• Like
Windows File Service 総復習-Windows Server 2012 R2編 第1版
Upcoming SlideShare
Loading in...5
×

Windows File Service 総復習-Windows Server 2012 R2編 第1版

  • 3,766 views
Uploaded on

2014年4月3日のセミナー資料です …

2014年4月3日のセミナー資料です
Windows File Service 総復習-Windows Server 2012 R2編 第1版

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,766
On Slideshare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
108
Comments
0
Likes
9

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. ファイルサーバーの機能を総復習 日本マイクロソフト株式会社 エバンジェリスト 安納 順一 2014/04/03 第一版
  • 2. http://technet.microsoft.com/ja-jp/windowsserver/jj649374
  • 3. ファイルサーバーに求められる機能の変化 Net Use H: ¥¥ServerName¥ShareName /Persistent:Yes
  • 4. • マルチプラットフォームからのアクセス • ユーザーデータの格納庫として安定した継続的な運用 • 適切なアクセス権の設定と監査ログ • 爆発的な使用量増大の抑止 • レポーティング  SMB  NFS  共有アクセス権  NTFS 上のアクセス権  データ、ドライブ圧縮  データ、ドライブ暗号化  Information Rights Management  VSS バックアップ  移動ユーザープロファイル  フォルダー リダイレクト  オフライン ファイル  分散ファイルシステム(DFS)  DFS 複製(DFR-R)  ディスク クオーター  FSRM ファイルス クリーニング  FSRM ストレージレポート  ブランチ キャッシュ  スクリプトによる一括管理
  • 5. • データ格納庫以外での利用 • SQL Server データベース • Hyper-V の仮想マシン • 可用性 • 負荷分散 • 自動フェールオーバー • スケーラビリティ • 大容量ストレージの実装 • 容易なボリューム拡張 • シンプロビジョニング • エンタープライズ セキュリティ ポリシーの適用 • 社外からファイルサーバーへのアクセス
  • 6. Hyper-V over SMB 仮想マシン 共有ストレージ Hyper-V ホスト SAN/iSCSI ローカルストレージ上 仮想マシン ファイルサーバー Hyper-V ホスト SMB 3.x ファイルサーバー上 仮想マシン Hyper-V ホスト 内蔵ストレージ
  • 7. • 共有ストレージにゲストOSの仮想ストレージを格納する必要がある • フェール オーバー クラスターを構成する必要がある • 共有ボリュームを用意する必要がある メモリ内データ 構成情報 VMステート SAN/iSCSI
  • 8. ¥¥Server¥Share¥xxx.vhdx • Windows Server 2012 からサポート • クラスター構成は必須ではない メモリ内データ 構成情報 VMステート SMB 3.x
  • 9. • Windows Server 2012 からサポート • 仮想マシンのストレージ部分のみを移行 移動 SMB 3.x
  • 10. クラスターを超えたライブマイグレーション SAN/iSCSI 移動 移動
  • 11. • Compute と Storage を分離
  • 12. Hyper-V Hyper-V Hyper-V Hyper-V Hyper-V Failover Clustering File Server VMSTORE VHD VHD VHD ¥¥Server¥Share 高 い 信 頼 性 Network の信頼性 File Server の信頼性
  • 13. 仮想マシン Hyper-V ホスト Hyper-V ホスト ゲスト OS アプリ 仮想マシン 仮想マシン ゲスト OS アプリ 仮想マシン ゲスト OS アプリ ホスト クラスター ゲスト クラスター  Hyper-V ホストをクラスタリング  仮想マシン単位でフェールオーバー • アプリケーションに非依存  ゲストOSをクラスタリング  アプリケーション単位でフェールオーバー • アプリケーションの整合性を保ち フェールオーバーが可能 Hyper-V ホスト Hyper-V ホスト クラスター クラスター
  • 14. 機能 バージョン 主なアップデート、新機能 SMB 3.x 2012 マルチチャネル、フェールオーバー、チーミング、RDMA サポート、通信の暗号化、オフ ロードデータ転送 NFS 4.1 2012 ReFS (Resilient File System) 2012 スケーラビリティの拡大、自動障害修復(ChkDsk不要)、障害修復時の局所的オフライン、 記憶域スペースとの連携 ※ただし各種制限あり 2012 R2 CSVサポート、自動修復機能の拡張、 サーバーで作成したボリュームをWindows 8.1 からRW 記憶域プール 2012 記憶域スペース、シンプロビジョニング、2ミラー/3ミラー/パリティ/シンプル 構成 2012 R2 階層記憶域、ライトバックキャッシュ、記憶域スペースの自動再構成、記憶域スペースの デュアルパリティ(RAID6)、パリティスペースのフェールオーバークラスター対応 重複除去 2012 ファイルの共通部分をチャンク化して一元管理 2012 R2 性能向上(20MB/Sec → 50MB/Sec)、CSV上の重複除去、 VDI 構成ではオンライン重複除去が可能、Expand-DedupFile による特定ファイルの復元 フェールオーバークラスタリング 2012 スケールアウトファイルサーバー、クラスター対応更新、CSVキャッシュアロケーション の拡張(最大20%) 2012R2 CSVキャッシュアロケーションの拡張(最大80%)、ゲストクラスターからの共有仮想ディ スク FSRM 2012 手動分類、ダイナミック アクセス 制御、アクセス拒否アシスタント、 Work Folder 2012 R2 HTTPS を使用したオフラインファイルの後継機能
  • 15. 仮想マシン NFS Service ESXi NFS 3 VMWare over NFS もちろん Windows Server
  • 16. Windows performance tuning information: http://www.microsoft.com/whdc/system/sysperf/Perf_tun_srv-R2.mspx - DefaultNumberOfWorkerThreads = 256 • Internal testing shows ~35% improvement in IOPS and response time in Windows Server 2012 R2 compared to Windows Server 2008 R2 0 1 2 3 4 5 6 2,000 4,000 6,000 8,000 10,000 12,000 14,000 Response Time (ms) Comparison WS2012 / R2 (Non-Tuned) WS2008R2 (Tuned) WS2008R2 (Non-Tuned) 12,019 16,462 WS2008R2 WS2012 / R2 IOPS Comparison IOPS
  • 17. Component NFSv3 NFSv4.1 State Model Stateless  Stateful (lease based/recallable) Semantics POSIX  POSIX and Windows Security Weak (AUTH_UNIX)  Strong (krb5, krb5i, krb5p) Permission Model POSIX (Unix style)  Windows style ACL’s File Names ASCII (mostly)  UTF-8 File System Model Single File System  pNFS, Pseudo FS Ports Multiple (NLM, NSM, MOUNT)  Single (2049) RPC Single RPC per request  Compound RPC’s Locking Separate NLM protocol  Lease-based locking in the same protocol Exports Separate for every mount point  Can be mounted together as part of pseudo file system
  • 18. • RFC 5661 Features (NFSv4.1) の中で実装されていない機能 × ACL support × Delegations × Migration & Replication × pNFS (Parallel NFS) × RDMA support × Other optional aspects of RFC 5661 • NFSでサポートされていない Windows File Systems の機能 × ReFS × CSVFS × FAT × FAT32 × CDFS
  • 19. VM IO halted for seconds VM IO halted for seconds NFS v3 – VMware ESX • Clustered NFS v3 server with NFS share. • Multiple VMs running off the NFS share. • File bench workload running inside VM. • Planned failover Achieved Goal: Slight brown-out, VM continues to run. • Ease of deployment, management, performance, high availability for NFS shares • NFSv3 transparent failovers for VMware workloads • VMware official compatibility tests performed by OEM vendors • Internal testing : • VMware storage certification passed in WS2012 with no tuning • Failover achieved within VMware’s best practice of 120s timeout (ESX Server) • http://www.vmware.com/files/pdf/VMware_NFS_BestPractices_WP_EN.pdf
  • 20. Windows NFS Server 2012 Interoperability with NFS Clients • Major Industry NFS Clients (Released & Beta) • Fedora16/17 • RHEL6.2 • SUSE11.3 • CentOS5.5 • Ubuntu10.10 • FreeBSD8.1 • OpenSolaris10 • Solaris11 • University of Michigan • OSX10.6.5 • ESX4/5 Windows NFS Client Interoperability with NFS servers • Major Industry NFS Servers (Released & Beta) • Fedora16/17 • RHEL6.2 • SUSE11.3 • Solaris10/11 • ONTAP8.0.1 (NetApp) • NOTE: NFSv4.1 client for Windows can be downloaded from CITI (University of Michigan)
  • 21. SMB 3.x
  • 22. NIC チーミング(最大 32 NIC/Team)を OS 標準でサポート • スイッチ依存(Static or LACP)/ 非依存 • ネットワークフォールトトレランス SMB 3.0 マルチチャネル with RSS • SMB スループット向上 • 1 NIC あたり 4 TCP/IP Connection • 1セッションあたり 32 Connection NIC NIC RSS: Receive-side scaling NIC NIC Remote Direct Memory Access) NICNIC RSS RSS RSS RSS RSS RSS SMBMulti. NIC Teaming NICNIC RSSRSS NIC Teaming SWITCH SMBMulti.
  • 23. SMB 3.0 マルチチャネルを使用するための条件 必要条件 • Windows Server 2012 または Windows 8 が動作していること • 少なくとも以下の1つの構成が有効であること • 複数のネットワークアダプターが有効であること • 少なくとも1つのネットワークアダプターが RSS (Receive Side Scaling) をサポート • 少なくとも1つのネットワークアダプターが NIC チーミング構成であること • 少なくとも1つのネットワークアダプターが RDMA (Remote Direct Memory Access) を サポートしていること SMB マルチチャネルが使用できない構成 • 1枚の RSS 非対応ネットワークアダプターしか実装していない • スピードの異なるネットワークアダプター インストール手順 • 必要なし • Windows Server 2012 と Windows 8 で自動的に有効になる • Windows PowerShell を使用して有効/無効を切り替えられる
  • 24. シングル NIC の場合 CPU CPU CPU CPU
  • 25. 複数 NIC の場合 CPU CPU CPUCPU CPU CPU
  • 26. 1枚または複数の RDMA NIC の場合
  • 27. NICチーミング ※ただしNICが1枚に見えるためコネクションはそれぞ れのNICで分割 Teaming Teaming Teaming Teaming
  • 28. まとめ:マルチチャネル/RDMA/NIC Teaming の比較 NIC Teaming スループット SMB フォールト トレランス SMB 以外の フォールト トレランス CPU 負荷低減 N/A シングル △ マルチ △△ △ マルチ ○ △△ △△ △ RSS シングル ▲ マルチ ▲▲ ▲ マルチ ○ ▲▲ ▲▲ ▲ RDMA シングル ▲ ▲ マルチ ▲▲ ▲ ▲
  • 29. SMB セッション の規定値 NIC インターフェースあたりのコネクション • RSS NIC :4 TCP/IP コネクション • RDMA NIC :2 RDMA コネクション • その他のNIC :1 TCP/IP コネクション クライアント―サーバー間のコネクション数は最大 32(セッション数は1) Microsoft recommends keeping default settings, but the parameters can be modified
  • 30. SMB マルチチャネルの有効化/無効化 無効にする SMB サーバー側: SMB クライアント側 有効にする Set-SmbServerConfiguration -EnableMultiChannel $false Set-SmbClientConfiguration -EnableMultiChannel $false SMB サーバー側: SMB クライアント側: Set-SmbServerConfiguration -EnableMultiChannel $true Set-SmbClientConfiguration -EnableMultiChannel $true
  • 31. SMB 関連パラメタの編集 クライアント/サーバー間のコネクション数 RSS NIC のコネクション数 Set-SmbClientConfiguration –MaximumConnectionCountPerServer <n> ※規定値 8 Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n> RDMA NIC のコネクション数 それ以外のNICのコネクション数 Set-ItemProperty -Path ` "HKLM:¥SYSTEM¥CurrentControlSet¥Services¥LanmanWorkstation¥Parameters" ` ConnectionCountPerRdmaNetworkInterface -Type DWORD -Value <n> –Force Set-ItemProperty -Path ` "HKLM:¥SYSTEM¥CurrentControlSet¥Services¥LanmanWorkstation¥Parameters" ` ConnectionCountPerNetworkInterface -Type DWORD -Value <n> –Force
  • 32. SMB マルチチャネルの検証手順 1. アダプターの構成を確認する (サーバー、クライアント両方で実施) 2. SMB マルチチャネルの構成を確認する SMB クライアント側: SMB サーバー側: Get-NetAdapter Get-NetAdapterRSS Get-NetAdapterRDMA Get-SmbClientConfiguration | Select EnableMultichannel Get-SmbClientNetworkInterface Get-SmbServerConfiguration | Select EnableMultichannel Get-SmbServerNetworkInterface 3. SMB 接続を確認する(ファイルのコピー中に実行) Get-SmbConnection Get-SmbMultichannelConnection Get-SmbMultichannelConnection -IncludeNotSelected
  • 33. SMB マルチチャネル関連のイベントログ 1. [イベントビューアー] – [アプリケーションと サービスログ] – [マイクロソフト] – [Windows] – [SMB Client] – [Operational] •Event ID 30700-30705 でフィルタ 2. PowerShell から ~ SMB クライアント エラーだけ抽出するには Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge 30700 –and $_.Id –le 30705 } Get-WinEvent -LogName Microsoft-Windows-SMBClient/Operational | ? { $_.Id -ge 30700 –and $_.Id –le 30705 –and $_.Level –eq 2 }
  • 34. 記憶域プールと記憶域スペース
  • 35. 記憶域プールのメリット 記憶域プール • 小容量の SSD など、複数のハードディスクを1つに結合(R2 では階層化が可能) • データの増加に伴い、動的に容量を拡張可能 マルチテナントと柔軟な制御 • ストレージプール単位に管理者を定義することができる • Active Directory のセキュリティモデルと統合されており、ACLによるアクセス管理が可能 復元力を備えた記憶域 • 記憶域スペースでは3種類の構成が可能 (ストライプ、ミラー、パリティ、デュアルパリティ(R2)) • ホットスペアによる自動修復
  • 36. 継続的な可用性 • フェールオーバークラスターとの連携により継続的で可用性の高いサービスが提供できる 効率的な記憶域の消費 • 複数のビジネスアプリケーションでストレージのキャパシティを共有 • 必要なくなった領域を別のアプリケーションで再利用 シンプルな管理 • サーバーマネージャーからの容易な管理 • リモート管理 • スクリプト(Windows PowerShell)による管理の自動化 • 既存のバックアップ、リストア機能との整合性を維持
  • 37. 記憶域スペースの要件 タイプ スタンドアロンファイルサーバー フェールオーバークラスター SATA Supported SCSI Supported iSCSI Supported Supported SAS Supported Supported USB Supported • Windows Server 2012 以上がインストールされていること • 記憶域プールの作成用に 1 つの物理ドライブ • 復元性のあるミラー化された記憶域スペースの作成用に 2 つ以上の物理ドライブが必要 • パリティ、デュアルパリティ(R2)または 2または3 方向ミラーリングによる復元力を備えた記 憶域スペースの作成用に 3 つ以上の物理ドライブが必要(デュアルパリティでは7つ) • ドライブは空であり、フォーマットされていないこと • 他のプールに使用されていないこと • ドライブの容量が 10 GB 以上あること • サポートされているドライブタイプ
  • 38. 記憶域スペースの構造
  • 39. 物理ディスクの代わりにVHDファイルを使用するには
  • 40. 冗長構成 冗長性の種類 説明 シンプル データが複数の物理ディスクにまたがってストライプ化されます。こ れにより、容量が最大限に利用され、スループットが向上します。 ミラー データが 2 つまたは 3 つの物理ディスクに複製されます。これにより、 信頼性が高まり、容量は 50 ~ 66% 減少します。 パリティ データおよびパリティ情報が複数の物理ディスクにまたがってストラ イプ化されます。これにより、信頼性が高まり、容量は 13 ~ 33% 減 少します。 デュアルパリティ (2012R2) 2種類のパリティ情報を保存することで、2つの物理ディスクに障害が発生した 場合にも、パリティ情報と残りのストライプ情報から失われたストライプ情報 を復元することでデータを保護する。パリティ情報の演算はパフォーマンスの 向上を目的として、ストライプ情報を2つのグループに分けて演算するため、1 ストライプ列あたり、グループ毎に演算したパリティ情報(2つ)と全体で演 算したパリティ情報(1つ)の2種類、合計3つのパリティ情報が書き込まれる。 記憶域プールには最低7台の物理ディスクが必要。
  • 41. Data
  • 42. 急激なストレージの増加 Source: IDC Worldwide File-Based Storage 2011-2015 Forecast: Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December 2011 増加し続けるストレージの使用量と対策 • データ重複除去  ファイルの重複を削減しつつ、従来通りのアクセスを提 供 従来 • シングルインスタンスストレージ ハード ディスク ボリュームにある重複したファイルを管 理するファイル システム フィルタ。このフィルタによ り、ファイルの 1 つのインスタンスを中央のフォルダに コピーし、重複したファイルは中央のファイルへのリン クに置き換えることにより、ディスクを節約する。 • NTFS データ圧縮 Windows Server 2012/R2
  • 43. チャンクストア 重複除去のアーキテクチャ File1 Metadata ファイル名 属性… Data A B C M N File2 Metadata Data A B C X Y Deduplicate Filter File1 Metadata A B C M N File2 Metadata X Y 重複除去のためのフィルターにより、ファイルはチャンクと呼ばれる単位(32~128kb)に分割され、System Volume Information Store 内のチャンクストアに圧縮されて格納される。異なるファイルの同一チャンクは除去 されるため、容量を大幅に削減することができる。 リパース ポイント リパース ポイント ファイル名 属性… ファイル名 属性… ファイル名 属性… スパース スパース チャンク ストリーム マッピング情報 チャンク ストリーム マッピング情報 -- -- ・・・・・・・
  • 44. 容量の節約率 0% 20% 40% 60% 80% 100% User Home Folder (MyDocs) General File Share Software Deployment Share VHD Library Savings % Source: Sample File Server Production data (12 Servers, 7TB)
  • 45. 重複除去のパフォーマンスへの影響 • 最適化処理の性能:  最大 20-35MB/s(R2では 50MB/s)  1コアあたり 100GB/h(マルチコアを同時利用可能) VHD copy (0.7-1.5x) VHD update (1.3x)No impact • Read/Write Access:
  • 46. 重複除去の留意点 • クラスター共有ボリューム(CSV)(R2で制限解除) 未サポート 頻繁に変更が加えられるファイルは、最適化プロセスのキャンセルが頻繁に発生するため Deduplication に向いていない。 その他 向いてない • Hyper-V ホスト • VDI VHD(R2で制限解除) • WSUS • 動作中の SQL Server や Exchange Server • 1TBを超える(超えそうな)ファイル 向いてる • ユーザー用のファイルサーバー • 仮想マシンライブラリ • ソフトウェア展開用の共有 • SQL Server や Exchange Server のバックアップ用ボリューム
  • 47. クラスター共有ボリューム (CSV) のサポート 開いているファイルの重複除去 重複除去の高速化 重複除去ファイルの読み取り、書き込みの高速化
  • 48. Windows PowerShell からの管理 さまざまな場面で、SMI-S にアクセスするための PowerShell コマンドレットを使用できるため、管 理の自動化が容易に可能 PS C:¥> Get-Command *storage* CommandType Name ModuleName ----------- ---- ---------- Function Get-StorageJob Storage Function Get-StoragePool Storage Function Get-StorageProvider Storage Function Get-StorageReliabilityCounter Storage Function Get-StorageSetting Storage Function Get-StorageSubSystem Storage Function New-StoragePool Storage Function New-StorageSubsystemVirtualDisk Storage Function Remove-StoragePool Storage Function Reset-StorageReliabilityCounter Storage Function Set-StoragePool Storage Function Set-StorageSetting Storage Function Set-StorageSubSystem Storage Function Update-HostStorageCache Storage Function Update-StorageProviderCache Storage Cmdlet Add-VMStoragePath Hyper-V Cmdlet Get-VMStoragePath Hyper-V Cmdlet Move-VMStorage Hyper-V Cmdlet Remove-VMStoragePath Hyper-V Management Application Storage PowerShell or WMI (SMAPI) SM Provider SMI-S
  • 49. スケールアウト ファイルサーバー
  • 50. Windows Server File Service iSCSI NFS v4.1 SMB Unix/Linux NFS VMWare ESXi NFSv3 SMBiSCSIiSCSI Windows NFS SMBiSCSI Hyper-V SMBiSCSI
  • 51. ファイルサーバーの信頼性を高めるには Storage 共有 Storage 共有 共有 Active Passive Storage 共有 共有 Active Active 従来のファイルサーバー (iSCSI/SMB/NFS) 汎用ファイルサーバー (iSCSI/SMB/NFS) スケールアウトファイルサーバー (SMB) フェールオーバークラスター Windows Server 2012 でサポート
  • 52.  IW ワーカー用の共有ファイル サービスおよび記憶域サービス  通常のファイルサーバー  汎用ファイルサーバー (フェールオーバークラスター)  アプリケーション ワークロード用のファイル サービスおよび記憶域サービス  スケールアウトファイルサーバー(フェールオーバークラスター) サーバー アプリケーションのデータ格納用にファイル サーバー共有を使用 (基本的に SQL Server、Hyper-V 用) • 高価な SAN 接続のコスト削減。 • 記憶域管理者が、各アプリケーション サーバーをオンラインにするための LUN を準備する必要がなく なり、アプリケーション サーバーが各記憶域にアクセスできるようにファブリックを再構成する必要も なくなるため、記憶域管理コストが削減される。 • モビリティが向上し、記憶域の再構成なしでアプリケーションを任意の利用可能なサーバー上で起動で きる。
  • 53.  ファイル サーバーをサーバーアプリケーションのデータストアに提供 ・Hyper-V(ゲストOS、スナップショットの格納先として) ・SQL Server(データストアとして)  フェールオーバークラスターにより動的にファイルサービスの拡大や縮小が可能 CSV File System (CSVFS) • 単一の永続的な名前空間(DNN)を提供 し、NTFS をカプセルする • スパースファイルを含めたデータファイ ルへのダイレクトアクセス • BitLocker 暗号化をサポート • リダイレクト IO を使用せずにスナップ ショットやバックアップが可能 • SMB 3.0 との密接な連携 SMB 3.x • SMB 透過フェールオーバー • SMB マルチチャネル • SMB ダイレクト(RDMA) • サーバーアプリ用の SMB パフォーマンスカ ウンター • パフォーマンスの向上 • Windows PowerShell からの管理 • SMB リモート記憶域 スケールアウト ファイルサーバーとは
  • 54. ¥¥ClusteredServerName¥ShareName Failover Cluster (max 8 nodes) iSCSI/SAN Hyper-V SQL Server SMB Client SMB3.x
  • 55. ¥¥ServerName¥Share Node1 A 10.0.0.1 Node2 A 10.0.0.2 Node3 A 10.0.0.3 Node4 A 10.0.0.4 HAFileServer A 10.0.0.1 HAFileServer A 10.0.0.2 HAFileServer A 10.0.0.3 HAFileServer A 10.0.0.4 DNS iSCSI/SAN ※iSCSI のNICチーミングは現時点で未サポート
  • 56. ❶ ❷ Node1 A 10.0.0.1 Node2 A 10.0.0.2 HAFileServer A 10.0.0.1 HAFileServer A 10.0.0.2 DNS ❸ ❹ ❺ SMB3.0 ❿ ① クライアントはDNSを使用してDNNを名前解決(ここ ではNode1とする) ② SMBクライアントはNode1に対して接続要求する ③ Node1は接続を受け入れる ④ ClientはWitnessを決定するために、Nodeの一覧を要求 ⑤ Node1からNode一覧が送付される ⑥ Node一覧から選定したNode2に、Witnessを依頼し、自 分自身を登録 ⑦ Node2 が了解し、Client を登録する ⑧ Node2 が Client の Witness Node となる ⑨ Node1がダウン ⑩ Node2 は SMB3.0 を通じて Node1のダウンを検出 ⑪ Client にNode1のダウンを通知し、通信先の切り替えを 要求(この処理によってTCPコネクションエラーが発生 するまえに接続先を切り替えられる) ❻ ❼ ⓫ ⓬
  • 57. 書き込むデータ CSVFS • Hyper-V や SQL Server はメタデータへの 書き込みが最適化されているため問題にな りずらい。Office などのアプリケーション は、60%~70%がメタデータへの書き込み であるといわれる。 NTFS 実データの管理情報) • 作成日時 • 更新日時 • 作成者 • アクセス権限 • 実データのアドレス など
  • 58. 汎用ファイル サーバー スケールアウト ファイル サーバー 頻繁にファイルを開いて閉じる操作を行うユーザーま たはアプリケーションによる使用を目的として共有さ れているファイルの可用性を高めることができます。 長時間ファイルを開いたままにするアプリケーション または仮想マシンの記憶域の可用性を高めることがで きます。 一度に 1 つのクラスター ノードを実行します。 一度に複数のクラスター ノードを実行します。サー バー メッセージ ブロック (SMB) クライアント接続は、 スループットを向上するために複数のノードに分散さ れます。この接続には、Windows Server 2012 の分 散ネットワーク名と呼ばれるフェールオーバー クラス タリング機能が使用されます。この機能を使用すると、 複数の IP アドレスを持つ複数のクラスター ノードで、 DNS ラウンド ロビンを使用して同じネットワーク名 に応答できます。 クラスター化共有ボリューム(CSV)を使用すること はできません。 クラスター化共有ボリューム(CSV)を使用する必要 があります。 アクティブ/パッシブ モデルを使用して、一度に 1 つ のノードでファイル サーバーを実行します。必要に応 じて、他のノードでファイル サーバーを実行できます。 アクティブ/アクティブ モデルを使用して、複数の ノードでファイル サーバーを連携して実行します。
  • 59. Technology 汎用ファイルサーバー Scale-Out File Server SMB capability: SMB Transparent Failover Yes Yes SMB capability: SMB Scale Out No Yes SMB capability: SMB Multichannel Yes Yes SMB capability: SMB Direct Yes Yes SMB capability: SMB Encryption Yes Yes File system: NTFS file system Yes No File system: Resilient File System (ReFS) Yes No File system: CSV File System (CSVFS) No Yes Data management: BranchCache Yes No Data management: Data Deduplication Yes Yes Warning:In Windows Server 2012 R2, Data Deduplication is only supported in a Scale-Out File Server deployment for Virtual Desktop Infrastructure (VDI) workloads with separate storage and compute nodes. The storage must be remote. Data management: DFS Namespaces – Namespace Server Yes No Data management: DFS Namespaces – Folder Target Yes Yes Data management: DFS Replication Yes No Data management: File Server Resource Manager Yes No Data management: File Classification Infrastructure Yes No Data management: File Server Volume Shadow Copy (VSS) Agent Yes Yes Data management: Folder Redirection Yes Yes Data management: Client Side Caching Yes Yes Workload: Information worker Yes Not recommended Workload: Hyper-V Yes Yes Workload: Microsoft SQL Server Yes Yes http://technet.microsoft.com/en-us/library/hh831349.aspx
  • 60. Hyper-V over SMB & SOFS 構成が必要 以下は対象外 • Boot, System, FAT, ReFs ボリューム • 仮想マシンの保存先がローカル ストレージの場合 • オンラインの SQL Server データベース, Exchange ストア • Windows 8.1 Hyper-V では利用不可 Hyper-V ホスト Hyper-V ホスト Hyper-V ホスト
  • 61. 仮想マシン 仮想マシン Windows Server 2008 Hyper-V ホスト Hyper-V ホスト ゲスト OS アプリ 共有ストレージ (LUN) ゲスト OS アプリ 仮想マシン 仮想マシン Windows Server 2012 Hyper-V ホスト Hyper-V ホスト ゲスト OS アプリ 共有ストレージ (LUN) ゲスト OS アプリ 仮想FC 仮想FC 仮想SAN SW FC-HBA 仮想SAN SW FC-HBA FC SANSAN
  • 62. 複数の仮想マシンから、同じ “データ用” VHDX ファイルを共有 最大8台の仮想マシンから共有可能 仮想マシン 仮想マシン Hyper-V ホスト Hyper-V ホスト ゲスト OS アプリ 仮想ハード ディスク ゲスト OS アプリ SMB 3.0SMB 3.0
  • 63. • 仮想ハードディスク • VHDX 形式  固定、可変ディスク(差分ディスクは非サポート) • データ ディスク( OS ディスクは非サポート) • ゲスト OS  Windows Server 2012  Windows Server 2012 R2 • バックアップ  ゲスト バックアップを利用  ホスト バックアップ、スナップ ショットは非サポート
  • 64. File Server Resource Manager File Classification Infrastructure Dynamic Access Control
  • 65. FSRM Protocol スクリーニング 分類属性の定義 ファイル管理タスク ディレクトリ クオータ 記憶域レポート Global Resource Property 拡張機能の登録 ファイル サーバーに保存されたデータを管理および分類できるようにするための機能セット • ファイル分類インフラストラクチャ(FCI) • ファイル管理タスク • クォータの管理 • ファイル スクリーンの管理 • 記憶域レポート
  • 66. • ファイル/フォルダを分類するための拡張属性 • ローカル属性 • FSRM管理コンソール、または Windows PowerShell で管理 • グローバル属性 • Active Directory のオブジェクトとして定義し、GPO を使用して Schema に反映 • Update-FsrmClassificationPropertyDefinition コマンドレットで属性としてコミット Fsrm protocol
  • 67. • AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能 ※FSRM 側は Windows Server 2012 または Windows 8 ファイルサーバー + ファイルサーバーリソースマネージャー (Windows Server 2012 or Windows 8) AD DS Fsrm protocol
  • 68. CIO インフラサポートコンテンツオーナー Information Worker 正しいコンプライアンスが必要 どのデータに責任があって、どう やって制御すればよいかわからない コンプライアンスに違反しているかどう か心配せずに必要なデータを使用したい 自分のデータが適切に保護されて いるかどうやって監査すればよい のだろう?
  • 69. 監査暗号化 • グループメンバーシップの管理 • 増え続けるグループとメンバー 増減への対応 • 複雑なメンバーシップルール • 監査対象データの識別 • 暗号化すべきデータの識別 • 膨大なデータ • ファイル単位のアクセス権 • 増え続けるファイル • 管理の分散(コンプライア ンス測定不能) アクセス ポリシー ID管理
  • 70. 監査暗号化 • 最新のユーザー情報の保持 • 監査ポリシーの集中管理• 自動識別と自動暗号化 • アクセスポリシーの 集中管理 アクセス ポリシー ID 管理 DAC によってそれぞれのテクノロジーを結びつける
  • 71. • アクセスコントロール(アクセス制御)とは... ... ユーザーがアクセスしてもよいかどうかを評価するためのプロセス • Windows の場合以下の 2 種類 • ACL ベースのアクセスコントロール • Expression ベースのアクセスコントロール アクセスアクセス権 ID
  • 72. ACE Resource ACL ACE ACE ACE Read/Write ACE A Read Only ユーザー グループ ACE • リソースにアクセスコントロールエントリ(ACE)を静的に割り当てる • 各 ACE は「OR」で接続される
  • 73. Resource ACL ACE ACE ACE ドメイン ローカル グループ Read Only ACE A :Account G : Global Group DL : Domain Local Group P : Permission グローバル グループ “アクセス権”に 合わせて作成さ れたグループ グローバル グループ 組織や役割ごと のグループ ユーザー
  • 74. グループ A • 「静的」な ACE を「動的」に割り当てる仕組みも存在する • Forefront Identity Manager のダイナミックグループ機能 Forefront Identity Manager workflow メタデータ グループ
  • 75. 通常のグループ Expression-Based グループ
  • 76. ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること ....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない.... 役割(Role:ロール) グループ 権限 公共事業部 マーケティング部所属 PubSec-Marketing 読み取り 公共事業部 営業部 所属 PubSec-Sales 読み取り 公共事業部 課長 PubSec-Managers 読み取り 公共事業部 部長 PubSec-SrManagers 読み取り ・・・・・
  • 77. Resource ACL ACE Resource • リソースの増加とグループの増加 • 複雑なメンバーシップ管理(1グループ1人 !?) • イレギュラーでダイナミックな組織構造 • リソース管理者 ≠ ID 管理者 ACL ACE ACE ACE ID 管理(ID 管理者) リソース管理 (リソース管理者) 連携が必要
  • 78. • ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御 条件が合致すればアクセス可能 アクセスルール ユーザーCountry = リソース Country ユーザー Department = リソース Department デバイス Owner = “Microsoft” ユーザー属性 リソース属性 デバイス属性
  • 79. Resource • Expression-Based Access Control... ...利用者とリソースの属性によって動的にアクセスを制御する • ID 管理者は ID のプロビジョニングに対して責任を持つ • リソース管理者は、リソースの属性に対して責任を持つ 営業部 IT部 経理部 A A A ID 管理(ID 管理者) リソース属性管理 (リソース管理者) IT部 経理部 営業部 A人事部 A企画部 Rules 所 属
  • 80. • AD DS と FSRM が鍵 GPO GLOBAL Classification Attributes FSRM Protocol
  • 81. • アクセスポリシー(Central Access Policy)の集中管理  全社コンプライアンスポリシーの徹底  組織の認可ポリシーの徹底 • ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理 • File Classification Infrastructure(FCI)と連携したファイルの自動分類  データの自動分類  社外秘データの自動暗号化  法廷保存期間に沿ったファイルサーバー上のデータの保管 リソースごとに行っていたアクセス制御をエンタープライズレベルで統制
  • 82. • 「リソース(例:ファイルサーバー)側」が要求をだし、その答えを提示する • ユーザーはリソース側の要求に対し属性情報(クレーム)を「トークン」として提示 • リソースは受け取ったトークンを解析してアクセス認可を判断 リソースユーザー トークンを解析して アクセス認可を判断 Name = Junichi Anno Company = MSKK Department = Evangelism Title = Evangelist
  • 83. DAC においては • クレーム = 「分類属性」として定義 • トークン = Kerberos チケットとして AD DS から発行される AD DS ①ログオン ②属性情報を含んだ Kerberos チケット チケットとクレームを 照合 Windows Server 2012/8 必須 ※属性を受信して解 析する機能が必要 ユーザー on Windows 8 Name = Junichi Anno Company = MSKK Windows Server 2012 必須 ※Kerberosに属性を含める機構が必要 ファイルサーバー ③ アクセス RFC2113 に対応 した AD DS
  • 84. 1983 年 MIT Project Athena 始動 • 分散コンピューティング環境モデルの研究プロジェクト • KDC を核としたセキュリティソリューションを含む • 現在一般的に使用されているのは Kerberos v5 • 多くの場合、マスターキー = ユーザーのパスワード • TGT 方式 マスターキーDB
  • 85. • チケットの発行に伴うユーザーの不便(パスワードの再入力等)を解消するため、チケット発 行のためのチケット(TGT)をローカルにキャッシュする • 盗難対策のため、TGT は定期的に更新される マスターキーDB TGTが無いと チケット発行のたびにパスワード入力が必要 マスターキーDB TGT を使用すれば、バックグラウンドで各サーバー用のチケット を自動発行することができる
  • 86. マスターキーDB ①ログオン要求 ②TGT発行 事前にコンピューターアカウント を登録しておく(ドメイン参加) ことで、コンピューターアカウン トのパスワードがマスターキーと して登録される ③PCへのチケット 要求 ④チケット発行 PCとの共有秘密鍵がPC のマスターキーで暗号化 された状態で含まれる 標準的なKerberosとは異なり、Active Directory ドメインを使用するとワークステーション認証が併用される ⑤チケットを送付 ⑥利用を認可 事前にユーザーアカウ ントを登録しておくこ とで、ユーザーアカウ ントのパスワードがマ スターキーとして登録 される
  • 87. •ユーザーの SID •ローカルグループのメンバーシップ •ドメイングループのメンバーシップ •プロファイル情報 •各種クレデンシャル などが格納されている http://msdn.microsoft.com/en-us/library/cc237927.aspx
  • 88. • Windows Server 2012 Active Directory に実装 • PAC にユーザークレームを格納することができるようになる Whoami /claims
  • 89. Windows 7 以前のクライアントの場合、属性が格納された Kerberos チケットを要求することが できないため、ファイルサーバーがAD DSから属性情報を受け取る AD DS ①ログオン ② 従来の Kerberos チケット チケットとクレームを 照合 Windows Server 2012/8 必須 ※属性を受信して解 析する機能が必要 ユーザー on Pre-Windows 8 属性は含まれない Windows Server 2003 以上のドメインレベル ※Service-for-User-to-Self(S4U2Self)機構が必要 ファイルサーバー ⑤属性情報を含んだ Kerberos チケット ③ Kerberosチケット送信
  • 90. 条件が合致すれば アクセス可能 DAC に必要な情報は3つ • ソース(ユーザーおよびデバイス)の属性情報 • リソースの属性情報(分類属性) • アクセスルール ソース リソース 関連付け 定義
  • 91. DAC によるアクセスポリシー管理の全体像 「Active Directory 管理センター」で作成した「集約型アクセスポリシー」をグループポリ シーオブジェクト(GPO)に結合することでファイルサーバーに適用する Country Department ソース (ユーザー) リソース Country Department クレームタイプ (要求の種類) リソース プロパティ Active Directory リソース プロパティ リスト 結合 集約型アクセス規則(ルール) アクセス元の条件と、条件を満 たした時のアクセス権 ターゲットとなるリソースの条件 集約型アクセスポリシー GPO 適用 分類属性とリソー スの条件が合致す ればアクセス権が 与えられる
  • 92. アクセスポリシーの管理は「Active Directory 管理センター」から行う
  • 93. アクセスポリシーはグループポリシーで配信する
  • 94. パーミッションの設定 与えられるアクセス権 パーミッションのタイプ ターゲットファイル パーミッション Engineering FTE Engineering Vendor Sales FTE 共有のアクセス権 Everyone:Full Central Access Rule 1: Engineering Docs Dept=Engineering Engineering:変更 Everyone: 読み取り Central Access Rule 2: Sensitive Data Sensitivity=High FTE:変更 Central Access Rule 3: Sales Docs Dept=Sales Sales:変更 NTFSのアクセス権 FTE:変更 Vendors:読み取り アクセス権: ファイルの分類属性 Dept Engineering Sensitivity Hight Read Full Full Full Modify Modify Read Modify ModifyNone Modify Modify 変更 None 読み取り [rule ignored – not processed]
  • 95. ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、 速やかな問題解決を図るために以下の対応が可能。 • メッセージの送信  to システム管理者  to 共有フォルダーの所有者 • アクセス権取得の要求 グループポリシーおよびファイルサー バーリソースマネジャーで設定
  • 96. リソース管理者の責任 IT(ID)管理者の責任 • コンプライアンスに沿った条件設定 • 状況に応じたダイナミックな設定変更 • ID 情報の精密性 • 迅速な ID 情報の反映 管理者の管理責任範囲は狭くなるが、管理の精密性が求められる
  • 97. Work Folder 個人デバイスから https を使用してフィルサーバーにアクセス
  • 98. Start File Server • ドメイン外の個人デバイス • 社外からの利用 • ファイル同期型、オフラインファイル対応、自動書き戻し • 対応デバイス • Windows 8.1 / Windows RT 8.1 • Windows 7(予定) • iOS(予定) https
  • 99. データの種類 個 人 デ バ イ ス データの場所 個 人 デ ー タ 個 人 の 業 務 デ ー タ チ ー ム の 業 務 デ ー タ OneDrive   Public cloud OneDrive Pro    SharePoint / Office 365 Work Folders   社内の File server
  • 100. AD DS Start File Server https://workfolders.contoso.com/ Work Folder • ファイルサーバーを HTTPS で公開 • ローカル デバイスに「自分のデータのみ」を同期 • MDM システムとの連携で企業データのみをリモート ワイプ https User01 User02 User03 HOME これを公開 User01 同期 自分のIdと同一名の フォルダだけが同期 される WorkFolder %userprfile%¥work folder
  • 101. http://support.microsoft.com/kb/2883200
  • 102. Web Application Proxy AD DS Start File Server https://workfolders.contoso.com/ https User01 User02 User03 HOME User01 WorkFolder AD FS 事前認証 • Web Application Proxy を経由し、AD FS で認証/認可が可能 • Workplace Joinと併用することで、デバイス認証も可能
  • 103. • ファイル サーバー リソース マネージャ(FSRM) • 自動分類、スクリーニング • Rights Management Service(RMS) • 暗号化、アクセス権限設定 • ダイナミック アクセス 制御(DAC) File Server 重要データ保管庫 重要 Data FSRM 個人 情報 重要 Data 参照 期限 印刷 禁止 コピペ 禁止 保存 禁止 暗号化 RMS 重要 Data 読み 取り 暗号化 分類 機密 Data スクリーニング
  • 104. File Server on IaaS (Draft v 0.05)
  • 105. 社内データセンター 社内データセンター VPN • 素早く展開 • Windows Server の管理方法がその まま使える • アクセ 権もそのまま • 自由に Storage が拡張できる! • 3か所に自動複製 • 自動的にジオレ リケーション Before After① ファイルサーバーの可用性と拡張性 Site to Site VPN VPN Gateway
  • 106. 社内データセンター VPN Site to Site VPN Point to Site VPN Gateway After ② ファイルサーバーへのアクセシビリティ VPN VPN VPN 最大250台 VPN Gateway
  • 107. 社内データセンター VPN Site to Site VPN Point to Site VPN Gateway After ③ ファイルサーバーへのアクセシビリティ Part2 VPN VPN VPN 最大250台 東京大阪 Point to Site VPN Gateway VPN VPN VPN 最大250台 ブランチ キャッシュ VPN Gateway VPN Gateway
  • 108. 社内データセンター VPN Site to Site VPN Point to Site VPN Gateway After ④ ファイルサーバーの安全性を高めるならば VPN VPN VPN 最大250台 メイン ファイルサーバー 重要なデータを自 動的に移動 (DAC、 Classification) VPN Gateway
  • 109. Tools Online Backup (Application consistent with no downtime) Backup destination Backup System State Backup File/Folder WSB Yes Inside OS Yes Yes WAB Yes Blob Store No Yes Copy Blob No Blob Store As a whole VHD.
  • 110. 付録 DACの利用手順
  • 111. Active Directory Domain Service(AD DS) Management • Dynamic Access Control(ダイナミック アクセス制御) 2012年12月17日 版
  • 112. WS2012VMDC Server1 WS2012Labs-CorpNet (プライベート) 演習環境 Hyper-V 仮想マシン Hyper-V 仮想スイッチ 192.168.10. 1 192.168.10.21 WS2012:Full WS2012:Full • AD DS • DNS • ファイルサービスおよ び記憶域サービス • ファイルサービスおよ び記憶域サービス Hyper-V ホスト:ITCAMP-PCxx(xx はPC番号) DHCP
  • 113. 演習の全体像 Country Department R_Country R_Department Active Directory 集約型アクセス規則 集約型アクセスポリシー GPO
  • 114. 演習22 ユーザーを作成
  • 115. 演習23 Claim Types(クレームタイプ、要求の種類)の作成
  • 116. つづき
  • 117. 演習24 Resource Properties(リソースプロパティ)の作成
  • 118. つづき
  • 119. 演習25 リソースプロパティリストにリソースプロパティを登録
  • 120. 演習26 Central Access Rules(集約型アクセス規則)の作成
  • 121. つづき
  • 122. つづき
  • 123. 演習27 「集約型アクセスポリシー」の作成
  • 124. 演習28 集約型アクセスポリシーをグループポリシーを使用して展開する
  • 125. つづき
  • 126. つづき
  • 127. つづき
  • 128. つづき
  • 129. 演習29 KDC がチケットに属性を組み込んで送信できるようにポリシーを変更
  • 130. つづき
  • 131. 演習30 ファイルサーバー リソースマネージャーのインストール
  • 132. 演習31 Server1 を再起動
  • 133. 演習32 共有フォルダを作成してアクセス権を設定する
  • 134. 演習33 ファイルシステム(NTFS)のアクセス権を確認する
  • 135. 演習34 ファイルサーバーの分類属性を設定する
  • 136. 演習35 アクセス権の評価 1 ~ Ben(米国、営業部)
  • 137. 演習36 集約型ポリシーの適用とアクセス権の再評価
  • 138. つづき
  • 139. 演習37 アクセス権の評価 2 ~ Alice(カナダ、経理部)
  • 140. 演習38 属性を変更してアクセス権を再評価