ISA Server 2004 Enterprise Editionの実力

大規模ネットワークを支える
マイクロソフトのファイアウォールサーバ

高橋 桂子
NRIラーニングネットワーク
株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2005/10/5

 Active Directory Application Modeと
 構成保管サーバによる柔軟なインフラ構築

 アレイでまとめた複数のISA Server 2004は構成データを共有します。このため、例えばアレイでNLBを有効化し、複数のISA Serverを1台の仮想的なファイアウォールとして利用すると、実際に処理を担当したISA Server 2004が違っても同じファイアウォールルールやキャッシュルールが適用され、まったく同じように処理されることになります。

 また、エンタープライズレベルで設定したエンタープライズポリシーは、全アレイ内のISA Server 2004にもれなく適用されます。このようなアレイ/エンタープライズの構成データを共有する仕組みを提供しているのが構成保管サーバです。

図5 構成保管サーバ

 実はこの構成保管サーバが、「ISA Server 2000 Enterprise Edition(ISA Server 2000 EE)」にはまったくなかった仕組みであり、大きくアーキテクチャが変更された点です。

 ISA Server 2000でも、ISA Server 2004のようなアレイ/エンタープライズ構成が実装できました。ISA Server 2000ではActive Directory(AD)を利用し、このようなファイアウォール構成データの組織内での共有を実現していました。

 つまり、ISA Server 2000 EEでは、Exchange Serverと同じように導入時にADが必要となります。インストール時には、まずADスキーマを拡張し、ISA Server用のオブジェジェクトクラスや属性を追加し、ISA Serverのアレイ/エンタープライズレベルの構成はすべてADドメインコントローラ(DC)のADデータベース「ntds.dit」に保存していたのです。

 具体的には、エンタープライズの構成データは、フォレスト全体、つまり組織全体で利用できるようにADの構成パーティションに保管し、アレイレベルの構成データは、ドメイン内で利用できるようにADのドメインパーティションに保管していました。

 ところが、このようにISA Serverの構成データをADに保管することで次のような問題が発生します。

  • ADを導入していない企業では、ISA Server 2000 EEを導入できない
  • アレイ構成をする場合、複数のISA Server 2000 EEは同じADドメインに所属している必要があり、ADの論理構造が直接ISA Serverの構成にも影響してしまう
  • AD DCが存在しない小規模サイトにISA Server 2000 EEを配置しようとすると、ISA Serverと別サイトのDCとの間で通信が発生する、あるいはそのサイトにDCを追加する必要がある

 このような問題を解決するため、ISA Server 2004 EEでは、ADをまったく必要とせず独立して動作するようにアーキテクチャが大きく変更されました。では、どうやって構成データを組織内で共有するのでしょうか?

 答えは「Active Directory Application Mode(ADAM)」の使用です。ADAMはMSが無償で提供するLDAPサーバであり、「Windows Server 2003 R2」にも同梱される予定のサービスです。今後ADAMの重要度は高くなり、活用されるシーンも増えていくと考えられますので、ADAMについて紹介しましょう。

ADAMとは

  • MSが提供する無償のLDAPサーバ
  • システムサービスではなく、ユーザーサービスとして実行されるLDAPサービス
  • ADでは必須となるFRSやDNSが不要
  • スキーマ、構成、アプリケーションパーティションの3種類のディレクトリパーティション
  • 1台のADAMサーバ上で複数のADAMインスタンスを実行可能
  • マルチマスタレプリケーション、サイトの機能を提供

 注意していただきたい点は、ADAMはADのサブセットではなく、異なる種類のLDAPサーバであることです。ADAMはADにはない同一サーバ上での複数インスタンスの実行や、インスタンスごとの複数スキーマの構成、X.500のオブジェクト命名規則準拠、Windows XP Professional上でも実行可能など、ADとは異なった機能を提供します。

 ADAMはLDAP対応アプリケーションに対して、シンプルなLDAP対応データストレージを提供するためのサービスです。ISA Server 2004 EEでは、図6のようにインストール時に構成保管サーバを選択すると、ADAMが自動的にインストールされ、ISA Server用のアプリケーションパーティション(CN=FPCConfigration)が作成されます。

図6 インストールウィザード(1)

 アレイメンバーは、LDAP/LDAPSプロトコルを通じて、構成保管サーバのADAMアプリケーションパーティションから、アレイ/エンタープライズの構成を取り出します。もし、低速ないしは狭帯域な接続でリンクされている小規模な拠点にISA Server 2004 EEを配置したい場合には、必要に応じて構成保管サーバのレプリカ、つまりADAM サーバをインストールすることができます。

図7 インストールウィザード(2)

 ADAMデータベースはADデータベースと違い、アプリケーションパーティションベースで構成されているため、以前のバージョンのようにDCを配置するのと異なり、必要となるデータベースサイズも極めて少なくて済みます。そのうえ、サイトの機能自体はADと同等のものが実装されており、構成保管サーバ同士のADAMレプリケーション頻度も自由に調整することができます。

3/4

Index
ISA Server 2004 Enterprise Editionの実力
  Page1
ISA Server 2004 Enterprise Editionとは?
  Page2
アレイ/エンタープライズ構成による分散管理
Page3
ADAMと構成保管サーバによる柔軟なインフラ構築
  Page4
統合NLBによるロードバランシングとフォールトトレランス

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間