 ステージ3. 変更されたページが転送される ライブマイグレーションのサードステージでは、The third stage of a live migration is a memory copy process that duplicates the remaining modified memory pages for “test virtual machine” to the destination server. The source server transfers the CPU and device state of the virtual machine to the destination server. During this stage, the network bandwidth available between the source and destination servers is critical to the speed of the live migration. Using a 1 Gigabit Ethernet or faster is important. The faster the source server transfers the modified pages from the migrating virtual machines working set, the more quickly the live migration is completed. The number of pages transferred in this stage is determined by how actively the virtual machine accesses and modifies the memory pages. The more modified pages there are, the longer it takes to transfer all pages to the destination server. After the modified memory pages are copied completely to the destination server, the destination server has an up-to-date working set for “test virtual machine.” The working set for “test virtual machine” is present on the destination server in the exact state it was when the migration process began. ステートの転送 やがて、すべてのコピーが完了した状態となると、VMは一瞬だけソース側一時停止し、ステートの複製を移行先VMに行う。 (Continued from previous slide) 5. 仮想マシンが移行先でオンラインになる 5番目のステージでは、すでに動作準備が完了した移行先VMが「Running」ステートを保持し、ソースVMが削除される。この切り替えの瞬間にPINGが1回だけ失敗することがあるが、これはアプリ ケーションにとって通常ダメージとはならない。つまり、サービスを停止せずに移行できたことになる。 6. ネットワーククリーンアップ 最後のステージでは、移行先VMが動き出す。このとき、あるメッセージがネットワークスイッチに送られる。このメッセージにより、スイッチにVMの新しいMACアドレスが通知され、継続的な通信が行え るようになる。 [Notes regarding timing] The live migration process completes in less time than the TCP time-out interval for the virtual machine being migrated. TCP time-out intervals vary based on network topology and other factors. The following variables may affect live migration speed: The number of modified pages on the virtual machine to be migrated—the larger the number of modified pages, the longer the virtual machine will remain in a migrating state. Available network bandwidth between source and destination servers. Hardware configuration of source and destination servers. Load on source and destination servers. Available bandwidth (network or Fibre Channel) between servers running Hyper-V and shared storage. ⑨ arp Hyper-V ホスト Hyper-V ホスト Switch

101 ライブ”ストレージ”マイグレーション SMB 3.0 SMB 3.0 仮想マシンのストレージ部分のみを移行 Hyper-V 移動 ストレージ
仮想ストレージ 仮想ストレージ 移動

102 ライブストレージマイグレーション はこんな時にも便利
バラバラになった構成ファイルを1か所に集める ITCAMP-PCxx xx 仮想マシンのすべてのデータを1か所に移動する ITCAMP-PCxx xx 記憶域を移行 Hyper-V Hyper-V VMxx C:\ProgramData\Microsoft \Windows\Hyper-V VMxx SMB 3.0 SMB 3.0 スナップショット 構成 ファイル \\ITCAMP-FS\VMSTORE\\VMxx \\ITCAMP-FS\VMSTORE\VMxx VMxx.vhd スナップショット 構成 ファイル VMxx.vhd

103 管理しやすいシステム構成 Computeと Storage を分離 switch switch SMBにより自由な移動が可能に!
WS2012 Hyper-V WS2012 Hyper-V SMBにより自由な移動が可能に! ∴ネットワークの堅牢性とスピードが重要 switch SMB SMB SMB Storage Storage

104 Hyper-V レプリカ

105 Hyper-V レプリカとは? LAN や WAN を通じてリモートサイトに仮想マシンレベルの複製を作成することができる。
ビジネスの継続性とディザスタリカバリが目的。 Windows Server 2012 Hyper-V ロールの新機能 ストレージやワークロードに依存しない 複製元と複製先のサーバーは同じドメインである必要はない (ワークグループでもOK ※ただしクラスター構成である場合を除く) Hyper-V マネージャー、Hyper-V RSAT、System Center Virtual Machine Manager (SCVMM) から管理可能 さまざまな複製シナリオに対応 本社と支店 企業内データセンター内 ホスティングプロバイダー内 クロスプレミス(企業オフィス-データセンター 等) 企業や組織はビジネスの継続性を維持するために、最小限のサーバーのダウンタイムが求められる。 Hyper-V Replica は、プライマリサイトのさまざまな障害が発生したときに、セカンダリのサイトで短時間でサービスをフェールオーバーするためのしくみである。 サーバーやネットワークのハードウェア構成は双方でまったく異なっていても問題はない。Hyper-V レプリカを使用すると、システム管理者は復旧ポイント(日時)を選択することも可能である。 Hyper-Vレプリカは管理用APIも提供しているので、企業が独自のDRシナリオを策定して実装することも可能だ。 Hyper-V Replica は、IaaSホスティングベンダーが顧客の仮想マシン環境を保護するのに使用することもできる。 What Is Hyper-V Replica? Hyper-V Replica enables organizations using Windows Server 2012 to implement an affordable Business Continuity and Disaster Recovery (BCDR) solution for virtualized workloads without using 3rd-party technology. This allows virtual machines running at a primary site to be efficiently replicated to secondary location (Replica site) across a WAN link. In this discussion, we define two “sites”: the “primary site,” which is the location where the virtualized environment normally operates; and the “Replica site,” which is the location of the server that will receive the replicated data. At the primary site, the primary server is the physical server that hosts one or more primary virtual machines. At the Replica site, the Replica server similarly hosts the Replica virtual machines. Hyper-V Replica provides a storage-agnostic and workload-agnostic solution that replicates efficiently, periodically, and asynchronously over IP-based networks, typically to a remote site. It is simple to configure and does not require either shared storage or any particular storage hardware. Any server workload that can be virtualized in Hyper-V can be replicated. Replication works over any ordinary IP-based network, and the replicated data can be encrypted during transmission. (continued on next hidden slide) Hyper-V Replica is implemented as part of the Hyper-V Role. The Hyper-V servers can function as members of a Workgroup or as member servers in the same or different Active Directory domains. プライマリとレプリカサーバーが同じドメインであるか どうかは要求されない。ただし、もしHyper-Vサーバーがフェールオーバークラスターのメンバーである場合、これらのサーバーは同じドメイン内になければならない。 Hyper-V Replica はスタンドアロンサーバーでもフェールオーバークラスターでも動作する。サーバーは物理的に離れた場所であってもよい。 Scenarios Head Office and Branch Office The Head Office and Branch office scenario typically involves Mid-Market customers who have a main corporate Head Office and one or more Branch Offices located in different physical locations. This type of customer typically has a limited budget for purchasing hardware, WAN connectivity, and hiring IT Staff. As part of a cost saving initiative, a customer may decide to implement Microsoft virtualization technologies to migrate corporate applications running on physical hardware to virtualized workloads running on Microsoft servers running the Hyper-V role. One or more of servers are hosted in the Head Office location either as standalone servers or as part of one or more Hyper-V Failover Clusters. Enterprise Datacenter The Enterprise Datacenter scenario is very similar to the Head Office and Branch Office scenario in terms of the actual steps an administrator executes to implement Disaster Recovery using Hyper-V Replica. The main difference would be scale. Enterprise environments typically include one, or more, large, geographically dispersed datacenters supporting a greater number of virtualized workloads running on more servers. Additionally, enterprise environments may implement Third Party or 'homegrown' applications that take advantage of Hyper-V Replica APIs (Application Programming Interface) in an effort to streamline internal management processes. Hosting Provider Datacenter The Hosting Provider Datacenter scenario is very similar to the Enterprise scenario in terms of the actual steps an administrator executes to implement Disaster Recovery using Hyper-V Replica. Hosting companies have additional concerns in that they are dealing with multiple customers (tenants) on a shared internal infrastructure. This requires implementing stricter isolation policies within the datacenter and a billing system that can accurately track resource usage. Customer Office and Hosting Provider Data Center (Cross-Premises) The Customer Office and Hosting Provider Datacenter (Cross-Premises) scenario takes the Hosting Provider Datacenter scenario one-step further in that Disaster Recovery is provided as a service (Infrastructure as a Service (IaaS)) to customers external to the hosting company itself. VM 複製 VM Hyper-V Hyper-V プライマリ サイト レプリカ サイト

106 必須要件 Windows Server 2012 Hyper-V をサポートしているハードウェア
仮想マシンをホストするのに十分な性能と安全性を持ったストレージ プライマリサイトとレプリカサイト間の接続性 サイト間の複製を許可するための適切な Firewall 設定 (HTTP/HTTPS) X.509v3 証明書(証明書ベースの認証を使用する場合) ※複製を暗号化するには証明書ベースの認証が必須 詳細は… You can set up replication of Hyper-V virtual machines as long as you have any two physical Windows Server 2012 servers which support the Hyper-V role. To take advantage of the Hyper-V Replica the following prerequisites must be met: Hardware that supports the Hyper-V Role on Windows Server 2012 Sufficient storage on both the Primary and Replica servers to host the files used by virtualized workloads Network connectivity between the locations hosting the Primary and Replica servers Properly configured firewall rules to permit replication between the Primary and Replica sites An X.509v3 certificate to support Mutual Authentication with certificates (if desired or needed). If you plan to use certificate-based authentication (required for the replicated data to be encrypted during transmission), you will need an appropriate certificate, which can either be local and self- signed, or supplied by a certificate server in your deployment.

107 (参考)アーキテクチャ Hyper-V Replica tracks the write operations on the primary virtual machine and then replicates these changes to the Replica server over a WAN. The network connection between the two servers uses the HTTP protocol and supports Kerberos authentication and certificate-based authentication, with optional support for encryption. Hyper-V Replica is closely integrated with failover clustering in Windows Server 2012, and it provides nearly seamless replication across different migration scenarios in the Primary and Replica servers. This allows virtual hard disks to be stored in a different location to enable recovery in case the data center goes down due to natural disaster or other causes. Component/Purpose Replication Engine: The Replication Engine, in many respects, is the 'heart' of Hyper-V Replica. It manages the replication configuration details and handles initial replication, delta replication, failover, and test- failover operations. It also tracks virtual machine and storage mobility events and takes appropriate actions as needed (i.e., it pauses replication events until migration events complete and then resumes where they left off) Change Tracking: The Change Tracking module provides a virtual machine level change tracking mechanism on the Primary server by keeping track of the write-operations, which happen in the virtual machine. This component is designed in such a way that it makes the scenario work irrespective of where the virtual machine VHD file(s) resides; VHD files can be hosted on Direct Attached Storage (DAS), a SAN LUN, an SMB share on a File Server, or a Cluster Shared Volume (CSV). Component/Purpose, cont. Network Module: The Networking Module provides a secure and efficient (data compression by default) network channel to transfer virtual machine replicas between Primary and Replica sites. Network communications are built on top of HTTP\HTTPS protocols and support integrated as well as certificate-based authentication with optional support for encryption Hyper-V Replica Broker role: The Hyper-V Replica Broker role is configured in a Windows Server 2012 Failover Cluster. This functionality supports seamless replication even in the event of a migration of a replica virtual machine from one cluster node to another in a separate cluster. This is achieved by interacting with the Windows Server Failover Clustering (WSFC) service and the Hyper-V Network module. The Hyper- V Replica Broker redirects all virtual machine specific events to the appropriate node in the replica cluster. The Broker queries the cluster database to determine which node should handle which events. This ensures all events are redirected to the correct node in the cluster in the event a Quick Migration, Live Migration or Storage Migration process was executed. Management Experience includes the following components: Hyper-V Manager UI: The replication settings are available in the Hyper-V Manager and provide an end-to-end experience for replication configuration, inbox monitoring, test failover, planned failover, unplanned failover and reverse-replication experiences. Failover Cluster Manager UI: When Primary or Replica servers are part of a Hyper-V Failover Cluster, all management for the virtual machines and the Hyper-V Replica configurations should be done from the Failover Cluster Manager interface. Scripting: Hyper-V Replica functionality is integrated within the Hyper-V PowerShell Module Hyper-V Replica APIs: These are part of the Hyper-V WMI interface. This interface can also be used by Third Party management software applications. Remote Management: The Hyper-V Manager UI is included as part of the Remote Server Administration Tools (RSAT) that can be installed on supported Windows 8 Consumer Preview operating systems so administrators can remotely manage virtual machine replication.

108 Hyper-V クラスター

109 (復習)シェアード ナシング ライブマイグレーション
クラスター構成は必須ではない 構成情報 Compute Compute メモリ内データ VMステート SMB 3.0 SMB 3.0 共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

110 フォールト トレンンスではない Hyper-V over SMB の難点 ライブマイグレーションは手動で行わなければならない
(または自動化するサービスを自作する)

111 シェアード ナシング ライブマイグレーション +フェールオーバークラスター
フェールオーバークラスタリング 構成情報 Compute Node Compute Node メモリ内データ VMステート SMB 3.0 SMB 3.0 Hyper-VにFOCのインストールが必要 共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

112 Hyper-V & フェールオーバークラスター
フェールオーバークラスターを使用して仮想マシンをクラスタリングすることで、以下が可能になる 最大64ノード サーバー(ノード)メンテナンス時の自動ドレイン サーバー(ノード)復帰時の自動フェールバック 移行に最適なサーバーの自動選定 ※サーバーダウンを想定する場合は、Hyper-Vレプリカによる複製で対応する必要がある

113 “Hyper-V over SMB” & フェールオーバークラスター
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 ITCAMP-FS ファイルサーバー 通常の \\ITCAMP-FS\VMStore この部分の信頼性が問題になる VMSTORE AD DS(KDC) VHD VHD VHD

114 Hyper-V over SMB & フェールオーバークラスター & スケールアウトファイルサーバー
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 スケールアウトファイルサーバー \\FileServer\Share Failover Cluster(max 4 nodes) Node1 Node2 Node8 Node8 ストレージ部分の信頼性を担保 AD DS(KDC) iSCSI/SAN CSV CSV v2

115 Failover Cluster(max 64 nodes) Failover Cluster(max 4 nodes)
メリット 堅牢性+柔軟性 Node1 Node2 Node8 CSV CSV v2 iSCSI/SAN スケールアウトファイルサーバー Hyper-V Failover Cluster(max 64 nodes) Node \\FileServer\Share SMB 3.0 Failover Cluster(max 4 nodes) AD DS(KDC) ストレージ部分の信頼性を担保 Hyper-VとStorageを分離 堅牢性+柔軟性 ストレージスペースにより堅牢性+柔軟性

116 VDI

117 シナリオ:自分の PC から社内デスクトップへ
安全性を維持しつつ、個人の多様なデバイスで業務を遂行 キーワード:VDI, App-V, UE-V, Office 365 AD Virtual Desktop Infrastructure Lync Hello Office 365 アプリ配信 ConfigMgr, Endpoint Protection, グループポリシー File Server Gateway リモート デスクトップ クライアント Hyper-V & RDS リモート デスクトップ クライアント Firewall

118 VDI = Desktop を構成する3要素 + 1 Application User State OS Device Device
Apps Store User States Store OS OS Store どのデバイスでも動作する Device Device Device

119 Microsoft VDI を支えるテクノロジー
Windows Server Active Directory Domain Service Infrastructure Management 仮想クライアントの展開 仮想アプリケーションの展開 ユーザー管理 OS の仮想化 仮想クライアントのホスティング アプリケーションの仮想化 App-V RemoteApp ユーザー状態の仮想化 RDS 移動プロファイル プロファイルディスク Hyper-V UE-V

120 OS の仮想化

121 3 タイプの OS Virtualization
Powered by Windows Server 2012 セッションホスト 共用仮想マシン パーソナル仮想マシン RDS + Hyper-V

122 Architecture 選択基準 Sessions Pooled VMs Personal VMs Good Better Best
パーソナライズ アプリケーション互換性 With RDS in Windows Server 8, you can deploy Sessions, personal VMs or pooled VMs, all using the same platform. However, how do you choose which architecture is right for you? Irrespective of which deployment model you choose, you get some common benefits: The powerful administration capability through the inbox management console, with simple setup, intelligent patching and unified management using System Center. A powerful and scalable virtualization platform, irrespective of whether you are deploying Session desktops on RDS, or VM desktops on Hyper-V. A consistently rich user experience across LAN and WAN. However, your choice of architecture should depend on one of the following five pivots: Personalization: Do your users need the ability to customize their desktops? If so, what level of customization do they need? With Sessions and Pooled VMs, users have some limited personalization capability with User Disks, like the ability to persist their data across different logins. However they cant persist user installed applications across logins. However, with a personal desktop (assuming of course that the user has admin rights on their desktop), users can change any aspect of their desktop, including installing their own applications across multiple logins. Application compatibility: Session based desktops share a common server OS, and hence any applications that are to be installed need to be compatible with Windows Server 8. However, in both VM scenarios, it’s the Windows Client OS that’s running within the VM, and hence application compatibility is always higher for VMs than Sessions. However, with personal VMs, users can install their own apps, as opposed to pooled VMs, where IT decides what applications are presented to the user. Hence, personal VMs provide the highest level of application compatibility across all thee deployment models. User Density: Since Sessions share a single Server OS, the number of users that can be accommodated on a single session based server is always going to be higher than either VM based model. In some cases, we have seen that one the same spec hardware, you get twice the user density with Sessions than you can with VMs. With pooled VMs, since user data is either typically not stored locally or is stored on a separate User Disk, pooled VM sizes are typically smaller than personal VMs, and hence pooled VMs have slightly higher density. You can reduce the density of the VM based models by introducing user state and application virtualization technologies on the VM, but you will still have lower densities than sessions. Images: If getting to a single image is your goal, then the best way to get there is either through session based desktops, or by deploying pooled VMs. In a session based desktop, all users share a single server image, while in pooled VMs, all users get a cloned copy of a single master image. Single image configurations are easier to manage and have lower costs as compared to personal VMs, where each user gets their own individual image. Cost: Since sessions offer the highest densities and are single image, they are often easier to manage and hence offer the lowest cost. Pooled VMs get the single image and management benefits of sessions, but higher densities and management efforts means that they are more expensive to deploy than Sessions. Personal VMs have the lowest density and highest management efforts, making them the most expensive of the 3 deployment models. However, bear in mind that Windows Server 8 helps companies reduce overall VDI TCO, with support for lower cost storage (such as SMB and DAS), application virtualization, dynamic memory and User Disks. 管理のしやすさ コスト効率

123 OS の仮想化を支えるテクノロジー Hyper-V + Storage SMB 3.0, NIC Teaming
Hyper-V over SMB Live Migration, Live Storage Migration Hyper-V Cluster( Failover Cluster) Scale-out File Server(Failover clustered file server) RDS(Remote Desktop Services) WEB Access Connection Broker Gateway License Service Session Host/VM Host

124 Remote Desktop Services

125 セッション ホスト(RDSH) Session#0 = Console Session Session#1 Session#2
Windows Server 内に「セッション」を設立し、RDPで接続して利用する Windows Server 以外に必要なものはない UI は Windows Server Session#0 = Console Session Session#1 RDP Session#2 RDP Session#3 Session#4 RDP Remote Desktop Service Windows Server

126 Remote Desktop Service
共有 or パーソナル仮想マシン Hyper-V 上に展開した仮想マシン(VM)をOSとして利用する リモートデスクトップサービスがセッションを制御する RDP RDP RDP Remote Desktop Service VM1 VM2 VM3 RDS RDS RDS Hyper-V Windows Server

127 Remote Desktop Service
OWN DEVICE Firewall RD Web Access ポータル RD Gateway アクセス承認 Firewall RD Connection Broker アクセス制御 仮想マシンベース SSL Windows Server Hyper-V SSL RDP セッションベース ただし、OSだけ仮想化しても効率が悪い。 SSL

128 「切断」と「ログオフ」の違い ログオフ :セッションは初期化される 切断 :セッション状態を維持することで、再接続が可能
ログオフ :セッションは初期化される 切断 :セッション状態を維持することで、再接続が可能  アイドルタイムによる自動切断、切断されたセッションの維持時間などを、  コレクション単位で設定可能 接続ブローカー 仮想マシンベース 接続ブローカーが切断されたセッションにリダイレクトしてくれる Hyper-V session 切断して マシンを移動 セッションベース 同じ仮想マシンに接続 session

129 RD Gateway によるアクセス承認 NAP Firewall RD Gateway RDP(3389)
RDP over SSL を RDP に変換 NAP(Network Access Protection)との連携 セッションの監視(イントラネットでも利用可能) 接続承認ポリシー(CAP)とリソース承認ポリシー(RAP) NAP 検疫 Firewall RD Gateway 接続承認ポリシー(CAP) 認証 デバイスリダイレクトの可否 セッションタイムアウトの設定 その他のネットワークポリシー RDP over SSL (443/tcp) リソース承認ポリシー(RAP) ユーザーグループ (規定は Domain Users) 接続可能なコンピューター (規定は Domain Computer) ポート番号(規定は 3389) RDP(3389)

130 可用性 後述 Hyper-V cluster Remote Desktop Connection Broker Web farm
Active/Active Hyper-V cluster Remote Desktop Web Access 仮想化ホスト SQL Server Clustering Web farm セッションホスト farm So, let’s also look at what we’ve done with High Availability. What you’re looking at is the high-level deployment architecture for all the components that go together in VDI deployment. We looked at these just a couple minutes ago. In order for a VDI deployment to scale and be highly available, each of these components needs to be highly available. In WS08 R2, this is how things worked. RDWeb: Can be scaled out. It’s a web app, so it can scale out as a farm of web servers. Since WS08 RDG: Also a web app, so it can scale out as a farm of web servers. Since WS08 RDVH: A Hyper-V server, so it works as a HyperV Cluster. Different nodes in the cluster. If one fails, the workloads in the cluster, such as the VMs can migrate to another node in the cluster. Since WS08R2 RDLS: Supported a cluster mode since WS08. RDVH and RDSH can access multiple servers in a farm. RDSH: TS Fram. Since WS03, very early version, has supported a farm configuration. The key new thing in WS2012 in this area is the high availability and scalability of connection broker. In WS08R2, we only supported Active/Passive Clustering for connection broker. In WS2012 we changed to support Active/Active mode. Connection broker has an internal database to store the configuration and runtime data for the entire deployment, things like where the user is logged on. What VM is on which host, which apps are published, etc. When Broker is configured in HA mode, you have multiple instances of the Broker, all of which run against a SQL DB cluster. All Broker instances are active: They are responding to load at the same time. Hence this configuration provides both availability and scale. All the key tasks that Connection broker manages, such as VM creation, or user logon creating/mountiung user VHDs, as well incoming connections that get redirected through Broker, all of these tasks work seamlessly with a multi-instance, highly available Broker deployment. This config requires that you have a SQL server in your configuration to host all the data for your VDI deployment. We support a wide variety of SQL clustering modes and SQL versions, including for example SQL Denali & “Always ON” High Availability mode. The most recent innovation that SQL is bringing to the space. Add’l notes: Wizard in Admin UI walks you through the steps needed to set up a new broker instance. Automatically migrates configuration data from the source broker’s data store to the shared SQL database. Powershell cmdlet to do the same. As in many other farm-type ha configurations, the broker instances need to be configured so they are at the same DNS name and authenticate under the same name. This is typically accomplished by using DNS Round Robin and a shared SSL certificate. Remote Desktop Licensing Remote Desktop Gateway Cluster

131 Application の仮想化

132 RemoteApp App-V アプリケーションの仮想化 RDP 2種類の配信方法 異なるバージョンを同時に利用可能
リモートデスクトップ方式 サーバーまたは仮想マシンにインストールされているアプリケーションを公開 App-V ストリーミング方式 クライアントで実行 RDP HTTPS

133 RemoteApp によるアプリケーションの公開
仮想マシンや物理マシンにインストールされているアプリケーションを、リモート デスクトップ プロトコルを介して使用する機能。 Windows Server 2012 に直接インストールすることができないアプリケーションやセッションベースに対応していないアプリケーションは、仮想マシンベースで公開することができる。 RD Connection Broker RDS 仮想マシンベース Firewall Hyper-V 接続方法 ポータルサイトでアイコンをクリック RDPファイルをダブルクリック RD Web Access RDP RDP RD Gateway セッションベース

134 RD Web ポータルと Web フィード AD DS 仮想デスクトップ プールの公開 RemoteApp アプリケーションの公開
特定のリモートデスクトップへの接続 アプリケーションリストをRSSフィードとして公開 https://<ServerName>/RDWEB/Feed/WebFeed.aspx 仮想マシンベース Hyper-V RDP RDP RD Web Access Control Panel RSS セッションベース AD DS GPOで設定 Win8 の場合

135 User State の仮想化

136 ユーザープロファイルディスク セッションベース 仮想デスクトップベース OSとは独立した仮想 VHD ファイル
中身はユーザープロファイルフォルダ コレクション単位に管理される コレクション間の共有は不可能 セッションベース 仮想デスクトップベース OS ユーザー1 ユーザー2 ユーザー1 ユーザー2 ユーザー3 ユーザー3

137 仮想デスクトップのロール バックとユーザー プロファイル ディスク
ロールバック ユーザーのログオフ時に仮想マシンが初期化される ユーザープロファイルディスク ユーザー個別の環境が「独立した仮想 HDD として」保存される プールされた仮想デスクトップコレクション プールされた仮想デスクトップコレクション セッションベースのコレクション ログオン ログオフ 作業 差分 VHD ユーザープロファイルディスク

138 RemoteApp で保存したデータは どこに?
規定 RemoteApp サーバーの C:\Users 配下にテンポラリのプロファイルフォルダが作成される ユーザーがログオフするとプロファイルフォルダは削除される プロファイルフォルダ内に保存したデータは、次回ログオン時に再利用できない プロファイルディスクを設定 プロファイルディスクの保存先として設定したパスに、仮想ハードディスクとして保存される。 次回ログオン時にマウントされるため、保存したデータを再利用可能

139 ユーザーステートの仮想化 ~ UE(User Experience)-V
きめ細かなローミング設定が行える アプリケーション IE Office LOB others Settings Location Template Group Policy AD DS UE-V Agent Windows 8 Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2012 設定情報 共有 フォルダ 規定はホームディレクトリ

140 UX を向上させるために - RemoteFX

141 仮想デスクトップの UX を向上させる RemoteFX
USB Device RemoteFX Hyper-V GPU

142 RemoteFX 仮想デスクトップのUX品質を高め、ローカルデバイスに近づけるためテクノロジー
仮想GPU(vGPU)※ RemoteFX 対応ビデオアダプタが必須 サーバーに実装された GPU を Hyper-V 上の仮想デスクトップから利用する Hyper-V ホストが SLAT に対応していること Hyper-V ホストが DirectX 11 対応のビデオカードを実装していること RDP 7.1 以上に対応したリモートデスクトップクライアントを使用していること VRAM 1MB あたり約 ピクセル 1920*1200 で約 150MB のビデオメモリを消費(シングルモニタの場合) USB デバイスリダイレクション ※Windows 7 仮想マシンには RemoteFX 対応ビデオアダプタ必須 ローカルPCに接続されたUSBデバイスを仮想デスクトップにリダイレクトして利用する RD 仮想化ホスト、RD セッションホスト(WS2012)の両方で利用可能 Windows 8 仮想マシンには RemoteFX 対応ビデオアダプタは必要ない グループポリシーで使用を許可する必要がある(規定では無効) アダプティブグラフィックス ネットワークの品質に応じてマルチメディアデータを最適化する WAN 対応 マルチトランスポート(自動的にUDPを使用) ストリーミングの最適化 マルチタッチ対応

143 デバイスのリダイレクト機能について USB Port RemoteFX USB リダイレクション
その他のデバイスは RDP によって独自に制御される RDP 8.0 では RDP セッション使用中のデバイス接続/切断が可能 ローカルPC USB Port USB メモリ、ハードディスク ドライブ リダイレクション USB CD/DVD ドライブ USB プリンタ(印刷機能) EasyPrint USB 複合機、スキャナ USB WEBカメラ RemoteFX USB リダイレクション USB ガジェット パラレルポート プリンタ ネットワークプリンター EasyPrint オーディオ再生 オーディオ録音 オーディオリモート再生/録音

144 Easy Print Printer Driver
RDP 6.1 以降で利用可能 サーバー側にプリンタードライバーがインストールされていなくても印刷が可能 サーバーで生成した XPS 形式ドキュメントを、クライアントにリダイレクトすることによってクライアント側プリンタドライバーを使用する。 (注意)スケーリング機能(拡大縮小)には対応していない MSTSC Printing Plugin Windows Server Spooler Windows Client Spooler XPS to GDI Easy Print Printer Driver EMF Spool XPS Spool RD サーバー クライアント (参考)EasyPrint でのスケーリング機能の非対応について

145 リモート デスクトップ クライアント RDP 6.1 RDP 7.0 RDP 7.1 RDP 8.0 OS XP SP2 Vista SP1
Vista SP1, SP2 7 7 SP1 8 マルチモニタ 解像度固定 解像度任意 RemoteApp 7:RSS Feed 対応 EasyPrint PnPデバイスリダイレクト RD Gateway 対応 RD Web アクセス SSO 対応 RemoteFX 仮想 GPU DirectX 11対応 RemoteFX USB リダイレクト RDP 接続時にデバイス接続、切断 途中接続、切断 アダプティブグラフィクス ネットワーク品質の自動検出 マルチタッチ対応 UDP 対応

146 リモートデスクトップ サービスのプロファイルパス を設定したらどうなるか
ログオン時に、プロファイルフォルダからプロファイルディスクにコピー 利用中はプロファイルディスクが更新される ログオフ時に、プロファイルフォルダに書き戻し プロファイルディスク リモートデスクトップサービスのプロファイルフォルダ

147 DirectAccess

148 シナリオ:社内デバイスをもちあるきたい デバイスの安全性を維持し、シームレスに社内リソースにアクセス
キーワード: DirectAccess、BitLocker、RMS、Lync Active Directory Hello Exchange Server Office 365 SharePoint Server SkyDrive Lync 各種業務サーバー ファイル サーバー Firewall DirectAccess Firewall の外では、安全な通信経路の確保と紛失対策のためのデバイスの暗号化が必要 BitLocker/BitLocker To Go

149 End User: Great Experience
DirectAccess DirectAccess により、インターネットから社内ネットワークにシームレスに接続することが可能 グループポリシーに よる集中管理 IT: どこからでも管理 リモートクライアン トを発見 更新プログラムを確 実に適用 End User: Great Experience 生産性の向上 ユーザーの操作 無しで接続を確 立 FIREWALL DirectAccess SharePoint Apps Intranet Exchange VPN Win XP / Vista / Non-Windows Windows 7 Windows 8 Mobile Broadband DirectAccess は、Windows 7 + Windows Server 2008 R2 用のソリューションとしてはじめに実装されました。これ により、ユーザーがインターネットから社内へシームレスにアクセスするための手段が提供されました。 DirectAccess により、ユーザーは従来のVPNを使用せずに、いつでもどこからでも社内セキュリティポリシーに守ら れながら、社内のサービスにアクセスすることができるようになります。 DirectAccess では、リモート ユーザーは仮想プライベート ネットワーク (VPN) に接続しなくても、社内共有フォル ダー、Web サイト、およびアプリケーションに安全にアクセスできます。DirectAccess は、ユーザーの DirectAccess 対応ポータブル コンピューターがインターネットにアクセスするたびに、ユーザーがログオンする前であっても、ユー ザーのエンタープライズ ネットワークと双方向接続を確立します。ユーザーはエンタープライズ ネットワークへの接 続を考慮する必要はなく、IT 管理者はコンピューターが VPN に接続していなくてもオフィス外部のリモート コン ピューターを管理できます。 Windows Server 2012 では、DAサーバーを地理的に分散したロケーションに展開することができます。 これにより、可用性が向上し、仮想環境におけるパフォーマンスも向上します。 VPN はネットワークに接続する DirectAccess はネットワークを拡張する

150 従来型 VPN と DirectAccess の違い
ユーザーによる起動がトリガー 接続されているときだけポリシーの適用が可能 すべての通信がVPNを経由する DirectAccess PC 起動中は常時接続 常に社内セキュリティポリシーが適用 社内リソースにアクセスする必要があるときのみ通信を行う (Windows Server 2012 では強制トンネリングも可能) クライアントの VPN インフラへの依存度を低減できるため、 シン エッジ ネットワークの実現が可能

151 Windows Server 2012 で DirectAccess はどうなったのか
これまで… DirectAccess と RRAS は同じサーバーに共存できなかった Direct Access の展開は容易ではなかった PKIを含め複雑なアーキテクチャを理解しなければならなかった Windows Server 2012 により… DirectAccess and RRAS の共存 (リモートアクセス ロールに統合) アーキテクチャの簡素化 PKI のオプション化 クライアント認証を Kerberos プロキシサービス経由で行えるようになった NAT64 と DNS64 を標準でサポート(従来は UAG が必要) その他 ロードバランス構成 複数ドメイン、複数サイトへの対応 トークンベースの認証 (OTP:One Time Password)への対応 強制トンネリング(すべての通信を強制的に社内に誘導) Windows PowerShell を使用した管理 ユーザーとサーバーの正常性監視 1. Windows Sever 2012 の リモートアクセステクノロジー DirectAccess では、リモート ユーザーは仮想プライベート ネットワーク (VPN) に接続しなくても、社内共有フォルダー、Web サイト、およびアプリケーションに安全にアクセスできます。DirectAccess は、ユーザーの DirectAccess 対応ポータブル コンピューターがインターネットにアクセスするたびに、ユーザーがログオンする前であっても、ユーザーのエンタープライズ ネットワークと双方向接続を確立します。ユーザーはエンタープライズ ネットワークへの接続を考慮する必要はなく、IT 管理者はコン ピューターが VPN に接続していなくてもオフィス外部のリモート コンピューターを管理できます。 (1) DirectAccess (2)ルーティング ルーターは、ネットワーク セグメント間 (サブネット間) でのデータ フローを管理するデバイスです。ルーターは、自身のネットワーク インターフェイスの状態に関する情報と、ネットワーク トラフィックの発信元と送信先の一覧に基づいて、受信パケットと送信パケットを処理します。自分の環境で使用しているハードウェア デバイスやアプリケーションの数と種類に基づいてネットワーク トラフィックとルーティングのニーズを予想することにより、専用のハードウェア ルーターとソフトウェアベースのルーターの どちらを使用するか、または両方を組み合わせて使用するかをより的確に判断できます。一般的に、専用のハードウェア ルーターを使用すると負荷の大きいルーティングを最も効率的に処理できますが、負荷の小さいルーティングの場合は、低価格のソフトウェアベースのルーターでも処理できます。 このバージョンの Windows の RRAS など、ソフトウェアベースのルーティング ソリューションは、サブネット間のトラフィックが比較的軽い、小規模のセグメント化されたネットワークに適しています。多数のネットワーク セグメントがあり、幅広いパフォーマンス要件に対応する必要があるエンタープライズ ネットワーク環境の場合は、ネットワーク全体で異なる役割を果たすハードウェア ベースのさまざまなルーターを使用する必要があります。 リモート アクセス サーバーとして機能するように RRAS を構成すると、リモートやモバイルで作業するユーザーを組織のネットワークに接続できます。リモート ユーザーは、コンピューターがネットワークに直接接続されているときと同様に作業できます。 (3)リモート アクセス リモート アクセス接続によって、直接接続しているユーザーが通常利用できるすべてのサービス (ファイルとプリンターの共有、Web サーバーへのアクセス、メッセージングなど) を利用できるようになります。たとえば、RRAS サーバーでは、クライアントは Windows エクスプローラーを使用してドライブ接続を作成し、プリンターに接続することができます。ドライブ文字と汎用名前付け規則 (UNC) 名はリモート アクセスで完全にサポートされるため、大部分の商用アプリケーションやカスタム アプリケー ションは変更せずに使用できます。 RRAS サーバーは、次の 2 種類のリモート アクセス接続を提供します。 ・仮想プライベート ネットワーク。仮想プライベート ネットワーク (VPN) は、インターネットなどのパブリック ネットワーク上で確立される、セキュリティで保護されたポイント ツー ポイント接続です。VPN クライアントは、トンネリング プロトコルと呼ばれる特殊な TCP/IP ベースのプロトコルを使用して、リモート VPN サーバー上のポートに接続します。VPN サーバーは接続を受け入れ、接続元のユーザーとコンピューターの認証を行った後で、VPN クライアントと社内ネットワークとの間でデータを転送します。 データはパブリック ネットワークを通過するので、この接続を介して送信されるデータは、プライバシーを確保するために暗号化する必要があります。 ・ダイヤルアップ ネットワーク。ダイヤルアップ ネットワークでは、リモート アクセス クライアントがアナログ電話回線や ISDN などの通信プロバイダー サービスを使用して、リモート アクセス サーバーの物理ポートへのダイヤルアップ電話接続を行います。アナログ電話回線や ISDN を使用するダイヤルアップ ネットワークは、ダイヤルアップ ネットワーク クライアントとダイヤルアップ ネットワーク サーバーとの間の直接的な物理接続です。この接続を介して送信されるデータは暗号化できますが、電話 回線は一般に安全と見なされるため、暗号化は必須ではありません。 2. 新しい機能 Windows Server 2012 および Windows® 8 のリモート アクセスの新機能では、インターネットでの接続性の強化、リモート コンピューターの管理をしやすくするツール、および Windows PowerShell を使用したリモート アクセス設定の管理容易性の向上がもたらされます。 (1) DirectAccess と RRAS が統合されたサーバーの役割 Windows Server® 2008 R2 で導入された DirectAccess は、従来の仮想プライベート ネットワーク (VPN) 接続を使用せずに、企業ネットワーク リソースに接続できる新しいリモート アクセス機能です。DirectAccess では、ドメインに参加している Windows 7 Enterprise Edition および Ultimate Edition のクライアントのみがサポートされます。Windows ルーティングとリモート アクセス サーバー (RRAS) では、古いクライアントおよび非ドメイン メンバーのために従来の VPN 接続が提供されます。また、 サーバーとサーバーとの間のサイト間接続も提供されます。Windows Server 2008 R2 の RRAS は DirectAccess と同じエッジ サーバーに共存できず、DirectAccess とは別に展開および管理する必要があります。 Windows Server 2012 では、DirectAccess 機能と RRAS 役割サービスが新しいサーバーの役割に統合されています。この新しいリモート アクセス サーバーの役割では、DirectAccess と VPN ベースのリモート アクセス サービスの両方を一元的に管理、構成、および監視できます。また、Windows Server 2012 の DirectAccess では、展開を困難にする要因を取り除き、管理を簡素化するために、さまざまな更新と強化が行われています。  DirectAccess と RRAS が統合された新しいサーバーの役割では、リモート アクセス サーバーの展開を一元的に構成および管理できます。Windows Server 2012 では、Windows 7 の DirectAccess と RRAS の次の点が強化されています。  動作の相違点 ・DirectAccess と RRAS の共存 ・中小規模の組織の管理者のために簡素化された DirectAccess の管理 ・DirectAccess の前提条件としての PKI の展開の削除 ・IPv4 専用リソースにアクセスするための組み込みの NAT64 と DNS64 のサポート ・NAT デバイスの内側に配置された DirectAccess サーバーのサポート ・簡素化されたネットワーク セキュリティ ポリシー ・負荷分散のサポート ・複数のドメインのサポート ・NAP 統合 ・OTP (トークン ベースの認証) のサポート ・強制トンネリングの自動サポート ・IP-HTTPS の相互運用性とパフォーマンスの向上 ・外部管理のサポート ・マルチサイト サポート ・Server Core のサポート ・indows PowerShell のサポート ・ユーザーとサーバーの正常性の監視 ・診断 ・アカウンティングおよびレポート ・サイト間 IKEv2 IPsec トンネル モード VPN (2)DirectAccess と RRAS の共存 悪意のある受信トラフィックからサーバーを保護するために、DirectAccess と RRAS のどちらにもセキュリティ機能が実装されています。以前では、両方のサービスを同じサーバーで実行しようとすると、それらのセキュリティ機能の設定が互いに競合し、DirectAccess と RRAS のどちらかが適切に機能しませんでした。 DirectAccess では、インターネット プロトコル バージョン 6 (IPv6) 移行テクノロジを使用して、クライアント接続を確立します。RRAS では、インターネット キー交換バージョン 2 (IKEv2) インターネット プロトコル セキュリティ (IPsec) を実装し、移行テクノロジを使用してすべてのパケットを破棄するように発信と着信のパケット フィルターを構成します。そのため、RRAS がインストールされており、IKEv2 を使用して VPN アクセスが展開されている場合、DirectAccess トラフィックはブロックされます。 DirectAccess には、企業ネットワークのリソースを保護するために、IPsec サービス拒否攻撃からの保護 (DoSP) が実装されています。DoSP により、すべての IPv4 トラフィックと、ICMPv6 パケットを除く、IPsec で保護されていないすべての IPv6 トラフィックが破棄されます。そのため、DirectAccess がインストールされている場合、RRAS によって転送されたすべての IPv4 パケットおよび IPsec で保護されていない IPv6 パケットはブロックされます。 Windows Server 2012 の DirectAccess と RRAS が統合されたサーバーの役割では、IPv6 移行テクノロジのトラフィックを許可するように IKEv2 ポリシーを変更し、VPN トラフィックを許可するように IPsec DoSP を変更することで、これらの問題を解決しています。こうした変更により、DirectAccess と RRAS を同じサーバーに共存させることができます。 (3)簡素化された DirectAccess 展開 Windows Server 2012 に含まれている機能を使用すると、特に中小規模の組織での展開が簡単になります。これらの新機能には、簡素化された前提条件リストおよび統合された証明書のプロビジョニングがあります。また、完全な PKI を展開する要件と連続する 2 つのパブリック IPv4 アドレスの要件が削除されました。これらの各機能については、次のセクションで詳しく説明します。 管理者は、新しい作業の開始ウィザードを使用して DirectAccess を展開できるようになりました。このウィザードによって、構成操作が大幅に簡略化されます。作業の開始ウィザードを使用すると、複雑な DirectAccess をいくつかの簡単な手順で自動的にセットアップできます。IPv6 移行テクノロジ、ネットワーク ロケーション サーバー (NLS) の展開などに関する技術的な情報について管理者が詳しく理解する必要がなくなりました。 (4)DirectAccess の前提条件としての PKI の展開の削除 Windows 7 の DirectAccess の展開を困難にする大きな要因の 1 つは、サーバーとクライアントの証明書ベースの認証用の公開キー基盤 (PKI) の要件です。DirectAccess では、IPsec AuthIP ポリシーを使用して、インターネットに接続しているクライアントを認証し、そのクライアントからのトラフィックをセキュリティで保護します。Kerberos を使用してドメイン リソースの認証を受けるには、最初にクライアントが DNS サーバーおよびドメイン コントローラー (DC) への接続を確立する必要があります。 Windows 7 の DirectAccess では、AuthIP ポリシーに 2 つの認証方法を実装することで、この接続を実現します。1 番目の認証方法にコンピューター証明書を使用し、2 番目の認証方法にユーザー NTLM を使用して、インフラストラクチャ IPsec トンネルが確立されます。このトンネルが確立され、DC が利用できるようになると、クライアントは Kerberos トークンを取得し、1 番目と 2 番目の認証方法にコンピューター証明書とユーザー Kerberos を使用してイントラネット IPsec トンネルを確立します。 この実装では、相互認証用のコンピューター証明書を使用して、DirectAccess サーバーとすべてのクライアントをプロビジョニングする必要があります。多くの中小規模の組織では、内部 PKI の管理は難しいと考えられます。Windows Server 2012 の DirectAccess では、構成と管理を簡素化するために、PKI の展開はオプションになっています。 この機能は、HTTPS ベースの Kerberos プロキシを実装することで実現されます。クライアントの認証要求は、DirectAccess サーバーで実行されている Kerberos プロキシ サービスに送信されます。その後、クライアントの代わりに、Kerberos プロキシが Kerberos 要求をドメイン コントローラーに送信します。 新しい作業の開始ウィザードにより、この解決方法が自動的に構成されるため、管理者にとってシームレスなエクスペリエンスが実現されます。この簡略化された DirectAccess 展開では、強制トンネリング、ネットワーク アクセス保護 (NAP) の統合、2 要素認証など、ユーザー レベルの構成オプションを使用できません。この展開の場合、IPsec トンネルを 1 つだけ確立する必要があります。また、次の要件があります。 ・インターネットに面した外部ファイアウォールで IPsec ポート (UDP 500/4500) および TCP ポート 443 を開く必要があります (展開する場合)。 ・DirectAccess サーバーのファイアウォールで TCP ポート 443 を開く必要があります。 ・DirectAccess サーバーには、DirectAccess クライアントが信頼している証明機関 (CA) によって発行された TLS 用のサーバー認証証明書が必要です。CA はパブリック CA でもかまいません。また、内部 PKI を展開する必要はありません。証明書が使用できない場合は、DirectAccess サーバーのセットアップ処理によって、必要な IP-HTTPS および KDC プロキシ証明書が自己署名証明書として自動的に構成されます。 (5) IPv4 専用リソースにアクセスするための NAT64 と DNS64 のサポート Windows DirectAccess は、クライアント側からは IPv6 専用のテクノロジです。つまり、クライアント アプリケーション自体で IPv6 リソースへの接続がサポートされている場合に限り、クライアントはリモート接続時に、IPv6 を介してアクセス可能なイントラネット リソースにのみアクセスできます。イントラネット アプリケーションまたはリソースが内部サーバーの IPv6 インターフェイスでリッスンしている場合は、それらに IPv6 を介して直接アクセスできます。イントラネット コンピューターによって DirectAccess クライアントのリモート管理を開始するには、内部アプリケーション サーバーまたは管理サーバーも IPv6 に完全に準拠し、それらのサーバーで実行されるサーバー アプリケーションが IPv6 と互換性がある必要があります。 Windows Server 2012 の DirectAccess では、IPv4 専用の内部リソースにアクセスできるように、DirectAccess クライアントからの IPv6 通信を内部サーバーのために IPv4 に変換するプロトコル変換 (NAT64) と名前解決 (DNS64) ゲートウェイをネイティブでサポートしています。NAT64 による変換は一方向 (DirectAccess クライアントによって開始されたトラフィック用) であるため、IPv4 専用のイントラネット コンピューターでは DirectAccess クライアントへの接続を開始してリモート管理を行うことはでき ません。  ・IPv6 に完全に対応しておらず、IPv4 のみサポートしているイントラネット サーバー (Windows Server 2003 ファイル サーバーなど)  IPv6 専用の DirectAccess で企業イントラネット リソースへのフル アクセスを妨げる主な要因が 3 つあります。  ・ネットワークで IPv6 が管理上無効になっている環境  ・IPv6 対応サーバー (Windows Server 2008 など) で実行されているが、それ自体は IPv6 に対応していないアプリケーション (IPv6 インターフェイスでリッスンおよびトラフィックへの応答を行うことができないアプリケーションなど) DirectAccess を介してこうしたリソースにアクセスするには、DirectAccess サーバーと IPv4 専用の内部リソースとの間でプロトコル変換を行う必要があります (その後 DirectAccess クライアントに送信される応答を IPv6 に変換します)。NAT64 では、クライアントから IPv6 トラフィックを受信し、それを IPv4 トラフィックに変換してイントラネットに送信します。NAT64 は DNS64 と組み合わせて使用されます。DNS64 では、クライアントから DNS クエリを取得し、NAT64 で IPv4 応答が関連付けられている IPv6 マッピングに変換された後に応答を送信します。 メモ:Windows Server 2012 より前の DirectAccess では、Microsoft Forefront Unified Access Gateway DirectAccess を展開する以外に、DirectAccess のプロトコル変換を行う方法はありません。 DirectAccess のセットアップ ウィザードでは、バックグラウンド処理としてプロトコル変換コンポーネントがシームレスに構成されるため、管理者による操作は必要ありません。管理者が選択できる構成オプションはありません。DirectAccess サーバーの内部インターフェイスに IPv4 アドレスが割り当てられている場合は、セットアップ ウィザードによって、NAT64 と DNS64 が自動的に有効になります。この機能をサポートするために、NAT64 用の IPv6 ネットワーク プレフィックスが構成されます。NAT64 プレフィックスが自動的に割り当てられ、エンタープライズ内のすべての IPv4 範囲に適用されます。クライアントが IPv4 専用リソースに接続しようとすると、DirectAccess サーバーはこのプレフィックスから生成された内部リソースの IPv6 アドレスを返します。 (6) NAT デバイスの内側に配置された DirectAccess サーバーのサポート Windows Server 2008 R2 DirectAccess サーバーには、外部インターフェイスに対して連続する 2 つのパブリック IPv4 アドレスが割り当てられた 2 つのネットワーク インターフェイスが必要です。これは、Teredo サーバーとして機能するために必要です。NAT の内側に配置されたクライアントが Teredo サーバーと NAT デバイスの種類を確認するためには、Teredo サーバーに連続する 2 つの IPv4 アドレスが必要です。 この要件は、連続するパブリック IPv4 アドレスにアクセスできない中小規模の組織には難しいものがあります。将来、使用できる IPv4 アドレス空間が枯渇した場合、これが展開を困難にする要因となる可能性があります。Windows Server 2012 の DirectAccess では、NAT デバイスの内側に DirectAccess サーバーを展開でき、1 つまたは複数のネットワーク インターフェイスがサポートされており、パブリック IPv4 アドレスに関する前提条件が削除されています。 リモート アクセス サービスのセットアップを行う作業の開始ウィザードまたはリモート アクセスのセットアップ ウィザードを実行すると、DirectAccess サーバーが NAT デバイスの内側に配置されているかどうかを確認するために、サーバーのネットワーク インターフェイスの状態が確認されます。この構成では、IP over HTTPS (IP-HTTPS) のみが展開されます。IP-HTTPS プロトコルとは、セキュリティで保護された HTTP 接続を使用してセキュリティで保護された IP トンネルを確立できる IPv6 移行テクノロジ です。 (7) 簡素化されたネットワーク セキュリティ ポリシー Windows Server 2008 R2 の DirectAccess では、2 つの IPsec トンネルを使用して、企業ネットワークへの接続を確立します。DNS、DC、管理サーバーなどのインフラストラクチャ リソースにアクセスするためには、DirectAccess クライアントにインフラストラクチャ トンネルが必要です。これらのインフラストラクチャ サーバーはすべてエンドポイントとしてインフラストラクチャ トンネルの IPsec ポリシーに追加されます。イントラネット トンネルは、その他のすべての企業イントラネット リソースへのアクセスに 使用されます。 運用ネットワークに対する DNS サーバーやドメイン コンポーネントの追加や削除などによってインフラストラクチャは変更されるため、インフラストラクチャ トンネル ポリシーに含まれるエンドポイントは定期的に更新する必要があります。IPsec ポリシーを更新して現在のインフラストラクチャ サーバー エンドポイントを反映していないと、クライアントはドメインに接続できなくなります。そうなると、グループ ポリシーの更新を受け取ってエラーを修正することができなくなります。 Windows Server 2012 の簡素化された DirectAccess モデルでは、1 つの IPsec トンネルを経由する DirectAccess を展開できるため、この問題は起こりません。ただし、簡素化された DirectAccess では、証明書ベースの認証を使用する特定の機能がサポートされません。例としては、スマート カードを使用した 2 要素認証や NAP の統合などがサポートされません。DirectAccess のすべての機能を使用できる必要がある場合は、これまでと同様に、トンネルが 2 つのモデルを展開する必要があります。 すべての機能を使用するためにトンネルが 2 つのモデルが必要な場合は、インフラストラクチャ トンネルを介してアクセスできるサーバーの一覧を管理者が更新できる追加機能を利用できます。新しいドメイン コントローラーおよび SCCM サーバーが検出されると、一覧に追加されます。存在しなくなったサーバーは一覧から削除され、IP が変更されたサーバーのエントリは更新されます。 (8)負荷分散のサポート Windows Server 2008 R2 の DirectAccess は完全な高可用性ソリューションではなく、単一サーバーの展開に制限されています。限定的なハードウェアの冗長性を実現するために、Hyper-V ライブ マイグレーション用に構成された Hyper-V フェールオーバー クラスターの内部に DirectAccess を構成できます。ただし、オンラインにできるサーバー ノードは常に 1 つだけです。 DirectAccess 展開は、単一サーバーで十分な処理能力を提供できる規模を超えて急速に拡大しています。企業は、変化する負荷の要件を満たすために、追加のサーバーを迅速かつ透過的に展開できる柔軟性を必要としています。また、イントラネットに接続している DirectAccess クライアントの停止が大規模で発生しないように、内部/外部の検出に使用されるネットワーク ロケーション サーバーの可用性を高くする必要があります。 Windows Server 2012 の DirectAccess では、Windows ネットワーク負荷分散 (NLB) のサポートを組み込むことで、こうした問題に対処し、DirectAccess と RRAS の両方の高可用性とスケーラビリティを実現しています。NLB の構成は、新しい展開ウィザード インターフェイスを使用して簡単にセットアップおよび自動化できます。セットアップ処理には、サード パーティのハードウェア ベースの外部ロード バランサー ソリューションのサポートも統合されています。 重要 Windows Server 2012 の DirectAccess は、最大 8 つのノードに対応し、ネットワーク負荷分散を使用した基本的なフェールオーバー ソリューションを提供します。サーバーの負荷はすべての NLB ノードで共有されますが、1 台のサーバーが使用できなくなったときに、既存の接続が自動的に別のサーバーに転送されることはありません。 (9) 複数のドメインのサポート Windows Server 2008 R2 では、管理者は複数のドメインのサポートを手動で構成できますが、その展開ではセットアップの完了後に DirectAccess ポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess には複数のドメインのサポートが統合されているため、リモート クライアントは別のドメインに配置されている企業リソースにアクセスできます。 Windows Server 2008 R2 の DirectAccess のセットアップ ウィザードを使用して DirectAccess を構成できるドメインは 1 つだけです。そのため、DirectAccess サーバーとは別のドメインのリモート クライアントが DirectAccess を使用することはできません。また、アプリケーション サーバーが別のドメインに属している場合、リモート クライアントが DirectAccess 経由でそれらのサーバーにアクセスすることもできません。 (10)NAP 統合 Windows Server 2008 R2 の DirectAccess では、イントラネット トンネルの IPsec ピア認証に対して正常性証明書を要求することで、ネットワーク アクセス保護 (NAP) の統合をサポートしていました。正常性証明書は、システム正常性オブジェクト識別子 (OID) を持つ証明書です。NAP クライアントは、NAP 正常性ポリシー サーバーで構成されたシステム正常性要件に準拠している場合には、正常性登録機関 (HRA) からのみ正常性証明書を取得できます。 Windows Server 2008 R2 の DirectAccess と NAP を統合するには、DirectAccess の展開後に、管理者が DirectAccess のセットアップ ウィザードによって作成されたグループ ポリシー オブジェクトとポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess では、セットアップ ユーザー インターフェイスから直接 NAP の正常性チェックを構成できます。 この機能により、NAP の統合に必要なポリシーと GPO の変更が自動的に行われます。NAP の正常性チェックの強制は、リ モート アクセスのセットアップ ウィザードから有効にできます。 メモ 新しいセットアップ ウィザードによって DirectAccess と NAP の統合は簡単になりますが、実際の NAP の展開自体は自動化されません。管理者は、NAP IPsec 強制と HRA インフラストラクチャを個別に構成する必要があります。 (11)OTP (トークン ベースの認証) のサポート 多くの組織では、ログイン セキュリティを強化するために、ワンタイム パスワード (OTP) による 2 要素認証を展開し、リモート アクセス接続にその認証を使用することを必須にしています。Windows Server 2008 R2 の DirectAccess では、スマート カードを使用した 2 要素認証をサポートしていましたが、RSA SecurID などの OTP ベンダー ソリューションと統合することはできませんでした。そのため、このセキュリティ レベルを必要とする組織では DirectAccess を展開できませんでした。 Windows Server 2012 の DirectAccess では、スマート カードを使用した 2 要素認証や OTP トークン ベースのソリューションをサポートしています。この機能を使用するには PKI を展開する必要があるため、DirectAccess のセットアップ ウィザードでこのオプションを選択すると、[コンピューターの証明書を使用する] チェック ボックスが自動で強制的にオンになります。 Windows Server 2012 の DirectAccess では、標準のスマート カード認証がサポートされるだけでなく、トラステッド プラットフォーム モジュール (TPM) ベースの仮想スマート カード認証機能も使用できます。クライアント コンピューターの TPM は 2 要素認証を行うときに仮想スマート カードとして機能するため、スマート カード展開で発生するオーバーヘッドとコストの削減につながります。 (12)強制トンネリングの自動サポート 既定では、DirectAccess クライアントはインターネット、企業イントラネット、およびローカル LAN リソースに対して同時にアクセスできます。企業イントラネットへの接続のみが DirectAccess IPsec トンネルを介して送信されるため、これは分割トンネル構成と呼ばれています。分割トンネリングにより、インターネット上のリソースにアクセスする際のユーザー エクスペリエンスが最適化され、イントラネット向けのトラフィックには強力なセキュリティが引き続き提供されます。 一部の管理者は、分割トンネリングではセキュリティが危険にさらされると考えています。従来の VPN 接続では、ホーム ネットワークや企業ネットワークなどのネットワーク間のトラフィックをユーザーがブリッジし、クライアントをルーターとして効率的に動作させる可能性があります。そのため、一般的に、管理者は VPN 接続の分割トンネリングを無効にし、すべてのネットワーク トラフィックが強制的に VPN 接続を経由してルーティングされるようにします。その結果、インターネット リソースにアクセスす る場合、すべてのトラフィックが必ず VPN トンネルを経由してからインターネットにプロキシされるため、パフォーマンスが低下します。また、消費される企業ネットワークの帯域幅も大幅に増加します。 DirectAccess を有効にする IPsec 規則ではクライアント エンドポイントによる認証が必要なため、DirectAccess のシナリオでは、分割トンネリングによってもたらされると考えられているセキュリティ上の危険はありません。別のエンドポイントで DirectAccess クライアントを介してルーティングしようとすると、そのクライアントは認証済みのソースではなくなり、IPsec によって接続が禁止されます。ただし、一部の組織では、すべてのトラフィックを検査できるように企業プロキシ サーバーを強制的に経由させ る必要があるため、DirectAccess の強制トンネリング オプションによってこの機能を提供しています。 強制トンネリング オプションは、Windows Server 2008 R2 の DirectAccess でも提供されていましたが、グループ ポリシー設定を通じて手動で有効にする必要がありました。Windows Server 2012 の DirectAccess では、強制トンネリング オプションはセットアップ ウィザードおよび管理 UI に統合され、必要な設定が自動的に行われます。強制トンネリング オプションを有効にすると、DirectAccess クライアントは接続に IP-HTTPS プロトコルのみを使用するにように制限され、既定では、NAT64/DNS64 サーバーとして DirectAccess サーバーを使用して、IPv4 プロキシ サーバーに送信する IPv6 リソースを変換します。 (13)IP-HTTPS の相互運用性とパフォーマンスの向上 特定のネットワークでは、インターネット ファイアウォール設定により、クライアントが 6to4 または Teredo IPv6 移行テクノロジを使用して正常に接続できない場合があります。IP-HTTPS は、他のすべての IPv6 移行テクノロジが失敗した場合でも、DirectAccess クライアントが企業ネットワークに接続できるようにするために、Windows 7 で導入された IPv6 移行テクノロジです。IP-HTTPS では、グローバルにルーティング可能な一意の IPv6 アドレスを IPv4 ホストに割り当て、HTTP トンネルを介して転送 するために IPv4 内に IPv6 パケットをカプセル化し、ホストとグローバルにルーティング可能な他の IPv6 ノードとの間の IPv6 トラフィックをルーティングします。 Windows Server 2012 では、IP-HTTPS の実装に関していくつかの機能向上が図られています。テクノロジの変更により、IP-HTTPS クライアントはプロキシ構成情報を取得し、認証が必要な場合に HTTP プロキシの認証を受けることができます。各 IP-HTTPS クライアントにクライアント証明書を展開するという Windows 7 の要件は削除されました。 IP-HTTPS では、クライアントとサーバー間に SSL/TLS 接続を作成した後、その接続を介して IP トラフィックを渡します。このデータは IPsec によって暗号化されます。そのため、データは 2 回 (1 回目は IPsec、2 回目は SSL によって) 暗号化されます。そのため、他の IPv6 移行テクノロジ (6to4 および Teredo) と比較してパフォーマンスおよびユーザー エクスペリエンスが低く、DirectAccess サーバーのスケーラビリティは制限されます。 IP-HTTPS は、ユーザー コンテキストではなく、システム コンテキストで実行されます。このコンテキストは、接続上の問題を引き起こす可能性があります。 たとえば、DirectAccess クライアント コンピューターが、インターネット アクセス用にプロキシを使用するパートナー企業のネットワーク内にあり、WPAD による自動検出が使用されていない場合、ユーザーがインターネットにアクセスするには、プロキシ設定を手動で構成する必要があります。これらの設定はユーザーごとに Internet Explorer で構成 します。IP-HTTPS の代わりに、わかりやすい方法で取得することはできません。 また、プロキシで認証が必要とされる場合、クライアントがインターネットにアクセスするには資格情報を示す必要がありますが、IP-HTTPS は DirectAccess の認証を受けるために必要な資格情報を提示しません。Windows Server 2012 では、これらの問題が新機能によって解決されています。具体的には、ユーザーは WPAD を使用するように構成されていないプロキシを介した場合に IP-HTTPS が機能するように構成 でき、IP-HTTPS は認証された IP-HTTPS 要求に必要なプロキシ資格情報を要求して提示し、それを DirectAccess サーバーにリレーします。 Windows Server 2012 の DirectAccess では、スケーラビリティを高め、この接続方法に関連するオーバーヘッドを削減するために、IP-HTTPS のパフォーマンスの向上が図られています。これらの最適化には、バッチ送信動作と受信バッファーの変更、ロック競合の削減、NULL 暗号化を使用して SSL を実装するオプションなどがあります。 DirectAccess で IP-HTTPS を構成する場合、証明機関 (CA) によって発行された証明書を使用するか、DirectAccess によって自己署名証明書が自動的に生成されるように指定することができます。PKI を展開しない場合は、自己署名証明書が便利です。 (14)外部管理のサポート DirectAccess クライアントでは、ユーザーがログインしていなくても、インターネット接続が使用可能なときは必ず、企業イントラネットへの接続が確立されます。そのため、IT 管理者はオフィスにいなくても、リモート マシンを管理し、修正および準拠の強制を行うことができます。これを DirectAccess の主な利点と考え、ユーザー接続のために既存のリモート アクセス ソリューションを維持したまま、リモート管理にのみ DirectAccess を使用しているお客様もいます。 Windows Server 2008 R2 の DirectAccess には展開を外部管理のみに自動的に制限する方法がないため、管理者がセットアップ ウィザードによって作成されたポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess では、クライアント コンピューターのリモート管理に必要なポリシーしか作成されないように制限する展開ウィザード オプションを使用した外部管理専用の構成がサポートされます。この展開では、強制トンネリング、NAP の統合、2 要素認証など、ユーザー レベルの構成オプションを使用できません。 (15)マルチサイト サポート DirectAccess サーバーを複数のサイトに展開して容量を増やし、イントラネット リソースに最も近いエントリ ポイントにより効率的にアクセスできます。これは、クライアントがそれぞれのサイトから離れず、企業内の別のサイトに到達する必要がない場合に適しています。ただし、クライアントがサイト間でローミングする場合は、最も効率的なルートを経由して DirectAccess サーバーに接続するように、マルチサイト DirectAccess のセットアップの計画と設計を慎重に行う必要があります。 マルチサイト環境では、クライアントが最も近い IP-HTTPS サーバー、Teredo サーバー、DNS サーバー、およびドメイン コントローラーを検出できるようにするなど、さまざまなことを考慮する必要があります。Windows Server 2012 の DirectAccess には地理的な場所にわたって複数の DirectAccess エントリ ポイントを展開できるソリューションが用意されており、クライアントは、物理的な場所に関係なく、企業ネットワーク内のリソースに効率的な方法でアクセスできます。 Windows Server 2012 では、リモート アクセス サーバーをマルチサイト展開で構成できます。これにより、地理的に離れた場所にいるリモート ユーザーがマルチサイト エントリ ポイントに接続する場合に、最も近いエントリ ポイントに接続できます。Windows Server 2012 が実行されているクライアント コンピューターでは、エントリ ポイントを自動で割り当てるか、クライアントが手動で選択することができます。Windows 7 クライアント コンピューターでは、エントリ ポイントを静的に割り当てることができ ます。マルチサイト展開内のトラフィックは、外部のグローバル ロード バランサーを使用して分散し、負荷のバランスを取ることができます。 (15)Server Core のサポート Server Core は、ディスク領域、サービス、および管理の要件を緩和し、オペレーティング システムが攻撃を受ける機会を減少させるために設計された最小限のサーバー インストール オプションです。Server Core システムではグラフィカル ユーザー インターフェイスがサポートされないため、管理者はコマンド ラインまたはリモート管理ツールを使用して、必要なすべての構成タスクを実行する必要があります。 Windows Server 2012 の新しいリモート アクセス サーバーの役割は Windows PowerShell に完全に対応しており、PowerShell を使用してインストール、構成、および監視を行うことができます。また、リモート サーバー管理を通じて、リモート アクセス サーバーの役割を構成することもできます。 Server Core インストールでは、Windows Server のフル インストールで使用できる機能のごく一部しかサポートしておらず、現在、DirectAccess 機能およびリモート アクセス サーバーの役割には対応していません。Windows Server 2012 の Server Core インストールでは、DirectAccess と RRAS が統合されたサーバーの役割をサポートしています。 (16)PowerShell のサポート Windows Server 2008 R2 の DirectAccess には、構成オプションのための完全なスクリプトおよびコマンド ライン インターフェイスがありません。Windows Server 2012 は Windows PowerShell に完全に対応しており、リモート アクセス サーバーの役割のセットアップ、構成、管理、監視、およびトラブルシューティングを行うことができます。 (17)ユーザーとサーバーの正常性の監視 Windows Server 2008 R2 では、RRAS サーバーと DirectAccess の両方の監視機能および診断機能は限定的です。 DirectAccess の監視機能では、DirectAccess とそのコンポーネントの基本的な正常性の監視しか行うことができません。利用できる監視データおよび統計情報は、管理者にとってあまり重要性や関連性がありません。 Windows Server 2012 で導入されたユーザーとサーバーの正常性の監視では、管理者は DirectAccess クライアントと接続の動作を把握できます。 DirectAccess サーバーの負荷、ユーザー アクティビティ、および現在のリソース使用状況の追跡は、監視コンソールを使用して行います。管理者はこの情報を使用して、悪影響を与える可能性のある利用状況や不適切な利用状況を特定します。診断のトレースも監視コンソールから有効にできます。 (18)ユーザーの監視 リモート アクセス ソリューションの管理者は、接続しているユーザーだけでなく、ユーザーがアクセスしているリソースも監視できる必要があります。特定のサーバーやファイル共有にリモートからアクセスできないとユーザーから報告があっても、管理者には現在、他のユーザーがリソースに正常にアクセスしているかどうかをリモート アクセス コンソールから確認する方法がありません。特定のユーザーが帯域幅を過度に消費しているなどの問題のトラブルシューティングを行うには、通常、複数のツー ルとアプリケーションが必要です。 監視ダッシュボードには、次の項目に関するリモート クライアントの接続状態の要約が表示されます。情報は、関連するパフォーマンス モニター カウンターおよびアカウンティング データから生成されます。 ダッシュボードにアクセスするには、新しいリモート アクセス サーバーの管理コンソールのナビゲーション ウィンドウにある [ダッシュボード] タブをクリックします。ダッシュボードには、全体的な正常性の状態およびリモート クライアントの活動と状態が表示されます。管理者は、ダッシュボードから直接クイック レポートを表示することもできます。 ・接続しているアクティブなリモート クライアントの総数 (DirectAccess と VPN の両方のリモート クライアントを含む) ・接続しているアクティブな DirectAccess クライアントの総数 (DirectAccess を使用して接続しているクライアントの総数のみ) ・接続しているアクティブな VPN クライアントの総数 (VPN を使用して接続しているクライアントの総数のみ) ・接続している一意のユーザーの総数 (アクティブな接続に基づき、DirectAccess と VPN の両方のユーザーを含む) ・累積セッションの総数 (最後にサーバーが再起動した後にリモート アクセス サーバーによって処理された接続の総数) ・接続したリモート クライアントの最大数 (最後にサーバーが再起動した後にリモート アクセス サーバーに同時に接続したリモート ユーザーの最大数) ・転送された合計データ (最後にサーバーが再起動した後に DirectAccess と VPN の両方のリモート アクセス サーバーから送受信された合計トラフィック)  ー 受信トラフィック (ゲートウェイあたりのリモート アクセス サーバーへのトラフィックあたりのバイト数の合計)  ー 送信トラフィック (ゲートウェイあたりのリモート アクセス サーバーからのトラフィックあたりのバイト数の合計) クラスター展開では、リモート アクセス ダッシュボードのリモート クライアントの活動と状態の要約には、すべてのクラスター ノードの合計値が表示されます。 管理者は、現在接続しているすべてのリモート ユーザーの一覧を表示し、特定のリモート ユーザーをクリックして、アクセスしているすべてのリソースの一覧を表示することができます。また、リモート アクセス管理コンソールの [リモート クライアントの状態] リンクをクリックすると、リモート ユーザーの統計情報を表示できます。 (19) サーバーの操作状態 管理者はこの機能を利用して、リモート アクセス展開の状態の管理と監視を、一元化された監視コンソールから実行できます。この機能では、注意が必要な問題を検出すると、管理者に警告します。インターフェイスには、詳細な診断情報と解決するための手順が表示されます。 コンソール ツリーの [ダッシュボード] ノードには、リモート アクセス インフラストラクチャと関連コンポーネントの状態を含む、リモート アクセス サーバーの状態が表示されます。 クラスターまたはマルチサイト展開でリモート アクセス サーバーを展開している場合、クラスターまたはマルチサイト展開内のすべてのサーバーは非同期に評価され、全体の状態と共に一覧表示されます。管理者は、サーバーの一覧をスクロールし、DirectAccess および VPN サーバーのコンポーネントの表示を展開したり折りたたんだりできます。 コンソール ツリーのサーバーの [操作の状況] ノードには、リモート アクセス インフラストラクチャと関連コンポーネントの状態を含む、リモート アクセス サーバーの状態が表示されます。管理者は、特定のコンポーネントをクリックして、そのコンポーネントの状態、変更履歴、および監視の詳細を表示できます。 サーバーの [操作状態] ウィンドウに状態モニターと共に表示されるリモート アクセス コンポーネントを以下に示します。 ・6to4 ・DNS ・DNS64 ・IP-HTTPS ・ドメイン コントローラー ・IPsec ・Kerberos ・ISATAP ・管理サーバー ・NAT64 ・ネットワーク アダプター ・ネットワーク ロケーション サーバー ・サービス ・ネットワーク セキュリティ (IPsec DoSP) ・Teredo ・VPN アドレス ・負荷分散 ・VPN 接続 (20)診断 現在提供されているログ機能は限定的なため、RRAS と DirectAccess の両方ともリモート アクセス接続のエラーのトラブルシューティング作業が非常に複雑になる場合があります。イベント ビューアー ログはあまり役に立たず、有益な情報を提供しないため、管理者がトラブルシューティングを行うには、通常、ネットワーク モニターのキャプチャおよび RRAS のトレースが必要です。 Windows Server 2012 では、リモート アクセスのトラブルシューティングを行うために、診断機能に関して次の点が強化されています。 DirectAccess の詳細なイベント ログ:管理者は強化されたイベント ログを使用して、問題を特定し、容量とパフォーマンスの分析を実行できます。他のネットワーク コンポーネントと一貫性のあるエクスペリエンスを実現するために、イベント ログは標準化されています。 トレースおよびパケット キャプチャ:トレースの統合により、管理者は 1 回のクリックでトレース ログとネットワーク パケット キャプチャを簡単に収集できます。 管理者が [タスク] ウィンドウで [トレースの開始] タスクをクリックすると、単一のプロセスの一部として、パケット キャプチャによるトレースとログの関連付けの両方が実行されます。 ログの関連付け:この機能では、1 回のクリックでさまざまな DirectAccess コンポーネントのログを自動的に収集して関連付けます。その際に、Windows の統合トレース機能を利用します。さまざまなコンポーネントから収集されたイベントは、アクティビティ ID の関連付けを通じて 1 つのファイルに集約されます。アクティビティ ID は、特定のタスクまたは操作を識別する GUID です。コンポーネントのログにイベントが記録されると、そのイベントにアクティビティ ID が関連付けられます。その後、この ID、 または ID にマップされている転送イベントがシナリオの次のタスクを実行するコンポーネントに渡され、イベントをログに記録するために、そのアクティビティ ID が関連付けられます。結果のトレース ファイルを分析すると、シナリオに関連するさまざまなコンポーネント間の関係を再構築できます。 ログの有効化/表示:監視ダッシュボードの [タスク] ウィンドウまたはコマンド ラインからログを有効にでき、ログ レベル、キーワード、およびフィルターを制御することもできます。生成された統合トレース ETL ファイルは、ネットワーク モニターを使用して、読み取りおよび表示することができます。 アカウンティングおよびレポート:Windows Server 2012 リモート アクセス サーバーでは、既存の RADIUS サーバー展開または Windows Internal Database (WID) を利用して、アカウンティングを行うことができます。NPS アカウンティング ストアにはユーザーの統計情報のみが含まれ、サーバーの統計情報および構成の変更はリモート アカウンティング ストアには保存されません。負荷およびサーバーの状態に関する情報および履歴データは、システムのパフォーマンス モニター カウンターを通じて 利用でき、WID アカウンティング ストアに保存されます。 リモート アクセス サーバーで接続の受信または切断が行われるたびに、すべてのリモート ユーザーの統計情報 (アクセスしているエンドポイントを含む) が 1 つのユーザー セッションとしてアカウンティング ストアに保存されます。そのため、レポートおよび監査目的で後からセッションの詳細にアクセスすることができます。 リモート アクセス サーバーの役割で提供されるアカウンティングおよびレポート機能には、特定のメトリックを測定する機能が含まれています。利用できるメトリックには、特定の DirectAccess サーバーに接続しているユーザーの数、アクセスの状態、および転送されたバイト数の合計があります。管理者は、カスタム レポートを作成して、トラフィックおよび利用パターン (これらのパターンの履歴を含む) を特定できます。 管理者は DirectAccess および RRAS のレポート機能を使用することで、リモート ユーザーの統計情報、サーバーの可用性と負荷など、ユーザーおよびサーバーのさまざまな統計情報に関する詳細な使用状況レポートを生成できます。 使用状況レポートの生成には、受信トレイ アカウンティング ストアが利用されます。 使用状況レポートを生成するには、ローカルの WID データベースに対する受信トレイ アカウンティングを有効にする必要があります。レポートの生成には、NPS/RADIUS アカウンティン グは使用されません。 使用状況レポートには、リモート接続を確立したユーザー、ユーザーがアクセスしたリソース、一意のユーザーの総数、生成されたサーバーの最大負荷などの使用履歴が表示されます。 管理者は、データを生成する特定の期間を選択できます。 クロスプレミス接続は、サービス ホスティング プロバイダーがアプリケーションおよびインフラストラクチャをクラウドに移行できるようにするネットワーク接続を提供する Windows Server 2012 の機能です。この機能には、サイト間インターネット キー交換バージョン 2 (IKEv2) トンネル モード VPN 接続ソリューションおよび管理インターフェイスが含まれています。Windows Server 2008 R2 では、VPN 接続に対する RRAS での IKEv2 のサポートが導入されました。IKEv2 VPN により、VPN クライアントが ネットワーク間を移動した場合や、ワイヤレスからワイヤード (有線) 接続に切り替わった場合に、クライアントに復元力がもたらされます。IKEv2 および IPsec を使用すると、強固な認証および暗号化方法をサポートできます。Windows Server 2012 の RRAS では機能が強化されており、サイト間 VPN 接続に対して IKEv2 を有効にできます。 (21)サイト間 IKEv2 IPsec トンネル モード VPN

152 DirectAccess サーバーの要件 Active Directory ドメインのメンバーであり、ドメインコントローラーと通信できること
もし構成時にドメインに参加していないことが検出されると、強制的にドメイン参加のプロセスが開始される(再起動要) DirectAccess の構成は、ローカルコンピューターの管理者権限を持ったドメインユーザーでな ければならない。また以下の要件を満たしている必要がある。 ドメインの Account Operators グループのメンバー Domain Admins グループのメンバー Enterprise Admins グループのメンバー サーバーで IPv6 および IPv6 移行テクノロジーが有効であること サーバーで IP ヘルパー サービス が起動していること サーバーで Windows Firewall が正常に稼働していること (無効にすると接続セキュリティ規則が処理できないため動作しない) ネットワークカードがネットワークに接続され、正常に稼働していること

153 その他の要件 クライアント OSとして以下が稼働していること Windows 7 または Windows 8
Windows Server 2008 R2 または Windows Server 2012 Active Directory ドメインのメンバーであること Active Directory ドメインコントローラー IPv6 に対応したドメインコントローラー Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 ドメインおよびフォレストレベルは問わない DNS 以下のOSで稼働しているDNSサーバー

154 DirectAccess は IPv6 ベースのテクノロジー
Windows Server 2012 DirectAccess では IPv6 移行テクノロジーにより、IPv4網との通信も可能にしている 必要な IPv6 移行テクノロジーは DirectAccess サーバーに実装されている インターネット 社内ネットワーク DirectAccess Server IPSec IPv6 DirectAccess Core IPv6 IPv6網 IPv6網 IPv6 移行 テクノロジー IPv6 移行 テクノロジー IPv4網 IPv4網

155 DirectAccess のネットワークトポロジー
Internet Intranet DirectAccess Server NIC NIC DMZ Firewall DirectAccess Server NIC NIC Firewall NIC DirectAccess Server AD DS

156 (IPv6 packets on an HTTPS)
IPv4 or IPv6(インターネット側) 自動構成 (Public) IPv6 Firewall DirectAccess Server 社内ネットワーク IPv6 網 IPv6 over IPSec だめなら次 Public IPv4 IPv4 網 IPv6 over IPv4(w/ IPSec) 6to4 6to4 だめなら次 Private IPv4 Firewall NAT, Proxy IP-HTTPS IPv4 網 (IPv6 packets on an HTTPS) IP-HTTPS Client IP-HTTPS Server

157 IPv4 or IPv6(社内ネットワーク側) Internet DirectAccess Server Ipv6網 NAT64
業務サーバー Public IPv6 Ipv6網 DNS64 NAT64 業務サーバー IPv4 only クライアントトリガーで通信が開始される Internet IPv4 網 業務サーバー Private IPv6 ISATAP

158 IPv6 移行テクノロジー 6to4 (RFC3056) Teredo(RFC4380)
IPv6 ホスト が IPv4 ネットワークで IPv6 トラフィックをトンネリングできるようにするテクノロジー 6to4 (RFC3056) IPv6 パケットを IPv4 でカプセル化するテクノロジー Teredo(RFC4380)    IPv6 と IPv4 をリレーするテクノロジー リレー用に2つの連続したパブリックIPv4アドレスを持ったNICが必要 Windows Server Windows 8 では使用されなくなった IP-HTTPS(RFC1945, RFC2616, RFC2818) IPv6 パケットを IPv4 HTTPS でカプセル化するテクノロジー DirectAccess では、IPv6 をIPSecで暗号化し、さらに HTTPS により暗号化しているため、 コンバージョンの負荷が高い ISATAP(Intra-Site Automatic Tunnel Addressing Protocol) IPv4 網内にある IPv6ホスト同士が通信を行うためのトンネリングテクノロジー

159 クライアント側アプリケーションは IPv6 対応でなければならない
IPv6 移行テクノロジーは IPv6 スタックを IPv4 スタックに変換(カプセル化)するために使用される。 社内業務サーバー側にはNAT64、DNS64が提供されるため IPv4アプリケーションサーバーが使用できる DirectAccess Client IPv4 網 DirectAccess Server Application DirectAccess Agent NIC NIC IPv6 Stack IPv6 Stack カプセル化 IPv4 Stack IPv4 Stack

160 企業内 Firewall に必要な設定 Native IPv6 DA 6to4 Firewall IP-HTTPS Dist. IP 50
Dist. UDP 500 Src. UDP 500 Dist. IP 41 6to4 Dist. IP 41 Dist. TCP 443 IP-HTTPS Src. TCP 443

161 HTTPS ベースの Kerberos Proxy
Windows Server 2012 DirectAccess では、PKI の展開はオプションとなり構成管理がシンプルになった クライアントの認証リクエストが DirectAccessサーバーのKerberos プロキシーに送られる Kerberos プロキシは、Kerberos 関連リクエストをクライアントに代わってドメインコントローラーに転送。認証が完了すると内部の業務サーバーとの通信が可能になる。 DirectAccess クライアントは2つの IPSECトンネルを DirectAccess サーバーとの間に 作成する。 最初のトンネルは「インフラストラクチャトンネル」と呼ばれ、イントラネット内の DNS oyobi AD DS ドメインコントローラー、その他の管理サーバーと通信するためのもので ある。 2つ目のトンネルが「イントラネットトンネル」と呼ばれ、WEBサイトやファイルサーバー、 その他のアプリケーションサーバーとの通信ためのものである。 Windows 7 時代にDirectAccessを展開する障害となっていたことの1つは、サーバー とクライアント証明書ベースの認証のためにPKI(Public Key Infrastructure)が必須と なっていたことでした。 DirectAccess は 認証とトラフィックの安全性維持のために IPsec AuthIP ポリシーに依存していました。Kerberosを使用してドメイン内のリソース を認証するために、クライアントは最初にDNSおよびDCと接続を確立しなければなり ません。 Windows 7 DirectAccess は、この接続を、AuthIPポリシーの2つの認証メソッドで実 装していました。 インフラストラクチャ IPSecトンネルは、最初の認証メソッドとしてコンピューターの証明 書を使用して確立され、2番目のメソッドとしてユーザーのNTLM認証を使用します。い ちどこのトンネルが確立されると、DCとの接続が有効になり、クライアントはKerberos トークンを取得し、コンピューター証明書とユーザーのKerberos認証(および他の認証 メソッド)によってイントラネットトンネルを確立できます。 この実装により、DirectAccess サーバーとすべてのクライアントがコンピューター証明 書によってプロビジョンされる必要がありました。 内部のPKIを管理することは、多くの中小規模組織において敷居が高いことです。 Windows 8 DirectAccess では PKIの展開はオプション化され、構成と管理がシンプ ルになりました。 この機能は HTTPSベースのKerberosプロキシーによってカプセル化されました。クラ イアントの認証リクエストは DirectAccessサーバー上で動作している Kerberos proxy サービスを経由して送信されます。Kerberos proxy は Kerberos リクエストをクライア ントが所属しているドメインの Domain Controllers に送信します。 新しい「簡易セットアップウィザードを使用すると、この機能は自動的にセットアップさ れます。このシンプルな展開方式では、強制トンネリングやNAP統合、2要素認証など の構成は有効になりません。また、この展開方式では、1つのIPSECトンネルだけが確 立されます。 AD DS クライアント/ユーザー認証 DirectAccess Server Kerberos Proxy Firewall Internet IPSec tunnel 業務サーバー Intranet

162 マルチサイト構成 地理的に分散した拠点にDirectAccessサーバーを設置可能 障害時のフェールーバーが可能
DirectAccess Server DirectAccess Server Windows Server 2012 DirectAccess は地理的に異なる複数のDirectAccessエントリポイント を作成することができる。 クライアントは物理的なロケーションにかかわらず、社内に接続することができる。 マルチサイト構成を展開すると、クライアントは自動的に最寄りのDAサーバーに接続する。ど こかのDAサーバーがエラーになれば、フェールオーバーもされる。 Client DirectAccess Server

163 Manage-Out のサポート 社内サーバーからDirectAccessクライアントを直接管理することができる
Firewall Internet DirectAccess クライアントは、インターネット接続が有効であれば、ユーザーがログオンしてい なくても、常に接続が確立されます。 このことにより、IT管理者は、社外に接続しているクライアントに対してパッチを適用したり、コ ンプライアンスにとって重要な管理が行えます。 2008R2でもできないことではなかったが、構成が面倒だった。2012ではウィザードでチェック するだけで構成できる。 管理サーバー DirectAccess Server クライアント パッチ セキュリティポリシー

164 ネットワークロードバランス構成 High Availability configuration is enabled through the Configuration node of the Remote Access Management Console. The setup provides support for an external load balancer, or configuring NLB on the DirectAccess and RRAS servers. If the administrator selects the option to use Windows NLB, the IP addresses assigned to the server interfaces are converted to virtual IP (VIP) addresses. The administrator is then prompted to specify corresponding dedicated IP (DIP) addresses and subnet masks for each interface.

165 強制トンネリング Firewall すべての通信を強制的に社内ネットワークを経由するようにすることで、全ての通信の監視が行える。
※規定では無効 社内ネットワーク Firewall DirectAccess Server クライアント 本来の経路 Proxy WEB

166 名前解決ポリシーテーブル(NRPT) Firewall NRPT 規則 NRPT 規則 Internet Internet Intranet
DNS 名前空間ごとに「使用する DNS サーバーを決定するポリシー」定義できる機能 ポリシールールに存在しない名前空間は、NICで定義されたDNSサーバーに問い合わせる インターネットトラフィックとイントラネットトラフィックの分離を実現するために、Windows 7/Windows Server 2008 R2 から導入された DirectAccess によりインターネットのクライアントは社内 DNS を使用できる DNS AD DS NRPT 規則 NRPT 規則 Firewall Client DNS DirectAccess Server Internet Internet Intranet

167 [コンピューターの構成] ┗ [Windows の設定]   ┗ [名前解決ポリシー]

168 ネットワーク ロケーション サーバー(NLS)
クライアントがイントラネットに直接接続されている場合のみアクセス可能な HTTPS サーバー DirectAccess クライアントが接続を試みて、正常に WEB ページを取得できた場合には、クライアントはイントラネット上に存在すると判断される イントラネット上のクライアントであると認識されると、DirectAccess サーバーは使用しない NLS が正しく動作していないとイントラネットかインターネットかの判別が行えないので、高可用性化することが推奨される NLS Firewall NLSの名前解決 できない Internet Intranet Internet

169 [コンピューターの構成] ┗ [管理用テンプレート]   ┗ [ネットワーク]     ┗ [ネットワーク接続状態インジケーター]       ┗ [ドメインの場所を特定する]