拡張ネットワーク接続(ENC) › ENC 展開シナリオ › ENC 展開シナリオ - ブランチ オフィス
ENC 展開シナリオ - ブランチ オフィス
このシナリオでは、親会社がメイン オフィス ネットワーク(内部ネットワーク)上にドメイン マネージャおよびスケーラビリティ サーバを保持しています。 ブランチ オフィスでは、コンピュータに DSM エージェントがインストールされた LAN を使用しています(クライアント ネットワーク)。 両方のオフィスは、ファイアウォールで保護されており、インターネットに接続されています。
以下の図は、サンプルのブランチ オフィス展開シナリオにおけるネットワーク レイアウトを示します。
このシナリオでは、ENC ゲートウェイ サーバ コンピュータを含むネットワーク内のすべてのコンピュータに少なくとも DMS エージェントが 1 つインストールされていると想定されています。
DMZ (非武装地帯)によって、内部ネットワークから DMZ までの接続が可能になりますが、それを越えては接続できません。 DMZ 内のコンピュータは、インターネットへは接続できますが、内部ネットワークへは接続できません。
このシナリオで必要な展開および設定の手順は、以下のとおりです。
- メイン オフィス(内部ネットワーク)で ENC インフラストラクチャを展開します
- DSM エージェントをブランチ オフィス(クライアント ネットワーク)へ展開します
- ブランチ オフィスのエージェントがメイン オフィスのスケーラビリティ サーバに報告するように設定します
メイン オフィスのネットワークでは、以下のアクティビティが適用されます。
- まだ存在しない場合は、メイン オフィスのネットワークで DMZ を作成します。 これは、パブリックのインターネット経由での接続が想定されるブランチ オフィスから ENC ゲートウェイ サーバが認識される必要があるために必要です。
- 親ネットワークにおける要求に従って、DSM ドメイン マネージャ、スケーラビリティ サーバ、エージェント、および ENC クライアントをインストールします
- DSM エージェント、ENC クライアント、マネージャ、サーバ、およびルータをメイン オフィス ネットワークの DMZ 内にあるコンピュータ上にインストールします。 内部ネットワークのスケーラビリティ サーバにエージェントが登録されるように設定します。
- 「証明書の管理」の説明に従って、ENC ゲートウェイ対応のすべてのコンピュータ上に ENC 証明書をインストールします。 これは、内部ネットワークおよび DMZ 内のコンピュータをカバーします。 これらは、ENC ゲートウェイ認証に必要です。
- DMZ のコンピュータに ENC 証明書をインストールします。
- ENC ゲートウェイ サーバはまだ開始しないでください。 この時点で、ENC ゲートウェイ サーバは認可ルールが設定されておらず、すべての接続が拒否されます。 これはつまり、DMZ 内の DSM インフラストラクチャがメイン オフィス ネットワーク内のドメイン マネージャに接続できず、認可ルールを含む設定ポリシーを受信することができないことを意味します。
- DSM エクスプローラを開き、ENC に必要なセキュリティ ポリシーを設定します。 セキュリティ ポリシーを使用して ENC ゲートウェイを設定します。 これは、メイン オフィス ネットワーク内のコンピュータおよびブランチ オフィス内のコンピュータに対するアクセスをカバーする必要があります。 ただし、現在のところ、コンピュータは、ドメイン マネージャに登録されるまでポリシーを受信できず、ドメイン マネージャに接続できるようにする認可ルールを定義するポリシーを受信するまでは登録できないという、矛盾した状況が存在するため、ドメイン マネージャから ENC ゲートウェイ サーバにこれを送信することはできません。
- この状況を修正するには、ENC ゲートウェイ サーバがドメイン マネージャへ接続するのに十分なルールを使用して、「ブートストラップ」される必要があります。 いったん確立されると、ドメイン マネージャは本物のポリシーを送信してブートストラップ ポリシーを上書きできます。
まず、本物のポリシーをドメイン マネージャ上の設定ポリシーに入力する必要があります。 これは、以下の 2 種類の方法のいずれかを使用して行うことができます。
- 1 番目の方法は、DSM エクスプローラを開き、設定ポリシー エディタを使用して ENC に必要なセキュリティ ポリシーを設定します。 GUI は、ルールの作成に役立つカスタム ダイアログ ボックスを提供します。
- もう 1 つの方法は、デフォルト ルールを使用してテキスト ファイルを作成し、encUtilCmd ユーティリティを使用してまとめてそれらをインポートします。 (encUtilCmd およびそのすべてのオプションの詳細な説明については、「CA マニュアル選択メニュー」の「リファレンス ガイド」カテゴリにある「EncUtilCmd コマンド リファレンス」を参照してください)。encUtilCmd では、ルールを「ライブ」状態にする前に検証する方法も提供されます。
これらのルールは、最低でも メイン オフィス ネットワーク内の DSM インフラストラクチャが DMZ 内の ENC ゲートウェイ インフラストラクチャに接続し、登録できるようにする必要があります。
作成したルール ファイルは、ドメイン マネージャと ENC サーバ コンピュータの両方で使用できるので、2 番目の方法を使用してルールを作成することをお勧めします。 GUI を使用して、将来ポリシーにさらなる変更を加えることができます。
「encUtilCmd importdb」コマンドを使用して、ドメイン マネージャにルールを適用します。 これにより、DSM 設定データベースにルールが追加されます。 データベースに追加されると、ENC サーバ コンピュータがいったん接続すると、通常のポリシー メカニズムを通じてポリシーを配信できます。
「encUtilCmd import」コマンドを使用して、これらのルールを DMZ 内の ENC ゲートウェイ サーバに適用します。 これにより、認可ルールを使用してサーバがブートストラップされ、コンピュータがドメイン マネージャに接続し、登録可能になります。
ENC ゲートウェイ サーバが新しいルールを受け取り、ENC 接続の続行を許可するように、これらのサーバ上で CA Client Automation を開始します。
- デフォルトでは、ドメイン マネージャ内の設定ポリシーは、空のポリシーによって予想外に上書きされてしまうのを防ぐためにローカルで管理されるように設定されています。 これを集中管理に設定します。 CA Client Automation が正常に登録すると、最初のデフォルト ルールがドメイン マネージャから送信されたポリシーによって上書きされます。
- 10 分待機してから、DMZ 内のコンピュータが登録され、GUI 上に表示されるようになったことを確認します。
- コンピュータが表示されない場合、デフォルト ルールが不正確であるか、新しいポリシーのアクセスが切れているかのいずれかの可能性があります。 この状況を診断するには、ENC ゲートウェイ サーバ上の NT アプリケーション イベント ログを調査します。
ブランチ オフィスでは、以下のアクティビティが適用されます。
- 必要な DSM エージェントをブランチ オフィス ネットワーク内の各コンピュータにインストールします。 ENC ゲートウェイ機能は、デフォルトでインストールされますが、設定が必要です。 メイン オフィスの DMZ ネットワークの ENC ゲートウェイ サーバにクライアントが登録されるように設定します。 メイン オフィスとブランチ オフィス間では、ENC ゲートウェイがまだ機能していないので、DSM の展開は使用できません。 その代わり、たとえば影響を受けるコンピュータ数などに依存する、以下のようなさまざまな方法を使用してインストールを実行できます。
- インストールするのが数台のコンピュータの場合の DVD からの手動インストール。
- NT ドメイン ログオン スクリプトを使用した、ユーザ ログオン時のパッケージのインストール。
- ブランチ オフィス ネットワークへのドメイン マネージャおよびスケーラビリティ サーバの一時的なインストール。 これは、ブランチに送信される本物または仮想のマシンを使用して実行できます。 エージェント パッケージを送信するには、CA Client Automation の展開機能を使用します。 いったん展開が完了し、すべてのエージェントがメイン オフィスのドメイン マネージャに登録されると、ブランチ オフィスの一時的なドメイン マネージャは削除されます。
- メイン オフィスの GUI の中で「すべてのコンピュータ」グループをチェックすることで、ブランチ オフィスのコンピュータが登録されているかを確認します。
- 組織で採用されている通常の検証テストを実行し、CA Client Automation が完全に機能するかを確認します。
Copyright © 2014 CA Technologies.
All rights reserved.
|
|