« 備えあれば憂いなし!ARCserveシリーズ製品間連携機能でのデータ保護 | トップページ | 毎日1回バックアップで31日間の「31世代」を確保する方法 »

2012年9月 4日 (火)

Arcserve RHA r16 SP2 新機能 ~ワークグループ環境でのアクセス権(ACL)の複製 ~

マサオミです。

Tech Tuesday、本日も引き続き Arcserve RHA r16 SP2の新機能をご紹介します。今回は我々CAのプリセールスメンバーも搭載されることを待ち望んでいた機能、「ワークグループ環境でのアクセス権(ACL)の複製」について解説します。

これにより、Active Directory ドメインに参加していないファイル サーバの切り替え運用が、より便利になります!

======== r16 新機能目次 ========

① ネットワークアドレス変換(NAT)に対応 (全2回)  第1回 第2回    
ワークグループ環境でのアクセス権(ACL)の複製      (←本日はここ)
帯域制御機能の曜日指定    
ログ収集ツールの追加    
ブロックレベル同期の動作改善    
同期時のアーカイブビットの保持    
その他の新機能・改良点

==========================

 

なお、今回ご紹介する設定方法については弊社で開催している無償ハンズオントレーニングでも実際にお試しいただけますので、実際に触ってみたい、という方は是非お申込みください。

災害対策・業務継続に!Arcserve Replication/HA■前編■   
※ r16 SP2も含めた内容に変更済み!

 

従来方式のアクセス権のレプリケーションは Active Directory 環境でのみ有効

Arcserve RHA は Windows ファイルサーバの冗長化の目的でご利用いただく事が多くあり、この場面ではファイルに紐づくアクセス権(ACL)のレプリケーションが必要になります(※1)。

そこで、Arcserve RHAはデフォルトで、ユーザアカウントのセキュリティ識別子(SID)に紐付けられたアクセス権を複製します。Active Directory 環境であれば、ドメイン内(または信頼関係のあるフォレスト内)でユーザが同一の SID で識別されるため、レプリカに切り替えても同じユーザがファイルにアクセスできます。

 

しかし、ワークグループの環境の場合、ローカルアカウントのSIDは「サーバSID」と「ユーザSID」の組み合わせで管理されていて、別のサーバで同名のアカウントを作ってもそのアカウントのSIDは全く違うものになります。

そのため、たとえマスタサーバとレプリカサーバで同じ名前のユーザアカウントを作ってもSIDを元にアクセス権を複製してしまうとWindows OSは同じアカウントとして認識しません。

具体的な例で説明しましょう。ワークグループ環境のマスタ サーバ上にある共有フォルダをデフォルト設定のままArcserve RHAでレプリカサーバに複製しました。左はマスタサーバのフォルダのセキュリティ設定、右はレプリカサーバに複製されたフォルダのセキュリティ設定です。

ACL1-3-M  ACL1-4-R

 

マスタサーバのフォルダでは「マスタ太郎(Taro)」さんにフルコントロールのアクセス権が割り当てられています。レプリカサーバ側ではマスタ太郎さんのアクセス権が複製されているものの、「不明なアカウント(S-1-・・・)」と表示されています。

これは、同じSIDを持ったアカウントがレプリカサーバに存在しないからです。この状態のままでは、マスタサーバの障害などでレプリカサーバに運用を切り替えても、マスタ太郎さんは複製されたファイルにアクセスできません。

 

Arcserve RHA r16 SP2 からアカウント名でのアクセス権の複製も可能に!

そこで、Arcserve RHA r16 SP2では「ローカル アカウント名の保存」というオプションを追加しました。このオプションをオンにすると、ローカルアカウントにつけたユーザ名のマッチングをしながらアクセス権を複製するようになります。

ワークグループの環境で、アクセス権を複製する場合には、以下の3つのステップを行います。

ACL1-5

 

STEP1: マスタおよびレプリカサーバにArcserve RHA r16 SP2 以降をインストール

STEP2: レプリカサーバにも同名のアカウントを作成 (※大文字小文字も含め全く同じにしてください。)

STEP3: シナリオプロパティを設定。 「ローカル アカウント名の保存」を「オン」に変更

既にArcserve RHA をワークグループ環境で使っていてレプリカサーバにも同名のユーザを作って運用しているという場合にはSTEP2は省けるでしょう。

 

上記を行った後シナリオを実行すると(※2)、以下のようになります。レプリカサーバのフォルダにもマスタ太郎さんがフルコントロールのアクセス権を持っているのが分かります。(左がマスタサーバのフォルダ、右がレプリカサーバに複製したフォルダ)

ACL1-3-M ACL1-6-R

   

いかがでしょうか。

海外とは違い、日本ではまだまだワークグループで管理されるサーバも多くあります。この機能が追加されたことでワークグループの環境でもこれまで以上に簡単に、運用も楽にご利用いただけると思います。是非利用してみてくだい。 

 

またArcserve.com/jpのカタログセンターでも今回の機能の説明資料を公開しています。ちょっとした説明資料が欲しいという方も是非ご参照ください。

ARCserve RHAでローカルアカウントのACLをレプリケーションする方法 (PDF 0.35 MB)

 

それでは、本日はここまで。   
See you in next TT . . .

 

<関連記事>

Arcserve Replication で NTFS アクセス権をレプリケーションしてみた

 


※1 Windows にはこの記事で説明している NTFS の ACL とは別に、共有フォルダ毎に設定するアクセス権があります。Arcserve RHA はこの共有設定をレプリケーションではなく「同期」によって複製します。また、共有フォルダのアクセス権については、この記事で紹介しているローカル アカウント名でのマッチングは行いません。

そのため、共有フォルダのアクセス権は細かくは設定せず、レプリケーションが可能な NTFS の ACL の方で詳細なアクセス権を設定することをお勧めします。詳しくは以下の KB もご覧ください。

>> 共有設定がレプリケーションされない

 

※2 Arcserve RHA はマスタ/レプリカのローカルアカウントのリストを同期の際に作成します。そのため、この機能を使用する方は運用の中で以下の2つを行ってください。

 ・マスタにアカウントを作成したらレプリカにも同名のアカウントを作成する
 ・定期的に同期を行う

詳しくは以下のKBもお読みください。

>> [ローカル アカウント名の保存] について

« 備えあれば憂いなし!ARCserveシリーズ製品間連携機能でのデータ保護 | トップページ | 毎日1回バックアップで31日間の「31世代」を確保する方法 »

製品/サービスについて」カテゴリの記事

技術情報」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

トラックバック

« 備えあれば憂いなし!ARCserveシリーズ製品間連携機能でのデータ保護 | トップページ | 毎日1回バックアップで31日間の「31世代」を確保する方法 »