技術リファレンス

次のセクション:

• サービス

• Web サイト

• SSL を使用した通信の保護

• Environment Manager/管理センター のセキュア SQL Server 接続

サービス

管理サーバには次の4つのサービスが関連付けられています。

• Ivanti Alerts Service - 管理サーバのイベントに基づいてアラートを作成し、関連付けられた処理を実行します。
• Ivanti Events Dispatcher サービス - アップロード中の新しいイベント ファイルを監視し、イベントを管理サーバ データベースに追加します。
• Ivanti Scheduler サービス - 管理サーバに関連付けられたすべてのスケジュールされたタスクを管理します。 これには、検出およびオフライン コンピュータ検出が含まれます。
• Ivanti Deployment サービス - 管理コンソールからユーザが選択するときに、配布エージェントのインストールを管理します。

Management Server サービスの診断ログを生成するには、サーバ構成ポータルの [インスタンス詳細] ページでログを [有効] に設定します。ログ ファイルは %ProgramData%\AppSense\Management_[Instancename] に保存されます

1つのサービスが個人設定サーバに関連付けられています。

AppSense 個人設定バックグラウンド サービス - 個人設定オペレーション コンソールで必要なバッチ処理を実行し、データベースで日次アーカイブおよびクリーンアップを実行します。

Web サイト

管理サーバ

管理サーバ root Web ディレクトリは、管理コンソール、配布エージェント、User Workspace Manager 製品、およびドキュメントをダウンロードするためのダウンロード Web ページをホストします。

このページから診断ログを生成することもできます。既定では、%ProgramData%\AppSense\Management_[Instancename] に保存されます。

ManagementServer/Deployment

ManagementServer/Deployment Web ディレクトリは、配布エージェントが 管理センター データベースにアクセスするために使用する管理サーバ Web サービスを提供します。ホストされた Web サービス:

• ポーリング - 管理されたエンドポイントは、ポーリング期間やポーリング中のインストール スケジュールなどの設定を受信します。
• 前提条件の確認とインストール - 管理されたエンドポイントは、BITS を使用して、エージェント、構成、および前提条件をインストールします。
• イベント コレクション - 管理されたエンドポイントは、BITS を使用して、ほとんどのイベントをアップロードします。
• サーバ診断 - 管理されたエンドポイントは高優先度のイベントを送信します。

診断ログの DeploymentDirectory.log はこのページから実行することもでき、%ProgramData%\AppSense\Management_[Instancename] に保存されます

ManagementServer/Data Access

ManagementServer/DataAccess Web ディレクトリは、データ アクセス サービスへのインターフェイスを提供します。管理コンソ－ルからのすべての通信の宛先です。

ManagementServer/PackageManagement

ManagementServer/PackageManagement Web ディレクトリは、Package Management サービスへのインターフェスを提供します。Application Control、Environment Manager、および Performance Manager コンソ－ルからのすべての通信の宛先です。

SSL を使用した通信の保護

任意で、Secure Socket Layers (SSL) をサポートするように、管理サーバ Web サイトを構成し、Active Directory を使用して安全な通信を実現します。

SSL は通信の機密性と完全性を確保し、次のように、許可されたユーザのみが機密データにアクセスできることを保証します。

• イベント データ
• エージェントおよびエージェント構成データ

他のサポートされているオペレーティング システムまたは他のバージョンの Microsoft SQL Server を使用して、Web サーバで SSL 証明書を設定している場合は、詳細について、次をご参照ください。
http://msdn.microsoft.com/library/

IIS での SSL の設定

このセクションには、自己署名証明書を作成して、Web サイトの SSL を設定する方法について説明します。

信頼できる認証局によって発行された他の種類の証明書もサポートされます。

1. [スタート] > [すべてのプログラム] > [管理ツール] > [Internet Information Services (IIS) Manager] で、[ServerName] ノードを選択し、[IIS] セクションで [サーバ証明書] をクリックします。
2. 適切な証明書が一覧にあることを確認します。ない場合は、[処理] パネルのオプションを使用して、証明書を作成またはインポートします。
3. 製品の Web サイトを選択し、ショートカット メニューで [バインドの編集] をクリックします。
4. [追加] をクリックし、[タイプ] ドロップダウンリストで [HTTPS] を選択します。
5. [SSL 証明書] ドロップダウンリストで、証明書を選択します。
6. [OK] をクリックし、[閉じる] をクリックします。

Environment Manager/管理センター のセキュア SQL Server 接続

サーバ構成ポータル (SCP) に、接続ストリング値である Encrypt と TrustServerCertificate をそれぞれ True と False に設定した状態で、(PS および MS からの) SQL 接続を作成する機能が加わりました。これは、Web アプリケーションと Web サービスに当てはまり、サーバの web.config と .exe.config で SqlConnectionString アプリケーション設定にパラメータを追加するという直接的な方法で実装します。

[SCP データベース接続] ページに、次の2つのチェックボックス オプションが表示されます。

• 接続の暗号化: 選択すると、接続上のすべてのデータが SQL サーバの証明書を使用して暗号化されます。False に設定すると、サインイン トランザクションのみが暗号化されます。すべての SQL サーバにはインストール時に証明書が備わっているため、これ以上の構成は不要です。

  データ接続を暗号化すると、パフォーマンスに影響を与えます。

• サーバ証明書の検証: 選択すると、SCP は有効な証明書があるかチェックします。このオプションは、[接続の暗号化] も選択されている場合にのみ選択でき、次の要件があります。

  • SQL Server 証明書を信頼するように PS および MS が構成されている。

  • 生成された SQL Server 証明書が、PS および MS の [信頼できるルート認証局] ストアで信頼できるルートによって署名されている、あるいは [信頼できるルート認証局] ストアに保存されている。

SCP 実装

セキュア接続を設定する際、SQL Server 名は、証明書の DNS 名と一致している必要があります。そのため、完全修飾ドメイン名が必要になる場合があります。[サーバ証明書の検証] が選択されている場合、SCP は無効な名前とパスワードでサインインを試行し、戻りステータスを調べて、失敗が無効な証明書によるものなのか、無効なサインインによるものなのかを判別します。SCP は、証明書の妥当性を検証できるまでは、実際の認証資格情報を使用しません。

テスト用の証明書

テスト用の証明書を生成して、設定するには、次の手順を完了します。

1. SQL Server コンピュータで次の PowerShell スクリプトを実行することで、ローカル コンピュータ ストアに証明書を作成し、現行ディレクトリに .cert ファイルを保存します。

   $3years = [DateTime]::UtcNow.AddYears(3)
   $enhancedKeyUsageServerAuthentication = @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
   $name = $env:COMPUTERNAME
   $fqdn = [System.Net.Dns]::GetHostByName($name).HostName
   $cert = New-SelfSignedCertificate

   -CertStoreLocation 'cert:\LocalMachine\My'
   -DnsName $fqdn,$name,"localhost"
   -FriendlyName "$($name)-sql-server"
   -Hash 'SHA256'
   -KeyAlgorithm 'RSA'
   -KeyExportPolicy ExportableEncrypted
   -KeySpec KeyExchange
   -KeyFriendlyName "$($name)-sql-server"
   -KeyLength 2048
   -KeyUsage DigitalSignature,KeyEncipherment,DataEncipherment
   -NotAfter $3years
   -Provider 'Microsoft RSA SChannel Cryptographic Provider'
   -Subject $name
   -TextExtension $enhancedKeyUsageServerAuthentication
   -Type SSLServerAuthentication 

   $cert | Export-Certificate -Type CERT -FilePath $name-sql-server.cer

2. certlm.msc を実行し、Personal ストア内の新しい証明書に移動します。
3. 証明書を右クリックし、[すべてのタスク] > [秘密鍵の管理] を選択します。
4. 秘密鍵を見つけ、SQL Server を実行しているアカウントに読み取りアクセスを付与します。

   このアカウントは通常、ローカル コンピュータ上の NT Service\MSSQLSERVER です。

5. [SQL Server 構成マネージャ] を実行し、[SQL Server ネットワーク構成] > [MSSQLServer のプロトコル] に移動します。
6. 右クリックし、[プロパティ] > [証明書] タブを選択します。ドロップダウン メニューから証明書を選択します。
7. SQL Server サービスを再起動します。

8. PS/MS コンピュータで、手順1で作成した .cer ファイルを、certlm.msc を使用するか、または右クリックして [証明書のインストール] を選択することにより、ローカル コンピュータの [信頼できるルート認証局ストア] にインポートします。

関連トピック

User Workspace Manager サーバ コンポーネント Web サイト

データベース アカウント