Storage Zone Controller をインストールし、ストレージゾーンを作成する

重要:

インストールを開始する前に、環境がシステム要件を満たしていることを確認してください。

Storage Zone Controllerをインストールするときは、ゾーンを作成し、プライマリStorage Zone Controllerまたは セカンダリStorage Zone Controllerをゾーンに結合するを設定します。

プライマリStorage Zone Controller を構成するときに、次の機能のいずれかまたは両方を有効にできます。

  • ShareFile Data のストレージゾーン。プライベートネットワーク共有またはサポートされているサードパーティ製ストレージシステムのいずれか、プライベートデータストレージを指定します。
  • ストレージゾーンコネクタ。ユーザーが SharePoint サイトまたは指定したネットワークファイル共有上のドキュメントにアクセスできるようにします。

次の手順では、Storage Zone Controller インストール、IIS の既定の Web サイトの認証の構成、ゾーンの作成、および機能を有効にする方法について説明します。

  1. Storage Zone Controllerソフトウェアをダウンロードしてインストールします:

    注:

    Storage Zone Controller をインストールすると、サーバー上のデフォルトのWebサイトがコントローラのインストールパスに変更されます。

    匿名認証 は、デフォルトの Web サイトで有効にする必要があります。

  2. Storage Zone Controllerをインストールするサーバー上でStorageCenter.msiを実行します。

    • ShareFile Storage Zone Controller セットアップウィザードが起動します。

    • マルチテナンシーの場合は、次のコマンドを実行します:* msiexec /i StorageCenter_5.0.1.msi MULTITENANT=1*

    注:

    上記のコマンドでは、インストールしようとしている msi の番号と一致するようにバージョン番号(例では 5.0.1)を更新する必要があります。

    • プロンプトに応答します。インストールが完了したら、[Storage Zone Controllerの構成ページを起動] チェックボックスをオフにして [完了] をクリックします。
  3. Storage Zone Controller を再起動します。

  4. インストールが正常に完了したことをテストするには、http://localhost/に移動します。インストールが成功している場合、ShareFileのロゴが表示されます。

  5. ShareFileのロゴが表示されない場合は、ブラウザーのキャッシュを削除してもう一度アクセスしてください。

    重要:

    Storage Zone Controllerを複製する予定がある場合は、Storage Zone Controllerの構成に進む前にディスクイメージをキャプチャします。

  6. ShareFile でS3互換ストレージプロバイダを使用するには、ストレージゾーンを作成または構成する前に、次の手順を実行します。

    • Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenterレジストリキーを見つけます。

    • このキーの下に新しい REG_SZ 値を作成します。

      • 値の名前: S3EndpointAddress
      • 値の種類: REG_SZ
      • 値のデータ:S3 互換ストレージエンドポイントに対応する HTTPS URL を入力します。
    • ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。

      • 値の名前: S3ForcePathStyle
      • 値の種類: REG_SZ
      • 値のデータ:
    • Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。

    • S3 互換のストレージシステムから、次の情報を収集します。

      • ShareFile データアクセスキー ID に使用する S3 バケットの名前
      • アクセスキー ID
      • シークレットアクセスキー
  7. 次の手順に進み、新しいストレージゾーンを作成します。永続的なストレージの場所として Amazon S3 を選択します。Storage Zone Controller は、実際の Amazon S3 サービスではなく、入力したカスタムエンドポイントアドレスを使用します。S3 の詳細を設定するときは、前に作成したバケット名を選択します。

  8. Storage Zone Controllerコンソールに移動します。

  9. http://localhost/configservice/login.aspxを開くかスタート画面またはメニューから設定ツールを起動します。Windows 8 で [スタート] 画面のショートカットを使用する方法については、「Storage Zone Controllerの管理」を参照してください。

  10. Storage Zone Controllerログオン ページで、アカウントのメールアドレスパスワード、および 完全なアカウントURLのFQDNサブドメインsubdomain.sharefile.comsubdomain.sharefile.euなど)を入力します。[ログオン] をクリックします。

  11. プライマリStorage Zone Controller を設定するには、[ Create new Zone ] をクリックし、ゾーン情報を入力します。

    オプション 説明
    ゾーン ShareFile 管理者コンソールに表示される名前。
    プライマリZone Controller デフォルトは http://localhost/ConfigServiceです。SSL を使用する場合は、HTTP を https に変更します。ShareFile では、標準ゾーンに対して有効で信頼されたパブリックSSL証明書のみがサポートされています。セカンダリストレージゾーンのホスト構成に問題がある場合は、そのサーバー上のローカルブラウザーで、SSLエラーなしでConfigService URLを解決できることを確認してください。localhost はサーバーのIPアドレスに解決します。代わりに、サーバ名(https://servername.subdomain.com/ConfigServiceなど)を指定できます。サーバー名は、セカンダリStorage Zone Controller サーバーによって解決可能である必要があります。
    ホスト名 Storage Zone Controller の一意の識別子。ShareFile では、サーバーのホスト名を識別子として使用することをお勧めします。これは、FQDN ではなく、フレンドリ名である必要があります。この名前は、ShareFile 管理者コンソールに表示されます。
    外部アドレス このStorage Zone Controller の FQDN。このStorage Zone Controller を標準ゾーンに使用する場合は、インターネットから URL にアクセスできる必要があります。ロードバランサーを使用している場合は、そのアドレスを入力します。このページを送信すると、ShareFile によってアドレスが検証されます。
  12. プライベートデータストレージを指定するには、次の手順を実行します。

    • [ ShareFile データのストレージゾーンを有効にする] チェックボックスをオンにします。

    • 標準ゾーンを構成するには、チェックボックスをオフにします。

    注:

    Storage Zone Controller を構成した後は、ゾーンの種類を変更できません。

    Storage Zone Controllerは、サービスアカウントの資格情報を使用して、信頼された Active Directory ドメインサーバーに接続してメールアドレス検索を行います。

    • ストレージリポジトリを選択します。
  13. ストレージゾーンコネクタを有効にしない場合は、[ 登録 ] をクリックしてStorage Zone Controller をShareFile に登録し、手順14に進みます。

  14. S3 互換ストレージを使用している場合は、ストレージゾーンの登録後に次の追加のレジストリエントリを作成します。

    • Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfigレジストリキーを見つけます。

    • このキーの下に新しい REG_SZ 値を作成します。

      • 値の名前: S3EndpointAddress
      • 値の種類: REG_SZ
      • 値のデータ:S3 互換ストレージエンドポイントに対応する HTTPS URL を入力します。
    • ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。

      • 値の名前: S3ForcePathStyle
      • 値の種類: REG_SZ
      • 値のデータ:
    • Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。

  15. ストレージゾーンコネクタを有効にするには、次の手順に従います。

    コネクタを有効にすると、IIS アプリケーション「cifs」(ネットワークファイル共有用のコネクタ) と「sp」(SharePoint 用のコネクタ) が作成されます。

    • 使用するコネクタの種類ごとに、[ネットワークファイル共有のストレージゾーンコネクタを有効にする] と [SharePoint のストレージゾーンコネクタを有効にする] のチェックボックスをオンにします。コネクタの設定については、このセクションの「ストレージゾーンコネクタの構成」を参照してください。

    • [登録] をクリックします。Storage Zone Controller情報が表示されます。

    • ストレージゾーンコネクタに [ 許可されたパス] または [拒否されたパス ] を指定した場合は、IIS サーバーを再起動します。

  16. セカンダリStorage Zone Controllerを構成する方法については、「Storage Zone Controllerの管理」を参照してください。

重要:

Storage Zone Controller がローカルサイトにインストールされており、バックアップはユーザーが担当します。展開を完全に保護するには、Storage Zone Controller サーバーのスナップショットを作成し、構成をバックアップし、Storage Zone Controller 構成のバックアップおよび障害回復用のStorage Zone Controller 準備をバックアップする必要があります。

ShareFile データのストレージゾーンを構成する

注:

ShareFile データのストレージゾーンは、Citrix Endpoint Management エンタープライズエディションで使用でき、他のCitrix Endpoint Managementエディションでは使用できません。

ShareFile Data のストレージゾーンは、ストレージゾーンの作成時にStorage Zone Controller ウィザードから、またはStorage Zone Controllerコンソールから設定できます。プライベートネットワーク共有またはサポートされているサードパーティ製ストレージシステムの設定を構成するには、[ShareFile Data] タブを使用します。

ネットワーク共有の設定

オプション 説明
ストレージ リポジトリ [ローカルネットワーク共有] を選択します。ゾーンの作成後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有からサードパーティのストレージに切り替えるには、新しいゾーンを作成する必要があります。
ネットワーク共有の場所 プライベートデータストレージおよび暗号化キー、キューファイル、およびその他の一時アイテムなどのデータに使用するネットワーク共有への UNC パス。\\server\share形式でパスを指定します。同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。注意:Storage Zone Controller は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータを含む場所へのパスを指定しないでください。このストレージの場所は、ShareFile Dataのみのストレージゾーン用に予約します。Storage Zone Controllerは、構成ページで提供されるネットワーク共有のユーザー名/パスワードを使用してネットワーク共有にアクセスします。構成ページでネットワーク共有のユーザー名/パスワードが指定されていない場合は、デフォルトでネットワークサービスアカウントが使用されます。ネットワークサービスアカウントには、この保存場所へのフルアクセス権が必要です。Storage Zone Controller は、StorageCenterAppPool の既定でネットワークサービスアカウントを使用します。サポートされている構成は、Network Service アカウントを使用するだけです。
ネットワーク共有ユーザー名とネットワーク共有パスワード ネットワーク共有の場所の UNC パスの資格情報。Network Service アカウントの代わりに名前付きユーザーアカウントを使用して共有にアクセスするには、これらの資格情報を指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFile サービスを引き続き実行できます。
暗号化を有効にする ファイル共有に保存されているファイルの内容を暗号化する場合のみ、このチェックボックスをオンにします。ネットワーク共有がネットワーク内にあり、サードパーティ製のツールによって既に保護されている企業環境では、共有上のファイルを暗号化しないことをお勧めします。この設定はメタデータとは関係ありません。標準ゾーンのメタデータは暗号化されません。この追加のセキュリティは、必要なときに最大限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナやファイラーツール (データ重複除外ツールなど) などのサードパーティ製のツールによってディスクが読み取れなくなります。ShareFile では、ファイル暗号化キーを使用してダウンロード要求の妥当性を確認し、ストレージを暗号化します。
パスフレーズ ファイル暗号化キーを保護するために使用されるフレーズ。パスフレーズと暗号化キーは、安全な場所に保管してください。ゾーン内の各Storage Zone Controller に同じパスフレーズを使用する必要があります。パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は回復できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、ストレージゾーンに追加のStorage Zone Controllerをストレージゾーンに追加したり、サーバーに障害が発生した場合にストレージゾーンを回復したりすることはできません。注:暗号化キーは、共有ストレージパスのルートに表示されます。暗号化キーファイル SCKeys.txt が失われると、すぐにすべてのストレージゾーンファイルへのアクセスが切断されます。暗号化キーファイルは、通常のデータセンターの手順の一部としてバックアップしてください。

共有キャッシュの構成設定

オプション 説明
共有キャッシュの場所 ストレージキャッシュと暗号化キー、キューに格納されたファイル、およびその他の一時項目などのデータを格納するネットワーク共有へのパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。注意:Storage Zone Controller は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータを含む場所へのパスを指定しないでください。このストレージ場所は、ShareFile データ用のストレージゾーンにのみ予約します。ネットワークサービスアカウント(またはCitrix ShareFile Management Serviceが実行するように構成されているアカウント)には、このストレージ場所へのフルアクセス権が必要です。
共有キャッシュログオンと共有キャッシュパスワード 共有キャッシュの場所の UNC パスの資格情報。
暗号化を有効にする 共有キャッシュに保存されているファイルを暗号化するには、このチェックボックスをオンにします。

Windows Azure ストレージコンテナの設定

オプション 説明
ストレージ リポジトリ Azure ストレージコンテナーを選択します。ゾーンの作成後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有から Azure ベースのストレージに切り替えるには、新しいゾーンを作成する必要があります。
アカウント名 Azure ストレージアカウントの名前。これらの名前は常に小文字です。
アクセスキー Azure ストレージのプライマリまたはセカンダリアクセスキー。Windows Azure 管理ポータルの [アクセスキーの管理] 画面からキーをコピーします。
検証 ボタンをクリックして、Azure アクセスキーを検証します。検証が完了し、[Container Name] メニューに指定したアカウントで使用可能なすべてのコンテナが含まれるまでは、設定を続行できません。
コンテナ名 このストレージゾーンのすべてのStorage Zone Controllerに使用する Azure コンテナーを選択します。Azure アクセスキーが検証されるまで、このリストは空です。

Amazon S3 ストレージバケットの設定

オプション 説明
ストレージ リポジトリ Amazon S3 ストレージバケットを選択します。ゾーンの作成後は、[ストレージリポジトリ] オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。
アクセスキー ID Amazon S3 ストレージのアクセスキー ID。
シークレットアクセスキー Amazon S3 ストレージのシークレットアクセスキー。
検証 ボタンをクリックして、Amazon S3 シークレットアクセスキーを検証します。検証が完了し、[Bucket Name] メニューに指定したアカウントで使用可能なすべてのバケットが表示されるまでは、設定を続行できません。
バケット名 このストレージゾーンのすべてのStorage Zone Controllerに使用する Amazon S3 バケットを選択します。Amazon S3 シークレットアクセスキーが検証されるまで、このリストは空です。

SMTP 設定

オプション 説明
SMTPサーバーのアドレスとSMTPポート番号 ローカル SMTP サーバーのホスト名とポート。
SSL を使用 セキュリティで保護された接続を介して SMTP サーバーに接続するには、このチェックボックスをオンにします。
ユーザー名とパスワード ローカル SMTP サーバーのユーザー名とパスワードです。
認証モード 既定の認証モードは、Storage Zone Controller から SMTP サーバーに接続するために使用できる最も安全な方法を使用します。
送信者のアドレス [差出人] フィールドに表示されるメールアドレス。

Google クラウドプラットフォーム

[ Google Cloud Platform] > [設定] > [相互運用性] からアクセスキーとシークレットを生成します。

ストレージゾーンの構成を実行する前に、 S3EndpointAddress レジストリ値をhttps://storage.googleapis.comに設定し、IIS を再起動します。

オプション 1

説明

ストレージ リポジトリ

Amazon S3 ストレージバケットを選択します。ゾーンの作成後は、[ ストレージリポジトリ ] オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。

アクセスキーの ID

Google Cloud Platform ストレージのアクセスキー ID。

シークレットアクセスキー

Google Cloud Platform ストレージの秘密。

検証

ボタンをクリックして、Google Cloud Platform のシークレットアクセスキーを検証します。検証が完了し、指定したアカウントで使用可能なすべての バケットが [Bucket Name ] リストに表示されるまでは、設定を続行できません。

バケット名

このストレージゾーン内のすべてのStorage Zone Controllerに使用する正しいバケットを選択します。Google Cloud Platform シークレットアクセスキーが検証されるまで、このリストは空です。

ストレージゾーンコネクタの構成

ストレージゾーンコネクタは、ユーザーが SharePoint サイトまたは指定したネットワークファイル共有上のドキュメントにアクセスできるようにします。ストレージゾーンコネクタを使用するために、ShareFile Data のストレージゾーンを有効にする必要はありません。

注:

ShareFile Data のストレージゾーンおよびストレージゾーンのコネクタ機能は、ゾーンを共有できます。ただし、Storage Zone Controller は、2 つのデータタイプのデータとアクセスルールを別々に保持します。

ストレージゾーンコネクタは、Storage Zone Controllerウィザードを使用するか、Storage Zone Controllerコンソールを使用してゾーンを作成するときに構成できます。

特定のネットワークファイル共有または SharePoint ドキュメントライブラリへのアクセスを制御するには、[許可されたパス] または [拒否されたパス] の一覧を指定します。変更を保存したら、IIS サーバーを再起動します。

ストレージゾーンコネクタへの受信接続は、最初に許可されたパスに対してチェックされます。接続が許可されている場合、パスは拒否されたパスに対してチェックされます。たとえば、\\myserver\teamshare およびそのすべてのサブフォルダへのアクセスを提供するには、\\myserver\teamshareの許可パスを指定します。

  • デフォルトでは、すべての接続が許可され、[許可されたパス] の値で示されます。この値は拒否されたパスには無効です。

  • 許可されたパスと拒否されたパスが互いに競合する場合は、最も制限の厳しいパスが適用されます。

  • エントリはカンマ区切りです。

  • ネットワークファイル共有へのコネクタには、許可される UNC パスを指定します。

    FQDN を使用した例: \\fileserver.acme.com\shared

    UNC パスでは、次の変数を使用できます。

    • %UserName%

      ユーザーのホームディレクトリにリダイレクトします。パスの例: \\myserver\homedirs\%UserName%

    • %HomeDrive%

      Active Directory プロパティの [ホームディレクトリ] で定義されているように、ユーザーのホームフォルダパスにリダイレクトします。パスの例: %HomeDrive%

    • %TSHomeDrive%

      Active Directory DirectoryプロパティMS-TS-ホームディレクトリで定義されているように、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバーまたはCitrix XenApp サーバーからWindowsにログオンするときに使用されます。パスの例: %TSHomeDrive%

      Active Directory ユーザーとコンピュータースナップインでは、ユーザーオブジェクトを編集するときに、[リモートデスクトップサービスプロファイル] タブで MS-TS-Home-Directory 値にアクセスできます。

    • %UserDomain%

      認証されたユーザーの NetBIOS ドメイン名にリダイレクトします。たとえば、認証されたユーザーログオン名が「abc\ johnd」の場合、変数は「abc」で置き換えられます。パスの例: \\myserver%UserDomain%_%UserName%

    変数は大文字と小文字を区別しません。

  • ルートレベルの SharePoint サイトへのコネクタについては、ルートレベルのパスを指定します。

    例:https://sharepoint.company.com

  • SharePoint サイトコレクションへのコネクタの場合:

    例:https://sharepoint.company.com/site/SiteCollection

  • SharePoint 2010 ドキュメントライブラリへのコネクタの場合は、URL を指定します (file.aspx や /Forms などのパス終端記号は含まれません)。

    例:

    • https://mycompany.com/sharepoint/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

    既定の SharePoint 2013 URL (最小ダウンロード戦略が有効になっている場合) は、https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/の形式です。

サーバーヘッダーを削除するセキュリティ上の推奨事項

デフォルトでは、IIS/ASP.NETはHTTP応答でサーバーヘッダーを公開します。このヘッダーは、攻撃者にとって有用になる可能性があります。ヘッダーは、送信側サーバーの種類、場合によってはバージョン番号を表示します。このヘッダーは、本番サイトでは必要なく、無効にできます。

Storage Zone Controller インストーラーは、このヘッダーを自動的に削除することはできません。このヘッダーを削除するための推奨事項については、Storage Zone Controller ドキュメント/インストールガイドを参照してください。

ドキュメントで提供する必要がある具体的な手順については、次の記事を参照してください: https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/