ストレージゾーンコントローラをインストールし、ストレージゾーンを作成する
重要:
インストールを開始する前に、 環境がシステム要件を満たしていることを確認してください 。
ShareFile ストレージゾーンコントローラーは、アプリケーション固有のパスワードを使用します。詳しくは、「 アプリケーション固有のパスワードの作成」を参照してください。
ストレージゾーンコントローラーをインストールするときは、ゾーンを作成してプライマリストレージゾーンコントローラーを構成するか、 セカンダリストレージゾーンコントローラーをゾーンに追加します。
プライマリストレージゾーンController の設定時に、次の機能のいずれかまたは両方を有効にできます:
- ShareFile Data のストレージゾーン。プライベートデータストレージ (プライベートネットワーク共有またはサポートされているサードパーティストレージシステムのいずれか) を指定します。
- ストレージゾーンコネクタ:SharePoint サイトまたは指定されたネットワークファイル共有上のドキュメントへのアクセスをユーザーに許可します。
次の手順では、ストレージゾーンコントローラのインストール、IIS の既定の Web サイトの認証の構成、ゾーンの作成、および機能を有効にする方法について説明します。
-
Storage Zone Controllerソフトウェアをダウンロードしてインストールします:
- のShareFileダウンロードページからログオンし https://dl.sharefile.com/storagezone-controller、最新のストレージゾーンコントローラーインストーラーをダウンロードします。
注:
ストレージゾーンコントローラをインストールすると、サーバ上の Default Web サイトがコントローラのインストールパスに変更されます。
匿名認証は 、既定の Web サイトで有効にする必要があります。
-
ストレージゾーンコントローラをインストールするサーバで、StorageCenter.msi を実行します。
-
ShareFile Storage Zone Controller セットアップウィザードが起動します。
-
マルチテナントの場合は、次のコマンドを実行します。 msiexec/i StorageCenter_5.0.1.msi マルチテナント=1
注:
上記のコマンドでは、インストールしようとしている msi の番号と一致するようにバージョン番号(この例では 5.0.1)を更新する必要がある場合があります。
- プロンプトに応答します。インストールが完了したら、「 ストレージゾーンコントローラーの構成ページを起動する 」のチェックボックスをオフにし、「 完了」をクリックします。
-
-
ストレージゾーンコントローラーを再起動します。
-
インストールが成功したかどうかをテストするには、に移動します
http://localhost/。インストールが成功している場合、ShareFileのロゴが表示されます。 -
ShareFileのロゴが表示されない場合は、ブラウザーのキャッシュを削除してもう一度アクセスしてください。
重要:
Storage Zone Controllerを複製する予定がある場合は、Storage Zone Controllerの構成に進む前にディスクイメージをキャプチャします。
-
ShareFile で S3 互換のストレージプロバイダーを使用するには、ストレージゾーンを作成または構成する前に、次の手順を実行します。
-
Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenter レジストリキーを見つけてください。
-
このキーの下に新しい REG_SZ 値を作成します。
- 値の名前: S3EndpointAddress
- 値の種類: REG_SZ
- 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
-
ストレージプロバイダーがパス形式のコンテナーアクセスのみをサポートしている場合 (http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照 )、このキーの下に別の値を作成します。
- 値の名前:S3ForcePathStyle
- 値の種類: REG_SZ
- 値データ: 真
-
Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。
-
S3 互換ストレージシステムから次の情報を収集します:
- ShareFile データアクセスキー ID に使用する S3 バケットの名前
- アクセスキー ID
- シークレットアクセスキー
-
-
次の手順に進み、新しいストレージゾーンを作成します。永続的なストレージの場所として Amazon S3 を選択します。ストレージゾーンコントローラーは、実際の Amazon S3 サービスの代わりに、入力したカスタムエンドポイントアドレスを使用します。S3 の詳細を設定するときは、前に作成したバケット名を選択します。
-
ストレージゾーンのコントローラーコンソールに移動します。
-
http://localhost/configservice/login.aspxスタート画面またはメニューから設定ツールを開くか起動します。Windows 8 でのスタート画面ショートカットの使用方法については、「 ストレージゾーンコントローラーの管理」を参照してください。 -
Storage Zones Controller Logonページで、 アカウントのメールアドレス、パスワード、およびフルアカウントURLのFQDNサブドメイン(
subdomain.sharefile.comまたはsubdomain.sharefile.euなど)を入力します。[ログオン] をクリックします。 -
プライマリストレージゾーンコントローラーを設定するには、[ Create new Zone ] をクリックし、ゾーン情報を入力します:
オプション 説明 ゾーン ShareFile管理コンソールに表示される名前。 プライマリゾーンコントローラー デフォルトは http://localhost/ConfigServiceです。SSL を使用する場合は、HTTP を https に変更します。ShareFile は、標準ゾーンに対して有効な信頼されたパブリック SSL 証明書のみをサポートしていることに注意してください。セカンダリストレージゾーンホストの設定に問題がある場合は、そのサーバーのローカルブラウザで ConfigService URL を SSL エラーなしで解決できることを確認してください。localhost はサーバーの IP アドレスに解決します。代わりにサーバー名 (などhttps://servername.subdomain.com/ConfigService) を指定できます。サーバー名は、セカンダリストレージゾーンのController サーバーで解決できる必要があります。ホスト名 ストレージゾーンコントローラーの一意の識別子。ShareFileでは、識別子としてサーバーのホスト名を使用することをお勧めします。これは、FQDN ではなく、フレンドリ名である必要があります。この名前は、ShareFile管理コンソールに表示されます。 外部住所 このストレージゾーンコントローラーのFQDN。このストレージゾーンコントローラーを標準ゾーンに使用する場合、URL はインターネットからアクセスできる必要があります。ロードバランサーを使用している場合は、そのアドレスを入力します。ページを送信すると、ShareFile によって住所が検証されます。 -
プライベートデータストレージを指定するには、次の手順を実行します。
-
[ ShareFile データのストレージゾーンを有効にする] チェックボックスをオンにします。
-
標準ゾーンを構成するには、このチェックボックスをオフにします。
注:
ストレージゾーンControllerを構成した後は、そのゾーンタイプを変更することはできません。
ストレージゾーンコントローラーは、サービスアカウントの認証情報を使用して信頼できる Active Directory ドメインサーバーに接続し、電子メールアドレスを検索します。
- ストレージリポジトリを選択します。
-
-
ストレージゾーンコネクタを有効にしたくない場合は、[ 登録 ] をクリックしてストレージゾーンControllerをShareFileに登録し、手順14に進みます。
-
S3 互換のストレージを使用している場合は、ストレージゾーンの登録後に次の追加のレジストリエントリを作成します:
-
Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfigレジストリキーを探します。 -
このキーの下に新しい REG_SZ 値を作成します。
- 値の名前: S3EndpointAddress
- 値の種類: REG_SZ
- 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
-
ストレージプロバイダーがパス形式のコンテナーアクセスのみをサポートしている場合 (http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照 )、このキーの下に別の値を作成します。
- 値の名前:S3ForcePathStyle
- 値の種類: REG_SZ
- 値データ: 真
-
Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。
-
-
ストレージゾーンコネクタを有効にするには:
コネクタを有効にすると、IIS アプリ「cifs」(ネットワークファイル共有用のコネクタ) と「sp」(SharePoint 用のコネクタ) が作成されます。
-
使用するコネクタの種類ごとに、[ネットワークファイル共有の記憶域ゾーンコネクタを有効にする] と [SharePoint の記憶域ゾーンコネクタを有効にする] チェックボックスをオンにします。コネクタ設定の詳細については、このセクションの「 ストレージゾーンコネクタの構成」を参照してください。
-
[登録] をクリックします。ストレージゾーンのコントローラー情報が表示されます。
-
ストレージゾーンコネクタに [ 許可パス] または [拒否されたパス ] を指定した場合は、IIS サーバーを再起動します。
-
-
セカンダリストレージゾーンコントローラーを設定するには、「 ストレージゾーンコントローラーの管理」を参照してください。
重要:
Storage Zones Controller がローカルサイトにインストールされており、バックアップはユーザーが担当します。デプロイメントを保護するには、ストレージゾーンコントローラーサーバーのスナップショットを作成し、 ストレージゾーンコントローラー構成をバックアップして、 障害復旧に備えてストレージゾーンコントローラーを準備する必要があります。
ShareFile データのストレージゾーンの構成
注:
ShareFileデータのストレージゾーンは、Citrix Endpoint Management エンタープライズエディションで使用でき、他のCitrix Endpoint Management エディションでは使用できません。
ShareFile Data用のストレージゾーンは、ストレージゾーンを作成するときのストレージゾーンコントローラーウィザードまたはストレージゾーンコントローラーコンソールから構成できます。ShareFile Data タブを使用して、プライベートネットワーク共有またはサポートされているサードパーティストレージシステムの設定を構成します。
ネットワーク共有設定
| オプション | 説明 |
|---|---|
| ストレージリポジトリ | [ローカルネットワーク共有] を選択します。ゾーンの作成後、[ ストレージリポジトリ ] オプションを変更することはできません。たとえば、ローカルネットワーク共有からサードパーティのストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| ネットワーク共有場所 | プライベートデータストレージ、および暗号化キー、キューに格納されたファイル、およびその他の一時アイテムなどのデータに使用するネットワーク共有への UNC パス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラーは、同じファイル共有をストレージに使用する必要があります。注意:ストレージゾーンコントローラーは、このパスのデータを独自のストレージ形式で上書きします。ファイルデータのある場所へのパスを指定しないでください。この保存場所は、ShareFile Data専用のストレージゾーン用に予約してください。ストレージゾーンコントローラーは、構成ページに記載されているネットワーク共有ユーザー名/パスワードを使用してネットワーク共有にアクセスします。構成ページにネットワーク共有のユーザー名/パスワードが指定されていない場合は、ネットワークサービスアカウントがデフォルトで使用されます。ネットワークサービスアカウントには、 この格納場所へのフルアクセス権が必要です 。ストレージゾーンコントローラーは、StorageCenterAppPoolのネットワークサービスアカウントもデフォルトで使用します。サポートされている構成は、ネットワークサービスアカウントを使用することだけであることに注意することが重要です。 |
| ネットワーク共有のユーザー名とネットワーク共有パスワード | ネットワーク共有の場所の UNC パスの資格情報。ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して共有にアクセスするには、これらの資格情報を指定します。ネットワークサービスアカウントを使用して、IIS アプリケーションプールと ShareFile サービスを引き続き実行できます。 |
| 暗号化を有効にする | ファイル共有に格納されているファイルコンテンツを暗号化する場合にのみ、このチェックボックスをオンにします。ネットワーク共有がネットワーク内部にあり、サードパーティ製のツールによって既にセキュリティで保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この設定はメタデータに関連しません。標準ゾーンのメタデータは暗号化されません。この追加のセキュリティは、必要に応じて最大限のセキュリティを確保するためのオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツール (データ重複除外ツールなど) などのサードパーティツールではディスクが読み取れなくなります。ShareFile は、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。 |
| パスフレーズ | ファイル暗号化キーを保護するために使用されるフレーズ。パスフレーズは 6 文字以上である必要があります。パスフレーズと暗号化キーは、安全な場所にアーカイブしてください。ゾーン内の各ストレージゾーンコントローラー に同じパスフレーズを使用する必要があります。パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は復元できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、ストレージゾーンに追加のストレージゾーンコントローラーをストレージゾーンに追加したり、サーバーに障害が発生した場合にストレージゾーンを回復したりすることはできません。注:暗号化キーは、共有ストレージパスのルートに表示されます。暗号化キーファイル SCKeys.txt が失われると、すべてのストレージゾーンファイルへのアクセスが直ちに切断されます。通常のデータセンター手順の一部として、暗号化キーファイルを必ずバックアップしてください。 |
共有キャッシュの構成設定
| オプション | 説明 |
|---|---|
| 共有キャッシュの場所 | ストレージキャッシュと、暗号化キー、キューに格納されたファイル、その他の一時アイテムなどのデータを格納するネットワーク共有へのパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラーは、同じファイル共有をストレージに使用する必要があります。注意:ストレージゾーンコントローラーは、このパスのデータを独自のストレージ形式で上書きします。ファイルデータのある場所へのパスを指定しないでください。このストレージ場所は、ShareFile データ専用のストレージゾーン用に予約します。ネットワークサービスアカウント (または ShareFile Management サービスを実行するように構成されているアカウント) には、この保存場所へのフルアクセス権が必要です。 |
| 共有キャッシュログオンと共有キャッシュパスワード | 共有キャッシュの場所の UNC パスの資格情報。 |
| 暗号化を有効にする | 共有キャッシュに格納されているファイルを暗号化するには、このチェックボックスをオンにします。 |
Windows Azure ストレージコンテナの設定
| オプション | 説明 |
|---|---|
| ストレージリポジトリ | Azure ストレージコンテナを選択します。ゾーンの作成後、[ ストレージリポジトリ ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Azure ベースのストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| アカウント名 | Azure ストレージアカウントの名前。これらの名前は、常に小文字です。 |
| アクセスキー | Azure ストレージのプライマリアクセスキーまたはセカンダリアクセスキー。Windows Azure 管理ポータルの [アクセスキーの管理] 画面からキーをコピーします。 |
| 検証 | Azure アクセスキーを検証するには、ボタンをクリックします。検証が完了し、[Container Name] メニューに指定されたアカウントで使用可能なすべてのコンテナが表示されるまで、構成を続行することはできません。 |
| コンテナ名 | このストレージゾーンのすべてのストレージゾーンコントローラーに使用する Azure コンテナーを選択します。Azure アクセスキーが検証されるまで、この一覧は空です。 |
Amazon S3 ストレージバケットの設定
| オプション | 説明 |
|---|---|
| ストレージリポジトリ | Amazon S3 ストレージバケットを選択します。ゾーンの作成後、[ ストレージリポジトリ ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| アクセスキー ID | Amazon S3 ストレージのアクセスキー ID。 |
| シークレットアクセスキー | Amazon S3 ストレージのシークレットアクセスキー。 |
| 検証 | ボタンをクリックして、Amazon S3 シークレットアクセスキーを検証します。検証が完了し、[Bucket Name] メニューに指定されたアカウントで使用可能なすべてのバケットが表示されるまで、設定を続行することはできません。 |
| バケット名 | このストレージゾーンのすべてのストレージゾーンコントローラーに使用する Amazon S3 バケットを選択します。Amazon S3 シークレットアクセスキーが検証されるまで、このリストは空です。 |
SMTP設定
| オプション | 説明 |
|---|---|
| SMTPサーバのアドレスとSMTPポート番号 | ローカル SMTP サーバのホスト名とポート。 |
| SSL を使用する | 安全な接続で SMTP サーバーに接続するには、このチェックボックスをオンにします。 |
| ユーザー名とパスワード | ローカル SMTP サーバのユーザ名とパスワード。 |
| 認証モード | デフォルト認証モードでは、ストレージゾーンコントローラからSMTPサーバへの接続に使用できる最も安全な方法が使用されます。 |
| 送信者アドレス | 差出人フィールドに表示される電子メールアドレス。 |
グーグルクラウドプラットフォーム
Google Cloud Platform > [設定] > [相互運用性] から、アクセスキーとシークレットを生成します。
ストレージゾーンの構成を実行する前に、S3EndpointAddressレジストリ値をhttps://storage.googleapis.comに設定し、IISを再起動します。
オプション 1
説明
ストレージリポジトリ
Amazon S3 ストレージバケットを選択します。ゾーンの作成後、[ ストレージリポジトリ ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。
アクセスキー ID
Google Cloud Platform ストレージからのアクセスキー ID。
シークレットアクセスキー
Google Cloud Platform ストレージからの秘密。
検証
ボタンをクリックして Google Cloud Platform シークレットアクセスキーを確認します。検証が完了し、 指定したアカウントで使用可能なすべてのバケットが [Bucket Name ] リストに表示されるまで、設定を続行することはできません。
バケット名
このストレージゾーンのすべてのストレージゾーンControllerに使用する正しいバケットを選択してください。Google Cloud Platform シークレットアクセスキーが検証されるまで、このリストは空になります。
ストレージゾーンコネクタの構成
ストレージゾーンコネクタにより、ユーザーは SharePoint サイトまたは指定されたネットワークファイル共有上のドキュメントにアクセスできます。ストレージゾーンコネクタを使用するために、ShareFile Data のストレージゾーンを有効にする必要はありません。
注:
ShareFile Data のストレージゾーンおよびストレージゾーンコネクタ機能は、ゾーンを共有できます。ただし、ストレージゾーン Controller は 2 つのデータタイプのデータとアクセスルールを別々に保持します。
ストレージゾーンコネクタは、ストレージゾーンコントローラーウィザードまたはストレージゾーンコントローラーコンソールを使用してゾーンを作成するときに構成できます。
特定のネットワークファイル共有または SharePoint ドキュメントライブラリへのアクセスを制御するには、[許可されたパス] または [拒否されたパス] の一覧を指定します。変更を保存したら、IIS サーバーを再起動します。
ストレージゾーンコネクタへのインバウンド接続は、最初に許可されたパスと照合されます。接続が許可されている場合、パスは拒否されたパスに対してチェックされます。たとえば、\\myserver\teamshareとそのすべてのサブフォルダにアクセスできるようにするには、許可パスを\\myserver\teamshareに指定します。
-
デフォルトでは、すべての接続が許可され、[許可されたパス] の値で示されます。この値は拒否されたパスには無効です。
-
許可されたパスと拒否されたパスが互いに競合する場合は、最も制限の厳しいパスが適用されます。
-
エントリはカンマで区切ります。
-
ネットワークファイル共有へのコネクタで、許可される UNC パスを指定します。
FQDN の例:
\\fileserver.acme.com\sharedUNC パスでは、次の変数を使用できます。
-
%UserName%
ユーザーのホームディレクトリにリダイレクトします。パスの例:
\\myserver\homedirs\%UserName% -
%HomeDrive%
Active Directory プロパティの [ホームディレクトリ] で定義されているユーザーのホームフォルダーパスにリダイレクトします。パスの例:
%HomeDrive% -
%TSHomeDrive%
Active Directory プロパティms-TS-Home-Directoryで定義されているように、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバーまたはCitrix XenAppサーバーからWindowsにログオンするときに使用されます。パスの例:%TSHomeDrive%
Active Directory ユーザーとコンピュータスナップインでは、ユーザーオブジェクトの編集時に [リモートデスクトップサービスプロファイル] タブで MS-TS-Home-Directory 値にアクセスできます。
-
%UserDomain%
認証されたユーザーの NetBIOS ドメイン名にリダイレクトします。たとえば、認証されたユーザーのログオン名が「abc\ johnd」の場合、変数は「abc」に置き換えられます。パスの例:
\\myserver%UserDomain%_%UserName%
変数は大文字と小文字を区別しません。
-
-
ルートレベルの SharePoint サイトへのコネクタの場合、ルートレベルのパスを指定します。
例:
https://sharepoint.company.com -
SharePoint サイトコレクションへのコネクタの場合:
例:
https://sharepoint.company.com/site/SiteCollection -
SharePoint 2010 ドキュメントライブラリへのコネクタの場合は、URL を指定します (file.aspx や /Forms など)。
例:
https://mycompany.com/sharepoint/https://mycompany.com/sharepoint/sales-team/Shared Documents/https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx
デフォルトの SharePoint 2013 URL (最小ダウンロード戦略が有効になっている場合) の形式は次のとおりです:
https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/。
サーバーヘッダーを削除するためのセキュリティ推奨
デフォルトでは、IIS/ASP.NETは、HTTP応答でサーバーヘッダーを公開します。このヘッダーは攻撃者に役立つ可能性があります。ヘッダーは、送信サーバーの種類と、場合によってはバージョン番号を表示します。このヘッダーは、実稼働サイトでは不要で、無効にすることができます。
残念ながら、ストレージゾーンのController インストーラーはこのヘッダーを自動的に削除できません。ただし、ストレージゾーンコントローラーのドキュメント/インストールガイドでは、このヘッダーを削除するようお客様に推奨できます。
ドキュメントに記載すべき具体的な手順については、次の記事を参照してください。 https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/