ILM 2007 における Exchange プロビジョニングの注意事項

皆さん、こんにちは、今回は Exchange プロビジョニングの注意事項についてご紹介させていただきます。 ILM 2007 で、お客様の環境要因ならびに大量データを処理した時に Exchange プロビジョニングが失敗してしまうという障害事例が報告されております。以下、弊社技術部門での障害対応の経緯やベストプラクティスも交え、ご紹介いたします。 ILM 2007 では、『配布グループ/セキュリティ グループの所属ユーザー』などの格納に利用する Multi-Valued (ReferenceDN) 属性を処理のに時間が掛かります。この Multi-Valued (ReferenceDN) 属性に大量データが含まれる場合、Exchange プロビジョニングに失敗することがあります。また、Exchange プロビジョニングが失敗した後の Import 処理に大幅な時間を必要とすることがあります。 以下に今回確認できた事象と対処方法についてご案内させていただきます。 1.事象の概要 ■ 発生契機 ILM 2007 は、Multi-Valued (ReferenceDN) 属性に大量データが含まれる場合、処理に時間が掛かります。これは、参照元と参照先でデータに整合性が取れていることを処理毎にチェックするように実装しているためとなります。例えば、一つのセキュリティ グループに 1 万ユーザーが所属している場合、ILM 2007 では Import 処理や Export 処理、Synchronization 処理にて、グループと所属する 1 万ユーザー間でキチンとお互いのデータが存在しているかを検証します。このため、一つのグループに 1 万ユーザー以上が所属しているような AD 環境で、そのような大所帯のグループが数十と存在する場合には、ID 同期の処理全般に時間が掛かることがあります。 この際、大量データ処理を契機に以下の 2 つの事象が起きることがあります。   (a) Export 時に Exchange…


The Microsoft Conference 2011 開催! (2011年9月28日-29日)

皆さん、こんにちは。 今年も The Microsoft Conference 2011 がやってきます!MSC 2011 は、マイクロソフトの最新のテクノロジ、製品、サービスをご紹介する ” 年に 1 度の最大規模のコンファレンス” です。イベント会場では、お客様の企業の進化、変革、成長をご支援すると共に、参加いただく皆様個人にとっても、価値ある技術情報をお届けし、スキルアップにつながるよう Vision Keynote、32 以上のブレイクアウト セッション、ソリューションショーケース、最新デバイス体験コーナーなどさまざまなプログラムをご用意しております。 http://www.microsoft.com/japan/events/msc/2011/default.aspx   特に、今年は「クラウド」「デバイス」「ソリューション」にフォーカスをあて、エンタープライズソリューションと共に近年急速に発展したコンシューマー テクノロジを企業向けのソリューションとして昇華させたマイクロソフトの総合力を体感いただく機会を多数ご用意いたします。 Core Infra な我々のチームメンバーは、Windows Intune、System Center によるモバイル デバイスの管理、認証基盤と ID 管理、Hyper-V Cloudといった「パブリック クラウド」と「プライベート クラウド」を融合させる非常に重要なセッションを担当させていただく予定です。是非、皆さんのご参加をお待ちしております!   The Microsoft Conference 2011 開催概要 【日 程】2011年9月28日(水)~29日 (木) 10:00~18:30(9:00~ 受付) 【会 場】グランドプリンスホテル新高輪 国際館パミール 住所:〒108-8612 東京都港区高輪 3-13-1 【主 催】日本マイクロソフト株式会社 【参加費】無料(事前登録制) 【対 象】IT 担当者、IT エンジニア、開発者、事業企画担当者の方々 【詳細/お申込サイト】http://www.microsoft.com/japan/events/msc/2011/default.aspx  …


監査証跡信頼性確保への道のり

皆様こんにちは 今回は再びTMGのお話です。 ご存知の通り、TMGには Firewall , IPS , Anti-Virus , URL フィルタリング等、様々な機能が実装されているわけですが、多くご利用頂いているシナリオの一つに「監査ログ」があります。以前のブログでもお伝えした通り、TMGにはURL フィルタリングの機能が実装されており、ビジネスに不必要なサイト等に対してアクセス制限をかけることで、「君子危うきに近寄らず」な構成を実現する事ができます。 更に、近年では、「誰がどこを閲覧しているのか?」を知りたい、ログにとっておきたいという要望が多くあり、TMGの監査ログ機能で実現する事ができます。TMGの監査ログ機能では、TMGを介して行われる通信の送信元を Active Directory と連携する事で、ユーザー名で記録する事ができます。 また、監査ログでは、監査証跡としての信頼性が重要になります。通常のプロキシやファイアウォールでは、送信元をIPアドレスでロギングする事はできますが、これだと、DHCP等により動的なアドレス配布を実施している環境に置いては、送信元を特定するための監査証跡としては信頼性に欠けると言えます。無線LANを導入されている環境であれば、DHCPによる動的なアドレス配布が多いため、該当する環境も多いのではないでしょうか。 また、静的な固定IPアドレス環境であっても、管理者権限を持たせて運用しているような環境であれば、IPアドレスは変更することができてしまいます。 このケースも監査証跡の信頼性に欠けると言えます。 監査証跡の信頼性を確保するには、「識別され、認証された」識別子を利用する事が大事ですが、TMG監査ログの機能を利用する事で、ユーザー名という「識別され、認証された」識別子をもってロギングする事が可能になるというわけです。 下記がTMGで記録された通信ログですが、ドメイン名\ユーザー名の形式でしっかりと送信元ユーザー名が記録されています。更に、CONTOSO\junnoake が、カテゴリ「検索エンジン」のbingを閲覧している事がわかります。 また、監視を持って社員が不正を働く抑止力とする考え方が一般的に浸透しつつあります。TMGで取得した監査ログを毎月部長に提示する等、監視を告知する事で、より抑止力を向上する事ができ、ビジネスに対するリソースの集中化を図ると同時に、不正を抑止する効果が期待できます。 ネットワークの監査ログを検討されている方は是非一度お試し下さい。


FIM 2010 青本での環境構築時の注意事項

皆さん、こんにちは、2週間ほど更新できておりませんでしたが、また再開させていただきます。今後ともよろしくお願いいたします。涼しくなりましたね。あの夏の猛暑はどこに!?といった感じです。うちの犬は暑さに非常に弱く、夏の間は夜中に散歩させないといけない状態で、また散歩に出てもすぐにバテバテ状態になり、ウチに帰ると水をがぶ飲みしておりました。でも今は軽快(?)な足取りで散歩をしております。 さて今回は、以前に出版させていただきました「Active Directory ID 管理ガイド Forefront Identity Manager 2010で実装する ID統合ソリューション」(通称:青本)の環境構築時の注意事項を紹介させていただきます。 FIM 2010では、ID管理ポータルを利用する事で同期対象の属性のマッピングや属性データの加工処理はポータル上(GUI)で定義することができます。そのため、ILM 2007では、管理エージェント(MA)で定義していた、属性のマッピングは不要となり、FIM 2010では、MAの種類、接続先、接続するユーザーID/パスワード、同期対象オブジェクトなど、最低限の定義のみすれば良くなっています。(設定が非常に簡単になりました。)ID管理ポータルを利用するためには、コンポーネントのインストールは勿論ですが、ID管理ポータル用DBである FIM Service DBを構成していただき、さらにポータルと同期サービスを連携させるためにMAを定義していただく必要があります。ID 管理ポータル用のMA(FIM Service Management Agent)は、通常のMAと同様にSynchronization Service Manager(ILM 2007の管理コンソールと同等の同期サービス用の管理コンソール)を利用してMAの定義を行いますが、他のMAとは異なり、属性のマッピングを行う必要があります。具体的には「Configure Attribute Flow」にて属性のマッピングの指定を行います。(詳細はFIM 青本 P65 3.3 「Synchronization Service Manager」による設定をご参照ください。)前置きが長くなりましたが、このような設定を行う必要があるのですが、ここで注意事項がございます。この「Configure Attribute Flow」で既定にて設定されている項目が、FIM 2010 RTM版とFIM 2010 Update1版では異なります。FIM 2010 RTM版の「Configure Attribute Flow」画面では、同期対象オブジェクトであるUserおよびGroupに既定で設定されている属性は最低限の属性しか定義されていません。しかし、FIM 2010 Update1版では、同期対象オブジェクトのユーザーおよびグループに対して既定で「detectedRulesList」および「expectedRulesList」が定義されています。以下にFIM 2010 RTM版とFIM 2010 Update1版のそれぞれ既定の「Configure Attribute Flow」画面を示します。  ●FIM 2010 RTM版「Configure Attribute Flow」画面…


Forefront TMG 2010 URL フィルタリング機能

皆様こんにちは、今回は ISA Server の後継製品である、Forefront Threat Management Gateway(TMG)2010 のURL フィルタリング機能について紹介致します。URL フィルタリング機能は、従業員が業務に関係ないサイトの閲覧、悪意のあるサイトへの接続をカテゴリにもとづいてブロックします。Microsoft Reputation Service(Microsoft 評価サービス)によって評価された、URL のカテゴリリストはマイクロソフトのデーターセンター内で保持しています。カテゴリリスト画面  フィルタリングの動作の流れは、ユーザーが“http://www.microsoft.com” の閲覧を行うと、プロキシサーバーとして構成された TMG にリクエストが届きます。リクエストを受けた TMG は MRS に対して“http://www.microsoft.com” がどのカテゴリに属しているか照会を行います。照会を受けた MRS は登録されたカテゴリをTMGに返します。(“http://www.microsoft.com” は一般ビジネスにカテゴライズされています)TMG の WEB アクセスルールで一般ビジネスのカテゴリが許可されている場合ユーザーはページを表示し閲覧が可能となります。TMG では Active Direcroty(AD) を参照することで、AD のユーザー、セキュリティグループでインターネットへのアクセスを制御することも可能です。また、AD と連携することでアクセスログに個人を特定できるログを取得することも可能です。ログ画面  MRS で評価される URL は管理者が事前に TMG の管理コンソールから URL を入力しカテゴリを確認することも可能です。URL カテゴリ確認画面 TMG SP1からは閲覧が禁止されているサイトであってもユーザーがOverride(上書き設定)を行う事で管理者が指定した時間内だけ閲覧を行う事も可能です。この場合、TMG のログに誰がどのサイトをOverride したか記録を残すことも可能です。Override画面 以下 URL から評価版のダウンロードも可能ですので興味のある方は是非お試し下さい。評価版:http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx技術情報:http://technet.microsoft.com/ja-jp/library/ff684071.aspx製品ホームページ:http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx  


TMG仮想パッチ

皆様こんにちは セキュリティチームです。本日は、Forefront Threat Management Gateway (TMG) の仮想パッチという機能についてお話を致します。 TMGは、ISA 2006 の後継製品で、ISA 2006の機能を踏襲しつつも、新機能を実装することで、よりUTM化を推し進めた製品になります。本日のお話である仮想パッチは、一般的に言うところの、IPS の機能です。 企業環境の場合、セキュリティ更新プログラムの適用までのリードタイムが非常に危険な時間帯と言えますが、常時稼動を必須とされるようなサーバー等、現実的には、即座にセキュリティ更新プログラムを適用する事は難しい状態となっています。また、ミッションクリティカルなシステム全般に言える事ですが、適用すべきセキュリティ更新プログラムの選定、検証、展開等のプロセスを経て適用が行われる以上、適用までの時間を短縮するには限界が出てしまいます。 こういった時に、TMGの仮想パッチ機能が役に立ちます。 TMGの仮想パッチ機能では、脆弱性を狙った攻撃に対する定義ファイルを随時更新しておくことで、攻撃ペイロードを含む通信自体を切断する事で、セキュリティ更新プログラムが、サーバーやクライアントに適用されていない状態でも、攻撃を食らうリスクを低減する事ができます。 下記がTMG仮想パッチ機能の実際の画面ですが、ご覧の通り、TMGの仮想パッチ機能では、定義ファイルとセキュリティ更新プログラムの型番が紐づいて提供されますので、どの型番を狙った攻撃に対応しているかが一目で分かるようになっています。 パケットをドロップし、通信自体を切断することもできますし、「検出のみ」を行うこともできます。この手の機能は、導入する際に懸念となるのが、誤検出によって正常な業務の通信まで止めてしまうことですが、「検出のみ」にしていると、攻撃の検出やログへの記録は行いますが、通信自体は止めずに通してしまう運用が可能になりますので、検証にも最適です。 このTMGを、守りたいサーバーの前に置くだけで、バックエンドのサーバーにセキュリティ更新プログラムが適用されていなくても、攻撃をうけるリスクを低減する事ができますので、ご興味のある方は、評価版を使って、是非お試しください! TMG評価版http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx TMG Technethttp://technet.microsoft.com/ja-jp/library/ff355324.aspx 


ブログ開設のご挨拶

皆様、こんにちは。 マイクロソフトのプリセールス エンジニアのチームです。 このブログでは、マイクロソフトの Core Infra 製品 [Windows Server, Windows Client, System Center, ForeFront] に関する情報をお伝えしていきます。皆様の業務に役立つ情報をご提供できれば、と考えておりますのでよろしくお願いいたします。 # これまでインフラチームでは Windows Server、 Windows Client、マネジメント & セキュリティ の 3つに分かれてブログを運営しておりました。 今後はこちらの「Windows インフラチーム ブログ」に統合されますので、リンクをいただいていた方は お手数ですが、変更をお願いいたします。  Windows Server 使い倒し塾      :http://blogs.technet.com/b/windowsserverjp/ Windows くらいあんと通信     :http://blogs.technet.com/b/wincltjp/ 運用管理とセキュリティのウタタゴト:http://blogs.technet.com/b/mgmtsecjp/