インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(設計編)
こんにちは!
情報システム部インフラ担当のアンドウです。
前回は、「Windows2012でファイルサーバーを構築しよう(概要編)」で当社でのファイルサーバー構築概要をお伝えしました。
今回は、設計編をお話しします。
◆導入サーバー
導入するサーバーは、DELLの1Sラックサーバのスタンダードモデルを使用します。
【サーバー】DELL PowerEdge R320
ラックモデルなので19インチラックが必要です。
今回はDELLのNetshelter(APCのOEM)シリーズを使用します。
コンソール・UPS・HUBもラック内に収容します。
【19インチラック】DELL Netshelter SX 24U ラックエンクロージャ
【コンソール】ATEN USB DVI LCDコンソールドロワー(USBデバイス対応)CL6700
【KVMスイッチ】ATEN 1ローカル/リモート アクセス共有 8ポート PS/2-USB IP-KVMスイッチ CS1708i
瞬断・停電対策のUPSもラック内に収容します(サーバの台数分必要)。
【UPS】APC Smart-UPS 1200 RM 1U LCD 100V
ネットワークは、作環境の限界温度が50℃まで動作を可能にしたレイヤー2スイッチを使用します。
【HUB】ギガビット24ポート スタッカブル・スマートスイッチ 10G アップリンク x4 NETGEAR GS728TXS-100AJS
◆サーバースペック
■ドメインコントローラー 2台
【ベース】PowerEdge R320 , TPM
【シャーシ構成】シャーシ, 3.5” ホットプラグHDD最大4台
【CPU】インテル® Xeon® プロセッサー E5-2403 v2 1.80GHz, 10M キャッシュ, 6.4GT/s QPI, No Turbo, 80W
【メモリ】8GB (2R/1600MT/s/LV RDIMM /x8 Data Width)
【RAID】PERC H310 Mini 内蔵 RAID コントローラ
【OS用HDD※1】500GB 7,200RPM (SATA HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【光学ドライブ】8X DVD+/-RW コンボドライブ, SATA, 内蔵
【バックアップ用ディスク】外部接続のハードドライブ2TB 7,200RPM (SATA HDD/3.5インチ)ハードドライブ 1台
※1:RAID1構成で使用するので、利用できるのは500GBです。
■ファイルサーバー 2台
【ベース】PowerEdge R320 , TPM
【シャーシ構成】シャーシ, 3.5” ホットプラグHDD最大4台
【CPU】インテル® Xeon® プロセッサー E5-2403 v2 1.80GHz, 10M キャッシュ, 6.4GT/s QPI, No Turbo, 80W
【メモリ】8GB (2R/1600MT/s/LV RDIMM /x8 Data Width)
【RAID】PERC H710 Mini 内蔵 RAID コントローラ、 512MB NV キャッシュ
【OS用HDD※2】300GB 15,000RPM (6Gbps SAS HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【データ用HDD】3TB 7,200RPM N-Line (6Gbps SAS HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【光学ドライブ】8X DVD+/-RW コンボドライブ, SATA, 内蔵
※2:RAID1構成で使用するので、利用できるのはOS用500GB,データ用3TBです。
■バックアップ サーバー 1台
【ベース】PowerEdge R320 , TPM
【シャーシ構成】シャーシ, 3.5” ホットプラグHDD最大4台
【CPU】インテル® Xeon® プロセッサー E5-2403 v2 1.80GHz, 10M キャッシュ, 6.4GT/s QPI, No Turbo, 80W
【メモリ】8GB (2R/1600MT/s/LV RDIMM /x8 Data Width)
【RAID】PERC H310 Mini 内蔵 RAID コントローラ
【OS用HDD※3】500GB 7,200RPM (SATA HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【光学ドライブ】8X DVD+/-RW コンボドライブ, SATA, 内蔵
【バックアップ用ディスク】外部接続のハードドライブ 2TB 7,200RPM (SATA HDD/3.5インチ)ハードドライブ 10台
※3:RAID1構成で使用するので、利用できるのは500GBです。
■セキュリティ サーバー 1台
【ベース】PowerEdge R320 , TPM
【シャーシ構成】シャーシ, 3.5” ホットプラグHDD最大4台
【CPU】インテル® Xeon® プロセッサー E5-2403 v2 1.80GHz, 10M キャッシュ, 6.4GT/s QPI, No Turbo, 80W
【メモリ】8GB (2R/1600MT/s/LV RDIMM /x8 Data Width)
【RAID】PERC H310 Mini 内蔵 RAID コントローラ
【OS用HDD※4】500GB 7,200RPM (SATA HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【データ用HDD】2TB 7,200RPM (SATA HDD/3.5インチ/ホットplug対応)ハードドライブ 2台
【光学ドライブ】8X DVD+/-RW コンボドライブ, SATA, 内蔵
※4:RAID1構成で使用するので、利用できるのはOS用500GB,データ用2TBです。
◆ソフトウェアスペック
殆ど定番のソフトウエアばかりです。
【OS】Windows Server 2012 R2
【UPS管理用】PowerChute Business Edition
【バックアップ】Symantec Backup Exec
【ウイルス対策】Symantec Endpoint Protection
【アクセスログ収集】AMIYA ALog ConVerter
◆Active Directoryの設計
【構成は可能な限りシンプルに】
Active Directory設計において、まず、可能な限りシンプルな構成にするということです。ドメイン構成を複雑にすると、トラブルの元になり得るとともにトラブルシューティングも困難になりかねません。まずは、シングルドメイン構成で要件が満たせるかを検討します。
【基本構成設計は慎重に】
将来の拡張性も考慮して、構築後にドメイン構成を変更することがないよう設計時に十分な検討が必要になります。例えば、既存ドメインの上位へドメインを追加することができません。
【既存環境の考慮を忘れずに】
Active Directory導入時は既存環境を考慮した設計が必要になります。既存環境にDNSサーバがある場合、Windows Server 2012 R2標準搭載のDNSサーバとの連携を考える必要があります。
■構築後の変更が困難な項目
【DNSサーバ】
Active Directoryサーバーに DNS サーバをインストールして構成し、優先 DNS サーバーとして使用するようにします。既存DNSサーバを用いてActive Directory構築することも出来ますが、メリットも特に無いためお勧めしません。既存のDNSサーバを用いる場合、Active DirectoryのDNSとしてはwindows DNSサーバを使用し、既存のDNSサーバと連携するようにします。
【DNSゾーン】
Active Directoryを構築するためには、標準プライマリゾーン、もしくはActive Directory統合ゾーンの作成が必須となります。DNSサーバはActive Directory統合ゾーンを用いることにより、以下のメリットを得ることが出来ます。
・ゾーンのマルチマスタ更新
・レプリケーションの暗号化
・DNSの動的更新
・リソースレコード登録のアクセス制御
【NetBIOSの名前解決方法】
NetBIOSの名前解決には、WINSによる名前解決を行うようにすることにします。WINSはNetBIOS名とIPアドレスのマップを動的に更新するデータベースです。動的に更新するため、DHCPでIPアドレスを割当てられたクライアントに対する名前解決も容易に行えます。
【ドメイン構成】
人事異動や組織変更の際の管理を考慮して可能な限りシングルドメイン構成にします。部署単位でユーザー管理したいという場合は、ドメイン内でOUを作成することで対応できます。ドメイン名は運用開始後には変更しないように、慎重に決定してください。Active Directoryの再構築をせずにドメイン名の変更が可能ですが、変更手順がとても複雑なため、現実的ではありません。特にマルチドメイン構成の最上位のドメイン名は影響が大きいため、Active Directory構築後にドメイン名を変更することがないようにします。別々に構築したフォレストは、後から統合することはできません。フォレスト間で信頼関係を結ぶと、フォレスト間で相互にリソースアクセスができるようになります。但し、その場合でもGC、スキーマ、サイトの統合はできません。
Active Directory設計で言えることは、できるだけシンプルな構成にするということです。
今回は、以下の構成にします。
【機能レベル】フォレスト Windows Server 2012 R2
【ドメイン】Windows Server 2012 R2
【AD構成】フォレスト シングルフォレスト
【ドメイン】シングルドメイン
【サイト】シングルサイト
【DNS】ドメイン名 n-sysdes.co.jp
【ゾーンの種類】Active Directory 統合ゾーン
■要件にあわせた設計項目
【OU(組織単位)】
Active Directoryで管理するオブジェクトが決定したら、オブジェクトを格納するOUの構成を決定します。OU構成の設計は管理の委任やグループポリシーの適用を視野に入れて行います。OUは階層化が可能でが、性能劣化を考慮して階層は深くても5階層までにするようにします。OUは管理(管理の委任、グループポリシーの適用可否など)を目的として作成しますが、アクセス権を与えるためのものでありません。
【サイト】
サイトは、ディレクトリ複製のためのトラフィック制御や、ログオン認証を受けるDCを明示的に指定することを目的とします。Active Directoryドメイン内ではDC間の情報同期のため定期的にディレクトリ情報の複製を行います。サイト間では複製トラフィックのスケジュールが細かく定義でき、例えば毎日深夜の時間帯のみ複製を行うといった制御が可能です。各拠点にDCを配置することによって、コンピュータは同一サイトにあるDCにログオン要求を行うため効率的なログオン認証処理が実現できます。
【GCの配置】
GCの配置はクライアントのログオンやディレクトリの検索など、クライアントの要求に対する応答性能に大きくかかわります。GCはフォレスト内で最初にセットアップしたDC上に自動的に作成されますが、手動による構成で、任意のDCにGCの役割を持たせることが可能です。同じサイトにGCがない場合、他サイトのGCに参照に行くてめ、ネットワーク帯域幅によってはパフォーマンスに影響を与えることがあります。
【グループポリシーとローカルグループポリシー】
Windowsには、OSやユーザーの設定を統一する機能としてグループポリシーが提供されています。グループポリシーは、Active Directory環境で利用するグループポリシーと個々のコンピュータで利用するローカルグループポリシーから構成されています。また、上位OUに適用したグループポリシーは下位OUにも適用されるため、下位OUほど多数のグループポリシーが適用されることになります。
◆ファイルサーバーの設計
多くの企業では、複数のファイルサーバーを運用していると思います。ファイルサーバーのディスク容量が不足した際にはハードディスクを追加するのではなく、ファイルサーバーそのものを増設する場合もあります。しかし、ファイルサーバーを増設するると、ユーザーは目的のファイルやフォルダーにアクセスするのに新しいファイルサーバーの名前覚える必要があります。
【分散ファイルシステムの使用】
「DFS名前空間」と呼ばれる機能によって、複数のファイルサーバーにある共有フォルダーの一元管理をします。DFSでは「名前空間サーバー」という“代表となる特殊なファイルサーバー”上にフォルダーを作成し、その下に複数のファイルサーバーに散在している共有フォルダー(「フォルダーターゲット」と呼ぶ)をリンクさせることで他のファイルサーバーの存在(ファイル共有のアドレス)を隠す仕組みになっています。実は、このDFSと同じような仕組みは、従来のファイルサーバーでも実現できます。一つのファイルサーバーを決め、そこに各ファイルサーバーの共有フォルダーの「ショートカット」を置けば実現できます。では、DFSを利用するメリットとは何か、DFSは企業利用で求められる可用性を含め、ファイルサーバーをより効率良く活用するための機能を提供してくれます。実際の可用性の構成は、名前空間の種類によってアプローチが異なますが、「ドメインベースの名前空間」の場合は複数の名前空間サーバーで可用性を確保します。
今回は、以下の構成にします。
【名前空間サーバー】ドメインコントローラー
【名前空間】ドメインベースの名前空間
【可用性の確保】DFSレプリケーション
【レプリケーション】フルメッシュ トポロジー
◆バックアップサーバーの設計計
バックアップソフトは、Symantec Backup Execを使用します。インストールは、OSドライブに行います。バックアップメディアは、外部接続のハードドライブ10台を使用し、ライブラリ管理はBackup Execに任せます。
【バックアップのスケジュール】
・日曜の夜間にフルバックアップを行います。
・月曜日~土曜日の夜間に増分バックアップを行います。
※システムのバックアップは、Windowsのバックアップ機能の使用して各サーバーの外部接続のハードドライブに毎日取得します。復元には、ベアメタル回復を使用します。
◆セキュリティサーバーの設計
OS更新・パッチの適用は、Windows Server Update Servicesを使用します。インストールは、OSドライブに行います。
ウイルス対策ソフトは、Symantec Endpoint Protectionを使用します。アクセスログ収集ソフトは、AMIYA ALog ConVerterを使用します。インストールは、データドライブに行います。収集したアクセスログは、定期的にファイルサーバーにもコピーして管理します。
次回は、「ファイルサーバを構築しよう(実装編)」をお話しします。
システム運用・管理サポートサービス
弊社では、お客様の抱えているシステムの問題について全て当社が対応いたします。また、今後、システムの導入を検討もしくは、入れ替えを検討されているお客様につきましては、最適なハードウェア・ソフトウェア・ネットワーク等を当社からご提案いたします。
詳しくはこちらをご参照ください。
この記事を読んだ人はこの記事も見ています。
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(概要編)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(運用編5)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(運用編3)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(運用編2)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(運用編1)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編7)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編6)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編5)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編4)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編3)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編2)
インフラ技術ブログ:Windows2012でファイルサーバーを構築しよう(実装編1)
