 |
ISA Server 2004 Enterprise Editionの実力
大規模ネットワークを支える
マイクロソフトのファイアウォールサーバ
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2005/10/5
 |
Active Directory Application Modeと 構成保管サーバによる柔軟なインフラ構築 |
アレイでまとめた複数のISA Server 2004は構成データを共有します。このため、例えばアレイでNLBを有効化し、複数のISA Serverを1台の仮想的なファイアウォールとして利用すると、実際に処理を担当したISA Server 2004が違っても同じファイアウォールルールやキャッシュルールが適用され、まったく同じように処理されることになります。
また、エンタープライズレベルで設定したエンタープライズポリシーは、全アレイ内のISA Server 2004にもれなく適用されます。このようなアレイ/エンタープライズの構成データを共有する仕組みを提供しているのが構成保管サーバです。
 |
| 図5 構成保管サーバ |
実はこの構成保管サーバが、「ISA Server 2000 Enterprise Edition(ISA Server 2000 EE)」にはまったくなかった仕組みであり、大きくアーキテクチャが変更された点です。
ISA Server 2000でも、ISA Server 2004のようなアレイ/エンタープライズ構成が実装できました。ISA Server 2000ではActive Directory(AD)を利用し、このようなファイアウォール構成データの組織内での共有を実現していました。
つまり、ISA Server 2000 EEでは、Exchange Serverと同じように導入時にADが必要となります。インストール時には、まずADスキーマを拡張し、ISA Server用のオブジェジェクトクラスや属性を追加し、ISA Serverのアレイ/エンタープライズレベルの構成はすべてADドメインコントローラ(DC)のADデータベース「ntds.dit」に保存していたのです。
具体的には、エンタープライズの構成データは、フォレスト全体、つまり組織全体で利用できるようにADの構成パーティションに保管し、アレイレベルの構成データは、ドメイン内で利用できるようにADのドメインパーティションに保管していました。
ところが、このようにISA Serverの構成データをADに保管することで次のような問題が発生します。
- ADを導入していない企業では、ISA Server 2000 EEを導入できない
- アレイ構成をする場合、複数のISA Server 2000 EEは同じADドメインに所属している必要があり、ADの論理構造が直接ISA Serverの構成にも影響してしまう
- AD DCが存在しない小規模サイトにISA Server 2000 EEを配置しようとすると、ISA Serverと別サイトのDCとの間で通信が発生する、あるいはそのサイトにDCを追加する必要がある
このような問題を解決するため、ISA Server 2004 EEでは、ADをまったく必要とせず独立して動作するようにアーキテクチャが大きく変更されました。では、どうやって構成データを組織内で共有するのでしょうか?
答えは「Active Directory Application Mode(ADAM)」の使用です。ADAMはMSが無償で提供するLDAPサーバであり、「Windows Server 2003 R2」にも同梱される予定のサービスです。今後ADAMの重要度は高くなり、活用されるシーンも増えていくと考えられますので、ADAMについて紹介しましょう。
【ADAMとは】
|
注意していただきたい点は、ADAMはADのサブセットではなく、異なる種類のLDAPサーバであることです。ADAMはADにはない同一サーバ上での複数インスタンスの実行や、インスタンスごとの複数スキーマの構成、X.500のオブジェクト命名規則準拠、Windows XP Professional上でも実行可能など、ADとは異なった機能を提供します。
ADAMはLDAP対応アプリケーションに対して、シンプルなLDAP対応データストレージを提供するためのサービスです。ISA Server 2004 EEでは、図6のようにインストール時に構成保管サーバを選択すると、ADAMが自動的にインストールされ、ISA Server用のアプリケーションパーティション(CN=FPCConfigration)が作成されます。
 |
| 図6 インストールウィザード(1) |
アレイメンバーは、LDAP/LDAPSプロトコルを通じて、構成保管サーバのADAMアプリケーションパーティションから、アレイ/エンタープライズの構成を取り出します。もし、低速ないしは狭帯域な接続でリンクされている小規模な拠点にISA Server 2004 EEを配置したい場合には、必要に応じて構成保管サーバのレプリカ、つまりADAM サーバをインストールすることができます。
 |
| 図7 インストールウィザード(2) |
ADAMデータベースはADデータベースと違い、アプリケーションパーティションベースで構成されているため、以前のバージョンのようにDCを配置するのと異なり、必要となるデータベースサイズも極めて少なくて済みます。そのうえ、サイトの機能自体はADと同等のものが実装されており、構成保管サーバ同士のADAMレプリケーション頻度も自由に調整することができます。
 |
3/4 |
 |
| Index | |
| ISA Server 2004 Enterprise Editionの実力 | |
| Page1 ISA Server 2004 Enterprise Editionとは? |
|
| Page2 アレイ/エンタープライズ構成による分散管理 |
|
 |
Page3 ADAMと構成保管サーバによる柔軟なインフラ構築 |
| Page4 統合NLBによるロードバランシングとフォールトトレランス |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
