Storage zones controller

システム要件

重要:

Microsoft は、2023 年 10 月 10 日をもって Windows Server 2012R2 のサポートを終了します。サポート終了日までにサーバーを新しいバージョンに移行することが重要です。

Storage Zone Controller

  • 2 つの CPU と 4 GB RAM を備えた専用の物理マシンまたは仮想マシン
  • Windows サーバー 2012 R2 (データセンター、スタンダード、またはエッセンシャル)
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

標準ストレージゾーンの場合:

  • パブリックに解決可能なインターネットホスト名を使用します (IP アドレスではありません)。
  • ShareFile との通信で SSL を有効にします。
    • Storage Zones ControllerのSSL証明書は、ユーザーデバイスとShareFile Webサーバーから信頼されている必要があります。IIS で SSL を直接使用する場合は、SSL http://support.microsoft.com/kb/298805 の設定に関する情報を参照してください。
  • ファイアウォール経由でポート 443 でインバウンド TCP リクエストを許可します。
  • ファイアウォールを介したポート443のShareFile コントロールプレーンへのアウトバウンドTCPリクエストを許可します。

ShareFile Data用のストレージ・ゾーンにのみ使用されるサーバのヘルスチェックの場合:

  • ローカルホストでポート 80 を開きます。

高可用性実稼働環境の場合:

  • Storage Zones Controllerがインストールされたサーバが 2 台以上必要です。

  • DMZ プロキシサーバーを使用していない場合は、IIS サービスに SSL 証明書をインストールします。

    サポートされている証明書について詳しくは、上記の標準ゾーンの証明書の要件を参照してください。

DMZ プロキシ配置の場合:

  • NetScaler ADC VPXインスタンスなど、1つ以上のDMZプロキシサーバー。

  • クライアント接続を終了し、HTTP を使用する DMZ プロキシサーバの場合は、プロキシサーバに SSL 証明書をインストールします。

    DMZ プロキシサーバとStorage Zones Controller間の通信が安全であれば、HTTP を使用できます。ただし、ベストプラクティスとして HTTPS を使用することをお勧めします。HTTPS を使用する場合、DMZ プロキシによって信頼されていれば、Storage Zones Controllerのプライベート (エンタープライズ) 証明書を使用できます。DMZ プロキシによって公開される外部アドレスは、商業的に信頼できる証明書を使用する必要があります。サポートされている証明書について詳しくは、上記の標準ゾーンの証明書の要件を参照してください。

そのほかの要件

注:

ShareFileはDFSレプリケーションの使用を公式にはサポートしておらず、推奨していません。これは、大きなファイルのロックエラーを引き起こすことが知られています。DFSレプリケーションを使用する必要がある場合は、ゾーンがアクティブに使用されていないオフピーク時に別のバックアップ・ソリューションを使用してください。

  • Storage Zones Controllerのインストーラーには管理者権限が必要です。
  • Storage Zones Controllerをリモート管理するには、RDP や Citrix ICA などのリモートプロトコルを使用してサーバーに接続し、Storage Zones Controllerコンソールを開きます。

サポート対象のサードパーティ製ストレージシステム

  • Amazon Simple Storage Service (Amazon S3)
  • Microsoft Azure

サポートされている情報漏えい対策ソリューション

  • Storage Zones Controllerは、以下を含むあらゆるICAP準拠のDLPソリューションと統合できます。
    • Symantec Data Loss Prevention
    • マカフィー DLP プリベント
    • Websense TRITON AP-DATA
    • RSA 情報漏えい防止

ShareFile データのストレージゾーン

ShareFile Data のストレージゾーンは、Storage Zones Controllerで有効にするオプション機能です。

要件:

  • ストレージゾーン機能を有効にしたShareFile Enterprise アカウント
  • ゾーンを作成および管理するためのアクセス許可を含む ShareFile ユーザーアカウント
  • プライベートデータストレージ用の CIFS 共有

サポートされているサードパーティのストレージシステムにShareFile 保存する場合、CIFS共有は一時ファイル(暗号化キー、キューに入れられたファイル)および一時ストレージキャッシュとして使用されます。

注:FTP クライアントから ShareFile アカウントへのアクセスは、ShareFile データのストレージゾーンと互換性がありません。

SharePoint 用のストレージゾーンコネクタ

SharePoint のストレージゾーンコネクタは、Storage Zones Controllerで有効にするオプション機能です。

要件:

  • ストレージゾーン機能を有効にしたShareFile Enterprise アカウント、またはCitrix Endpoint Management を使用します。
  • Microsoft SharePoint Server 2010 以降のみがサポートされています
  • Storage Zones Controllerサーバーは、SharePoint サーバーと同じフォレスト内のドメインメンバーである必要があります。
  • Web サーバー (IIS) の役割と ASP.NET 4.x。詳細については、「 ShareFile データ用にサーバーを準備する」を参照してください。
  • SharePoint ポリシー:
    • SharePoint 2013 の Web アプリケーションの既定のアップロードファイルの最大サイズは 250 MB で、SharePoint 2010 では 50 MB です。既定の設定を変更するには:SharePoint サーバーの全体管理で、[Web アプリケーションの全般設定] ページに移動し、[最大アップロードサイズ] を変更します。SharePoint のアップロードファイルサイズの制限は 2 GB です。
    • ShareFile クライアントは、常にファイルのメジャーバージョン (公開) をチェックイン (発行) しようとします。ただし、SharePoint ポリシーは、ファイルをメジャーバージョンとマイナーバージョンのどちらとしてチェックインするかを決定します。
    • SharePoint 表示専用アクセス許可では、ユーザーがファイルをダウンロードすることはできません。ShareFile クライアントからファイルを読み込むには、SharePoint ユーザーが読み取りアクセス許可を持っている必要があります。
  • ユーザーデバイス:ストレージゾーンコネクタのユーザーデバイスサポートに関する最新情報については、 ShareFile ナレッジベースを参照してください

SharePoint 認証用のストレージゾーンコネクタ

ユーザーを認証すると、Storage Zones Controllerサーバーは、認証されたユーザーに代わって SharePoint サーバーに接続し、SharePoint サーバーから提示された認証チャレンジに応答します。SharePoint 用のストレージゾーンコネクタは、SharePoint サーバー上で次の認証方法をサポートしています。

  • 基本

    <add key="CacheCredentials" value="1" \> に追加する必要があります C:\inetpub\wwwroot\Citrix\StorageCenter\sp\AppSettingsRelease.config.

  • ネゴシエート (Kerberos)

  • Windowsチャレンジ/レスポンス (NTLM)

ShareFile モバイルクライアントは、HTTPS 経由の基本認証を使用してStorage Zones Controllerまたは DMZ プロキシを認証します。SharePoint へのシングルサインオンは、SharePoint サーバーで設定された認証要件によって制御されます。SharePoint サーバーで Kerberos または NTLM 認証を使用するには、 Storage Zones Controllerの委任を信頼するようにドメインコントローラーを構成します

SharePoint サーバーが Kerberos 認証用に構成されている場合:SharePoint サーバーアプリケーションプールの名前付きユーザーサービスアカウントのサービスプリンシパル名 (SPN) を構成します。詳細については、の「Web パーツの委任に対する信頼の設定」を参照してください。 http://support.microsoft.com/kb/832769

NetScaler ADC を使用する展開環境では、NetScaler ADC で基本認証を終了してから、Storage Zones Controllerに対して他の種類の認証を実行できます。

ネットワークファイル共有用のストレージゾーンコネクタ

ネットワークファイル共有用のストレージゾーンコネクタは、Storage Zones Controllerで有効にするオプション機能です。

要件:

  • ShareFile Enterprise アカウントまたはCitrix Endpoint Management アカウント。
  • ストレージゾーンコネクタサーバーは、ネットワークファイルサーバーと同じフォレスト内のドメインメンバーである必要があります。
  • Web サーバー (IIS) の役割と ASP.NET 4.x。詳細については、「 ShareFile データ用にサーバーを準備する」を参照してください。
  • ユーザーデバイス:ストレージゾーンコネクタのユーザーデバイスサポートに関する最新情報については、 ShareFile ナレッジベースを参照してください

ネットワークファイル共有認証用コネクタ

ユーザーを認証すると、Storage Zones Controllerサーバーは、認証されたユーザーに代わってネットワークファイルサーバーに接続し、ファイルサーバーから提示された認証チャレンジに応答します。ネットワークファイル共有のストレージゾーンコネクタは、ファイルサーバー上で次の認証方法をサポートします。

  • ネゴシエート (Kerberos)
  • Windowsチャレンジ/レスポンス (NTLM)

Storage Zones Controllerで Kerberos または NTLM 認証を使用するには: Storage Zones Controllerの委任を信頼するようにドメインコントローラーを構成します

NetScaler ADCを使用した展開の場合:NetScaler ADCが基本認証用に構成されているときにユーザーにシングルサインオンエクスペリエンスを提供するには、ネゴシエート(Kerberos)認証とNTLM認証の両方に対してコネクタを構成します。

PowerShell スクリプトとコマンド

Storage Zones Controllerのインストールには、にいくつかの PowerShell スクリプトとコマンドが含まれています。 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\

  • スクリプトは、32ビット(x86)バージョンのPowerShellで実行します。

  • 最良の結果を得るには、 Windows Management Frameworkに含まれている PowerShell 4.0 以降にアップグレードしてください。

    PowerShell 2.0 は、.NET Framework 4 との互換性の問題により、重大な問題を引き起こします。

システム要件