Windows Server 2012 ほぼ “全” 新機能解説セミナー

Windows Server 2012 ほぼ “全” 新機能解説セミナー
Windows Server 2012 R2 Preview を試す前に知っておきたい Windows Server ほぼ “全” 新機能解説セミナー第 1 版

Agenda Server Manager IPAM ユーザーインターフェースオプションの追加 DHCP Failover
Windows PowerShell 3.0 Active Directory Domain Service SMB 3.0 AD DS on Hyper-V ストレージ Dynamic Access Control スケールアウトファイルサーバー Hyper-V VDI DirectAccess IIS 8.0

Server Manager

Modern UI の採用規定ではログオンするとサーバーマネージャーが起動管理ツールは「ツール」メニューから起動

複数サーバーの管理ダッシュボードによる視認性の向上

複数サーバーの管理表示にアクションを直結

複数サーバーの管理複数サーバーのサービスを同時に操作

複数サーバーの管理カスタムサーバーグループの作成 1 2 3

複数サーバーの管理フィルター

役割や機能の追加ローカルサーバーリモートサーバ(含 Server Core) オフライン VHD
You can now add roles locally, remotely, on Server Core, or on offline VHDs directly from Server Manager.

PowerShell でサーバーマネージャーの処理を自動化
2300 以上のコマンドレットコマンドレットの検索機能 IntelliSense

ユーザーインターフェースオプションの追加

ユーザーインターフェースの変更 Windows Server 2012 では3段階のインストールオプションが用意されている:
Server Core 従来からの Server Core 最少インストールシェル (“MinShell”) Server Core に加えてサーバーマネージャーなどの限定的なGUI フルシェル全てのGUIがインストールされたモード。デスクトップエクスペリエンスを追加することもできる。 NEW

なぜこうなったのか? The challenges… 攻撃の対象を減らすために、システム管理者は常にパッチの適用に気を使わなければならない
多くの管理者にとって Server Core によるコマンドライン操作は不便だった The Windows Server 2012 のソリューション… 複数のインターフェースオプションリモート管理ツールを使用せずに、システム管理者が使い慣れた GUI で管理することができるさまざまなコンポーネントによるサーバー負荷をできる限り低減したい GUIをインストールするために、OS ごと再インストールするのではなく、機能の追加や削除で対応できると便利 GUIによってサーバーのインストールイメージや手順を複数用意するのではなく、1種類で済ませたい

Server Core マイクロソフトの推奨インストール構成
.Net Framework 4.5 Active Directory (AD) Active Directory Lightweight Directory Services (ADLDS) Active Directory Certificate Services (ADCS) DHCP Server DNS Server File Services BITS Server BranchCache Hyper-V Internet Information Services (IIS) Printing Services Streaming Media Services iSCSI Load Balancing MPIO qWave Telnet Unix Migration SQL Server 2012 マイクロソフトの推奨インストール構成 Server Core は以前と比較して多くの役割や機能をサポートしている -.Net Framework SQL Server 2012 WinRM により、リモートからの管理も容易 Windows PowerShell の利用も可能 Server Core と MinShell 間の移行が可能 While Microsoft remains committed to GUIs, they believe the primary place GUIs should exist is on the administrator’s desktop – not on the Server, Server resources are much more expensive than client resources and running GUIs on servers requires additional software components. Every component increases the security and serviceability exposure of that server so you should only install those components that are necessary to that server workload. Fewer things running on the server means fewer patches and more resources available to the server workload. In Windows Server they’ve made several investments to help administrators succeed in choosing Server Core as the primary deployment option for Windows Server. The traditional “Server with a GUI” is still provided as a backwards compatibility option. The number of server roles that run on Server Core has increased with support for .Net Framework 4.5 included. SQL Sever 2012 now installs, eliminating the most common reason administrators cited for not being able to run in the Server Core configuration. Firewall-friendly remote management (WinRM) and Windows PowerShell are now enabled and installed by default on all servers, removing any configuration needed before being able to manage the server remotely. Windows PowerShell’s cmdlets provide the command line coverage necessary for most admin scenarios. For the first time ever, Microsoft released a Beta version of the Remote Server Administrative Tools at the same time as the Server Beta providing a rich GUI experience to manage all Servers, including Server Core, from a Windows Client. Perhaps most significantly however, they’ve added the ability to move between Server Core and Server with a GUI (MinShell) without the need to reinstall the server! This means administrators can safely start with their server deployed in the Server Core configuration and if they find they need the GUI they can add it, and also remove it as needed using the SCONFIG CLI tool, Windows PowerShell or the Add/Remove Roles and Features Wizard. This “in-between” option provides many of the benefits of Server Core while still having the safety-factor of being able to run GUIs should the administrator need to log into the Server directly.

MinShell 最少のGUIをインストールするためのオプション GUI ツールを持った Server Core
Server Manager と cmd.exe が規定で起動する他のGUIも起動可能役割や機能の追加も可能（PowerShell からのインストールも可能） The minimal user experience option (MinShell) provides Server Core with GUI tools. Server Manager and cmd.exe launch by default when server is booted allowing other GUI tools to be loaded as desired. MinShell can be enabled Add Roles and Features wizard, or with PowerShell.

MinShell の有効化と無効化 Install-WindowsFeature Server-Gui-Mgmt-Infra
Install-WindowsFeature Server-Gui-Shell Install-WindowsFeature Desktop-Experience MinShell can be enabled through the Add Roles and Features Wizard of Server Manager or by using PowerShell to install the appropriate Windows Features: Server-Gui-Mgmt-Infra: infrastructure and a minimal server interface that supports GUI management tools Server-Gui-Shell: provides the full Windows graphical user interface for server, including Windows Explorer and Internet Explorer. Unilnstalling the shell reduces the servicing footprint of the installation, while leaving the ability to run local GUI management tools Desktop-Experience: includes features of Windows Server 2012, such as Windows Media Player, desktop themes, an photo management. Desktop Experience does not enable any of the Windows Server 2012 features; you must manually enable them. In previous versions of Windows, even if a server role or feature was disabled, the binary files for it were still present on the disk, consuming space. In Windows Server 2012, not only can you disable a role or feature, but you can also completely remove its files, a state called “disabled with payload removed.” To reinstall a role or feature that is disabled with payload removed, you must have access to an installation source, such as an installation DVD. To completely remove a role or feature, use –Remove with the Uninstall- WindowsFeature cmdlet of Windows PowerShell. For example, to completely remove Windows Explorer, Internet Explorer, and dependent components, run: Uninstall-WindowsFeature Server-Gui-Shell -remove Uninstall-WindowsFeature Server-GUI-Shell Uninstall-WindowsFeature Server-GUI-Shell -remove

インターフェースの違い Server Core MinShell Server W/GUI Desktop Experience
コマンドプロンプト Available Windows PowerShell サーバーマネージャー Not Available MMC コントロールパネルコントロールパネル内のアプレット Some Available Windows Explorer タスクバー通知エリア Internet Explorer ヘルプテーマスタートスクリーン WinRTアプリメディアプレーヤー [review the differences in feature sets between the available interfaces]

Windows PowerShell

Windows PowerShell とは何か?
分散処理や自動化のためのエンジンであり、スクリプトによるバッチ処理と対話シェルが用意されている自動化によって処理の品質を向上目的ベースのコマンドレット管理者と開発者のギャップを埋めるツール PowerShell has always focused on people using computers in a business context. PowerShell needed to be consistent, safe, and productive. Much has been made of the similarities between PowerShell and UNIX but in this regard, Microsoft’s ties are much closer to VMS/DCL and AS400/CL. Consistent: Operators and developers don’t have a lot of time to learn new things. A consistent experience lets them to invest once in a set of skills and then use those skills over and over again. PowerShell uses a single common parser for all commands and performs common parameter validation delivering absolute consistency in command line syntax. PowerShell cmdlets are designed in a way that ubiquitous parameters can provide consistent functions to all commands (e.g. –ErrorAction, – ErrorVariable, –OutputVariable, etc) Safe: An Operator once said that occasionally he was about to do something and realized that if he got it wrong, he would be fired. In PowerShell, if you ever execute a cmdlet which has a side-effect on the system, you can always type –WhatIf to test what would happen if you go through with the operation. It also supports –Confirm, - Verbose and –Debug. Despite these safeguards, things can go wrong and when they do, PowerShell spends a lot of effort to speed up the process of diagnosing and resolving the error. Productive: Every aspect of PowerShell’s design maximizes the power of users (ergo the name). PowerShell makes it easy to perform bulk operations across a large number of machines. PowerShell also makes it easy to have productive engagements between your operators and developers because it allows them to speak a common language and to help each other with their scripts. Microsoft’s goal has always been to deliver a single tool which could span the needs of operators doing ad hoc operations, simple scripting, formal scripting, advanced scripting and developers doing systems-level programming. Most importantly, they wanted to develop a tool which could be used by BOTH operators and developers to bridge the gap between the groups and allow them to create common scripts, learn from each other and work together. As you’ll see, PowerShell 3.0 continues in that effort. <Discuss the operating systems that support PowerShell 3.0 – see slide> PowerShell 3.0 は以下のOSでサポートされている: Built-in: Windows Server 2012 Windows 8 ダウンロード: Windows 7 SP1 Windows Server 2008 SP2 Windows Server 2008 R2 SP1

スクリプトの実行環境 Windows bat VBScript JScript PowerShell スクリプト exe COM COM
.NET Framework Script Engine Windows Script Host Class Library cmd/ command Cscript.exe Wscript.exe CLR（共通言語ランタイム） Windows

マイクロソフト製品と PowerShell の関係
製品ごとに専用の”コマンドレット”が用意されている多くの管理 GUI は裏でコマンドレットを呼んでいるインフラ担当者に、各製品への”標準化されたアクセス方法”を提供する Active Directory 管理センター PowerShell コンソール System Center Virtual Machine Manager Active Directory PowerShell コマンドレット Hyper-V PowerShell コマンドレット Active Directory Hyper-V

事前準備コンソールの環境設定簡易編集を有効にエクスプローラー（フォルダー）の環境設定「拡張子を表示しない」を無効に
実行ポリシーの設定 ※オンプレミスの”署名無しスクリプト”を実行できるようにするリモートからの操作を有効にする（リモーティングの有効化）必要に応じて自分専用の初期設定ファイルを作成（規定では存在しない） PS C:\>Set-ExecutionPolicy RemoteSigned PS C:\>Enable-PSRemoting –force PS C:\>notepad $profile

実行ポリシーの設定～ Set-ExecutionPolicy
17/3/6 6時30分実行ポリシーの設定～ Set-ExecutionPolicy “管理者として実行” する必要がある実行ポリシーの一覧 Restricted：制限つき (オペレーターモード)（規定値）対話形式のみスクリプトは実行できない AllSigned：署名スクリプトは、信頼された発行元による署名が必要 RemoteSigned：リモートの署名 “インターネットゾーン” のスクリプトは信頼された発行元による署名が必要 Unrestricted：無制限すべてのスクリプトを実行可能リモートのスクリプトについては常に警告 Bypass：バイパス何もブロックされず警告も表示されない “ポリシーの設定”は、規定ではコンピューター全体に影響する。適用範囲を制限するには、Scope も同時に定義する。 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

基本操作～コマンドレット情報を取得する使用可能なコマンドレット一覧を取得する
“Storage” という文字列を含むコマンドレットの一覧特定のモジュール内のコマンドレット一覧コマンドレットの書式 PS C:\> Get-Command PS C:\> Get-Command *-vm* -CommandType Cmdlet PS C:\> Get-Command -Module Hyper-V PS C:\> Get-Help <コマンドレット> -detailed PS C:\> Get-Help Move-VM -detailed

unix のあのコマンドは？ ls → get-ChildItem cp → copy-Object grep → select-String sort → sort-Object man → help clear → clear-Host cat → get-Content kill → stop-Process tee → tee-Object tail → get-Content 「アレはあるかな？」と思ったら Get-Alias <unix 上のコマンド>

IT Pro にとっての Windows PowerShell 3.0
自動化 ~2,430 コマンドレット (Windows Server 2008/R2 は 230 コマンドレット) シンプルな書式で習得が容易オーサリングツール（PowerShell ISE）の進化 Intellisense Snippets 3rd パーティによる拡張性 Show-Command ウィンドウ Easier to Automate Windows Server 2008/R2 shipped with ~230 cmdlets. Windows Server 2012 beats that by a factor of over 10 shipping ~ 2,430 cmdlets. You can now automate almost every aspect of the server. There are cmdlets for networking, storage, clustering, RDS, DHCP, DNS, File Servers, Print, SMI-S etc. – the list goes on. Windows Server 2012 is, by far, the most automatable version of Windows ever. Microsoft wanted to significantly lower the skill level required to successfully automate a complex solution. The ultimate goal is a world where operators think about what they want, type it and get it. Every customer’s needs and scenarios are different so they need to script their own solutions. Microsoft’s goal is to make it simple and easy to author scripts gluing together high level task oriented abstractions. The number one factor in making it simple is cmdlet coverage. That is why having ~2,430 cmdlets makes Windows Server 2012 so much easier to automate. A number of these cmdlets are extremely effective in dealing with the messy, real-world life of datacenters. There are cmdlets to work with REST APIs, JSON objects and even to get, parse and post web pages from management applications if required. There are already a large number of hardware and software partners that are shipping PowerShell cmdlets and those that haven’t released them yet are working to quickly deliver them in the next versions of their products. You should definitely make sure that any product you buy delivers a full set of PowerShell cmdlets. If it doesn’t, you should think twice and do some due diligence to make sure you are getting a product that is current and is still being invested in. If they didn’t do PowerShell, what other things they missing? The good news is that a lot of the products will support PowerShell by the time Windows Server 2012 ships. PowerShell 3.0 simplifies the language and utility cmdlets to reduce the steps and syntax necessary to perform an operation. <Below is an example showing the old way of doing something and the new simplified syntax – provide as example, if desired> PowerShell3.0 improves the authoring tools operators use to create scripts and author workflows. PowerShell-ISE now supports rich IntelliSense, snippets, 3rd party extensibility and a Show-Command window which makes it easy to find exactly the right command and parameters you need to accomplish a task. Workflow Microsoft integrated the Windows Workflow Foundation engine into PowerShell to make it simple and easy to automate things that take a long time, that operate against a very large scale, or that require the coordination of multiple steps across multiple machines. Traditionally Windows Workflow has been a developer-only tool requiring visual studio and a lot of code to create a solution. They’ve made it an in-the-box solution that allows administrators to create a solution using their existing PowerShell scripting skill. Workflow provides direct support for parallel execution, operation retries, and the ability to suspend and resume operations. For example, a workflow can detect a problem that requires manual intervention, notify the operator of this condition and then suspend operations until the operator corrects the situation and resumes the workflow. You can use any of the available Workflow designers to create workflows; however, Microsoft took it a step further and simplified authoring by extending the PowerShell language with the workflow keyword. Any operator or developer can now easily author a workflow using the tools that ship in all Windows SKUs. The behaviors of a workflow are different than a function and there are a few more rules but if you know how to write a PowerShell function, you are 80% of the way to being able to write a workflow. Authoring workflows using PowerShell is much easier than working with XAML and many of us easier to understand than Workflow designer tools. You also get the benefit of being able to paste them into and have someone be able to read/review it without having to install special tools. Scheduled jobs Microsoft seamlessly integrated Powershell and Task Scheduler to make it simple and easy to automate operations that either occur on a regular schedule or in response to an event occurring. For example, let’s say you have a workflow which is meant to run forever. It collects configuration information (disk info) and then suspends itself. The workflow is started and given a well- known name “CONFIG”. You can resume the workflow using Task Scheduler by registering a Scheduled Job to run at a specific time each week and after every system startup. When a configured trigger occurs, the scheduled job runs and resumes the workflow using its well-known name. The workflow then collects the configuration information, putting it into a new file, and suspending itself again. (continued from previous hidden slide) Robust Networking In previous releases, PowerShell shipped with remoting disabled by default and required operators to go to each machine and issue the Enable-PSRemoting cmdlet in order to remotely manage it. As a Cloud OS, remote management of servers via PowerShell is now the mainstream scenario, so we’ve reduced the steps required and enabled PowerShell remoting by default in all server configurations. We did extensive security analysis and testing to ensure that this was safe. WS-MAN is Microsoft’s primary management protocol, while COM and DCOM are kept for backwards compatibility. WS-MAN is a Web-Services protocol using HTTP and HTTPS. While these are effectively REST protocols, PowerShell establishes a session layer on top of these to reuse a remote process for performance and to take advantage of session state. These sessions were robust in the face of modest network interruptions but would occasionally break when operators managed servers from their laptops over Wi-Fi networks while roaming between buildings. The session layer of WSMAN has been enhanced. By default, it will survive network interruptions up to 3 minutes. Disconnected Sessions support was added to PowerShell sessions which give users the option to disconnect from an active remote session and later reconnect to the same session, without losing state or being forced to terminate task execution. You can even connect to the session from a different computer (just like a remote desktop session). Let’s take a closer look at a few of these new features. Windows Workflow Foundation との統合 PowerShell のスキルだけでワークフローを記述ジョブのスケジューリングタスクスケジューラーとのシームレスな連携堅牢なセッションセッションへの再接続が可能に

Show-Command Cmdlet 初心者向けのダイアログボックス必要なパラメターはダイアログから入力可能モジュールをフィルタ可能
コマンドレット名で検索可能 The new Show-Command cmdlet lets beginners run cmdlets from a dialog box. Running Show- Command without parameters displays a list of available cmdlets. Like Get-Command, it lists all cmdlets, functions, aliases, and scripts installed on the system. At the Windows PowerShell command prompt, type Show-Command, and then press ENTER. You can filter by Module and use the Name box to search. In the example we are searching through all modules for any name containing “Item”. When you click on a command, in this case “Get-Item” it will provide you with a dialog box in which to designate parameters.

堅牢なPS セッション Source1 Target Source2 セッション
State=Disconnected, Availability=None に対してのみ Disconnect-PSSession コマンドレットで明に Disconnect した場合ネットワークの切断や PC のハングアップ等で Disconnected になった場合 ※ コンソールを明に落とした場合は強制終了したものとみなされる同時に2台以上のコンピューターからは接続できない State=Disconnected Availability=None Source1 Target Disconnect-PSSession セッション Source2 Connect-PSSession 再接続可能

Id Name ComputerName State ConfigurationName Availability
PC1 PS > $S = New-PSSession -ComputerName Target1 PS > $Result = Invoke-Command -Session $S {Get-Service} PS > Disconnect-PSSession -Session $S Id Name ComputerName State ConfigurationName Availability 121 Session Target Disconnected Microsoft.PowerShell None Target PC2 PS > Get-PSSession -ComputerName Target1 Id Name ComputerName State ConfigurationName Availability 10 Session tfdc Disconnected Microsoft.PowerShell Busy 12 Session tfdc Disconnected Microsoft.PowerShell None PS > $S = Get-PSSession -Name Session121 -ComputerName Target1 PS > Connect-PSSession -Session $S

PowerShell 3.0 - ワークフローパラレルサスペンド WF WF 処理1 処理1 結果1 処理2 処理2 WF 処理3
複数のリモートコンピューターに対して一斉に行う処理長時間を要する処理途中で一時停止する可能性がある処理結果を永続化したい処理パラレルサスペンドジョブと結果の永続化 WF WF 結果ストア処理1 処理1 結果1 サスペンド checkpoint 処理2 サーバーが条件に合致しない場合にサスペンドし、あとでレジューム処理2 サーバーダウン checkpoint WF 処理3

ワークフローの作成 PowerShell ISE（またはテキストエディタ）で作成する workflow キーワードを使用する
{ <処理> } （例）MyWorkflow という名前でリモートコンピューターのサービス一覧を取得するワークフロー workflow MyWorkflow ( [String] $ServiceName ) { Get-Service -PSComputerName $PSComputerName -Name $ServiceName } （例）実行例 PS C:\>mywf -PSComputerName ServiceName wuauserv

ワークフローの実行からレジュームまでローカルPC Remote Server （DC01） PSワークフローセッションを張る
$S = New-PSWorkflowSession -ComputerName DC01 ワークフローをDC01上に作成する Invoke-Command -Session $S -FilePath .\CreateNewUser.ps1 状態なしワークフローが作られたことを確認 Invoke-Command -Session $S {Get-Command -CommandType Workflow} ワークフローを実行 Running Invoke-Command -Session $S {CreateUser -PSPersist $true -ErrorAction SilentlyContinue -AsJob} Suspended DC01 が停電によりシャットダウン DC01 が復電により再起動もう一度セッションを張る $S = New-PSWorkflowSession -ComputerName DC01 ジョブIDを確認 Invoke-Command -Session $S { Get-Job } ジョブをレジューム Running Invoke-Command -Session $S { Resume-Job 3 }

Windows PowerShell Web Access
WS-Man に接続するためのゲートウェイ Internet Home DMZ Intranet Session Server PSWA PC PS Session Devices PS Session 携帯からも再接続リバースプロキシ

PowerShell Web Access のセットアップ

２．IIS で自己署名証明書を作成してバインドを設定する（SSLを有効に）
ご自身のサーバーを指定してくださいバインドの設定で作成した証明書を選択

3. PowerShell を管理者モードで起動 4. 以下のコマンドを実行
PS C:\> Set-ExecutionPolicy RemoteSigned 　PS C:\> Import-Module PowerShellWebAccess 　PS C:\> Install-PswaWebApplication -webSiteName "Default Web Site" 　PS C:\> Add-PswaAuthorizationRule * * * 5. にアクセスここで指定するサーバーは、接続先となるサーバー

権限の委譲別の権限を使用したワークフローの実行資格情報を作成ワークフローの RunAsUser プロパティに作成した資格情報をセット
WinRM を再起動して権限を有効にする設定された内容を見る ↪ $Cred = Get-Credential –Credential contoso\administrator Delegated Permissions allow for the use of alternate credentials during a workflow. 1. Type the following command, and then press ENTER. ↪ $Cred = Get-Credential –Credential contoso\administrator When prompted for a password, type Passw0rd!, and then click OK. 2. Type the following command, and then press ENTER. ↪ Set-Item WSMan:\localhost\Plugin\Microsoft.Powershell.Workflow\RunAsUser -Value $Cred To set the RunAsUser property, you use the Set-Item cmdlet with the $Cred parameter as the value of the Value parameter. The RunAsPassword value is configured automatically based on the value of the PSCredential object. 3. To make the change effective, type the following command, and then press ENTER. ↪ Restart-Service WinRM To make the change effective, you use the Restart-Service cmdlet to restart the WinRM service. 4. To see the effect of the change, type the following command, and then press ENTER. ↪ Get-ChildItem WSMan:localhost\Plugin\Microsoft.Powershell.Workflow To see the effect of the change, use the Get-ChildItem cmdlet to view the properties of the Microsoft.PowerShell.Workflow session configuration. All commands that are invoked in the Microsoft.PowerShell.Workflow endpoint will now run using the administrator credentials. ↪ Set-Item WSMan:\localhost\Plugin\Microsoft.Powershell.Workflow\RunAsUser -Value $Cred ↪ Restart-Service WinRM ↪ Get-ChildItem WSMan:localhost\Plugin\Microsoft.Powershell.Workflow

Snippets ISE からコードスニペット機能を使用することができる [編集]-[スニペット開始]
オリジナルのスニペットを登録するには New-ISESnippet 登録したスニペットを参照するには Get-ISESnippet PowerShell 3.0 has support for built-in snippets and those that you create using the New-IseSnippet command. The snippet will persist across ISE sessions!

Intellisense 補完が開始されるタイミングコマンドレットやパラメタを自動補完してくれる機能入力スピードが飛躍的に向上
IntelliSense complements tab completion in the Windows PowerShell Integrated Scripting Environment (ISE). While tab completion allows you to cycle through the options, IntelliSense displays a drop-down list of context-sensitive options. IntelliSense automatically displays a list of options when you type any of the following: · “-“ (dash) after a verb, as in Get- or before a parameter name, as in Get-Process – · “.” (period) after an object, as in $host. · “::” (double colon) after a type, as in [int]:: · “\” (backslash) for providers, as in C:\ · “ “ (space) after parameters “-“ (dash) verb（動詞）の後のダッシュ “.” (period) オブジェクトの後にピリオド “::” (double colon) オブジェクトタイプの後にダブルコロン “\” (backslash) プロバイダーの後にエンサイン（バックスラシュ） “ “ (space) コマンドレットの後ろにスペース

SMB 3.0

どうしてこうなったのか? スループットが向上することで…
ファイルサーバーは複数のコネクションを同時に使用して、より多くのデータを高速に転送できるネットワークフォールトトレンランスにより… 同時に複数のネットワークコネクションを使用して、クライアントはネットワークの切断を回避できる自動構成機能により… SMB マルチチャネルは自動的にネットワークパスを探索して、必要に応じて動的にネットワークパスを追加する管理コストを低減 Increased throughput. The file server can simultaneously transmit more data using multiple connections for high speed network adapters or multiple network adapters. Network Fault Tolerance. When using multiple network connections at the same time, the clients can continue to work uninterrupted despite the loss of a network connection. Automatic Configuration: SMB Multichannel automatically discovers the existence of multiple available network paths and dynamically adds connections as required. Administrative effort is reduced.

NICチーミング & SMB 3.0 マルチチャネル tNIC tNIC SWITCH
NIC チーミング（最大 32 NIC/Team）を OS 標準でサポートスイッチ依存（Static or LACP）/ 非依存ネットワークフォールトトレランス SMB 3.0 マルチチャネル with RSS SMB スループット向上 1インターフェース（＝1NIC）あたり最大 4 TCP/IP Connection 1セッションあたり既定で 32 Connection NIC Teaming CPU NIC Teaming SWITCH SMB Multi. Core Core SMB Multi. RSS NIC tNIC tNIC NIC RSS Core Core RSS NIC NIC RSS Core Core (Continued from previous hidden slide) SMB3.0には、スケールアウトファイルサーバーの基盤となる様々なテクノロジーが含まれています。 SMB スケールアウト SMBスケールアウトにより、ファイルサーバークラスター内のすべてのノードが直接、かつ同時にアクセスできるファイル共有を作成することができる。その結果、ファイルサーバーのロードバランスやネットワーク帯域の利用を改善することができる。そして、その結果サーバーアプリケーションのパフォーマンスが最適かされる。SMBスケールアウトを使用するには、CSV V2が必須であり、これはWindows Server 2012に実装されている。 SMB透過フェールオーバー SMB 透過フェールオーバーを使用すると、管理者は、ファイル共有にデータを格納しているサーバーアプリケーションを中断することなく、ファイル共有をノード間で移動して (汎用ファイルサーバーの場合)、ファイルサーバーのフェールオーバークラスター内のノードのハードウェアまたはソフトウェアの保守を行えます。移動が発生すると、スケールアウトファイルサーバーの場合、クライアントはクラスター内の別のノードに再接続されます。また、クラスターノードでハードウェアまたはソフトウェアの障害が発生した場合は、SMB 透過フェールオーバーによって、ファイル共有は別のクラスターノードにフェールオーバーされます。このとき、ファイル共有にデータを保存しているサーバーアプリケーションに中断は発生しません。フェールオーバーはサーバーアプリケーションから透過で、エラーがアプリケーションまで影響することはありません。自動再接続時に、非常にわずかな遅延がネットワーク I/O で発生するだけです。 SMB マルチチャネル SMB クライアントと SMB サーバー間で複数のパスが使用可能である場合、SMB マルチチャネルを使用すると、ネットワーク帯域幅の集約とネットワークフォールトトレランスを実現できます。これにより、サーバーアプリケーションは利用可能なすべてのネットワーク帯域幅を完全に活用できると共に、ネットワーク障害からの復元力を確保できます。 SMB ダイレクト SMB ダイレクト機能では、特殊なネットワークアダプターを使用します。このアダプターはリモートダイレクトメモリアクセス (RDMA) 機能を搭載し、待機時間が非常に短く、CPU をほとんど使用せずに最高速度で動作できます。この機能により、Hyper-V や SQL Server などのワークロードを処理する際に、ローカル記憶域への接続時に匹敵するパフォーマンスをリモートファイルサーバーで達成できます。サーバーアプリケーション用のパフォーマンスカウンター: パフォーマンスカウンターは、I/O サイズ、I/O 待機時間、IOPS などについての詳細な情報を提供します。 SQL Server のデータベース管理者または Hyper-V の管理者は、これらの情報を基に、データが格納されている SMB ファイル共有のパフォーマンスを分析できます。 SMB パフォーマンスの最適化: SMB3 クライアントおよび SMB3 サーバーが、SQL Server オンライントランザクション処理 (OLTP) などのサーバーアプリケーションで一般的な、小規模なランダム読み取り/書き込み (I/O) 向けに最適化されています。また、SMB は大きな MTU (1 MB SMB メッセージサイズ) を既定でサポートするようになったので、SQL Server データウェアハウス、データベースのバックアップと復元、仮想ハードディスクの展開とコピーなどの、大規模なシーケンシャル転送のパフォーマンスが大幅に向上します。 PowerShell を使用した管理: Windows PowerShell を使用して、ファイルサーバーの SMB をコマンドラインからエンドツーエンドで管理できます。 SMB リモートファイルストレージ Hyper-V はSMB3.0 によってVHD ファイル（スナップショット含む）を SMB 共有に格納し、SMBプロトコルでアクセスできるようになりました。ちなみに、SQL Server 2008 R2 では、SMB共有にデータベースを格納できるようになっている。 RSS NIC NIC RSS Core Core SMB コネクション RSS: Receive-side scaling ※ NIC チーミングで RDMA(Remote Direct Memory Access) はサポートされていない

SMB 3.0 マルチチャネルを使用するための条件
必要条件 Windows Server 2012 または Windows 8 が動作していること少なくとも以下の 1 つの構成が有効であること複数のネットワークアダプターを実装している少なくとも1 つのネットワークアダプターが RSS (Receive Side Scaling) をサポート少なくとも2 つのネットワークアダプターが NIC チーミング構成であること少なくとも1 つのネットワークアダプターが RDMA (Remote Direct Memory Access) をサポートしていること SMB マルチチャネルが使用できない構成 1枚の RSS 非対応ネットワークアダプターしか実装していないスピードの異なるネットワークアダプターインストール手順 Windows Server 2012 と Windows 8 で自動的に有効になる Windows PowerShell を使用して有効/無効を切り替えられる Requirements SMB Multichannel requires the following: At least two computers running Windows Server 2012 or Windows 8. At least one of the configurations below: Multiple network adapters One or more network adapters that support RSS (Receive Side Scaling) One of more network adapters configured with NIC Teaming One or more network adapters that support RDMA (Remote Direct Memory Access) Sample Configurations that do not use SMB Multichannel The following are sample network configurations that do not use SMB Multichannel: Single non-RSS-capable network adapters. This configuration would not benefit from multiple network connections, so SMB Multichannel is not used. Network adapters of different speeds. SMB Multichannel will choose to use the faster network adapter. Only network interfaces of same type (RDMA, RSS or none) and speed will be used simultaneously by SMB Multichannel, so the slower adapter will be idle. Installation SMB Multichannel is enabled by default. There is no need to install components, roles, role services or features. The SMB client will automatically detect and use multiple network connections if a proper configuration is identified.

シングル NIC の場合 SMB Client SMB Client SMB Server SMB Server
1セッション、マルチチャネル無し 1セッション、マルチチャネル利用複数のTCP/IPコネクションにより NIC の帯域を使い切る RSS が処理をサポート 1NIC あたり、4コネクション（規定値） NIC の帯域を使いきれない 1 core のみ使用 SMB Client SMB Client CPU CPUの使用状況 CPU CPUの使用状況 RSS NIC NIC SWITCH SWITCH This typical configuration involves an SMB client and SMB Server configured with a single 10GbE NIC. Without SMB multichannel, if there is only one SMB session established, SMB uses a single TCP/IP connection, which naturally gets affinitized with a single CPU core. If lots of small IOs are performed, it’s possible for that core to become a performance bottleneck. Most NICs today offer a capability called Receive Side Scaling (RSS), which allows multiple connections to be spread across multiple CPU cores automatically. However, when using a single connection, RSS cannot help. With SMB Multichannel, if the NIC is RSS-capable, SMB will create multiple TCP/IP connections for that single session, avoiding a potential bottleneck on a single CPU core when lots of small IOs are required. SMB Server SMB Server NIC NIC RSS CPU CPU

複数 NIC の場合（チーミング無し） SMB Client SMB Client SMB Client SMB Server
1セッション、マルチチャネル利用 1セッション、マルチチャネル無し NICの自動フェールオーバーをサポート複数の RSS NIC により帯域幅が増加（最大32コネクション ※1NICは既定で4コネクション） RSS非サポートNICの場合はNICごとに1コネクション帯域を使いきれない 1枚のNICを使用 RSS 対応の場合 RSS 非対応の場合 SMB Client SMB Client SMB Client CPU CPU RSS RSS NIC NIC NIC NIC NIC NIC SWITCH SWITCH SWITCH SWITCH SWITCH SWITCH When using multiple NICs without SMB multichannel, if there is only one SMB session established, SMB creates a single TCP/IP connection using only one of the many NICs available. In this case, not only it’s not possible to aggregate the bandwidth of the multiple NICs (achieve 2Gbps when using two 1GbE NICs, for instance), but there is a potential for failure if the specific NIC chosen is somehow disconnected or disabled. With Multichannel, SMB will create multiple TCP/IP connections for that single session (at least one per interface or more if they are RSS-capable). This allows SMB to use the combined NIC bandwidth available and makes it possible for the SMB client to continue to work uninterrupted if a NIC fails. SMB Server SMB Server SMB Server NIC NIC NIC NIC NIC NIC RSS RSS CPU CPU

1枚または複数の RDMA NIC の場合 SMB Client SMB Client SMB Server SMB Server
1セッション、マルチチャネル無し 1セッション、マルチチャネル利用自動フェールオーバーされない帯域を使い切れない 1 TCP/IP コネクション（NIC1枚のみ） SMB over RDMA は無効 NICの自動フェールオーバー複数の RDMA により帯域幅が倍増複数のRDMAコネクション（最大 2 connections /1NIC） SMB Client SMB Client RDMA NIC RDMA NIC RDMA NIC RDMA NIC SWITCH SWITCH SWITCH SWITCH SWITCH SMB Multichannel is the feature responsible for detecting the RDMA capabilities of NICs to enable the SMB Direct feature (SMB over RDMA). Without SMB Multichannel, SMB will use regular TCP/IP with these RDMA-capable NICs (they all provide a TCP/IP stack side-by-side with the new RDMA stack). With SMB Multichannel, SMB will detect the RDMA capability and create multiple RDMA connections for that single session (two per interface). This allows SMB to use the high throughput, low latency and low CPU utilization offered by these RDMA NICs. It will also offer fault tolerance if you’re using multiple RDMA interfaces. SMB Server SMB Server RDMA NIC RDMA NIC RDMA NIC RDMA NIC

NICチーミング SMB Client SMB Client SMB Server SMB Server
自動フェールオーバーされる帯域を使い切れない 1 TCP/IP コネクション（NIC1枚のみ） NICの自動フェールオーバー（NICチーミングにより高速）マルチコネクションによる帯域幅増加 ※ただしNICが1枚に見えるためコネクションはそれぞれのNICで分割 SMB Client SMB Client Teaming Teaming RSS RSS NIC NIC NIC NIC SWITCH SWITCH SWITCH SWITCH SWITCH Windows Server 2012 supports the ability to combine multiple NICs into one using a new feature commonly referred to as NIC teaming. Although a team always provides fault tolerance, SMB without Multichannel will create only one TCP/IP connection per team, leading to limitations in both the number of CPU cores engaged and the use of the full team bandwidth. SMB Multichannel will create multiple TCP/IP connections, allowing for better balancing across CPU cores with a single SMB session and better use of the available bandwidth. NIC Teaming will continue to offer the failover capability, which will work faster than using SMB Multichannel by itself. NIC Teaming is also recommended because it offers failover capabilities to other workloads that do not rely on SMB and therefore cannot benefit from the failover capabilities of SMB Multichannel. SMB Server SMB Server NIC NIC NIC NIC RSS RSS Teaming Teaming ※ RDAM はNICチーミングが使用できない

まとめ：マルチチャネル/RDMA/NIC Teaming の比較
スループット SMB フォールトトレランス SMB 以外のフォールトトレランス CPU 負荷低減 N/A シングル △ マルチ △△ ○ RSS ▲ ▲▲ RDMA Here’s a table summarizing the different capabilities available when combining SMB Multichannel, RDMA (SMB Direct) and NIC Teaming. For non-RDMA NICs, your best bet is combining NIC Teaming with SMB Multichannel. This will give you the best throughput, plus fault tolerance for applications using SMB and other protocols. When using RDMA NICs, Load Balancing and Failover with NIC Teaming is not a good option, since it disables the RDMA capability of the NIC.

最大 1 Session/32 Connections
SMB セッションについて NIC インターフェースあたりのコネクション RSS NIC ：（規定値）4 TCP/IP コネクション RDMA NIC ：2 RDMA コネクションその他のNIC ：1 TCP/IP コネクションクライアント―サーバー間のコネクション数は規定値 32（セッション数は1） Client SMB SMB Server 最大 1 Session/32 Connections SMB Multichannel will use a different number of connections depending on the type of interface: For RSS-capable interfaces, 4 TCP/IP connections per interface are used For RDMA-capable interfaces, 2 RDMA connections per interface are used For all other interfaces, 1 TCP/IP connection per interface is used There is also a limit of 8 connections total per client/server pair which will limit the number connections per interface. For instance, if you have 3 RSS-capable interfaces, you will end up with 3 connections on the first, 3 connections on the second and 2 connections on the third interface. Microsoft recommends that you keep the default settings for SMB Multichannel. However, those parameters can be adjusted. Microsoft recommends keeping default settings, but the parameters can be modified

SMB マルチチャネルの有効化/無効化無効にする SMB サーバー側:
Set-SmbServerConfiguration -EnableMultiChannel $false Set-SmbClientConfiguration -EnableMultiChannel $false 有効にする Disabling SMB Multichannel is enabled by default and there is typically no need to disable it. However, if you want to disable SMB Multichannel (for testing purposes, for instance), you can use PowerShell. On the SMB server side: Set-SmbServerConfiguration -EnableMultiChannel $false On the SMB client side: Set-SmbClientConfiguration -EnableMultiChannel $false Disabling the feature on either the client or the server prevents its use. Re-enabling You can re-enable SMB Multichannel after you disabled it: Set-SmbServerConfiguration -EnableMultiChannel $true Set-SmbClientConfiguration -EnableMultiChannel $true You need to enable the feature on both the client or the server to start using it again. SMB サーバー側: SMB クライアント側: Set-SmbServerConfiguration -EnableMultiChannel $true Set-SmbClientConfiguration -EnableMultiChannel $true

SMB 関連パラメタの編集クライアント/サーバー間のコネクション数
Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n> ※規定値 8 RSS NIC のコネクション数 Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n> Total Connections per client/server pair You can configure the maximum total number of connections per client/server pair using the PowerShell cmdlet: Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n> Connections per RSS-capable NIC You can configure the number SMB Multichannel connections per RSS-capable network interface using the PowerShell cmdlet: Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n> Connections per RDMA-capable NIC It is even less likely that you’ll need to adjust the number of connections per RDMA-capable interface. That can be configured via a registry key using PowerShell: Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force Connections for other types of NIC For NICs that are not RSS-capable or RDMA-capable, there is likely no benefit of using multiple connections. In fact, this will likely reduce your performance. However, for troubleshooting purposes, there is also a registry key to change the default settings of 1 connection per setting. Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force RDMA NIC のコネクション数 Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force それ以外のNICのコネクション数 Set-ItemProperty -Path ` "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force

SMB マルチチャネルの検証手順 1. アダプターの構成を確認する（サーバー、クライアント両方で実施）
Get-NetAdapter Get-NetAdapterRSS Get-NetAdapterRDMA Get-SmbClientConfiguration | Select EnableMultichannel Get-SmbClientNetworkInterface You can use PowerShell to verify you are using SMB Multichannel. Step 1: Verify network adapter configuration Use the following PowerShell cmdlets to verify you have multiple NICs and/or to verify the RSS and RDMA capabilities of the NICs. Run on both the SMB server and the SMB client. Get-NetAdapter Get-NetAdapterRSS Get-NetAdapterRDMA Step 2: Verify SMB configuration Use the following PowerShell cmdlets to make sure SMB Multichannel is enabled, confirm the NICs are being properly recognized by SMB and that their RSS and RDMA capabilities are being properly identified. On the SMB client, run the following PowerShell cmdlets: Get-SmbClientConfiguration | Select EnableMultichannel Get-SmbClientNetworkInterface On the SMB client, runthe following PowerShell cmdlets: Get-SmbServerConfiguration | Select EnableMultichannel Get-SmbServerNetworkInterface Step 3: Verify the SMB connection On the SMB client, start a long-running file copy to create a lasting session with the SMB Server. While the copy is ongoing, open a PowerShell window and run the following cmdlets to verify the connection is using the right version of SMB and that SMB Multichannel is working: Get-SmbConnection Get-SmbMultichannelConnection Get-SmbMultichannelConnection -IncludeNotSelected Get-SmbServerConfiguration | Select EnableMultichannel Get-SmbServerNetworkInterface 3. SMB 接続を確認する（ファイルのコピー中に実行） Get-SmbConnection Get-SmbMultichannelConnection Get-SmbMultichannelConnection -IncludeNotSelected

SMB マルチチャネル関連のイベントログ [イベントビューアー] – [アプリケーションとサービスログ] – [マイクロソフト] – [Windows] – [SMB Client] – [Operational] Event ID でフィルタ PowerShell から～ SMB クライアントエラーだけ抽出するには SMB Multichannel events are recorded in the SMB Client log. You can look at this log using the Event Viewer or query it using PowerShell. Here’s how to do it: Option 1: Using Event Viewer To view the SMB Multichannel events using Event Viewer, use the following steps on the SMB Client: Open Server Manager In Server Manager, click on “Tools”, then “Event Viewer” In Event Viewer, expand the tree on the left to show “Applications and Service Logs”, “Microsoft”, “Windows”, “SMB Client”, “Operational” Click on “Filter Current Log…” on the Actions pane on the right and enter “ ” on the filter for Event IDs. To view only errors: Click on “Filter Current Log…” on the Actions pane on the right and click on the checkbox labeled “Errors”. Option 2: Using PowerShell To view the SMB Multichannel events using PowerShell, use the following cmdlet on the SMB Client: Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le } To list only errors, use the following cmdlet: Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le –and $_.Level –eq 2 } Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le } Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge –and $_.Id –le –and $_.Level –eq 2 }

記憶域スペースとシンプロビジョニング

記憶域スペースとシンプロビジョニング記憶域スペース Windows Server 2012 で実装された新しい仮想記憶域
仮想化テクノロジーを使用して低コストでストレージを拡張未使用領域を寄せ集めてプーリングシンプロビジョニングジャストインタイムで割り当て、必要なくなれば解放記憶域スペースとの統合記憶域スペースとは、Windows Server 2012 の新しい仮想化機能です。この機能によって、物理環境や仮想環境においてれた使用可能な高可用性記憶域に関するコストが大幅に削減されます。記憶域スペースは、プーリングモデルに基づきます。記憶域プールは、手頃な価格の市販のハードウェアを使用して、展開のニーズに応じて柔軟に作成できます。記憶域スペースは、既存のプールから切り出され、 Windows で仮想ディスクとして表示されます。また、Windows で利用可能なその他の機能とうまく統合できるため、さまざまなシナリオにおいて、ビジネスクリティカルな記憶域に対してコスト効率に優れたプラットフォームを提供することができます。記憶域スペースは外部の記憶域サブシステムを必要としないため、可用性、信頼性、スケーラビリティに優れた記憶域の取得コストおよび管理コストが大幅に削減されます。また、プールやスペースを需要に応じて拡張することができるので、最終的に必要な記憶域容量を事前に予想する管理者の負荷が軽減されます。記憶域スペースは、さまざまなシナリオに対応するよう設計された機能セットを備えています。それらの機能には、ジャストインタイムのプロビジョニング、ミラーリングとパリティによる障害からの復元性、インテリジェントなエラー訂正によるより高いデータ整合性、ホストされた展開に対するマルチテナント機能のサポート、フェールオーバークラスタリング機能で提供されるクラスターの共有ボリューム (CSV) との統合による可用性とスケールアウトなどがあります。

どうしてこうなったのか? 記憶域スペースはストレージの高可用性を生かしたさまざまな用途を想定している記憶域プール
小容量のSSDなど、複数のハードディスクを1つに結合データの増加に伴い、動的に容量を拡張可能マルチテナントと柔軟な制御ストレージプール単位に管理者を定義することができる Active Directory のセキュリティモデルと統合されており、ACLによるアクセス管理が可能復元力を備えた記憶域記憶域スペースでは3種類の構成が可能（ストライプ、ミラー、パリティ）ホットスペアによる自動修復スケーラブルな記憶域スペースと記憶域プール物理ドライブを記憶域プールに集約する主な利点の 1 つは、管理者による管理を必要とするオブジェクトの数を削減できることです。記憶域スペースは、多くの物理ドライブを集約するためにスケールアップできるだけでなく、少数のプールのみを必要とする管理者にとっても引き続き十分な柔軟性を提供します (記憶域プールに対処する頻度は低いほど良いといえます)。これは、プール上で作成される記憶域スペースにも当てはまります。管理者は、必要な数だけのプールを構成できます。柔軟な制御記憶域スペースで使用されるプーリングモデルにより、柔軟できめ細かな管理が実現します。管理の定義と委任をプール単位で行うことができるため、異なる管理者をそれぞれのプールおよびそれぞれのスペースに割り当てることが可能です。また、記憶域スペースは Active Directory および Windows セキュリティモデルと完全に統合されるので、使い慣れたモデルやツールを管理に利用できます。復元力を備えた記憶域ユーザーデータの価値があらゆる顧客セグメントにおいて高まっています。ドライブエラーからデータの損失が発生すると、コストなどで大きな影響が及ぶこともめずらしくありません。そこで、記憶域スペースは、次のような多くのメカニズムを通じて記憶域の復元性を提供します。 • シンプル: ストライピング • ミラー: 2 方向および 3 方向ミラーリング • パリティ: パリティ付きストライピング管理者は、記憶域スペースから 2 方向ミラーおよびパリティによる冗長性を得ることで、1 つのドライブでエラーが発生してもデータにアクセスできるようになります。さらに、3 方向ミラーでは、2 つのドライブでエラーが発生してもデータへのアクセスが可能です。これにより、企業は、手頃な価格の市販のドライブアレイを展開しながら、ドライブのエラーやクラッシュの発生に対するトレランスを備えることができます。多様な復元性記憶域スペースおよび記憶域プールの作成を容易にするために、管理者は記憶域スペース機能によって、2 方向または 3 方向ミラーリングのような既定の冗長性の種類や、固定またはジャストインタイムのいずれかのプロビジョニングの種類の選択などの機能を設定できます。これにより、調整した一連の冗長性特性を、作成するすべてのスペースで使用できるようになります。管理者がプールの作成時にこれらの詳細を省略すると、記憶域スペースではその既定値が使用されます。ただし、管理者は、スペースの作成時に優先する冗長性特性 (シンプル、ミラー、またはパリティ) を定義する必要があります。クラッシュからの復元性クラッシュが発生すると、記憶域スペースはホストしているデータの整合性を保護します。実行される上書きペイロードおよびデータの再同期から保存データが影響を受けないようにするだけでなく、必要であれば、クラッシュからの回復時にすばやく完了させます。柔軟な冗長性の修復プール内でのドライブエラーによって、プール内の記憶域スペースの冗長性が低下することがあります。ドライブエラー時に 1 つまたは複数のスペースの冗長性が低下した状態になると、記憶域スペースは、そのプールに 1 つまたは複数のホットスペアドライブあるいは十分な記憶域容量があれば、影響を受けたスペースの冗長性の自動修復を有効にします。さらに、記憶域スペースは、プール内の特定のドライブを "ホットスペア" として指定する機能をサポートしているため、プール内の他の場所でドライブエラーが発生した場合には、すぐにそのドライブをオンライン化することができます。これにより、ドライブエラーからの迅速な回復が可能になり、すべてのデータの適切な保護が保証されます。

どうしてこうなったのか?（続き）継続的な可用性フェールオーバークラスターとの連携により継続的で可用性の高いサービスが提供できる
効率的な記憶域の消費複数のビジネスアプリケーションでストレージのキャパシティを共有必要なくなった領域を別のアプリケーションで再利用シンプルな管理サーバーマネージャーからの容易な管理リモート管理スクリプト（Windows PowerShell）による管理の自動化既存のバックアップ、リストア機能との整合性を維持経費節減を目的として、多くのワークロードを少数のサーバーに統合する企業が増えており、サーバーエラー時のフェールオーバークラスタリングの価値が認識されるようになっています。クラスター化しない場合、1 台のサーバーでエラーが発生すると、複数のワークロードおよびそれらのデータセットの可用性が阻害される可能性があります。記憶域スペースは、フェールオーバークラスタリングにおけるフェールオーバーをサポートし、この種のエラーによってデータの可用性が失われないように保護します。これにより企業は、個々のサーバーに障害が発生してもデータセットの可用性が維持されることを確信すると同時に、より低額な市販の記憶域ハードウェアを展開して、複数のワークロードを 1 つのフェールオーバークラスターに統合できるようになります。スケーラブルなフェールオーバークラスタリング記憶域スペースは、2 ノードクラスターでのフェールオーバーだけでなく、3 ノード以上のクラスターで構成されるマルチサーバーシナリオともうまく連携するよう設計されています (フェールオーバークラスターでサポートされるノードの最大数は、63 台です)。迅速なフェールオーバー処理記憶域スペースを使用することで、管理者は、2 ノードフェールオーバークラスター内の 1 台のサーバーでエラーが発生した場合でも、残り 1 台のクラスターノードを使用してすべてのスペース内のデータにアクセスできます。また、3 台以上のノードから成るクラスターの場合、そのフェールオーバーの単位は柔軟になります。容易なクラスターリソースの構成記憶域のプーリングの主な利点の 1 つは、管理者による管理を必要とする記憶域オブジェクトの数を削減できることです。つまり、記憶域スペースによって、プールをクラスターリソースとして作成できるようになります。これにより、含まれるすべての記憶域スペースの追加や削除を一度に行えるので、管理者の利便性が高まります。効率的な記憶域容量の消費記憶域容量の共有を容易にするために、各仮想プロビジョニングスペースは、実際にデータをホストするうえで必要な容量のみを消費します。つまり、容量がジャストインタイムで割り当てられ、特定のスペースが使用しなくなった容量は解放されます。記憶域スペースの機能の多くは、データセットの増加に合わせた高効率な記憶域容量の消費を自然と促すようになっています。ただし、通常増加する傾向にあるとはいえ、一時的な縮小がみられる可能性がすべてのデータセットにあり、場合によってはそれが永久的な縮小となることさえあります。記憶域スペースは、縮小したデータセットによって記憶域容量が誤って消費され、記憶域プールにおける自然な容量の共有が損なわれることがないようにします。プール内での柔軟性記憶域スペースを利用すると、管理者は、固定プロビジョニングスペースと仮想プロビジョニングスペースの両方を同じプール内で作成できるようになります。また、保証の期限切れやデータセットの増加といった避けがたい状況の結果を想定して、プールの有効期間内に何度もプールへの物理ドライブの削除や追加を行うことができます。使用可能な記憶域容量の消費量が Windows によって自動的に負荷分散されます。

記憶域スペースの要件タイプスタンドアロンファイルサーバー SATA Supported SCSI iSCSI SAS USB
Windows Server 2012 がインストールされていること記憶域プールの作成用に 1 つの物理ドライブ復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要パリティまたは 3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要ドライブは空であり、フォーマットされていないこと他のプールに使用されていないことドライブの容量が 10 GB 以上あることサポートされているドライブタイプタイプスタンドアロンファイルサーバーフェールオーバークラスター SATA Supported SCSI iSCSI SAS USB 記憶域スペース機能を活用するための要件は、次のとおりです。 Windows Server 2012 がインストールされていること記憶域プールの作成用に 1 つの物理ドライブ、復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要パリティまたは 3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要ドライブは空であり、フォーマットされていないことドライブの容量が 10 GB 以上あることドライブは、次のようなさまざまなバスインターフェイスを使用して接続できます。 SATA: Serial Advanced Technology Attachment (フェールオーバークラスターでは使用できません) SCSI: Small Computer System Interface (フェールオーバークラスターではサポートされていません) iSCSI: Internet Small Computer System Interface SAS: Serial Attached SCSI USB: ユニバーサルシリアルバス (フェールオーバークラスターでは使用できません) 1記憶域プール内のディスクの数：160 1記憶域プｰルの最大容量：450TB 1記憶域プール内の記憶域スペース：128 1サーバー内の記憶域プールの数：4

シャドウコピードライバー Volsnap.sys
記憶域スペースの管理アーキテクチャアプリケーション I/O 記憶域スペース管理プロバイダーファイルシステム ❹ シャドウコピードライバー Volsnap.sys ボリュームマネージャー仮想記憶域ポートドライバ Spaceport.sys ❸ パーティションマネジャー ❷ ClassPnP クラスドライバーパーティションが作成されているデバイスは検出されない MPIOドライバーポート/ミニポート The presentation of LUNs as disks to the operating system is a function of the storage stack. As an example, suppose a drive array (e.g. Just a Bunch of Drives (JBOD)) is connected to Windows Server 2012 and four 100 Gigabyte LUNs are presented. The Windows storage stack along with the requisite third party drivers to support connectivity to the storage solution allows for proper detection of the drives. Opening the Disk Management interface, the four disks are brought online and initialized. No partitioning is required for the disks. If any disk is partitioned, Storage Spaces will not use it. Opening Device Manager and expanding Disk Drives, the four disks are verified as being properly registered with the operating system. To this point, we have only relied on part of the storage stack. If the attached storage meets the requirements for Storage Spaces, the Primordial Pool will be populated in the File and Storage Services interface. バスドライバー ❶ JBOD

記憶域スペースの構造記憶域プール切り出し統合記憶域スペース物理ディスクまたは仮想ハードディスク仮想ディスク

物理ディスクの代わりにVHD(X)ファイルを使用するには

冗長構成冗長性の種類説明シンプルデータが複数の物理ディスクにまたがってストライプ化されます。これにより、容量が最大限に利用され、スループットが向上します。ミラーデータが 2 つまたは 3 つの物理ディスクに複製されます。これにより、信頼性が高まり、容量は 50 ～ 66% 減少します。パリティデータおよびパリティ情報が複数の物理ディスクにまたがってストライプ化されます。これにより、信頼性が高まり、容量は 13 ～ 33% 減少します。 [Review the types of data redundancy available for Storage Spaces and the pros/cons of each]

増加し続けるストレージの使用量と対策急激なストレージの増加従来シングルインスタンスストレージ NTFS データ圧縮
ハードディスクボリュームにある重複したファイルを管理するファイルシステムフィルタ。このフィルタにより、ファイルの 1 つのインスタンスを中央のフォルダにコピーし、重複したファイルは中央のファイルへのリンクに置き換えることにより、ディスクを節約する。 NTFS データ圧縮 Windows Server 2012 Data Dedupplication（データ重複除去）ファイルの重複を削減しつつ、従来通りのアクセスを提供 Source: IDC Worldwide File-Based Storage Forecast: Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December 2011

Deduplication のアーキテクチャ
重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位（32～128kb）に分割され、System Volume Information Store 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去されるため、容量を大幅に削減することができる。 File1 Metadata ファイル名属性… Data A B C M N File2 Metadata Data A B C X Y ファイル名属性… Deduplicate Filter File1 チャンクストリーム Metadata チャンクストアマッピング情報 A B C M N ファイル名属性… スパースリパースポイント X Y File2 チャンクストリーム Metadata マッピング情報ファイル名属性… スパースリパースポイント -- -- ・・・・・・・

Deduplication のメリット：容量の節約率
Source: Sample File Server Production data (12 Servers, 7TB)

Deduplication のメリットパフォーマンスへの影響
Tech Ready 15 3/6/2017 Deduplication のメリットパフォーマンスへの影響最適化処理の性能: 最大 20-35MB/s 1コアあたり 100GB/h（マルチコアを同時利用可能） Read/Write Access: No impact VHD copy ( x) VHD update (1.3x) キャッシュが効いている © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Deduplication の留意点未サポート Boot, System, FAT, ReFS, クラスター共有ボリューム（CSV）
Tech Ready 15 3/6/2017 Deduplication の留意点未サポート Boot, System, FAT, ReFS, クラスター共有ボリューム（CSV）ネットワークドライブ拡張属性を持ったファイル暗号化されたファイル 32Kb未満のファイルその他頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。向いてるユーザー用のファイルサーバー仮想マシンライブラリ（VHDがオフライン）ソフトウェア展開用の共有 SQL Server や Exchange Server のバックアップ用ボリューム向いてない Hyper-V ホスト（VHDがオンライン） VDI（VHDがオンライン） WSUS 動作中の SQL Server や Exchange Server 1TBを超える（超えそうな）ファイル © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows PowerShell からの管理
さまざまな場面で、SMAPI（Storage Management API）にアクセスするための PowerShell コマンドレットを使用できるため、管理の自動化が容易に可能 PS C:\> Get-Command *storage* CommandType Name ModuleName Function Get-StorageJob Storage Function Get-StoragePool Storage Function Get-StorageProvider Storage Function Get-StorageReliabilityCounter Storage Function Get-StorageSetting Storage Function Get-StorageSubSystem Storage Function New-StoragePool Storage Function New-StorageSubsystemVirtualDisk Storage Function Remove-StoragePool Storage Function Reset-StorageReliabilityCounter Storage Function Set-StoragePool Storage Function Set-StorageSetting Storage Function Set-StorageSubSystem Storage Function Update-HostStorageCache Storage Function Update-StorageProviderCache Storage Cmdlet Add-VMStoragePath Hyper-V Cmdlet Get-VMStoragePath Hyper-V Cmdlet Move-VMStorage Hyper-V Cmdlet Remove-VMStoragePath Hyper-V All Provisioning and management of storage can be done using PowerShell. Although the new Server Manager user interface in Windows Server provides a very convenient and intuitive workflow to provision and manage storage, interaction with PowerShell is required to access many of the advanced features afforded by the new Storage Management application programming interface. For example, you can easily create a virtual disk in the user interface; however, the wizard only allows setting the following parameters: Underlying storage pool name Virtual disk name Resiliency setting (Simple, Mirror, or parity) Provisioning type (Thin or Fixed) Virtual disk size In contrast, when creating a virtual disk via PowerShell, you can specify additional parameters to tune both resiliency and performance. Number of columns: the number of columns the virtual disk contains Number of data copies: Number of complete copies of data that can be maintained Disk interleave: Number of bytes forming a stripe Physical disks to use: Specific disks to use in the virtual disk

スケールアウトファイルサーバー

ファイルサーバーの構成イメージ従来のファイルサーバー汎用ファイルサーバースケールアウトファイルサーバーフェールオーバークラスター
Active Passive Active Active 共有共有共有共有共有データデータデータ

2種類のファイルサーバーシナリオ IW ワーカー用の共有ファイルサービスおよび記憶域サービス通常のファイルサーバー
汎用ファイルサーバー（フェールオーバークラスター）アプリケーションワークロード用のファイルサービスおよび記憶域サービススケールアウトファイルサーバー（フェールオーバークラスター）サーバーアプリケーションのデータ格納用にファイルサーバー共有を使用（基本的に SQL Server、Hyper-V 用）高価な SAN 接続のコスト削減。記憶域管理者が、各アプリケーションサーバーをオンラインにするための LUN を準備する必要がなくなり、アプリケーションサーバーが各記憶域にアクセスできるようにファブリックを再構成する必要もなくなるため、記憶域管理コストが削減される。モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動できる。 IW ワーカー用のファイルサービスおよび記憶域サービスのシナリオクライアントのシナリオは、従来からのファイルサーバーの使用法であり、管理者はエンドユーザー用にファイルサーバー上に共有を構成します。これらのファイル共有は通常、次のように使用されます。エンドユーザーがファイルおよびドキュメントをホームディレクトリ内に格納する。エンドユーザーがチーム共有を介して他のユーザーとファイルを共有する。ファイルを社内全体に公開し、必要に応じてアクセスできるようにする。これは非常に一般的なシナリオであり、企業は多くのファイルサーバーを展開させてきました。企業の多くは、ファイルサーバーの不規則な拡大に伴い、展開方法を評価し直すようになり、以下を目標にファイルサーバーの統合を進めています。ハードウェア使用率の向上によるコスト削減。床面積、電力および冷却装置の削減によるデータセンターのコスト削減。管理効率の向上。ファイルサーバーを統合すると、多数のユーザーが影響を受けるようになるので全体的または部分的な停止による影響はより重大になります。さらに、データが統合されるので、記憶域のスケーラビリティおよび容量の要件が増大します。このため、顧客はコンポーネント、サーバー、およびインフラストラクチャの障害から容易に回復できる高可用性ファイルサーバーソリューションを求めるようになりました。さらに、管理者は、エンドユーザーに対するファイルサービスの可用性に影響を与えることなく、所定勤務時間内にソフトウェアの更新またはハードウェアのアップグレードなどのシステムメンテナンスを実行する機能を望んでいます。アプリケーションワークロード用のファイルサービスおよび記憶域サービスのシナリオサーバーアプリケーションのシナリオは、ファイルサーバー (NAS ボックス) のより新しい使用法であり、管理者は、サーバーアプリケーションのデータ格納用にファイルサーバー上に共有を構成します。このようなアプリケーションの一例は、 SQL Server 2008 R2 です。SQL Server 2008 R2 は、SMB (任意のバージョン) のファイル共有への SQL データベースファイルの格納をサポートしています。さらに、Hyper-V により、Windows Server 2012 で導入された SMB (SMB 3.0) のファイル共有に仮想マシンファイルを配置するサポートが追加されます。顧客は、下記のようなさまざまな理由で、ファイル共有上にサーバーアプリケーションデータを格納することに関心を持っています。エントリレベルサーバーのコストの 2 倍になることもある、高価な SAN 接続ハードウェア (あれば役立つが必須ではない) のコストが不要になる。記憶域管理者が、各アプリケーションサーバーをオンラインにするための LUN を準備する必要がなくなり、アプリケーションサーバーが各記憶域にアクセスできるようにファブリックを再構成する必要もなくなるため、記憶域管理コストが削減される。モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動できる。ファイルサーバーを使用してサーバーアプリケーションデータを格納することは、これら利点をもたらすと同時に、顧客が記憶域アレイに期待する信頼性、可用性、および保守性の要件 (マルチパス、透過的コントローラーフェールオーバー、ディスク障害に対するデータ保護、データの整合性などの機能) を実現するか、それを上回るものを提供する必要があります。さらに高度なシナリオでは、記憶域アレイは、データレプリケーションによってサイト障害からデータを保護する機能も提供できます。

スケールアウトファイルサーバーとはファイルサーバーをサーバーアプリケーションのデータストアに提供・Hyper-V（ゲストOS、スナップショットの格納先として）・SQL Server（データストアとして）フェールオーバークラスターにより動的にファイルサービスの拡大や縮小が可能 CSV File System (CSVFS) 単一の永続的な名前空間（DNN）を提供し、NTFS をカプセルするスパースファイルを含めたデータファイルへのダイレクトアクセス BitLocker暗号化をサポートリダイレクトIOを使用せずにスナップショットやバックアップが可能 SMB 3.0 との密接な連携 SMB 3.0 SMB スケールアウト SMB 透過フェールオーバー SMB マルチチャネル SMB ダイレクト（RDMA）サーバーアプリ用の SMB パフォーマンスカウンターパフォーマンスの向上 Windows PowerShell からの管理 SMB リモート記憶域スケールアウトファイルサーバーとは、Windows Server 2012 において従来のファイルサーバーの役割の後継となる機能であり、ファイルサーバーの役割を完全に新しいレベルへと引き上げます (従来のファイルサーバーの役割も引き続き提供されます)。スケールアウトファイルサーバーは、Windows Server 2012 のフェールオーバークラスターとSMB 3.0 を基盤にして構築されています。フェールオーバークラスタリングは、検証済みのエンタープライズレベルの高可用性技術です。Windows Server 2012 では、フェールオーバークラスタリングも、特に SQL Server および Hyper-V のようなビジネス上重要な (HBI) エンタープライズアプリケーション用に、継続的に使用可能 (CA) でスケーラブルなファイルベースのサーバーアプリケーション記憶域を提供するように設計されています。スケールアウトファイルサービスは、業界最先端の SMBv3.0 (サーバーメッセージブロック) スタックに依存しており、これにより今日の高性能記憶域環境で期待されている堅実で信頼性の高いパフォーマンスおよび継続的可用性が実現されます。主な利点動的に容量を拡大縮小可能フェールオーバークラスターを管理するのは簡単です。SMB スケールアウトを使用すると、分散名前空間構成のフェールオーバークラスターでこれが可能になります。低コストで導入可能スケールアウト SMB ファイルサーバーソリューションは、2 つのノードという小さな規模で開始でき、そこから規模を拡大できます (現時点でSOFS は最大 8ノードをサポート、フェールオーバークラスター自身は64ノードをサポート)。クラスター化されたスケールアウトシステムを使用すると、ファイルサーバー機能に影響を与えることなく、ノードを追加および削除できます。ジャストインタイムのスケーラビリティスケールアウトのモジュール的な性質により、サーバー、電源、冷却装置などを購入する必要がありません。このため、サーバーと記憶域の費用が削減され、管理が簡単になって運用経費も軽減され、記憶域使用率は最大化されます。稼動率の向上すべてのクラスターノードが、すべてのスケールアウトファイル共有に対する SMB クライアントの要求を受け入れ、対応できます。このため、帯域幅と稼動率を向上できます。さらに、SMB クライアントに対応する能力は、クラスターノードによって制限されることはなくなり、基盤となる記憶域システムの能力によって制限されるようになります。技術のスムーズなリフレッシュ確立された Windows フェールオーバークラスターおよび SMBv3.0 スタックが基盤です。フェールオーバークラスターは、汎用ファイルサーバーを使用して構成した場合、付加価値のある機能を Windows Server 2012 の顧客に提供すると同時に、引き続きレガシクライアントの処理にも対応できます。単一ウィンドウ管理のエクスペリエンス — IT プロフェッショナルは、サーバーマネージャーコンソールを使用して、ファイルサーバー、記憶域、およびネットワークを表示して管理できます。要約すると、スケールアウトファイルサーバーを使用することによって、スケーラブルな SMB ソリューションを構築することが可能になり、あらゆる規模のビジネスにおいてファイルサーバー機能をスケールアウトするという難題に対処することができます。スケールアウトファイルサーバーと SMB スケールアウト機能の組み合わせは、Windows ファイルサーバーの顧客にとって重要な価値提案となります。クラスタ共有ボリューム（CSV）とスケールアウトファイルサーバースケールアウトファイルサーバーを実装するには、すべてのアプリケーションデータ共有がクラスターの共有ボリューム v2 (CSVv2) でホストされている必要があります。これは、SMB クライアントがクラスター内の任意のノードから、スケールアウトファイルサーバーリソースのコンテキストで構成されたすべての共有にアクセスするための唯一の方法です (それを許可するようにアクセス制御が適切に実装されている場合)。クラスターの共有ボリューム (CSV) は、Windows Server 2008 R2 でフェールオーバークラスターの機能として導入されました。この機能は、特に Windows Server 2008 R2 の Hyper-V フェールオーバークラスターの機能を向上させることを目的に設計されました。CSV ボリュームは、クラスターノード間の仮想マシンのライブマイグレーションをサポートするためには必要ではありませんが、この機能を使用して仮想マシンファイルを格納すると、ライブマイグレーションがより効率的になります。 Windows Server 2012 のフェールオーバークラスターでは、CSV が向上しました。 Windows Server 2012 での CSV に関する主な目標は、CSV をより多くの役割に拡張すること、および CSV ボリュームのバックアップと復元機能を向上させることです。 CSVv2 には、次の機能があります。 - CSV 名前空間が、フェールオーバークラスターのコア機能として既定で有効化されるようになり、CSV への記憶域の追加がより容易になりました。 - CSVv2 ボリュームにマウントされる CSV ファイルシステム (CSVFS)。CSVFS は、次の機能を提供します。クラスター化されたアプリケーション (SQL、Hyper-V) に対応するローカルファイルセマンティクス NTFS 機能のサポート (トランザクション以外)。CSVv2 では引き続き NTFS パーティションが必要です。ファイルデータアクセスのダイレクト I/O (スパースファイルを含む) メタデータ I/O 操作をコーディネーターノードにリダイレクトすべてのデータおよびメタデータへのアクセスをファイルと同期させ、エンドツーエンドのデータの整合性を保証データとメタデータの両方のアクセスにフォールトトレランスを提供 CSV ファイル (SMB/SRV など) にアクセスするアプリケーションのための便宜的ロック (oplock) をサポートして、CSVFS ファイルデータのリモートキャッシングを実現複数の CSVFS インスタンスがファイルへ同時にアクセスする際に oplock を利用してデータの整合性を保証 I/O リダイレクトやクラスターノード間でのボリュームの移動を行うことなくリモートスナップショット (バックアップ) を実行する機能仮想マシンの生成の向上ファイルコピーのパフォーマンスの向上マルチサブネットのサポート (ルーティングネットワークを使用したマルチサイトクラスターの実装) SMB マルチチャネルおよび SMB ダイレクトとの統合。これにより、クラスター内の複数のネットワークを経由する CSV トラフィックのストリーミングが可能になり、RDMA 搭載のネットワークアダプターを活用できます。このため、ボリュームがリダイレクトモード時の I/O のパフォーマンスが向上します。サードパーティのフィルタードライバー (ウイルス対策、継続的なデータ保護、バックアップアプリケーション、データレプリケーションなど) とのより適切な統合 CSV ボリュームの BitLocker 暗号化のサポート

なぜこうなったのか? 現状 Windows Server 2008 R2 時代から, 高可用性ファイルサービスはフェールオーバークラスターの CAP（クライアントアクセスポイント）によって提供されていた。これによって、クライアントは物理ディスク上の SMB 共有や NFS 共有にアクセスできるファイルサーバーグループの1つのノードだけがオンラインになる障害が発生したり、ファイルサーバーが別のノードに移動した場合、クライアントは切断され、移動先のノードに再接続しなければならないソリューションファイルサーバー役割が拡張され、Windows Server 2012 フェールオーバークラスター上では、可用性の高い SMB 共有上での Hyper-V や SQL Server データストアがサポートされた。これにより、ダウンタイムを最小限に抑えることができる。 In operating systems prior to Windows Server 2012, highly available file services were provided by failover cluster Client Access Point (CAP) that clients could use to connect to SMB (Server Message Block) or Network File System (NFS) shares on physical disk resources. If you deployed a shared-nothing cluster, only one node in a cluster File Server group could be online. In the event of a failure or if the File Server group was moved to another cluster node, clients were disconnected and had to reconnect when the group became available on an online node in the cluster. In Windows Server 2012, the File Server Role has been expanded to include a new scenario where application data (specifically Hyper-V and SQL Server) is supported on highly available SMB shares in Windows Server 2012 Failover Clustering.

高可用性ファイルサーバー一般的な用途のファイルサーバー（汎用ファイルサーバー）
Windows Server 2008 R2 とほぼ同等の機能 SMB 3.0 によって”共有”の可用性と転送性能は高まるスケールアウトファイルサーバーアプリケーションデータを格納するファイルサーバーとしての可用性を提供ノードやディスクの追加時にもファイルサービスを停止させない Windows Server 2012 フェールオーバークラスターの新機能を使用している分散ネットワーク名（Distributed Network Name: DNN）クラスター共有ボリューム(CSV) Version 2 スケールアウトフィルサーバーの役割 (すべてのノードで有効に設定されている必要あり）スケールアウトファイルサーバーの最大ノード数は 4

（復習）CSV（Cluster-Shared Volume）とは
複数のノードからの同時アクセスを可能にするための CSVFS を提供する Windows Server 2008 R2 では、Hyper-V Cluster（VHDファイルの共有）のために提供された Windows Server 2012 ではファイルサーバークラスターのストレージとしても利用可能 Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node Hyper-V + Failover Cluster Node SMB 3.0 SAN/iSCSI Clustered File Server （Scale out File Server） HDD CSV HDD CSV WS2008 R2 以降 WS2012 以降

Failover Cluster(max 4 nodes)
スケールアウトファイルサーバー SMB 3.0 \\Server\Share File Server Failover Cluster(max 4 nodes) Node1 Node2 Node3 Node4 iSCSI/SAN CSV CSV v2

Hyper-V & フェールオーバークラスター & スケールアウトファイルサーバー
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 File Server \\Server\Share Failover Cluster(max 8 nodes) Node1 Node2 Node8 Node8 AD DS（KDC） iSCSI/SAN CSV CSV v2

スケールアウトファイルサーバーのアーキテクチャ
DNS Hyper-V Hyper-V Hyper-V Hyper-V Node1 A Node2 A Node3 A Node4 A HAFileServer A HAFileServer A HAFileServer A HAFileServer A スケールアウトファイルサーバー DNN HAFileServer Node1 Node2 Node3 Node4 （補足）分散ネットワーク名 (DNN) フェールオーバークラスターによって提供される高可用性ファイルサーバー役割にアクセスする場合、クライアントは、クライアントアクセスポイント (CAP) と呼ばれている共通の接続ポイントを使用して接続します。CAP は、以下のリソースから成ります。ネットワーク名 (NN) リソース (NetBIOS 名) 1 つ以上の一意の IP アドレスリソース (IPv4 および/または IPv6) クラスターノードが DNS および WINS の名前解決サービスに登録されるように構成されており、それらのサービスが動的登録を受け入れている場合は、CAP は自動的に DNS および WINS に登録されます。1つのクラスタグループに対して最大4つの CAP が登録され、こららによってアクセスが分散されます（だからDNN）。従来のクライアントアクセスポイント (CAP) は、クラスター内の単一ノード上でのみオンラインになれます。つまり、クライアントが接続を行っている間、その CAP をホストしているノードのみが、それに接続中のクライアントに特定の高可用性の役割を提供できます。クラスター内の他のノードは、リソースが現在の所有者でオンラインである限り、それらのリソースにアクセスしません。 Windows Server 2012 スケールアウトファイルサーバーでは、フェールオーバークラスターでホストされた共有を使用するアプリケーションに対応するために別の方法を用います。スケールアウトファイルサーバーのリソースグループは、フェールオーバークラスター内の 1 つのノードでのみオンラインになります。そのノードは、"リーダー" ノードとみなされます。クラスター内のすべてのノードが、このリソースグループの "クローン" をホストします。クローンは、リーダーによって制御されます。リーダーは、クローンの起動およびシャットダウンの順序付けを行い、クラスターの他のノード上のクローンの状態を追跡します。クローンの少なくとも 1 つがクラスターのノード上で機能している限り、SOFS グループはオフラインになりません。リーダーグループは、クラスター内の任意のノードに移動できます (たとえば、クラスターサービスがいずれかのノード上で予期せず終了した場合)。リーダーグループを別のクラスターノードに移動しても、ファイル共有の可用性に影響はありません。ただし、クラスター管理者が意図的に SOFS グループをオフラインにすると、リーダーはクローンをすべてシャットダウンして、このグループはオフラインとしてマークされます。さらに、すべてのスケールアウトファイル共有は解消されます。 iSCSI/SAN CSV CSV v2 ※iSCSI のNICチーミングは現時点で未サポート

DNNが書き換わるタイミング DNN はフェールオーバークラスターの各ノードの IP アドレスに依存しています。
クラスター内に構成された各ネットワークインターフェイスがクライアント接続を受け入れるために、DNN リソースはクラスターの各ノードの IP アドレスを使用して DNS に登録されます。さらに、DNN リソースは、Kerberos 機能をサポートするために、適切なコンピューターオブジェクトを Active Directory に作成します。また、DNN リソースは、クラスター内のノードを追跡して下記の場合に DNS を更新します。クラスターにノードが追加される、または削除されるパブリッククラスターネットワーク (クライアントアクセスに対応したネットワーク) に特定の IP アドレスが追加される、または削除される DNS レコードが最新の情報に更新される (既定では 24 時間ごと、または DNN リソースがクラスター内でオンラインになった場合) この方法によって、クラスターは DNS のラウンドロビン機能を利用して、クライアント接続をクラスター内のノードに分散します。 SMB クライアントは、分散ネットワーク名リソースに関連付けられている IP アドレスの完全な一覧を受け取ります。クライアントは、DNS サーバーの応答で返された最初の 8 つの IP アドレスを使用してリソースへの接続を試みます。100 ミリ秒以内に接続されない場合は、リスト内の残りの IP アドレスへの接続が同時に試みられ、応答した最初の IP アドレスへの接続 (SMB セッション) が確立されます。

Witness（立会人）の役割 Client Node1 Node2 CSV DNS Node1 A 10.0.0.1
HAFileServer A HAFileServer A ❶ SMB Client ❷ ⓬ ❸ ⓫ ❹ ❼ ❻ クライアントはDNSを使用してDNNを名前解決（ここではNode1とする） SMBクライアントはNode1に対して接続要求する Node1は接続を受け入れる ClientはWitnessを決定するために、Nodeの一覧を要求 Node1からNode一覧が送付される Node一覧から選定したNode2に、Witnessを依頼し、自分自身を登録 Node2 が了解し、Client を登録する Node2 が Client の Witness Node となる Node1がダウン Node2 は SMB3.0 を通じて Node1のダウンを検出 Client にNode1のダウンを通知し、通信先の切り替えを要求（この処理によってTCPコネクションエラーが発生するまえに接続先を切り替えられる） ❺ ❽Witness Node SMB Server SMB Server ❾ SMB3.0 Node1 Node2 ❿ CSV v2 CSV

なぜ“アプリケーションサーバー用” と言われるのか?
実データの管理情報）作成日時更新日時作成者アクセス権限実データのアドレスなど書き込むデータメタデータ実データ Node1 Node2 Hyper-V や SQL Server はメタデータへの書き込みが最適化されているため問題になりずらい。Office などのアプリケーションは、60%～70%がメタデータへの書き込みであるといわれる。 CSVFSでは以下がサポートされないクオータスクリーニング Classification（分類） Data Dedupplication Redirect OWNER Direct ボリュームごとに Owner が割り振られる CSVFS NTFS

汎用ファイルサーバースケールアウトファイルサーバー頻繁にファイルを開いて閉じる操作を行うユーザーまたはアプリケーションによる使用を目的として共有されているファイルの可用性を高めることができます。長時間ファイルを開いたままにするアプリケーションまたは仮想マシンの記憶域の可用性を高めることができます。一度に 1 つのクラスターノードを実行します。一度に複数のクラスターノードを実行します。サーバーメッセージブロック (SMB) クライアント接続は、スループットを向上するために複数のノードに分散されます。この接続には、Windows Server 2012 の分散ネットワーク名と呼ばれるフェールオーバークラスタリング機能が使用されます。この機能を使用すると、複数の IP アドレスを持つ複数のクラスターノードで、DNS ラウンドロビンを使用して同じネットワーク名に応答できます。クラスター化共有ボリューム（CSV）を使用することはできません。クラスター化共有ボリューム（CSV）を使用する必要があります。アクティブ/パッシブモデルを使用して、一度に 1 つのノードでファイルサーバーを実行します。必要に応じて、他のノードでファイルサーバーを実行できます。アクティブ/アクティブモデルを使用して、複数のノードでファイルサーバーを連携して実行します。

従来機能との互換性テクノロジ汎用ファイルサーバースケールアウトファイルサーバー SMB サポート
Network File System (NFS) サポートなし BranchCache データ重複除去 DFS 名前空間 - 名前空間サーバー DFS 名前空間 – フォルダーターゲット DFS レプリケーションファイルサーバーリソースマネージャーのクォータ、スクリーン処理、およびレポートファイル分類インフラストラクチャファイルサーバーボリュームシャドウコピーサービス (VSS) エージェントフォルダーリダイレクトオフラインファイル

Windows Server 2012 Storage Space と CSV の互換性
・サポートされているディスクのフォーマット ○ NTFS × ReFS × Fat32 × Fat16 ・サポートされている仮想ストレージのタイプ ○ シンプル ○ ミラー × パリティ・クオーラムディスクには使用できない・CSVに組み込まれた瞬間に、CSVFS 用コマンドが有効になるので、一部のNTFSコマンドは使用できない（暗号化など）

Hyper-V Windows Server 2012 で何が進化したのか

Hyper-V のスケーラビリティ

Hyper-V のスケーラビリティ物理ホスト論理プロセッサ数 64 320 5x System Resource 最大値
前バージョンとの比較 Windows Server 2008 R2 Windows Server 2012 物理ホスト論理プロセッサ数 64 320 5x 物理メモリ 1 TB 4 TB 4x 仮想プロセッサ 512 2,048 仮想マシン仮想マシンあたりの仮想プロセッサ数 4 16x 仮想マシンあたりのメモリ 64 GB 1サーバーあたりのアクティブな仮想マシン 384 1,024 2.7x クラスターノード数 16 仮想マシン数 1,000 4,000 Features in Hyper-V in Windows Server 2012 that support the virtualization of high-performance, scale- up workloads include: Increased hardware support for the virtualization host. Hyper-V in Windows Server 2012 RC supports running on a host system with up to 320 logical processors and 4 terabytes of memory, providing greater compatibility with very large server systems. • Support for large virtual machines. Hyper-V in Windows Server 2012 supports configuration of virtual machines with up to 64 virtual processors and 1 TB of memory. Use of NUMA to speed up the performance of virtual machines. Non-Uniform Memory Access (NUMA) is a computer architecture used in multiprocessor systems in which the time required for a processor to access memory depends on the memory’s location relative to the processor. NUMA provides the affinity to prefer local memory access over remote memory access. By projecting a virtual NUMA topology onto large virtual machines, Hyper-V in Windows Server 2012 RC enables the guest operating system and applications such as Microsoft SQL Server to use their existing thread scheduler and memory allocation optimizations, which provides better performance and scalability of demanding workloads.

Virtual NUMA 仮想 NUMA ノードダイナミックメモリと同時利用はできない
NUMA: Non-Uniform Memory Access 仮想 NUMA ノードダイナミックメモリと同時利用はできない SQL Server などのアプリケーションサーバーのパフォーマンス向上 Windows Server 2012 フェールオーバークラスタリングとの連携 Virtual NUMA In addition to its expanded processor and memory support on hosts and for VMs, Hyper-V in Windows Server 2012 also expands support for Non-Uniform Memory Access (NUMA) from the host into the VM. NUMAはプロセッサからみたメモリ使用領域の最適化技術です。SQL Serverのようなハイパフォーマンスを要求するアプリケーションサーバーは、NUMAのアドバンテージを享受できるように設計されている。以前のHyper-Vでは、仮想マシンはNUMAの恩恵を享受できなかった。つまり、VM上で動作するSQL Server もNUMAの恩恵を得られなかったということになる。なぜならば、以前のバージョンではNUMA が使われておらず、VMのRAMがリモートメモリに分割される可能性があった。このことはリモートCPUのメモリを使用する場合に大きなパフォーマンス上のインパクトになる可能性があった。 2012では仮想マシンがNUMA対応となり、アプリケーションサーバーのパフォーマンスはよくなった。なお、NUMAがサポートされるのはダイナミックメモリが設定されていない仮想マシンに限ります。 How It Works 仮想NUMAにより、仮想マシンはNUMAトポロジーが使用できる。それによって、ゲストOSやそのうえで動作するアプリケーションは、スレッドやメモリの配置において、物理OS上で動作するのと同様にインテリジェントな判断をすることができる。たとえば、スライドに書かれているのはNUMAが有効な4ソケットのマシンであり、4つのNUMA ノードを持っている。2つの仮想マシンがホスト上で動作しており、 2つの仮想NUMA ノードが各仮想マシンに割り振られている。これらの仮想NUMAノードは、物理NUMA ノードに依存している。 Virtual NUMA and failover clustering フェールオーバークラスタリングにおいても、仮想マシンを適切な場所に配置する際に NUMAが評価される。

SR-IOV（Single Root I/O Virtualization）
仮想スイッチをバイパスして、NICと仮想マシンが直接通信 Host Host Root Partition Virtual Machine Root Partition Virtual Machine Hyper-V Switch Virtual NIC Hyper-V Switch Virtual Function Routing VLAN Filtering Data Copy VMBUS Routing VLAN Filtering Data Copy Physical NIC SR-IOV Physical NIC Network I/O path without SRIOV Network I/O path with SRIOV

Hyper-V over SMB & Shared-Nothing Live Migration

Compute /Storage の補強が容易いまさらですが... 物理マシン vs 仮想マシン物理マシン仮想マシン
CPU/RAM/NIC CPU/RAM/NIC HDD HDD 仮想マシンはComputeとStorageを分離できる。リソースは固定リソースの柔軟な割り当て

仮想マシンをさらに柔軟にするには接続性が担保されれば物理的に分離可能物理マシン仮想マシン CPU/RAM/NIC HDD
network HDD 仮想マシンはComputeとStorageを分離できる。 Compute と Storage は一体 Compute と Storage の分離

Hyper-V over SMB Server Message Block (SMB) プロトコルとは…
ネットワークファイル共有のためのプロトコル Windows Server 2012 には最新の SMB 3.0 が実装されている Windows Server 2012 Hyper-V とともに使用すると… 仮想マシンのストレージを、共有フォルダに配置できる（SMB 3.0 必須）スタンドアロン、クラスターいずれにも対応記憶域として、スケールアウトファイルサーバーの利用も可能 SMB マルチチャネルにより通信経路の堅牢性が向上 The Server Message Block (SMB) protocol is a network file sharing protocol that allows applications on a computer to read and write to files and to request services from server programs in a computer network. The SMB protocol can be used on top of the TCP/IP protocol or other network protocols. Using the SMB protocol, an application (or the user of an application) can access files or other resources at a remote server. This allows applications to read, create, and update files on the remote server. It can also communicate with any server program that is set up to receive an SMB client request. Windows Server 2012 introduces the new 3.0 version of the SMB protocol. Hyper-V in Windows Server 2012 RC introduces a new storage option— support for Server Message Block 3.0 – for remote file storage. This capability provides increased flexibility, easier storage provisioning, and reduced system costs when compared to the storage options in Windows Server 2008 R2. Hyper-V can store virtual machine files, such as configuration, Virtual hard disk (VHD) files, and snapshots, in file shares over the SMB 3.0 protocol. This can be used for both stand-alone file servers and clustered file servers that use Hyper-V together with shared file storage for the cluster.

Hyper-V over SMB Windows Server 2012 以降従来 SMB 3.0 仮想OS OSとストレージを分離できる
仮想ストレージ仮想OS 仮想ストレージ SMB 3.0 Hyper-V ホスト Hyper-V ホストファイルサーバー

Hyper-V over SMB の必須要件 \\Server\Share\xxx.vhdx SMB 3.0
ファイルサーバー：Windows Server 2012（SMB 3.0 が必要なため）　　※ SMB 2.0 でも構成時にはエラーとはならないが未サポート Hyper-V ：Windows Server 2012（SMB 3.0 が必要なため）　　※ Hyper-Vサーバーとファイルサーバーは別々のサーバーでなければならない AD DS ：Windows Server 2012 である必要はない　　※ 共有フォルダに Hyper-V コンピュータのコンピューターアカウントに対する　　　アクセス権を与える必要があるため、AD DS 環境は必須 Hyper-V ファイルサーバー SMB 3.0 \\Server\Share\xxx.vhdx 共有フォルダへのフルアクセス The requirements for implementing Hyper-V over SMB 3.0 include: One or more computers running Windows Server 2012 with the File Services role installed The file server must have Windows Server 2012 installed, so the new SMB 3.0 protocol is available. You can also use non-Microsoft file servers that implement the SMB 3.0 protocol. Hyper-V does not block older versions of SMB, however, the Hyper-V Best Practice Analyzer issues an alert when an older version of SMB is detected. One or more computers running Windows Server 2012 with the Hyper-V role installed Loopback configurations (where the computer that is running Hyper-V is used as the file server for virtual machine storage) are not supported. A common Active Directory infrastructure. The servers running Active Directory Domain Services (AD DS) do not need to run Windows Server 2012. An Active Directory infrastructure is required, so you can grant permissions to the computer account of the Hyper-V hosts. Note: Although not required, Failover Clustering is supported on the Hyper-V side, the File Services side, or both. They must be separate clusters. Active Directory Domain Service

ライブマイグレーション & ライブストレージマイグレーション
サービスを止めずに移動できる仮想OS 仮想OS 仮想 OS のみ仮想ストレージのみ仮想マシン全体仮想ストレージ仮想ストレージ Hyper-V ホスト Hyper-V ホスト ※ライブストレージマイグレーションは Windows Server 2012 よりサポート

従来のライブマイグレーション SAN/iSCSI 共有ストレージにゲストOSの仮想ストレージを格納する必要がある
フェールオーバークラスターを構成する必要がある共有ボリュームを用意する必要があるフェールオーバークラスタリング構成情報 Hyper-V Node Hyper-V Node メモリ内データ VMステート SAN/iSCSI クラスター共有ストレージ（CSV）

シェアードナシングライブマイグレーション
クラスター構成は必須ではない共有フォルダに仮想ハードディスクを格納できる構成情報 Compute Compute メモリ内データ VMステート SMB 3.0 SMB 3.0 共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

SMB 3.0 SMB 3.0 Hyper-V ホスト Hyper-V ホスト共有フォルダ VHD/ VHDX ⑧ 削除
①仮想マシンを作成 Virtual Machine Virtual Machine 構成情報 ② 構成情報を複製構成情報メモリ情報メモリ情報 ③メモリをページ単位で複製 ④Dirtyページを複製 ⑤停止 ⑦ Running ⑥ ステートを複製ステートステート Windows Server 2008 R2 では,フェールオーバークラスタリングの中でライブマイグレーション機能が実装されていた. 仮想マシンには2つのコンポーネントがあります。１つはストレージ（VHDまたは VHDXファイル）、もう1つはステート（プロセスやメモリ）。フェールオーバークラスターはその両方を安全にサーバーからサーバーに移動するための機能を持っている。当然、Windows Server Hyper-V クラスターにも同じ機能が実装されており、Windows Server 2008 R2と同じことができる。核心に触れてしまえば、ライブマイグレーションとはVMの状態の移行のことである. Remember, you can still perform Live Migration on VMs with shared storage or in clusters, しかし、ここでは”シェアードナッシング“に焦点をあててみたい。 Windows Server 2012 Hyper-Vでは、ライブマイグレーションを使用することで、動作している仮想マシンを、ある物理サーバーから別のサーバーにサービスを止めることなく移動することができる。動作中の仮想マシンのメモリ情報を、移行先のサーバーに事前にコピーすることで、ライブマイグレーションは仮想マシンの転送時間を最小限に抑えている。管理者やスクリプトがライブマイグレーション実行しようとすると、移行先のコンピューターが決定される。ゲストOSは、マイグレーションが実行されていることを知らないので、ゲストOSに特別な構成は必要ない。ステージ1. Live migration の準備. ライブマイグレーションの準備段階では、ソースサーバーは移動先サーバーとイーサネットを使用してTCP接続を確立する。この接続により、仮想マシンの構成データが移行先サーバーに転送される。移行先サーバーでは、仮想マシンの骨組みが作成され、メモリが割り当てられる。結果として、移行先サーバーには空っぽの仮想マシン設定が作られ、メモリ情報やステートの待ち合わせに入る。ステージ2. メモリページがソースから移行先サーバーに転送される VMのメモリが複製されるときは、一度に１ページ単位で複製される。当然、VMの動作に伴いメモリページ情報は変更される。ページ単位で変更されたかどうかが管理されており、変更が発生すると「ダーティページ」としてマークされ、あとから再複製できるようになっている。コピーが完了すると、“クリーン“としてフラグされる。ステージ3. 変更されたページが転送されるライブマイグレーションのサードステージでは、The third stage of a live migration is a memory copy process that duplicates the remaining modified memory pages for “test virtual machine” to the destination server. The source server transfers the CPU and device state of the virtual machine to the destination server. During this stage, the network bandwidth available between the source and destination servers is critical to the speed of the live migration. Using a 1 Gigabit Ethernet or faster is important. The faster the source server transfers the modified pages from the migrating virtual machines working set, the more quickly the live migration is completed. The number of pages transferred in this stage is determined by how actively the virtual machine accesses and modifies the memory pages. The more modified pages there are, the longer it takes to transfer all pages to the destination server. After the modified memory pages are copied completely to the destination server, the destination server has an up-to-date working set for “test virtual machine.” The working set for “test virtual machine” is present on the destination server in the exact state it was when the migration process began. ステートの転送やがて、すべてのコピーが完了した状態となると、VMは一瞬だけソース側一時停止し、ステートの複製を移行先VMに行う。 (Continued from previous slide) 5. 仮想マシンが移行先でオンラインになる５番目のステージでは、すでに動作準備が完了した移行先VMが「Running」ステートを保持し、ソースVMが削除される。この切り替えの瞬間にPINGが１回だけ失敗することがあるが、これはアプリケーションにとって通常ダメージとはならない。つまり、サービスを停止せずに移行できたことになる。 6. ネットワーククリーンアップ最後のステージでは、移行先VMが動き出す。このとき、あるメッセージがネットワークスイッチに送られる。このメッセージにより、スイッチにVMの新しいMACアドレスが通知され、継続的な通信が行えるようになる。 [Notes regarding timing] The live migration process completes in less time than the TCP time-out interval for the virtual machine being migrated. TCP time-out intervals vary based on network topology and other factors. The following variables may affect live migration speed: The number of modified pages on the virtual machine to be migrated—the larger the number of modified pages, the longer the virtual machine will remain in a migrating state. Available network bandwidth between source and destination servers. Hardware configuration of source and destination servers. Load on source and destination servers. Available bandwidth (network or Fibre Channel) between servers running Hyper-V and shared storage. ⑨ arp Hyper-V ホスト Hyper-V ホスト Switch

ライブ”ストレージ”マイグレーション SMB 3.0 SMB 3.0 仮想マシンのストレージ部分のみを移行 Hyper-V 移動ストレージ
仮想ストレージ仮想ストレージ移動

ライブストレージマイグレーションはこんな時にも便利
バラバラになった構成ファイルを1か所に集める ITCAMP-PCxx xx 仮想マシンのすべてのデータを1か所に移動する ITCAMP-PCxx xx 記憶域を移行 Hyper-V Hyper-V VMxx C:\ProgramData\Microsoft \Windows\Hyper-V VMxx SMB 3.0 SMB 3.0 スナップショット構成ファイル \\ITCAMP-FS\VMSTORE\\VMxx \\ITCAMP-FS\VMSTORE\VMxx VMxx.vhd スナップショット構成ファイル VMxx.vhd

管理しやすいシステム構成 Computeと Storage を分離 switch switch SMBにより自由な移動が可能に!
WS2012 Hyper-V WS2012 Hyper-V SMBにより自由な移動が可能に! ∴ネットワークの堅牢性とスピードが重要 switch SMB SMB SMB Storage Storage

Hyper-V レプリカ

Hyper-V レプリカとは? LAN や WAN を通じてリモートサイトに仮想マシンレベルの複製を作成することができる。
ビジネスの継続性とディザスタリカバリが目的。 Windows Server 2012 Hyper-V ロールの新機能ストレージやワークロードに依存しない複製元と複製先のサーバーは同じドメインである必要はない（ワークグループでもＯＫ ※ただしクラスター構成である場合を除く） Hyper-V マネージャー、Hyper-V RSAT、System Center Virtual Machine Manager (SCVMM) から管理可能さまざまな複製シナリオに対応本社と支店企業内データセンター内ホスティングプロバイダー内クロスプレミス（企業オフィス-データセンター等）企業や組織はビジネスの継続性を維持するために、最小限のサーバーのダウンタイムが求められる。 Hyper-V Replica は、プライマリサイトのさまざまな障害が発生したときに、セカンダリのサイトで短時間でサービスをフェールオーバーするためのしくみである。サーバーやネットワークのハードウェア構成は双方でまったく異なっていても問題はない。Hyper-V レプリカを使用すると、システム管理者は復旧ポイント（日時）を選択することも可能である。 Hyper-Vレプリカは管理用APIも提供しているので、企業が独自のDRシナリオを策定して実装することも可能だ。 Hyper-V Replica は、IaaSホスティングベンダーが顧客の仮想マシン環境を保護するのに使用することもできる。 What Is Hyper-V Replica? Hyper-V Replica enables organizations using Windows Server 2012 to implement an affordable Business Continuity and Disaster Recovery (BCDR) solution for virtualized workloads without using 3rd-party technology. This allows virtual machines running at a primary site to be efficiently replicated to secondary location (Replica site) across a WAN link. In this discussion, we define two “sites”: the “primary site,” which is the location where the virtualized environment normally operates; and the “Replica site,” which is the location of the server that will receive the replicated data. At the primary site, the primary server is the physical server that hosts one or more primary virtual machines. At the Replica site, the Replica server similarly hosts the Replica virtual machines. Hyper-V Replica provides a storage-agnostic and workload-agnostic solution that replicates efficiently, periodically, and asynchronously over IP-based networks, typically to a remote site. It is simple to configure and does not require either shared storage or any particular storage hardware. Any server workload that can be virtualized in Hyper-V can be replicated. Replication works over any ordinary IP-based network, and the replicated data can be encrypted during transmission. (continued on next hidden slide) Hyper-V Replica is implemented as part of the Hyper-V Role. The Hyper-V servers can function as members of a Workgroup or as member servers in the same or different Active Directory domains. プライマリとレプリカサーバーが同じドメインであるかどうかは要求されない。ただし、もしHyper-Vサーバーがフェールオーバークラスターのメンバーである場合、これらのサーバーは同じドメイン内になければならない。 Hyper-V Replica はスタンドアロンサーバーでもフェールオーバークラスターでも動作する。サーバーは物理的に離れた場所であってもよい。 Scenarios Head Office and Branch Office The Head Office and Branch office scenario typically involves Mid-Market customers who have a main corporate Head Office and one or more Branch Offices located in different physical locations. This type of customer typically has a limited budget for purchasing hardware, WAN connectivity, and hiring IT Staff. As part of a cost saving initiative, a customer may decide to implement Microsoft virtualization technologies to migrate corporate applications running on physical hardware to virtualized workloads running on Microsoft servers running the Hyper-V role. One or more of servers are hosted in the Head Office location either as standalone servers or as part of one or more Hyper-V Failover Clusters. Enterprise Datacenter The Enterprise Datacenter scenario is very similar to the Head Office and Branch Office scenario in terms of the actual steps an administrator executes to implement Disaster Recovery using Hyper-V Replica. The main difference would be scale. Enterprise environments typically include one, or more, large, geographically dispersed datacenters supporting a greater number of virtualized workloads running on more servers. Additionally, enterprise environments may implement Third Party or 'homegrown' applications that take advantage of Hyper-V Replica APIs (Application Programming Interface) in an effort to streamline internal management processes. Hosting Provider Datacenter The Hosting Provider Datacenter scenario is very similar to the Enterprise scenario in terms of the actual steps an administrator executes to implement Disaster Recovery using Hyper-V Replica. Hosting companies have additional concerns in that they are dealing with multiple customers (tenants) on a shared internal infrastructure. This requires implementing stricter isolation policies within the datacenter and a billing system that can accurately track resource usage. Customer Office and Hosting Provider Data Center (Cross-Premises) The Customer Office and Hosting Provider Datacenter (Cross-Premises) scenario takes the Hosting Provider Datacenter scenario one-step further in that Disaster Recovery is provided as a service (Infrastructure as a Service (IaaS)) to customers external to the hosting company itself. VM 複製 VM Hyper-V Hyper-V プライマリサイトレプリカサイト

必須要件 Windows Server 2012 Hyper-V をサポートしているハードウェア
仮想マシンをホストするのに十分な性能と安全性を持ったストレージプライマリサイトとレプリカサイト間の接続性サイト間の複製を許可するための適切な Firewall 設定（HTTP/HTTPS） X.509v3 証明書（証明書ベースの認証を使用する場合） ※複製を暗号化するには証明書ベースの認証が必須詳細は… You can set up replication of Hyper-V virtual machines as long as you have any two physical Windows Server 2012 servers which support the Hyper-V role. To take advantage of the Hyper-V Replica the following prerequisites must be met: Hardware that supports the Hyper-V Role on Windows Server 2012 Sufficient storage on both the Primary and Replica servers to host the files used by virtualized workloads Network connectivity between the locations hosting the Primary and Replica servers Properly configured firewall rules to permit replication between the Primary and Replica sites An X.509v3 certificate to support Mutual Authentication with certificates (if desired or needed). If you plan to use certificate-based authentication (required for the replicated data to be encrypted during transmission), you will need an appropriate certificate, which can either be local and self- signed, or supplied by a certificate server in your deployment.

（参考）アーキテクチャ Hyper-V Replica tracks the write operations on the primary virtual machine and then replicates these changes to the Replica server over a WAN. The network connection between the two servers uses the HTTP protocol and supports Kerberos authentication and certificate-based authentication, with optional support for encryption. Hyper-V Replica is closely integrated with failover clustering in Windows Server 2012, and it provides nearly seamless replication across different migration scenarios in the Primary and Replica servers. This allows virtual hard disks to be stored in a different location to enable recovery in case the data center goes down due to natural disaster or other causes. Component/Purpose Replication Engine: The Replication Engine, in many respects, is the 'heart' of Hyper-V Replica. It manages the replication configuration details and handles initial replication, delta replication, failover, and test- failover operations. It also tracks virtual machine and storage mobility events and takes appropriate actions as needed (i.e., it pauses replication events until migration events complete and then resumes where they left off) Change Tracking: The Change Tracking module provides a virtual machine level change tracking mechanism on the Primary server by keeping track of the write-operations, which happen in the virtual machine. This component is designed in such a way that it makes the scenario work irrespective of where the virtual machine VHD file(s) resides; VHD files can be hosted on Direct Attached Storage (DAS), a SAN LUN, an SMB share on a File Server, or a Cluster Shared Volume (CSV). Component/Purpose, cont. Network Module: The Networking Module provides a secure and efficient (data compression by default) network channel to transfer virtual machine replicas between Primary and Replica sites. Network communications are built on top of HTTP\HTTPS protocols and support integrated as well as certificate-based authentication with optional support for encryption Hyper-V Replica Broker role: The Hyper-V Replica Broker role is configured in a Windows Server 2012 Failover Cluster. This functionality supports seamless replication even in the event of a migration of a replica virtual machine from one cluster node to another in a separate cluster. This is achieved by interacting with the Windows Server Failover Clustering (WSFC) service and the Hyper-V Network module. The Hyper- V Replica Broker redirects all virtual machine specific events to the appropriate node in the replica cluster. The Broker queries the cluster database to determine which node should handle which events. This ensures all events are redirected to the correct node in the cluster in the event a Quick Migration, Live Migration or Storage Migration process was executed. Management Experience includes the following components: Hyper-V Manager UI: The replication settings are available in the Hyper-V Manager and provide an end-to-end experience for replication configuration, inbox monitoring, test failover, planned failover, unplanned failover and reverse-replication experiences. Failover Cluster Manager UI: When Primary or Replica servers are part of a Hyper-V Failover Cluster, all management for the virtual machines and the Hyper-V Replica configurations should be done from the Failover Cluster Manager interface. Scripting: Hyper-V Replica functionality is integrated within the Hyper-V PowerShell Module Hyper-V Replica APIs: These are part of the Hyper-V WMI interface. This interface can also be used by Third Party management software applications. Remote Management: The Hyper-V Manager UI is included as part of the Remote Server Administration Tools (RSAT) that can be installed on supported Windows 8 Consumer Preview operating systems so administrators can remotely manage virtual machine replication.

Hyper-V クラスター

（復習）シェアードナシングライブマイグレーション
クラスター構成は必須ではない構成情報 Compute Compute メモリ内データ VMステート SMB 3.0 SMB 3.0 共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

フォールトトレンンスではない Hyper-V over SMB の難点ライブマイグレーションは手動で行わなければならない
（または自動化するサービスを自作する）

シェアードナシングライブマイグレーション＋フェールオーバークラスター
フェールオーバークラスタリング構成情報 Compute Node Compute Node メモリ内データ VMステート SMB 3.0 SMB 3.0 Hyper-VにFOCのインストールが必要共有フォルダ上の仮想ストレージ \\Server\Share\xxx.vhdx

Hyper-V & フェールオーバークラスター
フェールオーバークラスターを使用して仮想マシンをクラスタリングすることで、以下が可能になる最大64ノードサーバー（ノード）メンテナンス時の自動ドレインサーバー（ノード）復帰時の自動フェールバック移行に最適なサーバーの自動選定 ※サーバーダウンを想定する場合は、Hyper-Vレプリカによる複製で対応する必要がある

“Hyper-V over SMB” & フェールオーバークラスター
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 ITCAMP-FS ファイルサーバー通常の \\ITCAMP-FS\VMStore この部分の信頼性が問題になる VMSTORE AD DS（KDC） VHD VHD VHD

Hyper-V over SMB & フェールオーバークラスター & スケールアウトファイルサーバー
Failover Cluster(max 64 nodes) Node Node Node Node Node Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V SMB 3.0 スケールアウトファイルサーバー \\FileServer\Share Failover Cluster(max 4 nodes) Node1 Node2 Node8 Node8 ストレージ部分の信頼性を担保 AD DS（KDC） iSCSI/SAN CSV CSV v2

Failover Cluster(max 64 nodes) Failover Cluster(max 4 nodes)
メリット堅牢性＋柔軟性 Node1 Node2 Node8 CSV CSV v2 iSCSI/SAN スケールアウトファイルサーバー Hyper-V Failover Cluster(max 64 nodes) Node \\FileServer\Share SMB 3.0 Failover Cluster(max 4 nodes) AD DS（KDC）ストレージ部分の信頼性を担保 Hyper-VとStorageを分離堅牢性＋柔軟性ストレージスペースにより堅牢性＋柔軟性

シナリオ：自分の PC から社内デスクトップへ
安全性を維持しつつ、個人の多様なデバイスで業務を遂行キーワード:VDI, App-V, UE-V, Office 365 AD Virtual Desktop Infrastructure Lync Hello Office 365 アプリ配信 ConfigMgr, Endpoint Protection, グループポリシー File Server Gateway リモートデスクトップクライアント Hyper-V & RDS リモートデスクトップクライアント Firewall

VDI = Desktop を構成する3要素 + 1 Application User State OS Device Device
Apps Store User States Store OS OS Store どのデバイスでも動作する Device Device Device

Microsoft VDI を支えるテクノロジー
Windows Server Active Directory Domain Service Infrastructure Management 仮想クライアントの展開仮想アプリケーションの展開ユーザー管理 OS の仮想化仮想クライアントのホスティングアプリケーションの仮想化 App-V RemoteApp ユーザー状態の仮想化 RDS 移動ﾌﾟﾛﾌｧｲﾙプロファイルディスク Hyper-V UE-V

OS の仮想化

3 タイプの OS Virtualization
Powered by Windows Server 2012 セッションホスト共用仮想マシンパーソナル仮想マシン RDS + Hyper-V

Architecture 選択基準 Sessions Pooled VMs Personal VMs Good Better Best
パーソナライズアプリケーション互換性 With RDS in Windows Server 8, you can deploy Sessions, personal VMs or pooled VMs, all using the same platform. However, how do you choose which architecture is right for you? Irrespective of which deployment model you choose, you get some common benefits: The powerful administration capability through the inbox management console, with simple setup, intelligent patching and unified management using System Center. A powerful and scalable virtualization platform, irrespective of whether you are deploying Session desktops on RDS, or VM desktops on Hyper-V. A consistently rich user experience across LAN and WAN. However, your choice of architecture should depend on one of the following five pivots: Personalization: Do your users need the ability to customize their desktops? If so, what level of customization do they need? With Sessions and Pooled VMs, users have some limited personalization capability with User Disks, like the ability to persist their data across different logins. However they cant persist user installed applications across logins. However, with a personal desktop (assuming of course that the user has admin rights on their desktop), users can change any aspect of their desktop, including installing their own applications across multiple logins. Application compatibility: Session based desktops share a common server OS, and hence any applications that are to be installed need to be compatible with Windows Server 8. However, in both VM scenarios, it’s the Windows Client OS that’s running within the VM, and hence application compatibility is always higher for VMs than Sessions. However, with personal VMs, users can install their own apps, as opposed to pooled VMs, where IT decides what applications are presented to the user. Hence, personal VMs provide the highest level of application compatibility across all thee deployment models. User Density: Since Sessions share a single Server OS, the number of users that can be accommodated on a single session based server is always going to be higher than either VM based model. In some cases, we have seen that one the same spec hardware, you get twice the user density with Sessions than you can with VMs. With pooled VMs, since user data is either typically not stored locally or is stored on a separate User Disk, pooled VM sizes are typically smaller than personal VMs, and hence pooled VMs have slightly higher density. You can reduce the density of the VM based models by introducing user state and application virtualization technologies on the VM, but you will still have lower densities than sessions. Images: If getting to a single image is your goal, then the best way to get there is either through session based desktops, or by deploying pooled VMs. In a session based desktop, all users share a single server image, while in pooled VMs, all users get a cloned copy of a single master image. Single image configurations are easier to manage and have lower costs as compared to personal VMs, where each user gets their own individual image. Cost: Since sessions offer the highest densities and are single image, they are often easier to manage and hence offer the lowest cost. Pooled VMs get the single image and management benefits of sessions, but higher densities and management efforts means that they are more expensive to deploy than Sessions. Personal VMs have the lowest density and highest management efforts, making them the most expensive of the 3 deployment models. However, bear in mind that Windows Server 8 helps companies reduce overall VDI TCO, with support for lower cost storage (such as SMB and DAS), application virtualization, dynamic memory and User Disks. 管理のしやすさコスト効率

OS の仮想化を支えるテクノロジー Hyper-V + Storage SMB 3.0, NIC Teaming
Hyper-V over SMB Live Migration, Live Storage Migration Hyper-V Cluster( Failover Cluster） Scale-out File Server(Failover clustered file server） RDS（Remote Desktop Services） WEB Access Connection Broker Gateway License Service Session Host/VM Host

Remote Desktop Services

セッションホスト（RDSH） Session#0 = Console Session Session#1 Session#2
Windows Server 内に「セッション」を設立し、RDPで接続して利用する Windows Server 以外に必要なものはない UI は Windows Server Session#0 = Console Session Session#1 RDP Session#2 RDP Session#3 Session#4 RDP Remote Desktop Service Windows Server

Remote Desktop Service
共有 or パーソナル仮想マシン Hyper-V 上に展開した仮想マシン（VM）をOSとして利用するリモートデスクトップサービスがセッションを制御する RDP RDP RDP Remote Desktop Service VM1 VM2 VM3 RDS RDS RDS Hyper-V Windows Server

Remote Desktop Service
OWN DEVICE Firewall RD Web Access ポータル RD Gateway アクセス承認 Firewall RD Connection Broker アクセス制御仮想マシンベース SSL Windows Server Hyper-V SSL RDP セッションベースただし、OSだけ仮想化しても効率が悪い。 SSL

「切断」と「ログオフ」の違いログオフ：セッションは初期化される切断：セッション状態を維持することで、再接続が可能
ログオフ：セッションは初期化される切断：セッション状態を維持することで、再接続が可能　アイドルタイムによる自動切断、切断されたセッションの維持時間などを、　コレクション単位で設定可能接続ブローカー仮想マシンベース接続ブローカーが切断されたセッションにリダイレクトしてくれる Hyper-V session 切断してマシンを移動セッションベース同じ仮想マシンに接続 session

RD Gateway によるアクセス承認 NAP Firewall RD Gateway RDP（3389）
RDP over SSL を RDP に変換 NAP（Network Access Protection）との連携セッションの監視（イントラネットでも利用可能）接続承認ポリシー（CAP）とリソース承認ポリシー（RAP） NAP 検疫 Firewall RD Gateway 接続承認ポリシー（CAP）認証デバイスリダイレクトの可否セッションタイムアウトの設定その他のネットワークポリシー RDP over SSL （443/tcp）リソース承認ポリシー（RAP）ユーザーグループ（規定は Domain Users）接続可能なコンピューター（規定は Domain Computer）ポート番号（規定は 3389） RDP（3389）

可用性後述 Hyper-V cluster Remote Desktop Connection Broker Web farm
Active/Active Hyper-V cluster Remote Desktop Web Access 仮想化ホスト SQL Server Clustering Web farm セッションホスト farm So, let’s also look at what we’ve done with High Availability. What you’re looking at is the high-level deployment architecture for all the components that go together in VDI deployment. We looked at these just a couple minutes ago. In order for a VDI deployment to scale and be highly available, each of these components needs to be highly available. In WS08 R2, this is how things worked. RDWeb: Can be scaled out. It’s a web app, so it can scale out as a farm of web servers. Since WS08 RDG: Also a web app, so it can scale out as a farm of web servers. Since WS08 RDVH: A Hyper-V server, so it works as a HyperV Cluster. Different nodes in the cluster. If one fails, the workloads in the cluster, such as the VMs can migrate to another node in the cluster. Since WS08R2 RDLS: Supported a cluster mode since WS08. RDVH and RDSH can access multiple servers in a farm. RDSH: TS Fram. Since WS03, very early version, has supported a farm configuration. The key new thing in WS2012 in this area is the high availability and scalability of connection broker. In WS08R2, we only supported Active/Passive Clustering for connection broker. In WS2012 we changed to support Active/Active mode. Connection broker has an internal database to store the configuration and runtime data for the entire deployment, things like where the user is logged on. What VM is on which host, which apps are published, etc. When Broker is configured in HA mode, you have multiple instances of the Broker, all of which run against a SQL DB cluster. All Broker instances are active: They are responding to load at the same time. Hence this configuration provides both availability and scale. All the key tasks that Connection broker manages, such as VM creation, or user logon creating/mountiung user VHDs, as well incoming connections that get redirected through Broker, all of these tasks work seamlessly with a multi-instance, highly available Broker deployment. This config requires that you have a SQL server in your configuration to host all the data for your VDI deployment. We support a wide variety of SQL clustering modes and SQL versions, including for example SQL Denali & “Always ON” High Availability mode. The most recent innovation that SQL is bringing to the space. Add’l notes: Wizard in Admin UI walks you through the steps needed to set up a new broker instance. Automatically migrates configuration data from the source broker’s data store to the shared SQL database. Powershell cmdlet to do the same. As in many other farm-type ha configurations, the broker instances need to be configured so they are at the same DNS name and authenticate under the same name. This is typically accomplished by using DNS Round Robin and a shared SSL certificate. Remote Desktop Licensing Remote Desktop Gateway Cluster

Application の仮想化

RemoteApp App-V アプリケーションの仮想化 RDP 2種類の配信方法異なるバージョンを同時に利用可能
リモートデスクトップ方式サーバーまたは仮想マシンにインストールされているアプリケーションを公開 App-V ストリーミング方式クライアントで実行 RDP HTTPS

RemoteApp によるアプリケーションの公開
仮想マシンや物理マシンにインストールされているアプリケーションを、リモートデスクトッププロトコルを介して使用する機能。 Windows Server 2012 に直接インストールすることができないアプリケーションやセッションベースに対応していないアプリケーションは、仮想マシンベースで公開することができる。 RD Connection Broker RDS 仮想マシンベース Firewall Hyper-V 接続方法ポータルサイトでアイコンをクリック RDPファイルをダブルクリック RD Web Access RDP RDP RD Gateway セッションベース

RD Web ポータルと Web フィード AD DS 仮想デスクトッププールの公開 RemoteApp アプリケーションの公開
特定のリモートデスクトップへの接続アプリケーションリストをRSSフィードとして公開仮想マシンベース Hyper-V RDP RDP RD Web Access Control Panel RSS セッションベース AD DS GPOで設定 Win8 の場合

User State の仮想化

ユーザープロファイルディスクセッションベース仮想デスクトップベース OSとは独立した仮想 VHD ファイル
中身はユーザープロファイルフォルダコレクション単位に管理されるコレクション間の共有は不可能セッションベース仮想デスクトップベース OS ユーザー1 ユーザー2 ユーザー1 ユーザー2 ユーザー3 ユーザー3

仮想デスクトップのロールバックとユーザープロファイルディスク
ロールバックユーザーのログオフ時に仮想マシンが初期化されるユーザープロファイルディスクユーザー個別の環境が「独立した仮想 HDD として」保存されるプールされた仮想デスクトップコレクションプールされた仮想デスクトップコレクションセッションベースのコレクションログオンログオフ作業差分 VHD ユーザープロファイルディスク

RemoteApp で保存したデータはどこに?
規定 RemoteApp サーバーの C:\Users 配下にテンポラリのプロファイルフォルダが作成されるユーザーがログオフするとプロファイルフォルダは削除されるプロファイルフォルダ内に保存したデータは、次回ログオン時に再利用できないプロファイルディスクを設定プロファイルディスクの保存先として設定したパスに、仮想ハードディスクとして保存される。次回ログオン時にマウントされるため、保存したデータを再利用可能

ユーザーステートの仮想化～ UE(User Experience)-V
きめ細かなローミング設定が行えるアプリケーション IE Office LOB others Settings Location Template Group Policy AD DS UE-V Agent Windows 8 Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2012 設定情報共有フォルダ規定はホームディレクトリ

UX を向上させるために - RemoteFX

仮想デスクトップの UX を向上させる RemoteFX
USB Device RemoteFX Hyper-V GPU

RemoteFX 仮想デスクトップのUX品質を高め、ローカルデバイスに近づけるためテクノロジー
仮想GPU（vGPU）※ RemoteFX 対応ビデオアダプタが必須サーバーに実装された GPU を Hyper-V 上の仮想デスクトップから利用する Hyper-V ホストが SLAT に対応していること Hyper-V ホストが DirectX 11 対応のビデオカードを実装していること RDP 7.1 以上に対応したリモートデスクトップクライアントを使用していること VRAM 1MB あたり約ピクセル 1920*1200 で約 150MB のビデオメモリを消費（シングルモニタの場合） USB デバイスリダイレクション ※Windows 7 仮想マシンには RemoteFX 対応ビデオアダプタ必須ローカルPCに接続されたUSBデバイスを仮想デスクトップにリダイレクトして利用する RD 仮想化ホスト、RD セッションホスト（WS2012）の両方で利用可能 Windows 8 仮想マシンには RemoteFX 対応ビデオアダプタは必要ないグループポリシーで使用を許可する必要がある（規定では無効）アダプティブグラフィックスネットワークの品質に応じてマルチメディアデータを最適化する WAN 対応マルチトランスポート（自動的にUDPを使用）ストリーミングの最適化マルチタッチ対応

デバイスのリダイレクト機能について USB Port RemoteFX USB リダイレクション
その他のデバイスは RDP によって独自に制御される RDP 8.0 では RDP セッション使用中のデバイス接続/切断が可能ローカルPC USB Port USB メモリ、ハードディスクドライブリダイレクション USB CD/DVD ドライブ USB プリンタ（印刷機能） EasyPrint USB 複合機、スキャナ USB WEBカメラ RemoteFX USB リダイレクション USB ガジェットパラレルポートプリンタネットワークプリンター EasyPrint オーディオ再生オーディオ録音オーディオリモート再生/録音

Easy Print Printer Driver
RDP 6.1 以降で利用可能サーバー側にプリンタードライバーがインストールされていなくても印刷が可能サーバーで生成した XPS 形式ドキュメントを、クライアントにリダイレクトすることによってクライアント側プリンタドライバーを使用する。（注意）スケーリング機能（拡大縮小）には対応していない MSTSC Printing Plugin Windows Server Spooler Windows Client Spooler XPS to GDI Easy Print Printer Driver EMF Spool XPS Spool RD サーバークライアント（参考）EasyPrint でのスケーリング機能の非対応について

リモートデスクトップクライアント RDP 6.1 RDP 7.0 RDP 7.1 RDP 8.0 OS XP SP2 Vista SP1
Vista SP1, SP2 7 7 SP1 8 マルチモニタ解像度固定解像度任意 ← RemoteApp ○ 7:RSS Feed 対応 EasyPrint PnPデバイスリダイレクト RD Gateway 対応 RD Web アクセス SSO 対応 RemoteFX 仮想 GPU DirectX 11対応 RemoteFX USB リダイレクト RDP 接続時にデバイス接続、切断途中接続、切断アダプティブグラフィクスネットワーク品質の自動検出マルチタッチ対応 UDP 対応

リモートデスクトップサービスのプロファイルパスを設定したらどうなるか
ログオン時に、プロファイルフォルダからプロファイルディスクにコピー利用中はプロファイルディスクが更新されるログオフ時に、プロファイルフォルダに書き戻しプロファイルディスクリモートデスクトップサービスのプロファイルフォルダ

DirectAccess

シナリオ：社内デバイスをもちあるきたいデバイスの安全性を維持し、シームレスに社内リソースにアクセス
キーワード: DirectAccess、BitLocker、RMS、Lync Active Directory Hello Exchange Server Office 365 SharePoint Server SkyDrive Lync 各種業務サーバーファイルサーバー Firewall DirectAccess Firewall の外では、安全な通信経路の確保と紛失対策のためのデバイスの暗号化が必要 BitLocker/BitLocker To Go

End User: Great Experience
DirectAccess DirectAccess により、インターネットから社内ネットワークにシームレスに接続することが可能グループポリシーによる集中管理 IT: どこからでも管理リモートクライアントを発見更新プログラムを確実に適用 End User: Great Experience 生産性の向上ユーザーの操作無しで接続を確立 FIREWALL DirectAccess SharePoint Apps Intranet Exchange VPN Win XP / Vista / Non-Windows Windows 7 Windows 8 Mobile Broadband DirectAccess は、Windows 7 + Windows Server 2008 R2 用のソリューションとしてはじめに実装されました。これにより、ユーザーがインターネットから社内へシームレスにアクセスするための手段が提供されました。 DirectAccess により、ユーザーは従来のVPNを使用せずに、いつでもどこからでも社内セキュリティポリシーに守られながら、社内のサービスにアクセスすることができるようになります。 DirectAccess では、リモートユーザーは仮想プライベートネットワーク (VPN) に接続しなくても、社内共有フォルダー、Web サイト、およびアプリケーションに安全にアクセスできます。DirectAccess は、ユーザーの DirectAccess 対応ポータブルコンピューターがインターネットにアクセスするたびに、ユーザーがログオンする前であっても、ユーザーのエンタープライズネットワークと双方向接続を確立します。ユーザーはエンタープライズネットワークへの接続を考慮する必要はなく、IT 管理者はコンピューターが VPN に接続していなくてもオフィス外部のリモートコンピューターを管理できます。 Windows Server 2012 では、DAサーバーを地理的に分散したロケーションに展開することができます。これにより、可用性が向上し、仮想環境におけるパフォーマンスも向上します。 VPN はネットワークに接続する DirectAccess はネットワークを拡張する

従来型 VPN と DirectAccess の違い
ユーザーによる起動がトリガー接続されているときだけポリシーの適用が可能すべての通信がVPNを経由する DirectAccess PC 起動中は常時接続常に社内セキュリティポリシーが適用社内リソースにアクセスする必要があるときのみ通信を行う（Windows Server 2012 では強制トンネリングも可能）クライアントの VPN インフラへの依存度を低減できるため、シンエッジネットワークの実現が可能

Windows Server 2012 で DirectAccess はどうなったのか
これまで… DirectAccess と RRAS は同じサーバーに共存できなかった Direct Access の展開は容易ではなかった PKIを含め複雑なアーキテクチャを理解しなければならなかった Windows Server 2012 により… DirectAccess and RRAS の共存 (リモートアクセスロールに統合) アーキテクチャの簡素化 PKI のオプション化クライアント認証を Kerberos プロキシサービス経由で行えるようになった NAT64 と DNS64 を標準でサポート（従来は UAG が必要）その他ロードバランス構成複数ドメイン、複数サイトへの対応トークンベースの認証 (OTP：One Time Password)への対応強制トンネリング（すべての通信を強制的に社内に誘導） Windows PowerShell を使用した管理ユーザーとサーバーの正常性監視 1. Windows Sever 2012 のリモートアクセステクノロジー DirectAccess では、リモートユーザーは仮想プライベートネットワーク (VPN) に接続しなくても、社内共有フォルダー、Web サイト、およびアプリケーションに安全にアクセスできます。DirectAccess は、ユーザーの DirectAccess 対応ポータブルコンピューターがインターネットにアクセスするたびに、ユーザーがログオンする前であっても、ユーザーのエンタープライズネットワークと双方向接続を確立します。ユーザーはエンタープライズネットワークへの接続を考慮する必要はなく、IT 管理者はコンピューターが VPN に接続していなくてもオフィス外部のリモートコンピューターを管理できます。 (1) DirectAccess (2)ルーティングルーターは、ネットワークセグメント間 (サブネット間) でのデータフローを管理するデバイスです。ルーターは、自身のネットワークインターフェイスの状態に関する情報と、ネットワークトラフィックの発信元と送信先の一覧に基づいて、受信パケットと送信パケットを処理します。自分の環境で使用しているハードウェアデバイスやアプリケーションの数と種類に基づいてネットワークトラフィックとルーティングのニーズを予想することにより、専用のハードウェアルーターとソフトウェアベースのルーターのどちらを使用するか、または両方を組み合わせて使用するかをより的確に判断できます。一般的に、専用のハードウェアルーターを使用すると負荷の大きいルーティングを最も効率的に処理できますが、負荷の小さいルーティングの場合は、低価格のソフトウェアベースのルーターでも処理できます。このバージョンの Windows の RRAS など、ソフトウェアベースのルーティングソリューションは、サブネット間のトラフィックが比較的軽い、小規模のセグメント化されたネットワークに適しています。多数のネットワークセグメントがあり、幅広いパフォーマンス要件に対応する必要があるエンタープライズネットワーク環境の場合は、ネットワーク全体で異なる役割を果たすハードウェアベースのさまざまなルーターを使用する必要があります。リモートアクセスサーバーとして機能するように RRAS を構成すると、リモートやモバイルで作業するユーザーを組織のネットワークに接続できます。リモートユーザーは、コンピューターがネットワークに直接接続されているときと同様に作業できます。 (3)リモートアクセスリモートアクセス接続によって、直接接続しているユーザーが通常利用できるすべてのサービス (ファイルとプリンターの共有、Web サーバーへのアクセス、メッセージングなど) を利用できるようになります。たとえば、RRAS サーバーでは、クライアントは Windows エクスプローラーを使用してドライブ接続を作成し、プリンターに接続することができます。ドライブ文字と汎用名前付け規則 (UNC) 名はリモートアクセスで完全にサポートされるため、大部分の商用アプリケーションやカスタムアプリケーションは変更せずに使用できます。 RRAS サーバーは、次の 2 種類のリモートアクセス接続を提供します。・仮想プライベートネットワーク。仮想プライベートネットワーク (VPN) は、インターネットなどのパブリックネットワーク上で確立される、セキュリティで保護されたポイントツーポイント接続です。VPN クライアントは、トンネリングプロトコルと呼ばれる特殊な TCP/IP ベースのプロトコルを使用して、リモート VPN サーバー上のポートに接続します。VPN サーバーは接続を受け入れ、接続元のユーザーとコンピューターの認証を行った後で、VPN クライアントと社内ネットワークとの間でデータを転送します。データはパブリックネットワークを通過するので、この接続を介して送信されるデータは、プライバシーを確保するために暗号化する必要があります。・ダイヤルアップネットワーク。ダイヤルアップネットワークでは、リモートアクセスクライアントがアナログ電話回線や ISDN などの通信プロバイダーサービスを使用して、リモートアクセスサーバーの物理ポートへのダイヤルアップ電話接続を行います。アナログ電話回線や ISDN を使用するダイヤルアップネットワークは、ダイヤルアップネットワーククライアントとダイヤルアップネットワークサーバーとの間の直接的な物理接続です。この接続を介して送信されるデータは暗号化できますが、電話回線は一般に安全と見なされるため、暗号化は必須ではありません。 2. 新しい機能 Windows Server 2012 および Windows® 8 のリモートアクセスの新機能では、インターネットでの接続性の強化、リモートコンピューターの管理をしやすくするツール、および Windows PowerShell を使用したリモートアクセス設定の管理容易性の向上がもたらされます。 (1) DirectAccess と RRAS が統合されたサーバーの役割 Windows Server® 2008 R2 で導入された DirectAccess は、従来の仮想プライベートネットワーク (VPN) 接続を使用せずに、企業ネットワークリソースに接続できる新しいリモートアクセス機能です。DirectAccess では、ドメインに参加している Windows 7 Enterprise Edition および Ultimate Edition のクライアントのみがサポートされます。Windows ルーティングとリモートアクセスサーバー (RRAS) では、古いクライアントおよび非ドメインメンバーのために従来の VPN 接続が提供されます。また、サーバーとサーバーとの間のサイト間接続も提供されます。Windows Server 2008 R2 の RRAS は DirectAccess と同じエッジサーバーに共存できず、DirectAccess とは別に展開および管理する必要があります。 Windows Server 2012 では、DirectAccess 機能と RRAS 役割サービスが新しいサーバーの役割に統合されています。この新しいリモートアクセスサーバーの役割では、DirectAccess と VPN ベースのリモートアクセスサービスの両方を一元的に管理、構成、および監視できます。また、Windows Server 2012 の DirectAccess では、展開を困難にする要因を取り除き、管理を簡素化するために、さまざまな更新と強化が行われています。　DirectAccess と RRAS が統合された新しいサーバーの役割では、リモートアクセスサーバーの展開を一元的に構成および管理できます。Windows Server 2012 では、Windows 7 の DirectAccess と RRAS の次の点が強化されています。　動作の相違点・DirectAccess と RRAS の共存・中小規模の組織の管理者のために簡素化された DirectAccess の管理・DirectAccess の前提条件としての PKI の展開の削除・IPv4 専用リソースにアクセスするための組み込みの NAT64 と DNS64 のサポート・NAT デバイスの内側に配置された DirectAccess サーバーのサポート・簡素化されたネットワークセキュリティポリシー・負荷分散のサポート・複数のドメインのサポート・NAP 統合・OTP (トークンベースの認証) のサポート・強制トンネリングの自動サポート・IP-HTTPS の相互運用性とパフォーマンスの向上・外部管理のサポート・マルチサイトサポート・Server Core のサポート・indows PowerShell のサポート・ユーザーとサーバーの正常性の監視・診断・アカウンティングおよびレポート・サイト間 IKEv2 IPsec トンネルモード VPN (2)DirectAccess と RRAS の共存悪意のある受信トラフィックからサーバーを保護するために、DirectAccess と RRAS のどちらにもセキュリティ機能が実装されています。以前では、両方のサービスを同じサーバーで実行しようとすると、それらのセキュリティ機能の設定が互いに競合し、DirectAccess と RRAS のどちらかが適切に機能しませんでした。 DirectAccess では、インターネットプロトコルバージョン 6 (IPv6) 移行テクノロジを使用して、クライアント接続を確立します。RRAS では、インターネットキー交換バージョン 2 (IKEv2) インターネットプロトコルセキュリティ (IPsec) を実装し、移行テクノロジを使用してすべてのパケットを破棄するように発信と着信のパケットフィルターを構成します。そのため、RRAS がインストールされており、IKEv2 を使用して VPN アクセスが展開されている場合、DirectAccess トラフィックはブロックされます。 DirectAccess には、企業ネットワークのリソースを保護するために、IPsec サービス拒否攻撃からの保護 (DoSP) が実装されています。DoSP により、すべての IPv4 トラフィックと、ICMPv6 パケットを除く、IPsec で保護されていないすべての IPv6 トラフィックが破棄されます。そのため、DirectAccess がインストールされている場合、RRAS によって転送されたすべての IPv4 パケットおよび IPsec で保護されていない IPv6 パケットはブロックされます。 Windows Server 2012 の DirectAccess と RRAS が統合されたサーバーの役割では、IPv6 移行テクノロジのトラフィックを許可するように IKEv2 ポリシーを変更し、VPN トラフィックを許可するように IPsec DoSP を変更することで、これらの問題を解決しています。こうした変更により、DirectAccess と RRAS を同じサーバーに共存させることができます。 (3)簡素化された DirectAccess 展開 Windows Server 2012 に含まれている機能を使用すると、特に中小規模の組織での展開が簡単になります。これらの新機能には、簡素化された前提条件リストおよび統合された証明書のプロビジョニングがあります。また、完全な PKI を展開する要件と連続する 2 つのパブリック IPv4 アドレスの要件が削除されました。これらの各機能については、次のセクションで詳しく説明します。管理者は、新しい作業の開始ウィザードを使用して DirectAccess を展開できるようになりました。このウィザードによって、構成操作が大幅に簡略化されます。作業の開始ウィザードを使用すると、複雑な DirectAccess をいくつかの簡単な手順で自動的にセットアップできます。IPv6 移行テクノロジ、ネットワークロケーションサーバー (NLS) の展開などに関する技術的な情報について管理者が詳しく理解する必要がなくなりました。 (4)DirectAccess の前提条件としての PKI の展開の削除 Windows 7 の DirectAccess の展開を困難にする大きな要因の 1 つは、サーバーとクライアントの証明書ベースの認証用の公開キー基盤 (PKI) の要件です。DirectAccess では、IPsec AuthIP ポリシーを使用して、インターネットに接続しているクライアントを認証し、そのクライアントからのトラフィックをセキュリティで保護します。Kerberos を使用してドメインリソースの認証を受けるには、最初にクライアントが DNS サーバーおよびドメインコントローラー (DC) への接続を確立する必要があります。 Windows 7 の DirectAccess では、AuthIP ポリシーに 2 つの認証方法を実装することで、この接続を実現します。1 番目の認証方法にコンピューター証明書を使用し、2 番目の認証方法にユーザー NTLM を使用して、インフラストラクチャ IPsec トンネルが確立されます。このトンネルが確立され、DC が利用できるようになると、クライアントは Kerberos トークンを取得し、1 番目と 2 番目の認証方法にコンピューター証明書とユーザー Kerberos を使用してイントラネット IPsec トンネルを確立します。この実装では、相互認証用のコンピューター証明書を使用して、DirectAccess サーバーとすべてのクライアントをプロビジョニングする必要があります。多くの中小規模の組織では、内部 PKI の管理は難しいと考えられます。Windows Server 2012 の DirectAccess では、構成と管理を簡素化するために、PKI の展開はオプションになっています。この機能は、HTTPS ベースの Kerberos プロキシを実装することで実現されます。クライアントの認証要求は、DirectAccess サーバーで実行されている Kerberos プロキシサービスに送信されます。その後、クライアントの代わりに、Kerberos プロキシが Kerberos 要求をドメインコントローラーに送信します。新しい作業の開始ウィザードにより、この解決方法が自動的に構成されるため、管理者にとってシームレスなエクスペリエンスが実現されます。この簡略化された DirectAccess 展開では、強制トンネリング、ネットワークアクセス保護 (NAP) の統合、2 要素認証など、ユーザーレベルの構成オプションを使用できません。この展開の場合、IPsec トンネルを 1 つだけ確立する必要があります。また、次の要件があります。・インターネットに面した外部ファイアウォールで IPsec ポート (UDP 500/4500) および TCP ポート 443 を開く必要があります (展開する場合)。・DirectAccess サーバーのファイアウォールで TCP ポート 443 を開く必要があります。・DirectAccess サーバーには、DirectAccess クライアントが信頼している証明機関 (CA) によって発行された TLS 用のサーバー認証証明書が必要です。CA はパブリック CA でもかまいません。また、内部 PKI を展開する必要はありません。証明書が使用できない場合は、DirectAccess サーバーのセットアップ処理によって、必要な IP-HTTPS および KDC プロキシ証明書が自己署名証明書として自動的に構成されます。 (5) IPv4 専用リソースにアクセスするための NAT64 と DNS64 のサポート Windows DirectAccess は、クライアント側からは IPv6 専用のテクノロジです。つまり、クライアントアプリケーション自体で IPv6 リソースへの接続がサポートされている場合に限り、クライアントはリモート接続時に、IPv6 を介してアクセス可能なイントラネットリソースにのみアクセスできます。イントラネットアプリケーションまたはリソースが内部サーバーの IPv6 インターフェイスでリッスンしている場合は、それらに IPv6 を介して直接アクセスできます。イントラネットコンピューターによって DirectAccess クライアントのリモート管理を開始するには、内部アプリケーションサーバーまたは管理サーバーも IPv6 に完全に準拠し、それらのサーバーで実行されるサーバーアプリケーションが IPv6 と互換性がある必要があります。 Windows Server 2012 の DirectAccess では、IPv4 専用の内部リソースにアクセスできるように、DirectAccess クライアントからの IPv6 通信を内部サーバーのために IPv4 に変換するプロトコル変換 (NAT64) と名前解決 (DNS64) ゲートウェイをネイティブでサポートしています。NAT64 による変換は一方向 (DirectAccess クライアントによって開始されたトラフィック用) であるため、IPv4 専用のイントラネットコンピューターでは DirectAccess クライアントへの接続を開始してリモート管理を行うことはできません。　・IPv6 に完全に対応しておらず、IPv4 のみサポートしているイントラネットサーバー (Windows Server 2003 ファイルサーバーなど)　 IPv6 専用の DirectAccess で企業イントラネットリソースへのフルアクセスを妨げる主な要因が 3 つあります。　・ネットワークで IPv6 が管理上無効になっている環境　・IPv6 対応サーバー (Windows Server 2008 など) で実行されているが、それ自体は IPv6 に対応していないアプリケーション (IPv6 インターフェイスでリッスンおよびトラフィックへの応答を行うことができないアプリケーションなど) DirectAccess を介してこうしたリソースにアクセスするには、DirectAccess サーバーと IPv4 専用の内部リソースとの間でプロトコル変換を行う必要があります (その後 DirectAccess クライアントに送信される応答を IPv6 に変換します)。NAT64 では、クライアントから IPv6 トラフィックを受信し、それを IPv4 トラフィックに変換してイントラネットに送信します。NAT64 は DNS64 と組み合わせて使用されます。DNS64 では、クライアントから DNS クエリを取得し、NAT64 で IPv4 応答が関連付けられている IPv6 マッピングに変換された後に応答を送信します。メモ：Windows Server 2012 より前の DirectAccess では、Microsoft Forefront Unified Access Gateway DirectAccess を展開する以外に、DirectAccess のプロトコル変換を行う方法はありません。 DirectAccess のセットアップウィザードでは、バックグラウンド処理としてプロトコル変換コンポーネントがシームレスに構成されるため、管理者による操作は必要ありません。管理者が選択できる構成オプションはありません。DirectAccess サーバーの内部インターフェイスに IPv4 アドレスが割り当てられている場合は、セットアップウィザードによって、NAT64 と DNS64 が自動的に有効になります。この機能をサポートするために、NAT64 用の IPv6 ネットワークプレフィックスが構成されます。NAT64 プレフィックスが自動的に割り当てられ、エンタープライズ内のすべての IPv4 範囲に適用されます。クライアントが IPv4 専用リソースに接続しようとすると、DirectAccess サーバーはこのプレフィックスから生成された内部リソースの IPv6 アドレスを返します。 (6) NAT デバイスの内側に配置された DirectAccess サーバーのサポート Windows Server 2008 R2 DirectAccess サーバーには、外部インターフェイスに対して連続する 2 つのパブリック IPv4 アドレスが割り当てられた 2 つのネットワークインターフェイスが必要です。これは、Teredo サーバーとして機能するために必要です。NAT の内側に配置されたクライアントが Teredo サーバーと NAT デバイスの種類を確認するためには、Teredo サーバーに連続する 2 つの IPv4 アドレスが必要です。この要件は、連続するパブリック IPv4 アドレスにアクセスできない中小規模の組織には難しいものがあります。将来、使用できる IPv4 アドレス空間が枯渇した場合、これが展開を困難にする要因となる可能性があります。Windows Server 2012 の DirectAccess では、NAT デバイスの内側に DirectAccess サーバーを展開でき、1 つまたは複数のネットワークインターフェイスがサポートされており、パブリック IPv4 アドレスに関する前提条件が削除されています。リモートアクセスサービスのセットアップを行う作業の開始ウィザードまたはリモートアクセスのセットアップウィザードを実行すると、DirectAccess サーバーが NAT デバイスの内側に配置されているかどうかを確認するために、サーバーのネットワークインターフェイスの状態が確認されます。この構成では、IP over HTTPS (IP-HTTPS) のみが展開されます。IP-HTTPS プロトコルとは、セキュリティで保護された HTTP 接続を使用してセキュリティで保護された IP トンネルを確立できる IPv6 移行テクノロジです。 (7) 簡素化されたネットワークセキュリティポリシー Windows Server 2008 R2 の DirectAccess では、2 つの IPsec トンネルを使用して、企業ネットワークへの接続を確立します。DNS、DC、管理サーバーなどのインフラストラクチャリソースにアクセスするためには、DirectAccess クライアントにインフラストラクチャトンネルが必要です。これらのインフラストラクチャサーバーはすべてエンドポイントとしてインフラストラクチャトンネルの IPsec ポリシーに追加されます。イントラネットトンネルは、その他のすべての企業イントラネットリソースへのアクセスに使用されます。運用ネットワークに対する DNS サーバーやドメインコンポーネントの追加や削除などによってインフラストラクチャは変更されるため、インフラストラクチャトンネルポリシーに含まれるエンドポイントは定期的に更新する必要があります。IPsec ポリシーを更新して現在のインフラストラクチャサーバーエンドポイントを反映していないと、クライアントはドメインに接続できなくなります。そうなると、グループポリシーの更新を受け取ってエラーを修正することができなくなります。 Windows Server 2012 の簡素化された DirectAccess モデルでは、1 つの IPsec トンネルを経由する DirectAccess を展開できるため、この問題は起こりません。ただし、簡素化された DirectAccess では、証明書ベースの認証を使用する特定の機能がサポートされません。例としては、スマートカードを使用した 2 要素認証や NAP の統合などがサポートされません。DirectAccess のすべての機能を使用できる必要がある場合は、これまでと同様に、トンネルが 2 つのモデルを展開する必要があります。すべての機能を使用するためにトンネルが 2 つのモデルが必要な場合は、インフラストラクチャトンネルを介してアクセスできるサーバーの一覧を管理者が更新できる追加機能を利用できます。新しいドメインコントローラーおよび SCCM サーバーが検出されると、一覧に追加されます。存在しなくなったサーバーは一覧から削除され、IP が変更されたサーバーのエントリは更新されます。 (8)負荷分散のサポート Windows Server 2008 R2 の DirectAccess は完全な高可用性ソリューションではなく、単一サーバーの展開に制限されています。限定的なハードウェアの冗長性を実現するために、Hyper-V ライブマイグレーション用に構成された Hyper-V フェールオーバークラスターの内部に DirectAccess を構成できます。ただし、オンラインにできるサーバーノードは常に 1 つだけです。 DirectAccess 展開は、単一サーバーで十分な処理能力を提供できる規模を超えて急速に拡大しています。企業は、変化する負荷の要件を満たすために、追加のサーバーを迅速かつ透過的に展開できる柔軟性を必要としています。また、イントラネットに接続している DirectAccess クライアントの停止が大規模で発生しないように、内部/外部の検出に使用されるネットワークロケーションサーバーの可用性を高くする必要があります。 Windows Server 2012 の DirectAccess では、Windows ネットワーク負荷分散 (NLB) のサポートを組み込むことで、こうした問題に対処し、DirectAccess と RRAS の両方の高可用性とスケーラビリティを実現しています。NLB の構成は、新しい展開ウィザードインターフェイスを使用して簡単にセットアップおよび自動化できます。セットアップ処理には、サードパーティのハードウェアベースの外部ロードバランサーソリューションのサポートも統合されています。重要 Windows Server 2012 の DirectAccess は、最大 8 つのノードに対応し、ネットワーク負荷分散を使用した基本的なフェールオーバーソリューションを提供します。サーバーの負荷はすべての NLB ノードで共有されますが、1 台のサーバーが使用できなくなったときに、既存の接続が自動的に別のサーバーに転送されることはありません。 (9) 複数のドメインのサポート Windows Server 2008 R2 では、管理者は複数のドメインのサポートを手動で構成できますが、その展開ではセットアップの完了後に DirectAccess ポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess には複数のドメインのサポートが統合されているため、リモートクライアントは別のドメインに配置されている企業リソースにアクセスできます。 Windows Server 2008 R2 の DirectAccess のセットアップウィザードを使用して DirectAccess を構成できるドメインは 1 つだけです。そのため、DirectAccess サーバーとは別のドメインのリモートクライアントが DirectAccess を使用することはできません。また、アプリケーションサーバーが別のドメインに属している場合、リモートクライアントが DirectAccess 経由でそれらのサーバーにアクセスすることもできません。 (10)NAP 統合 Windows Server 2008 R2 の DirectAccess では、イントラネットトンネルの IPsec ピア認証に対して正常性証明書を要求することで、ネットワークアクセス保護 (NAP) の統合をサポートしていました。正常性証明書は、システム正常性オブジェクト識別子 (OID) を持つ証明書です。NAP クライアントは、NAP 正常性ポリシーサーバーで構成されたシステム正常性要件に準拠している場合には、正常性登録機関 (HRA) からのみ正常性証明書を取得できます。 Windows Server 2008 R2 の DirectAccess と NAP を統合するには、DirectAccess の展開後に、管理者が DirectAccess のセットアップウィザードによって作成されたグループポリシーオブジェクトとポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess では、セットアップユーザーインターフェイスから直接 NAP の正常性チェックを構成できます。この機能により、NAP の統合に必要なポリシーと GPO の変更が自動的に行われます。NAP の正常性チェックの強制は、リモートアクセスのセットアップウィザードから有効にできます。メモ新しいセットアップウィザードによって DirectAccess と NAP の統合は簡単になりますが、実際の NAP の展開自体は自動化されません。管理者は、NAP IPsec 強制と HRA インフラストラクチャを個別に構成する必要があります。 (11)OTP (トークンベースの認証) のサポート多くの組織では、ログインセキュリティを強化するために、ワンタイムパスワード (OTP) による 2 要素認証を展開し、リモートアクセス接続にその認証を使用することを必須にしています。Windows Server 2008 R2 の DirectAccess では、スマートカードを使用した 2 要素認証をサポートしていましたが、RSA SecurID などの OTP ベンダーソリューションと統合することはできませんでした。そのため、このセキュリティレベルを必要とする組織では DirectAccess を展開できませんでした。 Windows Server 2012 の DirectAccess では、スマートカードを使用した 2 要素認証や OTP トークンベースのソリューションをサポートしています。この機能を使用するには PKI を展開する必要があるため、DirectAccess のセットアップウィザードでこのオプションを選択すると、[コンピューターの証明書を使用する] チェックボックスが自動で強制的にオンになります。 Windows Server 2012 の DirectAccess では、標準のスマートカード認証がサポートされるだけでなく、トラステッドプラットフォームモジュール (TPM) ベースの仮想スマートカード認証機能も使用できます。クライアントコンピューターの TPM は 2 要素認証を行うときに仮想スマートカードとして機能するため、スマートカード展開で発生するオーバーヘッドとコストの削減につながります。 (12)強制トンネリングの自動サポート既定では、DirectAccess クライアントはインターネット、企業イントラネット、およびローカル LAN リソースに対して同時にアクセスできます。企業イントラネットへの接続のみが DirectAccess IPsec トンネルを介して送信されるため、これは分割トンネル構成と呼ばれています。分割トンネリングにより、インターネット上のリソースにアクセスする際のユーザーエクスペリエンスが最適化され、イントラネット向けのトラフィックには強力なセキュリティが引き続き提供されます。一部の管理者は、分割トンネリングではセキュリティが危険にさらされると考えています。従来の VPN 接続では、ホームネットワークや企業ネットワークなどのネットワーク間のトラフィックをユーザーがブリッジし、クライアントをルーターとして効率的に動作させる可能性があります。そのため、一般的に、管理者は VPN 接続の分割トンネリングを無効にし、すべてのネットワークトラフィックが強制的に VPN 接続を経由してルーティングされるようにします。その結果、インターネットリソースにアクセスする場合、すべてのトラフィックが必ず VPN トンネルを経由してからインターネットにプロキシされるため、パフォーマンスが低下します。また、消費される企業ネットワークの帯域幅も大幅に増加します。 DirectAccess を有効にする IPsec 規則ではクライアントエンドポイントによる認証が必要なため、DirectAccess のシナリオでは、分割トンネリングによってもたらされると考えられているセキュリティ上の危険はありません。別のエンドポイントで DirectAccess クライアントを介してルーティングしようとすると、そのクライアントは認証済みのソースではなくなり、IPsec によって接続が禁止されます。ただし、一部の組織では、すべてのトラフィックを検査できるように企業プロキシサーバーを強制的に経由させる必要があるため、DirectAccess の強制トンネリングオプションによってこの機能を提供しています。強制トンネリングオプションは、Windows Server 2008 R2 の DirectAccess でも提供されていましたが、グループポリシー設定を通じて手動で有効にする必要がありました。Windows Server 2012 の DirectAccess では、強制トンネリングオプションはセットアップウィザードおよび管理 UI に統合され、必要な設定が自動的に行われます。強制トンネリングオプションを有効にすると、DirectAccess クライアントは接続に IP-HTTPS プロトコルのみを使用するにように制限され、既定では、NAT64/DNS64 サーバーとして DirectAccess サーバーを使用して、IPv4 プロキシサーバーに送信する IPv6 リソースを変換します。 (13)IP-HTTPS の相互運用性とパフォーマンスの向上特定のネットワークでは、インターネットファイアウォール設定により、クライアントが 6to4 または Teredo IPv6 移行テクノロジを使用して正常に接続できない場合があります。IP-HTTPS は、他のすべての IPv6 移行テクノロジが失敗した場合でも、DirectAccess クライアントが企業ネットワークに接続できるようにするために、Windows 7 で導入された IPv6 移行テクノロジです。IP-HTTPS では、グローバルにルーティング可能な一意の IPv6 アドレスを IPv4 ホストに割り当て、HTTP トンネルを介して転送するために IPv4 内に IPv6 パケットをカプセル化し、ホストとグローバルにルーティング可能な他の IPv6 ノードとの間の IPv6 トラフィックをルーティングします。 Windows Server 2012 では、IP-HTTPS の実装に関していくつかの機能向上が図られています。テクノロジの変更により、IP-HTTPS クライアントはプロキシ構成情報を取得し、認証が必要な場合に HTTP プロキシの認証を受けることができます。各 IP-HTTPS クライアントにクライアント証明書を展開するという Windows 7 の要件は削除されました。 IP-HTTPS では、クライアントとサーバー間に SSL/TLS 接続を作成した後、その接続を介して IP トラフィックを渡します。このデータは IPsec によって暗号化されます。そのため、データは 2 回 (1 回目は IPsec、2 回目は SSL によって) 暗号化されます。そのため、他の IPv6 移行テクノロジ (6to4 および Teredo) と比較してパフォーマンスおよびユーザーエクスペリエンスが低く、DirectAccess サーバーのスケーラビリティは制限されます。 IP-HTTPS は、ユーザーコンテキストではなく、システムコンテキストで実行されます。このコンテキストは、接続上の問題を引き起こす可能性があります。たとえば、DirectAccess クライアントコンピューターが、インターネットアクセス用にプロキシを使用するパートナー企業のネットワーク内にあり、WPAD による自動検出が使用されていない場合、ユーザーがインターネットにアクセスするには、プロキシ設定を手動で構成する必要があります。これらの設定はユーザーごとに Internet Explorer で構成します。IP-HTTPS の代わりに、わかりやすい方法で取得することはできません。また、プロキシで認証が必要とされる場合、クライアントがインターネットにアクセスするには資格情報を示す必要がありますが、IP-HTTPS は DirectAccess の認証を受けるために必要な資格情報を提示しません。Windows Server 2012 では、これらの問題が新機能によって解決されています。具体的には、ユーザーは WPAD を使用するように構成されていないプロキシを介した場合に IP-HTTPS が機能するように構成でき、IP-HTTPS は認証された IP-HTTPS 要求に必要なプロキシ資格情報を要求して提示し、それを DirectAccess サーバーにリレーします。 Windows Server 2012 の DirectAccess では、スケーラビリティを高め、この接続方法に関連するオーバーヘッドを削減するために、IP-HTTPS のパフォーマンスの向上が図られています。これらの最適化には、バッチ送信動作と受信バッファーの変更、ロック競合の削減、NULL 暗号化を使用して SSL を実装するオプションなどがあります。 DirectAccess で IP-HTTPS を構成する場合、証明機関 (CA) によって発行された証明書を使用するか、DirectAccess によって自己署名証明書が自動的に生成されるように指定することができます。PKI を展開しない場合は、自己署名証明書が便利です。 (14)外部管理のサポート DirectAccess クライアントでは、ユーザーがログインしていなくても、インターネット接続が使用可能なときは必ず、企業イントラネットへの接続が確立されます。そのため、IT 管理者はオフィスにいなくても、リモートマシンを管理し、修正および準拠の強制を行うことができます。これを DirectAccess の主な利点と考え、ユーザー接続のために既存のリモートアクセスソリューションを維持したまま、リモート管理にのみ DirectAccess を使用しているお客様もいます。 Windows Server 2008 R2 の DirectAccess には展開を外部管理のみに自動的に制限する方法がないため、管理者がセットアップウィザードによって作成されたポリシーを手動で編集する必要があります。Windows Server 2012 の DirectAccess では、クライアントコンピューターのリモート管理に必要なポリシーしか作成されないように制限する展開ウィザードオプションを使用した外部管理専用の構成がサポートされます。この展開では、強制トンネリング、NAP の統合、2 要素認証など、ユーザーレベルの構成オプションを使用できません。 (15)マルチサイトサポート DirectAccess サーバーを複数のサイトに展開して容量を増やし、イントラネットリソースに最も近いエントリポイントにより効率的にアクセスできます。これは、クライアントがそれぞれのサイトから離れず、企業内の別のサイトに到達する必要がない場合に適しています。ただし、クライアントがサイト間でローミングする場合は、最も効率的なルートを経由して DirectAccess サーバーに接続するように、マルチサイト DirectAccess のセットアップの計画と設計を慎重に行う必要があります。マルチサイト環境では、クライアントが最も近い IP-HTTPS サーバー、Teredo サーバー、DNS サーバー、およびドメインコントローラーを検出できるようにするなど、さまざまなことを考慮する必要があります。Windows Server 2012 の DirectAccess には地理的な場所にわたって複数の DirectAccess エントリポイントを展開できるソリューションが用意されており、クライアントは、物理的な場所に関係なく、企業ネットワーク内のリソースに効率的な方法でアクセスできます。 Windows Server 2012 では、リモートアクセスサーバーをマルチサイト展開で構成できます。これにより、地理的に離れた場所にいるリモートユーザーがマルチサイトエントリポイントに接続する場合に、最も近いエントリポイントに接続できます。Windows Server 2012 が実行されているクライアントコンピューターでは、エントリポイントを自動で割り当てるか、クライアントが手動で選択することができます。Windows 7 クライアントコンピューターでは、エントリポイントを静的に割り当てることができます。マルチサイト展開内のトラフィックは、外部のグローバルロードバランサーを使用して分散し、負荷のバランスを取ることができます。 (15)Server Core のサポート Server Core は、ディスク領域、サービス、および管理の要件を緩和し、オペレーティングシステムが攻撃を受ける機会を減少させるために設計された最小限のサーバーインストールオプションです。Server Core システムではグラフィカルユーザーインターフェイスがサポートされないため、管理者はコマンドラインまたはリモート管理ツールを使用して、必要なすべての構成タスクを実行する必要があります。 Windows Server 2012 の新しいリモートアクセスサーバーの役割は Windows PowerShell に完全に対応しており、PowerShell を使用してインストール、構成、および監視を行うことができます。また、リモートサーバー管理を通じて、リモートアクセスサーバーの役割を構成することもできます。 Server Core インストールでは、Windows Server のフルインストールで使用できる機能のごく一部しかサポートしておらず、現在、DirectAccess 機能およびリモートアクセスサーバーの役割には対応していません。Windows Server 2012 の Server Core インストールでは、DirectAccess と RRAS が統合されたサーバーの役割をサポートしています。 (16)PowerShell のサポート Windows Server 2008 R2 の DirectAccess には、構成オプションのための完全なスクリプトおよびコマンドラインインターフェイスがありません。Windows Server 2012 は Windows PowerShell に完全に対応しており、リモートアクセスサーバーの役割のセットアップ、構成、管理、監視、およびトラブルシューティングを行うことができます。 (17)ユーザーとサーバーの正常性の監視 Windows Server 2008 R2 では、RRAS サーバーと DirectAccess の両方の監視機能および診断機能は限定的です。 DirectAccess の監視機能では、DirectAccess とそのコンポーネントの基本的な正常性の監視しか行うことができません。利用できる監視データおよび統計情報は、管理者にとってあまり重要性や関連性がありません。 Windows Server 2012 で導入されたユーザーとサーバーの正常性の監視では、管理者は DirectAccess クライアントと接続の動作を把握できます。 DirectAccess サーバーの負荷、ユーザーアクティビティ、および現在のリソース使用状況の追跡は、監視コンソールを使用して行います。管理者はこの情報を使用して、悪影響を与える可能性のある利用状況や不適切な利用状況を特定します。診断のトレースも監視コンソールから有効にできます。 (18)ユーザーの監視リモートアクセスソリューションの管理者は、接続しているユーザーだけでなく、ユーザーがアクセスしているリソースも監視できる必要があります。特定のサーバーやファイル共有にリモートからアクセスできないとユーザーから報告があっても、管理者には現在、他のユーザーがリソースに正常にアクセスしているかどうかをリモートアクセスコンソールから確認する方法がありません。特定のユーザーが帯域幅を過度に消費しているなどの問題のトラブルシューティングを行うには、通常、複数のツールとアプリケーションが必要です。監視ダッシュボードには、次の項目に関するリモートクライアントの接続状態の要約が表示されます。情報は、関連するパフォーマンスモニターカウンターおよびアカウンティングデータから生成されます。ダッシュボードにアクセスするには、新しいリモートアクセスサーバーの管理コンソールのナビゲーションウィンドウにある [ダッシュボード] タブをクリックします。ダッシュボードには、全体的な正常性の状態およびリモートクライアントの活動と状態が表示されます。管理者は、ダッシュボードから直接クイックレポートを表示することもできます。・接続しているアクティブなリモートクライアントの総数 (DirectAccess と VPN の両方のリモートクライアントを含む) ・接続しているアクティブな DirectAccess クライアントの総数 (DirectAccess を使用して接続しているクライアントの総数のみ) ・接続しているアクティブな VPN クライアントの総数 (VPN を使用して接続しているクライアントの総数のみ) ・接続している一意のユーザーの総数 (アクティブな接続に基づき、DirectAccess と VPN の両方のユーザーを含む) ・累積セッションの総数 (最後にサーバーが再起動した後にリモートアクセスサーバーによって処理された接続の総数) ・接続したリモートクライアントの最大数 (最後にサーバーが再起動した後にリモートアクセスサーバーに同時に接続したリモートユーザーの最大数) ・転送された合計データ (最後にサーバーが再起動した後に DirectAccess と VPN の両方のリモートアクセスサーバーから送受信された合計トラフィック) 　ｰ受信トラフィック (ゲートウェイあたりのリモートアクセスサーバーへのトラフィックあたりのバイト数の合計) 　ｰ送信トラフィック (ゲートウェイあたりのリモートアクセスサーバーからのトラフィックあたりのバイト数の合計) クラスター展開では、リモートアクセスダッシュボードのリモートクライアントの活動と状態の要約には、すべてのクラスターノードの合計値が表示されます。管理者は、現在接続しているすべてのリモートユーザーの一覧を表示し、特定のリモートユーザーをクリックして、アクセスしているすべてのリソースの一覧を表示することができます。また、リモートアクセス管理コンソールの [リモートクライアントの状態] リンクをクリックすると、リモートユーザーの統計情報を表示できます。 (19) サーバーの操作状態管理者はこの機能を利用して、リモートアクセス展開の状態の管理と監視を、一元化された監視コンソールから実行できます。この機能では、注意が必要な問題を検出すると、管理者に警告します。インターフェイスには、詳細な診断情報と解決するための手順が表示されます。コンソールツリーの [ダッシュボード] ノードには、リモートアクセスインフラストラクチャと関連コンポーネントの状態を含む、リモートアクセスサーバーの状態が表示されます。クラスターまたはマルチサイト展開でリモートアクセスサーバーを展開している場合、クラスターまたはマルチサイト展開内のすべてのサーバーは非同期に評価され、全体の状態と共に一覧表示されます。管理者は、サーバーの一覧をスクロールし、DirectAccess および VPN サーバーのコンポーネントの表示を展開したり折りたたんだりできます。コンソールツリーのサーバーの [操作の状況] ノードには、リモートアクセスインフラストラクチャと関連コンポーネントの状態を含む、リモートアクセスサーバーの状態が表示されます。管理者は、特定のコンポーネントをクリックして、そのコンポーネントの状態、変更履歴、および監視の詳細を表示できます。サーバーの [操作状態] ウィンドウに状態モニターと共に表示されるリモートアクセスコンポーネントを以下に示します。・6to4 ・DNS ・DNS64 ・IP-HTTPS ・ドメインコントローラー・IPsec ・Kerberos ・ISATAP ・管理サーバー・NAT64 ・ネットワークアダプター・ネットワークロケーションサーバー・サービス・ネットワークセキュリティ (IPsec DoSP) ・Teredo ・VPN アドレス・負荷分散・VPN 接続 (20)診断現在提供されているログ機能は限定的なため、RRAS と DirectAccess の両方ともリモートアクセス接続のエラーのトラブルシューティング作業が非常に複雑になる場合があります。イベントビューアーログはあまり役に立たず、有益な情報を提供しないため、管理者がトラブルシューティングを行うには、通常、ネットワークモニターのキャプチャおよび RRAS のトレースが必要です。 Windows Server 2012 では、リモートアクセスのトラブルシューティングを行うために、診断機能に関して次の点が強化されています。 DirectAccess の詳細なイベントログ：管理者は強化されたイベントログを使用して、問題を特定し、容量とパフォーマンスの分析を実行できます。他のネットワークコンポーネントと一貫性のあるエクスペリエンスを実現するために、イベントログは標準化されています。トレースおよびパケットキャプチャ：トレースの統合により、管理者は 1 回のクリックでトレースログとネットワークパケットキャプチャを簡単に収集できます。管理者が [タスク] ウィンドウで [トレースの開始] タスクをクリックすると、単一のプロセスの一部として、パケットキャプチャによるトレースとログの関連付けの両方が実行されます。ログの関連付け：この機能では、1 回のクリックでさまざまな DirectAccess コンポーネントのログを自動的に収集して関連付けます。その際に、Windows の統合トレース機能を利用します。さまざまなコンポーネントから収集されたイベントは、アクティビティ ID の関連付けを通じて 1 つのファイルに集約されます。アクティビティ ID は、特定のタスクまたは操作を識別する GUID です。コンポーネントのログにイベントが記録されると、そのイベントにアクティビティ ID が関連付けられます。その後、この ID、または ID にマップされている転送イベントがシナリオの次のタスクを実行するコンポーネントに渡され、イベントをログに記録するために、そのアクティビティ ID が関連付けられます。結果のトレースファイルを分析すると、シナリオに関連するさまざまなコンポーネント間の関係を再構築できます。ログの有効化/表示：監視ダッシュボードの [タスク] ウィンドウまたはコマンドラインからログを有効にでき、ログレベル、キーワード、およびフィルターを制御することもできます。生成された統合トレース ETL ファイルは、ネットワークモニターを使用して、読み取りおよび表示することができます。アカウンティングおよびレポート：Windows Server 2012 リモートアクセスサーバーでは、既存の RADIUS サーバー展開または Windows Internal Database (WID) を利用して、アカウンティングを行うことができます。NPS アカウンティングストアにはユーザーの統計情報のみが含まれ、サーバーの統計情報および構成の変更はリモートアカウンティングストアには保存されません。負荷およびサーバーの状態に関する情報および履歴データは、システムのパフォーマンスモニターカウンターを通じて利用でき、WID アカウンティングストアに保存されます。リモートアクセスサーバーで接続の受信または切断が行われるたびに、すべてのリモートユーザーの統計情報 (アクセスしているエンドポイントを含む) が 1 つのユーザーセッションとしてアカウンティングストアに保存されます。そのため、レポートおよび監査目的で後からセッションの詳細にアクセスすることができます。リモートアクセスサーバーの役割で提供されるアカウンティングおよびレポート機能には、特定のメトリックを測定する機能が含まれています。利用できるメトリックには、特定の DirectAccess サーバーに接続しているユーザーの数、アクセスの状態、および転送されたバイト数の合計があります。管理者は、カスタムレポートを作成して、トラフィックおよび利用パターン (これらのパターンの履歴を含む) を特定できます。管理者は DirectAccess および RRAS のレポート機能を使用することで、リモートユーザーの統計情報、サーバーの可用性と負荷など、ユーザーおよびサーバーのさまざまな統計情報に関する詳細な使用状況レポートを生成できます。使用状況レポートの生成には、受信トレイアカウンティングストアが利用されます。使用状況レポートを生成するには、ローカルの WID データベースに対する受信トレイアカウンティングを有効にする必要があります。レポートの生成には、NPS/RADIUS アカウンティングは使用されません。使用状況レポートには、リモート接続を確立したユーザー、ユーザーがアクセスしたリソース、一意のユーザーの総数、生成されたサーバーの最大負荷などの使用履歴が表示されます。管理者は、データを生成する特定の期間を選択できます。クロスプレミス接続は、サービスホスティングプロバイダーがアプリケーションおよびインフラストラクチャをクラウドに移行できるようにするネットワーク接続を提供する Windows Server 2012 の機能です。この機能には、サイト間インターネットキー交換バージョン 2 (IKEv2) トンネルモード VPN 接続ソリューションおよび管理インターフェイスが含まれています。Windows Server 2008 R2 では、VPN 接続に対する RRAS での IKEv2 のサポートが導入されました。IKEv2 VPN により、VPN クライアントがネットワーク間を移動した場合や、ワイヤレスからワイヤード (有線) 接続に切り替わった場合に、クライアントに復元力がもたらされます。IKEv2 および IPsec を使用すると、強固な認証および暗号化方法をサポートできます。Windows Server 2012 の RRAS では機能が強化されており、サイト間 VPN 接続に対して IKEv2 を有効にできます。 (21)サイト間 IKEv2 IPsec トンネルモード VPN

DirectAccess サーバーの要件 Active Directory ドメインのメンバーであり、ドメインコントローラーと通信できること
もし構成時にドメインに参加していないことが検出されると、強制的にドメイン参加のプロセスが開始される（再起動要） DirectAccess の構成は、ローカルコンピューターの管理者権限を持ったドメインユーザーでなければならない。また以下の要件を満たしている必要がある。ドメインの Account Operators グループのメンバー Domain Admins グループのメンバー Enterprise Admins グループのメンバーサーバーで IPv6 および IPv6 移行テクノロジーが有効であることサーバーで IP ヘルパーサービスが起動していることサーバーで Windows Firewall が正常に稼働していること（無効にすると接続セキュリティ規則が処理できないため動作しない）ネットワークカードがネットワークに接続され、正常に稼働していること

その他の要件クライアント OSとして以下が稼働していること Windows 7 または Windows 8
Windows Server 2008 R2 または Windows Server 2012 Active Directory ドメインのメンバーであること Active Directory ドメインコントローラー IPv6 に対応したドメインコントローラー Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 ドメインおよびフォレストレベルは問わない DNS 以下のOSで稼働しているDNSサーバー

DirectAccess は IPv6 ベースのテクノロジー
Windows Server 2012 DirectAccess では IPv6 移行テクノロジーにより、IPv4網との通信も可能にしている必要な IPv6 移行テクノロジーは DirectAccess サーバーに実装されているインターネット社内ネットワーク DirectAccess Server IPSec IPv6 DirectAccess Core IPv6 IPv6網 IPv6網 IPv6 移行テクノロジー IPv6 移行テクノロジー IPv4網 IPv4網

DirectAccess のネットワークトポロジー
Internet Intranet DirectAccess Server NIC NIC DMZ Firewall DirectAccess Server NIC NIC Firewall NIC DirectAccess Server AD DS

(IPv6 packets on an HTTPS)
IPv4 or IPv6（インターネット側）自動構成 (Public) IPv6 Firewall DirectAccess Server 社内ネットワーク IPv6 網 IPv6 over IPSec だめなら次 Public IPv4 IPv4 網 IPv6 over IPv4(w/ IPSec) 6to4 6to4 だめなら次 Private IPv4 Firewall NAT, Proxy IP-HTTPS IPv4 網 (IPv6 packets on an HTTPS) IP-HTTPS Client IP-HTTPS Server

IPv4 or IPv6（社内ネットワーク側） Internet DirectAccess Server Ipv6網 NAT64
業務サーバー Public IPv6 Ipv6網 DNS64 NAT64 業務サーバー IPv4 only クライアントトリガーで通信が開始される Internet IPv4 網業務サーバー Private IPv6 ISATAP

IPv6 移行テクノロジー 6to4 (RFC3056) Teredo（RFC4380）
IPv6 ホストが IPv4 ネットワークで IPv6 トラフィックをトンネリングできるようにするテクノロジー 6to4 (RFC3056) IPv6 パケットを IPv4 でカプセル化するテクノロジー Teredo（RFC4380）　　 IPv6 と IPv4 をリレーするテクノロジーリレー用に2つの連続したパブリックIPv4アドレスを持ったNICが必要 Windows Server Windows 8 では使用されなくなった IP-HTTPS（RFC1945, RFC2616, RFC2818） IPv6 パケットを IPv4 HTTPS でカプセル化するテクノロジー DirectAccess では、IPv6 をIPSecで暗号化し、さらに HTTPS により暗号化しているため、コンバージョンの負荷が高い ISATAP（Intra-Site Automatic Tunnel Addressing Protocol） IPv4 網内にある IPv6ホスト同士が通信を行うためのトンネリングテクノロジー

クライアント側アプリケーションは IPv6 対応でなければならない
IPv6 移行テクノロジーは IPv6 スタックを IPv4 スタックに変換（カプセル化）するために使用される。社内業務サーバー側にはNAT64、DNS64が提供されるため IPv4アプリケーションサーバーが使用できる DirectAccess Client IPv4 網 DirectAccess Server Application DirectAccess Agent NIC NIC IPv6 Stack IPv6 Stack カプセル化 IPv4 Stack IPv4 Stack

企業内 Firewall に必要な設定 Native IPv6 DA 6to4 Firewall IP-HTTPS Dist. IP 50
Dist. UDP 500 Src. UDP 500 Dist. IP 41 6to4 Dist. IP 41 Dist. TCP 443 IP-HTTPS Src. TCP 443

HTTPS ベースの Kerberos Proxy
Windows Server 2012 DirectAccess では、PKI の展開はオプションとなり構成管理がシンプルになったクライアントの認証リクエストが DirectAccessサーバーのKerberos プロキシーに送られる Kerberos プロキシは、Kerberos 関連リクエストをクライアントに代わってドメインコントローラーに転送。認証が完了すると内部の業務サーバーとの通信が可能になる。 DirectAccess クライアントは2つの IPSECトンネルを DirectAccess サーバーとの間に作成する。最初のトンネルは「インフラストラクチャトンネル」と呼ばれ、イントラネット内の DNS oyobi AD DS ドメインコントローラー、その他の管理サーバーと通信するためのものである。 2つ目のトンネルが「イントラネットトンネル」と呼ばれ、WEBサイトやファイルサーバー、その他のアプリケーションサーバーとの通信ためのものである。 Windows 7 時代にDirectAccessを展開する障害となっていたことの1つは、サーバーとクライアント証明書ベースの認証のためにPKI（Public Key Infrastructure）が必須となっていたことでした。 DirectAccess は認証とトラフィックの安全性維持のために IPsec AuthIP ポリシーに依存していました。Kerberosを使用してドメイン内のリソースを認証するために、クライアントは最初にDNSおよびDCと接続を確立しなければなりません。 Windows 7 DirectAccess は、この接続を、AuthIPポリシーの2つの認証メソッドで実装していました。インフラストラクチャ IPSecトンネルは、最初の認証メソッドとしてコンピューターの証明書を使用して確立され、2番目のメソッドとしてユーザーのNTLM認証を使用します。いちどこのトンネルが確立されると、DCとの接続が有効になり、クライアントはKerberos トークンを取得し、コンピューター証明書とユーザーのKerberos認証（および他の認証メソッド）によってイントラネットトンネルを確立できます。この実装により、DirectAccess サーバーとすべてのクライアントがコンピューター証明書によってプロビジョンされる必要がありました。内部のPKIを管理することは、多くの中小規模組織において敷居が高いことです。 Windows 8 DirectAccess では PKIの展開はオプション化され、構成と管理がシンプルになりました。この機能は HTTPSベースのKerberosプロキシーによってカプセル化されました。クライアントの認証リクエストは DirectAccessサーバー上で動作している Kerberos proxy サービスを経由して送信されます。Kerberos proxy は Kerberos リクエストをクライアントが所属しているドメインの Domain Controllers に送信します。新しい「簡易セットアップウィザードを使用すると、この機能は自動的にセットアップされます。このシンプルな展開方式では、強制トンネリングやNAP統合、2要素認証などの構成は有効になりません。また、この展開方式では、1つのIPSECトンネルだけが確立されます。 AD DS クライアント/ユーザー認証 DirectAccess Server Kerberos Proxy Firewall Internet IPSec tunnel 業務サーバー Intranet

マルチサイト構成地理的に分散した拠点にDirectAccessサーバーを設置可能障害時のフェールーバーが可能
DirectAccess Server DirectAccess Server Windows Server 2012 DirectAccess は地理的に異なる複数のDirectAccessエントリポイントを作成することができる。クライアントは物理的なロケーションにかかわらず、社内に接続することができる。マルチサイト構成を展開すると、クライアントは自動的に最寄りのDAサーバーに接続する。どこかのDAサーバーがエラーになれば、フェールオーバーもされる。 Client DirectAccess Server

Manage-Out のサポート社内サーバーからDirectAccessクライアントを直接管理することができる
Firewall Internet DirectAccess クライアントは、インターネット接続が有効であれば、ユーザーがログオンしていなくても、常に接続が確立されます。このことにより、IT管理者は、社外に接続しているクライアントに対してパッチを適用したり、コンプライアンスにとって重要な管理が行えます。 2008R2でもできないことではなかったが、構成が面倒だった。2012ではウィザードでチェックするだけで構成できる。管理サーバー DirectAccess Server クライアントパッチセキュリティポリシー

ネットワークロードバランス構成 High Availability configuration is enabled through the Configuration node of the Remote Access Management Console. The setup provides support for an external load balancer, or configuring NLB on the DirectAccess and RRAS servers. If the administrator selects the option to use Windows NLB, the IP addresses assigned to the server interfaces are converted to virtual IP (VIP) addresses. The administrator is then prompted to specify corresponding dedicated IP (DIP) addresses and subnet masks for each interface.

強制トンネリング Firewall すべての通信を強制的に社内ネットワークを経由するようにすることで、全ての通信の監視が行える。
※規定では無効社内ネットワーク Firewall DirectAccess Server クライアント本来の経路 Proxy WEB

名前解決ポリシーテーブル（NRPT） Firewall NRPT 規則 NRPT 規則 Internet Internet Intranet
DNS 名前空間ごとに「使用する DNS サーバーを決定するポリシー」定義できる機能ポリシールールに存在しない名前空間は、NICで定義されたDNSサーバーに問い合わせるインターネットトラフィックとイントラネットトラフィックの分離を実現するために、Windows 7/Windows Server 2008 R2 から導入された DirectAccess によりインターネットのクライアントは社内 DNS を使用できる DNS AD DS NRPT 規則 NRPT 規則 Firewall Client DNS DirectAccess Server Internet Internet Intranet

[コンピューターの構成] ┗ [Windows の設定] 　　┗ [名前解決ポリシー]

ネットワークロケーションサーバー（NLS）
クライアントがイントラネットに直接接続されている場合のみアクセス可能な HTTPS サーバー DirectAccess クライアントが接続を試みて、正常に WEB ページを取得できた場合には、クライアントはイントラネット上に存在すると判断されるイントラネット上のクライアントであると認識されると、DirectAccess サーバーは使用しない NLS が正しく動作していないとイントラネットかインターネットかの判別が行えないので、高可用性化することが推奨される NLS Firewall NLSの名前解決できない Internet Intranet Internet

[コンピューターの構成] ┗ [管理用テンプレート] 　　┗ [ネットワーク] 　　　　┗ [ネットワーク接続状態インジケーター] 　　　　　　┗ [ドメインの場所を特定する]

NRPT による NLS の除外 Firewall NLS NRPT 規則 NRPT 規則 Internet Internet
NLS がインターネットから名前解決できてしまうと、インターネット上のクライアントはイントラネットに存在すると判断されてしまうため、DirectAccess が使用できなくなる。そのため、NLS は NRPT の除外規則によって名前解決ができないようにしておく必要がある外部 DNS NLS AD DS NRPT 規則 NRPT 規則 DirectAccess 規則 DirectAccess 規則 Firewall Client 内部 DNS DirectAccess Server Internet Internet Intranet

オフラインドメインジョイン Firewall AD DS
プロビジョン用ファイルを使用し、ドメインコントローラと通信できない状態でドメインに参加する手法 Windows Server 2012 では DirectAccessに必要なグループポリシー設定を埋め込むことができるため、インターネット上でオフラインドメインジョインすることができる Firewall AD DS ①Djoin.exe /provision ドメインメンバー ③プロビジョンファイルをクライアントに送信コンピューターアカウント情報グループポリシー Internet GP 設定 ②プロビジョンファイル ④プロビジョンファイルを使用してドメインにオフライン参加クライアント DirectAccess Server ⑤ DirectAccessサーバーを介して社内にアクセスできるようになる

リモートアクセスを構成するコンポーネント
役割リモートアクセス WEB サーバー（IIS）　┣ DirectAccess および VPN（RAS）　┣ WEB サーバー　┗ ルーティング　　┣ HTTP 共通機能　　┃┣ HTTP エラー　　┃┣ディレクトリの参照　　┃┣ 既定のドキュメント　　┃┗ 静的なコンテンツ　　┣ セキュリティ　　┃┣ 要求フィルター　　┃┗ IP およびドメインの制限　　┣ パフォーマンス　　┃┗ 静的なコンテンツの圧縮　　┗ 状態と診断　　　┗ HTTP ログ管理ツールルーティングは、以前の「NPAS/RRAS」のこと IISはNLS（Network Location Service）を構成するために使用する WIDはリモートアクセスサーバーの内部アカウント管理のために使用する。グループポリシー管理コンソールは、DirectAccess 専用のGPOを作成したり管理するために使用する CMAKはVPN用のプロファイルを作成しクライアントに配信するために使用される。

つづき機能 RAS 接続マネージャー管理キット（CMAK）グループポリシーの管理 Windows Internal Database
リモートサーバー管理ツール　┗ 役割管理ツール　　┗ リモートアクセス管理ツール　　　┣ Windows PowerShell 用リモートアクセスモジュール　　　┗ リモートアクセスGUIツールとコマンドラインツール

IIS 8.0 の管理性向上

IIS 8.0 で導入された新テクノロジー WEBサーバーのスケーラビリティセキュリティ開発環境 NUMA対応
Server Name Indication SSL 証明書の集中管理 IIS CPU スロットリング Application initialization 動的 IP 制限 FTP ログオンの試行制限オープンスタンダードのサポート Web Socket Protocol(ASP.NET 4.5) ASP 3.5 と 4.5 の同時サポート WEBサーバーのスケーラビリティセキュリティ Most organizations today are using—or are planning for—a combination of on- premises and off-premises IT resources and tools, resulting in hybrid environments of both on-premises and cloud resources. Windows Server 2012 provides enormous flexibility for hosting web-based applications on premises and in the cloud, giving organizations an advanced server platform that can provide flexibility, scalability, and compatibility for running vital applications. Windows Server 2012 takes advantage of symmetry in application development efforts for both the data center and the cloud. It provides the frameworks, services, and tools to increase scale and elasticity for multitenant-enabled applications that can be deployed both on premises and in the cloud. As a web platform, it improves website density and efficiency while enabling service providers to better build, provision, and manage a hosting environment. And as an open web platform, it supports mission- critical applications and enhanced support for open standards such as HTML 5 and open source applications In this presentation we will look at the enhancements which make IIS 8.0 a scalable and elastic web platform. 開発環境

WEB サーバーのスケーラビリティ規模の拡大に伴う問題点マルチテナント環境における SSL サイトのホスティング証明書の管理
アプリケーション性能 Problem As more e-commerce sites come on line and more businesses are storing and sharing sensitive documents on line, the ability to host and scale secure sites are increasingly more important. In addition, with cloud hosting and elastic scalability, server capacity must be added and removed dynamically. Prior to Windows Server 2012, there are a couple of challenges when it comes to hosting secure sites: SSL Scalability: In a multi-tenanted environment, such as a shared hosting, there is a limitation as to how many secure sites can be hosted on Windows Server, resulting in a low site-density. The ability to take advantage of available hardware resources is also a challenge. SSL Manageability: The certificates are stored local to each Windows Server. Therefore, they need to be managed individually on each Windows Server. A simple task such as renewing a certificate must be repeated on every server. In addition, adding a new Windows Server may take hours, if there are thousands of certificates that must be imported. Solution Management experience of SSL binding is simplified through Server Name Indication which uses a virtual domain name to identify a network endpoint, eliminating the need to have a dedicated IP address for each secure site. NUMA-Aware scalability will allow you to benefit from the dramatic advances in server hardware resources expected over the next several years On Windows Server 2012, the Centralized SSL Certificate Support feature allows the server administrators to store and access the certificates centrally on a file share. Similar to Shared Configuration feature introduced in Windows Server 2008, the Windows Servers in a server farm can be configured to load the certificates from the file share on-demand. With this feature, the management experience of SSL bindings is much simplified. When it comes to SSL, the DNS name and CN name of the certificate must match. Similar contract can be further extended to the file names of the certificates. For example, would use the certificate with a file name This contract enables Windows Server 2012 to have just one SSL binding, regardless of the number of secure sites that are using this feature. The corresponding certificate is inferred by the SNI value or hostname of the requested web site, and by matching it to the file name of the certificate. IIS 8 では NUMA 対応によるハードウェア性能向上に伴うアプリケーション性能向上 SNI によるホスティングやクラウドにおける SSL サイトのスケールアウト証明書を共有フォルダで集中管理し、オンデマンドで証明書をロード SSL バインディング管理の簡素化 CPU スロットリングによるロードバランシング、SLA 対応

NUMA 対応 NUMA ノードに合わせてワーカープロセスが自動調整されるため、パフォーマンスを最適化することができる。
アプリケーションプールによって対応するため、アプリケーション自身の作りこみは必要無い効果ハードウェアの性能を、アプリケーションの改修なく享受することができるプロセッサコアが増えるほど性能向上可用性 CPUのメモリアクセス負荷を低減し、アプリケーションのワークロードをNUMAノードごとに分散管理性アプリケーションプールの設定を変えるだけなので、特に複雑な仕組みを理解する必要がない IIS 8 Multicore Scaling on NUMA Hardware Generally speaking, increasing the number of cores should result in increased performance. However, there comes a point where increasing the number cores may result in performance degradation because the cost of memory synchronization out- weighs the benefits of additional cores. IIS 8 addresses this problem by intelligently distributing and affinitizing its processes on Non-Uniform-Memory-Access (NUMA) hardware. Internet Information Services (IIS) on Windows Server 8 is NUMA-aware and provides the optimal configuration for the IT administrators. Computer hardware continues to make great advances, and within the next several years server hardware with 64 cores or more will be commonplace. In the past, scaling up to such powerful hardware could be problematic due to the challenges and cost of synchronizing memory between CPUs. Windows Server 2012 RC introduces NUMA-Aware Scalability, a component of IIS 8.0 that addresses this issue by taking advantage of pending advances in hardware, including NUMA (Non-Uniform Memory Access) architecture, in which a processor can access its own local memory faster than nonlocal memory. This new feature allows IIS 8.0 to divide workloads into multiple processes and uses NUMA nodes to minimize the need for the CPU to synchronize memory across the servers. System designers use NUMA to enhance system performance while avoiding increased loads on the processor bus. In a NUMA system, CPUs are arranged in smaller systems called nodes, with each node having its own processors and memory. Each node is connected to the larger system through a cache-coherent interconnect bus. The slide shows the primary benefits of NUMA-Aware Scalability: Efficiency. Customers get a high return on their hardware investments. The NUMA-Aware Scalability feature can take advantage of an increased number of processor cores so that it can use server hardware—both current and upcoming hardware technology. Customers can get more from their hardware, and web applications can run more efficiently on the same resources as shown in the chart on the slide. Scalability. The NUMA-Aware Scalability feature divides the workload into multiple processes and uses NUMA nodes to minimize the need for the CPU to synchronize memory across the servers. Manageability. The NUMA-Aware Scalability feature minimizes complexity so that users do not need a detailed understanding of how NUMA works. With NUMA-Aware Scalability, Windows Server 2012 can help you take advantage of emerging, high-performance server hardware systems. 将来のCPUコアやメモリの低価格化によってより大きなメリットを得られる

アプリケーションプールをNUMA対応にするには
1 [talk thru the process of configuring NUMA-Aware scalability. The following text is in support of step 5] IIS supports following two ways of partitioning the workload: Run multiple worker processes in one application pool (i.e. web garden). If you are using this mode, by default, the application pool is configured to run one worker process. For maximum performance, you should consider running the same number of worker processes as there are NUMA nodes, so that there is 1:1 affinity between the worker processes and NUMA nodes. This can be done by setting "Maximum Worker Processes" AppPool setting to 0 as shown on the slide. In this setting, IIS determines how many NUMA nodes are available on the hardware and starts the same number of worker processes. Run multiple applications pools in single workload/site. In an alternate configuration, the workload/site is divided into multiple application pools. For example, the site may contain several applications that are configured to run in separate application pools. Effectively, this configuration results in running multiple IIS worker processes for the workload/site and IIS intelligently distributes and affinitizes the processes for maximum performance. In addition, there are two different ways for IIS 8.0 to identify the most optimal NUMA node when the IIS worker process is about to start. Most Available Memory (default) The idea behind this approach is that the NUMA node with the most available memory is the one that is best suited to take on the additional IIS worker process that is about to start. IIS has the knowledge of the memory consumption by each NUMA node and uses this information to "load balance" the IIS worker processes. Windows IIS also has the option to let Windows OS make this decision. Windows OS uses round-robin. Finally, there are two different ways to affinitize the threads from an IIS worker process to a NUMA node. Soft Affinity (default) With soft affinity, if other NUMA nodes have the cycles, the threads from an IIS worker process may get scheduled to non-affinitized NUMA node. This approach helps to maximize all available resources on the system as whole. Hard Affinity With hard affinity, regardless of what the load may be on other NUMA nodes on the system, all threads from an IIS worker process are affinitized to the chosen NUMA node that was selected using the design above. The optimal NUMA selection logic as well as the affinity type are also found under Advanced Settings. However, they appear only if IIS is running on NUMA hardware 2 詳細設定 4 3 5 値を 0 に設定するだけ

SNI（Server Name Indicator: RFC4366）サポート
従来の SSL では、クライアントが HOSTヘッダーを送信する前にホスト名が書かれた証明書が送られてきてしまう。そのため、1台のサーバーに複数のSSLサイトが存在する場合には IP アドレスで切り替える必要があった。パブリックサイトの場合、複数のパブリックアドレスが必要になる。従来:テナントごとにIPアドレスを変える必要があった Client xxx.xxx.xxx.xxx Server Hello IP=xxx.xxx.xxx.xxx Hello 証明書ホスト名が書かれている Server Name Indication (SNI) uses a virtual domain name to identify a network endpoint, eliminating the need to have a dedicated IP address for each secure site. It does this by extending the Transport Layer Security (TLS) protocol to include the virtual domain name during Secure Sockets Layer (SSL) negotiation. SNI allows the client to request the domain name before the certificate is committed to the server. With SNI, a host name can be used along with IP address and port to identify the network endpoint, eliminating the need to have a dedicated IP address for each secure site. In the past, if you had 10,000 tenants, you would need 10,000 unique IP addresses. With SNI, you need only one. SNI also supports thousands of SSL certificates and uses the local certificate store. The new Web Hosting store works like the Personal store, so all of the existing tools to import and export certificates work the same way. The key difference between Web Hosting store and Personal store is that Web Hosting store is designed to scale to higher numbers of certificates. Unlike previous versions of Windows Server, the certificates on Windows Server are loaded in memory on-demand. After configuring thousands of secure sites using SNI, send a GET request to one of the secure sites and observe the memory usage. It is negligible. On previous versions of Windows Server, if hundreds of secure sites are configured, sending just one GET request would cause the Windows Server to load all certificates, resulting in a high memory usage, and further limits the scalability. You can configure Windows Server 2012 with both SNI and traditional secure sites. They are designed to co-exist. キー交換証明書ストア暗号化通信

IIS 8 :１つのIPアドレスで複数のSSLサイトをホストできる
SNI ではクライアントからの Hello 送信時にホスト名を通知できるように拡張された WEBサーバー側とブラウザ側の対応が必要（IIS8 以降、Vista の IE7以降） IIS 8 :１つのIPアドレスで複数のSSLサイトをホストできる Client Cotoso.com Server Hello、HOST HOST=contoso.com Hello 証明書ホスト名が書かれているキー交換証明書ストア暗号化通信

IIS CPU スロットリングアプリケーションプールが使用する CPU使用率を制限する機能
KillW3wp ：制限を超えたらプロセスをKILLする Throttle ：CPU使用率を無条件に制限 ThrottoleUnderLoad：CPU のアイドルタイムに余裕がなくなると使用を制限 In a multi-tenanted deployment, such as a shared hosting environment, it is important to create a sand-box for each tenant. Without the sand- box, a tenant could intentionally or unintentionally impact other tenants negatively by accessing other tenants' contents or by monopolizing resources, such as memory, CPU, and bandwidth. Previous versions of IIS have CPU throttling but it doesn’t do what most of us want. When a site reaches the CPU threshold the site is turned off for a period of time before it is allowed to run again. This protects the other sites on the server but it isn’t a welcome action for the site in question since the site breaks rather than just slowing down. On IIS 8.0, CPU Throttling enables customers to truly limit how much CPU each tenant can consume as a percentage of CPU. Furthermore, this feature is configurable per IIS application pool, which means each tenant could have different limits, which can lead to a new business model in which tenants can pay more for higher limits. It is important to clarify that IIS CPU Throttling is not a reservation of a CPU resource. Rather it is a way to limit the maximum usage. The throttling is based on the user and not specifically on the application pool. This means that if you use dedicated users on more than one app pool then it throttles for all of app pools sharing the same user identity. Note that the application pool identity user is unique so if you use the app pool identity user—which is common—then each app pool will be throttled individually. (Continued on next hidden slide) テナント1 の実行空間テナント2 テナント3 WEB サイト1 WEB サイト2 WEB サイト3 WEB サイト4 AppPool1 AppPool2 AppPool3 最大使用率 15% 最大使用率 50% 最大使用率 35%

証明書の集中管理 Server Farm Server Farm 従来 IIS8 IIS IIS IIS www.contoso.com
On Windows Server 8, the Centralized SSL Certificate Support feature allows the server administrators to store and access the certificates centrally on a file share. Similar to Shared Configuration feature introduced in Windows Server 2008, the Windows Servers in a server farm can be configured to load the certificates from the file share on-demand. With this feature, the management experience of SSL bindings is much simplified in turn lowering the time and cost involved in running a server farm. With this feature, adding a server running Windows Server 2012 takes minutes because there are no certificates to import. In the past, if you had 20 servers in a server farm, you would have to copy and import SSL certificates on all 20 computers, one by one. The problem increases exponentially if you have 10,000 tenants that all want a secure site. The result is 10,000 SSL certificates that have to be copied to all 20 computers and imported individually. The Centralized SSL Certificate Support feature in Windows Server 2012 is used to store all SSL certificates centrally in a file server, where they are shared by all servers in the server farm. In the preceding example, the 20 computers get the SSL certificates from a central location so the administrator has just one location to update the certificate. Additionally, there is no need for any special “importing” procedure—To configure a new server, you simply point to the file server with SSL certificates. 証明書同じWEBサイトをホストするファームであっても、個々のサーバーごとに証明書をインストールする必要があった共有フォルダに証明書（.pfx）を保存しておき、各サーバーでは共有フォルダを参照するだけ。ホスト名と同じファイル名の証明書が自動的にロードされる。

証明書の有効期限管理 IIS 管理コンソールから証明書の有効期限を容易に識別できる有効期限ごとにグルーピング表示期限切れ明日今週
Management of the centralized certificates is now available through IIS Manager on the server where the feature was installed. One manageability feature that is noteworthy is the ability to group the certificates by their expiration dates. See how easy it is to be able to see the certificates that: 期限切れ明日今週来週来月それ以降

Application Initialization
WEBアプリケーションの最初のレスポンスを早くするためのテクノロジーアプリケーションプールの初期化を待つ間に静的なスプラッシュページを表示 Previously known as the application warm-up module which was pulled for a time, now it's ready in full force as Application Initialization Module. With this new feature, website administrators can configure IIS 8.0 to proactively perform initialization tasks for one or more web applications. IIS 8.0 can also be configured to return static content as a placeholder or splash page until an application has completed its initialization tasks. IIS 8.0 initializes the process in advance so that the first request performance is improved. A first web request takes more time because the corresponding IIS worker process needs to start. In IIS 8.0, the process is initialized in advance so that the first request performance is improved. In addition, the feature can be used to initialize the process while serving a splash page, resulting in an improved user experience. Instead of enduring an extended wait without seeing anything on the browser, the user can look at the splash page displayed on the browser while the process is being initialized. This allows spinning up sites and pages before traffic arrives and handling of requests in a friendly way while the application first loads. It's not uncommon for a site to take a minute or longer on the first load , especially with applications like SharePoint. You can also ensure that your load balancer’s health test page doesn’t serve up a valid response until the site is fully initialized according to your preferences. Then the load balancer will bring a node into rotation only after the entire warm-up has completed. The initialization process can occur automatically whenever a web server is brought online or recycled. For scenarios where server administrators don't want to greedily initialize applications, the initialization process can instead be triggered on-demand when the first request arrives at a "cold" application. For both global and local application initialization the Url Rewrite module can be integrated to provide richer and more complex initialization rules. Using Url Rewrite rules integrated with the Application Initialization feature it is possible to serve different types of pre-generated static content for different Urls and virtual paths while IIS continues to start-up an application in the background. Application Initialization is installed as a subfeature of the Application Development Feature. It is configured by modifications to the global applicationHost.config and to application-specific web.config files. The slide just shows a couple of snippets, but you can get detailed information on editing these files from the resource document listed at the end of this presentation. applicationHost.config の構成例 Application pool configuration entry: <add name=".NET v4.5" managedRuntimeVersion="v4.0" /> Application configuration entry: <application path="/appinit" applicationPool=".NET v4.5"> x アプリケーションレベルの web.config の構成例 <applicationInitialization skipManagedModules="true" > <add initializationPage="/default.aspx" /> </applicationInitialization>

動的 IP 制限 IIS7 以前では、IPアドレスの静的な制限機能を持っていた
ブロック時には Forbidden をクライアントに送信同時要求数、一定時間内の要求の数によって要求元 IPアドレスを動的にフィルタする IP アドレスだけでなく、 x-forwarded-for による制限も可能フィルタが発動した際には以下の対応が可能 Unauthorized: IIS は HTTP 401 を返す Forbidden: IIS は HTTP 403 を返す Not Found: IIS は HTTP 404 を返す Abort: IIS はコネクションを切断する IIS 7 and earlier versions had built-in functionality that allowed administrators to allow or deny access for individual IP addresses or ranges of IP addresses. When an IP address was blocked, any HTTP clients from that IP address would receive an HTTP error "403.6 Forbidden" reply from the server. This functionality allowed administrators to customize the access for their server based on activity that they see in their server's logs or website activity. However, this is a manual process. Even though functionality can be scripted to discover malicious users by examining the IIS log files by using a tool like Microsoft's LogParser utility, this still requires manual intervention. IIS 8.0 for Windows Server 2012 allows you to easily set up filters to automatically deny access based on criteria that you can determine based on your security needs. This feature’s primary benefit is to protect servers from DoS attacks by automatically blocking potentially harmful IP addresses. In IIS 8.0, Microsoft has expanded the built-in functionality to include several new features: Dynamic IP address filtering, which allows administrators to configure their server to block access for IP addresses that exceed the specified number of requests. The IP address filtering features now allow administrators to specify the behavior when IIS blocks an IP address, so requests from malicious clients can be aborted by the server instead of returning HTTP responses to the client. IP filtering now features a proxy mode, which allows IP addresses to be blocked not only by the client IP that is seen by IIS but also by the values that are received in the x-forwarded-for HTTP header This feature is installed as a subfeature of the Web Server, Security feature. Once installed, it is managed from the IP Address and Domain Restrictions node in IIS Manager.

IP Address Management (IPAM)

IP Address Management (IPAM)
ドメインコントローラー DHCP サーバー DNS サーバー IP アドレス空間の監視、レポーティグ、管理サーバー構成変更の監査とIPアドレス利用の追跡 DHCP リースとユーザーログオンイベントをベースにした IP address、クライアントID、ホスト名、ユーザー名による追跡 DHCP と DNS の集中管理と監視サービスの稼働監視 DNS ゾーンの正常性監視 DNS レコードの管理 DHCP のスコープ管理 A Windows Server 2012 built-in framework for discovering, monitoring, auditing, and managing the IP address space used on a corporate network IPAM discovery IPAM discovery requires access to Active Directory in order to discover network infrastructure servers. This discovery is necessary to enable IPAM services. Discovery allows administrators to enumerate servers running Windows Server® or later with the DNS Server, DHCP Server and AD DS role services installed. Administrators can also manually add or delete servers to define a custom scope of administrative control. The scope of discovery can be modified in real-time by selecting or removing domains and specific server roles. IP address space management The IPAM address space management (ASM) feature provides the ability to efficiently view, monitor, and manage IP address space on the network. ASM supports IPv4 public and private addresses, and IP addresses can be dynamically issued on the network or provided as static IP addresses. Sorting can be based on custom fields, such as region, Regional Internet Registries (RIR), device type, or customer name. A network administrator can track IP address utilization and threshold-crossing status, or display utilization trends. IPAM ASM tools address the IP address space management problem in a growing distributed environment by ensuring better planning, accountability, and control. IPAM also enables an administrator to detect overlapping IP address ranges defined on different DHCP servers, find free IP addresses within a range, create DHCP reservations, and create DNS records. Multi-server management and monitoring IPAM enables administrators to monitor and manage multiple DHCP servers and monitor multiple DNS servers spread across various regions from a centralized console. Administrative tasks are frequently repetitive across multiple servers. The ability to execute these tasks uniformly across servers reduces both the effort involved as well as the probability of error. The multi-server management (MSM) feature enables an administrator to easily edit and configure key properties of multiple DHCP servers and scopes across the organization. IPAM also facilitates monitoring and tracking of DHCP service status and utilization of DHCP scopes. IPAM also enables tagging of servers with built-in and user-defined custom field values and to visualize these servers and group them into logical groups and sub- groups. IPAM helps to monitor the health of a DNS zone on multiple DNS servers by displaying the aggregated status of a zone across all authoritative DNS servers. IPAM also tracks the service status of the DNS and DHCP servers on the network. Operational auditing and IP address tracking Auditing tools enable tracking potential configuration problems on IP infrastructure servers. IPAM provides the ability to view consolidated configuration changes on managed DHCP servers and the IPAM server. Details are tracked such as server name, user name, and the date and time a configuration change was made. IP address lease tracking is available to aid forensics investigations by collecting lease logs from DHCP, DC and NPS servers. IPAM enables history tracking for IP address leases and user logins. This enables tracking of IP address activity correlated with MAC addresses, user names, host names and other parameters.

IPAM のアーキテクチャ IPAM Client DHCP Server DNS Server IPAM Server DC Server
WS-Management Win 8 RPC/WMI/SMB/MS-EVEN6/ WS-Management WCF DHCP Server IPAM Administrators WS2012 RPC/WMI/MS-EVEN6 DNS Server IPAM ASM Administrators IPAM Server WID WMI/LDAP/MS-EVEN6 DC Server IPAM MSM Administrators Role-based access control Data-collection tasks IPAM Users MS-EVEN6 NPS Server IPAM consists of the server and client components. The server links to the DHCP, DNS, NPS servers and the domain controllers by using a range of protocols, including Remote Procedure Calls (RPC) and Event Log Remoting Protocol Version 6 (MS-EVEN6). This information flows from the servers into IPAM. IPAM has multiple data collection tasks, such as server discovery, server configuration, address utilization etc. These functions run on different schedules to collate data into the IPAM server. The data is stored on an instance of the Windows Internal Database (WID). There is no communication or database sharing between different IPAM servers in the enterprise. If multiple IPAM servers are deployed, you can customize the scope of discovery for each IPAM server, or filter the list of managed servers. A single IPAM server might manage a specific domain or location, perhaps with a second IPAM server configured as a backup. IPAM will periodically attempt to locate network policy servers, domain controllers, DNS servers, and DHCP servers on the network that are within the scope of discovery that you specify. You must choose whether these servers are managed by IPAM or unmanaged. In this way, you can select different groups of servers that are managed or not managed by IPAM. To be managed by IPAM, server security settings and firewall ports must be configured to allow the IPAM server access to perform required monitoring and configuration functions. You can choose to configure these settings manually, or automatically using Group Policy Objects (GPOs). If you choose the automatic method, then settings are applied when a server is marked as managed and settings are removed when it is marked as unmanaged. The IPAM server will communicate with managed servers using an RPC or WMI interface. IPAM monitors domain controllers and NPS servers for IP address tracking purposes. (continued from previous hidden slide) In addition to monitoring functions, several DHCP server and scope properties can be configured from using IPAM. Zone status monitoring and a limited set of configuration functions are also available for DNS servers. IP addresses, client identifiers, and host names are collected from audit logs on DHCP servers that are managed by IPAM. User names and IP addresses are collected from events on domain controllers. User names and client identifiers are collected from events on network policy servers. The client pulls all the information from the IPAM server and displays it in the client interface. It then uses WS-Management to talk to the DHCP and DNS servers, such as when defining a DHCP scope. IPAM has a number of administrative roles from Administrators to ASM Users, ordinary users, and auditors. Role-based access control (RBAC) governs the access that each of these roles has to the IPAM server. The following local IPAM security groups are created when you install IPAM. IPAM Users: Members of this group can view all information in server discovery, IP address space, and server management. They can view IPAM and DHCP server operational events, but cannot view IP address tracking information. IPAM MSM Administrators: IPAM multi-server management (MSM) administrators have IPAM Users privileges and can perform IPAM common management tasks and server management tasks. IPAM ASM Administrators: IPAM address space management (ASM) administrators have IPAM Users privileges and can perform IPAM common management tasks and IP address space tasks. IPAM IP Audit Administrators: Members of this group have IPAM Users privileges and can perform IPAM common management tasks and can view IP address tracking information. IPAM Administrators: IPAM Administrators have the privileges to view all IPAM data and perform all IPAM tasks. Tasks IPAM launches the several tasks upon installation with the specified periodicity. The tasks include: DiscoveryTask - Automatically discovers the DC, DHCP and DNS servers across the selected domains; 1 day AddressUtilizationCollectionTask - Collects address space utilization data from the DHCP AuditTask - Collects audit information from DHCP and IPAM servers and to collect IP Lease Audit logs from NPS and DC servers; 1 day ConfigurationTask - Collects configuration information from DHCP and DNS servers for ASM and MSM; 6 hours ServerAvailabilityTask - Collects service availability status for DHCP and DNS servers; 15 minutes Privacy The IP address audit functionality in IPAM audit provides tracking of IP address, hostname and Client Identifier (MAC address in IPv4, DUID in IPv6) information of computers and devices on a network in addition to user login information. The IPAM server collects audit logs and events from DHCP servers, domain controllers and network policy servers, and stores the IP address, hostname, client identifier and user name of a network user in the IPAM database on the computer running the IPAM Server feature. An IPAM audit administrator or IPAM administrator can search logs based on IP address, client identifier, hostname, or user name. No information is sent to Microsoft. WS2012; WS08R2 & SPs; WS8 IPAM Audit Administrators Server Discovery Server Configuration Address Utilization Event Collection Server Availability Server Monitoring Address Expiry MS-EVEN6 : Event Log Remoting Protocol Version 6 WID : Windows Internal Database

IPAM で管理されるアドレス空間の構造アドレスブロックアドレスレンジアドレス 169.34.2.0/24
/16 ISP や RIR から割り当てられたアドレス空間や、社内で取り決めたプライベートアドレス空間アドレスブロック /24 /24 ブロックから切り取られた、実際に使用するアドレス空間の定義。DHCPで定義された空間も検出される。アドレスレンジ割り当てられたアドレス。DHCPによって動的に割り当てられたアドレスも管理される。 With Windows Server 2012, IPAM is now the primary, centralized interface for address space management. Before we look at how it is managed, let’s make sure we understand the basic terminology involved. Address blocks are the contiguous blocks that an organization might be issued by its ISP or Regional Internet Registry (RIR). From these blocks come the corresponding address ranges. These are the internal allocation units. Any dynamic ranges are managed and allocated by DHCP. IPAM then manages any static addresses. The ASM lifecycle starts with an address request and IPAM finds an available IP address. This address is then reserved for the device. Eventually, after a few months, this address expires and it can be reclaimed. アドレス

DHCP Failover

DHCP Failover 従来 DHCP Failover アドレス空間 DHCP サーバー1 DHCP サーバー2 SCOPE1
Client 未使用アドレス要求ロードバランス、フェールオーバー未使用 SCOPE1 SCOPE2 DHCP サーバー1 DHCP サーバー2 SCOPE1 SCOPE2 アドレス要求 Client

Active Directory Domain Service

マイクロソフトの IdP プラットフォーム全体像
Consumer Enterprise Microsoft Account (Windows Live ID） Windows Azure Active Directory Sync Windows Server Active Directory Federation 他社 IdP Microsoft 全製品 Microsoft 全 OS 唐突ですが、こんな話から。簡単に。マイクロソフトはあらゆる用途でのIdPを提供しているこことを理解していただきたい。・Enterprise オンプレミス・Enterprise オンクラウド・Consumer Windows 8 Metadata Sync Sync HR

ドメインコントローラーの仮想化

仮想 DC の要件 Hyper-V Server Windows Server 2008 以降 Guest OS

DC 仮想化のメリットスケーラビリティ物理 PC がなくても展開可能サーバーのロールバック（スナップショット）自動展開のしやすさ
パブリックウラウドへの移行仮想 DC を IaaS に展開

仮想 DC の展開いずれの処理もリモートから行えるサーバーマネージャーを使用して Windows PowerShell を使用して
VHDファイルを所定の手続きでクローンいずれの処理もリモートから行える

DCクローンの動作イメージ VHD DC01 DC02 Hyper-V Hyper-V ①クローン先情報を埋め込む ②エクスポート
③インポート Hyper-V Hyper-V

仮想 DC のクローン手順ソース DC で FSMO が起動していないことを確認。起動している場合には他の DC に移動。
非互換アプリを調査し CustomDCCloneAllowList.xml を生成複製先情報を記載した DcCloneConfig.xml ファイルを作成ソース DC をシャットダウンソース DC を Export ソースを起動 Exportしたイメージを新しい仮想マシンとして Import 複製先マシンを起動（ DC 間複製が開始される）

DCクローンを自動化するスクリプト例 ITCAMP-FS DC01 DC02 DC03 複製ここからコマンドを実行 step1
$SourceDC = "ITCAMP-DC02" $DistDC = "ITCAMP-DC03" $distPDCEmu = "ITCAMP-DC01" $SourceHyperVHost = "ITCAMP-FS" $DistHyperVHost = "ITCAMP-FS" $VMStore = "\\$DistHyperVHost\VMStore" $ConfirmPreference = "none" Move-ADDirectoryServerOperationMasterRole -Identity $distPDCEmu -OperationMasterRole PDCEmulator Get-ADComputer $SourceDC | %{Add-ADGroupMember -Identity "Cloneable Domain Controllers" -Members $_.samAccountName} Invoke-Command -ComputerName $SourceDC -ScriptBlock { Get-ADDCCloningExcludedApplicationList -GenerateXml -Force } Invoke-Command -ComputerName $SourceDC -ScriptBlock { ` New-ADDCCloneConfigFile -Static -IPv4Address " " ` -IPv4DNSResolver " " ` -IPv4SubnetMask " " ` -IPv4DefaultGateway " " ` -CloneComputerName "$Args" ` -SiteName "Default-First-Site-Name" } ` -ArgumentList $DistDC Stop-VM -ComputerName $SourceHyperVHost -Name $SourceDC Get-VM -ComputerName $SourceHyperVHost -Name $SourceDC | %{ Export-VM $_ -Path $VMStore} Start-VM -ComputerName $SourceHyperVHost -Name $SourceDC $CFG = (Dir "$VMStore\$SourceDC\Virtual Machines\*.xml").FullName MD \\$DistHyperVHost\F$\$DistDC Import-VM -ComputerName $DistHyperVHost -Path $CFG -GenerateNewId -Copy-VhdDestinationPath F:\$DistDC Get-VM -ComputerName $DistHyperVHost -Name $SourceDC |Where-Object {$_.State -EQ "Off"} | Rename-VM -NewName $DistDC Start-VM -ComputerName $DistHyperVHost -Name $DistDC DCクローンを自動化するスクリプト例 ITCAMP-FS DC01 DC02 DC03 複製ここからコマンドを実行 step1 step2 step3 step4 step5 step6 step7 step8 step9

Step 1: ソースDCでPDCエミュレーターが動作していないことを確認
PDCエミュレーターがインストールされているDCはクローンできない $ConfirmPreference = "none" Move-ADDirectoryServerOperationMasterRole -Identity $distPDCEmu ` -OperationMasterRole PDCEmulator

複製元となるドメインコントローラーを Cloneable Domain Controllers のメンバーにする
Step 2: ソースDCをクローン可能なDCに設定する Get-ADComputer $SourceDC | %{Add-ADGroupMember ` -Identity "Cloneable Domain Controllers" -Members $_.samAccountName} 複製元となるドメインコントローラーを Cloneable Domain Controllers のメンバーにする

Step3.非互換アプリを調査し CustomDCCloneAllowList.xml を生成
Invoke-Command -ComputerName $SourceDC -ScriptBlock { Get-ADDCCloningExcludedApplicationList -GenerateXml -Force } コマンドレットを実行することで、C:\Windows\NTDS\CustomDCCloneAllowList.xml ファイルが作成される <AllowList> <Allow> <Name>Active Directory Management Pack Helper Object</Name> <Name>HealthService</Name> <Type>Program</Type> </Allow> <Name>QWAVE</Name> <Name>System Center Operations Manager 2012 Agent</Name> <Name>System Center Management APM</Name> <Name>Microsoft Silverlight</Name> <Type>WoW64Program</Type> <Name>wlidsvc</Name> <Name>AdtAgent</Name> <Type>Service</Type> </AllowList>

Step4.複製先情報を記載した DcCloneConfig.xml ファイルを作成
Invoke-Command -ComputerName $SourceDC -ScriptBlock { ` New-ADDCCloneConfigFile -Static -IPv4Address " " ` -IPv4DNSResolver " " ` -IPv4SubnetMask " " ` -IPv4DefaultGateway " " ` -CloneComputerName "$Args" ` -SiteName "Default-First-Site-Name" } ` -ArgumentList $DistDC すでに作成されていると上書きでいないので注意

DcCloneConfig.xml の例 <?xml version="1.0"?>
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig"> <ComputerName>ITCAMP-DC03</ComputerName> </IPv6Settings> <SiteName>Default-First-Site-Name</SiteName> </IPSettings> <IPSettings> </d3c:DCCloneConfig <IPv4Settings> <StaticSettings> <Address> </Address> <SubnetMask> </SubnetMask> <DefaultGateway></DefaultGateway> <DNSResolver> </DNSResolver> <DNSResolver> </DNSResolver> <DNSResolver></DNSResolver> <PreferredWINSServer></PreferredWINSServer> <AlternateWINSServer></AlternateWINSServer> </StaticSettings> </IPv4Settings> <IPv6Settings>

Step 5:ソース DC をシャットダウン Stop-VM -ComputerName $SourceHyperVHost -Name $SourceDC

Get-VM -ComputerName $SourceHyperVHost `
Step 6:ソース DC を Export Get-VM -ComputerName $SourceHyperVHost ` -Name $SourceDC | %{ Export-VM $_ -Path $VMStore}

Start-VM -ComputerName $SourceHyperVHost -Name $SourceDC
Step7. ソースDCを起動 Start-VM -ComputerName $SourceHyperVHost -Name $SourceDC 複製先のDCは複製元DCと複製を開始するので、事前に起動しておく必要がある。

Step 8: Exportしたイメージを新しい仮想マシンとして Import
$CFG = (Dir "$VMStore\$SourceDC\Virtual Machines\*.xml").FullName MD \\$DistHyperVHost\F$\$DistDC Import-VM -ComputerName $DistHyperVHost ` -Path $CFG -GenerateNewId -Copy -VhdDestinationPath F:\$DistDC 重要!!インプレースインポートはできない！重要!!インプレースインポートはできない！

Step9.複製先マシンを起動

仮想 DC 展開の留意点単一障害点にならないこと少なくとも2台のHyper-V サーバーに1台づつ展開
できるだけ物理的に異なるリージョンに配置すること可能であれば、少なくとも1台は物理 DC を構築しておくこと Hyper-V V-DC

できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともにServer Core を採用すること
セキュリティ上の考慮点できるだけ DC のみの単一機能のサーバーとし、ホスト、ゲストともにServer Core を採用すること必要に応じて RODC を検討すること VHDファイルの安全性に考慮すること VHDファイルが含まれるドライブごと暗号化することをお勧め V-DC （Server Core） Hyper-V （Server Core）

可能であればホストコンピューターは管理用ネットワークのみと通信を行うように設定されていること
セキュリティ上の考慮点（つづき）ホストコンピューターは死守すること可能であればホストコンピューターは管理用ネットワークのみと通信を行うように設定されていることホストコンピューターはゲストであるDCのドメインに所属させない V-DC V-DC Sysvol 共有にアタック１ 3 Hyper-V (domain member) DC からスタートアップスクリプトを送り込む 2

Windows Server 2008 の場合約10%の性能減
パフォーマンスの考慮点 Windows Server 2008 の場合約10%の性能減 Measurement Test Physical Virtual Delta Searches/sec Search for common name in base scope (L1) 11508 10276 -10.71% Search for a set of attributes in base scope (L2) 10123 9005 -11.04% Search for all attributes in base scope (L3) 1284 1242 -3.27% Search for common name in subtree scope (L6) 8613 7904 -8.23% Successful binds/sec Perform fast binds (B1) 1438 1374 -4.45% Perform simple binds (B2) 611 550 -9.98% Use NTLM to perform binds (B5) 1068 1056 -1.12% Writes/sec Write multiple attributes (W2) 6467 5885 -9.00% Adtest.exe 使用

展開に関する考慮点差分ディスクは使わないこと固定指定領域に達するまで自動拡張可変未使用領域差分実使用領域元の領域差分差分

SID の重複（..かといってドメインコントローラーでの Sysprep は未サポート）
展開に関する考慮点（続き） VHDファイルを”単純複製”しないこと SID の重複（..かといってドメインコントローラーでの Sysprep は未サポート） USN（Update Sequence Number）ロールバック問題起動しているドメインコントローラーを Export しないこと詳細： virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx

詳細解説： Windows Server 2012 仮想 DC は、なぜスナップショットからのリストアが使えるのか

復習「権限の無い復元」と「権限のある復元」
Non-Authoritative Restore Authoritative Restore 権限の無い復元：障害で動作しなくなったサーバーの回復を目的としている DC1 DC2 回復モードバックアップ ①復元 DIT 複製 DIT 権限のある復元：削除してしまったオブジェクトの回復を目的としている DC1 回復モード DC2 バックアップ ①復元差分複製 DIT DIT ② 復元対象のオブジェクトにマーク（権限付け）

“正しい復元”にとって重要な 4 つの ID USN（Update Sequence Number）
オブジェクトが追加、変更、削除されるたびに+1 ドメインコントローラー個々に管理されている RID (Relative Identifier) DC 内オブジェクトの通番. SID の構成要素 RID Master の RID Pool によって集中管理されている Invocation(発動,召喚) ID DIT のバージョン管理に使用される Get-ADDomainController で参照可能 GUID（Globally Unique IDentifier）サーバー内オブジェクトのID 恒久的

USN とは複製 Update Sequence Number オブジェクトを変更、作成、するごとに +1
ドメインコントローラーごとに管理されているドメインコントローラー間でどこまで複製が完了したかを確認するための番号ドメインコントローラーに変更が加えられるたびに加算される DC1 DC2 複製 My USN=200 My USN=100 USN_DC2 = 100 USN_DC1 = 200 High Watermark DIT DIT DC1からはUSN=200まで複製完了したということ

複製の基本動作： High Watermark をベースにした差分複製
HWM DC1 DC2 複製リクエスト My USN=200 USN_DC1 = 200 複製無し DIT DIT ユーザー追加 50人 DC1 DC2 複製リクエスト My USN=250 USN_DC1 = 200 USN=201~250 DIT DIT 250

USN ロールバック問題なんらかの原因で USN ロールバックが発生 DC1 DC2 DC1 DC2 複製リクエスト複製無し
My USN=250 USN_DC1 = 250 DIT DIT なんらかの原因で USN ロールバックが発生 DC1 DC2 複製リクエスト My USN=200 USN_DC1 = 250 複製無し DIT DIT 矛盾

DC1 DC2 複製リクエスト複製無し DC1 DC2 複製リクエストユーザー追加 50人 My USN=250
USN_DC1 = 250 複製無し DIT DIT 矛盾ユーザー追加 10人 DC1 DC2 複製リクエスト My USN=260 USN_DC1 = 250 USN=251~260 DIT DIT 260 矛盾

USN ロールバックの検知「USN ロールバック」を検知すると、複製は停止する Windows Server Backup から古い DIT をリストアした場合古い VHD ファイルをリストアした場合古い Export ファイルをインポートした場合 Event ID 2103：Active Directory データベースがサポートされていない方法で復元されました。Active Directory はこの状態が継続している間、ユーザーのログオンを処理できません。 USNロールバックが検知されないと、データベース全体に影響を及ぼしてしまう！だから、「検知」されないとならない。

Invocation ID Invocation ID：ディレクトリデータベース（NTDS.DIT）のID

USN ロールバック問題を回避するには DC2 が把握しているDC1 の状態
ロールバックを検知し、Invocation ID をリセット（変更）する必要がある複製パートナー側に新しいHWMが作成される DC1 が把握している DC1（自分自身）の状態 DC2 が把握しているDC1 の状態 USN = 1000 InvocationID = A USNロールバックロールバック検知新しいHWM USN = 500 InvocationID = B 複製要求頭から複製 DIT変更(USN変更) 複製要求 USN = 600 InvocationID = B 差分複製

旧バージョンでのスナップショットによるUSNロールバック
3/6/2017 6:30 AM スナップショットをリストアした場合には、USN ロールバックが検知されない Timeline of events DC1 DC2 TIME: T1 Create Snapshot USN: 100 ID: A RID Pool: USN rollback はDC2に反映されない→50ユーザーが複製されてしまう All others are either on one or the other DC 100 ユーザー（RID = ）は SID 競合 +100 users added TIME: T2 USN: 200 ID: A RID Pool: DC2 receives updates: USNs >100 = 200 TIME: T3 T1 Snapshot Applied! USN: 100 ID: A RID Pool: +150 more users created TIME: T4 = 250 USN: 250 ID: A RID Pool: DC2 receives updates: USNs >200 ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Server 2012 では Hyper-V ホストで VM-Generation ID を管理している
3/6/2017 6:30 AM Windows Server 2012 では Hyper-V ホストで VM-Generation ID を管理しているユニークな 128 ビットの ID 専用ドライバーによりゲストOSに通知できるようになっている WS 2012 仮想 DC は VM-Generation ID をトラックする仮想 DC Invocation ID VM-Gen ID DIT Hyper-V ホスト比較異なっていれば DC の invocation ID と RID pool をリセットしてから、コミット Active Directory database (DIT) に保存 DIT への変更をコミットする前に、 “DIT 内部の VM-Generation ID” と “ホストが認識している VM-Generation ID” を比較異なれば DC の invocation ID と RID pool をリセットしてから、コミット同じ操作を、起動時に実行する ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Windows Server 2012 ではこうなっている
3/6/2017 6:30 AM Timeline of events DC1 DC2 TIME: T1 Create Snapshot USN: 100 ID: A savedVMGID: G1 VMGID: G1 +100 users added TIME: T2 USN: 200 ID: A savedVMGID: G1 VMGID: G1 = 200 DC2 receives updates: USNs >100 TIME: T3 T1 Snapshot Applied! USN: 100 ID: A savedVMGID: G1 VMGID: G2 … missing users replicate back to DC1 +150 users created: VM generation ID の差異が発生 DC2 again accepts updates: USNs >100 TIME: T4 USN: 250 ID: B savedVMGID: G2 VMGID: G2 = 200 = 250 USN re-use avoided and USN rollback PREVENTED : all 250 users converge correctly across both DCs ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

結局のところ... 以下の用途には使えないので注意「作成したユーザーを削除したい」「変更したユーザーの属性を元に戻したい」
Authoritative Restore を使用しましょうまたは Forefront Identity Manager を使用し、メタデータで管理しましょう消してしまったユーザーを復元するには「ゴミ箱」を使いましょう

ダイナミックアクセス制御 Dynamic Access Control（DAC）

“データガバナンス” へのニーズ CIO Information Worker コンテンツオーナーインフラサポート
正しいコンプライアンスが必要 CIO 自分のデータが適切に保護されているかどうやって監査すればよいのだろう？コンテンツオーナーインフラサポートコンプライアンスに違反しているかどうか心配せずに必要なデータを使用したいどのデータに責任があって、どうやって制御すればよいかわからない Information Worker

そうは言っても、複雑な ”データガバナンス”
ファイル単位のアクセス権増え続けるファイル管理の分散（コンプライアンス測定不能）グループメンバーシップの管理増え続けるグループとメンバー増減への対応複雑なメンバーシップルールアクセスポリシー ID管理暗号化すべきデータの識別膨大なデータ監査対象データの識別暗号化監査

Windows Server 2012 ダイナミックアクセス制御（DAC）
アクセスポリシーの集中管理最新のユーザー情報の保持アクセスポリシー ID 管理 Dynamic Access Control 自動識別と自動暗号化監査ポリシーの集中管理暗号化監査

アクセスコントロールとはアクセスコントロール（アクセス制御）とはユーザーがアクセスしてもよいかどうかを評価するためのプロセス Windows の場合以下の 2 種類 ACL ベースのアクセスコントロール Expression ベースのアクセスコントロールアクセス権 ID 情報アクセス

ACL（Access Control List）ベースのアクセスコントロール
リソースにアクセスコントロールエントリ（ACE）を静的に割り当てる各 ACE は「OR」で接続されるユーザー Resource ACL ACE ACE OR Read/Write ACE OR グループ ACE ACE OR A ACE Read Only

AGDLP Resource Read Only A :Account G : Global Group
DL : Domain Local Group P : Permission ユーザー組織や役割ごとのグループ Resource ACL ACE グローバルグループ OR “アクセス権”に合わせて作成されたグループ ACE OR ACE ドメインローカルグループグローバルグループ OR ACE Read Only

“静的なACL”を動的に管理するための Id プロビジョニングシステム
「静的」な ACE を「動的」に割り当てる仕組みも存在する Forefront Identity Manager のダイナミックグループ機能 Forefront Identity Manager グループユーザーの属性を判別して自動的にグループメンバーに追加 Active Directory メタデータグループ A workflow

Expression-Based グループ
通常のグループ Expression-Based グループメンバーメンバーメンバーを明に指定する（静的）メンバーは動的所属＝営業部 AND 役職 = Manager

RBAC（Role-Based Access Control）
ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること ....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない.... 役割（Role：ロール）グループ権限公共事業部マーケティング部所属 PubSec-Marketing 読み取り公共事業部営業部所属 PubSec-Sales 公共事業部課長 PubSec-Managers 公共事業部部長 PubSec-SrManagers ・・・・・

グループベース RBAC の限界リソース管理（リソース管理者） ID 管理（ID 管理者） Resource A A A A A
リソースの増加とグループの増加複雑なメンバーシップ管理（1グループ1人 !?）イレギュラーでダイナミックな組織構造リソース管理者 ≠ ID 管理者リソース管理（リソース管理者）連携が必要 ID 管理（ID 管理者） Resource ACL A A ACE ACE A A A Resource ACL A A A ACE A ACE A A A

Expression-Based Access Control
ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御条件が合致すればアクセス可能アクセスルールユーザーCountry = リソース Country ユーザー Department = リソース Department デバイス Owner = “Microsoft” ユーザー属性リソース属性 Country Department Rules Country Department デバイス属性 Type Owner

Dynamic Access Control
Expression-Based Access Control 利用者とリソースの属性によって動的にアクセスを制御する ID 管理者は ID のプロビジョニングに対して責任を持つリソース管理者は、リソースの属性に対して責任を持つリソース属性管理（リソース管理者）アクセスルール管理 ID 管理（ID 管理者） Rules A A 営業部 IT部人事部 A Resource 所属営業部：Read IT部：Backup 経理部：R/W 経理部 IT部 A A 経理部営業部企画部

DAC の想定シナリオリソースごとに行っていたアクセス制御をエンタープライズレベルで統制
アクセスポリシー（Central Access Policy）の集中管理全社コンプライアンスポリシー組織の認可ポリシーファイルアクセス監査ポリシー（Central Audit Policy）の集中管理 File Classification Infrastructure（FCI）と連携したファイルの自動分類データの自動分類社外秘データの自動暗号化法廷保存期間に沿ったファイルサーバー上のデータの保管

「クレームベースのアクセス制御」とは重要な概念ユーザーリソース「クレーム」とは「要求」のこと
「要求」を出すのは「リソース（例：ファイルサーバー）側」ユーザーはリソース側のクレームに合致した属性情報を「トークン」として提示リソースは受け取ったトークンを解析してアクセス認可を判断トークンを解析してアクセス認可を判断クレーム（要求）トークン Name = Junichi Anno Company = MSKK Department = Evangelism Title = Evangelist ユーザーリソース

DAC でのアクセス制御プロセス AD DS DAC においてはクレーム = 「分類属性」として定義
トークン = Kerberos チケットとして AD DS から発行される Kerberos チケット（トークン）に含めるのに必要な属性は、AD DS 上に定義されていなければならない Windows Server 2012 必須 ※Kerberosに属性を含める機構が必要 AD DS ファイルサーバー ①ログオン事前に「分類属性」を定義しておく Windows Server 2012/8 必須 ※属性を受信して解析する機能が必要 ②属性情報を含んだKerberos チケット Ticket ③ アクセスユーザー on Windows 8 Name = Junichi Anno Company = MSKK チケットとクレームを照合

RFC 2113 － Kerberos Armoring
Windows Server 2012 Active Directory に実装 Whoami /claims

（参考）クライアントが Pre-Windows 8 の場合
Windows 7 以前のクライアントの場合、属性が格納されたKerberosチケットを要求することができないため、ファイルサーバーがAD DSから属性情報を受け取る Windows Server 2003 以上のドメインレベル ※Service-for-User-to-Self（S4U2Self）機構が必要 AD DS ファイルサーバー S4U2Self ログオン属性情報を含んだKerberos チケット Ticket Windows Server 2012/8 必須 ※属性を受信して解析する機能が必要従来の Kerberos チケット Ticket ユーザー on Pre-Windows 8 属性は含まれないチケットとクレームを照合

DAC に必要なすべての情報が DC で集中管理される
分類属性属性条件が合致すればアクセス可能アクセスポリシー DAC に必要な情報は3つソース（ユーザーおよびデバイス）の属性情報リソースの属性情報（分類属性）アクセスルールソースリソースクレームプロパティ関連付け定義

DAC によるアクセスポリシー管理の全体像
「Active Directory 管理センター」で作成した「集約型アクセスポリシー」をグループポリシーオブジェクト（GPO）に結合することでファイルサーバーに適用するソース属性 Country Department ソース（ユーザー）リソースクレームタイプ（要求の種類）リソースプロパティ Active Directory リソースプロパティリスト結合分類属性集約型アクセス規則（ルール）アクセス権アクセス元の条件と、条件を満たした時のアクセス権ターゲットとなるリソースの条件集約型アクセスポリシー GPO 適用分類属性とリソースの条件が合致すればアクセス権が与えられる

アクセスポリシーの管理は「Active Directory 管理センター」から行う

アクセスポリシーはグループポリシーで配信する

[rule ignored – not processed]
アクセス権判定の例ファイルの分類属性 Dept Engineering Sensitivity Hight パーミッションの設定与えられるアクセス権パーミッションのタイプターゲットファイルパーミッション Engineering FTE Engineering Vendor Sales 共有のアクセス権 Everyone:Full Central Access Rule 1: Engineering Docs Dept=Engineering Engineering:変更 Everyone: 読み取り Rule 2: Sensitive Data Sensitivity=High FTE:変更 Rule 3: Sales Docs Dept=Sales Sales:変更 NTFSのアクセス権 Vendors:読み取りアクセス権: Full Full Full Modify Modify Read Modify None Modify [rule ignored – not processed] Modify Read Modify Modify None Read

アクセス拒否発生時の速やかな対応ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、
速やかな問題解決を図るために以下の対応が可能。メッセージの送信 to システム管理者 to 共有フォルダーの所有者アクセス権取得の要求グループポリシーおよびファイルサーバーリソースマネジャーで設定

DAC に求められる条件管理者の管理責任範囲は狭くなるが、管理の精密性が求められるリソース管理者の責任コンプライアンスに沿った条件設定状況に応じたダイナミックな設定変更 IT（ID）管理者の責任 ID 情報の精密性迅速な ID 情報の反映

Dynamic Access Control
DAC を支えるテクノロジー AD DS と FSRM が鍵 Dynamic Access Control FSRM Protocol Active Directory Domain Service File Server Resource Manager （FSRM） GPO GLOBAL Classification Attributes A

ファイルサーバーリソースマネージャー（FSRM）
ファイルサーバーに保存されたデータを管理および分類できるようにするための機能セットファイル分類インフラストラクチャ（FCI）ファイル管理タスククォータの管理ファイルスクリーンの管理記憶域レポート FSRM Protocol スクリーニング Global Resource Property File Server Resource Manager 分類属性の定義 Property Schema ファイル管理タスクディレクトリクオータ記憶域レポート分類モジュール拡張機能の登録ストレージモジュール

FSRM 分類属性 Fsrm protocol Schema Local Global ファイル/フォルダを分類するための拡張属性
ローカル属性 FSRM管理コンソール、または Windows PowerShell で管理グローバル属性 Active Directory のオブジェクトとして定義し、GPO を使用して Schema に反映 Update-FsrmClassificationPropertyDefinition で属性としてコミット FSRM Fsrm protocol Schema Local Global

グローバルタイプの分類属性は AD 上に格納されている

Update-FsrmClassificationPropertyDefinition
グローバル分類属性 AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能 ※FSRM 側は Windows Server 2012 または Windows 8 グローバルリソースプロパティ（例） R_Country R_Department FSRM AD DS グループポリシー Fsrm protocol Update-FsrmClassificationPropertyDefinition Schema Global ファイルサーバー＋ファイルサーバーリソースマネージャー（Windows Server 2012 or Windows 8）

(参考）Windows Azure Active Directory

Identity Technology の課題
ROI（投資収益率）が見えずらいアーキテクチャが複雑でエンジニアがいない導入コストと管理コストが結構大きい “変化”が外部に与える影響が大きい Forefront Identity Manager セキュリティトークン PIN クレーム認証 CHAP OTP 同期 802.1x ACL パスワード Provisioning ldap ACE Active Directory メタディレクトリ NTLM SAML 認可 WS-Federation IRM SCIM Service for UNIX radius Kerberos Nis+ nis OpenID 統合認証フェデレーション ICカード SMB IdPの話を聞いて「めんどくせー」と思った方、正しいです。Id技術は面倒なんです。信頼関係 OAuth ACS マルチマスター IdM 信頼関係証明書 NDS SSO ACE 2要素認証 OpenID Connect アサーション ADSI WS-Trust

Identity Solution: Cloud Single Sign-on with Access Control
Windows Azure Active Directory ～2013年4月リリース Identity Solution: Cloud Single Sign-on with Access Control IdM as a Service マルチテナント認証 HUB（トークンゲートウェイ） ID ストア REST API LIVE External IdP 連携 Access Control Sync Directory 答えから言ってしまいましょう。Azure ADです。 ACS centralizes Single code base (WIF) Easily federate with on-prem AD Support for broad range of identity providers and protocols Okay, so let’s take a look just a little deeper. We saw some of what Access Control does; let’s now talk a little bit about how this works. You know Application 1 and Application 2 want to talk to each other, they’re behind firewalls and we don’t want to have to open up specific ports, so what happens is each application will initiate out. Most firewalls allow you to make – to initiate a call out to the internet over HTTP, so the applications are going to initiate out and register on the service spots, that they have pre- arranged, ahead of time, a certain name space where they are going rendezvous and so by them both initiating out through the firewall, they establish that connection of the service bus and from that point on they can send each other messages back and forth, that connection is kept alive and the firewalls are happy with that. Now this is all secured through Access Control, which we looked at before, so it’s not like just anybody can walk up and call your service and do things they shouldn’t, you’re still securing this through Access Control. Graph API Windows Server Active Directory or Shibboleth PingFederate 3rd Party Services Windows Azure Active Directory Auth. Library Apps in Azure

Windows Azure Active Directory
definitely not ! Windows Server Active Directory (on premise / on Azure IaaS)

CoreIO（Core Infrastructure Optimization）
ID を中心に、すべてのリソースを結合 End to End のセキュリティポリシー IdM により関係性が管理されている Network Devices IdM の役割 Digital Identity の Provisioning Create Retrieve(Read) Update Delete 最新状態の維持 IdM の目的ただしく認証、ただしく認可適切なアクセス権管理リソースの保護セキュリティポリシーの管理 Users, Devices, Services Groups Attributes IdM Digital Identity Data Services ここで、Identityの歴史から入っていきたいと思います。

従来の ID 管理～ Domain-based Identity Management
ドメイン境界内の保護 ID による企業統制セキュリティポリシーの集中管理ドメイン境界（Firewall） Active Directory ドメイン CoreIOを実現するための中心的な戦略テクノロジーが Active Directory AD は「ドメイン」と呼ばれる境界を作成し、その中にPCや人、リソースを囲い込むことで、論理的に外部と隔離しセキュリティポリシーによる統制をはかることを目的としている。外部からの脅威を除外する。この「ドメイン」という考えかたは、NT 3.1 (1994年）時代から存在し、2000年から ADドメインが登場して以来13 年、そして今後もしばらく存在し続ける歴史が長いだけあり、かなり安定感のある管理手法となってきたが、IdMに関しては悩ましい問題も発生してきた。それが、IdPの乱立。

IdP の乱立問題をどう回避したのか？回避は........できませんでした... 統合認証同期
そのかわり...こんな方法で対応してきました統合認証同期 Metadata 認証サーバー業務業務業務業務 Microsoft Active Directory は、Windows 認証に加えて、Kerberos、LDAP、Radius、NISでの認証も可能これらの方法でなんとか軽減してきたが、問題もある。・あまりにも仕組みが複雑化しすぎてしまったため失敗が多い・業務とIdPの距離が近くなりすぎてしまって、カスタマーがIdPやSPを自由に選びずらくなったそこで、両者の関係をもうすこし「素」にして、お互いの責任分界点を明確にし、両者の自由な組み合わせを実現するための方法が浸透しつつある

組織間、企業間連携のニーズドメインの異なる組織、企業間でサービス連携を行いたい Active Directory 以外のドメインとの連携
サービス（Service Provider: SP）には、認証と認可がつきもの Active Directory ドメイン Active Directory ドメイン連携我々はオンプレミスのIdPをうまく連携させるためにさまざまな苦労を強いられてきた。

パブリッククラウド連携へのニーズ企業向け SaaS（Office 365, GAE, Saleceforce など） SNS との連携
サービス（Service Provider: SP）には、認証と認可がつきもの Web Service Web Service Web Service office365 Web Service Web Service Web Service Web Service Google.com Salesforce.com Facebook.com Outlook.com Active Directory ドメイン我々はオンプレミスのIdPをうまく連携させるためにさまざまな苦労を強いられてきた。

新たな課題 IdP（Identity Provider）として企業ドメインの ”境界” を超えたリソース利用
SP（RP）として複数企業の受け入れ方法（コードを書き換える!?）テナントごとのアクセス管理受け入れ企業の Digital Identity 管理、保守「パスワード管理なんてやってられっか!」ニーズというのは、つまり課題。どんな課題が出てきたかというと。。。

Identity Federation Model
ドメインベースモデルの大いなる拡張! ドメイン外サービスとの連携認証と認可の分離（IDとリソースが同一ドメイン内でなくてもよい）認証認可 IdP（CP） SP（RP）同一人物 PROVES WHO SHE IS CLAIMS WHO AM I?

クレームベースの認証と認可プロトコルが存在する信頼クレームベースの認証と認可 IdP（認証） SP（認可）
クレームを格納業務ロール管理簿トークントークンユーザー情報認証トークンを解析本人識別ロール決定 SPは信頼するIdP側にクレームを提示するこれーむとは何かといえば、「利用者を識別するための情報、サービスを利用するための情報、利用者の役割を明確に識別できる情報」「消防署のほうから来ました」じゃだめ。「どこどこ消防署のなんという部署にいるもので、こういう目的でやってきました」 ※逆に言えば「信頼できないIdPとは連携しない」ということ→トラストフレームワークにつながる利用者属性ストアプロトコルが存在する

アクセス権はロールによって決定される Token Claims 提示署名ロールを決定するための「クレーム」は SP が提示する
アプリケーションには「ロール」決定のためのロジックを実装 Token Claims IdP（認証） SP（認可） mail 提示値業務ロール管理簿ユーザー情報 name 値トークンを解析本人識別ロール決定 company 値 SP側ではユーザー情報を最小限持てばよい。必要なものはIdPから持ってこさせる属性ストア title 値署名

アイデンティティフェデレーションのメリット
ドメイン（Firewall）を超えたリソースの利用以下の２要素が一致しており、相互に信頼関係が成立していれば連携が可能プロトコル（SAML 2.0、WS-Federation、WS-Trust）& プロファイルトークン（アサーション）のフォーマット（SAML 1.1、SAML 2.0） IdP の違い（認証方式の違い）がアプリケーションに影響しない SAML 2.0 Ｃ社 IdP STS Security Token Service（STS） SAML 2.0 SP 側は STS に IdP を登録。STS が IdP の違いを吸収する。必要なクレームは SP 側が IdP に提示する。 SAML 2.0 B 社 IdP STS どこから借りた金でも、金には違いない。。。的なことではない。業務はIdPを信頼することで、「信頼に足るID」であることを確認している。認証の違いがアプリケーションに影響しないということは、アプリケーションは１種類のテクノロジーに対応していればOKということかつ、サービス側でユーザーの情報をなんでもかんでも持つ必要が無いので（パスワードも含めて）、ユーザーの役割を決定するための材料だけを明確にしておけばよい。ユーザーの最新情報はアサーションに乗ってやってくるので、部署変更等が業務アプリケーションに与える影響は無い。 WS-Fed WS-Fed CRM A 社 IdP STS WS-Fed ロール管理簿 STS：Security Token Service

AD FS（STS）を使用した ID フェデレーションの例
Domain-Based Identity Management モデルの延長でしかない Active Directory ドメイントークンのやり取り AD on IaaS 業務サービス STS AD FS (STS) 複製クラウド上の業務サービス STS VPN よいソリューションだが、既存システムの延長でしかない AD FS を中心としてしまうと、サービスがクラウドに行っても、IDがクラウドに行けない →いつまでもサーバー管理が必要になる。スケーラービリティを考え続ける必要がある。 →パブリッククラウドの恩恵が少なくなる 10年後を考えると、サービスはクラウドに行っているのに、IDだけオンプレミスのままってことは無いはず STS クラウド上の業務サービス IDは一元管理、SSO 業務サービス

Identity の中心をパブリッククラウドへ
IdM as a Service マルチテナントスケーラビリティシンプルな共通管理インターフェースオンプレミスとの連携外部 IdP との連携セキュアな ID 管理 Web Service Network Data Services Devices IdM Digital Identity CoreIO Web Service Web Service

Windows Azure Active Directory Identity Solution: Cloud Single Sign-on with Access Control IdM as a Service マルチテナント認証 HUB（トークンゲートウェイ） ID ストア REST API LIVE External IdP 連携 Access Control Sync Directory それに対するマイクロソフトの答えが、WAADです ACS centralizes Single code base (WIF) Easily federate with on-prem AD Support for broad range of identity providers and protocols Okay, so let’s take a look just a little deeper. We saw some of what Access Control does; let’s now talk a little bit about how this works. You know Application 1 and Application 2 want to talk to each other, they’re behind firewalls and we don’t want to have to open up specific ports, so what happens is each application will initiate out. Most firewalls allow you to make – to initiate a call out to the internet over HTTP, so the applications are going to initiate out and register on the service spots, that they have pre- arranged, ahead of time, a certain name space where they are going rendezvous and so by them both initiating out through the firewall, they establish that connection of the service bus and from that point on they can send each other messages back and forth, that connection is kept alive and the firewalls are happy with that. Now this is all secured through Access Control, which we looked at before, so it’s not like just anybody can walk up and call your service and do things they shouldn’t, you’re still securing this through Access Control. Graph API Windows Server Active Directory or Shibboleth PingFederate 3rd Party Services Windows Azure Active Directory Auth. Library Apps in Azure

WAAD ー Directory Service
ユーザー情報の格納庫ユーザー認証トークン発行 Directory Service SAML2.0 WS-Fed アカウント情報へのアクセスユーザーグループデバイス Graph （REST API） ID Store Federation Gateway （STS） Application Web Service OAuth 2.0 SAML 2.0（限定的サポート） WS-Fed STS Windows Server Active Directory Shibboleth PingFederate IdP

マルチテナント対応アプリケーションの実現

WAAD ｰ Directory Service 2要素認証（プレビュー）
Windows Azure Active Directory の追加認証要素として実装サービスプロバイダーから透過的携帯電話（スマートフォン）を使用することで認証チャネルを分離現時点では WAAD で認証を行うユーザーにのみ適用可能ブラウザ利用のみ SP Token Token Directory Service Access IE ID/Password PhoneFactor Application Web Service #

WAAD － Access Control Service 外部 IdP から SP に対するトークンゲートウェイオンプレミス Active Directory との ID フェデレーション OpenID Oauh 2.0 Directory Service STS Access Control Service IｄP Application トークン変換 SP WAAD WS-Fed WS-Fed STS Application OAuth Wrap IdP WS-Fed をサポートしている IdP

TechReady 16 3/6/2017 The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

Windows Azure Active Directory
Access Control Graph API API 認可（OAuth 2.0）による情報保護 RESTful Graph API を使用した Directory へのアクセス JSON/XML で応答を受信 API エコノミーを支えるアセット対称キーや証明書を共有 Token Request OAuth 2.0 Endpoint LOB JWT Graph API Endpoint Check Request w/ JWT Response API認可とは、情報に対して保護するのではなく、情報にアクセスするためのAPI自信を保護するための方式。 OAuthのプロバイダーから発行されたアクセストークンをAPIに提示することで、APIが使用できる。 Facebook等でも使われている方式。 Windows Azure Active Directory

Top-Level Resources Query Results URI (for contoso.com) Top-level resources Returns URI list of the top-level resources for directory services (also listed below) Company information Returns company information Contacts Returns contact information Users Returns user information Groups Returns group data Roles Returns all roles that have users or groups assigned to them

まとめ IdMaaS は企業ドメインの枠を超えて、あらゆる Digital Identity とあらゆる Service を結び付け、パブリッククラウド上の様々なサービス（API）とともに “API エコノミー” を構成します将来、企業のソーシャルグラフとなり、Enterprise Social Network を実現します人の情報を管理するだけではなく、その周辺のさまざまな

まとめ IdMaaS IdMaaS は企業組織のソーシャルグラフである Enterprise Social Network IdM 業務
Partners IdMaaS 業務システム IdM Customers Digital Identity 顧客サービス IdMはCoreIOにおいて、リソースをつなぐものであったが、IdMaaS はそれがさらに拡大し、さまざまなIDと様々なシステムを結び付けるものになる。企業であれば、パートナー、顧客、従業員というIｄPと、業務システム、顧客サービスを相互に結びつけるソーシャルグラフであるといえる。 Employees

（参考）Kerberos と Windows について

Kerberos の歴史～ KDC（Key Distribution Center）の誕生
ANSI X9.17：KDCにより一時暗号化キーを集中管理して発行できるようになった従来：共通の暗号化キー KDC 発行発行発行

KDC と各サイト用マスターキー KDC KDC では各サイトのマスターキーを管理しており、各サイトとの通信もマスターキーで暗号化できる
マスターキーDB 暗号化キー暗号化キーマスターキーで暗号化マスターキーで暗号化共通の暗号化キーで通信を暗号化

KDC を使用した間接認証の基本概念 KDC
ユーザー（ユーザーが使用しているPC）とメールサーバーの通信の正当性を保証するため、それぞれのマスターキーを使用して「共通の暗号化キー（共有シークレット）を暗号化して送付する「KDC の偽装」問題（本当に正しいKDCが発行したキーなのかどうか？）が残るため、チャレンジレスポンス認証を併用（Needham-Schroederプロトコル） KDC マスターキーDB ②ランダムな暗号化キーを生成 ①ID/Password ③キーを暗号化して送付 KDCにより、通信先が正しいメールサーバーであることが保障される KDCにより、通信相手が正当なユーザーであることが保障される User Mail Server ④暗号化キーを送付 ⑤キーを複合 ⑥アクセスを認可

（いまさらですが）チャレンジレスポンス認証
サーバー側からの「チャレンジ」に対して、正しい「レスポンス」を返すことで、双方が正しい相手であることを証明し合うリプレイ攻撃を回避する User Server 要求開始チャレンジを生成チャレンジ：チャレンジを根拠にしたレスポンス（例） User Server チャレンジを生成要求開始共通鍵で暗号化した要求メールくれたことを電話で「いまメールくれた？」と確認するようなイメージか金庫にまんじゅうを入れて送信し、戻ってきた金庫の中の饅頭が1つ減って入れば、相手は金庫の暗証番号を知っているということ共通鍵で暗号化したチャレンジ (123) 複合して -1 されているかを確認チャレンジを複合し、-1する結果を共通鍵で暗号化してレスポンス (122)

Ticket（ユーザーのマスターキーで暗号化）
Kerberos 1983 年 MIT Project Athena 始動分散コンピューティング環境モデルの研究プロジェクト KDC を核としたセキュリティソリューションを含む現在一般的に使用されているのは Kerberos v5 多くの場合、マスターキー＝ユーザーのパスワード TGT 方式ユーザー名アクセスしたいサービス名チケットとセッションキーの有効期間現在利用しているワークステーションの識別子ナンス多くの場合パスワードが使用される User KDC Ticket リクエストユーザーが入力したパスワードを使用して複合化 Ticket（ユーザーのマスターキーで暗号化）「ナンス」とは「合言葉」みたいなもの。シード的な扱い。マスターキーDB ユーザー名アクセスしたいサービス名チケットとセッションキーの有効期間ユーザーとサーバー間で共有される秘密鍵現在利用しているワークステーションの識別子ナンス

TGT（Ticket-Granting Tickets）
チケット発行のたびにパスワード入力が必要 TGT を使用すれば、バックグラウンドで各サーバー用のチケットを自動発行することができる User KDC User TGT KDC パスワード入力 PC用認証認証 Mail用 PC用自動処理交付 File用 Mail用マスターキーDB マスターキーDB File用マスターキーをローカルにキャッシュするのは、あまりにも危険かといって、毎回マスターキーを消去していたのでは、サーバーにアクセスするたびにパスワードの入力が必要 PC Mail Server File Server PC Mail Server File Server

Windows ログオン＝ PC の利用権を得ること
標準的なKerberosとは異なり、Active Directory ドメインを使用するとワークステーション認証が併用されるユーザーのマスターキーを使用して複合 KDC TGT があるので、③～⑥ は自動的に行われる事前にコンピューターアカウントを登録しておく（ドメイン参加）ことで、コンピューターアカウントのパスワードがマスターキーとして登録される事前にユーザーアカウントを登録しておくことで、ユーザーアカウントのパスワードがマスターキーとして登録されるマスターキーDB 認証サービスチケット交付サービス PCとの共有秘密鍵がPCのマスターキーで暗号化された状態で含まれる ①ログオン要求 ②TGT発行 ③PCへのチケット要求 ④チケット発行ユーザーのパスワードを使用して暗号化 User Kerberized PC ⑤チケットを送付 Ticket ⑥利用を認可

IT CAMP

Windows Server 2012 ほぼ “全” 新機能解説セミナー

Similar presentations

Presentation on theme: "Windows Server 2012 ほぼ “全” 新機能解説セミナー"— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

Windows Server 2012 ほぼ “全” 新機能 解説セミナー

Similar presentations

Presentation on theme: "Windows Server 2012 ほぼ “全” 新機能 解説セミナー"— Presentation transcript:

Similar presentations

About project

フィードバック

Windows Server 2012 ほぼ “全” 新機能解説セミナー

Presentation on theme: "Windows Server 2012 ほぼ “全” 新機能解説セミナー"— Presentation transcript: