トピック検索
- Netscreenを使用したVPN接続でのCPSクライアントの設定 - yasu ( 2006/05/31 16:37:29 更新)
- ロードバランス時のドメイン環境の必要性 - しと ( 2006/05/24 14:32:00 更新)
- サーバのドライブを非表示にしたい。。 - TMGE ( 2006/05/09 14:31:27 更新)
- クライアント数が少ない環境での使用 - DARION ( 2006/04/30 18:18:09 更新)
- 別バージョンの並行稼動について - kona319 ( 2006/04/25 14:54:58 更新)
- TSCALトークンが発行されない - ちゅら ( 2006/04/21 01:31:26 更新)
- サーバーのIPアドレス変更について - やきやき ( 2006/04/10 13:11:53 更新)
- Presentation Server 4.0検証中に・・・ - Meta ( 2006/04/03 17:09:55 更新)
- Web Interfaceで接続できない - TOKI ( 2006/03/24 15:22:01 更新)
- インストールでエラー 教えてください。 - Tomo ( 2006/03/24 12:57:26 更新)
Netscreenを使用したVPN接続でのCPSクライアントの設定
yasu 2006/05/31 16:37:29
メタフレームに関してまったくの素人です。
現在CPSサーバーを使ったシンクライアント構成を考えております。
今現在の構築予定として
【シンクライアント】(HDDレス)
|
netscreen (ファイアウォール)
| (192.168.1.x)で設定
【webサーバー】【CPSサーバー×2】【ドメインサーバー】
この場合に聞きたかったのですが、シンクライアントから各サーバーまでプライベートネットワークで接続した場合、
シンクライアントは単純にIPを192.168.2.Xと設定してファイアウォールの内側外側でセギュメントをわけるだけでいいのか?
もしくはこの構成の場合、CPSサーバーから動的にシンクライアントへIPを割り振られるのか?
現段階でとりあえずシンクライアントのテストとして接続が可能であればいいので
シンクライアントのIPアドレスの設定例を教えてくれれば幸いです。
お分かりの方が居ればよろしくお願いします。
pancra 2006/06/01 14:49:49
ですので、CPSとは直接関係しません。
ネットワークレイヤのお話です。
仮にDHCPサーバをCPSに兼務させた場合もセグメント越えの場合は該当セグメント
にDHCPリレーを行う機器を置くのが一般的です。
VPN及びDHCPサーバの仕組みをおさらいすれば、解決するものと思われます。
yasu 2006/06/02 09:09:50
今回DHCPサーバーを使っての方法を説明していただきましたが、
聞きたかったのは、シンクライアントに固定のIPを割り振りしてもファイアウォールをくぐってCPSサーバーに接続が出来るか?ということが気になったのです。
今のところDHCPサーバーを組み込む予定はないので。
もしDHCPサーバーをおいて動的にIPを割り振らないと接続が出来ないなら組む予定ですが...。
あわせて回答できましたらお願いします。
si 2006/06/02 11:36:47
pancra様はこちらの質問に対してお答えになったのだと思います。
> もしくはこの構成の場合、CPSサーバーから動的にシンクライアントへIPを割り振られるのか?
接続可否だけをお伝えするならば接続できます。
IPアドレスの割り当てが静的だろうと動的であろうと、また同一セグメントで
あろうと別セグメントであろうとアプリケーションの動作とは関係ありません。
ネットワークが正しく構成されているのであれば問題ないと思いますよ。
pancra 2006/06/02 12:09:51
クライアントとサーバの間にファイアーウォールを置く構成と
いうことはその間にインターネット網(グローバルアドレスの空間)
が存在すると考えて良いのでしょうか?
そうだとして、クライアントとサーバの間の通信環境としてはNetScreenのVPN
機能を利用するつもりなのかが明記されていないので、NetScreenは
純粋にファイアーウォールとしての機能しか使わないのか、VPNは
別のルータ等で実装するつもりなのか?
NetScreenのVPN機能を利用するつもりである場合、対向のネットワーク
環境に別のNetScreenがあり、NetScreen間でVPNが構築されている
前提であれば、通常のLAN間接続として考える事が可能ですので、
DHCP/固定アドレスといった問題は考える必要はありません。
NetScreenのVPN機能を利用する端末側はNetScreenRemoteといった
ソフトウェアでVPN通信を可能とする場合はシンクライアント端末に
ソフトウェアがインストール可能/動作可能であることが求められます。
この場合シンクライアント端末がWindowsCEでは無理だと思います。
構築したい環境はVPN環境なしでCPSを使いたいという要求なのか
VPNありきのネットワークが存在している前提でCPSを使いたいのか
どちらでしょう?
yasu 2006/06/04 10:46:27
pancra様
一応今回の構成を言います
【シンクライアント】(HDDレス)
|---------------------------別ネットワークシステム(構築済み)
| (今回割り振るシンクライアントも別ネットワークシステムもセグメント192.168.1.X
untrust(192.168.1.100)
netscreen (ファイアウォール)
trust(192.168.10.100)
|
|(192.168.10.x)で設定
【webサーバー】【CPSサーバー×2】【ドメインサーバー】
今回VPNを使用するのはnetscreenからシンクライアントの部分のみです。
今回シンクライアントの試験環境なのでシンクライアント、別ネットワークシステム、ファイアウォールの先まで全部プライベートネットワークで接続をするので外へは繋ぎません。
あと気になったのが今回使用するシンクライアントはHDDレスなのだがICAクライアントをインストール出来ないと思うのだがこれでは使用できないのでは?とかも思いました。
CPSサーバーとシンクライアントを繋げる場合は
シンクライアントのゲートウェイは1.100.
CPSサーバのゲートウェイを10.100にすれば接続は可能ですよね?
pancra 2006/06/05 11:55:52
ということですね。
それであれば、固定/動的どちらでも構成組めます。
動的割り振りの場合は前に書いたとおりDHCPリレーを別ネットワークシステムと
書かれている部分に設置するか、もしくはDHCPサーバを置く構成。
固定は説明はいらないですよね。
それからシンクライアントに関しては機種により、搭載OS(CEベース、XPembedded)
が違うし、ICAクライアントがプリインストールかどうかが違ってくる為、メーカーの
仕様を確認してください。
yasu 2006/06/06 11:14:44
わかりやすい説明ありがとうございました。
参考にした結果固定でいこうと思っています。
>それからシンクライアントに関しては機種により、搭載OS(CEベース、XPembedded)
が違うし、ICAクライアントがプリインストールかどうかが違ってくる為、メーカーの
仕様を確認してください。
とのことですが確認したところ
windowsXP embeddedを使用する機械で
ICAクライアントとsecure gatewayはプリインストールできるらしいです。
そこでまた質問があったのですが
secure gateway単体でVPNとして使用はできるのでしょうか?
調べたところnetscreenをVPNとして使用する場合にシンクライアントにnetscreen remoteをインストールしないとならないみたいですがそれが不可能なので出来ればnetscreenはファイアウォール専用にしようと思っていましたので
もしcitrixだけでVPN構築が可能なら教えていただきたいと思います
よろしくお願いします
pancra 2006/06/06 12:18:03
事が、SecureGatewayサーバを立てることで可能です。
ソフトの構成が変更できないシンクライアントの場合、予め
ICAクライアントのWEB版もしくは通常版がインストールされている
ことが前提となります。
CPS以外の通信が発生する場合はSecureGatewayではなく、AccessGateway
を利用してSSL-VPNを検討した方が良いかもしれません。
これもクライアントモジュールがインストールされる構成である為、
候補となっているシンクライアントに搭載可能か調査した方が
良いかもしれません。
上記へのレスはこちらにどうぞ
ロードバランス時のドメイン環境の必要性
しと 2006/05/24 14:32:00
過去にMetaFrame1.8でロードバランス機能を使うとき、MetaFrameサーバがドメイン環境にないと
公開アプリの設定ができなかったと記憶しております。
ただ、現在のバージョンCtrix Presentation Server4.0の管理者ガイド等を見る限り、ドメイン
環境配下うんぬんについての記述が見当たりませんでした。
Advanced Editionであればロードバランス機能を利用できると把握しておりますが、ワークグループ環境でも利用できるのでしょうか。
2台構成でサーバOSはWindows2003 or 2000Serverを予定しております。
pancra 2006/05/24 19:39:32
基本的にドメインコントローラ無しのロードバランスはCitrixとしては推奨してません。
WORKGROUP環境でのロードバランスは過去動作することは確認済みですが、CPS4.0で
試した事ないので、同様の方法で動作するかどうかは検証をお勧めします。
初心シャア 2006/05/26 02:01:31
http://www.citrix.co.jp/secolumn/vol_13.html
とても丁寧に解説してくれてます。
上記へのレスはこちらにどうぞ
サーバのドライブを非表示にしたい。。
TMGE 2006/05/09 14:31:27
以下の要件を満たす方法をどなたかご存知の方がいらっしゃいましたら、お教えください。
[要件]
ICA接続した際にサーバ上のドライブを、クライアントに見せたくない。
[環境]
・Presentation Server 4.0
・スタンドアロン環境(ドメイン環境に追加されていない環境)
ユーザー登録はドメインユーザーではなく、そのサーバーに直接登録。
[備考]
ドメイン環境であればドメイングループポリシーを使用する、というのは存じているのですが、
ドメイン環境でなくスタンドアロン環境であるという条件の場合、レジストリ変更以外に
「サーバーのドライブをクライアントへ見せなくする方法」はあるのでしょうか。
よろしくお願いいたします。
メタメタ 2006/05/10 16:14:02
TMGE 2006/05/10 21:27:59
頂いた情報をもとに調査してみたいと思います。
上記へのレスはこちらにどうぞ
クライアント数が少ない環境での使用
DARION 2006/04/30 18:18:09
現時点で、Citrix未導入で、LAN内でSQLを販売管理のソフトで5台で使用しています。この販売管理ソフトに限った話し(公開アプリケーション1つだけ)で1.VPNを組んだ先の倉庫で使いたい 2.時々ある展示会(公衆無線LAN)といった出先から使いたいという2つの要望があります。
特にお聞きしたいのは、2.の方で、httpsでの公衆無線LANからのアクセスです。
Secure Gateway for MetaFrame Presentation Server 新機能
http://www.citrix.co.jp/products/CSG/ps_function.html
上記の、構成例1では、ファイアーウオール(ルータ)を2つ入れていますが、そんな小規模な話しなので、右側のルータがなくて、左側のルータのポートフォワーディングでポート443だけをLAN内の特定PCに割り振っていたとします。また、SQLサーバは別にしますが、時々のアクセスのためだけに、サーバを何台も設置できないため、1.MetaFrame Presentation Server 2. Web Interface 3. Secure Gateway 4. STA 全てを単一のサーバにインストールするとします。
Q1.この構成は可能かどうか。(単一PCに4つインストールできるのか)
Q2.導入できる場合、DOMAINは必須か?(必須の場合、SQLサーバに導入予定)
Q3.この構成での、セキュリティ上の問題点?(ルータ2つ、または、DMZは必須かどうか)
以上、「質問とは違うがうちはこうやっている」とか、「考え方がおかしい」とか、「これを参考にしろ」とか何でも結構ですのでコメントいただければありがたいです。どうぞ、よろしくお願いいたします。
しゅーまっは 2006/05/01 09:46:31
paddy 2006/05/01 11:24:18
Secure Gateway +Web Interfaceという構成ならやりました。
これならサーバーハードウェアは1台で済みます。
また、最新のMetaFrame (4.0)ではSTAはMetaFrameサーバーインストール時に
自動的にインストールされるので、個別インストールは不要です。
Q2:必須では無いですが、ドメイン環境の方がBetterです。
Q3:上記の例で、ポートフォワーディング(静的IPマスカレード?)でやりましたが、
この場合はSecure Gateway(Web Interface)が乗っ取られるとLAN内の
すべてのマシンが危険にさらされることになります。
というか、そもそもDMZ用のポートを持つルーターを使えば、物理的に2台
用意する必要は無いですよ。
メタメタ 2006/05/01 13:13:59
VMWareの必要はありません。
「STA」が必要ないのは、paddyさんのおっしゃるとおり。
Q2:必須ではありません。実際の運用ではあったほうが種々のメリットがありますが、
割り切って使う分にはワークグループでもよいでしょう。
Q3:「理想的」なセキュリティ状態とは言えないかもしれませんが、
明らかに「問題」と言い切れることもないですよ。
本当に443だけを開けておけば、インターネットから攻撃をうけるようなことも考えにくいです。
CitrixのSGサービスはMS製IISに比べると遥かにマイナーなので、
脆弱性も発見されていないですし、わざわざSGを狙うようなモノズキも極めて少ないですから。
まあ、パスワードの漏洩だけは気をつけてください。
もちろん、これはこの構成に限った問題ではありませんが。
DARION 2006/05/02 06:58:29
「SSLリレー」という言葉は何度か見たのですが、一度検索とかでどんなものか自分なりにわかるようにしたいと思います。
paddy さん
> そもそもDMZ用のポートを持つルーターを使えば、物理的に2台用意する必要は無いですよ。
なるほどそうですね。STAの事も、知りませんでした。参考になります。
メタメタさん
> Q1:可能です。実際にこのようにして使っています。
非常に力強いコメントありがとうございました。この構成でいってみます。
> 脆弱性も発見されていないですし、わざわざSGを狙うようなモノズキも極めて少ないですから。
なるほど。。脆弱性の情報とかには敏感になるようにします。
> まあ、パスワードの漏洩だけは気をつけてください。
url,user名,パスワード,ドメイン名だけで、会社の業務ソフトがいつでも、どこでも使い放題になるわけですもんね。接続場所・PCが限定されるVPNとそこらへんが違うと認識するようにします。
みなさま、コメントありがとうございました。
上記へのレスはこちらにどうぞ
別バージョンの並行稼動について
kona319 2006/04/25 14:54:58
先方の都合で、しばらく並行稼動しなければならなくなりました。
そこで質問なのですが、FR3の環境は、再アクティベーションさえ発生しなければ、
しばらく並行運用しても問題は無いのでしょうか?
※現在は共存環境ですが、FR3公開アプリは普通に動いているみたいです。
★運用環境
FR3・・・Windows2000Server
PS3.0・・・WindowsServer2003
※ターミナルライセンスサーバのみ共有(WindowsServer2003ドメインコントローラ)で、
サーバーファームは別々に用意しています。
pancra 2006/04/27 09:13:04
SAを行使してCPS3.0に移行した時点でサポート対象も移行します。
ただ運用を考えた場合並行運用はよくあることですので、最終的にCPS3.0オンリーになるのであれば問題ないのでは?と思います。
いずれにせよ、この手の問題は正式にはメーカー(Citrix)しか答えられない。答えてはいけないといったものと思われます。リセラー経由で質問投げた方が良いですよ。
kona319 2006/04/27 14:40:24
気になってはいましたが、最終的に一本化するとはいえ、やはりライセンスの問題になりますよね。
今はテスト環境で共存(NFR版を使用)しているので良かったですが、ちょっとこれは問題なので
再度検討し直す事にします。
メタメタ 2006/05/01 13:16:00
http://www.citrix.co.jp/sa/samri.html
上記へのレスはこちらにどうぞ
TSCALトークンが発行されない
ちゅら 2006/04/21 01:31:26
MPS4.0、OS:Windows2003Server
サーバ6台構成で、
うち1台はドメインコントローラ兼TSライセンスサーバ
その他5台がMPSサーバ
TSライセンスサーバにTSCALトークンが正しく登録されているにもかかわらず、
クライアント全75台のうち9台にしか発行されておりません。
TSライセンスサーバのアクティベートは行っております。
●TSCALが発行されない原因、考えられることはないでしょうか。
●現在DCサーバ、MPSサーバ共にLicenseLoggingサービスが無効になっているのですが、
そのこととの因果関係はありますでしょうか。
(LicenseLoggingサービスを起動しても発行されませんでした)
●ライセンス期限切れになる可能性はあるでしょうか。
(現在発行された9台以外は一時ライセンスで動作しているのではないかとの悲観的観測から)
ご指摘、ご教示のほどよろしくお願いいたします。
ちゅら 2006/04/21 01:36:10
・TSCALはデバイスアクセスライセンスです。
・TSサーバーライセンス画面で一時ライセンスは何も発行されていない状況です。
ちゅら 2006/04/21 10:48:07
http://support.microsoft.com/default.aspx?scid=kb;ja;832017
に、
マイクロソフトでは、
Microsoft Small Business Server ファミリ
オペレーティング システムのユーザーだけが、
サーバー上でこのサービスを有効にすることをお勧めします
の記述を見つけました。
LicenseLoggingサービスが関係ないことはわかったのですが、
TSCALトークンが発行されない原因はまだつかめておりません。
グレートムタ 2006/04/21 14:09:53
TSCALのライセンストークンを受けた場合、一次ライセンスであっても、正規ライセンスであっても、
ある特定のレジストリにその情報が書き込まれます。
残り66台のレジストリはどのようになっていますでしょうか?
レジストリはお調べください。
ちゅら 2006/04/21 14:41:40
レスありがとうございます。
顧客が120km離れたところですので、
すぐ確認することはできませんが、
近日中に訪問し調査してまいります。
>TSCALのライセンストークンを受けた場合、一次ライセンスであっても、正規ライセンスであって
>も、
>ある特定のレジストリにその情報が書き込まれます。
一時ライセンスと正規ライセンスのいずれであるかをレジストリの内容から
判断可能でしょうか。教えていただけないでしょうか。
見てもさっぱりわからない情報だったように私の方では記憶しています。
グレートムタ 2006/04/22 19:13:58
本来想定してるライセンスサーバ以外からライセンスが割り与えられていること
事態が例外であるなら、とにかくレジストリを確認すべきだと思います。
場所は下記です。
HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing
\HardwareID
\Store
上記レジストリの配下に、LICENSE00x がいくつかある場合がありますが、
キー内の値 "ProductID" が "41 00 30 00 32 00 00 00 "の場合が、
Windows 2000 のターミナルサービスライセンスから発行された正規のキーだと
いう情報しか持ち合わせていません。
上記へのレスはこちらにどうぞ
サーバーのIPアドレス変更について
やきやき 2006/04/10 13:11:53
なのですが、サーバー移設のためIPアドレスを
変更することになりました。
1.クライアント側は当然接続時のアドレス変更が必要
となりますが、他に設定変更が必要でしょうか?
2.サーバー側Meta設定は特に何も必要ないと
思いますが、何か対応が必要でしょうか?
3.他に注意点等ありますでしょうか?
ご経験の方がいらしたら、ご指導願います。
よろしくお願いします。
グレートムタ 2006/04/11 23:39:44
CPSとWIは異なる筐体でしょうか?
ドメイン環境でしょうか?
ターミナルサービスライセンスサーバ、及びCPSのライセンスサーバは別筐体ですか?
当然ですがアプリケーション層のみならず、ネットワーク層に関しても注意が必要です。
上記へのレスはこちらにどうぞ
Presentation Server 4.0検証中に・・・
Meta 2006/04/03 17:09:55
うまくいかずに困っていることがあります。
WindowsServer2003、Presentation Server 4.0でワークグループにて構築しました。
(ドメインコントローラには4.0がインストールできなかったので)
クライアントはWindows XP Proです。
クライアントをAdmin権限に入れると問題なく起動できるのですが、Remote Desktop Users
だとシステムが起動できません。何か設定等が必要なのでしょうか?
インストール時に、「Userグループに属しているユーザーを追加する」にチェックをいれました。
過去ログの
「Windows 2000 Serverの場合は、Administratorグループに入れないとサーバーに接続できないのでしょうか?」
を参考にいろいろ設定したのですが、ダメでした。
何かご存知の方、ご教授いただければと思います。
上記へのレスはこちらにどうぞ
Web Interfaceで接続できない
TOKI 2006/03/24 15:22:01
Web Interface の設定をしてログイン画面よりログインすると
「エラー: 指定されたアカウント情報を認証できませんでした。
アカウント情報が間違っているか、認証システムに問題があります。
もう一度認証を実行するか、ヘルプデスクまたはシステム管理者に
問い合わせてください。 」
のメッセージが表示されます。
イベントビュアーで確認すると以下の2つのエラーが発生しています。
「サーバー ファームが、エラー "401" "Unauthorized" の発生を示す
HTTP ヘッダーを送信しました。このメッセージは、アドレス "http://XXXXX:80" の XML Service から報告されました。この XML Service と通信できませんでした。このサービス
はアクティブなサービスの一覧から一時的に削除されます。 [ログ ID : fb866fc6]」
「サーバーファーム "XXXXX_XXX" に対して設定したすべての XML Serviceは、この XML
トランザクションに応答できませんでした。 [ログ ID : 1d1e7b5e]」
何が原因かわかりません。何かご存知のであればお教え願います。
メタメタ 2006/03/25 01:28:51
せめて最低限の切り分けは行いましょう。
Program Neighborhoodでは接続できるのですか?
===以下たくさん聞きたいことがありますが省略===
Mon 2006/05/26 17:40:49
弊社のデモ環境でもTOKIさんと全く同じ現象が起きています。
***弊社の環境***
Windows 2000 SP4 の2台のサーバーとシンクライアント端末の構成です。
(1台目)
・Presentation Server 4.0
・Web Interface
・Terminal Server
・Presentation Server管理コンソール
・Citrix Access Suite管理コンソール
(2台目)
・Active Directory
・ライセンスサーバー(Citrix)
シンクライアント端末のブラウザを使用し、
http://[Presentation Serverのサーバー名]/Citrix/MetaFrame
を入力しアクセスします。
Presentation Serverへのログイン画面が表示されるので、そこでドメインに参加しているユーザーID、パス、ドメイン名を入力してログインを行うとTOKIさんと同じエラーとなります。
Presentation Serverへのログイン画面で入力するログイン情報は別の所で設定する必要があるのでしょうか??
現在、ここでとても悩んでおります。
ご存知の方がいらっしゃいましたら、是非伝授頂きたく思います。
宜しくお願い致します。
TDNS 2006/06/13 11:58:15
・APサーバー上で、WebInterfaceでログインしようとするとログインできますか?
→できない場合は、XMLのポートをサーバー側とAPサーバー側で確認してください。
・Program Neighborhoodでの接続はできますか?
→できない場合は、ドメインサーバーとの通信を確認してください。
また、ローカルでドメインユーザーでログインできるかなど確認してください。
などなど・・・
ざっと書きましたが基本的な確認事項が漏れていることが推測されます。
接続できない場合は、基本として以下の順番で確認されることをお勧めします。
1.ローカルでログイン
2.RDPでログイン
3.Program Neighborhoodでログイン
4.WIでログイン
以上、がんばって下さい。
ふふ 2006/06/13 20:12:20
Access Suite管理コンソール→サーバファームの管理で確認してみてください
犬 2007/03/13 15:22:56
Web Interfaceをアンインストールしておいて、IISを再インストールしたのち、Web Interfaceをインストールしたら、うまくいきました。
CCEA 2007/03/15 00:00:46
ctxxmlss /? でヘルプが出ます。
上記へのレスはこちらにどうぞ
インストールでエラー 教えてください。
Tomo 2006/03/24 12:57:26
・OS:W2003Server
・導入ソフト:Presentation Server 4.0
Presentation Serverをインストールで
ウィザードに従ってインストールを行うと
”エラー10001 致命的なエラーが発生しました”で
何回やってもインストールがうまくいきません。
どうしてエラーになるのか知っている人がいたら
教えてください。
よろしくお願いします。
しゅーまっは 2006/03/24 13:22:22
Tomo 2006/03/24 15:52:41
ドメインコントローラにしていけないの?
murama 2006/03/24 16:37:07
本掲示板の過去ログを検索してみましょう。