windows file service 総復習-windows server 2012 r2編 第1版
DESCRIPTION
2014年4月3日のセミナー資料です Windows File Service 総復習-Windows Server 2012 R2編 第1版TRANSCRIPT
• マルチプラットフォームからのアクセス
• ユーザーデータの格納庫として安定した継続的な運用
• 適切なアクセス権の設定と監査ログ
• 爆発的な使用量増大の抑止
• レポーティング
SMB
NFS
共有アクセス権
NTFS 上のアクセス権
データ、ドライブ圧縮
データ、ドライブ暗号化
Information Rights Management
VSS バックアップ
移動ユーザープロファイル
フォルダー リダイレクト
オフライン ファイル
分散ファイルシステム(DFS)
DFS 複製(DFR-R)
ディスク クオーター
FSRM ファイルス クリーニング
FSRM ストレージレポート
ブランチ キャッシュ
スクリプトによる一括管理
• データ格納庫以外での利用
• SQL Server データベース
• Hyper-V の仮想マシン
• 可用性
• 負荷分散
• 自動フェールオーバー
• スケーラビリティ
• 大容量ストレージの実装
• 容易なボリューム拡張
• シンプロビジョニング
• エンタープライズ セキュリティ ポリシーの適用
• 社外からファイルサーバーへのアクセス
Hyper-V over SMB
仮想マシン
共有ストレージ
Hyper-V ホスト
SAN/iSCSI
ローカルストレージ上
仮想マシン
ファイルサーバー
Hyper-V ホスト
SMB 3.x
ファイルサーバー上
仮想マシン
Hyper-V ホスト
内蔵ストレージ
• 共有ストレージにゲストOSの仮想ストレージを格納する必要がある• フェール オーバー クラスターを構成する必要がある• 共有ボリュームを用意する必要がある
メモリ内データ
構成情報
VMステート
SAN/iSCSI
Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V
Failover Clustering
File Server
VMSTORE
VHD VHD VHD
¥¥Server¥Share
高い信頼性
Network の信頼性
File Serverの信頼性
仮想マシン
Hyper-V ホスト Hyper-V ホスト
ゲスト OS
アプリ
仮想マシン 仮想マシン
ゲスト OS
アプリ
仮想マシン
ゲスト OS
アプリ
ホストクラスター ゲストクラスター
Hyper-V ホストをクラスタリング 仮想マシン単位でフェールオーバー
• アプリケーションに非依存
ゲストOSをクラスタリング アプリケーション単位でフェールオーバー
• アプリケーションの整合性を保ちフェールオーバーが可能
Hyper-V ホスト Hyper-V ホスト
クラスター
クラスター
機能 バージョン 主なアップデート、新機能
SMB 3.x 2012 マルチチャネル、フェールオーバー、チーミング、RDMA サポート、通信の暗号化、オフロードデータ転送
NFS 4.1 2012
ReFS(Resilient File System)
2012 スケーラビリティの拡大、自動障害修復(ChkDsk不要)、障害修復時の局所的オフライン、記憶域スペースとの連携 ※ただし各種制限あり
2012 R2 CSVサポート、自動修復機能の拡張、サーバーで作成したボリュームをWindows 8.1 からRW
記憶域プール 2012 記憶域スペース、シンプロビジョニング、2ミラー/3ミラー/パリティ/シンプル 構成
2012 R2 階層記憶域、ライトバックキャッシュ、記憶域スペースの自動再構成、記憶域スペースのデュアルパリティ(RAID6)、パリティスペースのフェールオーバークラスター対応
重複除去 2012 ファイルの共通部分をチャンク化して一元管理
2012 R2 性能向上(20MB/Sec → 50MB/Sec)、CSV上の重複除去、VDI 構成ではオンライン重複除去が可能、Expand-DedupFile による特定ファイルの復元
フェールオーバークラスタリング 2012 スケールアウトファイルサーバー、クラスター対応更新、CSVキャッシュアロケーションの拡張(最大20%)
2012R2 CSVキャッシュアロケーションの拡張(最大80%)、ゲストクラスターからの共有仮想ディスク
FSRM 2012 手動分類、ダイナミック アクセス 制御、アクセス拒否アシスタント、
Work Folder 2012 R2 HTTPS を使用したオフラインファイルの後継機能
Windows performance tuning information:
http://www.microsoft.com/whdc/system/sysperf/Perf_tun_srv-R2.mspx
- DefaultNumberOfWorkerThreads = 256
• Internal testing shows ~35% improvement in IOPS and response time in Windows Server 2012 R2 compared to Windows Server 2008 R2
0
1
2
3
4
5
6
2,000 4,000 6,000 8,000 10,000 12,000 14,000
Response Time (ms) Comparison
WS2012 / R2 (Non-Tuned) WS2008R2 (Tuned) WS2008R2 (Non-Tuned)
12,019
16,462
WS2008R2 WS2012 / R2
IOPS Comparison
IOPS
Component NFSv3 NFSv4.1
State Model Stateless Stateful (lease based/recallable)
Semantics POSIX POSIX and Windows
Security Weak (AUTH_UNIX) Strong (krb5, krb5i, krb5p)
Permission Model POSIX (Unix style) Windows style ACL’s
File Names ASCII (mostly) UTF-8
File System Model Single File System pNFS, Pseudo FS
Ports Multiple (NLM, NSM, MOUNT) Single (2049)
RPC Single RPC per request Compound RPC’s
Locking Separate NLM protocol Lease-based locking in the same protocol
Exports Separate for every mount point Can be mounted together as part of
pseudo file system
• RFC 5661 Features (NFSv4.1) の中で実装されていない機能× ACL support
× Delegations
× Migration & Replication
× pNFS (Parallel NFS)
× RDMA support
× Other optional aspects of RFC 5661
• NFSでサポートされていない Windows File Systems の機能× ReFS
× CSVFS
× FAT
× FAT32
× CDFS
VM IO halted for
seconds
VM IO halted for
seconds
NFS v3 – VMware ESX
• Clustered NFS v3 server with NFS share.
• Multiple VMs running off the NFS share.
• File bench workload running inside VM.
• Planned failover
Achieved Goal: Slight brown-out, VM continues to run.
• Ease of deployment, management, performance, high availability for NFS shares
• NFSv3 transparent failovers for VMware workloads
• VMware official compatibility tests performed by OEM vendors
• Internal testing : • VMware storage certification passed in WS2012 with no tuning
• Failover achieved within VMware’s best practice of 120s timeout (ESX Server)
• http://www.vmware.com/files/pdf/VMware_NFS_BestPractices_WP_EN.pdf
Windows NFS Server 2012 Interoperability with
NFS Clients
• Major Industry NFS Clients (Released & Beta)
• Fedora16/17
• RHEL6.2
• SUSE11.3
• CentOS5.5
• Ubuntu10.10
• FreeBSD8.1
• OpenSolaris10
• Solaris11
• University of Michigan
• OSX10.6.5
• ESX4/5
Windows NFS Client Interoperability
with NFS servers
• Major Industry NFS Servers (Released &
Beta)
• Fedora16/17
• RHEL6.2
• SUSE11.3
• Solaris10/11
• ONTAP8.0.1 (NetApp)
• NOTE: NFSv4.1 client for Windows can be
downloaded from CITI (University of
Michigan)
NIC チーミング(最大 32 NIC/Team)を OS 標準でサポート• スイッチ依存(Static or LACP)/ 非依存• ネットワークフォールトトレランスSMB 3.0 マルチチャネル with RSS• SMB スループット向上• 1 NIC あたり 4 TCP/IP Connection• 1セッションあたり 32 Connection
NIC
NIC
RSS: Receive-side scaling
NIC
NIC
Remote Direct Memory Access)
NICNIC
RSS
RSS
RSS
RSS
RSS
RSS
SM
B M
ulti.
NIC Teaming
NICNIC RSSRSS
NIC Teaming
SW
ITCH
SM
B M
ulti.
SMB 3.0 マルチチャネルを使用するための条件
必要条件• Windows Server 2012 または Windows 8 が動作していること• 少なくとも以下の1つの構成が有効であること• 複数のネットワークアダプターが有効であること• 少なくとも1つのネットワークアダプターが RSS (Receive Side Scaling) をサポート• 少なくとも1つのネットワークアダプターが NIC チーミング構成であること• 少なくとも1つのネットワークアダプターが RDMA (Remote Direct Memory Access) を
サポートしていること
SMB マルチチャネルが使用できない構成• 1枚の RSS 非対応ネットワークアダプターしか実装していない• スピードの異なるネットワークアダプター
インストール手順• 必要なし• Windows Server 2012 と Windows 8 で自動的に有効になる• Windows PowerShell を使用して有効/無効を切り替えられる
まとめ:マルチチャネル/RDMA/NIC Teamingの比較
NIC Teaming
スループットSMBフォールトトレランス
SMB 以外のフォールトトレランス
CPU 負荷低減
N/A
シングル △
マルチ △△ △
マルチ ○ △△ △△ △
RSS
シングル ▲
マルチ ▲▲ ▲
マルチ ○ ▲▲ ▲▲ ▲
RD
MA
シングル ▲ ▲
マルチ ▲▲ ▲ ▲
SMB セッション の規定値
NIC インターフェースあたりのコネクション
• RSS NIC :4 TCP/IP コネクション• RDMA NIC :2 RDMA コネクション• その他のNIC :1 TCP/IP コネクション
クライアント―サーバー間のコネクション数は最大 32(セッション数は1)
Microsoft recommends keeping default settings, but the parameters can be modified
SMB マルチチャネルの有効化/無効化
無効にする
SMB サーバー側:
SMB クライアント側
有効にする
Set-SmbServerConfiguration -EnableMultiChannel $false
Set-SmbClientConfiguration -EnableMultiChannel $false
SMB サーバー側:
SMB クライアント側:
Set-SmbServerConfiguration -EnableMultiChannel $true
Set-SmbClientConfiguration -EnableMultiChannel $true
SMB 関連パラメタの編集
クライアント/サーバー間のコネクション数
RSS NIC のコネクション数
Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n>※規定値 8
Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n>
RDMA NIC のコネクション数
それ以外のNICのコネクション数
Set-ItemProperty -Path `
"HKLM:¥SYSTEM¥CurrentControlSet¥Services¥LanmanWorkstation¥Parameters" `
ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force
Set-ItemProperty -Path `
"HKLM:¥SYSTEM¥CurrentControlSet¥Services¥LanmanWorkstation¥Parameters" `
ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force
SMB マルチチャネルの検証手順
1. アダプターの構成を確認する(サーバー、クライアント両方で実施)
2. SMB マルチチャネルの構成を確認する
SMB クライアント側:
SMB サーバー側:
Get-NetAdapter
Get-NetAdapterRSS
Get-NetAdapterRDMA
Get-SmbClientConfiguration | Select EnableMultichannel
Get-SmbClientNetworkInterface
Get-SmbServerConfiguration | Select EnableMultichannel
Get-SmbServerNetworkInterface
3. SMB 接続を確認する(ファイルのコピー中に実行)
Get-SmbConnection
Get-SmbMultichannelConnection
Get-SmbMultichannelConnection -IncludeNotSelected
SMB マルチチャネル関連のイベントログ
1. [イベントビューアー] – [アプリケーションとサービスログ] – [マイクロソフト] –[Windows] – [SMB Client] – [Operational]
•Event ID 30700-30705 でフィルタ
2. PowerShell から ~ SMB クライアント
エラーだけ抽出するには
Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational |
? { $_.Id -ge 30700 –and $_.Id –le 30705 }
Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational |
? { $_.Id -ge 30700 –and $_.Id –le 30705 –and $_.Level –eq 2 }
記憶域プールのメリット
記憶域プール• 小容量の SSD など、複数のハードディスクを1つに結合(R2 では階層化が可能)• データの増加に伴い、動的に容量を拡張可能
マルチテナントと柔軟な制御• ストレージプール単位に管理者を定義することができる• Active Directory のセキュリティモデルと統合されており、ACLによるアクセス管理が可能
復元力を備えた記憶域• 記憶域スペースでは3種類の構成が可能
(ストライプ、ミラー、パリティ、デュアルパリティ(R2))• ホットスペアによる自動修復
継続的な可用性• フェールオーバークラスターとの連携により継続的で可用性の高いサービスが提供できる
効率的な記憶域の消費• 複数のビジネスアプリケーションでストレージのキャパシティを共有• 必要なくなった領域を別のアプリケーションで再利用
シンプルな管理• サーバーマネージャーからの容易な管理• リモート管理• スクリプト(Windows PowerShell)による管理の自動化• 既存のバックアップ、リストア機能との整合性を維持
記憶域スペースの要件
タイプ スタンドアロンファイルサーバー フェールオーバークラスター
SATA Supported
SCSI Supported
iSCSI Supported Supported
SAS Supported Supported
USB Supported
• Windows Server 2012 以上がインストールされていること• 記憶域プールの作成用に 1 つの物理ドライブ• 復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要• パリティ、デュアルパリティ(R2)または 2または3 方向ミラーリングによる復元力を備えた記憶域スペースの作成用に 3 つ以上の物理ドライブが必要(デュアルパリティでは7つ)
• ドライブは空であり、フォーマットされていないこと• 他のプールに使用されていないこと• ドライブの容量が 10 GB 以上あること• サポートされているドライブタイプ
冗長構成
冗長性の種類 説明
シンプルデータが複数の物理ディスクにまたがってストライプ化されます。こ
れにより、容量が最大限に利用され、スループットが向上します。
ミラーデータが 2 つまたは 3 つの物理ディスクに複製されます。これにより、
信頼性が高まり、容量は 50 ~ 66% 減少します。
パリティ
データおよびパリティ情報が複数の物理ディスクにまたがってストラ
イプ化されます。これにより、信頼性が高まり、容量は 13 ~ 33% 減
少します。
デュアルパリティ
(2012R2)
2種類のパリティ情報を保存することで、2つの物理ディスクに障害が発生した
場合にも、パリティ情報と残りのストライプ情報から失われたストライプ情報
を復元することでデータを保護する。パリティ情報の演算はパフォーマンスの
向上を目的として、ストライプ情報を2つのグループに分けて演算するため、1
ストライプ列あたり、グループ毎に演算したパリティ情報(2つ)と全体で演
算したパリティ情報(1つ)の2種類、合計3つのパリティ情報が書き込まれる。
記憶域プールには最低7台の物理ディスクが必要。
急激なストレージの増加
Source: IDC Worldwide File-Based Storage 2011-2015 Forecast:
Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December
2011
増加し続けるストレージの使用量と対策
• データ重複除去 ファイルの重複を削減しつつ、従来通りのアクセスを提
供
従来
• シングルインスタンスストレージ
ハード ディスク ボリュームにある重複したファイルを管理するファイル システム フィルタ。このフィルタにより、ファイルの 1 つのインスタンスを中央のフォルダにコピーし、重複したファイルは中央のファイルへのリンクに置き換えることにより、ディスクを節約する。
• NTFS データ圧縮
Windows Server 2012/R2
チャンクストア
重複除去のアーキテクチャ
File
1
Metadata
ファイル名属性…
Data
A B C M N File
2
Metadata Data
A B C X Y
Deduplicate Filter
File
1
Metadata
A B C M N
File
2
MetadataX Y
重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位(32~128kb)に分割され、SystemVolume Information Store 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去されるため、容量を大幅に削減することができる。
リパースポイント
リパースポイント
ファイル名属性…
ファイル名属性…
ファイル名属性…
スパース
スパース
チャンク ストリーム
マッピング情報
チャンク ストリーム
マッピング情報
-- -- ・・・・・・・
容量の節約率
0% 20% 40% 60% 80% 100%
User Home Folder (MyDocs)
General File Share
Software Deployment Share
VHD Library
Savings %
Source: Sample File Server Production data (12 Servers, 7TB)
重複除去のパフォーマンスへの影響
• 最適化処理の性能: 最大 20-35MB/s(R2では 50MB/s) 1コアあたり 100GB/h(マルチコアを同時利用可能)
VHD copy (0.7-1.5x) VHD update (1.3x)No impact
• Read/Write Access:
重複除去の留意点
• クラスター共有ボリューム(CSV)(R2で制限解除)
未サポート
頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。
その他
向いてない• Hyper-V ホスト• VDI VHD(R2で制限解除)• WSUS• 動作中の SQL Server や Exchange Server• 1TBを超える(超えそうな)ファイル
向いてる• ユーザー用のファイルサーバー• 仮想マシンライブラリ• ソフトウェア展開用の共有• SQL Server や Exchange Server
のバックアップ用ボリューム
Windows PowerShell からの管理さまざまな場面で、SMI-S にアクセスするための PowerShell コマンドレットを使用できるため、管理の自動化が容易に可能
PS C:¥> Get-Command *storage*CommandType Name ModuleName----------- ---- ----------Function Get-StorageJob StorageFunction Get-StoragePool StorageFunction Get-StorageProvider StorageFunction Get-StorageReliabilityCounter StorageFunction Get-StorageSetting StorageFunction Get-StorageSubSystem StorageFunction New-StoragePool StorageFunction New-StorageSubsystemVirtualDisk StorageFunction Remove-StoragePool StorageFunction Reset-StorageReliabilityCounter StorageFunction Set-StoragePool StorageFunction Set-StorageSetting StorageFunction Set-StorageSubSystem StorageFunction Update-HostStorageCache StorageFunction Update-StorageProviderCache StorageCmdlet Add-VMStoragePath Hyper-VCmdlet Get-VMStoragePath Hyper-VCmdlet Move-VMStorage Hyper-VCmdlet Remove-VMStoragePath Hyper-V
ManagementApplication
Storage
PowerShell or WMI(SMAPI)
SM Provider
SMI-S
Windows Server File Service
iSCSI NFS v4.1 SMB
Unix/Linux
NFS
VMWare ESXi
NFSv3 SMBiSCSIiSCSI
Windows
NFS SMBiSCSI
Hyper-V
SMBiSCSI
ファイルサーバーの信頼性を高めるには
Storage
共有
Storage
共有 共有
Active Passive
Storage
共有 共有
Active Active
従来のファイルサーバー(iSCSI/SMB/NFS)
汎用ファイルサーバー(iSCSI/SMB/NFS)
スケールアウトファイルサーバー(SMB)
フェールオーバークラスター
Windows Server 2012 でサポート
IW ワーカー用の共有ファイル サービスおよび記憶域サービス
通常のファイルサーバー
汎用ファイルサーバー (フェールオーバークラスター)
アプリケーション ワークロード用のファイル サービスおよび記憶域サービス
スケールアウトファイルサーバー(フェールオーバークラスター)
サーバー アプリケーションのデータ格納用にファイル サーバー共有を使用
(基本的に SQL Server、Hyper-V 用)
• 高価な SAN 接続のコスト削減。
• 記憶域管理者が、各アプリケーション サーバーをオンラインにするための LUN を準備する必要がなく
なり、アプリケーション サーバーが各記憶域にアクセスできるようにファブリックを再構成する必要も
なくなるため、記憶域管理コストが削減される。
• モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動で
きる。
ファイル サーバーをサーバーアプリケーションのデータストアに提供・Hyper-V(ゲストOS、スナップショットの格納先として)・SQL Server(データストアとして)
フェールオーバークラスターにより動的にファイルサービスの拡大や縮小が可能
CSV File System (CSVFS)• 単一の永続的な名前空間(DNN)を提供
し、NTFS をカプセルする• スパースファイルを含めたデータファイ
ルへのダイレクトアクセス• BitLocker 暗号化をサポート• リダイレクト IO を使用せずにスナップ
ショットやバックアップが可能• SMB 3.0 との密接な連携
SMB 3.x• SMB 透過フェールオーバー• SMB マルチチャネル• SMB ダイレクト(RDMA)• サーバーアプリ用の SMB パフォーマンスカ
ウンター• パフォーマンスの向上• Windows PowerShell からの管理• SMB リモート記憶域
スケールアウト ファイルサーバーとは
¥¥ClusteredServerName¥ShareName
Failover Cluster (max 8 nodes)
iSCSI/SAN
Hyper-VSQL
ServerSMBClient
SMB3.x
¥¥ServerName¥Share
Node1 A 10.0.0.1
Node2 A 10.0.0.2
Node3 A 10.0.0.3
Node4 A 10.0.0.4
HAFileServer A 10.0.0.1
HAFileServer A 10.0.0.2
HAFileServer A 10.0.0.3
HAFileServer A 10.0.0.4
DNS
iSCSI/SAN
※iSCSI のNICチーミングは現時点で未サポート
❶
❷
Node1 A 10.0.0.1
Node2 A 10.0.0.2
HAFileServer A 10.0.0.1
HAFileServer A 10.0.0.2
DNS
❸❹
❺
SMB3.0
❿
① クライアントはDNSを使用してDNNを名前解決(ここではNode1とする)
② SMBクライアントはNode1に対して接続要求する③ Node1は接続を受け入れる④ ClientはWitnessを決定するために、Nodeの一覧を要求⑤ Node1からNode一覧が送付される⑥ Node一覧から選定したNode2に、Witnessを依頼し、自
分自身を登録⑦ Node2 が了解し、Client を登録する⑧ Node2 が Client の Witness Node となる
⑨ Node1がダウン⑩ Node2 は SMB3.0 を通じて Node1のダウンを検出⑪ Client にNode1のダウンを通知し、通信先の切り替えを
要求(この処理によってTCPコネクションエラーが発生するまえに接続先を切り替えられる)
❻ ❼ ⓫ ⓬
書き込むデータ
CSVFS
• Hyper-V や SQL Server はメタデータへの書き込みが最適化されているため問題になりずらい。Office などのアプリケーションは、60%~70%がメタデータへの書き込みであるといわれる。
NTFS
実データの管理情報)• 作成日時• 更新日時• 作成者• アクセス権限• 実データのアドレス
など
汎用ファイル サーバー スケールアウト ファイル サーバー
頻繁にファイルを開いて閉じる操作を行うユーザーまたはアプリケーションによる使用を目的として共有されているファイルの可用性を高めることができます。
長時間ファイルを開いたままにするアプリケーションまたは仮想マシンの記憶域の可用性を高めることができます。
一度に 1 つのクラスター ノードを実行します。 一度に複数のクラスター ノードを実行します。サーバー メッセージ ブロック (SMB) クライアント接続は、スループットを向上するために複数のノードに分散されます。この接続には、Windows Server 2012 の分散ネットワーク名と呼ばれるフェールオーバー クラスタリング機能が使用されます。この機能を使用すると、複数の IP アドレスを持つ複数のクラスター ノードで、DNS ラウンド ロビンを使用して同じネットワーク名に応答できます。
クラスター化共有ボリューム(CSV)を使用することはできません。
クラスター化共有ボリューム(CSV)を使用する必要があります。
アクティブ/パッシブ モデルを使用して、一度に 1 つのノードでファイル サーバーを実行します。必要に応じて、他のノードでファイル サーバーを実行できます。
アクティブ/アクティブ モデルを使用して、複数のノードでファイル サーバーを連携して実行します。
Technology 汎用ファイルサーバー Scale-Out File Server
SMB capability: SMB Transparent Failover Yes Yes
SMB capability: SMB Scale Out No Yes
SMB capability: SMB Multichannel Yes Yes
SMB capability: SMB Direct Yes Yes
SMB capability: SMB Encryption Yes Yes
File system: NTFS file system Yes No
File system: Resilient File System (ReFS) Yes No
File system: CSV File System (CSVFS) No Yes
Data management: BranchCache Yes No
Data management: Data Deduplication Yes Yes
Warning:In Windows Server 2012 R2, Data Deduplication is only supported in a Scale-Out File Server deployment for Virtual Desktop Infrastructure (VDI)
workloads with separate storage and compute nodes. The storage must be remote.
Data management: DFS Namespaces – Namespace Server Yes No
Data management: DFS Namespaces – Folder Target Yes Yes
Data management: DFS Replication Yes No
Data management: File Server Resource Manager Yes No
Data management: File Classification Infrastructure Yes No
Data management: File Server Volume Shadow Copy (VSS) Agent Yes Yes
Data management: Folder Redirection Yes Yes
Data management: Client Side Caching Yes Yes
Workload: Information worker Yes Not recommended
Workload: Hyper-V Yes Yes
Workload: Microsoft SQL Server Yes Yes
http://technet.microsoft.com/en-us/library/hh831349.aspx
Hyper-V over SMB & SOFS 構成が必要以下は対象外• Boot, System, FAT, ReFs ボリューム• 仮想マシンの保存先がローカル ストレージの場合• オンラインの SQL Server データベース, Exchange ストア• Windows 8.1 Hyper-V では利用不可
Hyper-V ホスト Hyper-V ホスト Hyper-V ホスト
仮想マシン 仮想マシン
Windows Server 2008
Hyper-Vホスト
Hyper-Vホスト
ゲスト OS
アプリ
共有ストレージ(LUN)
ゲスト OS
アプリ
仮想マシン 仮想マシン
Windows Server 2012
Hyper-Vホスト
Hyper-Vホスト
ゲスト OS
アプリ
共有ストレージ(LUN)
ゲスト OS
アプリ
仮想FC 仮想FC
仮想SAN SW
FC-HBA
仮想SAN SW
FC-HBA
FC
SANSAN
複数の仮想マシンから、同じ “データ用” VHDX ファイルを共有最大8台の仮想マシンから共有可能
仮想マシン 仮想マシン
Hyper-Vホスト
Hyper-Vホスト
ゲスト OS
アプリ
仮想ハードディスク
ゲスト OS
アプリ
SMB 3.0SMB 3.0
• 仮想ハードディスク
• VHDX 形式
固定、可変ディスク(差分ディスクは非サポート)
• データ ディスク( OS ディスクは非サポート)
• ゲスト OS
Windows Server 2012
Windows Server 2012 R2
• バックアップ
ゲスト バックアップを利用
ホスト バックアップ、スナップ ショットは非サポート
FSRM Protocol スクリーニング
分類属性の定義
ファイル管理タスク
ディレクトリ クオータ
記憶域レポート
Global Resource Property
拡張機能の登録
ファイル サーバーに保存されたデータを管理および分類できるようにするための機能セット
• ファイル分類インフラストラクチャ(FCI)
• ファイル管理タスク
• クォータの管理
• ファイル スクリーンの管理
• 記憶域レポート
• ファイル/フォルダを分類するための拡張属性• ローカル属性
• FSRM管理コンソール、または Windows PowerShell で管理• グローバル属性
• Active Directory のオブジェクトとして定義し、GPO を使用して Schema に反映• Update-FsrmClassificationPropertyDefinition コマンドレットで属性としてコミット
Fsrm protocol
• AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能※FSRM 側は Windows Server 2012 または Windows 8
ファイルサーバー+ ファイルサーバーリソースマネージャー(Windows Server 2012 or Windows 8)
AD DSFsrm protocol
CIO
インフラサポートコンテンツオーナー
Information Worker
正しいコンプライアンスが必要
どのデータに責任があって、どうやって制御すればよいかわからない
コンプライアンスに違反しているかどうか心配せずに必要なデータを使用したい
自分のデータが適切に保護されているかどうやって監査すればよいのだろう?
監査暗号化
• グループメンバーシップの管理• 増え続けるグループとメンバー
増減への対応• 複雑なメンバーシップルール
• 監査対象データの識別• 暗号化すべきデータの識別• 膨大なデータ
• ファイル単位のアクセス権• 増え続けるファイル• 管理の分散(コンプライア
ンス測定不能)
アクセスポリシー
ID管理
監査暗号化
• 最新のユーザー情報の保持
• 監査ポリシーの集中管理• 自動識別と自動暗号化
• アクセスポリシーの集中管理
アクセスポリシー
ID 管理
DAC によってそれぞれのテクノロジーを結びつける
• アクセスコントロール(アクセス制御)とは...... ユーザーがアクセスしてもよいかどうかを評価するためのプロセス
• Windows の場合以下の 2 種類• ACL ベースのアクセスコントロール• Expression ベースのアクセスコントロール
アクセスアクセス権 ID
ACE
Resource
ACL
ACE
ACE
ACE
Read/Write
ACE
A
Read Only
ユーザー
グループ
ACE
• リソースにアクセスコントロールエントリ(ACE)を静的に割り当てる
• 各 ACE は「OR」で接続される
Resource
ACL
ACE
ACE
ACE ドメイン ローカルグループ
Read Only
ACE
A :Account
G : Global Group
DL : Domain Local Group
P : Permission
グローバルグループ
“アクセス権”に合わせて作成されたグループ
グローバルグループ
組織や役割ごとのグループ
ユーザー
グループ
A
• 「静的」な ACE を「動的」に割り当てる仕組みも存在する
• Forefront Identity Manager のダイナミックグループ機能
Forefront Identity Manager
workflow
メタデータ
グループ
ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること
....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない....
役割(Role:ロール) グループ 権限
公共事業部 マーケティング部所属 PubSec-Marketing 読み取り
公共事業部 営業部 所属 PubSec-Sales 読み取り
公共事業部 課長 PubSec-Managers 読み取り
公共事業部 部長 PubSec-SrManagers 読み取り
・・・・・
Resource
ACLACE
Resource
• リソースの増加とグループの増加• 複雑なメンバーシップ管理(1グループ1人 !?)• イレギュラーでダイナミックな組織構造• リソース管理者 ≠ ID 管理者
ACL
ACE
ACE
ACE
ID 管理(ID 管理者)リソース管理
(リソース管理者)連携が必要
• ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御
条件が合致すればアクセス可能
アクセスルールユーザーCountry = リソース Country
ユーザー Department = リソース Departmentデバイス Owner = “Microsoft”
ユーザー属性 リソース属性
デバイス属性
Resource
• Expression-Based Access Control...
...利用者とリソースの属性によって動的にアクセスを制御する
• ID 管理者は ID のプロビジョニングに対して責任を持つ• リソース管理者は、リソースの属性に対して責任を持つ
営業部
IT部
経理部
A
A
A
ID 管理(ID 管理者)リソース属性管理
(リソース管理者)
IT部
経理部
営業部
A人事部
A企画部
Rules
所属
• アクセスポリシー(Central Access Policy)の集中管理
全社コンプライアンスポリシーの徹底 組織の認可ポリシーの徹底
• ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理
• File Classification Infrastructure(FCI)と連携したファイルの自動分類
データの自動分類 社外秘データの自動暗号化 法廷保存期間に沿ったファイルサーバー上のデータの保管
リソースごとに行っていたアクセス制御をエンタープライズレベルで統制
• 「リソース(例:ファイルサーバー)側」が要求をだし、その答えを提示する• ユーザーはリソース側の要求に対し属性情報(クレーム)を「トークン」として提示• リソースは受け取ったトークンを解析してアクセス認可を判断
リソースユーザー
トークンを解析してアクセス認可を判断
Name = Junichi Anno
Company = MSKK
Department = Evangelism
Title = Evangelist
DAC においては• クレーム = 「分類属性」として定義• トークン = Kerberos チケットとして AD DS から発行される
AD DS
①ログオン
②属性情報を含んだKerberos チケット
チケットとクレームを照合
WindowsServer 2012/8 必須※属性を受信して解析する機能が必要
ユーザーon Windows 8
Name = Junichi Anno
Company = MSKK
Windows Server 2012 必須※Kerberosに属性を含める機構が必要
ファイルサーバー
③ アクセス
RFC2113に対応した AD DS
1983 年 MIT Project Athena 始動• 分散コンピューティング環境モデルの研究プロジェクト• KDC を核としたセキュリティソリューションを含む• 現在一般的に使用されているのは Kerberos v5• 多くの場合、マスターキー = ユーザーのパスワード• TGT 方式
マスターキーDB
• チケットの発行に伴うユーザーの不便(パスワードの再入力等)を解消するため、チケット発行のためのチケット(TGT)をローカルにキャッシュする
• 盗難対策のため、TGT は定期的に更新される
マスターキーDB
TGTが無いとチケット発行のたびにパスワード入力が必要
マスターキーDB
TGT を使用すれば、バックグラウンドで各サーバー用のチケットを自動発行することができる
マスターキーDB
①ロ
グオ
ン要
求
②TG
T発
行
事前にコンピューターアカウントを登録しておく(ドメイン参加)ことで、コンピューターアカウントのパスワードがマスターキーとして登録される
③PCへ
のチ
ケッ
ト要
求
④チ
ケッ
ト発
行
PCとの共有秘密鍵がPCのマスターキーで暗号化された状態で含まれる
標準的なKerberosとは異なり、Active Directory ドメインを使用するとワークステーション認証が併用される
⑤チケットを送付
⑥利用を認可
事前にユーザーアカウントを登録しておくことで、ユーザーアカウントのパスワードがマスターキーとして登録される
•ユーザーの SID
•ローカルグループのメンバーシップ•ドメイングループのメンバーシップ•プロファイル情報•各種クレデンシャル
などが格納されている
http://msdn.microsoft.com/en-us/library/cc237927.aspx
Windows 7 以前のクライアントの場合、属性が格納された Kerberos チケットを要求することができないため、ファイルサーバーがAD DSから属性情報を受け取る
AD DS
①ログオン
② 従来の Kerberos チケット
チケットとクレームを照合
WindowsServer 2012/8 必須※属性を受信して解析する機能が必要
ユーザーon Pre-Windows 8
属性は含まれない
Windows Server 2003 以上のドメインレベル※Service-for-User-to-Self(S4U2Self)機構が必要
ファイルサーバー⑤属性情報を含んだKerberos チケット
③ Kerberosチケット送信
DAC によるアクセスポリシー管理の全体像「Active Directory 管理センター」で作成した「集約型アクセスポリシー」をグループポリシーオブジェクト(GPO)に結合することでファイルサーバーに適用する
Country
Department
ソース(ユーザー)
リソース
Country
Department
クレームタイプ(要求の種類)
リソース プロパティ
Active Directory
リソース プロパティ リスト
結合
集約型アクセス規則(ルール)
アクセス元の条件と、条件を満たした時のアクセス権 ターゲットとなるリソースの条件
集約型アクセスポリシー
GPO
適用
分類属性とリソースの条件が合致すればアクセス権が与えられる
パーミッションの設定 与えられるアクセス権
パーミッションのタイプ ターゲットファイル パーミッション Engineering
FTE
Engineering
Vendor
Sales
FTE
共有のアクセス権 Everyone:Full
Central Access Rule 1:
Engineering Docs
Dept=Engineering Engineering:変更Everyone: 読み取り
Central Access Rule 2:
Sensitive Data
Sensitivity=High FTE:変更
Central Access Rule 3:
Sales Docs
Dept=Sales Sales:変更
NTFSのアクセス権 FTE:変更Vendors:読み取り
アクセス権:
ファイルの分類属性
Dept Engineering
Sensitivity Hight
Read
Full Full Full
Modify Modify Read
Modify ModifyNone
Modify Modify
変更 None 読み取り
[rule ignored – not processed]
ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、速やかな問題解決を図るために以下の対応が可能。
• メッセージの送信 to システム管理者 to 共有フォルダーの所有者
• アクセス権取得の要求
グループポリシーおよびファイルサーバーリソースマネジャーで設定
リソース管理者の責任
IT(ID)管理者の責任
• コンプライアンスに沿った条件設定• 状況に応じたダイナミックな設定変更
• ID 情報の精密性• 迅速な ID 情報の反映
管理者の管理責任範囲は狭くなるが、管理の精密性が求められる
Start File Server
• ドメイン外の個人デバイス
• 社外からの利用
• ファイル同期型、オフラインファイル対応、自動書き戻し
• 対応デバイス
• Windows 8.1 / Windows RT 8.1
• Windows 7(予定)
• iOS(予定)
https
データの種類
個人デバイス
データの場所個人データ
個人の業務
データ
チームの業務
データ
OneDrive Public cloud
OneDrive Pro SharePoint / Office 365
Work Folders 社内の File server
AD DS
Start
File Server
https://workfolders.contoso.com/
Work Folder• ファイルサーバーを HTTPS で公開• ローカル デバイスに「自分のデータのみ」を同期• MDM システムとの連携で企業データのみをリモート ワイプ
http
s
User01
User02
User03
HOME
これを公開
User01
同期
自分のIdと同一名のフォルダだけが同期される
Wo
rkFo
lder
%userprfile%¥work folder
Web
Ap
plica
tion
Pro
xy
AD DS
Start
File Server
https://workfolders.contoso.com/
http
s
User01
User02
User03
HOME
User01
Wo
rkFo
lder
AD FS
事前認証
• Web Application Proxy を経由し、AD FS で認証/認可が可能
• Workplace Joinと併用することで、デバイス認証も可能
• ファイル サーバー リソース マネージャ(FSRM)• 自動分類、スクリーニング
• Rights Management Service(RMS)• 暗号化、アクセス権限設定
• ダイナミック アクセス 制御(DAC)
File Server重要データ保管庫
重要
Data
FSRM
個人情報
重要
Data
参照期限
印刷禁止
コピペ禁止
保存禁止
暗号化
RMS
重要
Data
読み取り
暗号化
分類
機密
Data
スクリーニング
社内データセンター 社内データセンター
VPN
• 素早く展開• Windows Serverの管理方法がそのまま使える
• アクセ 権もそのまま• 自由に Storageが拡張できる!• 3か所に自動複製• 自動的にジオレ リケーション
Before After① ファイルサーバーの可用性と拡張性
Site to SiteVPN
VPNGateway
社内データセンター
VPN
Site to SiteVPN
Point to SiteVPN Gateway
After ② ファイルサーバーへのアクセシビリティ
VPN VPN VPN
最大250台
VPNGateway
社内データセンター
VPN
Site to SiteVPN
Point to SiteVPN Gateway
After ③ ファイルサーバーへのアクセシビリティ Part2
VPN VPN VPN
最大250台
東京大阪Point to Site
VPN Gateway
VPN VPN VPN
最大250台
ブランチ
キャッシュ
VPNGateway
VPNGateway
社内データセンター
VPN
Site to SiteVPN
Point to SiteVPN Gateway
After ④ ファイルサーバーの安全性を高めるならば
VPN VPN VPN
最大250台
メイン
ファイルサーバー
重要なデータを自動的に移動(DAC、Classification)
VPNGateway
Tools Online Backup
(Application consistent with no
downtime)
Backup
destination
Backup System
State
Backup
File/Folder
WSB Yes Inside OS Yes Yes
WAB Yes Blob Store No Yes
Copy Blob No Blob Store As a whole VHD.
Active Directory Domain Service(AD DS) Management
• Dynamic Access Control(ダイナミック アクセス制御)
2012年12月17日 版
WS2012VMDC Server1
WS2012Labs-CorpNet (プライベート)
演習環境 Hyper-V仮想マシン
Hyper-V仮想スイッチ
192.168.10.
1
192.168.10.21
WS2012:Full WS2012:Full
• AD DS• DNS• ファイルサービスおよび記憶域サービス
• ファイルサービスおよび記憶域サービス
Hyper-V ホスト:ITCAMP-PCxx(xx はPC番号)
DHCP