ストレージゾーンController をインストールし、ストレージゾーンを作成する

重要:

インストールを開始する前に、環境がシステム要件を満たしていることを確認してください。

ストレージゾーンController ーをインストールするときは、ゾーンを作成し、プライマリストレージゾーンコントローラーまたは セカンダリストレージゾーンコントローラをゾーンに結合するを設定します。

プライマリストレージゾーンController 設定時に、次の機能のいずれかまたは両方を有効にできます。

  • ShareFile Data用のストレージ・ゾーン。プライベート・データ・ストレージ(プライベート・ネットワーク共有、またはサポートされているサード・パーティ・ストレージ・システム)を指定します。
  • ストレージゾーンコネクタ。SharePoint サイトまたは指定したネットワークファイル共有上のドキュメントへのアクセスをユーザーに許可します。

次の手順では、記憶域ゾーン Controller インストールし、IIS の既定の Web サイトの認証を構成し、ゾーンを作成し、機能を有効にする方法について説明します。

  1. ストレージゾーンController ソフトウェアをダウンロードしてインストールします。

    注:

    ストレージゾーン Controller インストールすると、サーバーの既定の Web サイトがコントローラーのインストールパスに変更されます。

    匿名認証 は、デフォルトの Web サイトで有効にする必要があります。

  2. ストレージゾーン Controller をインストールするサーバで、StorageCenter.msi を実行します。

    • ShareFileストレージ・ゾーン・Controller・セットアップ・ウィザードが起動します。

    • マルチテナントの場合は、次のコマンドを実行します。 msiexec /i ストレージセンター_5.0.1.msi マルチテナント = 1

    注:

    上記のコマンドでは、インストールしようとしている msi の番号と一致するようにバージョン番号 (この例では 5.0.1) を更新する必要があります。

    • プロンプトに応答します。インストールが完了したら、[ ストレージゾーン Controller を起動する] [構成ページ ] のチェックボックスをオフにし、[ 完了 ] をクリックします。
  3. ストレージゾーンController を再起動します。

  4. インストールが正常に完了したことをテストするには、http://localhost/に移動します。インストールに成功すると、ShareFileロゴが表示されます。

  5. ShareFileロゴが表示されない場合は、ブラウザのキャッシュをクリアして、もう一度試してください。

    重要:

    ストレージゾーンコントローラーのクローンを作成する場合は、ストレージゾーンController 構成に進む前にディスクイメージをキャプチャします。

  6. ShareFileでS3互換のストレージプロバイダを使用するには、ストレージゾーンを作成または構成する前に、次の手順を実行します。

    • Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenterレジストリキーを見つけます。

    • このキーの下に新しい REG_SZ 値を作成します。

      • 値の名前: S3EndpointAddress
      • 値のタイプ: REG_SZ
      • 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
    • ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。

      • 値の名前: S3ForcePathStyle
      • 値のタイプ: REG_SZ
      • 値データ:
    • ストレージゾーン Controller アプリケーションプール(StorageCenterAppPool)を再起動します。

    • S3互換ストレージ・システムから次の情報を収集します。

      • ShareFile データアクセスキー ID に使用する S3 バケットの名前
      • アクセスキー ID
      • シークレットアクセスキー
  7. 次の手順を続行して、新しいストレージゾーンを作成します。永続的なストレージの場所として Amazon S3 を選択します。ストレージゾーンController は、実際の Amazon S3 サービスの代わりに、入力したカスタムエンドポイントアドレスを使用します。S3 の詳細を設定するときは、前に作成したバケット名を選択します。

  8. ストレージゾーンのController コンソールに移動します。

  9. http://localhost/configservice/login.aspxを開くかスタート画面またはメニューから設定ツールを起動します。Windows 8 で [スタート] 画面のショートカットを使用する方法については、「ストレージゾーンコントローラを管理する」を参照してください。

  10. ストレージゾーン Controller の [ログオン ] ページで、アカウントの 電子メールアドレスパスワードフルアカウント URL FQDN サブドメイン (subdomain.sharefile.com またはsubdomain.sharefile.eu など) を入力します。で指定します。[ ログオン]をクリックします。

  11. プライマリストレージゾーンController ーを設定するには、[ Create new Zone ] をクリックし、ゾーン情報を指定します。

    オプション 説明
    ゾーン ShareFile管理者コンソールに表示される名前。
    プライマリゾーン Controller デフォルトはhttp://localhost/ConfigServiceです。SSL を使用する場合は、HTTP を https に変更します。ShareFileは、標準ゾーンに対して有効な信頼できるパブリックSSL証明書のみをサポートすることに注意してください。セカンダリ・ストレージ・ゾーン・ホストの構成に問題がある場合は、そのサーバのローカル・ブラウザで ConfigService URL を解決でき、SSLエラーは発生しません。localhostはサーバのIPアドレスに解決されます。代わりに、サーバ名(https://servername.subdomain.com/ConfigServiceなど)を指定できます。サーバー名は、セカンダリストレージゾーン Controller サーバーによって解決可能である必要があります。
    ホスト名 ストレージゾーンController の一意の識別子。ShareFileでは、識別子としてサーバーのホスト名を使用することをお勧めします。これは、FQDN ではなく、フレンドリ名である必要があります。この名前は、ShareFile管理者コンソールに表示されます。
    外部アドレス このストレージゾーン Controller の FQDN。このストレージゾーンController を標準ゾーンに使用する場合、URL はインターネットからアクセスできる必要があります。ロードバランサーを使用している場合は、そのアドレスを入力します。ページを送信すると、ShareFileはアドレスを検証します。
  12. プライベートデータストレージを指定するには、次の手順を実行します。

    • ShareFileデータのストレージゾーンを有効にする]チェックボックスをオンにします。

    • 標準ゾーンを構成するには、チェックボックスをオフにします。

    注:

    ストレージゾーン Controller を構成した後は、そのゾーンタイプを変更できません。

    記憶域ゾーン Controller は、サービスアカウントの資格情報を使用して、信頼できる Active Directory ドメインサーバーに接続し、電子メールアドレスを検索します。

    • ストレージ・リポジトリを選択します。
  13. ストレージゾーンコネクタを有効にしない場合は、[ 登録 ] をクリックしてストレージゾーン Controller を ShareFile に登録し、手順 14 に進みます。

  14. S3 互換の記憶域を使用している場合は、記憶域ゾーンの登録後に次の追加のレジストリエントリを作成します。

    • Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfigレジストリキーを見つけます。

    • このキーの下に新しい REG_SZ 値を作成します。

      • 値の名前: S3EndpointAddress
      • 値のタイプ: REG_SZ
      • 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
    • ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。

      • 値の名前: S3ForcePathStyle
      • 値のタイプ: REG_SZ
      • 値データ:
    • ストレージゾーン Controller アプリケーションプール(StorageCenterAppPool)を再起動します。

  15. ストレージ・ゾーン・コネクタを有効にするには、次の手順に従います。

    コネクタを有効にすると、IIS アプリケーション「cifs」(ネットワークファイル共有用のコネクタ) と「sp」(SharePoint 用のコネクタ) が作成されます。

    • 使用するコネクタの種類ごとに、[ネットワークファイル共有のストレージゾーンコネクタを有効にする] および [SharePoint のストレージゾーンコネクタを有効にする] チェックボックスをオンにします。コネクタの設定については、このセクションのストレージゾーンコネクタの構成を参照してください。

    • [ 登録] をクリックします。ストレージゾーンController 情報が表示されます。

    • ストレージゾーンコネクタ に [許可されたパス] または [拒否されたパス ] を指定した場合は、IIS サーバーを再起動します。

  16. セカンダリ・ストレージ・ゾーン・コントローラを構成するには、ストレージゾーンコントローラを管理するを参照してください。

重要:

ストレージゾーン Controller がローカルサイトにインストールされ、バックアップはユーザーが担当します。展開を完全に保護するには、ストレージゾーンController サーバーのスナップショットを作成し、構成をバックアップし、ストレージゾーンController 構成のバックアップおよびディザスタリカバリ用のストレージゾーンController を準備するをバックアップする必要があります。

ShareFileデータのストレージ・ゾーンを構成する

注:

ShareFileデータのストレージゾーンは、Citrix Endpoint Management エンタープライズエディションで使用でき、他のCitrix Endpoint Management エディションでは使用できません。

ShareFile Data用のストレージゾーンは、ストレージゾーンの作成時にストレージゾーンController ウィザードから構成するか、ストレージゾーンコントローラコンソールから構成できます。[ShareFile Data]タブを使用して、プライベート・ネットワーク共有またはサポートされているサード・パーティ製ストレージ・システムの設定を構成します。

ネットワーク共有の設定

オプション 説明
ストレージリポジトリ [ローカルネットワーク共有] を選択します。ゾーンを作成した後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有からサードパーティの記憶域に切り替えるには、新しいゾーンを作成する必要があります。
ネットワーク共有の場所 プライベートデータの保存や、暗号化キー、キューに入れられたファイル、その他の一時アイテムなどのデータに使用するネットワーク共有への UNC パス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラは、ストレージに同じファイル共有を使用する必要があります。注意:ストレージゾーンController は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータがある場所へのパスを指定しないでください。このストレージ場所をShareFile Data専用ストレージゾーン用に予約します。ストレージゾーンコントローラは、設定ページで提供されるネットワーク共有ユーザー名/パスワードを使用してネットワーク共有にアクセスします。設定ページでネットワーク共有のユーザー名/パスワードが指定されていない場合は、デフォルトでネットワークサービスアカウントが使用されます。ネットワークサービスアカウントは、このストレージの場所へのフルアクセス権を持っている必要があります。ストレージ・ゾーン・Controller は、StorageCenterAppPoolのネットワーク・サービス・アカウントもデフォルトで使用されます。サポートされている構成は、Network Service アカウントを使用することだけです。
ネットワーク共有のユーザー名およびネットワーク共有パスワード ネットワーク共有の場所の UNC パスの資格情報。ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して共有にアクセスするには、これらの資格情報を指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールおよびCitrix ShareFileサービスを引き続き実行できます。
暗号化を有効にする ファイル共有に保存されているファイルコンテンツを暗号化する場合のみ、このチェックボックスをオンにします。ネットワーク共有がネットワーク内に存在し、サードパーティ製のツールによって既に保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この設定はメタデータとは関係ありません。メタデータは、標準ゾーンでは暗号化されません。この追加のセキュリティは、必要に応じて最大限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツールなどのサードパーティ製のツール (データ重複除外ツールなど) でディスクを読み取ることができなくなります。ShareFileは、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。
パスフレーズ ファイル暗号化キーを保護するために使用されるフレーズ。パスフレーズと暗号化キーは安全な場所にアーカイブしてください。ゾーン内のストレージゾーンController ごとに、同じパスフレーズを使用する必要があります。パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は復元できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、追加のストレージゾーンコントローラをストレージゾーンに参加させたり、サーバーに障害が発生した場合にストレージゾーンを回復したりすることはできません。注:暗号化キーは、共有ストレージパスのルートに表示されます。暗号化キーファイル SCKeys.txt を失うと、すべてのストレージゾーンファイルへのアクセスが直ちに切断されます。暗号化キーファイルは、通常のデータセンターの手順の一部としてバックアップしてください。

共有キャッシュの構成設定

オプション 説明
共有キャッシュの場所 ストレージキャッシュと暗号化キー、キューに入れられたファイル、その他の一時アイテムなどのデータを含むネットワーク共有へのパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラは、ストレージに同じファイル共有を使用する必要があります。注意:ストレージゾーンController は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータがある場所へのパスを指定しないでください。このストレージの場所は、ShareFileデータ専用のストレージゾーン用に予約します。ネットワークサービスアカウント(またはCitrix ShareFile管理サービスを実行するように構成されたアカウント)には、このストレージ場所へのフルアクセス権が必要です。
共有キャッシュログオンと共有キャッシュパスワード 共有キャッシュの場所の UNC パスの認証情報。
暗号化を有効にする 共有キャッシュに保存されているファイルを暗号化するには、このチェックボックスをオンにします。

Windows Azure ストレージコンテナーの設定

オプション 説明
ストレージリポジトリ Azure ストレージコンテナを選択します。ゾーンを作成した後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有から Azure ベースの記憶域に切り替えるには、新しいゾーンを作成する必要があります。
アカウント名 Azure ストレージアカウントの名前。これらの名前は常に小文字です。
アクセスキー Azure ストレージのプライマリまたはセカンダリアクセスキー。Windows Azure 管理ポータルの [アクセスキーの管理] 画面からキーをコピーします。
検証します ボタンをクリックして Azure アクセスキーを検証します。検証が完了し、[Container Name] メニューに指定したアカウントで使用可能なすべてのコンテナが表示されるまで、設定を続行できません。
コンテナ名 このストレージゾーン内のすべてのストレージゾーンコントローラーに使用する Azure コンテナーを選択します。Azure アクセスキーが検証されるまで、このリストは空です。

Amazon S3 ストレージバケットの設定

オプション 説明
ストレージリポジトリ Amazon S3 ストレージバケットを選択します。ゾーンを作成した後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。
アクセスキー ID Amazon S3 ストレージのアクセスキー ID。
シークレットアクセスキー Amazon S3 ストレージのシークレットアクセスキー。
検証します ボタンをクリックして、Amazon S3 シークレットアクセスキーを検証します。検証が完了し、[Bucket Name] メニューに指定したアカウントで使用可能なすべてのバケットが含まれるまでは、設定を続行できません。
バケット名 このストレージゾーン内のすべてのストレージゾーンコントローラーに使用する Amazon S3 バケットを選択します。Amazon S3 シークレットアクセスキーが検証されるまで、このリストは空です。

SMTPの設定

オプション 説明
SMTPサーバーのアドレスとSMTPポート番号 ローカルSMTPサーバーのホスト名およびポート。
SSL を使用する セキュリティで保護された接続を介して SMTP サーバーに接続するには、このチェックボックスをオンにします。
ユーザー名とパスワード ローカル SMTP サーバーのユーザー名とパスワードです。
認証モード 既定の認証モードでは、ストレージゾーン Controller から SMTP サーバーへの接続に使用できる最も安全な方法が使用されます。
送信者アドレス [差出人] フィールドに表示される電子メールアドレス。

グーグルクラウドプラットフォーム

Google Cloud Platform > 設定 > 相互運用性からアクセスキーとシークレットを生成します。

ストレージゾーンの構成を実行する前に、 S3EndpointAddress レジストリ値をhttps://storage.googleapis.comに設定し、IIS を再起動します。

オプション 1

説明

ストレージリポジトリ

Amazon S3 ストレージバケットを選択します。ゾーンを作成した後は、[ ストレージリポジトリ ] オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。

アクセスキー ID

Google Cloud Platform ストレージからのアクセスキー ID。

シークレットアクセスキー

あなたのGoogle Cloud Platform ストレージからの秘密。

検証します

ボタンをクリックして、Google Cloud Platform シークレットアクセスキーを確認します。検証が完了し、[ Bucket Name] リストに、指定したアカウントで使用可能なすべてのバケットが含まれるまでは、設定を続行できません。

バケット名

このストレージゾーン内のすべてのストレージゾーンコントローラに使用する正しいバケットを選択します。このリストは、Google Cloud Platform シークレットアクセスキーが検証されるまで空です。

ストレージゾーンコネクタの構成

ストレージゾーンコネクタにより、ユーザーは SharePoint サイトまたは指定したネットワークファイル共有上のドキュメントにアクセスできます。ストレージゾーンコネクタを使用するために、ShareFile Data用のストレージゾーンを有効にする必要はありません。

注:

ShareFile Data用のストレージゾーンおよびストレージゾーンコネクタ機能は、ゾーンを共有できます。ただし、ストレージゾーンController は、2つのデータタイプのデータとアクセス規則を別々に保持します。

ストレージゾーンコントローラウィザードを使用してゾーンを作成するとき、またはストレージゾーンコントローラコンソールからストレージゾーンコネクタを構成できます。

特定のネットワークファイル共有または SharePoint ドキュメントライブラリへのアクセスを制御するには、[許可されたパス] または [拒否されたパス] の一覧を指定します。変更を保存したら、IIS サーバーを再起動します。

ストレージゾーンコネクタへのインバウンド接続は、最初に許可されたパスに対してチェックされます。接続が許可されている場合、パスは拒否されたパスに対してチェックされます。たとえば、\\myserver\teamshare およびそのすべてのサブフォルダへのアクセスを提供するには、\\myserver\teamshareの許可パスを指定します。

  • すべての接続はデフォルトで許可され、[許可されたパス] の値で示されます。この値は、拒否されたパスに対して無効です。

  • 許可されたパスと拒否されたパスが互いに競合する場合は、最も制限の厳しいパスが適用されます。

  • エントリはカンマで区切ります。

  • ネットワークファイル共有へのコネクタの場合は、許可される UNC パスを指定します。

    FQDN を使用した例:\\fileserver.acme.com\shared

    UNC パスでは、次の変数を使用できます。

    • %UserName%

      ユーザーのホームディレクトリにリダイレクトします。パスの例:\\myserver\homedirs\%UserName%

    • %HomeDrive%

      Active Directory プロパティの「ホームディレクトリ」で定義されている、ユーザーのホームフォルダーパスにリダイレクトします。パスの例:%HomeDrive%

    • %TSHomeDrive%

      Active Directoryプロパティms-TS-Home-Directoryで定義されている、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバーまたはCitrix XenAppサーバーからWindowsにログオンするときに使用されます。パスの例: %TSHomeDrive%

      Active Directory ユーザーとコンピュータスナップインでは、ユーザーオブジェクトを編集するときに、リモートデスクトップサービスプロファイルタブでms-TS-Home-Directory値にアクセスできます。

    • %UserDomain%

      認証されたユーザーの NetBIOS ドメイン名にリダイレクトします。たとえば、認証されたユーザーのログオン名が「abcjohnd」の場合、変数は「abc」に置き換えられます。パスの例:\\myserver%UserDomain%_%UserName%

    変数は大文字と小文字を区別しません。

  • ルートレベルの SharePoint サイトへのコネクタの場合は、ルートレベルのパスを指定します。

    例:https://sharepoint.company.com

  • SharePoint サイトコレクションへのコネクタの場合:

    例:https://sharepoint.company.com/site/SiteCollection

  • SharePoint 2010 ドキュメントライブラリへのコネクタの場合は、URL を指定します (file.aspx や /Forms などのパス終端記号は含まれません)。

    例:

    • https://mycompany.com/sharepoint/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

    既定の SharePoint 2013 URL (最小ダウンロード戦略が有効になっている場合) は、https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/の形式です。

サーバーヘッダーを削除するためのセキュリティに関する推奨事項

IIS/ASP.NETは、デフォルトでは、HTTP応答でサーバーヘッダーを公開します。このヘッダーは、攻撃者にとって有用になる可能性があります。ヘッダーは、送信サーバーの種類と、場合によってはバージョン番号を公開します。このヘッダーは本番サイトには必要ないため、無効にすることができます。

残念ながら、ストレージゾーンController インストーラは、このヘッダーを自動的に削除することはできません。ただし、ストレージゾーンController ドキュメント/インストールガイドでこのヘッダーを削除するための推奨事項をお客様に提供できます。

ドキュメントで提供する必要がある具体的な手順については、次の記事を参照してください。https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/