Storage Zone Controller をインストールし、ストレージゾーンを作成する
重要:
インストールを開始する前に、環境がシステム要件を満たしていることを確認してください。
Storage Zone Controllerをインストールするときは、ゾーンを作成し、プライマリStorage Zone Controllerまたは セカンダリStorage Zone Controllerをゾーンに結合するを設定します。
プライマリStorage Zone Controller を構成するときに、次の機能のいずれかまたは両方を有効にできます。
- ShareFile Data のストレージゾーン。プライベートネットワーク共有またはサポートされているサードパーティ製ストレージシステムのいずれか、プライベートデータストレージを指定します。
- ストレージゾーンコネクタ:SharePoint サイトまたは指定されたネットワークファイル共有上のドキュメントへのアクセスをユーザーに許可します。
次の手順では、ストレージゾーンコントローラのインストール、IIS の既定の Web サイトの認証の構成、ゾーンの作成、および機能を有効にする方法について説明します。
-
Storage Zone Controllerソフトウェアをダウンロードしてインストールします:
- http://www.citrix.com/downloads/sharefile.htmlのShareFileダウンロードページから、最新のStorage Zone Controller インストーラにログオンしてダウンロードします。
注:
ストレージゾーンコントローラをインストールすると、サーバ上の Default Web サイトがコントローラのインストールパスに変更されます。
匿名認証は 、既定の Web サイトで有効にする必要があります。
-
ストレージゾーンコントローラをインストールするサーバで、StorageCenter.msi を実行します。
-
ShareFile Storage Zone Controller セットアップウィザードが起動します。
-
マルチテナンシーの場合は、次のコマンドを実行します:msiexec /i StorageCenter_5.0.1.msi MULTITENANT=1
注:
上記のコマンドでは、インストールしようとしている msi の番号と一致するようにバージョン番号(この例では 5.0.1)を更新する必要がある場合があります。
- プロンプトに応答します。インストールが完了したら、[Storage Zone Controllerの構成ページを起動] チェックボックスをオフにして [完了] をクリックします。
-
-
Storage Zone Controller を再起動します。
-
インストールが正常に完了したことをテストするには、
http://localhost/に移動します。インストールが成功している場合、ShareFileのロゴが表示されます。 -
ShareFileのロゴが表示されない場合は、ブラウザーのキャッシュを削除してもう一度アクセスしてください。
重要:
Storage Zone Controllerを複製する予定がある場合は、Storage Zone Controllerの構成に進む前にディスクイメージをキャプチャします。
-
ShareFile で S3 互換のストレージプロバイダーを使用するには、ストレージゾーンを作成または構成する前に、次の手順を実行します。
-
Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenterレジストリキーを見つけます。
-
このキーの下に新しい REG_SZ 値を作成します。
- 値の名前: S3EndpointAddress
- 値の種類: REG_SZ
- 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
-
ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。
- 値の名前: S3ForcePathStyle
- 値の種類: REG_SZ
- 値データ: 真
-
Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。
-
S3 互換のストレージシステムから、次の情報を収集します。
- ShareFile データアクセスキー ID に使用する S3 バケットの名前
- アクセスキー ID
- シークレットアクセスキー
-
-
次の手順に進み、新しいストレージゾーンを作成します。永続的なストレージの場所として Amazon S3 を選択します。Storage Zone Controller は、実際の Amazon S3 サービスではなく、入力したカスタムエンドポイントアドレスを使用します。S3 の詳細を設定するときは、前に作成したバケット名を選択します。
-
Storage Zone Controllerコンソールに移動します。
-
http://localhost/configservice/login.aspxを開くかスタート画面またはメニューから設定ツールを起動します。Windows 8 で [スタート] 画面のショートカットを使用する方法については、「Storage Zone Controllerの管理」を参照してください。 -
Storage Zone Controllerログオン ページで、アカウントのメールアドレス、 パスワード、および 完全なアカウントURLのFQDNサブドメイン(
subdomain.sharefile.com、subdomain.sharefile.euなど)を入力します。[ログオン] をクリックします。 -
プライマリStorage Zone Controller を設定するには、[ Create new Zone ] をクリックし、ゾーン情報を入力します。
オプション 説明 ゾーン ShareFile管理コンソールに表示される名前。 プライマリZone Controller デフォルトは http://localhost/ConfigServiceです。SSL を使用する場合は、HTTP を https に変更します。ShareFile は、標準ゾーンに対して有効な信頼されたパブリック SSL 証明書のみをサポートしていることに注意してください。セカンダリストレージゾーンのホスト構成に問題がある場合は、そのサーバー上のローカルブラウザーで、SSLエラーなしでConfigService URLを解決できることを確認してください。localhost はサーバーのIPアドレスに解決します。代わりに、サーバ名(https://servername.subdomain.com/ConfigServiceなど)を指定できます。サーバー名は、セカンダリStorage Zone Controller サーバーによって解決可能である必要があります。ホスト名 Storage Zone Controller の一意の識別子。ShareFileでは、識別子としてサーバーのホスト名を使用することをお勧めします。これは、FQDN ではなく、フレンドリ名である必要があります。この名前は、ShareFile管理コンソールに表示されます。 外部アドレス このStorage Zone Controller の FQDN。このStorage Zone Controller を標準ゾーンに使用する場合は、インターネットから URL にアクセスできる必要があります。ロードバランサーを使用している場合は、そのアドレスを入力します。ページを送信すると、ShareFile によって住所が検証されます。 -
プライベートデータストレージを指定するには、次の手順を実行します。
-
[ ShareFile データのストレージゾーンを有効にする] チェックボックスをオンにします。
-
標準ゾーンを構成するには、このチェックボックスをオフにします。
注:
Storage Zone Controller を構成した後は、ゾーンの種類を変更できません。
Storage Zone Controllerは、サービスアカウントの資格情報を使用して、信頼された Active Directory ドメインサーバーに接続してメールアドレス検索を行います。
- ストレージリポジトリを選択します。
-
-
ストレージゾーンコネクタを有効にしない場合は、[ 登録 ] をクリックしてStorage Zone Controller をShareFile に登録し、手順14に進みます。
-
S3 互換ストレージを使用している場合は、ストレージゾーンの登録後に次の追加のレジストリエントリを作成します。
-
Windows レジストリエディタを開きます ([ファイル名を指定して実行] > [regedit.exe])。
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfigレジストリキーを見つけます。 -
このキーの下に新しい REG_SZ 値を作成します。
- 値の名前: S3EndpointAddress
- 値の種類: REG_SZ
- 値のデータ:S3 互換のストレージエンドポイントに対応する HTTPS URL を入力します。
-
ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合(http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照)、このキーの下に別の値を作成します。
- 値の名前: S3ForcePathStyle
- 値の種類: REG_SZ
- 値データ: 真
-
Storage Zone Controller アプリケーションプール (StorageCenterAppPool) を再起動します。
-
-
ストレージゾーンコネクタを有効にするには、次の手順に従います。
コネクタを有効にすると、IIS アプリ「cifs」(ネットワークファイル共有用のコネクタ) と「sp」(SharePoint 用のコネクタ) が作成されます。
-
使用するコネクタの種類ごとに、[ネットワークファイル共有の記憶域ゾーンコネクタを有効にする] と [SharePoint の記憶域ゾーンコネクタを有効にする] チェックボックスをオンにします。コネクタの設定については、このセクションの「ストレージゾーンコネクタの構成」を参照してください。
-
[登録] をクリックします。Storage Zone Controller情報が表示されます。
-
ストレージゾーンコネクタに [ 許可パス] または [拒否されたパス ] を指定した場合は、IIS サーバーを再起動します。
-
-
セカンダリStorage Zone Controllerを構成する方法については、「Storage Zone Controllerの管理」を参照してください。
重要:
Storage Zone Controller がローカルサイトにインストールされており、バックアップはユーザーが担当します。展開を完全に保護するには、Storage Zone Controller サーバーのスナップショットを作成し、構成をバックアップし、Storage Zone Controller 構成のバックアップおよび障害回復用のStorage Zone Controller 準備をバックアップする必要があります。
ShareFile データのストレージゾーンの構成
注:
ShareFileデータのストレージゾーンは、Citrix Endpoint Management エンタープライズエディションで使用でき、他のCitrix Endpoint Management エディションでは使用できません。
ShareFile Data のストレージゾーンは、ストレージゾーンの作成時にStorage Zone Controller ウィザードから、またはStorage Zone Controllerコンソールから設定できます。プライベートネットワーク共有またはサポートされているサードパーティ製ストレージシステムの設定を構成するには、[ShareFile Data] タブを使用します。
ネットワーク共有設定
| オプション | 説明 |
|---|---|
| ストレージ リポジトリ | [ローカルネットワーク共有] を選択します。ゾーンの作成後、[ストレージリポジトリ] オプションを変更することはできません。たとえば、ローカルネットワーク共有からサードパーティのストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| ネットワーク共有の場所 | プライベートデータストレージ、および暗号化キー、キューに格納されたファイル、およびその他の一時アイテムなどのデータに使用するネットワーク共有への UNC パス。\\server\share形式でパスを指定します。同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。注意:Storage Zone Controller は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータのある場所へのパスを指定しないでください。このストレージの場所は、ShareFile Dataのみのストレージゾーン用に予約します。Storage Zone Controllerは、構成ページで提供されるネットワーク共有のユーザー名/パスワードを使用してネットワーク共有にアクセスします。構成ページにネットワーク共有のユーザー名/パスワードが指定されていない場合は、ネットワークサービスアカウントがデフォルトで使用されます。ネットワークサービスアカウントには、この格納場所へのフルアクセス権が必要です。Storage Zone Controller は、StorageCenterAppPool の既定でネットワークサービスアカウントを使用します。サポートされている構成は、ネットワークサービスアカウントを使用することだけであることに注意することが重要です。 |
| ネットワーク共有のユーザー名とネットワーク共有パスワード | ネットワーク共有の場所の UNC パスの資格情報。ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使用して共有にアクセスするには、これらの資格情報を指定します。ネットワークサービスアカウントを使用して、IISアプリケーションプールとCitrix ShareFileサービスを引き続き実行できます。 |
| 暗号化を有効にする | ファイル共有に格納されているファイルコンテンツを暗号化する場合にのみ、このチェックボックスをオンにします。ネットワーク共有がネットワーク内部にあり、サードパーティ製のツールによって既にセキュリティで保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この設定はメタデータに関連しません。標準ゾーンのメタデータは暗号化されません。この追加のセキュリティは、必要に応じて最大限のセキュリティを確保するためのオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツール (データ重複除外ツールなど) などのサードパーティツールではディスクが読み取れなくなります。ShareFile は、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。 |
| パスフレーズ | ファイル暗号化キーを保護するために使用されるフレーズ。パスフレーズは 6 文字以上である必要があります。パスフレーズと暗号化キーは、安全な場所にアーカイブしてください。ゾーン内の各Storage Zone Controller に同じパスフレーズを使用する必要があります。パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は復元できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、ストレージゾーンに追加のStorage Zone Controllerをストレージゾーンに追加したり、サーバーに障害が発生した場合にストレージゾーンを回復したりすることはできません。注:暗号化キーは、共有ストレージパスのルートに表示されます。暗号化キーファイル SCKeys.txt が失われると、すぐにすべてのストレージゾーンファイルへのアクセスが切断されます。通常のデータセンター手順の一部として、暗号化キーファイルを必ずバックアップしてください。 |
共有キャッシュの構成設定
| オプション | 説明 |
|---|---|
| 共有キャッシュの場所 | ストレージキャッシュと、暗号化キー、キューに格納されたファイル、その他の一時アイテムなどのデータを格納するネットワーク共有へのパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するStorage Zone Controllerは、ストレージに同じファイル共有を使用する必要があります。注意:Storage Zone Controller は、このパス内のデータを独自のストレージフォーマットで上書きします。ファイルデータのある場所へのパスを指定しないでください。このストレージ場所は、ShareFile データ専用のストレージゾーン用に予約します。ネットワークサービスアカウント(またはCitrix ShareFile管理サービスを実行するように構成されているアカウント)には、このストレージ場所へのフルアクセス権が必要です。 |
| 共有キャッシュログオンと共有キャッシュパスワード | 共有キャッシュの場所の UNC パスの資格情報。 |
| 暗号化を有効にする | 共有キャッシュに格納されているファイルを暗号化するには、このチェックボックスをオンにします。 |
Windows Azure ストレージコンテナの設定
| オプション | 説明 |
|---|---|
| ストレージ リポジトリ | Azure ストレージコンテナを選択します。ゾーンの作成後、[ストレージリポジトリ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Azure ベースのストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| アカウント名 | Azure ストレージアカウントの名前。これらの名前は、常に小文字です。 |
| アクセスキー | Azure ストレージのプライマリアクセスキーまたはセカンダリアクセスキー。Windows Azure 管理ポータルの [アクセスキーの管理] 画面からキーをコピーします。 |
| 検証 | Azure アクセスキーを検証するには、ボタンをクリックします。検証が完了し、[Container Name] メニューに指定されたアカウントで使用可能なすべてのコンテナが表示されるまで、構成を続行することはできません。 |
| コンテナ名 | このストレージゾーンのすべてのStorage Zone Controllerに使用する Azure コンテナーを選択します。Azure アクセスキーが検証されるまで、この一覧は空です。 |
Amazon S3 ストレージバケットの設定
| オプション | 説明 |
|---|---|
| ストレージ リポジトリ | Amazon S3 ストレージバケットを選択します。ゾーンの作成後、[ストレージリポジトリ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。 |
| アクセスキー ID | Amazon S3 ストレージのアクセスキー ID。 |
| シークレットアクセスキー | Amazon S3 ストレージのシークレットアクセスキー。 |
| 検証 | ボタンをクリックして、Amazon S3 シークレットアクセスキーを検証します。検証が完了し、[Bucket Name] メニューに指定されたアカウントで使用可能なすべてのバケットが表示されるまで、設定を続行することはできません。 |
| バケット名 | このストレージゾーンのすべてのStorage Zone Controllerに使用する Amazon S3 バケットを選択します。Amazon S3 シークレットアクセスキーが検証されるまで、このリストは空です。 |
SMTP設定
| オプション | 説明 |
|---|---|
| SMTPサーバのアドレスとSMTPポート番号 | ローカル SMTP サーバのホスト名とポート。 |
| SSL を使用 | 安全な接続で SMTP サーバーに接続するには、このチェックボックスをオンにします。 |
| ユーザー名とパスワード | ローカル SMTP サーバのユーザ名とパスワード。 |
| 認証モード | デフォルト認証モードでは、ストレージゾーンコントローラからSMTPサーバへの接続に使用できる最も安全な方法が使用されます。 |
| 送信者アドレス | [差出人] フィールドに表示されるメールアドレス。 |
グーグルクラウドプラットフォーム
Google Cloud Platform > [設定] > [相互運用性] から、アクセスキーとシークレットを生成します。
ストレージゾーンの構成を実行する前に、 S3EndpointAddress レジストリ値をhttps://storage.googleapis.comに設定し、IIS を再起動します。
オプション 1
説明
ストレージ リポジトリ
Amazon S3 ストレージバケットを選択します。ゾーンの作成後、[ ストレージリポジトリ ] オプションを変更することはできません。たとえば、ローカルネットワーク共有から Amazon S3 ストレージに切り替えるには、新しいゾーンを作成する必要があります。
アクセスキーの ID
Google Cloud Platform ストレージからのアクセスキー ID。
シークレットアクセスキー
Google Cloud Platform ストレージからの秘密。
検証
ボタンをクリックして Google Cloud Platform シークレットアクセスキーを確認します。検証が完了し、 指定したアカウントで使用可能なすべてのバケットが [Bucket Name ] リストに表示されるまで、設定を続行することはできません。
バケット名
このストレージゾーン内のすべてのStorage Zone Controllerに使用する正しいバケットを選択します。Google Cloud Platform シークレットアクセスキーが検証されるまで、このリストは空になります。
ストレージゾーンコネクタの構成
ストレージゾーンコネクタは、ユーザーが SharePoint サイトまたは指定したネットワークファイル共有上のドキュメントにアクセスできるようにします。ストレージゾーンコネクタを使用するために、ShareFile Data のストレージゾーンを有効にする必要はありません。
注:
ShareFile Data のストレージゾーンおよびストレージゾーンコネクタ機能は、ゾーンを共有できます。ただし、Storage Zone Controller は、2 つのデータタイプのデータとアクセスルールを別々に保持します。
ストレージゾーンコネクタは、Storage Zone Controllerウィザードを使用するか、Storage Zone Controllerコンソールを使用してゾーンを作成するときに構成できます。
特定のネットワークファイル共有または SharePoint ドキュメントライブラリへのアクセスを制御するには、[許可されたパス] または [拒否されたパス] の一覧を指定します。変更を保存したら、IIS サーバーを再起動します。
ストレージゾーンコネクタへの受信接続は、最初に許可されたパスに対してチェックされます。接続が許可されている場合、パスは拒否されたパスに対してチェックされます。たとえば、\\myserver\teamshare およびそのすべてのサブフォルダへのアクセスを提供するには、\\myserver\teamshareの許可パスを指定します。
-
デフォルトでは、すべての接続が許可され、[許可されたパス] の値で示されます。この値は拒否されたパスには無効です。
-
許可されたパスと拒否されたパスが互いに競合する場合は、最も制限の厳しいパスが適用されます。
-
エントリはカンマで区切ります。
-
ネットワークファイル共有へのコネクタで、許可される UNC パスを指定します。
FQDN の例:
\\fileserver.acme.com\sharedUNC パスでは、次の変数を使用できます。
-
%UserName%
ユーザーのホームディレクトリにリダイレクトします。パスの例:
\\myserver\homedirs\%UserName% -
%HomeDrive%
Active Directory プロパティの [ホームディレクトリ] で定義されているユーザーのホームフォルダーパスにリダイレクトします。パスの例:
%HomeDrive% -
%TSHomeDrive%
Active Directory プロパティms-TS-Home-Directoryで定義されているように、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバーまたはCitrix XenAppサーバーからWindowsにログオンするときに使用されます。パスの例: %TSHomeDrive%
Active Directory ユーザーとコンピュータスナップインでは、ユーザーオブジェクトの編集時に [リモートデスクトップサービスプロファイル] タブで MS-TS-Home-Directory 値にアクセスできます。
-
%UserDomain%
認証されたユーザーの NetBIOS ドメイン名にリダイレクトします。たとえば、認証されたユーザーのログオン名が「abc\ johnd」の場合、変数は「abc」に置き換えられます。パスの例:
\\myserver%UserDomain%_%UserName%
変数は大文字と小文字を区別しません。
-
-
ルートレベルの SharePoint サイトへのコネクタの場合、ルートレベルのパスを指定します。
例:
https://sharepoint.company.com -
SharePoint サイトコレクションへのコネクタの場合:
例:
https://sharepoint.company.com/site/SiteCollection -
SharePoint 2010 ドキュメントライブラリへのコネクタの場合は、URL を指定します (file.aspx や /Forms など)。
例:
https://mycompany.com/sharepoint/https://mycompany.com/sharepoint/sales-team/Shared Documents/https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx
既定の SharePoint 2013 URL (最小ダウンロード戦略が有効になっている場合) は、
https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/の形式です。
サーバーヘッダーを削除するためのセキュリティ推奨
デフォルトでは、IIS/ASP.NETは、HTTP応答でサーバーヘッダーを公開します。このヘッダーは攻撃者に役立つ可能性があります。ヘッダーは、送信サーバーの種類と、場合によってはバージョン番号を表示します。このヘッダーは、実稼働サイトでは不要で、無効にすることができます。
Storage Zone Controller インストーラーは、このヘッダーを自動的に削除することはできません。このヘッダーを削除するための推奨事項については、Storage Zone Controller ドキュメント/インストールガイドを参照してください。
ドキュメントで提供する必要がある具体的な手順については、次の記事を参照してください: https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/