Windows Azure Pack: Web サイトのインストール前の手順
適用対象: Azure Pack Windows
この章で説明する手順は、Microsoft Azure Pack: Web サイトを正常にインストールするために重要です。Web サイト。 各セクションを注意深く読んで、必要に応じてアクションを実行してください。 次のようなセクションがあります。
ドメインとドメイン以外に関する注意点
Web サイト ロールのサーバーの作成
VHD やサーバーを準備するためのアドバイス
SQL Server で Windows Azure Pack Web サイトの実行時のデータベースを保持するための準備
テナントで使用する SQL および MySQL アプリケーション データベースのプロビジョニング
Web サイト ロールのファイアウォールの構成
インターネットからの着信アクセスに対するフロントエンド、パブリッシャー、Web ワーカー、管理サーバー、および事前に構成されていないファイル サーバー (省略可能) の各ロールの構成
Windows Azure Pack:Web サイトでプロキシ サーバーを使用するための構成
リモート アクセスのユーザー アカウント制御の変更
Web サイト クラウドの DNS マッピングの構成
ドメインとドメイン以外に関する注意点
Windows Azure Pack: Web サイトは、ドメイン参加している環境と、ドメインに参加していない (ワークグループ) 環境のどちらにもインストールできます。 ワークグループ環境は開発やテストのシナリオには適していますが、次のような理由から、ドメインに参加している環境を使用することをお勧めします。
ユーザーは認証ハンドシェイクに Kerberos を活用できます。Kerberos は NTLM や NTLM v2 よりも安全性に優れています。
ユーザーと資格情報の管理の簡素化。
グループ ポリシーによる管理の向上。
Web サイト ロールのサーバーの作成
Web サイト クラウドをインストールする前に、Web サイト ロールごとに 1 台の Windows Server 2012 R2 サーバーを用意します (サーバーは物理マシンと仮想マシンのいずれでもかまいません)。 後で、高可用性が必要な場合は、ロールごとに複数のサーバーを追加する必要があります。 メンテナンスを容易にするには、次のようなわかりやすいコンピューター名を使用することをお勧めします。 ここに示されている名前付け規則では、それぞれの名前の "x" を "1" (必要に応じて 0 を埋め込む) に置き換えて、ロールにサーバー インスタンスを追加するたびにこの数値をインクリメントします。
SitesCNx : Web サイト クラウドのコントローラー
SitesMNx : Web サイト クラウドの管理サーバー
SitesFEx : Web サイト クラウドのフロント エンド
SitesPBx : Web サイト クラウドのパブリッシャー
SitesWWSx : Web サイト クラウドの共有 Web ワーカー
SitesWWRx : Web サイト クラウドの予約済み Web ワーカー
SitesFSx : Web サイト クラウドのファイル サーバー
VHD やサーバーを準備するためのアドバイス
Windows Server 2012 (Windows Server 2012 R2 をお勧めします) のクリーン インストールを使用します。
複数の Web サイト ロールを同じ場所に配置しないでください。各 Web サイト ロールには、それぞれの VM またはサーバーが必要です。
Web サイト ロールを、管理者ポータル、テナント ポータル、管理 API、テナント API のサーバーと同じ場所に配置しないでください。 たとえば、Web サイト クラウド コントローラーと管理 API ロールは、別のコンピューターに配置する必要があります。
前に説明したように、ドメインに参加しているサーバーを使用することをお勧めします。
VM を使用する場合は、次の時点で各ロールのスナップショットを作成することをお勧めします。
インストール前
インストール後
構成後
注意
NetBIOS のエラーを回避し、名前が自動的に切り詰められないようにするには、選択するコンピューター名が 15 文字を超えないようにします。
SQL Server で Windows Azure Pack Web サイトの実行時のデータベースを保持するための準備
Web サイトの実行時のデータベースとして、SQL Server データベースを準備します。 ベスト プラクティスとして、Web サイトの実行時のデータベース、これに含まれるサービス管理 API データベースなど、すべての SQL Server ロールを別のコンピューターに配置してください。
テスト、開発、"概念実証" の目的には、SQL Express 2012 SP1 以降を使用できます。 ダウンロードについては、「Download SQL Server 2012 Express with SP1 (SQL Server 2012 Express と SP1 のダウンロード)」をご覧ください。
運用目的の場合は、SQL Server 2012 SP1 以降の完全バージョンを使用する必要があります。 SQL Server のインストール方法について詳しくは、SQL Server 2012 のインストールに関するページをご覧ください。
混合モード認証を有効にする必要があります。
Web サイトの実行時の SQL Server は、すべての Web サイト ロールからアクセスできる必要があります。
どの SQL Server ロールの場合も、既定のインスタンスまたは名前付きインスタンスを使用できます。 ただし、名前付きインスタンスを使用する場合は、手動で SQL Browser サービスを開始してポート 1434 を開いてください。
詳細については、「Azure Pack での SQL Server または MySQL の使用Windows参照してください。
テナントで使用する SQL および MySQL アプリケーション データベースのプロビジョニング
使用している環境によっては、テナントの SQL Server および MySQL のデータベース アプリケーションをサポートする必要があります。 その場合、テナント アプリケーション データベース専用の別の SQL Server インスタンスおよび MySQL インスタンスをインストールし、構成する必要があります。
SQL Server のテナント アプリケーション データベース サーバーの要件は次のとおりです。
混合モード認証を有効にする必要があります。
SQL Server は、Web ワーカー ロールとパブリッシャー ロールからアクセスできる必要があります。
SQL Server は、管理 API ロールとテナント API ロールからアクセスできる必要があります。
MySQL のテナント アプリケーション データベース サーバーの要件は次のとおりです。
MySQL コマンド ライン インターフェイスを使用して、ルート ユーザーに対してパスワードを使ったリモート アクセスが有効になっている必要があります。 構文例を次に示します。
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION; FLUSH PRIVILEGES;
MySQL コマンド ライン インターフェイスの詳細については、 MySQL のドキュメントを参照してください。
MySQL サーバーは、Web ワーカー ロールとパブリッシャー ロールからアクセスできる必要があります。
MySQL サーバーは、管理 API ロールとテナント API ロールからアクセスできる必要があります。
IPv6 のサポートには、MySQL Version 5.5.30 以降を使用します。
詳細については、「 Configure SQL Server and MySQL Application databases for tenant use」をご覧ください。 運用環境用の SQL Server のスケールアップについては、「 Configuring SQL Server for High Availability」を参照してください。
Web サイト ロールのファイアウォールの構成
Microsoft Azure Pack: Web サイトをイントラネット環境内のみに実装する場合には、パブリック インターネット アクセスは必要ありません (インターネット アクセスが必要な場合でも、ネットワーク トポロジを入念に計画することによって、Web サイト ロールが直接インターネットに公開されることを防止できます)。
サーバーに Web サイト ロールを追加する前に、サーバーのファイアウォール設定を構成する必要があります。 各 Web サイト ロールのインターネット アクセスの要件を次の一覧にまとめます。
管理サーバー: パブリック インターネット アクセスは必要ではありません。
ファイル サーバー: インターネット アクセスは必要ではなく、インターネットからアクセスできないようにする必要があります。
Web サイト コントローラー: 発信 HTTP アクセスは必要ですが、着信アクセスは必要ではありません。 コントローラーでは、Web サイト ロールのインストールに必要なソフトウェアの必須コンポーネントをダウンロードできるようにするために、発信アクセスが必要です。
Web ワーカー: 着信インターネット アクセスは必要ありませんが、(たとえば) Web アプリケーションが外部 Web サービスを利用するような場合には、発信アクセスを必要とする場合があります。
フロントエンド サーバーは、ネットワーク トポロジに応じて、Web サイトに対するクライアント要求を受け付けるために、直接の着信ネットワーク アクセスを必要とする場合と必要としない場合があります。
パブリッシャーは、ネットワーク トポロジに応じて、FTP および Web デプロイの発行要求を受け付けるために、直接の着信ネットワーク アクセスを必要とする場合と必要としない場合があります。
フロントエンド ロールとパブリッシャー ロールでは、パブリック アドレスとプライベート アドレスの間でネットワーク アドレス変換を処理する上流のロード バランサーまたは上流の NAT デバイスがある場合、直接のインターネット アクセスを回避できます。
インターネットからの着信アクセスに対するフロントエンド、パブリッシャー、Web ワーカー、管理サーバー、および事前に構成されていないファイル サーバー (省略可能) の各ロールの構成
フロントエンド、パブリッシャー、Web ワーカー、および管理サーバーの各ロールになるサーバーでは、次のサービスへの着信アクセスを許可します。 事前に構成されていないファイル サーバー オプションを使用する場合は、ファイル サーバー ロールにこれらの設定を適用する必要もあります。
SMB-In (ファイルとプリンターの共有)
WMI-In (Windows Management Instrumentation)
着信アクセスを構成するには、次の netsh コマンドを使用できます。
netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
注意
フロントエンド ロールおよびパブリッシャー ロールのネットワーク アダプターは、Windows ファイアウォールでパブリック プロファイルを使用するように構成されている必要があります。
Windows Azure Pack:Web サイトでプロキシ サーバーを使用するための構成
インターネットへの発信アクセスにプロキシ アドレスを使用する場合、Microsoft Azure Pack: Web サイトをインストールして実行する前に、Web サイトでのプロキシ アドレスの使用を有効にする必要があります。Web サイト。
注意
プロキシ サーバーを介した Web Farm の認証は現在サポートされていません。 ここでは、プロキシ サーバーの内側に Microsoft Azure Pack: Web サイトをインストールして実行するために必要な手順を説明します。 プロキシ サーバーを構成する方法については説明しません。
ファームが認証なしでプロキシ経由で通信できるようにするには、コントローラーで管理者特権を使用して次の PowerShell コマンドを実行します。 ProxyAddress をプロキシのアドレスに置き換える<>
Import-Module WebSites
Set-WebSitesConfig Global -ProxyEnabled True -ProxyAddress <ProxyAddress>
注意
Windows Azure Pack の Web サイト サービスをインストールする場合は、プロキシに対して認証できるアカウントを使用して Web Platform Installer を実行します。
Microsoft Update がプロキシの内側の Microsoft Azure Pack: Web サイトにアクセスすることを許可する
Microsoft Azure Pack: Web サイトがプロキシの内側にある場合のオプションの手順として、Microsoft Update が Microsoft Azure Pack: Web サイトを正しく処理できるように設定することをお勧めします。Web サイト。 これを行うには、管理者特権を持つ次の PowerShell コマンドをコントローラーで実行します。ここで、ProxyUserPassword> パスワード<を持つユーザー <ProxyUser> は、プロキシに対して認証できます。
Import-Module WebSites
New-WebSitesConfig Credential -CredentialName ProxyUserCredential -UserName <ProxyUser> -Password <ProxyUserPassword> -CredentialType SystemCredential
リモート アクセスのユーザー アカウント制御の変更
Microsoft Azure Pack: Web サイト ロールとして使用する各サーバーで、次の手順に従ってリモート接続のユーザー アカウント制御 (UAC) を無効にします。 これによって、リモート管理の実行が許可されます。
注意
ローカルの UAC の構成は変更されません。
管理者特権でのコマンド プロンプトで、次のコマンドを実行します。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
サーバーを再起動します。
Web サイト クラウドの DNS マッピングの構成
Web サイト クラウドの設定中に、Web サイト コントローラーを構成するときに、エンド ユーザーの Web サイト用にドメイン名を使用するように促すメッセージが表示されます。
既定では、Web サイトは既定のドメインの下に作成されます。 Web サイトを作成すると、ユーザーは各 Web サイトにカスタム ドメイン名を追加できます。 カスタム ドメインをサポートするようにテナント Web サイトを構成できますが、Microsoft Azure Pack: Web サイトによってカスタム DNS レコードが更新されることはありません。 インターネットに直接つながっている Web サイトが、適切な IP アドレスが割り当てられて構成されていることを確認するには、次のガイダンスに従ってください。
Contoso.com などの特定のドメインについて、次の DNS A レコードを作成します。
ホスト名 |
IP アドレス |
* |
フロント エンド サーバー |
*.scm |
フロント エンド サーバー |
ftp |
パブリッシング サーバー |
[発行] |
パブリッシング サーバー |
このマッピングスキームを使用すると、ユーザーは両方 https://www.contoso.com にログオンし、 https://contoso.com サイトを管理できます。 管理者用の管理ポータルおよびテナント用の管理ポータルについては、「 Windows Server 用 Windows Azure Pack のデプロイ」を参照してください。
このサンプル構成では、ユーザーが作成する Web サイトは、site1.contoso.com、site2.contoso.com などの子ドメインを使用して作成されます。
ユーザーが Web デプロイまたは FTP で、Web サイトにコンテンツをパブリッシュする場合、それぞれ publish.contoso.com または ftp.contoso.com を使用します。 Git によるコンテンツのパブリッシュでは、*.scm.mycloud.com を使用します。
注意
この展開では、特殊なドメインに対する要件はありません。 既存のドメインの下で my.yourdomain.com などのサブドメインを使用できます。