Windows 2000 ベースの機密保護されたファイアウォールの展開とリモート アクセス

  • [アーティクル]

Microsoft でのプロキシサーバーおよび RAS の展開

トピック

エクゼクティブ サマリー エクゼクティブ サマリー
プロキシ サーバーの展開 プロキシ サーバーの展開
リモート アクセス サービス (RAS) の展開 リモート アクセス サービス (RAS) の展開
結論 結論
追加情報 追加情報

エクゼクティブ サマリー

今日の多くの企業にとって、世界経済が生み出した動的な作業環境は、労働力が地理的に分散するという形を取りました。成長する企業の要求を満たすのに対応した展開テクノロジは、意志決定をサポートするために非常に重要です。現場の情報はますます電子的形式で提供されるようになっているので、情報が国内売上高でも、情報がインターネット経由で利用可能になったにしろ、従業員がそれにアクセスできることが極めて重大です。

従業員がいつ、どこでも自由に情報にアクセス、検索でき、アベイラビリティが高くて信頼性のあるインフラストラクチャを展開することは、組織のニーズをきちんと満たすために重要です。

Windows 2000 Advanced Server オペレーティング システムは、従業員の効率を改善するソリューション、たとえばリモート アクセス サービス (RAS) および Proxy Server 2.0 等のソリューションを展開して構成するための、信頼性の高いインフラストラクチャを可能にします。

Windows 2000 Advanced Server に含まれているリモート アクセス サービス (RAS) は、リモート ユーザーが組織にダイアルインし、組織内部のコンピュータ システムおよび情報にアクセスすることを容易にします。Proxy Server 2.0 は、拡張性のあるインターネット ファイアウォールおよび Web キャッシュであり、インターネットへの安全な接続の共有を非常に簡単にします。Proxy Server 2.0 に含まれている Web キャッシュは、http、ftp、および gopher のパフォーマンスを著しく改善します。Web キャッシュはコンテンツへのアクセスを高速化することにより利用者の経験を向上させますが、また Proxy Server 2.0 はアプリケーション層をより詳細に検査できるのでセキュリティが向上します。

Proxy Server 2.0 および Windows 2000 Advances Server ベースの RAS の展開は、社内から、または社外からのリモートアクセスを問わず、機密保護された形で情報にアクセスできるようになり、社員が意思決定に必要な情報を入手できる環境・能力が改善されました。

Microsoft® Proxy Server 2.0 は、全ての組織内のデスクトップとインターネットを安全に接続する方法を提供します。ハイパフォーマンスなファイアーウォールはクライアントとインターネット上のサーバとの直接的な接続を遮断します。クライアントのインターネット アクセス要求は、ユニークな IP プロトコルのポートを使用して送信されます。内部の従業員が容易にインターネットにアクセスすることを可能にしながら、企業内部コンピュータ インフラストラクチャがインターネットに直接さらされることを防ぎます。

Microsoft では、Microsoft を動かす環境を向上させるため、IT グループ (ITG) がたえず内部コンピュータ情報環境を展開して改善させることに努力しています。社員がすばやく行動し、意思決定できるためには、どこからでも情報にすばやくアクセスし、処理できることが重要になります。

従業員の場所がどこであれ意志決定に必要な情報へのアクセスが確実に改善されるよう、ITG は Microsoft 内で Proxy Server 2.0 および RAS サービスを展開しました。RAS サービスと Proxy Server 2.0 は共に、リリース前にベータバージョンが実世界の試験を受けたことを保証するため、Windows 2000 Advanced Server のベータ バージョンが動作しているコンピュータに展開されました。

Microsoft 内の Proxy Server 2.0 は、社内のほとんどどこからでも安全に従業員がインターネットへの接続を共有することを可能にします。CARP を採用した分散キャッシュアレイで構成された 12 台のサーバーが、毎日 4 万人もの社内利用者に役立っています。接続共有テクノロジは、毎時平均して総計 2000 万オブジェクトを安々と処理し、毎時 2,241,524 KB 以上の Web ベースのコンテンツを処理します。

CARP は、プロキシ サーバー アレイがコンテンツの冗長なミラーになることを防ぎます。これによりプロキシ アレイの効率は大いに改善され、すべてのサーバーが単独で論理キャッシュとして動作することを可能にします。CARP はまた、サーバーの追加または削除を自動的に調整します。ハッシュ ベースの経路制御は、サーバーの追加/削除時の URL キャッシュの配置転換の必要が最少になる、ということを意味しています。

リモート アクセス サービス (RAS) は、社員がオフィスの外にいながら会社に安全にダイアルインして、仕事に必要な情報にアクセスすることを可能にします。このテクノロジは、マイクロソフト内の作業環境をダイナミックに向上させます。

本ペーパーは、ITG のインフラストラクチャ エンジニアリング グループおよびネットワーク アクセス サービス グループが、Windows 2000 ベースのプロキシ サーバーおよび RAS サービスの展開を設計した様子を詳しく説明し、展開の結果グループが学んだ事柄を要約します。ITG は、顧客の独自組織内で同様なソリューションの展開の成功を援助したグループの努力を、顧客と共有しています。

ページのトップへ ページのトップへ

プロキシ サーバーの展開

今日のビジネスは電子的な取引と通信を行なうため、ますますインターネットに頼るようになっています。インターネットを知るようになると共に、インターネットを使用してビジネスを改革しています。ネットワーク化された組織は、Web ベースの納品や調達のようなコスト効率がよく能率的で、自動化された操作プロセスを創造しています。インターネットは、多くの組織がより包括的なサービスを顧客に提供しながら、組織が相互に自由に連携することを可能にしています。

インターネットの世界拡散性、アクセシビリティ、および情報の宝庫という性格は、ビジネスや個人、顧客にたくさんのチャンスを提供しています。今日の多くの企業では、従業員は日常業務を遂行するため、インターネットにアクセスする必要があります。これは、従業員が使用する情報がますます電子形式で提供されている Microsoft でも事情は同じです。Microsoft 内で従業員に、デスクトップ コンピュータからインターネットに自由にアクセスさせることは、特に重要ですが、それはインターネットが Microsoft のビジネスにとって非常に戦略的だからです。

Microsoft では情報テクノロジ グループ (ITG) は、会社運営に使用されている内部コンピュータ環境をモニタし、管理する責任があります。ITG はまた、Microsoft 製品をベータ ステージながら試験のため展開する責任があります。Windows 2000 オペレーティング システムがより大きなビジネス価値と向上した信頼性を提供することを確認するため、ITG が本製品のベータ バージョンを会社内に展開して、製品開発グループに実世界のフィードバックを提供することが非常に重要です。

Windows 2000 Advanced Server のベータ展開計画のため、ITG は会社に勤務している従業員の数を知る必要があり、その上会社独自の環境を著しく改善する Windows 2000 で使われている新テクノロジを学ぶ必要がありました。その情報に基いて ITG は、Windows 2000 Advanced Server のたくさんのビジネス指向機能を利用するため、新しいサーバー構成計画を開発しました。

インターオペラビリティ試験の実施は、プロキシ サーバーである Microsoft Proxy Server 2.0 がシームレスに Windows 2000 Advanced Server と相互作用することの確認が、極めて重大でした。

Microsoft Proxy Server は拡張性のある高パフォーマンスのファイアウォールであり、コンテンツ キャッシュ サーバーです。その上インターネット セキュリティを提供し、ネットワーク レスポンス時間および効率を改善します。ITG は Microsoft の機密保護されたインターネット ゲートウェイとして、Microsoft Proxy Server を展開しました。多数の従業員が毎日社内のほとんどどの場所からでもインターネットにアクセスするため、Microsoft Proxy Server を使用します。

以下のページでは、ITG が採用した内部展開へのアプローチを説明します。つまり Proxy Server 2.0 の主要機能、内部展開の目標、展開戦略、その他 ITG が Windows 2000 ベースの Proxy Server 2.0 を Microsoft 内に計画、展開するにあたって考慮した事柄の説明です。

Proxy Server 2.0 の概要

Microsoft の Proxy Server は、ローカルエリア ネットワーク (LAN) とインターネット間で、ファイアウォール クラスのセキュリティを有するゲートウェイとして機能します。Microsoft Proxy Server 2.0 には新機能がいくつか追加され、製品を向上させています。以下の機能があります:

動的パケット フィルタリング - Proxy Server 2.0 に含まれいているこの機能は、IP 層の好ましくないパケットをインテリジェントにフィルタします。Proxy Server 2.0 での動的パケット フィルタリング機能の組み込みは、パケットの受け入れを動的に決定したり、共同ホストサーバーに静的フィルタを提供することにより、セキュリティを著しく向上させます。

マルチレイヤ セキュリティ - Proxy Server 2.0 に含まれているこの機能は、1 つの統合製品で 3 種類のプロキシ サービスをサポートします。Proxy Server 2.0 に含まれている Web Proxy、Winsock Proxy および SOCKS Proxy は共に、マルチレイヤでのセキュリティを提供します。

警告機能およびログ機能 - Proxy Server 2.0 に含まれているこの機能は、プロトコル ヴァイオレーション (Protocol Violation)、欠落パケット、システム イベントに対して、電子メールおよびイベントログによる警告を行います。欠落パケットを記録すると共に、ハードディスクが満杯時にプロキシ サービスを停止できます。

内部ネットワーク アドレスおよびインターネット サーバーの遮蔽 - それぞれのアドレスを外部世界から遮蔽します。Microsoft Proxy Server 2.0 は、内部ネットワークの IP アドレスおよび IPX アドレスを外部世界から遮蔽し、内部コンピュータ環境にアクセスする攻撃を防止します。

Microsoft Proxy Server 2.0 は、Microsoft SQL Server・7.0 等のアプリケーションをインターネットから保護するサーバー プロキシというプロセスを提供します。Proxy Server 2.0 は、プロキシ サーバー コンピュータの背後の機密保護されたネットワークに接続されたコンピュータで動作しているアプリケーションに向けて送信されたパケットを検出します。その後 Proxy Server は、他のサーバーと同様パケットを転送します。

仮想ホスティング ( リバース プロキシ ) - この機能は、Proxy Server 2.0 の背後にある Web サーバーが、セキュリティを維持しながらインターネットに向けてコンテンツを公開することを可能にします。リバース プロキシは、内部ネットワークのセキュリティを低下させることなく、プロキシ サーバーが外部世界に向けて Web サーバーを偽装することを可能にします。

分散階層キャッシュ - 拡張性とパフォーマンスを改善させます。Microsoft Proxy Server 2.0 は、CARP と呼ばれる新標準トラック テクノロジを採用して、分散キャッシュを提供します。CARP により Microsoft Proxy Server 2.0 は、分散 Web キャッシュ パフォーマンスおよび展開の柔軟性を向上させます。

複数のプロキシ サーバー アレイを単一の論理キャッシュとして使用している場合、Microsoft Proxy Server 2.0 は高度の拡張性と高速パフォーマンスを提供します。CARP は、プロキシ アレイを通してあらかじめ決められた「リクエスト解決パス」を提供するハッシュ ベースの経路制御を使用します。CARP は複数のプロキシ サーバーにわたって共有 URL キャッシュを提供しますが、これによりダウンレベルのクライアントは、リクエストしたコンテンツを保持しているサーバーを決定することができます。

CARP があらかじめ決められているリクエスト解決パスを提供するため、従来の ICP ネットワークで見られたプロキシ サーバー間のクエリーのやり取りはありません。そのプロセスは、他のサーバーとのクエリーのやり取りが混雑を生み出すのです。

CARP は、プロキシ サーバーのアレイで起こりがちなコンテンツの重複を排除します。たとえば ICP ネットワークでは、5 台のプロキシ サーバーのアレイは、たちまちリクエストが最も多くあった URL のキャッシュの重複で一杯になります。CARP のハッシュ ベースの経路制御はこの発生を防止し、5 台のプロキシ サーバーが一緒になって 1 つの論理キャッシュになることを可能にします。その結果クエリーへの応答は早くなり、サーバー リソースははるかに効率的に利用されます。

展開目標

従来の Microsoft Proxy Server の展開の分析と調査および、Proxy Server 2.0 に含まれている新機能の学習により、次の展開目標として定式化されました:

  • インターネット利用者に提供されるサービス レベルの改善

  • WAN を通したネットワーク トラフィックの削減

  • 地理的に分散したプロキシ インフラストラクチャの展開

  • 企業への侵入を許さない Windows 2000 Advanced Server ベースのプロキシ サーバーの展開

  • 実世界から製品開発グループへのフィードバックの提供

既存の環境

Microsoft Proxy Server が動作しているコンピュータに Windows 2000 Advanced Server を展開する前に、ITG は既存のインフラストラクチャが改善の必要があるか評価するため、まず既存の展開を検証しなければなりませんでした。

1996 年 ITG はベータ ステージだった Microsoft Proxy Server の初版を展開しました。最初の展開でのメリットは、明白でした。社内の従業員は、社内のほぼ全域からインターネットへのアクセスを共有する単純な手段の追加により、能率を増加させました。

既存 Proxy Server の展開では、ドメイン名システム (DNS) のラウンドロビン方式を利用しました。DNS のラウンドロビン方式は、図 1 で図解されているように、Microsoft Proxy Server を動作させている 10 台のコンピュータにわたってクライアントを負荷分散させるために使用されました。DNS 内で、10 台のプロキシ サーバーとそのレコードを関連させた 1 つの CNAME レコードが作成されました。クライアントはこの DNS CNAME を "指しています"。構成は、DNS がクライアントのプロキシ リクエストを均等に 10 台のプロキシ サーバーに分散させることを可能にしました。これは、既存の展開での拡張性とパフォーマンスを大いに改善しました。

mspras01

図 1: 既存の展開で使用された DNS ラウンドロビン

クライアント コンピュータがインターネット上のコンテンツをリクエストすると、Microsoft Proxy Server はローカル キャッシュからコンテンツを入手するか、あるいはインターネット上に新しいコンテンツをリクエストして答えます。インターネット上のコンピュータ リソースがリクエストしたコンテンツを提供すると、Microsoft Proxy Server はコンテンツをリクエストしたクライアントに転送します。

図 2 は、Microsoft 内部のコンピュータとインターネット上のコンピュータの間のデータの流れを図解します。図 2 で corpnet は、Microsoft 内部のコンピュータ情報環境を表わします。

mspras02

図 2: 既存の構成

ITG が最初に Microsoft Proxy Servers を展開したとき、Ireland の Dublin、および Washington 州 Redmond にあるデータ センターにサーバーを配置しました。プロキシ サーバーがネットワーク バンド幅が制限された遠隔地に展開された場合もあります。

構成検査の一部として、ITG は利用者の経験をよく理解するため、社内の多数の場所で分析を行ないました。ITG は、プロキシ サーバーの場所を物理的に従業員により近い場所に変更して WAN を行き来するネットワーク トラフィックを最小化することにより、パフォーマンスが著しく改善できると結論しました。

既存のプロキシ インフラストラクチャでは、Microsoft の従業員は全世界に分散しているにもかかわらず、大多数の従業員はたった 2 つの場所のうちの片方のプロキシ サーバーにアクセスしなければなりませんでした。プロキシ サーバーの既存の展開は ITG がサーバーを物理的に集中管理することを可能にしましたが、従業員に最大のサービスを提供しませんでした。というのはサーバーの配置の結果として、ネットワーク接続性が遅かったからです。

既存の展開は、内部利用者が長距離の内部ネットワークを行き来して、プロキシ サーバーを使用したインターネット アクセスを行なう必要がありました。WAN を行き来してインターネット アクセスを獲得することは、WAN の利用と費用の増大をもたらしました。

Proxy Server の既存の展開以来、ITG 内のネットワーク エンジニアはネットワークの再設計を完了しましたが、それにはインターネットへの物理的接続をサポートする社内の場所の追加が含まれていました。ネットワークの再設計により ITG は、インターネットアクセスの可能な場所を増加させました。

こうした分析に基づいて、Proxy Server 2.0 の展開のため ITG は、分散 Proxy Server の配置設計を策定しましたが、それではプロキシ サーバーを社内の戦略的インターネット アクセス ポイントに配置することが必要になりました。インターネット アクセス ポイントについては、ネットワーク ハブおよびネットワーク バンド幅が考慮されました。

Proxy Server 2.0 の展開

Microsoft 内での Windows 2000 Advanced Server ベースの Proxy Server の展開は、サーバーのサイジングとサーバーの配置を決定し、IIS サーバーをインストールして Proxy Server のキャッシングを構成し、セキュリティ設定を構成することも必要になりました。

展開作業の大部分はサーバーの配置ですが、Proxy Server 2.0 のインストールと構成ははるかに容易でした。Proxy Server 2.0 のインストールは単に、Proxy Server 2.0 に含まれている直感的に分かりやすいウィザードを実行することで、ウィザードはインストールおよび構成のプロセスを自動化します。

Proxy Server 2.0 のサイジング
ITG は Proxy Server の展開方法として、ラージ、ミディアム、スモールの標準を開発しました。従業員数が少ない会社の場合、スモール構成を採用します。これと対照的に従業員数が多い会社領域では、ラージ構成で展開します。いろいろなサイズの標準があるので契約した標準を展開することでよく、ITG はサポートを単純化できます。その時同時にスモール、ミディアム、ラージの内部利用者数をサポートするためサーバーの規模を適正化します。表 1 では ITG が展開したハードウェア標準を示します。

1 : スモール、ミディアム、ラージのプロキシ サーバーのハードウェア標準

クライアント数

説明

スモール :
0 - 1,499

Compaq ProLiant 1850R, 6/550, 512K Cache, 128MB RAM (3U)

1

Compaq ProLiant 800/1600/1850/3000 6/550 MHz Processor Option Kit

1

Compaq 128MB SDRAM Option Kit (1850R/3000R)

1

Compaq Smart Array 4200 Controller, PCI, 64MB Cache

1

Compaq 18.2 GB Pluggable Wide-Ultra2 SCSI 10,000RPM Hard Drive, 1.0'' (LVD)

2

Compaq NC3120 10/100 TX PCI Intel UTP 100Base-T, Full Duplex

2

Compaq KVM Cable, 12' Length

1

ミディアム :
1,500 - 4,999

Compaq ProLiant 1850R, 6/550, 512K Cache, 128MB RAM (3U)

1

Compaq ProLiant 800/1600/1850/3000 6/550 MHz Processor Option Kit

1

Compaq 128MB SDRAM Option Kit (1850R/3000R)

2

Compaq Smart Array 4200 Controller, PCI, 64MB Cache

1

Compaq 9.1 GB Pluggable Wide-Ultra2 SCSI 10,000RPM Hard Drive, 1.0'' (LVD)

2

Compaq 18.2 GB Pluggable Wide-Ultra2 SCSI 10,000RPM Hard Drive, 1.0'' (LVD)

2

Compaq NC3120 10/100 TX PCI Intel UTP 100Base-T, Full Duplex

2

Compaq KVM Cable, 12' Length

1

ラージ :
5,000 - 40,000

Compaq ProLiant 5500R PIII-Xeon 550/512 Cache, 256MB RAM, 10 HDD (int. WU-2) (7U)

1

Compaq ProLiant 5500 PIII XEON 550MHz/512K Processor Option Kit

3

Compaq 256MB Memory Kit for 5500X/6400R (4 x 64MB buffered EDO DIMMs, 50ns)

1

Compaq Smart Array 4200 Controller, PCI, 64MB Cache

1

Compaq 9.1 GB Pluggable Wide-Ultra2 SCSI 10,000RPM Hard Drive, 1.0'' (LVD)

7

Compaq NC3120 10/100 TX PCI Intel UTP 100Base-T, Full Duplex

2

Compaq KVM Cable, 12' Length

1

Proxy Server 2.0 の配置
Microsoft にとってのインターネットは非常に戦略的なもので、従業員がいつ、会社のどこからでもインターネットへの共通アクセスポイントを共有できるように、アベイラビリティがあって拡張性もあり、信頼性のあるファイアウォールを展開することが重要でした。ITG はプロキシ サーバーの配置を、Windows NT® Server 4.0 オペレーティング システムを動作させているコンピュータを単に Windows 2000 Advanced Server にアップグレードするのではなく、旧来の展開が最高のパフォーマンスをもたらすか検討しました。研究により、内部利用者が物理ネットワーク トポロジを利用して会社内でプロキシ サーバーを再配置することだけでも、インターネットへのアクセスの高速化による恩恵を受けることが分かりました。プロキシ サーバーの既存の展開では、保守が簡単なように ITG はサーバーの過半数を 2 つの場所に配置したのでした。

新デザインでは、ITG は WAN でのネットワーク トラフィックを減少させ、内部利用者へのサービスを高速化するようにサーバーを配置しました。プロキシ サーバーの展開後、インターネット アクセスポイントを展開しました。インターネット アクセスポイントは、ネットワーク ハブを格納している場所に置きました。場所の選択は、ハブの近隣のクライアント数および、ハブに依存しているリーフ サイトの数に基いて行なわれました。

図 3 は、ヨーロッパでのプロキシ サーバー配置に使用された、配置設計ダイアグラムを単純化したものを図解します。他の多くの地域でも、同様の設計が開発されました。

mspras03

図 3: ヨーロッパでの改善されたプロキシ サーバーの配置

Internet Information Server 5.0 のインストール
Proxy Server 2.0 を展開すると、Windows 2000 Server の組み込み Web サーバーである Internet Information Services 5.0 を展開し、インストールし、構成する必要がありました。ITG の展開標準では、Internet Information Server 5.0 はつぎように構成することを求めています :

  • Internet Information Server 5.0 のインストール

  • 匿名アクセスを可能にする

  • 基本認証を不可にする

  • 統合 Windows NT 認証を不可にする

  • FrontPage® の拡張機能の削除

Proxy Server 2.0 キャッシングの構成
Web キャッシングは、Web コンテンツをローカルなプロキシ サーバーに保存するプロセスです。URL リクエストはプロキシ サーバーが直接対応してくれるので、これはインターネットへのネットワーク トラフィックを減少させます。URL をインターネットから取り出す必要がないので、URL はより早くクライアントのデスクトップに配送されます。さらにキャッシュされたコンテンツは、リモート セグメントでの混雑のためインターネットの一時停止およびサービスの喪失をおぎなうので、Web キャッシングはある程度ネットワークの信頼性を高めます。ITG の展開標準では、Proxy Server 2.0 のキャッシュ構成をつぎのように設定することを求めています :

  • キャッシングを可能にする - オン

  • キャッシュの有効期限ポリシー - 同一重要度

  • アクティブ キャッシング - オフ

  • 使用するキャッシュ サイズおよび URL キャッシュ - 利用可能ディスク空間の 80%

セキュリティ設定の構成
Microsoft Proxy Server 2.0 は着信および発信のパケット フィルタリングをサポートします。他のパケット フィルタリング ファイアウォールと違い、Proxy Server は、機密保護されたネットワークおよびアプリケーション層のプロキシ サービスを通過させるパケットをインテリジェントかつ動的に決定します。

Proxy Server のパケット フィルタリング は、ネットワーク ルータに適用されるパケット フィルタに加え、セキュリティの二次的な対策です。外部ネットワーク インターフェースでパケット フィルタリングのレベルを定義することにより、すべての着信ネットワーク パケットがチェックされます。パケット フィルタリングの構成変更は、全着信インターネット トラフィックに影響します。

ITG の展開では、Proxy Server 2.0 のセキュリティをつぎのように設定するよう求めています :

  • 外部インターフェースでのパケット フィルタリング - オン

  • Microsoft Proxy Server の動的パケット フィルタリング - オン

  • IP フラグメントのフィルタリング - オフ

Microsoft Proxy Server 2.0 は、情報をログファイルに記録するか ODBC を使用して情報をデータベースに保存することにより、着信および発信トラフィックを記録します。それでネットワーク管理者は、プロキシ サーバーを通過するネットワークトラフィックの完全なプロファイルを入手します。

ITG は Proxy Server 2.0 の動作するサーバーのログ機能を、以下の設定で構成します :

  • 新しいログファイルの自動オープン - 毎日

  • 以下の設定で古いログファイルを保存する :

    (全ディスク空間 / 1 日の平均ログサイズ) - 3 日でログファイルを保存

  • ディスク満杯時のサービス停止 - オフ

  • インターネットに面したネットワーク インターフェース カードでの NetBIOS をオフにする

  • WinSock Proxy のためにユーザー認証を必要とする

  • 不要なトラフィックをブロックするため、プロキシとインターネット間でルータ フィルタを適用する

学んだ教訓

Windows 2000 Advanced Server および Proxy Server 2.0 の展開の結果、ITG はたくさんの有益な教訓を学びました。以下に、有意義な教訓をいくつか示します :

サーバーを設置する場所に配慮することが非常に重要 - 最初に Microsoft Proxy Server 1.0 が展開されたとき、Proxy Server の管理が簡単なように ITG は会社最大のデータセンターの領域にサーバーを配置しました。サーバーの配置を検査した後、ITG はネットワークの設計方法に従ってサーバーを配置すると内部ネットワーク トラフィックの減少のため、インターネットアクセスが高速化すると結論しました。

Proxy Server 2.0 は、直接インターネットに接続しても十分安全 - 構成は、他のファイアウォールを展開する必要がなく、高度に機密保護された展開であると実証されています。内部利用者は、社外の人々が内部リソースにアクセスできるなどと考える必要なく、簡単にインターネットにアクセスできます。

クライアント構成は、 Proxy Server のパフォーマンスに影響 - Microsoft には、広範囲な企業イントラネットがあります。従業員は、イントラネット ベースのリソースを使用して重役や人的リソース、会社の他の領域の最新情報を入手しています。従業員は、Windows 2000 Professional に含まれている Microsoft Internet Explorer 5.0 を使用して、意志決定に必要な情報を検索し、獲得し、閲覧します。大多数のクライアントでは、ローカル アドレスへのアクセスにプロキシサーバを経由しないよう構成すると、インターネットへのアクセスがより早くなることに気づきました。この構成により、Proxy Server は、インターネットへのアクセスが必要でない限り、Internet Explorer 5.0 を動作させているクライアントからのネットワーク トラフィックを処理する必要がありません。

Microsoft 内で社内イントラネットの Web サイトをアクセスするには、Microsoft Windows NT の資格証明が必要です。このポリシーにより企業セキュリティは大いに増大しますが、内部利用者が Proxy Server 経由でイントラネットにアクセスすることも防止します。このため Microsoft 内では Internet Explorer 5.0 は、ローカルアドレスにはプロキシ サーバーを使用しないように構成しなければなりません。

ページのトップへ ページのトップへ

リモート アクセス サービス (RAS) の展開

Microsoft では、リモートから Microsoft の内部情報環境にアクセスするのに、従業員の過半数が リモート アクセス サービス (RAS) を利用します。RAS は Windows 2000 Advanced Server に含まれています。RAS を使用すると従業員は、家やホテルにいたり、あるいはほぼどこにいてもダイアルインして電子メールを読んだり、プロジェクトの状態をチェックすることができます。

Microsoft の情報テクノロジ グループ (ITG) が統一的 RAS 構成を開発することが重要ですが、その構成は、多様な社員の厳しいビジネス ニーズを満たすと評価されなければなりません。ITG は、Windows 2000 Advanced Server ネットワーク オペレーティング システムを動作させている 3Com Edge Server のハードウェア上で、RAS 展開を標準化しました。

Windows 2000 Advanced Server のリモート アクセス サービス (RAS) は、以前のバージョンより信頼性を増加させ、パフォーマンスを高速化し、拡張性を向上させ、管理可能性を改善させました。Microsoft で Windows 2000 Advanced Server ベースの RAS を展開することのメリットは、ほとんど直接明白です。たとえば Windows 2000 Advanced Server に含まれているターミナル サービスは、統一された組み込みリモート コントロール機能を提供しますが、これは ITG が Washington 州 Redmond にある企業司令部から RAS サーバーをリモートに構成することを可能にします。ターミナル サービスは、ネットワーク アクセス サービスのエキスパートの同じメンバーが、展開された場所と無関係に Microsoft のすべての RAS ソリューションをリモートから構成することを容易にします。エキスパート グループによるリモート RAS 構成が可能になると、信頼性があって適切に構成された統一した環境を展開することが可能となります。

以下のページでは、ITG が Windows 2000 ベースの RAS を Microsoft で展開した様子を説明し、その過程で学んだ教訓のいくつかを公表します。

既存の環境

既存の RAS 展開の特徴は、非集中的ネットワーク上にたくさんの構成があり、RAS は主として Windows NT Server 4.0 オペレーティング システムが動作しているコンピュータで展開されているということです。構成がたくさんあるため、RAS は別の領域に配置された別のスタッフによりサポートされる必要がありました。トラブルを解決するため、サーバーに物理的にアクセスすることもしばしばでした。

標準が確立されていないため、既存の RAS 展開のトラブルシューティングは困難で時間のかかるものになりました。その困難は、会社内で多種多様なモデムが配置されていたことによるものでした。ハードウェアが多様なため、問題解決にあたってスタッフは、使用されているハードウェアを特定する必要がありました。会社内のことなった領域でのトラブル解決は、別の技術、別のマニュアル、手動でのトラブル修復が必要になりました。

展開目標

既存の RAS 展開および Windows 2000 Advanced Server の新機能を検査した後で、ITG は新テクノロジを展開するにあたって以下の目標を設定しました :

  • 単一の拡張性のあるリモート アクセス構成の標準化

  • ヘルプディスクへのサポート要請数の減少

  • 内部ネットワークを統合するコンポーネントになるような RAS の構成

  • 地理的境界を越えた内部利用者の RAS 経験の統一

  • 評価および要件予測の提供

  • 実運用から製品開発グループへのフィードバックの提供

Windows 2000 ベースの RAS 展開

Windows 2000 Advanced Server に含まれているリモート アクセスの展開は、ITG が既存環境を徹底的に再調査することを必要としました。この再調査は、RAS サーバーの社内での適切な配置に必要であり、RAS の最新バージョンを展開する戦略を定式化するのに必要でした。

Windows 2000 Advanced Server ベースの RAS の展開は、ITG がターミナル サービスやリモート アクセスの構成、モニタと管理戦略の定式化、および使い勝手評価に詳しくなる必要がありました。

ターミナル サービス
Windows 2000 のターミナル サービスは、Windows 2000 ベースのサーバー上で、ほとんどあらゆるタイプのネットワーク接続を通していろいろなデバイスから、管理者がリモートからアプリケーションを実行できるようにします。Windows 2000 のターミナル サービスは、ITG に RAS サーバーを効率的にリモート管理する機能を提供しました。この機能により ITG は、柔軟にこれまで以上にサーバーを管理することができました。

Windows 2000 ターミナル サービスのコア サーバー オペレーティング システムへの統合により、管理者は最新の Windows ベースのアプリケーションをサーバー中心的なモードで展開することを選択できます。この場合アプリケーションは、まったくサーバー上で動作します。Windows 2000 Server でターミナル サービスが可能になると、管理者は Windows ベースの 32 ビット アプリケーションを各デスクトップ コンピュータ上にインストールする必要はなくなります。その代わり、アプリケーションをサーバーにインストールすると、クライアントは自動的にターミナル サービスのクライアント ソフトウェアを通して最新のソフトウェア パッケージにアクセスできます。

Windows 2000 Server オペレーティング システムのターミナル サービスは、Windows 2000 Professional デスクトップおよび最新の Windows ベースのアプリケーションを、通常なら Windows を動作させることのできないハードウェアを含めて、様々なデスクトップに配送します。ターミナル エミュレーションにより、ターミナル サービスは同じアプリケーション セットを多様なタイプのデスクトップ ハードウェア上で実行することを可能にします。ターミナル サービスのアーキテクチャは、サーバーとフルスケールのパーソナル コンピュータに基く従来の 2、3 層のクライアント-サーバー アーキテクチャを、大きく拡張します。

ITG は、RAS サーバーをリモートから制御するため、Windows 2000 ベースの RAS の内部展開でターミナル サービスを利用しました。ターミナル サービスを利用すると、ITG は、システム コンソールから作業しているように、RAS を構成できます。ITG が各構成を行なったときには、ターミナル サービスはグラフィカル画面更新を、Windows 2000 Professional ベースのワークステーション上で動作しているターミナル サービス クライアントに送信します。

Windows 2000 Advanced Server 上のサーバーと Windows 2000 Professional ベースのクライアントの間で送信されるのはグラフィカル画面更新だけですから、ITG は管理作業を素早く安全に遂行できます。ターミナル サービスは、RAS インフラストラクチャ上でリモート管理を著しく改善させることが分かりました。ターミナル サービスにより ITG は、地理的に分散した環境を、企業司令部から一律に構成することができました。

リモート アクセス構成
ITG は、会社内で内部ネットワーク トポロジとデータ センター配置に基いて、地理的に分散したリモート アクセス インフラストラクチャを展開しました。会社内のそれぞれの領域は、標準ハードウェア/ソフトウェア構成に基いて、RAS 展開を受け入れました。Microsoft の司令部で作業しているネットワーク アクセス サービスのスタッフは、標準を開発しました。

ITG は、3Com および NCR と共同で 3Com エッジ サーバーの構成および展開を実施しました。3Com のスタッフはまず自社内にハードウェアを展開し、その後ハードウェアを会社司令部の ITG に引き渡して、ターミナル サービスを使用して RAS の構成を仕上げました。

ハードウェア コンポーネント
以下のリストは、Microsoft 内部で RAS の展開に使用されたハードウェア コンポーネントです。

  • 2 電源方式の Total Control シャーシ - 130A

  • Network Monitoring Card - 10/100Base-T Ethernet

  • EdgeServer Pro, 256MB RAM, 2x2GB HD

  • Dual 10/100Base-T NIC for EdgeServer Pro

  • 24-Port / T1 Hiper DSP Card Set

  • 30-Port/E1 HiPer DSP Card Set

  • Quad Analog/Digital Modem Set (fax 付き)

  • TC Chassis, 1 NMC, 1 ES Pro 128M, 1 NIC, 2 Quad modem

  • Xyplex RJ45-RJ45 Console Cable (ESPRO, HyperDSP, NMC)

  • Digiboard RJ45-RJ45 Console Cable (ESPRO, HyperDSP

  • オスのループバック コネクタ

  • メスのループバック コネクタ

ITG が選択した経路制御方法は、PRI のラウンドロビン経路制御を利用します。構成は、全 PRI 上の全チャンネルに適用されました。図 3 は、Windows 2000 Advanced Server をベースにした RAS の内部展開に使用された物理アーキテクチャを図解したものです。Microsoft 内の各サイトでは、同様の展開が行なわれました。この図は典型的な展開例です。これは ITG の Washington 州 Redmond でのリモート アクセス展開の中の典型的な例です。

mspras04

図 4: Windows 2000 をベースにした RAS 展開の物理アーキテクチャ

モニタおよび管理戦略
環境をモニタして管理する手段の展開は、操作コストを減少させ、そのテクノロジを信頼している人々の満足度を増大させます。モニタにより ITG は問題をキャッチして対応するのを容易にし、問題が大きくなるのを防止します。

ITG の Windows 2000 ベースの RAS の展開計画の目標は、以下の通りです :

  • ヘルプデスクへのサポート要請数を減少させる

  • 評価および予測を提供する

こうした目標は、予測と評価のために Internet Authentication Services と SQL Server 7.0 を展開し、モニタ ツールとして HP Open View を展開することで達成されました。

Internet Authentication Service
Internet Authentication Service (IAS) は、Windows 2000 のネットワーク機能を拡張する統合機能です。IAS は、セッション コントロールおよびアカウンティング プラグインを実装したり、カスタム認証を追加したり、カスタム ネットワーク認証方法を利用するために使われます。IAS は、RADIUS プロトコルをクライアントおよびサーバーとしてサポートしています。

ITG は、ダイレクト ダイアル RAS を使用する従業員の情報を報告する目的で獲得するために、RADIUS (図 3 参照) を利用します。RADIUS を使用すると、コール時間やユーザー名等の統計情報が、各コールした人ごとに得られます。ITG はこの情報を評価、予測、容量計画に利用する予定です。

SQL Server 7.0
ITG は、内部利用者のコール習慣の情報をファイルして保存するデータ倉庫として SQL Server 7.0 を利用します。従業員が RAS 経由で Microsoft にダイアルインすると、RADIUS サーバーはコールした人の情報を、Windows 2000 Advanced Server および SQL Server 7.0 が動作しているサーバーに送信します。コールした人の情報はいつでも問い合わせたり、表示させたり、レポートを作成したりできます。

ITG が SQL Server 7.0 を展開したのは、RAS インフラストラクチャの拡張ニーズを評価し、予測するため、コールした人の情報の RADIUS 情報を記録するためでした。SQL Server 7.0 ベースのデータベースにファイルし、保存された情報は、必要なら RAS インフラストラクチャをモニタ、保守、管理する費用を、リモート アクセスを使用している社内部門に請求するのに利用できます。

HP Open View
展開された 3Com Edge Server はそれぞれ、独自の "sysoid" を持っています。sysoid とはハードウェアの ID 番号です。ITG は、sysoid、SNMP プロトコル、および HP Open View を使用して 3Com Edge Server ハードウェアをモニタしています。

Windows 2000 ベースの RAS により、ITG は展開されたサーバを別のネットワーク デバイスと見なすことができました。RAS サーバーをネットワーク デバイスの 1 つと見ることは、既存の RAS 展開に対するメリットです。たとえばなんらかの理由で RAS サーバーがシャットダウンした場合、Windows 2000 Advanced Server は HP Open View に、SNMP トラップを関連 sysoid と一緒に送信します。すると HP Open View は RAS サーバーがネットワークから切り離されたことをグラフィカルに表示し、ITG スタッフに故障を警告します。

ユーザビリティ評価
ユーザビリティ評価は、どのソフトウェアの展開にとっても非常に重要です。ITG によるインフラストラクチャの管理と保守は簡単でなければなりませんが、同時に利用者が RAS を使いやすいと認める必要があります。

Microsoft 内部の利用者の大多数は、RAS 経由で会社にダイアルインするのに、Windows 2000 Professional および Microsoft Connection Manager を使用しています。両製品の機能アップのため、両製品は著しく内部利用者の満足を改善することが分かりました。

Windows 2000 Professional
Windows 2000 Professional には、リモート アクセスを大いに単純化する拡張機能が含まれています。Windows 2000 Professional オペレーティング システムを動作させているコンピュータにログオンする場合、利用者はダイアルアップ接続を使用してログオンする組織を指定することができます。

従来の Windows NT Server 4.0 を使用して RAS セッションを確立する場合、RAS セッションを開始する前に、利用者はキャッシュされた情報を使ってローカルにログオンする必要があります。他方 Windows 2000 Professional を使用した場合は、利用者はログオン時に表示されたチェック ボックスを選択することにより、簡単に RAS セッションを開始することができます。

ログオン時のダイアルアップ接続開始機能は、Microsoft 内で RAS を使った経験を大いに改善しました。

Microsoft 接続 Manager
Microsoft 接続 Manager は Windows 2000 Professional に含まれているユーティリティです。リモートから組織にダイアルインするのに必要な電話帳リストを用意するように構成されています。接続 Manager は、RAS セッションの確立時に、Microsoft の内部利用者にグラフィカル ユーザー インターフェースを提供します。しばしば旅行する従業員は、リモート アクセス ニーズに最も役立つ電話番号を簡単に選択できます。

接続 Manager は、バックエンドに保存された展開したデータベースと同期するので、リモート利用者は一貫した最新の電話番号を入手できます。ITG は、Microsoft の内部 RAS 環境専用の電話番号を加えるよう、接続 Manager の展開をカスタマイズしました。

図 5 は、Microsoft 接続 Manager に含まれている直感的なインターフェースを図解しています。

mspras05

図 5: 接続 Manager の電話帳

学んだ教訓

Windows 2000 Advanced Server ベースの RAS の展開により、ITG は著しく Microsoft の内部コンピュータ環境を改善できました。以下に、Microsoft 内で RAS を内部展開して得られた重要な教訓を示します。

Windows 2000 ベースの RAS は、 DHCP クライアントのサポートを改善する - Windows 2000 Advanced Server ベースの RAS により、ITG は RAS 経由でダイアルインする Windows 2000 Professional ベースのクライアントにリースする DHCP アドレス範囲を指定することができます。この拡張機能は会社内のリモート クライアントに必要な TCP/IP アドレス範囲の管理を容易する、ということが分かりました。

制御された方法での注意深い計画と展開が成功をもたらす - ITG は、 Windows 2000 Advanced Server ベースの RAS の展開の最初に、多様な内部利用者の小グループに展開評価に参加することを提案しました。このアプローチにより ITG は、幅広く展開しなくても従業員からフィードバックを受けることができました。早いうちにフィードバックを受けることは、構成が企業を破壊しないで内部の多様な利用者に役立つことを確認するのに、非常に重要です。

ハードウェア プラットフォームの統一は、トラブルシューティングを単純化する - ITG は、Windows 2000 Advanced Server ベースの RAS の展開に使用したハードウェア プラットフォームを標準化したので、トラブルシュートしたり保守する環境はより単純です。すべての地域にわたって同じハードウェアを展開することにより、ITG は同様の構成を使用して Windows 2000 Advanced Server ベースの RAS をその地域に展開することができました。環境の統一により、内部利用者のパフォーマンスは向上し、ITG へのサポート要請は減少しました。

RAS は他のネットワーク デバイスと全く同様にモニタする - Windows 2000 Advanced Server ベースの RAS の展開により、ITG はリモート アクセスをモニタする方法を再検査する必要ができました。ITG は既存の RAS 展開を、Windows NT Server 4.0 に含まれている Performance Monitor および Rasadmin を使用してモニタしました。3Com Edge Serves 上で動作する Windows 2000 Advanced Server により、ITG は、HP Open View ベースのモニタリング ステーションにリモート アクセス サーバーを追加したことで、モニタを単純化することができました。ITG は、同様の技術を利用してネットワーク ルータおよび RAS サーバーを簡単にモニタすることができました。

ターミナル サーバーは、リモート アクセス サービスの構成を容易にする - Windows 2000 Advanced Server に含まれている Terminal Server は、ITG がリモートからリモート アクセス サービスを開始するようコンピュータを構成することを容易にしました。ターミナル サーバーを利用すると、ITG は RAS が動作しているコンピュータを、システム コンソールの前にいるように構成することができます。ターミナル サーバーは、WAN を通して技術者が簡単に構成することを可能にして、様々な地理上に配置されたサーバーのリモート管理を、著しく改善することが分かりました。

ページのトップへ ページのトップへ

結論

スタッフは、地理的に多様な情報に影響を受ける必要はありません。従業員が物理的に会社ビル内部にいてもリモートな場所にいても、現代テクノロジは情報へのアクセスが機密保護されていることを保証します。

Windows 2000 Advanced Server に含まれているリモート アクセス サービスは、Microsoft の従業員が安全に、従来は会社ビル内でだけ利用可能だった情報にアクセスすることを可能にします。Microsoft Proxy Server 2.0 は、従業員がインターネット上の情報に安全にアクセスすることを容易にします。

ITG は、Windows 2000 Advanced Server ベースで PPTP 経由の仮想プライベート ネットワーク (VPN) のような追加リモート アクセス サービスを、会社内に展開することにより内部コンピュータ環境を向上させ続けます。仮想プライベート ネットワークは、インターネットへの既存のリモート アクセス接続を利用することにより、従業員が安全に内部企業リソースにアクセスすることを可能にします。

Windows 2000 ベースの Proxy Server およびリモート アクセス サービスの展開は、ITG に Microsoft の内部コンピュータ環境を改善するチャンスを与えましたが、このソリューションがよりすぐれた品質とより大きな信頼性を与えることに役立ちました。

これから数ヶ月間に ITG は顧客と他の展開計画を共有するので、組織内での Windows 2000 Advanced Server および Windows 2000 ベースの他のソリューションの展開方法も向上しているでしょう。

ページのトップへ ページのトップへ

追加情報

Microsoft Windows 2000 Advanced Server および Windows 2000 Professional についての最新情報は、https://www.microsoft.com/japan/windows/ を参照してください。

その他のマイクロソフト社内での導入事例は、https://www.microsoft.com/japan/technet/itsolutions/msit/default.mspx を参照してください。

Microsoft Proxy Server についての最新情報は、https://www.microsoft.com/japan/proxy/ を参照してください。

この文書に記載された情報は、発行日の時点での Microsoft Corporation の見解を述べたものです。市場ニーズの変化に応じて仕様等は随時変更されるものであり、発行日以降については、この文書に記載された情報の正確さは保証いたしません。

本書は、情報の提供だけを目的とするものです。Microsoft はこの文書により、明示的、黙示的を問わず、いかなる保証をするものでもありません。

©2000 Microsoft Corporation. All rights reserved.

Microsoft、FrontPage、Windows、および Windows NT は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。

本書に記載されている社名および製品名は各社の商標です。

ここに記述された例の会社、組織、製品、人およびイベントは架空のものです。実在する会社、組織、製品、人およびイベントと何の関係もありません。

ページのトップへ ページのトップへ