Dell EMC Unity
™
ファミリー
バージョン 4.2
SMB ファイル システムにアクセスするためのホストの構成
本文書に記載される情報は、「現状有姿」の条件で提供されています。本文書に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、 商品性や特定の目的に対する適応性に対する黙示的保証はいたしません。この資料に記載される、いかなる Dell ソフトウェアの使用、複製、頒布も、当該ソフトウェア ライセンスが必要です。
Dell、EMC、および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc.またはその関連会社の商標又は登録商標です。その他の商標は、各社の 商標又は登録商標です。Published in the USA.
EMC ジャパン株式会社
〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー www.DellEMC.com/ja-jp/index.htm
5 SMB ストレージ向けホストのセットアップ 7 ホストをセットアップするための要件...8 概要...8 システム要件...8 ネットワークの条件... 8 Windows ドメインに含まれる SMB NAS サーバー... 9 スタンドアロン SMB NAS サーバー... 9 SMB 環境のホスト ソフトウェア... 9
Common AntiVirus Agent ...9
管理スナップイン...10
SMB のホスト ソフトウェアのインストール... 11
Windows Continuous Availability の使用... 12
ネットワーク高可用性の使用...12 リンク統合... 12 リンク アグリゲーションの構成...13 SMB 暗号化の使用... 15 SMB ファイル システム ストレージの構成...15 SMB 共有に対するユーザー アクセスの構成... 16 SMB 共有のマッピング... 16 Unity ストレージ システムへの SMB データの移行 19 移行の環境と制限事項... 20 データの移行... 20 SMB ホストの Unity 共有へのアクセスのセットアップ... 21 手動コピーによるデータの移行... 21 Windows ツールによる SMB ファイル システム ストレージの管理 23 コンピューターの管理 MMC を開く...24 共有の作成と ACL の設定... 24 既存の共有に対する ACL の設定... 24 共有の作成と ACL の設定... 25 ホーム ディレクトリ機能の使用... 25 ホーム ディレクトリの制限...26 Active Directory でのユーザー プロファイルの設定...26 正規表現を使用したホーム ディレクトリの追加... 26 グループ ポリシー オブジェクトの使用... 28 NAS サーバーでの GPO サポート...29 サポートされる GPO 設定...29 SMB 署名の使用... 30 NAS サーバーの接続およびリソース使用のモニタリング...30 NAS サーバーのユーザーの監視...30 序文 第 1 章 第 2 章 第 3 章
目次
Unity ファミリー4.2 SMB ファイル システムにアクセスするためのホストの構成 3NAS サーバーでのファイル使用の監視... 31 SMB ユーザーおよびオブジェクトの監査... 31 NAS サーバーでの監査の有効化...33 監査イベントの表示... 35 監査の無効化... 35 NAS サーバーのセキュリティ ログへのアクセス... 36 共有スナップショットのコピー... 36 共有スナップショットのリストア... 36
Unity による CEE CAVA の使用 39 CAVA の概要...40
Unity NAS サーバー... 40
CEE CAVA ウイルス チェック クライアント...40
サード パーティ製ウイルス対策ソフトウェアのサポート...41
CEE CAVA ソフトウェア...41
EMC Unity/VNX/VNXe NAS 管理スナップイン... 41
システム要件と制限事項...41
SMB 以外のプロトコル... 42
NAS サーバでの CEE CAVA のセットアップ...42
ドメイン ユーザー アカウントの構成... 42
ウイルス チェッカー パラメーターの構成... 45
サード パーティ製ウイルス対策ソフトウェアのインストール... 49
CEE CAVA のインストール...50
CEE AV エンジンの起動...50
Unity での CEE Events Publishing の使用 53 Events Publishing の概要... 54 Events Publishing の制約と制限事項...55 CEE CEPA のインストール...55 Events Publishing の設定... 55 第 4 章 第 5 章
関連資料
改善努力の一環として、ソフトウェアおよびハードウェアのリビジョンを定期的にリリースしています。そ のため、このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウェ アのバージョンによっては、サポートされていないものもあります。製品のリリース ノートには、製品の 機能に関する最新情報が掲載されています。製品が正常に機能しない、またはこのマニュアルの説 明どおりに動作しない場合には、テクニカル サポート プロフェッショナルにお問い合わせください。 問い合わせ先 EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。 製品情報 製品と機能に関するドキュメントやリリース ノートについては、www.emc.com/ja-jp/ documentation/unity-family.htmにある Unity テクニカル ドキュメントを参照してください。 トラブルシューティング 製品、ソフトウェア アップデート、ライセンス、サービスに関する情報については、オンライン サポート https://Support.EMC.com(登録が必要です)をご覧ください。ログインした後、適切な [[Support by Product]]ページをご覧ください。 テクニカル サポート テクニカル サポートとサービス リクエストについては、オンライン サポート(https:// Support.EMC.com)にアクセスしてください。ログイン後、[サービス リクエストの作成]を見つけて ください。サービス リクエストを利用するには、有効なサポート契約が結ばれている必要があります。 有効なサポート契約を結ぶ方法の詳細や、アカウントに関するご質問については、販売担当者に お問い合わせください。 このマニュアルで使用される特記事項の表記規則 ☀椉 回避しなかった場合に死亡または重傷を招く危険な状況を示します。 巵⛙ 回避しなかった場合に死亡または重傷を招く可能性がある危険な状況を示します。 㽷㎞ 回避しなかった場合に軽度または中程度の傷害を招く可能性がある危険な状況を示します。 抩䩴 負傷に関連しない作業を示します。 㽷 重要ではあるが、危険ではない情報を表します。 Unity ファミリー4.2 SMB ファイル システムにアクセスするためのホストの構成 5第 1 章
SMB ストレージ向けホストのセットアップ
本章は、次のトピックで構成されています。
l ホストをセットアップするための要件... 8
l SMB 環境のホスト ソフトウェア...9
l Windows Continuous Availability の使用...12
l ネットワーク高可用性の使用... 12 l SMB 暗号化の使用...15 l SMB ファイル システム ストレージの構成... 15 l SMB 共有に対するユーザー アクセスの構成...16 l SMB 共有のマッピング...16 SMB ストレージ向けホストのセットアップ 7
ホストをセットアップするための要件
Unity ストレージを使用するようにホストをセットアップする前に、これらのシステムおよびネットワーク 要件を満たす必要があります。 Unity ストレージを使用するようにホストをセットアップする前に、次のストレージ システムおよびネット ワーク要件を満たしている必要があります。概要
このトピックでは、このマニュアルの目的と対象読者について説明し、関連ドキュメントの一覧を紹介 します。 このドキュメントは、Unity マニュアル セットの一部です。Unity システム上の SMB(サーバー メッセ ージ ブロック)ファイル システム ストレージにアクセスする必要があるクライアントと Windows ホストを セットアップする方法について説明します。 このドキュメントは、Unity ストレージにアクセスするホストのセットアップを担当するユーザーを対象と しています。 このドキュメントの読者には、Unity SMB ファイル システム ストレージと、Unity SMB ファイル シス テム ストレージにアクセスするクライアントが接続するホスト上で動作している Windows オペレーテ ィング システムに精通していることが求められます。 他には、次のような Unity ドキュメントがあります。 l 「インストール ガイド」 l 「ハードウェア情報ガイド」l 「Configuring Hosts to Access NFS File Systems」
l 「Configuring Hosts to Access Fibre Channel (FC) or iSCSI LUNs」
l 「Configuring Hosts to Access VMware NFS or VMware VMFS Datastores」 l 「Unisphere CLI ユーザー ガイド」 Unisphere のヘルプでは、Unity のストレージ、機能、特徴に固有の情報が得られます。
システム要件
ストレージ システムにアクセスするようにホストを構成する前に、次の要件を満たしていることを確認 します。 次のタスクを実行してから、ホストをストレージ システムに接続してください。 l [初期構成]ウィザードを使用してシステムをインストールし、構成します。l Unisphere または CLI を使用して、ストレージ システム上の NAS サーバーまたはインターフェイ ス、あるいは iSCSI または FC(ファイバー チャネル)LUN を構成します。
ネットワークの条件
このトピックでは、ストレージ システムに接続するホストのネットワーク要件を示します。 以下のネットワーク要件を確認して使用してください。
l NAS サーバーは、Windows Active Directory ドメインにメンバーとして参加させることも、他 のどのような Windows ドメインからも独立したスタンドアロン SMB サーバーとして動作させるこ ともできます。
l Windows Active Directory ドメイン内の SMB 共有については、DNS と NTP を構成する 必要もあります。
l NAS サーバーがマルチプロトコル(SMB と NFS)に対して有効になっている場合は、NIS また は LDAP プロトコル、ローカル ファイル、またはローカル ファイルと UDS を使用して UDS(UNIX ディレクトリ サービス)を構成します。
l Unity で UNIX ディレクトリ サービス(NIS または LDAP)を構成する方法については、 Unisphere オンライン ヘルプを参照してください。
Windows ドメインに含まれる SMB NAS サーバー
このトピックでは、Windows Active Directory ドメインに含まれる SMB NAS サーバーについて説 明します。
Active Directory が有効な SMB NAS サーバーでは、以下のことを実行できます。 l ドメイン ベースの Kerberos 認証の使用 l ドメイン内での独自の ID(コンピューター アカウント)の保持 l ドメイン サイトの情報を活用した、ドメイン コントローラなどのサービスの検索 SMB NAS サーバーを Windows ドメインに関連づけると、ドメイン内のすべてのユーザーが SMB サーバーに接続できます。さらに、Active Directory サーバーで保持されている認証および許可の 設定が、SMB ファイル システム上のファイルとフォルダーに適用されます。
Active Directory が有効な SMB NAS サーバーには、AD(Active Directory)サーバーおよび DNS サーバーがセットアップされた Windows ドメインが必要です。NTP を構成する必要もありま す。
スタンドアロン SMB NAS サーバー
このトピックでは、スタンドアロン SMB NAS サーバーについて説明します。
スタンドアロン SMB NAS サーバーは、Windows ドメインおよび Windows ドメインに関連するサー ビスのいずれにもアクセスできません。スタンドアロン SMB NAS サーバーで作成および管理されてい るローカル ユーザー アカウントを持つユーザーだけがサーバーにアクセス可能であり、SMB サーバー がユーザー認証を行います。 スタンドアロン SMB NAS サーバーには、Windows ワークグループが必要です。
SMB 環境のホスト ソフトウェア
このトピックでは、SMB 環境内の Unity システムのホスト ソフトウェアについて概要を説明します。 このセクションでは、SMB 環境の Unity システムで使用できるホスト ソフトウェアについて解説し、 Unity SMB ファイル システム ストレージを使用するホスト上にこのソフトウェアをインストールする方 法について説明します。Common AntiVirus Agent
このトピックでは、Unity システムを使用した SMB クライアント用アンチ ウイルス ソリューションについ て説明します。
CAVA(Common AntiVirus Agent)は、Unity システムを使用する SMB クライアントにウイルス 対策ソリューションを提供します。このソリューションは、サード パーティ ウイルス対策ソフトウェアを使
SMB ストレージ向けホストのセットアップ
CEE(Common Event Enabler)ソフトウェア パッケージに含まれています。CAVA がサポートする サード パーティ製ウイルス対策ソフトウェアについては、サポート用 Web サイトにある Unity サポート マトリックスを参照してください。Enabler のインストールについては、サポート用 Web サイトの 「Using the Common Event Enabler on Windows Platform」を参照してください。
管理スナップイン
このトピックでは、Unity NAS サーバーをサポートする管理スナップインを示します。
NAS サーバーでは、以下の MMC(Microsoft Management Console)スナップインで構成され る Unity NAS 管理スナップインがサポートされています。これらのスナップインは、Windows コンピュ ーターから NAS サーバー上のホーム ディレクトリ、セキュリティ設定、ウイルス チェックを管理する際に 使用できます。 l ホーム ディレクトリ管理スナップイン l NAS サーバー管理スナップイン l ウイルス対策管理スナップイン
ホーム ディレクトリ管理スナップイン
このトピックでは、ホーム ディレクトリ機能により、個人共有の管理を合理化する方法について説明 します。 ホーム ディレクトリ管理スナップインを使用すると、ユーザー名をディレクトリに関連づけることができま す。このディレクトリはユーザーのホーム ディレクトリとなります。ホーム ディレクトリ機能によって、すべ てのユーザーが接続可能な HOME という単一の共有名を使用できるため、個人の共有の管理、 およびこれらの共有に接続するプロセスが簡素化されます。NAS サーバー管理スナップイン
このトピックでは、NAS サーバー管理スナップ インの監査ポリシーおよびユーザー権限の割り当てノ ードを使用する方法について説明します。 監査ポリシー ノード NAS サーバーのセキュリティ設定の監査ポリシー ノードを使用すると、セキュリティ ログに記録された NAS サーバーのセキュリティ イベントを確認できます。その後、Windows Event Viewer を使用し てセキュリティ ログを表示できます。成功した試行を記録するか、失敗した試行を記録するか、その 両方を記録するか、いずれも記録しないかを決定できます。監査ポリシー ノードに表示される監査 ポリシーは、[アクティブ ドメイン ユーザーとコンピューター]で GPO(グループ ポリシー オブジェクト) として使用可能なポリシーのサブセットです。監査ポリシーは、選択された NAS サーバーだけに適 用されるローカル ポリシーです。監査ポリシー ノードを使用して GPO 監査ポリシーを管理すること はできません。 ユーザー権限割り当てノード ユーザー権限割り当てノードを使用すると、どのユーザーとグループに NAS サーバーへのログイン権 限やタスクの実行権限を付与するかを管理できます。ユーザー権限割り当てノードに表示されるユ ーザー権限割り当ては、[アクティブ ドメイン ユーザーとコンピューター]で GPO として使用可能な ユーザー権限割り当てのサブセットです。ユーザー権限割り当ては、選択した NAS サーバーだけに 適用されるローカル ポリシーです。ユーザー権限割り当てノードを使用して GPO ポリシーを管理す ることはできません。共通ウイルス対策管理スナップイン
共通ウイルス対策管理スナップインを使用すると、CAVA(Common AntiVirus Agent)およびサ ード パーティ ウイルス対策プログラムで使用されるウイルス チェック パラメーター (viruschecker.conf ファイル)を管理できます。
SMB のホスト ソフトウェアのインストール
このトピックでは、Unity SMB 環境用にインストールできるホスト ソフトウェア、各ソフトウェア パッケ ージの目的、パッケージをインストールできるシステム、インストール手順を示します。 表 1 Unity SMB 環境用のホスト ソフトウェア ソフトウェア ソフトウェアをインストールする 目的 インストール先 ホーム ディレクトリ管理スナップイン ユーザー ホーム ディレクトリを管理 する ドメイン内の Unity NAS サーバー の管理に使用する Windows シス テム。 NAS サーバー管理スナップイン セキュリティ ログの NAS サーバー セキュリティ イベントを監査し、 NAS サーバーに対するユーザーお よびグループのアクセスおよびタスク 権限を管理する ドメイン内の Unity NAS サーバー の管理に使用する Windows シス テム。 CEE ウイルス対策管理スナップイ ン CAVA およびサード パーティ ウイ ルス対策プログラムと連携して使 用するウイルス チェック パラメータ ーを管理する Unity ストレージを使用する Windows システム。AV(ウイルス 対策)サーバーである 1 つ以上の Windows ホストが必要。これらの AV サーバーは、Unity ストレージ を使用するホストの役割を果たす ことも可能。 SMB 環境のホスト ソフトウェアを Unity ホストにインストールするには、以下の手順に従います。 手順 1. 管理者権限を持つアカウントでホストにログインします。 2. 以下の手順に従って、インストールするソフトウェア パッケージをダウンロードします。 a.オンライン サポート Web サイトで、ホスト ソフトウェアのソフトウェア ダウンロード セクショ ンに移動します。 b.インストールするソフトウェア パッケージを選択し、ソフトウェアをホストに保存するオプショ ンを選択します。 3. ソフトウェアを保存したディレクトリで実行可能形式のファイルをダブル クリックし、インストール ウィザードを起動します。 4. [製品のインストール]ページで、ホストにインストールするソフトウェア パッケージを選択しま す。 5. [次へ]をクリックしてプログラム ファイルのデフォルトの場所を受け入れます。または、フォルダ のパスを入力するか、[変更する]をクリックしてフォルダを参照し、終了したら[次へ]をク リックして別の場所を指定します。 6.[ようこそ]ページで、[次へ]をクリックします。 SMB ストレージ向けホストのセットアップ SMB のホスト ソフトウェアのインストール 118.[インストール先フォルダーの選択]ページで、プログラム ファイルのインストール先のフォルダー 名が表示されていることを確認し、[次へ]をクリックします。 別のフォルダーを選択するには、[参照]を選択してフォルダーを見つけ、[次へ]をクリック します。 9.[コンポーネントの選択]ページで、インストールするソフトウェア パッケージ(コンポーネント) を選択し、インストールしないコンポーネントはクリアして、[次へ]をクリックします。 10.[ファイルのコピーの開始]ページで、[次へ]をクリックします。 11.[InstallShield ウィザードの終了]ページで、[完了]をクリックします。 12. インストールが完了したら、ホストを再起動します。
Windows Continuous Availability の使用
Windows 8 以降の Windows 環境では、SMB リソースに高可用性の機能を追加できます。 Windows CA では、このプロパティを持つ共有に接続されたホストで実行されるアプリケーションで、 透過的なサーバー フェイルオーバーを実装できます。この実装では、フェイルオーバー時間がアプリケ ーションのタイムアウトよりも短くなります。この実装環境では、フェイルオーバー イベントの発生後も ホストが引き続き SMB リソースにアクセスでき、SMB のセッション状態が失われることはありませ ん。 I/O サイズの拡大、オフロード コピー、同セッションでの並列 I/O、ディレクトリ リーシングなどの機能 は、パフォーマンスおよびユーザー操作を向上させます。 Windows CA が共有で有効になっている場合は、共有へのすべての I/O 書き込みが同期ライト スルー操作として扱われます。
ネットワーク高可用性の使用
このトピックでは、リンク統合を使用して高可用性を構成する方法について説明します。 Unity システムではリンク統合がサポートされており、これによって、最大 4 個の Ethernet ポートを 同じ物理スイッチまたは論理スイッチに接続し、1 個の論理リンクに集約することができます。システ ムでリンク統合を構成するには、各 SP(ストレージ プロセッサ)の Ethernet ポートのタイプと数が 同じである必要があります。リンク統合では、実際には 2 つのリンク統合(SP ごとに 1 つ)が作成さ れるためです。これにより、高可用性が実現されます。リンク アグリゲーションのポートの 1 つに障害 が発生した場合、ネットワーク トラフィックはリンク アグリゲーションのその他のポートの 1 つにリダイレク トされます。システムの各 SP に Ethernet I/O モジュールを追加する場合は、I/O モジュールのポ ートのセットに追加の LAG(リンク統合グループ)を 1 つ作成できます。リンク統合
このトピックでは、リンク統合の機能とメリットについて説明します。
リンク アグリゲーションには、LACP(Link Aggregation Control Protocol)IEEE 802.3ad 標準 が使用されます。
㽷
リンク アグリゲーションは、iSCSI インターフェイスには適用されません。
l Unity システムとのネットワーク パスの高可用性:リンク統合の 1 つの物理ポートで障害が発生 しても、システムの接続が失われることはありません。 l 全体的なスループットの向上の可能性:複数の物理ポートが、複数の物理ポートにネットワー ク トラフィックが分散される 1 つの論理ポートに結合されるためです。 リンク アグリゲーションは、単一ポートよりも多くの総帯域幅を提供しますが、任意の単一クライアン トとの接続は、1 つの物理ポートを通過するため、ポートの帯域幅により制限されます。1 つのポート との接続に障害が発生した場合、スイッチはグループの残りのポートに自動的にトラフィックを切り替 えます。接続がリストアされると、スイッチはグループの一部としてポートの使用を自動的に再開しま す。 Unity システムでは、最大で 4 つのポートを 1 つのリンク統合に構成することができます。リンク統合 を構成する際には、2 つのリンク統合(各 SP に 1 つ)を構成していることになります。リンク統合の ポートの 1 つに障害が発生した場合、ネットワーク トラフィックはグループ内のその他のポートの 1 つ にリダイレクトされます。
スイッチの要件
このトピックでは、リンク統合の使用時のスイッチ要件について説明します。 Unity ポートが異なるネットワーク スイッチに接続されている場合は、これらのポートに接続されてい るすべてのスイッチ ポートを即時にブロック モードから転送モードに切り替えて、インターフェイス稼働 時にリスニングおよびラーニングのスパニング ツリー状態を通過しないように構成する必要がありま す。Cisco スイッチの場合、これは、物理リンクが有効なときにストレージ システムが生成する Ethernet フレームをスイッチが転送することを保証するために、Unity ポートに接続している各スイッ チ ポートのポートファスト機能を有効にする必要があることを意味します。ポートファスト機能は、ポ ート間ベースで有効にします。有効にすると、ポートファスト変数によって、ポートはブロック モードから 転送モードに瞬時に切り替わります。スイッチ間接続ではポートファストを使用しないでください。 リンク アグリゲーションでは、ネットワーク スイッチで IEEE 802.3ad プロトコルをサポートし、単一の TCP 接続からのパケットが常に一方向で同じリンクを通過することを保証する必要があります。リンク アグリゲーションの構成
このトピックでは、リンク統合の構成について説明し、必要な構成タスクを示します。 㽷Windows 7 および Windows Server 2003 では、リンク アグリゲーション(NIC チーミング)はサポ ートされていません。一部の NIC ベンダーが、NIC チーミングをサポートするドライバを提供していま す。詳細については、最寄りの NIC ベンダーにお問い合わせください。Windows Server 2008 で は NIC チーミングはサポートされています。
リンク統合では、リンク統合の Unity ポートに接続する各スイッチ ポートとして使用できるポートがあ る 802.3ad 準拠のスイッチが 1 つ以上、必要です。
NIC チーミングという用語は、802.3ad を使用したリンク アグリゲーションを含む、すべての NIC 冗 長スキームを指します。 リンク統合では、2 つの構成タスク セットを実行する必要があります。 l スイッチから Unity システムへのリンク統合を構成する l ホストからスイッチへのリンク統合を構成する
スイッチから Unity システムへのリンク統合の構成
スイッチ ポートを構成し、リンク統合に追加する方法を説明します。 SMB ストレージ向けホストのセットアップ リンク アグリゲーションの構成 131. Unity システムに接続されている、アクティブ モードの LACP のスイッチ ポートを構成します。 詳細については、スイッチに付属のドキュメントを参照してください。 2. Unisphere を使用して、これらのポートをリンク統合に追加します。これを行うには、次の手 順を実行します。 a.[設定]アイコンを選択し、[アクセス] > [Ethernet]を選択します。 b. Ethernet ポートを選択し、[リンク統合] > [リンク統合の作成]を選択します。 c.リンク統合用のポートを選択し、[作成]を選択します。 結果 各 SP に対して 1 つずつ、2 つのリンク アグリゲーションが同じポートに作成されます。
ホストからスイッチへのリンク統合の構成
このトピックでは、ホストからスイッチへのリンク統合を構成する方法について説明します。手順には、 リンク統合のスイッチ ポートの構成と、ホスト上の NIC チーミングが含まれます。この手順は、Intel ネットワーク インターフェイス ドライバー用です。 手順 1. スイッチ ポートを構成して、リンク統合用のホストに接続します。2. Windows Server 2008、Windows Server 2012、Windows 8 のホストで NIC チーミン グを構成します。
㽷
Windows Server 2008、Windows Server 2012、Windows 8 ホストは、リンク アグリゲ ーションを NIC チーミングとして参照します。Windows 8 は Unity で NIC チーミングを自動 検出し、Unity と同じインターフェイスを使用するようにホストを構成します。手動で構成する 必要はありません。 a.[コントロール パネル]で、[ネットワークとインターネット] > [ネットワーク接続]を選択 します。 b.[ネットワーク接続]ダイアログ ボックスで、チーミングに使用する 1 つの NIC を右クリック し、[プロパティ]をクリックします。 c.[構成]をクリックします。 d.[プロパティ]ダイアログ ボックスの[チーム化]タブをクリックします。 3. [チーム化]タブで、以下の操作を実行します。 a.[その他のアダプタとチーム化する]を選択します。 b.[新規チーム]をクリックします。 [新規チームの作成ウィザード]が開きます。 4. [新規チームの作成ウィザード]で、以下の操作を実行します。 a.チームの名前を指定し、[次へ]をクリックします。 b.チームに含めるその他の NIC を選択し、[次へ]をクリックします。 c.チーム タイプを選択し、[次へ]をクリックします。チーム タイプの情報については、チーム タイプを選択し、選択ボックスの下に表示される説明を参照してください。
d.[完了]をクリックします。 5. [アダプティブ ロード バランシング]をチーム タイプとして選択し、Hyper-V 仮想マシンで新し い NIC チームを使用する場合は、[ロード バランシングの受信]を無効にします。 a.[詳細]タブをクリックします。 b.[設定]で、[ロード バランシングの受信]を選択します。 c.[値]で、[無効]を選択します。 d.[OK]をクリックします。 新しいチームがローカル エリア ネットワーク接続として[ネットワーク接続]ダイアログ ボッ クスに表示されます。 6. 仮想マシンで新しい NIC チームを使用するには、次の操作を実行します。 a.[Hyper-V マネージャ]の[仮想マシン]で、仮想マシンを選択します。 b.[操作]で、[仮想ネットワーク マネージャ]を選択します。 c.[仮想ネットワーク マネージャ]の[仮想ネットワーク]で、[VM NIC - 仮想マシン ネッ トワーク]を選択します。 d.[接続の種類]で、ネットワーク タイプと NIC チームを選択します。 e.[適用]をクリックします。 f.変更が適用されたら、[OK]をクリックします。
SMB 暗号化の使用
Windows 8 および Windows 12 SMB3 の環境では、Unity SMB ファイル システムに保存された データが Unity と Windows ホストの間を移動するため、このようなデータを暗号化する機能が提 供されています。 㽷 Unisphere では、このタイプの暗号化をプロトコル暗号化と呼びます。 特定の共有では、共有レベルの SMB 暗号化が有効になっており、その共有にアクセスすると適用 されます。共有に対する SMB 暗号化を構成するには、Unisphere のオンライン ヘルプを参照して ください。 必要に応じて、システム レベルで暗号化を適用することもでき(NAS サーバーのレジストリで暗号化 を設定)、その場合、すべてのシェアのアクセスが暗号化の対象となります。クライアント レベルの構 成は必要ありません。
SMB ファイル システム ストレージの構成
手順1. Unisphere または Unity CLI を使用して、ホスト(クライアント)の SMB ファイル システム ストレージを作成します。
2. これらのタスクの実行の詳細については、Unisphere のオンライン ヘルプを参照してくださ い。
SMB ストレージ向けホストのセットアップ
SMB 共有に対するユーザー アクセスの構成
このタスクでは、ホストから SMB 共有へのユーザー アクセスを構成する方法について説明します。 Unity NAS サーバーの名前または IP アドレスが必要です。
共有へのユーザー アクセスは、Active Directory を使用してファイルごとに構成されます。
手順
1. Active Directory で、ドメイン管理者アカウントを使用して Windows ホストにログインしま す。 㽷 Windows ホストは、SMB 共有に使用する NAS サーバーの属するドメインにアクセスできる 必要があります。 2. [コンピューターの管理]ウィンドウを開きます。 a. Windows OS の場合はいずれも、コンピューターの管理 MMC スナップインを開きます。 b. Windows Server 2008、Windows Server 2012、Windows 7、Windows 8 の場
合は、[スタート]をクリックし、[コントロール パネル] > [管理ツール] > [コンピュー ターの管理]をクリックします。 3. [コンピュータの管理]ツリーで、[コンピュータの管理 (ローカル)]を右クリックします。 4. [別のコンピュータへ接続]を選択します。 [コンピュータの選択]ダイアログが開きます。 5. [コンピューターの選択]ダイアログ ボックスで、NAS サーバーの名前または IP アドレスを入 力し、クライアントの SMB 共有を指定します。 6.[コンピューターの管理]ツリーで、[システム ツール] > [ファイル システム] > [共有] を選択します。 使用可能な共有が右側に表示されます。Unity 共有が表示されない場合は、正しいドメ インにログインしているかどうかを確認してください。 7. アクセス許可を変更する共有を右クリックし、[プロパティ]を選択します。 8.[共有のアクセス許可]タブをクリックします。 9. ユーザーまたはグループを選択し、このユーザーまたはグループに対するアクセス許可を選択 します。 10.[OK]をクリックします。
SMB 共有のマッピング
このタスクで、SMB 共有にホストを接続できるようになります。共有のエクスポート パスを取得する 方法についても説明します。 共有のエクスポート パス(\\NASServer\share)が必要になります。これは、以下の説明に 従って Unisphere で確認できます。 手順1. Windows ホストで Windows Map Network Drive 機能を使用して、ホストを SMB 共 有に接続します。また、ホストにログインするたびに共有に再接続することもできます。
2. 共有のエクスポート パスが必要な場合は、次の手順に従います。 a. Unisphere にアクセスします。 b.[ストレージ]で、[ファイル] > [SMB 共有]を選択します。 c.[エクスポート パス]列をビューに追加します。 d.画面で SMB 共有を見つけます。 共有への読み取り/書き込みアクセスが許可されている場合は、共有にディレクトリを作成 し、このディレクトリにファイルを格納できます(共有をマップした後)。 SMB ストレージ向けホストのセットアップ SMB 共有のマッピング 17
第 2 章
Unity ストレージ システムへの SMB データの移行
SMB データを Unity ストレージ システムに手動コピーで移行できます。手動コピー操作ではデータ へのアクセスが中断し、ファイル構造にある ACL と権限が保持されない可能性があります。 本章は、次のトピックで構成されています。 l 移行の環境と制限事項...20 l データの移行... 20 Unity ストレージ システムへの SMB データの移行 19移行の環境と制限事項
このトピックでは、データ移行の要件と制限事項について説明します。 手動コピーを使用するか、アプリケーション固有のツールがあれば、それを使用して、データを Unity システムに移行できます。 移行する SMB 構成に次の状況のいずれかが存在する場合は、Unity サービス プロバイダーに連 絡してください。 l 移行の対象とする共有を超える数の共有 l Unity 共有に手動で再割り当てしない権限 l 複数の Unity 共有の間で分割する共有 l 同一の Unity 共有上で他の共有と組み合わせる共有 表 2 (20 ページ)は、データ移行に必要な環境を、表 3 (20 ページ)は、手動コピーによ る移行の特徴を示します。 表 2 データの移行に必要な環境 コンポーネント 要件 Unity ストレージ 移行する共有に存在するデータを収容でき、そのデ ータの増加に対応できるサイズの共有を持つファイル システム ホスト 移行するデータを収めた Unity 共有に対する読み 取りアクセス許可、および移行したデータの共有に対 する書き込みアクセス許可を持つホスト 共有 全体を Unity 共有に移行する共有 表 3 手動コピーによる共有の特徴 コンポーネント 特性 権限 保持されない可能性がある ダウンタイム ダウンタイムは、次の処理に必要な時間の合計に比 例する l 共有の内容の Unity 共有へのコピー l Unity 共有に接続するためのホストの構成 手動コピーによる移行とアプリケーションによる移行のどちらでも、ダウンタイムは次の処理に必要な 時間に比例します。コピーによる移行とアプリケーションによる移行のどちらでも、ダウンタイムは次の 処理に必要な時間に比例します。 l 共有の内容の Unity 共有へのコピー l Unity 共有に接続するためのホストの構成データの移行
このトピックでは、Unity 共有へのデータの移行タスクを示します。Unity 共有にデータを移行するには、共有へのアクセスをセットアップします。次にデータを移行しま す。
SMB ホストの Unity 共有へのアクセスのセットアップ
このトピックでは、新しい共有へのユーザー アクセスを Active Directory で構成し、共有をマップす る手順を示します。 データの移行で使用するホストで次の手順を実行します。 手順 1. 新しい共有に対するユーザー アクセスを Active Directory で構成します。 詳細な手順については、SMB 共有に対するユーザー アクセスの構成(16 ページ)を参照 してください。 2. 新しい共有をマップします。 詳細な手順については、SMB 共有のマッピング(16 ページ)を参照してください。手動コピーによるデータの移行
このトピックでは、(アプリケーション固有のツールを使用するのではなく)一度に 1 つの共有のデータ を手動でコピーする方法を説明します。 手動でコピーすると、ホストの移行中に共有にアクセスできない時間が最小限になります。 手順 1. 共有をアクティブに使用しているクライアントがいる場合は、そのクライアント、および移行する データにアクセスする可能性のあるクライアントの接続を切断します。 2. 現在のストレージから新しい Unity 共有にデータをコピーするうえで最適と思われる方法を 使用します。 この方法は、カット アンド ペーストやドラッグ アンド ドロップのような操作であることも考えられ ます。選択した方法で、ファイルの属性、タイムスタンプ、アクセス権など、保持する必要のあ るあらゆるメタデータを保持できることを確認します。 3. コピー操作が終了したら、Unity システムでエクスポートした新しい共有にクライアントを接続 し、必要に応じてこの共有にドライブをマップします。 Unity ストレージ システムへの SMB データの移行 SMB ホストの Unity 共有へのアクセスのセットアップ 21第 3 章
Windows ツールによる SMB ファイル システム ストレ
ージの管理
本章は、次のトピックで構成されています。 l コンピューターの管理 MMC を開く... 24 l 共有の作成と ACL の設定...24 l ホーム ディレクトリ機能の使用...25 l グループ ポリシー オブジェクトの使用... 28 l SMB 署名の使用...30 l NAS サーバーの接続およびリソース使用のモニタリング... 30 l SMB ユーザーおよびオブジェクトの監査...31 l NAS サーバーのセキュリティ ログへのアクセス...36 l 共有スナップショットのコピー...36 l 共有スナップショットのリストア...36 Windows ツールによる SMB ファイル システム ストレージの管理 23コンピューターの管理 MMC を開く
このトピックでは、特定の NAS サーバーのコンピューターの管理 MMC(Microsoft 管理コンソー ル)を開く方法について説明します。
手順
1. ドメイン管理者アカウントを使用して、Active Directory の一部である Windows ホストに ログインします。
Windows ホストは、Unity NAS サーバーの属するドメインにアクセス可能である必要があり ます。
2. [コンピューターの管理]ページを開きます。
l Windows OS の場合はいずれも、コンピューターの管理 MMC スナップインを開きます。 l Windows Server 2008、Windows Server 2012、Windows 8 の場合は、[スター
ト]をクリックし、[管理ツール] > [コンピューターの管理]を選択します。 3. [コンピュータの管理 (ローカル)]を右クリックします。
4. [別のコンピュータへ接続]を選択します。
5. Unity NAS サーバーの名前を入力し、[OK]をクリックします。
管理者権限を持つ Administrator としてログインして MMC スナップインを使用します。
共有の作成と ACL の設定
Unisphere を使用して SMB 共有を作成してから(方法については Unisphere のヘルプを参 照)、MMC を使用して、共有のアクセス権(ACL)を設定することを推奨しています。Unisphere を使用する代わりに、Unity システムに SMB ファイル システムを作成してから、MMC を使用してこ のフォルダー内に共有を作成するという方法もあります。 MMC を使用して Windows 共有を作成するには、以下が必要です。 l ファイル システムのルート ディレクトリの Unity 共有をマウントしておき、この中に、共有するディ レクトリを作成していること。 l Unity 管理者であること。既存の共有に対する ACL の設定
このトピックでは、[コンピューターの管理]MMC を使用して、既存の共有で ACL を設定する方法 について説明します。 手順 1. コンピューターの管理 MMC を開く(24 ページ)の説明に従って、[コンピュータの管理] MMC を開きます。 2. コンソール ツリーで、次の順に選択します。[ファイル システム] > [共有]. 現在使用中の共有が右側に表示されます。 3. アクセス許可を変更する共有を右クリックし、[プロパティ]を選択します。 4. [共有のアクセス許可]タブをクリックします。 5. ユーザーまたはグループを選択し、このユーザーまたはグループに対するアクセス許可を選択 します。6.[OK]をクリックします。
共有の作成と ACL の設定
このトピックでは、[コンピューターの管理]MMC を使用して共有を作成し、ACL を設定するステッ プについて説明します。 手順 1. コンピューターの管理 MMC を開く(24 ページ)の説明に従って、[コンピューターの管理] MMC を開きます。 2. コンソール ツリーで、次の順にクリックします。[ファイル システム] > [共有]. 現在使用中の共有が右側に表示されます。 3. [[共有]]を右クリックし、ショートカット メニューから[[新しいファイルの共有]]を選択しま す。 [フォルダの共有]ウィザードが開きます。 4. 共有するフォルダの名前、フォルダの共有名、共有の説明を入力します。[次へ]をクリック します。 共有のアクセス許可を設定するよう指示されます。 5. いずれか 1 つのオプションを選択して、アクセス許可を設定します。 [[共有とフォルダのアクセス許可をカスタマイズする]]または[[アクセス許可のカスタマイ ズ]]オプションを使用すると、グループやユーザーに個別にアクセス許可を割り当てることがで きます。 6.[完了]をクリックします。ホーム ディレクトリ機能の使用
ホーム ディレクトリ機能を使用すると、ディレクトリにユーザー名を関連づけることで、このディレクトリ がユーザーのホーム ディレクトリとして機能します。これにより、個人の共有の管理、およびこれらの 共有に接続する処理を単純化できます。ホーム ディレクトリはユーザーのプロファイル内でマップされ ます。したがって、ユーザーがログインすると、ホーム ディレクトリはネットワーク ドライブに自動的に接 続されます。 ホーム ディレクトリ機能は、ホーム ディレクトリ管理スナップインで、有効化、設定、管理を行いま す。この機能を使用すると、ユーザーのログイン プロファイルを定義するときに、\HOME または\ %username%を使用してホーム ディレクトリのビルトイン共有を利用できます。各ユーザーに対して 個別の共有を作成する必要はありません。 ホーム ディレクトリ機能は、デフォルトでは無効にされています。ホーム ディレクトリを有効にするに は、ストレージ システム上に SMB NAS サーバを作成する必要があります。 ユーザーのログオン プロファイルをマップして表示するには、次のいずれかの操作を行います。 l \HOME をビルトイン共有とプロファイルとして使用する: Z: \\SMBServer1\HOME l \%username%をビルトイン共有とプロファイルとして使用する: Z: \\SMBServer1\%username% Windows ツールによる SMB ファイル システム ストレージの管理 共有の作成と ACL の設定 25ホーム ディレクトリの制限
ホーム ディレクトリには、特別な共有名「HOME」が予約されています。次の制限事項が適用され ます。ソフトウェア バージョン: l 「HOME」という名前の共有がすでに作成されている場合は、ホーム ディレクトリ機能を有効に することはできません。 l ホーム ディレクトリ機能を有効にしている場合は、「HOME」という名前の共有を作成すること はできません。 ホーム ディレクトリは、ユーザーの Windows ユーザー プロファイル内で、UNC(汎用名前付け規 則)パスを使用して構成されます。\\[NAS_server]\HOME または\\[NAS_server] \%username%、ただし[NAS_server]は、NAS サーバの IP アドレス、コンピューター名、または NetBIOS 名となります。 HOME はホーム ディレクトリ機能用に予約された、特別な共有です。ユーザーのホーム ディレクトリ のパスに「HOME」が使用された状態で、このユーザーがログインすると、ユーザーのホーム ディレクト リはネットワーク ドライブに自動的にマップされ、HOMEDRIVE、HOMEPATH、および HOMESHARE 環境変数が自動的に設定されます。Active Directory でのユーザー プロファイルの設定
Windows Active Directory でユーザーのログオン プロファイルを設定するには、この手順に従いま す。Windows サーバーとドメイン管理者アカウントが必要です。 手順 1. ドメイン管理者アカウントを使用して、Windows サーバにログインします。 2. コントロール パネルから[管理ツール] > [Active Directory ユーザーとコンピュータ]の 順に選択します。 3. [ユーザー]をクリックして、右側のパネルにユーザーを表示します。 4. ユーザーを右クリックし、[プロパティ]を選択します。 [ユーザーのプロパティ]ウィンドウが開きます。 5. [プロファイル]タブをクリックし、[Home ]フォルダーで以下を実行します。 a.[接続]を選択します。 b.ホーム ディレクトリにマップするドライブ文字を選択します。 c.[パス]で、次のように入力します。\\[NAS_server]\HOMEまたは\\NAS_server \%username%。ただし[NAS_server]は、Unity NAS サーバの IP アドレス、コンピ ューター名、または NetBIOS 名です。 6.[[OK]]をクリックします。
正規表現を使用したホーム ディレクトリの追加
このトピックでは、式を使用してホーム ディレクトリを追加する手順を示します。この手順には、ドメイ ン管理者アカウントが必要です。 手順 1. ドメイン管理者アカウントを使用して、Windows サーバにログインします。 2. コントロール パネルから[管理ツール] > [EMC Unity VNX VNXe NAS3. [Homedir]フォルダー アイコンを右クリックし、[新規作成] > [ホーム ディレクトリ エント リー]の順に選択します。 ホーム ディレクトリのプロパティ ページが表示されます。 4. 次の情報を入力します。 a.[ドメイン]に、ユーザーのドメイン名を NetBIOS 名を使用して入力します。 抩䩴 完全修飾ドメイン名は使用しないでください。
たとえば、ドメイン名が「Company.local」の場合は、company、comp、.*のいずれかを 入力できます(このオプションが機能するには、正規表現を有効にしておく必要がありま す)。 b.[ユーザー]に、ユーザー名またはワイルドカード文字列を入力します。 たとえば、ユーザー名が「Tom」の場合は、次のいずれかを入力できます。T で始まるユ ーザー名にはT*、すべてのユーザー名には*、r、s、t、u、v のいずれかで始まるユーザー 名には[r-v].*を指定します(このオプションを正常に使用するには、正規表現を真に する必要があります)。 c.[パス]に、次のいずれかの方法を使用して、パス名を入力します。 フォルダーのパス(\HomeDirShare\dir1 など)を入力します。 [参照]をクリックし、フォルダを選択するか、または新規のフォルダを作成します。 フォルダを自動作成するには、[ディレクトリを自動作成]を選択します。 次に、ディレクトリの入力例を示します。 l \HomeDirShare\dir1\User1 l \HomeDirShare\<d>\<u>(この場合、ドメイン名 d のフォルダーと、ユーザー 名 u のディレクトリが作成されます) 5. [[OK]]をクリックします。 表 4 (27 ページ)は、ホーム ディレクトリを追加するための正規表現書式の例を示します。 表 4 正規表現の書式の例 ドメイン ユーザー Path オプション 結果 * * \HomeDirShare\ None すべてのユーザーのホーム ディレ クトリが\HomeDirShare に設 定されます。 * a* \HomeDirShare\ None ユーザー名が a で始まるユーザ ーのホーム ディレクトリが \HomeDirShare に設定され ます。 * * \HomeDirShare \<d>\<u>\ Auto Create Directory = True すべてのユーザーに対し、各自の ディレクトリが設定されます。たと えば、company ドメインに属す る Bob というユーザーには、 Windows ツールによる SMB ファイル システム ストレージの管理 正規表現を使用したホーム ディレクトリの追加 27
ドメイン ユーザー Path オプション 結果
\HomeDirShare\company \Bob がホーム ディレクトリとして 設定されます。
comp [a-d].* \HomeDirShare \FolksA-D\<d> \<u>\ Auto Create Directory = True Regexp=True company ドメインに属し、ユー ザー名が a、b、c、d のいずれか で始まるユーザーのホーム ディレ クトリが\HomeDirShare \FolksA-D\company\に設 定されます(u は各自のユーザー 名)。
グループ ポリシー オブジェクトの使用
Windows Server 2003、Windows Server 2008、Windows Server 2012 のドメインコントロー ラーでは、管理者がグループ ポリシーを使用して、ユーザーとコンピューターのグループに対する構成 オプションを定義できます。Windows GPO は、ローカル、ドメイン、ネットワーク セキュリティの設定 などの管理要素を制御できます。グループ ポリシー設定は、Active Directory 内のサイト、ドメイ ン、OU(組織単位)コンテナにリンクされた GPO 内に保存されます。ドメイン コントローラはドメイ ン内のすべてのドメイン コントローラ上に、GPO をレプリケートします。 監査ポリシーは、Unity NAS 管理スナップインのコンポーネントです。このスナップインは、MMC (Microsoft 管理コンソール)スナップインとして Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows 8 システム上の管理コンソールにインストールされま す。 監査ポリシーを使用すると、NAS サーバーのどのセキュリティ イベントがセキュリティ ログに記録された のかを確認できます。成功した試行、失敗した試行、またはその両方を記録するように選択するこ とも、その両方を記録しないように選択することもできます。監査されたイベントは、Windows イベン ト ビューアのセキュリティ ログで確認できます。 監査ポリシー ノードに表示される監査ポリシーは、ADUC(Active Directory ユーザーとコンピュー ター)の GPO として使用可能なポリシーのサブセットです。これらの監査ポリシーはローカル ポリシー であり、選択した NAS サーバーだけに適用されます。監査ポリシー ノードを使用して GPO 監査ポ リシーを管理することはできません。
監査ポリシーを ADUC の GPO として定義した場合は、この GPO 設定はローカル設定を上書きし ます。ドメイン管理者がドメイン コントローラー上の監査ポリシーを変更した場合は、この変更は NAS サーバーにも反映されるため、監査ポリシー ノードを使用して確認できます。ローカルな監査 ポリシーを変更することもできますが、この監査ポリシーに対する GPO を無効にしない限り、変更は 有効になりません。監査を無効にしても、GPO 設定は引き続き[有効]設定列に表示されます。 Microsoft Windows の[ローカル ポリシーの設定]ツールを使用して、NAS サーバー上の監査ポ リシーを管理することはできません。Windows Server 2003 と Windows XP では、Windows の [ローカル ポリシーの設定]ツールを使用して監査ポリシーをリモート管理することはできないためで
NAS サーバーでの GPO サポート
NAS サーバーは、Windows Server 2003 ドメインに参加している NAS サーバーごとに GPO 設 定のコピーを取得および保存することで、GPO をサポートしています。 NAS サーバーは、GPO 設 定を GPO キャッシュに保存します。
Unity システムの電源を入れると、Unity システムは GPO キャッシュに保存されている設定を読み 取り、Windows ドメイン コントローラから最新の GPO 設定を取得します。GPO 設定を取得した 後、 NAS サーバーはドメインの更新間隔に基づき、設定を自動的に更新します。
サポートされる GPO 設定
NAS サーバーでは現在、以下の GPO セキュリティ設定がサポートされます。 Kerberos l コンピューターの時計の同期の最長トレランス(時刻のずれ)。時刻の同期は NAS サーバーご とに行われます。 l ユーザー チケットの最長有効期間 監査ポリシー l アカウント ログオン イベントの監査 l アカウント管理の監査 l ディレクトリ サービスのアクセスの監査 l ログオン イベントの監査 l オブジェクト アクセスの監査 l ポリシーの変更の監査 l 特権使用の監査 l プロセス追跡の監査 l システム イベントの監査 SMB ユーザーおよびオブジェクトの監査(31 ページ)で詳細を参照してください。 ユーザー権限 l ネットワークからコンピューターへのアクセス l ファイルとディレクトリのバックアップ l 走査チェックのバイパス l ネットワークからコンピューターへのアクセスの拒否 l ウイルス チェック l セキュリティ監査の生成 l 監査とセキュリティ ログの管理 l ファイルとディレクトリのリストア l ファイルとその他のオブジェクトの所有権の取得 セキュリティ オプション l クライアント通信にデジタル署名を行う(常時) l クライアント通信にデジタル署名を行う(可能な場合) Windows ツールによる SMB ファイル システム ストレージの管理 NAS サーバーでの GPO サポート 29l サーバー通信にデジタル署名を行う(可能な場合) l LAN Manager 認証レベル イベント ログ l アプリケーション ログの最大サイズ l セキュリティ ログの最大サイズ l システム ログの最大サイズ l アプリケーション ログへのゲスト アクセスの制限 l セキュリティ ログへのゲスト アクセスの制限 l システム ログへのゲスト アクセスの制限 l アプリケーション ログの保存 l セキュリティ ログの保存 l システム ログの保存 l アプリケーション ログの保存方法 l セキュリティ ログの保存方法 l システム ログの保存方法 グループ ポリシー l バックグラウンドでのグループ ポリシーの更新の無効化 l コンピューターのグループ ポリシーの更新間隔
SMB 署名の使用
SMB 署名を使用すると、パケットがインターセプト、変更、またはリプレイされる心配がありません。 また、署名により、第三者がパケットを変更していないこと保証できます。署名を実行すると、すべて のパケットにシグネチャが追加されます。クライアントと Unity NAS サーバーはこのシグネチャを使用 して、パケットの整合性を検証します。Unity NAS サーバーは SMB1、SMB2、SMB3 をサポート します。 SMB 署名が正しく機能するには、トランザクションに関わるクライアントとサーバーの両方で、SMB 署名が有効にされている必要があります。Unity NAS サーバーでは、SMB 署名が常に有効になっ ています。ただし、これは必須ではありません。したがって、クライアント上で SMB 署名を有効にする と署名が使用され、クライアント上で SMB 署名を無効にすると署名は使用されません。署名は、 Active Directory ドメイン ポリシーによって適用することができます。NAS サーバーの接続およびリソース使用のモニタリング
Windows 管理ツールを使用して、ユーザー、共有アクセス、NAS サーバー上のファイルの使用を監 視できます。NAS サーバーのユーザーの監視
このトピックでは、NAS サーバに接続しているユーザー数を監視するための手順を示します。手順 1. 監視する NAS サーバーの[コンピューターの管理 MMC を開く(24 ページ)コンピューター の管理]MMC を開きます(手順についてはを参照)。 2. コンソール ツリーで、[共有フォルダ] > [セッション]をクリックします。 現在 NAS サーバーに接続中のユーザーが右側に表示されます。 3. オプション: l NAS サーバーから強制的に切断するには、ユーザー名を右クリックし、次に、ショートカッ ト メニューから[セッションを閉じる]を選択します。 l すべてのユーザーの接続を強制的に切断するには、[セッション]を右クリックして、ショー トカット メニューから[セッションをすべて切断]を選択します。
NAS サーバー上の共有へのアクセスの監視
このトピックでは、NAS サーバ上の共有へのアクセスを監視する手順を示します。 手順 1. NAS サーバーの[コンピューターの管理]MMC を開きます(手順についてはコンピューター の管理 MMC を開く(24 ページ)を参照)。 2. コンソール ツリーで、[共有フォルダ] > [セッション]をクリックします。 現在 NAS サーバーに接続中のユーザーが右側に表示されます。 3. オプションとして、共有からの接続を強制的に切断するには、共有名を右クリックして、ショー トカット メニューから[[共有の停止]]を選択します。NAS サーバーでのファイル使用の監視
このトピックでは、[コンピューターの管理]MMC を使用して、NAS サーバーでファイルの使用状況 を監視するステップを示します。 手順 1. NAS サーバーの[コンピューターの管理]MMC を開きます(手順についてはコンピューター の管理 MMC を開く(24 ページ)を参照)。 2. コンソール ツリーで、次の順にクリックします。[ファイル システム] > [開いているファイル]. 現在使用中のファイルが右側に表示されます。 3. オプションとして、開かれているファイルを閉じるには、ファイルを右クリックして、ショートカット メ ニューから[[開いているファイルを閉じる]]を選択します。 4. 開かれているすべてのファイルを閉じるには、[[開いているファイル]]フォルダを右クリックして、 ショートカット メニューから[[開いているファイルをすべて切断]]を選択します。SMB ユーザーおよびオブジェクトの監査
NAS サーバーを監査するには、MMC スナップインである Unity NAS 管理スナップインを使用しま す。MMC スナップインのインストールについては、SMB のホスト ソフトウェアのインストール(11 ペー ジ)を参照してください。 デフォルトでは、すべての Windows オブジェクト クラスに対する監査は無効にされています。監査を 有効にするには、特定の NAS サーバーでの特定のイベントに対して、監査を明示的に有効化する 必要があります。監査を有効にすると、関連する NAS サーバー上で監査が開始されます。監査ポ リシーの設定については、Unity NAS 管理スナップインのオンライン ヘルプを参照してください。 Windows ツールによる SMB ファイル システム ストレージの管理 NAS サーバー上の共有へのアクセスの監視 31
監査設定の GPO 構成が使用されます。 監査は、表 5 (32 ページ)に示す、特定のオブジェクト クラスおよびイベントに対してのみ有効 です。Unity 上級管理者のみが NAS サーバーでの監査を設定できます。 表 5 オブジェクト クラスの監査 オブジェクト クラス イベント 監査対象 ログオン/ログオフ SMB ユーザーのログイン SMB ゲストのログイン 成功 ドメイン コントローラによってパスワ ード認証エラーが返された ドメイン コントローラによって未処 理エラー コードが返された ドメイン コントローラから応答がな い(リソースが不十分、またはプロ トコルが不適切) 失敗 ファイルとオブジェクトへのアクセス オブジェクトのオープン l ファイルおよびディレクトリへの アクセス(読み取り、書き込 み、削除、実行、権限の設 定、所有権の取得に対して SACL(システム アクセス コン トロール リスト)が設定されて いる場合) l SAM(セキュリティ アクセス マ ネージャ)のローカル グループ の変更 ハンドルのクローズ l ファイルおよびディレクトリへの アクセス(読み取り、書き込 み、削除、実行、権限の設 定、所有権の取得に対して SACL が設定されている場 合) l SAM データベースが閉じられ た オブジェクトのオープンおよび削除 ファイルおよびディレクトリへのアクセ ス(SACL が設定されている場合) オブジェクトの削除 ファイルおよびディレクトリへのアクセ ス(SACL が設定されている場合) 成功 SAM データベースへのアクセス(検 索) 成功および失敗 プロセスの追跡 未対応 該当なし
表 5 オブジェクト クラスの監査 (続き) オブジェクト クラス イベント 監査対象 システムの再起動/シャットダウン 再起動 l SMB サービスの開始 l SMB サービスのシャットダウン l 監査ログの消去 成功 セキュリティ ポリシー セッションの特権 l ユーザー特権の一覧表示 l ユーザーの権利の割り当て l ユーザーの権利の削除 ポリシーの変更 ポリシーのカテゴリ、および関連づ けられた監査状態の一覧表示 成功 ユーザーの権利の使用 未対応 該当なし ユーザーとグループの管理 ローカル グループの作成 ローカル グループの削除 ローカル グループへのメンバーの追 加 ローカル グループからのメンバーの 削除 成功 監査を有効にすると、イベント ビューアでは、表 6 (33 ページ)に示すデフォルト設定によってセ キュリティ ログが作成されます。 表 6 デフォルトのログ設定 ログ タイプ ファイルの最大サイズ Retention セキュリティ 512 KB 10 日 Unity NAS サーバーでは、個別のフォルダーおよびファイルに対する監査がサポートされています。
