Microsoft Azure Pack: Web サイト用の Windows ファイル サーバー クラスターまたは NAS デバイスの事前構成Web Sites のオフライン インストールの準備

  • [アーティクル]

 

更新日: 2015 年 8 月 11 日

適用対象: Azure Pack Windows

ここでは、Windows Azure Pack: Web サイトと共に使用する独自のファイル サーバーまたはファイル サーバー クラスターを構成する方法を示します。

バックグラウンド

インストール時にスタンドアロン Windows ファイル サーバー オプションを選択した場合、ファイル サーバーの準備は必要ではなく、自動的に行われます。 ただし、スタンドアロン オプションは "概念実証" のインストールでは役立ちますが、運用環境では、通常、Windows ファイル サーバー クラスターやサード パーティのネットワーク接続ストレージ (NAS) デバイスなど、より堅牢なソリューションが必要になります。 Windows Azure Pack: Web サイトは、Web サイトごとのファイル共有アクセス許可には依存しないため、NAS デバイスなどの異種ファイル ストレージの実装と共に使用できます。

警告

Windows Azure Pack: Web サイトは、ファイル サーバー リソース マネージャー (FSRM) に依存するため、スケールアウト ファイル サーバーをサポートしていません。

注意

Update Release 6 の時点で、Windows Azure Pack: Websites には、証明書共有および関連付けられているユーザーが不要になりました。 新しいインストールでそれらを指定する必要はありません。 アップグレードされたインストールでは、資格情報と共有は残りますが、使用されません。

5 つの主要な手順

独自の Windows ファイル サーバー、Windows ファイル サーバー クラスター、またはサード パーティの NAS デバイスを事前に構成する場合、次の 5 つの主要な手順が含まれます。 これらの手順の実装は、Active Directory ドメインとワークグループ環境のどちらで作業しているかによって異なります。 ここでは、両方の環境の手順を示しています。

注意

サード パーティの NAS デバイスを構成する手順についてはこのドキュメントでは説明しませんが、一般的に、Windows 以外のファイル クラスターや NAS デバイスで必要な調整を行った上で、ここで示す手順に従う必要があります。

1.グループとアカウントをプロビジョニングする

2.Windows リモート管理 (WinRM) を有効にする

3.コンテンツ共有をプロビジョニングする

4.WinRM を有効にするために、ローカルの Administrators グループに FileShareOwners グループを追加する

5.共有に対するアクセス制御を構成する

   

1.グループとアカウントをプロビジョニングする

Active Directory でグループとアカウントをプロビジョニングする

  1. 次の Active Directory グローバル セキュリティ グループを作成します。

    1. FileShareOwners

    2. FileShareUsers

  2. サービス アカウントとして次の Active Directory アカウントを作成します。 作成するアカウントは次のとおりです。

    1. FileShareOwner

    2. FileShareUser

      注意

      セキュリティのベスト プラクティスとしては、これらのアカウント (およびすべての Web ロール) のユーザーは互いに区別可能で、強力なユーザー名とパスワードを使用する必要があります。 詳細については、「 Windows Azure Pack: Web Sites Security Enhancements」をご覧ください。

    3. FileShareOwner パスワードと FileShareUser パスワードは、次の条件で設定する必要があります。

      • [パスワードを無期限にする] をオンにする

      • [ユーザーはパスワードを変更できない] をオンにする

      • [ユーザーは次回ログオン時にパスワードの変更が必要] をオフにする

  3. 次のように、グループのメンバーシップにアカウントを追加します。

    1. FileShareOwnerFileShareOwners グループに追加する

    2. FileShareUserFileShareUsers グループに追加する

ワークグループでグループとアカウントをプロビジョニングする

ワークグループで net コマンドと WMIC コマンドを実行して、グループとアカウントをプロビジョニングします。

  1. 次のコマンドを実行して、FileShareOwner アカウントと FileShareUser アカウントを作成します。 パスワードを独自の値に置き換えます<。>

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. 次の WMIC コマンドを実行して、先ほど作成したアカウントのパスワードを無期限にすることを設定します。

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. ローカル グループ FileShareUsersFileShareOwners を作成し、最初の手順でアカウントを追加します。

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

2.Windows リモート管理 (WinRM) を有効にする

ファイル サーバー ロールで、またはクラスターを使用している場合は Windows ファイル サーバー クラスターの各ノードで、管理者特権のコマンド プロンプトから次のコマンドを実行して WinRM を構成します。

powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}

netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all

警告

上記のコマンドはバッチ ファイルから実行しないでください。 バッチ ファイルから実行すると、winrm.cmd スクリプトが完了した後にバッチ ファイルの処理が途中で終了します。

必要に応じて、Server Core 以外の Windows でファイル サーバー リソース マネージャー (FSRM) のユーザー インターフェイスを有効にする

Windows Server の Server Coreをインストールしない場合は、必要に応じて、ファイル サーバー リソース マネージャー (FSRM) のユーザー インターフェイスを有効にできます。

注意

FSRM のユーザー インターフェイスは必須ではありません。 Windows の Server Core にインストールすることはできません。

FSRM のユーザー インターフェイスを有効にするには、管理者特権のコマンド プロンプトで次のコマンドを実行します。

%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all

3.コンテンツ共有をプロビジョニングする

コンテンツ共有にはテナント Web サイトのコンテンツが格納されます。

1 つのファイル サーバーでコンテンツ共有をプロビジョニングする手順は、Active Directory とワークグループの両方の環境で同じですが、Active Directory のフェールオーバー クラスターでは異なります。

1 つのファイル サーバー (AD または ワークグループ) でコンテンツ共有をプロビジョニングする

1 つのファイル サーバーで、管理者特権のコマンド プロンプトで次のコマンドを実行します。 C:\WebSites の<値を、>環境内の対応するパスに置き換えます。

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>

md %WEBSITES_FOLDER%

net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

フェールオーバー クラスターでコンテンツ共有をプロビジョニングする (Active Directory)

フェールオーバー クラスターで、次の UNC クラスター化リソースを作成します。

  1. WebSites

4.WinRM を有効にするために、ローカルの Administrators グループに FileShareOwners グループを追加する

Windows リモート管理を正しく機能させるには、ローカルの Administrators グループに FileShareOwners グループを追加する必要があります。

Active Directory

ファイル サーバー、または各ファイル サーバーのフェールオーバー クラスター ノードで、管理者特権のコマンド プロンプトから次のコマンドを実行します。 DOMAIN の値を<、使用するドメイン名に置き換えます。>

set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add

ワークグループ

ファイル サーバーで、管理者特権のコマンド プロンプトから次のコマンドを実行します。

net localgroup Administrators FileShareOwners /add

5.共有に対するアクセス制御を構成する

ファイル サーバー、またはファイル サーバーの現在のクラスター リソース所有者であるフェールオーバー クラスター ノードで、管理者特権のコマンド プロンプトから次のコマンドを実行します。 斜体の値を、使用する環境の固有の値に置き換えます。

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

ワークグループ

set WEBSITES_FOLDER=<C:\WebSites>

icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

参照

Azure Pack: Web サイトWindowsデプロイする