ストレージゾーン Controller5...ストレージゾーンController5.x...

ストレージゾーン Controller 5.x

Machine translated content

Disclaimerこのコンテンツの正式なバージョンは英語で提供されています。Citrixドキュメントのコンテンツの⼀部は、お客様の利便性のみを⽬的として機械翻訳されています。Citrixは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な⽤語が含まれる場合があります。英語の原⽂から他⾔語への翻訳について、精度、信頼性、適合性、正確性、またはお使いの Citrix製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利⽤規約、あるいは Citrixとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの⼀致に関する保証は、明⽰的か黙⽰的かを問わず、かかるドキュメントの機械翻訳された範囲には適⽤されないものとします。機械翻訳されたコンテンツの使⽤に起因する損害または問題について、Citrixは責任を負わないものとします。

Citrix Product Documentation | docs.citrix.com May 22, 2020


Contents

ストレージゾーン Controller 5.xの新機能 3

ストレージゾーン Controllerについて 6

アーキテクチャの概要 11

システム要件 17

インストール 23

Citrix ADCをストレージゾーン Controller⽤に構成する 24

Citrix ADCを⼿動で構成する 31

プライベートデータストレージ⽤のネットワーク共有を作成する 35

SSL証明書のインストール 38

ShareFileデータ⽤にサーバーを準備する 38

ストレージゾーン Controllerをインストールし、ストレージゾーンを作成する 40

ストレージゾーン Controller設定を確認する 53

ユーザーアカウントの既定のゾーンを変更する 54

ストレージゾーンのプロキシサーバーの指定 54

ドメイン Controllerが委任のために記憶域ゾーンコントローラを信頼するように構成する 55

Web Appプレビュー、サムネイル、および表⽰専⽤共有⽤のストレージゾーン Controller構成する 56

マルチテナントストレージゾーンの構成 60

アップグレード 63

ストレージゾーンコントローラを管理する 67

セカンダリストレージゾーン Controllerをストレージゾーンに結合する 67

プライマリストレージゾーン Controllerアドレスまたはパスフレーズの変更 68

ストレージ・ゾーン・コントローラを降格および昇格する 69

ストレージゾーン Controller無効化、削除、または再デプロイ 70

© 1999-2020 Citrix Systems, Inc. All rights reserved. 2


新しいネットワーク共有にファイルを転送する 71

プライマリストレージゾーン Controller構成のバックアップ 72

プライマリストレージゾーン Controller構成の回復 74

プライマリストレージゾーン Controllerを交換する 78

ファイルリカバリ⽤のストレージゾーン Controllerを準備する 78

ShareFileデータのバックアップからファイルやフォルダを回復する 85

ShareFileクラウドをストレージゾーンで調整する 87

アップロードされたファイルのウイルス対策スキャンの設定 88

ShareFileデータの移⾏ 93

ストレージゾーン Controller構成で FIPS 140-2モードを有効にする 94

コネクタのお気に⼊り 95

ShareFileデータのストレージ・ゾーンを管理する 95

ストレージゾーンコネクタの作成と管理 98

情報漏えい対策 105

モニター 112

制限されたストレージゾーン 122

参照:ストレージゾーン Controller設定ファイル 136



ストレージゾーン Controller 5.xの新機能

December 17, 2019

ストレージゾーン Controllerーの最新バージョンについては、https://www.citrix.com/downloads/を参照してください。Citrixアカウントにサインインして、すべてのアプリケーションのダウンロードにアクセスします。

新機能

5.9の新機能

• バグ修正：このリリースでは、信頼性とパフォーマンスを向上させるための修正が含まれています。

5.8の新機能

• ネットワーク共有コネクタからのファイルのチェックインとチェックアウト：ユーザーは、Citrix ContentCollaborationのネットワーク共有コネクタからファイルをチェックアウトできます。これにより、ネイティブリポジトリを使⽤して同じファイルを操作しようとする可能性がある他のユーザーによるファイルの競合や上書きが防⽌されます。チェックアウトすると、他のユーザーが同じファイルを開けないように、ファイルがロックされます。

– この機能を設定するには、ネットワークファイル共有のファイルのチェックインとチェックアウトを有効にするにはの項で説明されている⼿順に従います。

• MS Officeドキュメントの作成: ユーザーは、アカウントが Office Online Serverで構成されている場合、オンプレミスのフォルダーにMSOfficeドキュメント (Word、Excel、および PowerPoint)を作成できます。

• バグ修正：このリリースでは、信頼性とパフォーマンスを向上させるための修正が含まれています。これには、チェックアウトされたファイルのエラーメッセージと、SharePointで新しく発⾏された管理パスの修正が含まれます。

5.7の新機能

• CitrixWorkspaceのオンプレミスコネクタへのシングルサインオン:このリリースでは、CitrixWorkspaceクライアントを使⽤しているユーザーがストレージゾーン Controller背後にあるネットワーク共有またはSharePointフォルダーにアクセスしようとしたときに、認証を求めるメッセージが表⽰されなくなりました。

– この機能を有効にするには、「Citrix Workspaceでの Citrix Content Collaborationの展開と有効化」の⼿順に従います。

• バグ修正: このリリースでは、ストレージゾーンとオンプレミスのコネクタへのファイルのアップロードでリダイレクトの問題に対処するための修正が含まれています。


https://www.citrix.com/downloads/

/ja-jp/storage-zones-controller/5-0/create-and-manage-connectors.html#to-enable-file-check-in-and-check-out-for-network-file-shares

/ja-jp/storage-zones-controller/5-0/create-and-manage-connectors.html#to-enable-file-check-in-and-check-out-for-network-file-shares

/ja-jp/citrix-content-collaboration/deploy.html#deploy-and-enable-citrix-content-collaboration-in-citrix-workspace

/ja-jp/citrix-content-collaboration/deploy.html#deploy-and-enable-citrix-content-collaboration-in-citrix-workspace


5.6の新機能

• ファイルクリーンアップサービスの改善: このリリースでは、アップロードが完了した直後に⼀時フォルダ内の項⽬をクリアし、キュー内の項⽬をより適切に処理して削除するための変更が含まれています。

• WOPI Fix: Officeファイルを後で編集しようとしたときに表⽰される問題を解決するための変更が含まれています。

• SharePointコネクタの修正: このリリースでは、SharePointコネクタに既に存在するフォルダを作成するときに有効なエラーメッセージを表⽰する変更が含まれています。

• 信頼性の修正: このリリースでは、信頼性の修正が含まれています。

5.5の新機能

• 信頼性の修正: このリリースでは、信頼性の修正が含まれています。

5.4.2の新機能

• SharePointコネクタの修正: SharePointコネクタに存在するファイルを移動すると、特定のシナリオで失敗する可能性があります。このリリースでは、SharePointコネクタ上に存在するファイルの移動が期待どおりに動作することが保証されます。

• セキュリティ修正: このリリースには、セキュリティと信頼性に関する修正が含まれています。

5.4.1の新機能

• Citrix Workspaceでのカスタマー管理ストレージゾーンコネクタへの SSOのサポート：Workspaceユーザーのカスタマー管理ストレージゾーンコネクタへのシングルサインオン（SSO）を許可するサポートが追加されました。ワークスペースユーザーは、Citrix Files介してネットワーク共有または SharePointフォルダにアクセスしているときに、認証プロンプトで挑戦されることはありません。これらの変更はサーバー側のみです。クライアントの変更は保留中です。

• 顧客が管理するストレージゾーンコネクタのユーザーアクティビティイベントを発⾏する: ネットワーク共有および SharePointコネクタでのファイルのアップロード、ダウンロード、名前の変更、および共有操作のために ShareFileイベントパイプラインにイベントを発⾏するサポートが追加されました。これらのイベントは、ShareFileクライアントで最近使ったファイルリストを⽣成したり、Citrix Analyticsサービス（CAS）でリスク検出分析を実⾏したりするためにダウンストリームで消費することができます。

• SharePointコネクタの改善: SharePointコネクタ上に存在するフォルダーの作成者とアップロード時刻情報を表⽰するサポートが追加されました。

• セキュリティ修正: このリリースには、セキュリティと信頼性に関する修正が含まれています。• Workspace環境の *cloud/ *cloudburritoアカウントのサポートが追加されました。



5.3.1の新機能

• TLS 1.0の⾮推奨のサポート: このリリースでは、管理者が顧客が管理するストレージゾーン Controllerサーバーからの送信通信⽤に TLS v1.0をブロックできるように変更が加えられています。

5.3の新機能

• WOPI修正: WOPIアクセストークンは、公開暗号鍵の盗難によって偽装された可能性があります。このバージョンでは、ストレージゾーンコントローラ間でキーが共有されないことが保証されました。

• セキュリティ修正: このリリースには、セキュリティ、パフォーマンス、および信頼性に関する修正が含まれています。

5.2の新機能

• マルチテナントゾーンでのコネクタ共有:マルチテナントゾーンでのコネクタ共有のサポートが追加されました。

• データ損失防⽌ (DLP)のためのセキュアな ICAPサポート: DLP⽤の Secure ICAPのサポートが追加されました。

• Google Cloud Platformでお客様が管理するストレージゾーン: Googleクラウドプラットフォームでストレージゾーンを作成するためのサポートが追加されました。

• AVスキャンサービスへの CLIの統合（複数のスレッド⽤）: このリリースでは、ICAPがサポートするウイルス対策製品を使⽤したスキャンに加えて、Symantec Command Line AV ScanなどのコマンドラインのAVツールの使⽤がサポートされています。

• システム要件: StorageZones Controllerには、Microsoft .NET Framework 4.6.2以降が必要です。• セキュリティ修正: このリリースには、セキュリティ、パフォーマンス、および信頼性に関する修正が含まれています。

5.1の新機能

• オンプレミス向けファイルへの直接サポート -Officeモバイルアプリのユーザーは、ファイルへの直接統合を使⽤して、Microsoftアプリを使⽤して、ShareFileオンプレミスゾーンに保存されたファイルを開いたり保存したりできるようになりました。（注：ShareFile for iOSの将来のバージョンでは、この機能がサポートされます）。

• ハートビートの信頼性の向上 -heartbeat.aspxの信頼性が向上し、認証の問題によりローカル構成サービスが到達不能になったが、ハートビートが正しくオンライン状態を⽰す問題を解決します。このリリースでは、ステータスをレポートする前に接続性がチェックされます。

• WOPIサーバーの修正 -ファイルプレビューに使⽤されるWOPIサーバーは、ストレージゾーン Controllerで構成されたプロキシ設定を使⽤するようになりました。

• セキュリティの向上 -パフォーマンスと信頼性の要因に関連するその他の改善。



5.0.1の新機能

• マルチテナントゾーンの DLPおよび ICAP AVサポート-詳細については、ここをクリックしてください。• 構成 UIの ICAP URL検証が改善されました。• *sharefilegovアカウントのサポートが追加されました。• 追加のセキュリティ修正-セキュリティを向上させるために、管理者は、ShareFileストレージリポジトリを含む特定のフォルダに対する他のすべてのユーザーに対する権限を拒否し、構成中のユーザーにストレージの場所へのアクセスを許可する必要があります。詳細については、ここをクリックしてください。

5.0の新機能

• FIPS 140-2のサポート-ユーザーは、ストレージゾーン Controller更新して、FIPS 140-2準拠モードで実⾏できるようになりました。詳細については、ここをクリックしてください。

• オンプレミスのファイル編集-プライベートゾーンに保存されているサポートされている Officeファイルを編集できるように環境を構成できるようになりました。詳細については、ここをクリックしてください。

• コネクタのお気に⼊り -ユーザーは、ネットワーク共有、SharePoint、および Documentumコネクタ内のフォルダをお気に⼊りできるようになりました。詳細については、ここをクリックしてください。

• SharePointメタデータのタグ付け -ユーザーは SharePoint 2013コネクタおよびそれ以降のメタデータのタグ付けを利⽤できるようになりました。(en-USのみ)詳細については、ここをクリックしてください。

ストレージゾーン Controllerについて

December 12, 2019

ShareFileは、ユーザーが簡単かつ安全に⽂書を交換することを可能にするファイル共有サービスです。ShareFileEnterprise、エンタープライズクラスのサービスを提供し、ストレージゾーン Controllerとユーザー管理ツールが含まれています。

ストレージゾーン Controllerは、ShareFileアカウントに ShareFileデータのストレージゾーンと呼ばれるプライベートデータストレージを提供することで、サービスとしての ShareFileソフトウェア（SaaS）クラウドストレージを拡張します。独⾃のデータストレージを管理することで、コンプライアンス（法令遵守）要件を満たし、ユーザーの近くにストレージを配置してパフォーマンスを最適化できます。

ShareFileが管理するクラウドストレージは、単独で使⽤することも、ShareFileデータのストレージゾーンと呼ばれる管理対象のストレージと組み合わせて使⽤することもできます。保守するストレージゾーンは、オンプレミスのシングルテナントストレージシステム、または Amazon S3やWindows Azureなどのサポート対象のサードパーティクラウドストレージに配置できます。


/ja-jp/storage-zones-controller/5-0/install/configure-multi-tenant-storagezones.html

/ja-jp/storage-zones-controller/5-0/install/create-network-share.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/enable-fips-140-2.html

/ja-jp/storage-zones-controller/5-0/install/configure-storagezones-controller-for-web-app-previews-thumbnails.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/connector-favorites.html

/ja-jp/storage-zones-controller/5-0/create-and-manage-connectors.html


記憶域ゾーン Controllerは、記憶域ゾーンコネクタを介して SharePointサイトおよびネットワークファイル共有への安全なアクセスをユーザーに提供します。接続されたファイル共有には、Citrix Virtual Apps and Desktops環境で使⽤されるのと同じネットワークホームドライブを含めることができます。ストレージゾーンコネクタを使⽤すると、クラウドにデータを移⾏することなく、企業のファイアウォールの内側にあるデータへの安全なモバイルアクセスを実現できます。

ストレージゾーンコネクタを使⽤すると、ShareFileクライアントユーザーはドキュメントの参照、アップロード、ダウンロードを⾏うことができます。SharePointに保存されたドキュメントの場合、モバイルユーザーはMicrosoftOfficeドキュメントのダウンロード、チェックアウト、編集、チェックインを⾏い、Adobe PDFドキュメントに注釈を付けることができます。ShareFileと統合されたモバイルコンテンツエディタは、オフラインで作業している場合でも、セキュアでリッチな編集体験をモバイルユーザーに提供します。

[コンポーネント]

コンポーネントは次のとおりです。

ShareFileコントロールサブシステム— Citrix Onlineデータセンターで維持される ShareFileコントロールサブシステムは、ファイルの内容に関係しないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実⾏します。

ストレージゾーン Controller —ストレージゾーンコントローラは、データ⽤のプライベート ShareFileストレージサブシステムをホストできます。ストレージゾーン Controllerには、エンドユーザーおよび ShareFileコントロールサブシステムからのすべての HTTPS操作を処理するWebサービスがあります。

ShareFile Data⽤のストレージゾーン—この機能により、プライベートデータストレージが提供されます。管理するオンプレミスのネットワークファイル共有、またはサポートされているサードパーティ製ストレージシステムにデータを格納できます。どちらのストレージオプションでも、暗号化キー、キューに⼊れられたファイル、その他の⼀時アイテムなどのプライベートデータのネットワーク共有が必要です。サードパーティ製のストレージを使⽤する場合、ネットワーク共有はプライベートデータストレージに使⽤されます。ストレージゾーン内の各ストレージゾーン Controllerは、同じネットワーク共有を使⽤する必要があります。

ShareFile Enterprise管理者は、フォルダごとの保存場所（ShareFileで管理されたクラウドストレージまたはプライベートデータストレージ）を選択できます。この機能を使⽤すると、ユーザーの近くにデータを配置することで、パフォーマンスを最適化できます。また、データの主権およびコンプライアンス要件にも対応できます。

記憶域ゾーンコネクタ—記憶域ゾーンコネクタを使⽤すると、モバイルユーザーは、指定したネットワークファイル共有上のドキュメントや SharePointサイト、サイトコレクション、およびドキュメントライブラリへのセキュリティで保護されたアクセスが可能になります。

ストレージゾーンコネクタは、ストレージゾーン Controller上で有効になり、ShareFile Enterpriseサブドメインと統合されます。ShareFile Data⽤のストレージゾーンと同じゾーンにストレージゾーンコネクタを展開できます。ただし、ShareFile Data⽤のストレージゾーンは、ストレージゾーンコネクタを使⽤する必要はありません。

ストレージゾーンコントローラは、ストレージゾーンコネクタのデータを格納しません。ShareFile.comは、ストレージゾーンコネクタの暗号化されたトップレベルパスを格納します。



ストレージゾーンコネクタは、ShareFile Enterpriseまたは Citrix Endpoint Managementを使⽤するサイトで使⽤できます。

データストレージ

デフォルトでは、ShareFileはセキュアな ShareFileで管理されたクラウドストレージにデータを格納します。ストレージゾーン Controllerは、管理するオンプレミスのネットワーク共有、またはサポートされているサードパーティ製のストレージシステムのいずれかの、プライベートデータストレージを提供します。ストレージゾーン Controllerを使⽤すると、ユーザーの近くにデータストレージを配置してパフォーマンスを最適化し、コンプライアンスのためにストレージを制御できます。

⾼可⽤性には、ストレージゾーンごとに少なくとも 2つのストレージゾーンコントローラが必要です。ストレージゾーンは、すべてのストレージゾーンコントローラに対して 1つのファイル共有を使⽤する必要があります。

組織のパフォーマンス要件とコンプライアンス要件に基づいて、必要なストレージゾーンの数と、最適な場所を検討します。たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるストレージゾーン Controllerにファイルを格納すると、パフォーマンスとコンプライアンスの両⽅のメリットが得られます。⼀般に、地理的に最も近いストレージ・ゾーンにユーザーを割り当てることは、パフォーマンスを最適化するためのベスト・プラクティスです。

データストレージのセキュリティに関する考慮事項

• ストレージゾーンのネットワーク共有がサードパーティ製のツールによって既に保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この追加のセキュリティは、必要に応じて最⼤限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツールなどのサードパーティ製のツール (データ重複除外ツールなど)でディスクを読み取ることができなくなります。ShareFileは、ファイル暗号化キーを使⽤してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。

• ストレージゾーンコントローラをネットワーク内に配置し、DMZツールでそれらを保護します。• セキュリティを最⼤限に⾼めるには、Citrix ADCまたは Citrix ADC VPXを使⽤してください。• SSL暗号化接続を使⽤して、ユーザーとストレージゾーン間で送信される情報のセキュリティを確保します。DMZプロキシサーバーを使⽤していない場合は、すべてのストレージゾーンコントローラの IISサービスにSSL証明書をインストールします。クライアント接続を終了して HTTPを使⽤する DMZプロキシサーバの場合、プロキシサーバに SSL証明書をインストールします。パブリック証明書は、標準ゾーンに必要です。

• ShareFileへの接続を制御するには、IPホワイトリスト登録は推奨されません。これは、ShareFileで管理されるクラウドストレージ内の多数のサーバーと、個々のユーザーデバイスから接続されるためです。ただし、サイトに追加のセキュリティが必要な場合は、IPブラックリスティングが効果的なネットワークレベルの制御になります。



セキュリティのベストプラクティス

組織では、規制要件を満たすために、特定のセキュリティ基準を満たす必要がある場合があります。このようなセキュリティ標準は時間の経過とともに変化するため、このトピックでは説明しません。セキュリティ標準と Citrix製品の最新情報については、http://www.citrix.com/security/にアクセスするか、Citrixの担当者にお問い合わせください。

セキュリティのベストプラクティス:

• セキュリティパッチを適⽤して、環境内のすべてのコンピュータを最新の状態に保ちます。• ウイルス対策ソフトウェアを使⽤して環境内のすべてのコンピューターを保護します。• 環境内のすべてのコンピューターを境界ファイアウォールで保護します。境界ファイアウォールには、必要に応じて境界線も含まれます。

• 環境内のすべてのコンピュータにパーソナルファイアウォールをインストールします。• セキュリティポリシーに従って、すべてのネットワーク通信をセキュリティで保護し、暗号化します。IPsecを使⽤して、Microsoft Windowsコンピュータ間のすべての通信をセキュリティで保護できます。詳細については、オペレーティングシステムのマニュアルを参照してください。

• 必要な機能のみをユーザーに付与します。

TLSバージョン 1.2のサポート

記憶域ゾーン Controller 4.0以降、管理者は記憶域ゾーンコントローラーへの受信接続を TLS v1.2に制限できます。TLS V1.2より前のプロトコルがストレージゾーン Controllerへの着信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2をサポートする必要があります。

• 詳細情報と構成⼿順については、ここをクリックしてください。.

ユーザー認証

ShareFile Enterpriseアカウント⽤に構成された認証⽅法は、ストレージゾーンおよびネットワークファイル共有またはストレージゾーンコネクタを介して利⽤可能な SharePointサーバーに格納されているデータにアクセスするユーザーを認証するために使⽤されます。ユーザーが接続ファイルにアクセスするために異なる資格情報を使⽤する必要がある場合、ユーザーは ShareFileからログアウトし、別の資格情報を使⽤してログオンする必要があります。

ShareFileでは、以下のいずれかの⽅法を使⽤して、ShareFileアカウントを Active Directory（AD）などのサードパーティ認証と統合することをお勧めします。

サポートされる構成

以下の構成はテスト済みで、ほとんどの環境でサポートされています。


http://support.citrix.com/article/CTX209211


Citrix Endpoint Management ダウンロード

ADFS 3.0 ダウンロード

ADFS 4.0 (Windows Server 2016) ダウンロード

デュアル IdP-ADFSと Citrix EndpointManagement

ダウンロード

NetScaler ダウンロード

Microsoft Azure AD 直接リンク

その他の構成

これらの構成は、当社のエンジニアリングチームによって正常に構成およびテストされています。以下の構成ドキュメントは、製品の継続的な機能強化および機能強化により変更される可能性があります。したがって、次の設定ガイドはそのまま表⽰されます。

Centrify/Idaptive ダウンロード

G Suite for Business ダウンロード

Okta ダウンロード

Ping-Federate ダウンロード

PingOne / PingID ダウンロード

OneLogin ダウンロード

Citrix Ready対応パートナー

Citrix Readyプログラムの詳細については、ここをクリックしてください。.

標準ストレージゾーン

次の表は、ストレージゾーンのプロパティをまとめたものです。| [プロパティ] |標準ゾーン || — | — ||ストレージ・ゾーン・サーバは、次の⽅法で管理できます。| Citrixまたはあなた |


https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/sharefile-tutorial

https://citrix.sharefile.com/d-sd03f6ffda0048088

https://www.citrix.com/partner-programs/citrix-ready/


|ユーザー認証は、によって処理されます… | ShareFile.comまたはShareFile.eu ||ファイルを共有できます… |従業員および第三者のユーザー（つまり、電⼦メールアドレスを持つすべてのユーザー）|| ShareFileコントロールプレーンに格納されているファイルとフォルダのメタデータは… |クリアテキストで保存され、⼀部の Citrix社員が閲覧可能 ||電⼦メール通知は、次の⽅法で送信されます… | ShareFileメールサーバーまたは SMTPサーバー ||ゾーンの外部アドレスは |必要です |

Citrixが管理するゾーンでは、ShareFileクラウドは従業員認証を除くすべての操作を実⾏します。従業員認証はストレージゾーン Controllerによって処理されます。

標準ゾーンでは、Webサイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルメタデータ、アップロードとダウンロードの承認、電⼦メール通知 (SMTP)、サードパーティのユーザー認証、およびフォルダ権限がクラウドで処理されます。従業員の認証とファイルの保管と暗号化は、Controllerによって処理されます。

このセクションの残りの部分では、ShareFileの管理対象ストレージゾーンと標準ストレージゾーンのワークフローについて説明します。

ShareFileで管理されるストレージ・ゾーン

ShareFile クライアントが ShareFile の管理対象ゾーンと対話すると、すべてのリクエストとトラフィックがShareFileクラウドを通過し、すべての ShareFileデータが ShareFileクラウドに保存されます。


ShareFileクライアントが標準ゾーンと対話する場合、ShareFileはユーザーのログオン要求を処理し、ShareFileクラウドとストレージゾーン Controller の間で認証が⾏われます。標準ゾーンをホストするストレージゾーンControllerには、外部アドレスと外部 SSL証明書が必要です。ストレージゾーンの SSL証明書は、ユーザーデバイスおよび ShareFile Webサーバーによって信頼されている必要があります。

ShareFileクライアントは、ファイルのアップロードまたはダウンロード操作中にストレージゾーン Controllerと対話します。Controllerは、ゾーンに対して定義されたストレージ場所にファイルを格納し、暗号化されていないメタデータを ShareFileクラウドに送信します。

ユーザーは、標準ゾーンに存在するファイルを、電⼦メールアドレスを持つすべてのユーザーと共有できます。

ユーザーが標準ゾーンからファイルを共有またはダウンロードする場合、ShareFileは ShareFileSMTPサーバーを使⽤して電⼦メール通知を送信します。

アーキテクチャの概要

December 12, 2019



このセクションでは、概念実証評価または⾼可⽤性の実稼働環境のためのストレージゾーン Controller導⼊の概要を説明します。⾼可⽤性展開は、Citrix ADCなどの DMZプロキシを使⽤する場合と使⽤しない場合の両⽅で⽰されています。

複数のストレージゾーンコントローラーを使⽤したデプロイを評価するには、⾼可⽤性デプロイのガイドラインに従います。

各展開シナリオには、ShareFile Enterpriseアカウントが必要です。デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドにデータを保存します。プライベートデータストレージ（オンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステム）を使⽤するには、ShareFile Data⽤のストレージゾーンを構成します。

ネットワークファイル共有または SharePointドキュメントライブラリからユーザーにデータを安全に配信するには、ストレージゾーンコネクタを構成します。

ストレージゾーン Controller概念実証導⼊

ご注意：

概念実証の展開は、評価のみを⽬的としており、重要なデータストレージには使⽤しないでください。

概念実証展開では、単⼀のストレージゾーン Controllerを使⽤します。このセクションで説明する展開例では、ShareFile Data⽤のストレージゾーンとストレージゾーンコネクタの両⽅が有効になっています。

単⼀の記憶域ゾーン Controllerを評価するには、必要に応じて、別のネットワーク共有ではなく、記憶域ゾーンコントローラーのハードドライブ上のフォルダ (C:\ZoneFilesなど)にデータを格納できます。その他すべてのシステム要件は、評価配置に適⽤されます。

標準ストレージゾーンの概念実証導⼊

標準ゾーン⽤に構成されたストレージゾーン Controllerは、ShareFileクラウドからのインバウンド接続を受け⼊れる必要があります。そのためには、Controllerが ShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスと SSLを有効にする必要があります。次の図は、ユーザーデバイス、ShareFileクラウド、ストレージゾーン Controller間のトラフィックフローを⽰しています。

このシナリオでは、1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーン Controllerは、アクセスを制御するために、ファイアウォールの内側にあります。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート 443で SSLプロトコルを使⽤してこの接続を確⽴する必要があります。この接続をサポートするには、ファイアウォールでポート 443を開き、ストレージゾーンControllerの IISサービスにパブリック SSL証明書をインストールする必要があります。



ストレージゾーン Controller⾼可⽤性導⼊

ShareFileの⾼可⽤性を実稼働環境に導⼊する場合、推奨されるベストプラクティスは、少なくとも 2つのストレージゾーンコントローラをインストールすることです。最初の Controllerをインストールすると、ストレージゾーンが作成されます。他のコントローラをインストールすると、同じゾーンに参加します。記憶域ゾーン同じゾーンに属するコントローラーは、記憶域に同じファイル共有を使⽤する必要があります。

⾼可⽤性展開では、セカンダリサーバーは独⽴しており、完全に機能するストレージゾーンコントローラです。ストレージゾーン制御サブシステムは、操作のためにストレージゾーン Controllerをランダムに選択します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。サーバをプライマリからセカンダリに降格することもできます。

標準ゾーンの⾼可⽤性展開

標準ストレージゾーン⽤に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け⼊れる必要があります。そのためには、各 Controllerが ShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスと SSLを有効にする必要があります。複数の外部パブリックアドレスを構成でき、それぞれが異なるストレージゾーンコントローラに関連付けられます。次の図は、標準の StorageZoneの⾼可⽤性展開を⽰しています。

このシナリオでは、1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート 443で SSLプロトコルを使⽤してこの接続を確⽴する必要があります。この接続をサポートするには、ファイアウォールでポート 443を開き、すべてのストレージゾーンコントローラの IISサービスにパブリック SSL証明書をインストールする必要があります。

共有ストレージ構成

同じ記憶域ゾーンに属する記憶域ゾーンコントローラーは、記憶域に同じファイル共有を使⽤する必要があります。ストレージゾーンコントローラは、IISアカウントプールユーザーを使⽤して共有にアクセスします。既定では、アプリケーションプールは低レベルのユーザー権限を持つ Network Serviceユーザーアカウントで動作します。ストレージゾーン Controllerは、既定でネットワークサービスアカウントを使⽤します。

ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使⽤して、共有にアクセスできます。指定ユーザーアカウントを使⽤するには、ストレージゾーンコンソールの [構成]ページでユーザー名とパスワードを指定します。ネットワークサービスアカウントを使⽤して、IISアプリケーションプールと Citrix ShareFileサービスを実⾏します。

ネットワーク接続

ネットワーク接続は、Citrixが管理するゾーンまたは標準ゾーンによって異なります。



Citrix-managed zones

次の表は、ユーザーが ShareFileにログオンし、Citrixが管理するゾーンからドキュメントをダウンロードしたときに発⽣するネットワーク接続を⽰しています。すべての接続で HTTPSが使⽤されます。

ステップ [ソース] [宛先]

1. ユーザーログオン要求クライアント company.sharefile.com:443

2. (オプション) SAML IdPログオンにリダイレクトする

クライアント SAMLアイデンティティプロバイダの URL

3. ファイル/フォルダの列挙とダウンロード要求

クライアント company.sharefile.com:443

4. ファイルのダウンロードクライアント storage-location.sharefile.com:443


次の表は、ユーザーが ShareFileにログオンし、標準ストレージゾーンからドキュメントをダウンロードしたときに発⽣するネットワーク接続を⽰しています。すべての接続で HTTPSが使⽤されます。


1. ユーザーログオン要求クライアント company.sharefile.com

2. （オプション）ADFSを使⽤している場合は、SAML IdPログオンにリダイレクトします。



クライアント company.sharefile.com

4. ファイルダウンロードの承認 company.sharefile.com szc.company.com

5ファイルのダウンロードクライアント szc.company.com

ストレージゾーン Controller DMZプロキシの展開

⾮武装地帯（DMZ）は、内部ネットワークのセキュリティ層を強化します。Citrix ADC VPXなどの DMZプロキシは、以下の⽬的で使⽤されるオプションのコンポーネントです。

• 承認されたトラフィックのみがストレージゾーン Controllerに到達するように、ストレージゾーンコントローラへのすべての要求が ShareFileクラウドから発信されるようにします。



ストレージゾーン Controllerには、すべての受信メッセージの有効な URI署名をチェックする検証操作があります。DMZコンポーネントは、メッセージを転送する前にシグニチャを検証します。

• リアルタイムのステータスインジケータを使⽤して、ストレージゾーンコントローラへの要求の負荷を分散します。

すべてのコントローラーが同じファイルにアクセスできる場合、操作はストレージゾーンコントローラーに対して負荷分散されます。

• ストレージゾーンコントローラから SSLをオフロードします。

• DMZを通過する前に、SharePointまたはネットワークドライブ上のファイルに対する要求が認証されていることを確認します。

Citrix ADCおよびストレージゾーン Controller導⼊

標準ストレージゾーンの導⼊

標準ゾーン⽤に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け⼊れる必要があります。そのためには、Citrix ADCが ShareFileクラウドとの通信のためにパブリックにアクセス可能なインターネットアドレスと SSLを有効にする必要があります。

このシナリオでは、2つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは内部ネットワークに存在します。ShareFileへのユーザー接続は、最初のファイアウォールを通過し、ポート 443で SSLプロトコルを使⽤してこの接続を確⽴する必要があります。この接続をサポートするには、ファイアウォールでポート 443を開き、DMZプロキシサーバーの IISサービスにパブリックSSL証明書をインストールする必要があります (ユーザー接続を終了する場合)。

標準ゾーンのネットワーク接続

次の図と表は、ユーザーが ShareFileにログオンし、Citrix ADC背後に展開された標準ゾーンからドキュメントをダウンロードしたときに発⽣するネットワーク接続を⽰しています。この場合、アカウントは SAMLログオンにActive Directoryフェデレーションサービス (ADFS)を使⽤します。

認証トラフィックは、信頼されるネットワーク上の ADFSサーバーと通信する ADFSプロキシサーバーによってDMZで処理されます。ファイルアクティビティは、DMZの Citrix ADCを介してアクセスされます。DMZでは、SSLを終了し、ユーザー要求を認証した後、認証されたユーザーに代わって信頼されるネットワーク内のストレージゾーン Controllerにアクセスします。ShareFile⽤の Citrix ADC外部アドレスは、インターネット FQDNszc.company.comを使⽤してアクセスします。

ステップ [ソース] [宛先] プロトコル


HTTPS




2. (オプション) SAMLIdPログオンにリダイレクトする


HTTPS

2a. ADFSログオン ADFSプロキシ ADFSサーバー HTTPS


クライアント company.sharefile.com

HTTPS

4. ファイルダウンロードの承認

ShareFile szc.company.com (外部アドレス)

HTTP

4a. ファイルダウンロードの承認

Citrix ADC IP（ADC）ストレージゾーンController

HTTPS

5ファイルのダウンロード

クライアント szc.company.com (外部アドレス)

HTTPS

5a. ファイルのダウンロード


HTTP

次の図と表は、前述のシナリオを拡張して、StorageZone Connectorのネットワーク接続を⽰しています。このシナリオには、DMZで NetScalerを使⽤して SSLを終了し、Connectorにアクセスするためのユーザー認証を実⾏することが含まれます。



HTTPS



HTTPS

2a. ADFSログオン ADFSプロキシ ADFSサーバー HTTPS

3. 最上位コネクタの列挙クライアント company.sharefile.com

HTTPS

4. ストレージゾーンControllerサーバにユーザーがログオンする

クライアント szc.company.com (外部アドレス)

HTTPS

5ユーザー認証 Citrix ADC IP（ADC） ADドメイン Controller LDAP




6. ファイル/フォルダの列挙とPARTIALURLPLACE-HOLDERリクエスト


HTTP (S)

7. ネットワーク共有の列挙とアップロード/ダウンロード

ストレージゾーンController

ファイルサーバ CIFSまたは DFSシステム

7a. SharePoint列挙とアップロード/ダウンロード


[SharePoint]をクリックします

HTTP

次の図は、ユーザーが認証するかどうかに基づいて、サポートされている認証タイプの組み合わせをまとめたものです。

システム要件

December 17, 2019

ストレージゾーン Controller

• 2つの CPUと 4 GBの RAMを搭載した専⽤の物理マシンまたは仮想マシン• Windows Server 2012 R2 (Datacenter, Standard,または Essentials)• Windows Server 2008 R2, 64-bit edition, SP1 (Datacenter, Standard,または Essentials)• Windows Server 2016

標準ストレージゾーンの場合：

• IPアドレスではなく、パブリックに解決可能なインターネットホスト名を使⽤します。• ShareFileとの通信に SSLを有効にします。

– ストレージゾーン Controller上の SSL証明書は、ユーザーデバイスおよび ShareFileウェブサーバーから信頼される必要があります。IISで SSLを直接使⽤する場合は、SSLの設定の詳細については、http://support.microsoft.com/kb/298805を参照してください。

• ファイアウォール経由のポート 443でのインバウンド TCP要求を許可します。• ファイアウォールを介してポート 443上の ShareFileコントロールプレーンへのアウトバウンド TCP要求を許可します。


http://support.microsoft.com/kb/298805


– IP範囲とドメインの詳細なリストについては、ここをクリックしてください。

ShareFile Data⽤のストレージゾーンにのみ使⽤されるサーバーのヘルスチェックの場合：

• ローカルホストのポート 80を開きます。

⾼可⽤性の本番環境の場合：

• ストレージゾーン Controllerがインストールされた最低 2台のサーバ。

• DMZプロキシサーバーを使⽤していない場合は、IISサービスに SSL証明書をインストールします。

サポートされている証明書の詳細については、上記の標準ゾーンの証明書要件を参照してください。

DMZプロキシ配置の場合：

• Citrix ADC VPXインスタンスなど、1つ以上の DMZプロキシサーバー。

• クライアント接続を終了して HTTPを使⽤する DMZプロキシサーバの場合、プロキシサーバに SSL証明書をインストールします。

DMZ プロキシサーバとストレージゾーン Controller 間の通信がセキュリティで保護されている場合は、HTTPを使⽤できます。ただし、ベストプラクティスとしてHTTPSを使⽤することをお勧めします。HTTPSを使⽤する場合、DMZプロキシによって信頼されている場合、ストレージゾーン Controllerでプライベート(エンタープライズ)証明書を使⽤できます。DMZプロキシによって公開される外部アドレスは、市販の信頼できる証明書を使⽤する必要があります。サポートされている証明書の詳細については、上記の標準ゾーンの証明書要件を参照してください。

その他の要件

• ストレージゾーン Controllerインストーラには、管理者権限が必要です。• ストレージゾーン Controllerリモート管理では、RDPや Citrix ICAなどのリモートプロトコルを使⽤してサーバーに接続し、ストレージゾーンコントローラコンソールを開きます。

サポートされるサード・パーティ製ストレージ・システム

• Amazon Simple Storage Service（Amazon S3）• Microsoft Azure

サポートされている情報漏えい対策ソリューション

• ストレージゾーン Controllerは、次のような ICAP準拠 DLPソリューションと統合されます。– シマンテック社による情報漏えい対策– McAfee DLP Prevent– Websense TRITON AP-DATA– RSAデータ消失防⽌




ShareFileデータのストレージ・ゾーン

ShareFile Data⽤のストレージゾーンは、ストレージゾーン Controllerで有効にするオプション機能です。

必要条件:

• ShareFile Enterpriseアカウント（ストレージゾーン機能が有効になっている場合）• ゾーンを作成および管理する権限を含む ShareFileユーザー・アカウント• プライベート・データ・ストレージ⽤の CIFS共有

ShareFileファイルをサポートされているサード・パーティ製ストレージ・システムに格納する場合、CIFS共有は⼀時ファイル（暗号化キー、キューに⼊れられたファイル）および⼀時ストレージ・キャッシュとして使⽤されます。

• Webサーバー (IIS)の役割と ASP.NET 4.5.2です。詳しくは、ShareFileデータ⽤にサーバーを準備するを参照してください。

注：FTPクライアントからの ShareFileアカウントへのアクセスは、ShareFileデータのストレージゾーンと互換性がありません。

SharePointのストレージゾーンコネクタ

SharePointのストレージゾーンコネクタは、ストレージゾーン Controllerで有効にするオプション機能です。

必要条件:

• ShareFile Enterpriseアカウント（ストレージゾーン機能が有効になっている場合）、またはCitrix EndpointManagement。

• サポートされているのは、Microsoft SharePoint Server 2010以降のみです。• 記憶域ゾーン Controllerサーバーは、SharePointサーバーと同じフォレスト内のドメインメンバーである必要があります。

• Webサーバー (IIS)の役割と ASP.NET 4.5です。詳しくは、ShareFileデータ⽤にサーバーを準備するを参照してください。

• SharePointポリシー:– SharePoint 2013 では、Web アプリケーションの既定の最⼤アップロードファイルサイズは 250MBで、SharePoint 2010では 50 MBです。既定を変更するには:SharePointサーバーの全体管理で、[Webアプリケーションの全般設定]ページに移動し、[最⼤アップロードサイズ]を変更します。SharePointのアップロードファイルサイズの制限は 2 GBです。

– ShareFileクライアントは常にファイルのメジャーバージョン（公開）をチェックインしようとします。ただし、SharePointポリシーによって、ファイルがメジャーバージョンまたはマイナーバージョンとしてチェックインされるかどうかが決まります。

– SharePoint表⽰のみのアクセス許可では、ユーザーがファイルをダウンロードすることはできません。ShareFileクライアントからファイルを読み取るには、SharePointユーザーが読み取りアクセス許可を持っている必要があります。


/ja-jp/storage-zones-controller/5-0/install/prepare-server.html



• ユーザーデバイス：ストレージゾーンコネクタのユーザーデバイスサポートに関する最新情報については、ShareFileナレッジベースを参照してください。

SharePoint認証⽤のストレージゾーンコネクタ

ユーザーを認証した後、ストレージゾーン Controllerサーバーは、認証されたユーザーに代わって SharePointサーバーに接続し、SharePointサーバーによって提⽰される認証の課題に応答します。SharePointのストレージゾーンコネクタは、SharePointサーバーで次の認証⽅法をサポートします。

• 基本

<add key=”CacheCredentials”value=”1”\>をC:\inetpub\wwwroot\Citrix\StorageCenter\sp\AppSettingsRelease.config.に追加する必要があります。

• ネゴシエート (Kerberos)

• Windows Challenge/Response (NTLM)

ShareFileモバイルクライアントは、HTTPS経由の基本認証を使⽤して、ストレージゾーン ControllerまたはDMZプロキシに認証します。SharePointへのシングルサインオンは、SharePointサーバーに設定された認証要件によって管理されます。SharePointサーバーで Kerberos認証または NTLM認証を使⽤するには、次の⼿順を実⾏します。ドメイン Controllerが委任のために記憶域ゾーンコントローラを信頼するように構成する

SharePoint サーバーが Kerberos 認証⽤に構成されている場合:SharePoint サーバーアプリケーションプールの名前付きユーザーサービスアカウントのサービスプリンシパル名 (SPN) を構成します。詳細については、http://support.microsoft.com/kb/832769の「Webパーツの委任に対する信頼を構成する」を参照してください。

Citrix ADCを使⽤する展開では、Citrix ADCで基本認証を終了し、ストレージゾーン Controllerに対して他の種類の認証を実⾏できます。

SharePointのストレージゾーンコネクタ

SharePointのストレージゾーンコネクタは、ストレージゾーン Controllerで有効にするオプション機能です。

必要条件:

• ShareFile Enterpriseアカウント（ストレージゾーン機能が有効になっている場合）、またはCitrix EndpointManagement。

• サポートされているのは、Microsoft SharePoint Server 2010以降のみです。

• 記憶域ゾーン Controllerサーバーは、SharePointサーバーと同じフォレスト内のドメインメンバーである必要があります。



http://kb.sharefile.com/

/ja-jp/storage-zones-controller/5-0/install/configure-domain-controller.html




• SharePointポリシー:

– SharePoint 2013 では、Web アプリケーションの既定の最⼤アップロードファイルサイズは 250MBで、SharePoint 2010では 50 MBです。既定を変更するには:SharePointサーバーの全体管理で、[Webアプリケーションの全般設定]ページに移動し、[最⼤アップロードサイズ]を変更します。SharePointのアップロードファイルサイズの制限は 2 GBです。

– ShareFileクライアントは常にファイルのメジャーバージョン（公開）をチェックインしようとします。ただし、SharePointポリシーによって、ファイルがメジャーバージョンまたはマイナーバージョンとしてチェックインされるかどうかが決まります。

– SharePoint表⽰のみのアクセス許可では、ユーザーがファイルをダウンロードすることはできません。ShareFileクライアントからファイルを読み取るには、SharePointユーザーが読み取りアクセス許可を持っている必要があります。

• ユーザーデバイス:ストレージゾーンコネクタのユーザーデバイスサポートに関する最新情報については、ShareFileナレッジベースを参照してください。

SharePoint認証⽤のストレージゾーンコネクタ

ユーザーを認証した後、ストレージゾーン Controllerサーバーは、認証されたユーザーに代わって SharePointサーバーに接続し、SharePointサーバーによって提⽰される認証の課題に応答します。SharePointのストレージゾーンコネクタは、SharePointサーバーで次の認証⽅法をサポートします。

• 基本

<add key=”CacheCredentials”value=”1”/>をC:\inetpub\wwwroot\Citrix\StorageCenter\sp\AppSettingsRelease.configに追加する必要があります。

• ネゴシエート (ケルベロス)

• Windows Challenge/Response (NTLM)

ShareFileモバイルクライアントは、HTTPS経由の基本認証を使⽤して、ストレージゾーン ControllerまたはDMZプロキシに認証します。SharePointへのシングルサインオンは、SharePointサーバーに設定された認証要件によって管理されます。SharePointサーバーで Kerberos認証または NTLM認証を使⽤するには、次の⼿順を実⾏します。ドメイン Controllerが委任のために記憶域ゾーンコントローラを信頼するように構成する

SharePoint サーバーが Kerberos 認証⽤に構成されている場合:SharePoint サーバーアプリケーションプールの名前付きユーザーサービスアカウントのサービスプリンシパル名 (SPN) を構成します。詳細については、http://support.microsoft.com/kb/832769の「Webパーツの委任に対する信頼を構成する」を参照してください。

Citrix ADCを使⽤する展開では、Citrix ADCで基本認証を終了し、ストレージゾーン Controllerに対して他の種類の認証を実⾏できます。


http://kb.sharefile.com




ネットワークファイル共有⽤のストレージゾーンコネクタ

ネットワークファイル共有の記憶域ゾーンコネクタは、記憶域ゾーン Controllerで有効にするオプション機能です。

必要条件:

• ShareFile Enterpriseアカウントまたは Citrix Endpoint Managementアカウント。• ストレージゾーンコネクタサーバーは、ネットワークファイルサーバーと同じフォレスト内のドメインメンバーである必要があります。


• ユーザーデバイス：ストレージゾーンコネクタのユーザーデバイスサポートに関する最新情報については、ShareFileナレッジベースを参照してください。

ネットワークファイル共有認証⽤コネクタ

ユーザーを認証した後、ストレージゾーン Controllerサーバーは、認証されたユーザーに代わってネットワークファイルサーバーに接続し、ファイルサーバーが提⽰する認証の課題に応答します。ネットワークファイル共有の記憶域ゾーンコネクタは、ファイルサーバーで次の認証⽅法をサポートします。

• ネゴシエート (ケルベロス)• Windows Challenge/Response (NTLM)

記憶域ゾーン Controller で Kerberos または NTLM 認証を使⽤するには、次の⼿順を実⾏します。ドメインControllerが委任のために記憶域ゾーンコントローラを信頼するように構成する

Citrix ADCを使⽤した展開の場合：Citrix ADCが基本認証⽤に構成されているときにユーザーにシングルサインオン機能を提供するには、ネゴシエート（Kerberos）認証と NTLM認証の両⽅にコネクタを構成します。

PowerShellスクリプトとコマンド

ストレージゾーン Controller インストールには、C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\にある複数の PowerShellスクリプトとコマンドが含まれています。

• 32ビット (x86)バージョンの PowerShellでスクリプトを実⾏します。

• 最良の結果を得るには、Windows Management Framework 4.0に付属の PowerShell 4.0にアップグレードしてください。

PowerShell 2.0では、.NET Framework 4との互換性の問題が原因で重⼤な問題が発⽣します。



http://kb.sharefile.com/



http://www.microsoft.com/en-us/download/details.aspx?id=40855


インストール

December 17, 2019

ストレージゾーン Controller、ShareFile Data⽤のストレージゾーン、およびストレージゾーンコネクタをインストールして設定するには、以下のタスクを記載されている順序で実⾏します。

1. Citrix ADCをストレージゾーン Controller⽤に構成する

あなたは、ストレージゾーン Controllerのための DMZプロキシとして Citrix ADCを使⽤することができます.

2. プライベートデータストレージ⽤のネットワーク共有を作成する

ShareFile Data⽤のストレージゾーンには、サポートされているサードパーティ製のストレージシステムにShareFileファイルを保存している場合でも、プライベートデータ⽤のネットワーク共有が必要です。

3. SSL証明書のインストール

標準ゾーンをホストするストレージゾーン Controllerには、SSL証明書が必要です。

4. ShareFileデータ⽤にサーバーを準備する

IISと ASP.NETのセットアップは、ShareFileデータのストレージゾーンおよびストレージゾーンコネクタのストレージゾーンに必要です。

5. ストレージゾーン Controllerをインストールし、ストレージゾーンを作成する

6. ストレージゾーン Controller設定を確認する

7. ユーザーアカウントの既定のゾーンを変更する

デフォルトでは、既存のユーザーアカウントと新しくプロビジョニングされたユーザーアカウントは、ShareFileで管理されたクラウドストレージをデフォルトゾーンとして使⽤します。

8. ストレージゾーンのプロキシサーバーの指定

ストレージゾーンコントローラコンソールでは、ストレージゾーンコントローラーのプロキシサーバーを指定できます。また、他の⽅法を使⽤してプロキシサーバーを指定することもできます。

9. ドメイン Controllerが委任のために記憶域ゾーンコントローラを信頼するように構成する

ネットワーク共有または SharePointサイトで NTLMまたは Kerberos認証をサポートするようにドメインController構成します。

10. セカンダリストレージゾーン Controllerをストレージゾーンに結合する

⾼可⽤性を実現するストレージゾーンを構成するには、少なくとも 2つのストレージゾーンコントローラを接続します。


/ja-jp/storage-zones-controller/5-0/install/configure-netscaler.html


/ja-jp/storage-zones-controller/5-0/install/ssl-certificate.html


/ja-jp/storage-zones-controller/5-0/install/controller.html

/ja-jp/storage-zones-controller/5-0/install/verify-setup.html

/ja-jp/storage-zones-controller/5-0/install/change-default-zone.html

/ja-jp/storage-zones-controller/5-0/install/specify-proxy.html


/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/join-secondary-to-zone.html


Microsoft Azureストレージを使⽤してストレージゾーン Controller構成するデモンストレーションについては、ここをクリックしてください。

Microsoft Azureストレージゾーンを使⽤するように ShareFile Enterpriseを構成する⽅法のデモンストレーションについては、ここをクリックしてください。

追加のセットアップ⼿順

• マルチテナントストレージゾーンの構成• Webアプリプレビュー、サムネイル、および表⽰専⽤共有⽤のストレージゾーン Controller構成する

Citrix ADCをストレージゾーン Controller⽤に構成する

December 17, 2019

NetScalerバージョン 10.1ビルド 120.1316.e以降には、ストレージゾーン Controller環境に関する基本情報の⼊⼒を求めるウィザードが含まれています。次に、次のような構成を⽣成します。

• ストレージゾーンコントローラ間でトラフィックの負荷分散• ストレージゾーンコネクタのユーザー認証を提供• ShareFileアップロードとダウンロードの URI署名を検証します• Citrix ADCアプライアンスで SSL接続を終了する

この図は、構成によって作成された次の Citrix ADCコンポーネントを⽰しています。

• Citrix ADCコンテンツスイッチング仮想サーバー— ShareFileおよびストレージゾーンコネクタからのデータに対するユーザー要求を、適切な Citrix ADC負荷分散仮想サーバーに送信します。

• Citrix ADC負荷分散仮想サーバー—ストレージゾーンコントローラのトラフィックの負荷分散を⾏い、次の処理も⾏います。

– プライベートデータストレージからのデータ要求の場合、負荷分散仮想サーバーはハッシュ検証を実⾏し、受信要求に有効な URI署名が存在することを確認します。

– ストレージ・ゾーン・コネクタからのデータ要求の場合、負荷分散仮想サーバーがユーザー認証を実⾏します。これは、Citrix ADCでユーザー要求を停⽌し、ユーザーを認証し、ストレージゾーン Controllerへのユーザーのシングルサインオンを実⾏します。

Citrix ADCへの認証はオプションですが、推奨されるベストプラクティスです。

記憶域ゾーン Controller 4.0以降、管理者は記憶域ゾーンコントローラーへの受信接続を TLS v1.2に制限できます。TLS v1.2より前のプロトコルがストレージゾーン Controllerへの受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2をサポートする必要があります。詳細および構成⼿順については、ここをクリックしてください。


https://www.youtube.com/watch?v=pJEnuAx4Q3k

https://www.youtube.com/watch?v=xBAV5V_TNfg&noredirect=1

/ja-jp/storage-zones-controller/5-0/install/configure-multi-tenant-storagezones.html




注：

10.1ビルド 120.1316.eより前のバージョンの NetScalerをセットアップするには、Citrix ADCを⼿動で構成するを参照してください。

ShareFile⽤ Citrix ADCセットアップウィザードでは、ShareFile⽤の SAMLアイデンティティプロバイダとしてCitrix Endpoint Managementを使⽤するために必要な構成は処理されません。詳細については、ここをクリックを参照してください。

前提条件

• 動作中の Citrix ADC構成• セキュリティ証明書：Citrix ADCでまだ使⽤できない場合は、ウィザードを使⽤してコンテンツスイッチ仮想サーバーにインストールできます。

• Active Directoryの構成に関する情報（ShareFile⽤ Citrix ADCウィザードは、Citrix社の NetScalerエンタープライズエディションライセンスを使⽤して完了する必要があります）：

– Active Directoryサーバーの IPアドレスとポート– Active Directoryドメイン名– ユーザーが格納されている LDAPベース DN– Active Directoryと通信するためのアクセス許可を持つ管理者アカウントのアカウント名とパスワード

Citrix ADCをストレージゾーンコントローラ⽤に構成する

以下の⼿順では、Citrix ADC for ShareFileウィザードを使⽤する⽅法について説明します。

1. Citrix ADCアプライアンスにログオンし、［構成］タブで［トラフィック管理］に移動します。

2.［CitrixShareFile］で［ShareFile⽤の Citrix ADCの設定］をクリックします。

ウィザードには、次のようにアクセスすることもできます。[モビリティ]で、[ Endpoint Management]、[ShareFile]、および [Citrix Gateway]をクリックします。

3. ウィザードで要求された情報を指定します。

オプション説明

名前コンテンツ切り替え仮想サーバーの表⽰名。

IPアドレスコンテンツスイッチング仮想サーバに使⽤される外部（パブリックまたは DMZ）IPアドレス。DMZ IPアドレスを使⽤する場合は、外部ファイアウォールアドレスからこの DMZ IPアドレスへのネットワークアドレス変換 (NAT)マッピングを定義する必要があります。


/ja-jp/storage-zones-controller/5-0/install/configure-netscaler/sf-deploy-cfg-netscaler.html





ShareFileデータこのオプションは有効になっています。これは、ShareFileデータのストレージゾーンに Citrix ADC接続を使⽤することを⽰します。

ネットワークファイル共有/SharePointのストレージゾーンコネクタ

コネクタを使⽤し、Citrix ADCでユーザー認証を実⾏する場合は、チェックボックスをオンにします。

証明書証明書を選択するか、コンテンツスイッチ仮想サーバー⽤の証明書をインストールします。証明書をインストールする場合は、証明書と秘密キーをアップロードするように求められます。標準ゾーンまたは外部ホスト名を持つ制限付きゾーンの場合、証明書は⾃⼰署名ではなくパブリックに信頼されている必要があります。

ストレージゾーン Controllerの IPアドレス 1つ以上のストレージゾーン Controllerサーバーの内部 IPアドレス。これらの IPアドレスは、ストレージゾーンの Controllerサーバーを Citrix ADC内のエンティティとして定義します。すでに Citrix ADCにサーバーを追加している場合は、「既存から追加」をクリックしてサーバーを選択します。負荷分散に Citrix ADCを使⽤するには、各ストレージゾーンの Controllerサーバーの内部 IPアドレスを⼊⼒します。Citrix ADCを SSLと認証にのみ使⽤するには、IPアドレスを 1つだけ⼊⼒します。

ポートとプロトコル Citrix ADCからストレージゾーンコントローラーへの通信に使⽤されるポートとプロトコル。

認証、承認、監査（Citrix ADC AAA）仮想サーバーのIPアドレス

Citrix ADC AAA仮想サーバーの未使⽤の内部 IPアドレス。Citrix ADCは、この仮想サーバーを独⾃に使⽤するために作成します。サーバーは外部アクセスを必要としません。

LDAPサーバの IPアドレスおよびポート Active Directoryサーバーの IPアドレスとポート。すでに Citrix ADCに LDAPサーバーを追加している場合は、「LDAPの選択」タブをクリックしてサーバーを選択します。

タイムアウト Citrix ADCが LDAPサーバーからの応答を待機する最⼤秒数。デフォルトは 3秒です。最⼩値は 1秒です。

シングルサインオンドメイン Active Directoryドメイン名。




ベース DN（ユーザーの場所）ユーザーが格納されている LDAPベース識別名 (DN)。DNは、CN=ユーザー、DC =ドメイン、DC =ネットという⼀般的な形式を使⽤して指定します。

管理者バインド DNとパスワード Active Directoryと通信するためのアクセス許可を持つ管理者アカウント。

ログオン名ユーザーがユーザー名または電⼦メールアドレスのどちらでログオンするかを決定するために Citrix ADCによって使⽤される LDAP属性。既定値はsAMAccountNameで、ユーザーはユーザー名を使⽤してログオンできます。ユーザーがログオンするときに電⼦メールアドレスを⼊⼒するように要求するには、このフィールドを userPrincipalNameに変更します。

制限ゾーンまたはコネクタへのWebアクセス⽤に Citrix ADCを構成する

制限付きゾーンまたはストレージゾーンコネクタへのWebアクセスをサポートするには、Citrix ADC for ShareFileウィザードを完了した後、追加の Citrix ADC構成を実⾏する必要があります。

• ShareFileクライアントが信頼される ShareFileドメインにログオンしたときにのみ資格情報を送信するように、3番⽬の Citrix ADC負荷分散仮想サーバーを作成して構成します。

ストレージゾーン Controllerは、クロスオリジンリソース共有（CORS）標準を使⽤して、制限されたゾーンへの要求や ShareFile Webインターフェイスからストレージゾーンコネクタへの要求に必要なセキュリティを提供します。CORSは、HTTPヘッダーを使⽤して、クライアントとサーバーが要求または応答が成功するかどうかを判断するために互いに⼗分に知ることができます。

次の⼿順で説明するように、HTTP OPTIONS動詞のクライアントからの匿名アクセスを許可するように、追加の仮想サーバーを構成します。OPTIONS要求は、認証されることなく HTTPSコールアウトなしでストレージゾーン Controllerに渡され、署名を検証します。CORSプリフライトチェックは、資格情報を送信する前にドメインの信頼を検証します。

設定を実⾏するために CORS を理解する必要はありません。ただし、CORS の詳細については、「http://enable-cors.org/」を参照してください。

制限付きゾーン内のコネクタへのWebアクセスに Internet Explorerを使⽤するには、Internet Explorerの構成が必要です。

• ストレージゾーンコネクタへのWebアクセスをサポートするには、/cifsおよび /spへのトラフィックに使⽤するコンテンツスイッチポリシーにパス (/ProxyService)を追加します。


http://enable-cors.org/

http://enable-cors.org/


ShareFile⽤ Citrix ADCウィザードを完了した後、Citrix ADCで以下の⼿順を実⾏します。

1. 3番⽬のロードバランシング仮想サーバを作成します。a) [トラフィック管理] > [負荷分散] > [仮想サーバー]に移動します。b)［追加］をクリックします。c) 次の値を指定します。

オプション値

名前 SF_ZONE_OPTIONSなどのポリシー名

プロトコル SSL

IPアドレスの種類アドレス指定不可

d) クリックスルーして、仮想サーバを作成します。e) ウィザードで作成した負荷分散仮想サーバーと同じサービスをバインドするには、[負荷分散仮想サーバー]画⾯の [サービス]で、[>]をクリックし、[保存]をクリックします。

f) 仮想サーバーに証明書を追加します。2. 追加した仮想サーバのポリシーを作成します。

a) [トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。b) 詳細ウィンドウで、[追加]をクリックし、[名前]、[ターゲット LB仮想サーバー]、および [式]の値を指定します。エクスプレッションエディタ ( Expression Editor)をクリックし、このエクスプレッションを作成します。「HTTP」を選択します。「要求」を選択します。[⽅法]を選択します。EQ (⽂字列)を選択し、OPTIONSと⼊⼒します。式は次のようになります。HTTP.REQ.METHOD.EQ(”OPTIONS”)

c) [完了]をクリックします。d) [作成]をクリックします。

3. 作成したポリシーを新しい負荷分散仮想サーバにバインドします。a) [トラフィック管理] > [コンテンツ切り替え] > [仮想サーバー]に移動します。b) ⼀覧で、仮想サーバーをクリックし、[編集]をクリックします。c)「コンテンツ切り替えポリシーのバインド」セクションに移動し、「2コンテンツ切り替えポリシー」をクリックします。

d) [バインドを追加]をクリックします。e) 新しいコンテンツポリシーを選択し、ターゲットロードバランシング仮想サーバーを選択します。f) [バインド]をクリックします。g)「バインディングの編集」をクリックし、「優先度」を更新します。新しいポリシーの優先順位を変更して、3つのポリシーのうち最も⼩さい値にします。値が⼩さいポリシーが最も⾼いプライオリティを持つため、最初に処理されます。

4. ストレージ・ゾーン・コネクタ（_SF_CIF_SP_CSPOL）へのトラフィックに使⽤するポリシーを更新します。a) [トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。b) _SF_CIF_SP_CSPOLポリシーを選択します。c) ポリシー式に以下を追加します。



1 || HTTP.REQ.URL.CONTAINS(”/ProxyService/”)

完全なポリシー表現は、次のようになります。

1 HTTP.REQ.URL.CONTAINS(”/cifs/”) || HTTP.REQ.URL.CONTAINS(”/sp/”) ||

2 HTTP.REQ.URL.CONTAINS(”/ProxyService/”)

5. ShareFileデータ（_SF_SZ_CSPOL）のストレージゾーンへのトラフィックに使⽤するポリシーを更新します。a) [トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。b) _SF_SZ_CSPOLポリシーを選択します。c) ポリシー式に以下を追加します。

1 && HTTP.REQ.URL.CONTAINS(”/ProxyService/”).NOT

完全なポリシー表現は、次のようになります。

1 HTTP.REQ.URL.CONTAINS(”/cifs/”).NOT && HTTP.REQ.URL.CONTAINS(”/sp/“ ).NOT

2 && HTTP.REQ.URL.CONTAINS(”/ProxyService/”).NOT

Citrix ADCを読み取り専⽤共有⽤に構成する

読み取り専⽤共有をサポートするには、ユーザーがMicrosoft Office Web Appsサーバー (OWA)にアクセスできる必要があります。OWAサーバーが独⾃のアドレスで外部からアクセス可能な場合、ストレージゾーン Controllerに Citrix ADCを追加構成する必要はありません。

Citrix ADCコンテンツ切り替えポリシーを使⽤して、ストレージゾーン ControllerとOffice Web App Serverを単⼀の外部アドレスに結合する場合は、Citrix ADC for ShareFileウィザードの完了後に追加の Citrix ADC構成を実⾏する必要があります。外部からアクセス可能な OWAサーバーにトラフィックが適切にルーティングされるようにするには、Citrix ADC構成が必要です。

次の Citrix ADCルールを構成すると、管理者はストレージゾーンの Controllerゾーンの既存の外部アドレスを再利⽤できるため、OWA⽤に外部アドレスを追加作成する必要がなくなります。

追加の Citrix ADC負荷分散仮想サーバーを作成して構成するには：

1. 追加の負荷分散サービスを作成します。• [トラフィック管理] > [負荷分散] > [サービス]に移動します。•［追加］をクリックします。• OWAサーバーに対応するサービスを作成するために必要な情報を⼊⼒します。[ OK]をクリックします。

2. 追加の負荷分散仮想サーバーを作成します。



• [トラフィック管理] > [負荷分散] > [仮想サーバー]に移動します。•［追加］をクリックします。• 次の値を指定します。

オプション値

名前 SF_OWA_vServerなどのポリシー名

プロトコル SSL

IPアドレスの種類アドレス指定不可

• クリックスルーして、仮想サーバを作成します。• 前の⼿順で作成した OWAサービスに仮想サーバーをバインドするには、[負荷分散仮想サービスバインド]、[サービスの選択]の順にクリックします。前の⼿順で作成したサービスの横にあるチェックボックスをクリックします。

• [選択]をクリックします。• [バインド]をクリックします。

3. OWAサーバーにトラフィックをルーティングするために使⽤する新しいポリシーを作成します。• [トラフィック管理] > [コンテンツの切り替え] > [ポリシー]に移動します。• [追加]を選択します。• ポリシーに名前を付けます。• 次の式を追加します。

– HTTP.REQ.URL.CONTAINS(“/hosting/discovery”)|| HTTP.REQ.URL.CONTAINS(“/x/”)|| HTTP.REQ.URL.CONTAINS(“/wv/”)|| HTTP.REQ.URL.CONTAINS(“/p/”)完全なポリシー表現は、次のようになります。HTTP.REQ.URL.CONTAINS(“/hosting/discovery”)|| HTTP.REQ.URL.CONTAINS(“/x/”)|| HTTP.REQ.URL.CONTAINS(“/wv/”)|| HTTP.REQ.URL.CONTAINS(“/p/”)

4. ロードバランシング仮想内で新しいポリシーのプライオリティを更新する• [トラフィック管理] > [コンテンツ切り替え] > [仮想サーバー]に移動します。• 負荷分散仮想サーバーをクリックし、[コンテンツ切り替えポリシー]を選択します。• ポリシーの優先順位を変更して、（例）「_SF_OWA」ポリシーの優先順位を 3番⽬にします。

[優先度] ポリシー名

90 SF_ZK_OPTIONS

95 SPOL



[優先度] ポリシー名

99 OWA

100 SF_SZ_CSPOL

•［閉じる］をクリックします。[完了]をクリックします。

ストレージゾーン Controllerサービスのモニタを作成する

デフォルトでは、Citrix ADCはストレージゾーン Controllerサーバーに pingを実⾏して、オンラインであるかどうかを判断します。ただし、Controllerがオンラインであっても、ShareFileウェブサイトにハートビートメッセージを送信できない場合があります。この場合、Citrix ADCは ShareFileと通信していませんが、ストレージゾーン Controllerにトラフィックを送信します。

ShareFileへのストレージゾーン Controller送信接続を確認するには、heartbeat.aspxをチェックし、各ストレージゾーン Controller Citrix ADCサービスにバインドするモニターを作成します。

1 add lb monitor SZC_Heartbeat HTTP-ECV -send ”GET /heartbeat.aspx” -recv ”\*\*\*ONLINE\*\*\*” -secure YES

2 bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_Svcは、ストレージゾーン Controllerに対応する Citrix ADCサービスです。このサービス名は、Citrix ADC for ShareFileウィザードによって⾃動的に作成されます。サービス名には、_SF_SVC_ip-addressなどの Controllerの IPアドレスが含まれます。

-secureサービスがポート 443でリッスンしている場合は、YESが必要です。

Citrix ADCの構成を確認します

ウィザードを完了したら、[トラフィック管理] > [負荷分散] > [仮想サーバー]の順に選択し、ウィザードによって作成された負荷分散仮想サーバーのステータスを表⽰します。

Citrix ADCによる ShareFileリクエストのスループットの表⽰

スループットの統計情報は、[ダッシュボード]メニューにあります。

Citrix ADCを⼿動で構成する

December 12, 2019



バージョン 10.1ビルド 120.1316以降、Citrix ADCには、ストレージゾーンの Controllerデータとコネクタに必要な設定を構成するウィザードが含まれています。

このセクションの⼿順では、ストレージゾーン Controllerに必要な Citrix ADC設定について説明します。すべてのリンクは、NetScaler 10.1のドキュメント⽤です。新しいバージョンの Citrix ADCでも同様のトピックが利⽤できます。

すべての受信メッセージで有効な URI署名を確認するには

1. sf_calloutという名前の HTTPコールアウトを作成します。a) [HTTPコールアウトの構成]ダイアログボックスで、[仮想サーバー]または [IPアドレス]をクリックし、アドレスを指定します。

b) [サーバーに送信する要求]で、[属性ベース]をクリックし、[要求属性の構成]をクリックします。c) [メソッドを取得]を選択します。d) [Host Expression]に、任意のストレージ・ゾーン・コントローラの仮想サーバの IPアドレスまたはホスト IPアドレスを⼊⼒します。

e)「URLステム式」に、次のように⼊⼒します。

1 ”/validate.ashx?RequestURI=” + HTTP.REQ.URL.BEFORE_STR(”&h”).HTTP_URL_SAFE.B64ENCODE + ”&h=”+ HTTP.REQ.URL.QUERY.VALUE(”h”)

f) [OK]をクリックし、[HTTPコールアウトの設定]ダイアログボックスに戻ります。g) [サーバー応答]で、[戻り値の型]として [ブール]を選択します。h)「式」で、応答からデータを抽出するには、次のように⼊⼒します。

HTTP.RES.STATUS.EQ(200).NOTi) [作成]をクリックします。詳細については、HTTPコールアウトを参照してください。

2. 前述の⼿順に従って、sf_callout_yという名前の HTTPコールアウトを設定します。式を除いて同じ設定を使⽤します。

•「URLステム式」に、次のように⼊⼒します。”/validate.ashx?RequestURI=”+ HTTP.REQ.URL.HTTP\\_URL\\_SAFE.B64ENCODE + ”\\&h=”

3. レスポンダポリシーを設定します。a) [レスポンダーポリシーの構成]ダイアログボックスで、[アクション]で [ドロップ]を選択します。b)「式」に、次のように⼊⼒します。

1 http.REQ.URL.CONTAINS(”&h=”) && http.req.url.contains(”/crossdomain.xml”).not && http.req.url.contains(”/validate.ashx?requri”).not && SYS.HTTP_CALLOUT(sf_callout) || http.REQ.URL.CONTAINS(”&h=”).NOT && http.req.url.contains(”/crossdomain.xml”).not && http.req.url.contains(”/validate.


https://docs.citrix.com/en-us/netscaler/10-1/ns-appexpert-con-10/netscaler-http-callouts-gen-wrapper-10-con.html


ashx?requri”).not && SYS.HTTP_CALLOUT(sf_callout_y)

詳しくは、応答者を参照してください。4. レスポンダーポリシーをロードバランサー仮想サーバーにバインドする。SSLセッションベースの永続性を構成します。

ロードバランシングを⾏うには

1. トークンベースの負荷分散の構成.

ルール式を使⽤します。“http.REQ.URL.QUERY.VALUE(”uploadid”)”

トークンベースの負荷分散は、⾼可⽤性展開のストレージゾーンコントローラに必要です。ラウンドロビン負荷分散では、断続的にダウンロードまたはアップロードが失敗します。これは、クライアントのアップロードまたはダウンロード要求が、ShareFile.comから承認要求を受信したストレージゾーン Controller以外のストレージゾーンコントローラに転送される可能性があるためです。

2. SSL接続を終了するように Citrix ADCを構成します。

詳細については、SSLオフロードの設定およびそのサブトピックを参照してください。

コネクタのコンテンツの切り替えと認証を構成するには

1. コンテンツ切り替えの有効化の説明に従って、コンテンツの切り替えを有効にします。

2. オンプレミスのストレージゾーンからの ShareFileデータのユーザー要求に対するコンテンツ切り替えポリシーを作成します。

a) [コンテンツスイッチングポリシーの構成]ダイアログボックスで、コンテンツスイッチングポリシーの名前を⼊⼒します。これらの⼿順では、Data_Requestsという名前を使⽤します。

b) 式を⼊⼒します。

HTTP.REQ.HOSTNAME.CONTAINS(”StorageZonesControllerHostName”)&& HTTP.REQ.URL.CONTAINS(”/cifs/”).NOT && HTTP.REQ.URL.CONTAINS(”/sp/”).NOT

c) [OK]をクリックします。

詳しくは、コンテンツの切り替えを参照してください。

3. ストレージ・ゾーン・コネクタからアクセスするデータに対するユーザー要求に対するコンテンツ・スイッチ・ポリシーを作成します。

a) [コンテンツスイッチングポリシーの構成]ダイアログボックスで、コンテンツスイッチングポリシーの名前を指定します。これらの⼿順では、Connector_Requestsという名前を使⽤します。


https://docs.citrix.com/en-us/netscaler/10-1/ns-appexpert-con-10/ns-responder-wrapper-con.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-appexpert-con-10/ns-responder-wrapper-con/ns-resp-binding-resppoli-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-lb-wrapper-con-10/ns-lb-persistence-wrapper-con/ns-lb-persistence-configuring-ssl-session-id-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-lb-wrapper-con-10/ns-lb-customizing-lbalgorithms-wrapper-con/ns-lb-customizing-about-token-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-ssl-wrapper-con-10/ns-ssl-config-ssloffloading-con.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-cs-wrapper-con-10/ns-cs-basicconfig-wrapper-con/ns-cs-basicconfig-enabling-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-cs-wrapper-con-10.html



HTTP.REQ.HOSTNAME.CONTAINS(”StorageZonesControllerFQDN”)&& (HTTP.REQ.URL.CONTAINS(”/cifs/”)|| HTTP.REQ.URL.CONTAINS(”/sp/”))

「ストレージゾーンコントローラ FQDN」を Controllerの FQDNに置き換えてください。

c) [OK]をクリックします。

4. コンテンツ切り替え仮想サーバーを作成する.

5. コンテンツスイッチングポリシーターゲットを設定します。

•［仮想サーバーの構成（コンテンツ切り替え）］ダイアログボックスで、Data_Requestsポリシーで、ShareFileデータのストレージゾーンのロードバランサー仮想サーバーを指定します。

このロードバランサー仮想サーバーは、「すべての着信メッセージで有効な URI署名をチェックし、負荷分散するには」のステップ 4でレスポンダーポリシーをバインドしたサーバーです。

• Connector_Requestsポリシーでは、ストレージゾーンコネクタのロードバランサ仮想サーバーを指定します。

6. ストレージゾーンコネクタの認証仮想サーバーを構成します。

Citrix ADCへの認証はオプションですが、推奨されるベストプラクティスです。

a) ナビゲーションペインで、[Load Balancing]を展開し、ストレージゾーンコネクタ⽤のロードバランサー仮想サーバーの名前を選択し、[Open]をクリックします。

b) [仮想サーバーの構成 (負荷分散)]ダイアログボックスで、[詳細設定]タブをクリックし、[認証の設定]を展開します。

c) [401ベース認証]のチェックボックスをオンにし、[認証]仮想サーバーを選択します。

d) [メソッドと持続性]タブをクリックします。

e)「持続性」で「クック IEINSERT」を選択します。

f) [タイムアウト (最⼩)]に 240と⼊⼒します。

タイムアウト値は 240分にすることをお勧めします。最⼩値は 10分より⼤きくする必要があります。

詳しくは、認証仮想サーバの設定を参照してください。

7. [認証サーバーの構成]ダイアログボックスを使⽤して、認証サーバーを作成および構成します。

「SSO名属性」に、「ユーザープリンシパル名」と⼊⼒します。

その他の設定の詳細については、認証ポリシーを参照してください。

8. 作成した認証サーバの認証ポリシーを設定します。

a) [認証ポリシーの構成]ダイアログボックスで、ポリシーの名前を⼊⼒し、前の⼿順で構成した認証サーバーを選択します。


https://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-cs-wrapper-con-10/ns-cs-basicconfig-wrapper-con/ns-cs-basicconfig-vservers-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-setup-con/ns-aaa-setup-auth-vserver-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-setup-policies-con/ns-aaa-setup-policies-authntcn-tsk.html



ns_true

詳しくは、認証ポリシーを構成するを参照してください。

9. シングルサインオン⽤のセッションプロファイルを構成します。

a) [セッションプロファイルの設定]ダイアログボックスで、プロファイルの名前を⼊⼒します。b) Webアプリケーションへのシングルサインオンのチェックボックスをオンにします。c) [認証情報インデックス]で、[ PRIMARY]を選択します。d) シングルサインオンドメインで、ストレージゾーン Controllerドメイン名を⼊⼒します。e) 上記の 3つの項⽬のそれぞれについて、[グローバルをオーバーライド]チェックボックスをオンにします。

詳しくは、セッションプロファイルを参照してください。

10. シングル・サインオン⽤のセッション・ポリシーを構成します。

a) [セッションポリシーの構成]ダイアログボックスで、ポリシーの名前を⼊⼒します。

b) [ Request Profile]で、前の⼿順で設定したセッションプロファイルの名前を選択します。

c) 式を⼊⼒します。

ns_true

詳しくは、セッションポリシーを参照してください。

11. 認証仮想サーバーを作成します。

a) [仮想サーバーの構成 (認証)]ダイアログボックスで、サーバーの名前と IPアドレスを⼊⼒します。b) [認証]タブをクリックし、[プロトコル]で [ SSL ]を選択します。c) [ユーザーの認証]のチェックボックスをオンにします。d) [認証ポリシー]で [プライマリ]をクリックし、⼿順 7で設定した認証ポリシーを選択します。e) [ポリシー]タブをクリックし、[セッション]をクリックして、⼿順 9で設定したセッションポリシーを選択します。

詳しくは、認証仮想サーバの設定を参照してください。

プライベートデータストレージ⽤のネットワーク共有を作成する

December 17, 2019

ShareFile Data⽤のストレージゾーンには、プライベートデータ⽤のネットワーク共有が必要です。複数のストレージゾーンコントローラがゾーン内で⾼可⽤性と負荷分散⽤に構成されている場合、すべてのコントローラが同じ共有場所にアクセスしてプライベートデータにアクセスします。


https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-setup-policies-con/ns-aaa-setup-policies-authntcn-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-session-con/ns-aaa-setup-session-prfl-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-session-con/ns-aaa-setup-session-pol-tsk.html

https://docs.citrix.com/en-us/netscaler/10-1/ns-gen-appsec-wrapper-10-con/ns-aaa-app-trafc-wrapper-con-10/ns-aaa-setup-con/ns-aaa-setup-auth-vserver-tsk.html


ShareFileファイルをサポートされているサード・パーティ製ストレージ・システムに格納する場合でも、ストレージ・ゾーン・Controllerには、暗号化キー、キューに⼊れられたファイル、その他の⼀時アイテム⽤のネットワーク共有と、そのストレージ・システムにファイルをアップロードまたはダウンロードするためのストレージ・キャッシュが必要です。ストレージキャッシュの詳細については、「ストレージキャッシュ操作のカスタマイズ」を参照してください。

記憶域ゾーンコントローラは、IISアカウントプールユーザーを使⽤してネットワーク共有にアクセスします。既定では、アプリケーションプールは低レベルのユーザー権限を持つ Network Serviceユーザーアカウントで動作します。記憶域ゾーン Controllerは、既定でネットワークサービスアカウントを使⽤します。ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使⽤して、共有にアクセスできます。ただし、ネットワークサービスアカウントを使⽤して、IISアプリケーションプールと Citrix ShareFileサービスを実⾏する必要があります。

1. ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使⽤して共有にアクセスする場合は、Active Directoryに名前付きユーザーアカウントを作成します。この名前付きユーザーアカウントをShareFileサービスアカウントと呼びます。注:ストレージゾーン Controllerを構成するときは、[ネットワーク共有ユーザー名]と [ネットワーク共有パスワード]を指定します。これは、共有にアクセスするために使⽤するアカウントの資格情報 (ShareFileServiceアカウントまたは Network Serviceアカウントのいずれか)です。

セキュリティを向上させるために、管理者は、ShareFileストレージリポジトリを含む特定のフォルダに対する他のすべてのユーザーに対する権限を拒否し、構成中のストレージロケーションユーザーにのみアクセスを許可する必要があります。

2. ネットワーク共有をホストするサーバーに接続し、ShareFileプライベートデータ⽤のフォルダーを作成します。

3. フォルダを右クリックし、[特定のユーザーと共有…]を選択します。

4. 共有へのアクセスに使⽤するアカウント（ネットワークサービスアカウントまたは ShareFileサービスアカウント）を追加し、アクセス許可レベルを「読み取り/書き込み」に変更します。

5. [共有]をクリックし、[完了]をクリックします。

6. フォルダを右クリックし、[プロパティ]を選択します。

7. [セキュリティ]タブで、共有へのアクセスに使⽤するアカウント (ネットワークサービスアカウントまたはShareFileサービスアカウント)に [フルアクセス]アクセス許可があることを確認します。

ゾーンあたりのファイル数を増やす

デフォルトでは、ストレージ・ゾーン・Controllerは、単⼀のフォルダではなく、フォルダの階層にファイルを格納するために CIFS共有を使⽤するように構成されています。ここでは⽂章全体を削除します。上記の #1により (複数のフォルダがファイルの格納に使⽤されるため)。

永続的なストレージレイアウトを分割するように、ストレージゾーン Controller構成できます。これにより、⼀部のタイプのストレージ・アレイのゾーンあたりの最⼤ファイル数が 50万未満から 1,000万以上に増加します。追加


/ja-jp/storage-zones-controller/5-0/manage-storagezone-for-sharefile-data.html


の容量が必要な場合は、デフォルトを変更できます。

複数のフォルダーにファイルを格納するストレージゾーン Controller有効にするには

ご注意：

レジストリを誤って編集すると、深刻な問題が発⽣し、オペレーティングシステムの再インストールが必要になることがあります。Citrixは、レジストリエディタの誤った使⽤に起因する問題を解決できることを保証できません。レジストリエディタは、⾃⼰の責任において使⽤してください。レジストリを編集する前に、必ずレジストリをバックアップしてください。

注：

ストレージゾーンコントローラがアップグレードされている場合は、レジストリキーの値HKEY_LOCAL_MACHINE\Software\Wow6432Node\Citrix\storagezone\PathSelectionis set to 1. If it is set to 0, update it to 1かどうかを確認してください。

レジストリの編集が完了したら、ストレージゾーンコントローラーで IISを再起動します。

フォルダの最⼤数を増やすには

デフォルトでは、分割されたストレージレイアウトには 256 個の最上位フォルダがあり、各フォルダには 256 個のフォルダが含まれています。その構成は、プライマリストレージゾーン ControllerレジストリキーHKEY_LOCAL_MACHINE\Software\Wow6432Node\Citrix\storagezone:PathSelectionParams=2,2で表されます。

最初の値は、最上位レベルのフォルダの数を「16」または 256の累乗に制限します。2番⽬の値では、最上位レベルのフォルダの⼦フォルダの数も 256に制限されます。

同じ式（16から Nの累乗）を使⽤して、サイトに適した値を決定できます。たとえば、[パス選択パラメータ]を 3、4、4、4と指定すると、最上位レベルのフォルダの数が 4096 (16は 3の累乗)に制限されます。2番⽬の値は、最上位フォルダの⼦フォルダの数を 65536 (16を 4の累乗)に制限します。3番⽬の値は、2番⽬のレベルのフォルダーの⼦フォルダーの数を 65536に制限します。

レジストリの編集が終了したら、プライマリおよびセカンダリの記憶域ゾーンコントローラで IISを再起動します。

空のフォルダを削除するには

ストレージゾーン Controllerが複数のフォルダにファイルを格納する場合、ファイルを削除すると空のフォルダになることがあります。デフォルトでは、ストレージゾーン Controllerは空のフォルダを削除します。ファイル削除サービスは、ツリーの⼀番下から空のフォルダを削除し、空でないフォルダに到達するまで続⾏します。

ただし、⼀部のアップグレードパスでは、設定が更新されない場合があります。アップグレード後、C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe.configに次のキーが表⽰されていることを確認します。



<add key=”DeleteEmptyFoldersAfterFileDeletion” value=“1”/>

キーを追加する必要がある場合は、完了したらファイル削除サービスを再起動します。

SSL証明書のインストール

December 12, 2019

ワイルドカード証明書を使⽤しない場合は、記憶域ゾーン Controllerサーバー⽤の証明書署名要求 (CSR)を作成し、認証局 (CA)に要求を送信する必要があります。ヘルプについては、ご使⽤の CAのマニュアルを参照してください。

証明書をインストールするには、次の⼿順に従います。

1. 記憶域ゾーン ControllerサーバーでMMCを開き、[ファイル]、[スナップインの追加と削除]の順に選択します。

2. [証明書]を選択し、[追加]をクリックします。3. [コンピューターアカウント]、[次へ]、[完了]、[OK]の順にクリックします。4. MMCコンソールで、[証明書]、[個⼈]の順に展開します。5. [証明書]を右クリックし、[すべてのタスク] > [インポート]を選択して、[次へ]をクリックします。6. [参照]をクリックし、ファイル名拡張⼦メニューから [個⼈情報の交換]を選択します。7. 証明書の場所を参照し、[開く]をクリックします。8. [次へ]をクリックし、秘密キーに関連付けられたパスワードを⼊⼒し、[次へ]を 2回クリックし、[完了]をクリックします。

9.「インポートに成功しました」というメッセージが表⽰されたら、「OK」をクリックします。

パブリック証明書の場合は、発⾏するドメインがストレージゾーン Controllerローカル IPアドレスに解決されていることを確認します。これを⾏うには、ストレージゾーン Controllerの hostsファイルを更新して、証明書に関連付けられたドメインをストレージゾーンコントローラーの IPアドレスにマップします。2つのアドレスが解決しない場合、ユーザーはストレージゾーン Controllerからファイルをアップロードできなくなります。

ShareFileデータ⽤にサーバーを準備する

December 17, 2019

このセクションで説明するWebサーバー（IIS）の役割と ASP.NETセットアップは、ShareFileデータのストレージゾーンとストレージゾーンコネクタに必要です。これらの⼿順は、Windowsサーバー 2012に基づいています。Windows Server 2008の⼿順については、ストレージゾーン Controller⽤のレガシードキュメントを参照してください。


/ja-jp/legacy-archive/sharefile.html


Microsoft .NETバージョンを更新する

記憶域ゾーン Controllerインストールに進む前に、適切なバージョンのMicrosoft .NET Frameworkを使⽤していることを確認してください。

• StorageZones Controller 4.0には、.NET 4.6.2以降が必要です。.NET 4.6.2をダウンロードするには、ここをクリックしてください

ShareFileアプリケーションを使⽤する場合は、最新バージョンのMicrosoft.NETを使⽤することをお勧めします。

Webサーバー (IIS)の役割と ASP.NETの役割サービスを有効にするには

1. ストレージゾーン Controllerをインストールするサーバーで、ローカル管理者権限を持つアカウントでログオンします。

2. サーバーマネージャーコンソールのダッシュボードを開き、[管理] > [役割と機能の追加]をクリックして、役割と機能の追加ウィザードを開きます。

3. 役割と機能の追加ウィザードで、[次へ]をクリックします。

4. [インストールの種類を選択]ページで、[役割ベースまたは機能ベースのインストール]をクリックし、[次へ]をクリックします。

5. [宛先サーバーの選択]ページで、サーバープールからサーバーを選択し、[次へ]をクリックします。

6. [サーバーの役割の選択]ページで、[Webサーバー (IIS)]チェックボックスをオンにし、[Windows Server更新サービス]チェックボックスをオンにして、[次へ]をクリックします。

7. [機能の追加]をクリックして、IISに必要な機能を追加します。

8. [フィーチャを追加]をクリックします。[機能の選択]ページが表⽰されます。

9. 次の画⾯に表⽰される必要な設定を選択し、[次へ]をクリックします。

10. [Webサーバーの役割 (IIS)]ページで、[次へ]をクリックします。

11. [役割サービスの選択]ページで、[基本認証]チェックボックスと [Windows認証]チェックボックスをオンにし、[次へ]をクリックします。

12. [インストールの選択の確認]ページで、[インストール]をクリックします。

13. インストールが完了したら、[閉じる]をクリックし、サーバーを再起動します。

IISを構成するには

Webサーバー (IIS)の役割と ASP.NETの役割サービスを有効にした後、IISを構成します。

1. IISマネージャーコンソールを開き、ストレージゾーン Controllerサーバーノードをクリックし、[ISAPIとCGIの制限]をダブルクリックします。


https://www.microsoft.com/en-us/download/details.aspx?id=53344



2. 各 ASP.NETエントリを [許可]に設定します。

3. ドメインサーバーまたはパブリック証明書がサーバーにインストールされていることを確認します。IISマネージャーコンソールで、記憶域ゾーン Controllerサーバーノードをクリックし、[サーバー証明書]をダブルクリックします。

公開認証局に関連付けられている証明書がない場合は、先に進む前にサーバーに証明書をインストールします。詳しくは、SSL証明書のインストールを参照してください。

注：

ストレージゾーン Controllerで Citrix Gatewayまたは同様のアプライアンスを使⽤している場合は、ドメインサーバー証明書を使⽤できます。標準ゾーンのインターネットトラフィックはすべて、パブリック証明書を使⽤して処理する必要があります。

4. IISマネージャーコンソールで、[既定のWebサイト]をクリックし、[バインド]をクリックします。

5. [追加]をクリックし、次のようにサイトバインドを構成します。

• タイプは httpsです。• IPアドレスが「すべて未割り当て」になっています。• ポートは 443です。• SSL証明書は、インストールされている証明書です。

6. Webサーバ接続をテストするには、http://localhost/およびに移動しますhttps://localhost/。接続が成功すると、IISロゴが表⽰されます。

HTTPSは、URLヘッダーのローカルホスト名と⼀致しない証明書に関するメッセージを表⽰します。これは期待されており、安全にウェブサイトに進むことができます。

7. VMにストレージゾーン Controllerをインストールする場合は、VMのスナップショットを作成します。

ストレージゾーン Controllerをインストールし、ストレージゾーンを作成する

December 17, 2019

重要:

インストールを開始する前に、環境がシステム要件を満たしていることを確認してください。

ストレージゾーン Controllerーをインストールするときは、ゾーンを作成し、プライマリストレージゾーンコントローラーまたはセカンダリストレージゾーンコントローラをゾーンに結合するを設定します。

プライマリストレージゾーン Controller設定時に、次の機能のいずれかまたは両⽅を有効にできます。

• ShareFile Data⽤のストレージ・ゾーン。プライベート・データ・ストレージ（プライベート・ネットワーク共有、またはサポートされているサード・パーティ・ストレージ・システム）を指定します。


/ja-jp/storage-zones-controller/5-0/install/ssl-certificate.html

/ja-jp/storage-zones-controller/5-0/system-requirements.html



• ストレージゾーンコネクタ。SharePointサイトまたは指定したネットワークファイル共有上のドキュメントへのアクセスをユーザーに許可します。

次の⼿順では、記憶域ゾーン Controllerインストールし、IISの既定のWebサイトの認証を構成し、ゾーンを作成し、機能を有効にする⽅法について説明します。

1. ストレージゾーン Controllerソフトウェアをダウンロードしてインストールします。

• http://www.citrix.com/downloads/sharefile.htmlの ShareFileダウンロードページから、最新のストレージゾーン Controllerインストーラにログオンしてダウンロードします。

注：

ストレージゾーン Controllerインストールすると、サーバーの既定のWebサイトがコントローラーのインストールパスに変更されます。

匿名認証は、デフォルトのWebサイトで有効にする必要があります。

2. ストレージゾーン Controllerをインストールするサーバで、StorageCenter.msiを実⾏します。

• ShareFileストレージ・ゾーン・Controller・セットアップ・ウィザードが起動します。

• マルチテナントの場合は、次のコマンドを実⾏します。msiexec /iストレージセンター _5.0.1.msiマルチテナント = 1

注：

上記のコマンドでは、インストールしようとしているmsiの番号と⼀致するようにバージョン番号 (この例では 5.0.1)を更新する必要があります。

• プロンプトに応答します。インストールが完了したら、[ストレージゾーン Controllerを起動する][構成ページ]のチェックボックスをオフにし、[完了]をクリックします。

3. ストレージゾーン Controllerを再起動します。

4. インストールが正常に完了したことをテストするには、http://localhost/に移動します。インストールに成功すると、ShareFileロゴが表⽰されます。

5. ShareFileロゴが表⽰されない場合は、ブラウザのキャッシュをクリアして、もう⼀度試してください。

重要:

ストレージゾーンコントローラーのクローンを作成する場合は、ストレージゾーン Controller構成に進む前にディスクイメージをキャプチャします。

6. ShareFileで S3互換のストレージプロバイダを使⽤するには、ストレージゾーンを作成または構成する前に、次の⼿順を実⾏します。

• Windowsレジストリエディタを開きます ([ファイル名を指定して実⾏] > [regedit.exe])。

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenterレジストリキーを⾒つけます。


http://www.citrix.com/downloads/sharefile.html


• このキーの下に新しい REG_SZ値を作成します。

– 値の名前: S3EndpointAddress– 値のタイプ: REG_SZ– 値のデータ:S3互換のストレージエンドポイントに対応する HTTPS URLを⼊⼒します。

• ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合（http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照）、このキーの下に別の値を作成します。

– 値の名前: S3ForcePathStyle– 値のタイプ: REG_SZ– 値データ: 真

• ストレージゾーン Controllerアプリケーションプール（StorageCenterAppPool）を再起動します。

• S3互換ストレージ・システムから次の情報を収集します。

– ShareFileデータアクセスキー IDに使⽤する S3バケットの名前– アクセスキー ID– シークレットアクセスキー

7. 次の⼿順を続⾏して、新しいストレージゾーンを作成します。永続的なストレージの場所として Amazon S3を選択します。ストレージゾーン Controllerは、実際の Amazon S3サービスの代わりに、⼊⼒したカスタムエンドポイントアドレスを使⽤します。S3の詳細を設定するときは、前に作成したバケット名を選択します。

8. ストレージゾーンの Controllerコンソールに移動します。

9. http://localhost/configservice/login.aspxを開くかスタート画⾯またはメニューから設定ツールを起動します。Windows 8で [スタート]画⾯のショートカットを使⽤する⽅法については、「ストレージゾーンコントローラを管理する」を参照してください。

10. ストレージゾーンControllerの [ログオン]ページで、アカウントの電⼦メールアドレス、パスワード、フルアカウント URL FQDNサブドメイン (subdomain.sharefile.comまたはsubdomain.sharefile.euなど)を⼊⼒します。で指定します。[ログオン]をクリックします。

11. プライマリストレージゾーン Controllerーを設定するには、[ Create new Zone ]をクリックし、ゾーン情報を指定します。


ゾーン ShareFile管理者コンソールに表⽰される名前。


http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html


/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers.html




プライマリゾーン Controller デフォルトはhttp://localhost/ConfigServiceです。SSLを使⽤する場合は、HTTPを httpsに変更します。ShareFileは、標準ゾーンに対して有効な信頼できるパブリック SSL証明書のみをサポートすることに注意してください。セカンダリ・ストレージ・ゾーン・ホストの構成に問題がある場合は、そのサーバのローカル・ブラウザで ConfigService URLを解決でき、SSLエラーは発⽣しません。localhostはサーバの IPアドレスに解決されます。代わりに、サーバ名（https://servername.subdomain.com/ConfigServiceなど）を指定できます。サーバー名は、セカンダリストレージゾーン Controllerサーバーによって解決可能である必要があります。

ホスト名ストレージゾーン Controllerの⼀意の識別⼦。ShareFileでは、識別⼦としてサーバーのホスト名を使⽤することをお勧めします。これは、FQDNではなく、フレンドリ名である必要があります。この名前は、ShareFile管理者コンソールに表⽰されます。

外部アドレスこのストレージゾーン Controllerの FQDN。このストレージゾーン Controllerを標準ゾーンに使⽤する場合、URLはインターネットからアクセスできる必要があります。ロードバランサーを使⽤している場合は、そのアドレスを⼊⼒します。ページを送信すると、ShareFileはアドレスを検証します。

12. プライベートデータストレージを指定するには、次の⼿順を実⾏します。

•［ShareFileデータのストレージゾーンを有効にする］チェックボックスをオンにします。

• 標準ゾーンを構成するには、チェックボックスをオフにします。

注：

ストレージゾーン Controllerを構成した後は、そのゾーンタイプを変更できません。

記憶域ゾーン Controllerは、サービスアカウントの資格情報を使⽤して、信頼できる Active Directoryドメインサーバーに接続し、電⼦メールアドレスを検索します。

• ストレージ・リポジトリを選択します。



13. ストレージゾーンコネクタを有効にしない場合は、[登録]をクリックしてストレージゾーン ControllerをShareFileに登録し、⼿順 14に進みます。

14. S3互換の記憶域を使⽤している場合は、記憶域ゾーンの登録後に次の追加のレジストリエントリを作成します。

• Windowsレジストリエディタを開きます ([ファイル名を指定して実⾏] > [regedit.exe])。

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfigレジストリキーを⾒つけます。

• このキーの下に新しい REG_SZ値を作成します。

– 値の名前: S3EndpointAddress– 値のタイプ: REG_SZ– 値のデータ:S3互換のストレージエンドポイントに対応する HTTPS URLを⼊⼒します。

• ストレージプロバイダがパス形式のコンテナアクセスのみをサポートしている場合（http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.htmlを参照）、このキーの下に別の値を作成します。

– 値の名前: S3ForcePathStyle– 値のタイプ: REG_SZ– 値データ: 真

• ストレージゾーン Controllerアプリケーションプール（StorageCenterAppPool）を再起動します。

15. ストレージ・ゾーン・コネクタを有効にするには、次の⼿順に従います。

コネクタを有効にすると、IISアプリケーション「cifs」(ネットワークファイル共有⽤のコネクタ)と「sp」(SharePoint⽤のコネクタ)が作成されます。

• 使⽤するコネクタの種類ごとに、[ネットワークファイル共有のストレージゾーンコネクタを有効にする]および [SharePointのストレージゾーンコネクタを有効にする]チェックボックスをオンにします。コネクタの設定については、このセクションのストレージゾーンコネクタの構成を参照してください。

• [登録]をクリックします。ストレージゾーン Controller情報が表⽰されます。

• ストレージゾーンコネクタに [許可されたパス]または [拒否されたパス]を指定した場合は、IISサーバーを再起動します。

16. セカンダリ・ストレージ・ゾーン・コントローラを構成するには、ストレージゾーンコントローラを管理するを参照してください。

重要:

ストレージゾーン Controllerがローカルサイトにインストールされ、バックアップはユーザーが担当します。展開を完全に保護するには、ストレージゾーン Controllerサーバーのスナップショットを作成し、構成をバッ








クアップし、ストレージゾーン Controller構成のバックアップおよびディザスタリカバリ⽤のストレージゾーン Controllerを準備するをバックアップする必要があります。

ShareFileデータのストレージ・ゾーンを構成する

注：

ShareFileデータのストレージゾーンは、Citrix Endpoint Managementエンタープライズエディションで使⽤でき、他の Citrix Endpoint Managementエディションでは使⽤できません。

ShareFile Data⽤のストレージゾーンは、ストレージゾーンの作成時にストレージゾーン Controllerウィザードから構成するか、ストレージゾーンコントローラコンソールから構成できます。［ShareFile Data］タブを使⽤して、プライベート・ネットワーク共有またはサポートされているサード・パーティ製ストレージ・システムの設定を構成します。

ネットワーク共有の設定


ストレージリポジトリ [ローカルネットワーク共有]を選択します。ゾーンを作成した後は、[ストレージリポジトリ]オプションを変更できません。たとえば、ローカルネットワーク共有からサードパーティの記憶域に切り替えるには、新しいゾーンを作成する必要があります。


https://docs.citrix.com/en-us/storagezones-controller/5-0/manage-storagezone-controllers/backup-configuration.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/file-recovery.html




ネットワーク共有の場所プライベートデータの保存や、暗号化キー、キューに⼊れられたファイル、その他の⼀時アイテムなどのデータに使⽤するネットワーク共有への UNCパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラは、ストレージに同じファイル共有を使⽤する必要があります。注意:ストレージゾーン Controllerは、このパス内のデータを独⾃のストレージフォーマットで上書きします。ファイルデータがある場所へのパスを指定しないでください。このストレージ場所をShareFile Data専⽤ストレージゾーン⽤に予約します。ストレージゾーンコントローラは、設定ページで提供されるネットワーク共有ユーザー名/パスワードを使⽤してネットワーク共有にアクセスします。設定ページでネットワーク共有のユーザー名/パスワードが指定されていない場合は、デフォルトでネットワークサービスアカウントが使⽤されます。ネットワークサービスアカウントは、このストレージの場所へのフルアクセス権を持っている必要があります。ストレージ・ゾーン・Controllerは、StorageCenterAppPoolのネットワーク・サービス・アカウントもデフォルトで使⽤されます。サポートされている構成は、NetworkServiceアカウントを使⽤することだけです。

ネットワーク共有のユーザー名およびネットワーク共有パスワード

ネットワーク共有の場所の UNCパスの資格情報。ネットワークサービスアカウントの代わりに名前付きユーザーアカウントを使⽤して共有にアクセスするには、これらの資格情報を指定します。ネットワークサービスアカウントを使⽤して、IISアプリケーションプールおよび Citrix ShareFileサービスを引き続き実⾏できます。




暗号化を有効にするファイル共有に保存されているファイルコンテンツを暗号化する場合のみ、このチェックボックスをオンにします。ネットワーク共有がネットワーク内に存在し、サードパーティ製のツールによって既に保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この設定はメタデータとは関係ありません。メタデータは、標準ゾーンでは暗号化されません。この追加のセキュリティは、必要に応じて最⼤限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツールなどのサードパーティ製のツール (データ重複除外ツールなど)でディスクを読み取ることができなくなります。ShareFileは、ファイル暗号化キーを使⽤してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。

パスフレーズファイル暗号化キーを保護するために使⽤されるフレーズ。パスフレーズと暗号化キーは安全な場所にアーカイブしてください。ゾーン内のストレージゾーンControllerごとに、同じパスフレーズを使⽤する必要があります。パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は復元できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、追加のストレージゾーンコントローラをストレージゾーンに参加させたり、サーバーに障害が発⽣した場合にストレージゾーンを回復したりすることはできません。注:暗号化キーは、共有ストレージパスのルートに表⽰されます。暗号化キーファイル SCKeys.txtを失うと、すべてのストレージゾーンファイルへのアクセスが直ちに切断されます。暗号化キーファイルは、通常のデータセンターの⼿順の⼀部としてバックアップしてください。

共有キャッシュの構成設定




共有キャッシュの場所ストレージキャッシュと暗号化キー、キューに⼊れられたファイル、その他の⼀時アイテムなどのデータを含むネットワーク共有へのパス。\\server\share形式でパスを指定します。同じストレージゾーンに属するストレージゾーンコントローラは、ストレージに同じファイル共有を使⽤する必要があります。注意:ストレージゾーン Controllerは、このパス内のデータを独⾃のストレージフォーマットで上書きします。ファイルデータがある場所へのパスを指定しないでください。このストレージの場所は、ShareFileデータ専⽤のストレージゾーン⽤に予約します。ネットワークサービスアカウント（またはCitrix ShareFile管理サービスを実⾏するように構成されたアカウント）には、このストレージ場所へのフルアクセス権が必要です。

共有キャッシュログオンと共有キャッシュパスワード共有キャッシュの場所の UNCパスの認証情報。

暗号化を有効にする共有キャッシュに保存されているファイルを暗号化するには、このチェックボックスをオンにします。

Windows Azureストレージコンテナーの設定


ストレージリポジトリ Azureストレージコンテナを選択します。ゾーンを作成した後は、[ストレージリポジトリ]オプションを変更できません。たとえば、ローカルネットワーク共有から Azureベースの記憶域に切り替えるには、新しいゾーンを作成する必要があります。

アカウント名 Azureストレージアカウントの名前。これらの名前は常に⼩⽂字です。

アクセスキー Azureストレージのプライマリまたはセカンダリアクセスキー。Windows Azure管理ポータルの [アクセスキーの管理]画⾯からキーをコピーします。




検証しますボタンをクリックして Azureアクセスキーを検証します。検証が完了し、[Container Name]メニューに指定したアカウントで使⽤可能なすべてのコンテナが表⽰されるまで、設定を続⾏できません。

コンテナ名このストレージゾーン内のすべてのストレージゾーンコントローラーに使⽤する Azureコンテナーを選択します。Azureアクセスキーが検証されるまで、このリストは空です。

Amazon S3ストレージバケットの設定


ストレージリポジトリ Amazon S3ストレージバケットを選択します。ゾーンを作成した後は、[ストレージリポジトリ]オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3ストレージに切り替えるには、新しいゾーンを作成する必要があります。

アクセスキー ID Amazon S3ストレージのアクセスキー ID。

シークレットアクセスキー Amazon S3ストレージのシークレットアクセスキー。

検証しますボタンをクリックして、Amazon S3シークレットアクセスキーを検証します。検証が完了し、[BucketName]メニューに指定したアカウントで使⽤可能なすべてのバケットが含まれるまでは、設定を続⾏できません。

バケット名このストレージゾーン内のすべてのストレージゾーンコントローラーに使⽤する Amazon S3バケットを選択します。Amazon S3シークレットアクセスキーが検証されるまで、このリストは空です。

SMTPの設定


SMTPサーバーのアドレスと SMTPポート番号ローカル SMTPサーバーのホスト名およびポート。




SSLを使⽤するセキュリティで保護された接続を介して SMTPサーバーに接続するには、このチェックボックスをオンにします。

ユーザー名とパスワードローカル SMTPサーバーのユーザー名とパスワードです。

認証モード既定の認証モードでは、ストレージゾーン Controllerから SMTPサーバーへの接続に使⽤できる最も安全な⽅法が使⽤されます。

送信者アドレス [差出⼈]フィールドに表⽰される電⼦メールアドレス。

グーグルクラウドプラットフォーム

Google Cloud Platform >設定 >相互運⽤性からアクセスキーとシークレットを⽣成します。

ストレージゾーンの構成を実⾏する前に、S3EndpointAddress レジストリ値をhttps://storage.googleapis.comに設定し、IISを再起動します。

オプション 1

説明

ストレージリポジトリ

Amazon S3ストレージバケットを選択します。ゾーンを作成した後は、[ストレージリポジトリ]オプションを変更できません。たとえば、ローカルネットワーク共有から Amazon S3ストレージに切り替えるには、新しいゾーンを作成する必要があります。

アクセスキー ID

Google Cloud Platformストレージからのアクセスキー ID。

シークレットアクセスキー

あなたの Google Cloud Platformストレージからの秘密。

検証します

ボタンをクリックして、Google Cloud Platform シークレットアクセスキーを確認します。検証が完了し、[Bucket Name]リストに、指定したアカウントで使⽤可能なすべてのバケットが含まれるまでは、設定を続⾏できません。

バケット名



このストレージゾーン内のすべてのストレージゾーンコントローラに使⽤する正しいバケットを選択します。このリストは、Google Cloud Platformシークレットアクセスキーが検証されるまで空です。

ストレージゾーンコネクタの構成

ストレージゾーンコネクタにより、ユーザーは SharePointサイトまたは指定したネットワークファイル共有上のドキュメントにアクセスできます。ストレージゾーンコネクタを使⽤するために、ShareFile Data⽤のストレージゾーンを有効にする必要はありません。

注：

ShareFile Data⽤のストレージゾーンおよびストレージゾーンコネクタ機能は、ゾーンを共有できます。ただし、ストレージゾーン Controllerは、2つのデータタイプのデータとアクセス規則を別々に保持します。

ストレージゾーンコントローラウィザードを使⽤してゾーンを作成するとき、またはストレージゾーンコントローラコンソールからストレージゾーンコネクタを構成できます。

特定のネットワークファイル共有または SharePointドキュメントライブラリへのアクセスを制御するには、[許可されたパス]または [拒否されたパス]の⼀覧を指定します。変更を保存したら、IISサーバーを再起動します。

ストレージゾーンコネクタへのインバウンド接続は、最初に許可されたパスに対してチェックされます。接続が許可されている場合、パスは拒否されたパスに対してチェックされます。たとえば、\\myserver\teamshareおよびそのすべてのサブフォルダへのアクセスを提供するには、\\myserver\teamshareの許可パスを指定します。

• すべての接続はデフォルトで許可され、[許可されたパス]の値で⽰されます。この値は、拒否されたパスに対して無効です。

• 許可されたパスと拒否されたパスが互いに競合する場合は、最も制限の厳しいパスが適⽤されます。

• エントリはカンマで区切ります。

• ネットワークファイル共有へのコネクタの場合は、許可される UNCパスを指定します。

FQDNを使⽤した例:\\fileserver.acme.com\shared

UNCパスでは、次の変数を使⽤できます。

– %UserName%

ユーザーのホームディレクトリにリダイレクトします。パスの例:\\myserver\homedirs\\%UserName%

– %HomeDrive%

Active Directoryプロパティの「ホームディレクトリ」で定義されている、ユーザーのホームフォルダーパスにリダイレクトします。パスの例:%HomeDrive%

– %TSHomeDrive%

Active Directory プロパティms-TS-Home-Directory で定義されている、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバ



ーまたは Citrix XenApp サーバーから Windows にログオンするときに使⽤されます。パスの例:%TSHomeDrive%

Active Directoryユーザーとコンピュータスナップインでは、ユーザーオブジェクトを編集するときに、リモートデスクトップサービスプロファイルタブでms-TS-Home-Directory値にアクセスできます。

– %UserDomain%

認証されたユーザーの NetBIOSドメイン名にリダイレクトします。たとえば、認証されたユーザーのログオン名が「abcjohnd」の場合、変数は「abc」に置き換えられます。パスの例:\\myserver%UserDomain%_%UserName%

変数は⼤⽂字と⼩⽂字を区別しません。

• ルートレベルの SharePointサイトへのコネクタの場合は、ルートレベルのパスを指定します。

例：https://sharepoint.company.com

• SharePointサイトコレクションへのコネクタの場合:

例：https://sharepoint.company.com/site/SiteCollection

• SharePoint 2010ドキュメントライブラリへのコネクタの場合は、URLを指定します (file.aspxや /Formsなどのパス終端記号は含まれません)。

例:

– https://mycompany.com/sharepoint/– https://mycompany.com/sharepoint/sales-team/Shared Documents/– https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

既定の SharePoint 2013 URL (最⼩ダウンロード戦略が有効になっている場合) は、https://sharepoint.company.com/\\_layouts/15/start.aspx\##/Shared%20Documents/の形式です。

サーバーヘッダーを削除するためのセキュリティに関する推奨事項

IIS/ASP.NETは、デフォルトでは、HTTP応答でサーバーヘッダーを公開します。このヘッダーは、攻撃者にとって有⽤になる可能性があります。ヘッダーは、送信サーバーの種類と、場合によってはバージョン番号を公開します。このヘッダーは本番サイトには必要ないため、無効にすることができます。

残念ながら、ストレージゾーン Controllerインストーラは、このヘッダーを⾃動的に削除することはできません。ただし、ストレージゾーン Controllerドキュメント/インストールガイドでこのヘッダーを削除するための推奨事項をお客様に提供できます。

ドキュメントで提供する必要がある具体的な⼿順については、次の記事を参照してください。https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/



ストレージゾーン Controller設定を確認する

December 17, 2019

ストレージゾーン Controllerが ShareFileに登録されていることを確認し、続⾏する前に他の構成の問題がないか確認してください。

1. ストレージゾーンの Controllerコンソールで、[Monitoring ]タブをクリックします。

2. [ハートビートステータス]に緑⾊のチェックマークが付いていることを確認します。

⾚いアイコンは、ShareFile.comがハートビートメッセージを受信していないことを⽰します。その場合は、ストレージゾーン Controllerから www.ShareFile.com、および外部の PCからストレージゾーンコントローラのURLへのネットワーク接続を確認します。標準ゾーンの場合、ストレージゾーン Controllerは、有効で信頼されたパブリック SSL証明書を使⽤して、ポート 443でアクセスできる必要があります。

アップグレード後、ファイルクリーンアップサービスからの ShareFile接続ステータスに⼀時的に⾚いアイコンが表⽰されることがあります。これは、記憶域ゾーン Controllerがネットワーク接続を確⽴する前に、Windowsがそのサービスを開始した場合に発⽣します。Controllerサーバーがネットワークに戻ると、ステータスは緑⾊のアイコンに戻ります。

3. プライベートゾーンへの接続を確認する: プライベートゾーンの外部 URL (https://server.subdomain.comの形式)に移動します。

インターネットトラフィックがストレージゾーン Controllerとの間で送受信できる場合は、ShareFileロゴが表⽰されます。ストレージゾーン Controllerが正しく構成されていない場合、IISロゴまたは Citrix ADCログオン画⾯が表⽰されることがあります。インバウンドおよびアウトバウンド HTTPSトラフィックがポート 443で許可されていることを確認します。外部 URLが Citrix ADCを指している場合は、コンテンツの切り替えと負荷分散仮想サーバーのデータに対するヒット数を探します。詳細については、インストールと構成のトラブルシューティングの「ストレージゾーン Controllerが ShareFileにデータをアップロードしない」を参照してください。

4. プライベートデータストレージ⽤に作成したネットワーク共有に、フォルダ構造と、SCKeys.txtを含むストレージゾーン Controllerによって作成されたいくつかのファイルがあることを確認します。このファイルは、共有ストレージのルートフォルダに存在する必要があります。

SCKeys.txtは、資格情報またはアクセス権の問題がない限り、ストレージゾーン Controllerのインストール時に作成されます。SCKeys.txtが存在しない場合は、ファイル共有のアクセス制御リストを確認し、記憶域ゾーン Controllerを再インストールします。

5. ShareFileインタフェースからストレージ・ゾーン・コネクタのステータスを確認します。

a) ShareFile Enterpriseアカウントにログオンし、[管理] > [ストレージゾーン]に移動し、[健全性]列に緑⾊のチェックマークが表⽰されていることを確認します。

b) サイト名をクリックし、ストレージゾーン Controllerが応答していることをハートビートメッセージで⽰していることを確認します。


/ja-jp/storage-zones-controller/5-0/monitor.html

/ja-jp/storage-zones-controller/5-0/monitor.html


6. ファイルアップロードのテスト：ShareFile Webインターフェイスにログオンし、構成したゾーンに割り当てられた共有フォルダを作成し、そのフォルダにファイルをアップロードして、そのファイルがフォルダに表⽰されることを確認します。

ユーザーアカウントの既定のゾーンを変更する

December 12, 2019

デフォルトでは、既存のユーザーアカウントと新しくプロビジョニングされたユーザーアカウントは、ShareFileで管理されたクラウドストレージをデフォルトゾーンとして使⽤します。既定のゾーンを次のように変更します。

• ADからプロビジョニングされるユーザーアカウントのデフォルトゾーンを指定するには、ユーザー管理ツールを開き、オプションアイコンをクリックします。

• ルートレベルフォルダのゾーンを選択するには、ShareFile管理者コンソールを開き、[ユーザーの管理]に移動します。（スーパーユーザグループのメンバシップが必要です）。

• 個々のユーザーのデフォルトゾーンを変更するには、ShareFile管理者コンソールを開き、「ユーザーの管理」に移動します。（スーパーユーザグループのメンバシップが必要です）。[ユーザーの管理]ページでゾーン権限を作成および管理することもできます。

ストレージゾーンのプロキシサーバーの指定

December 17, 2019

ストレージゾーンコントローラコンソールでは、ストレージゾーンコントローラーのプロキシサーバーを指定できます。また、他の⽅法を使⽤してプロキシサーバーを指定することもできます。

プライマリおよびセカンダリのストレージゾーンコントローラは、HTTPを使⽤して相互に通信します。すべてのHTTPトラフィックが、内部サーバーへの接続をサポートしない送信プロキシサーバーを経由するように構成されている場合は、次の⼿順で説明するように、プロキシサーバーをバイパスするようにプライマリストレージゾーンコントローラとセカンダリストレージゾーンコントローラーを構成する必要があります。で指定します。

重要:

バイパスリストの設定は、最新のストレージゾーン Controllerリリースでのみ表⽰されます。StorageZonesController 2.2〜 2.2を使⽤している場合は、Web.configの説明に従って、各セカンダリ・サーバのバイパス・リストをWeb.configに⼿動で追加する必要があります。

1. ストレージゾーンの Controllerコンソール (http://localhost/configservice/login.aspx)で、[ネットワーク]タブをクリックします。

2. [Enable Proxy]チェックボックスをオンにして、プロキシサーバの [Address]と [Port]を⼊⼒します。


/ja-jp/storage-zones-controller/5-0/configuration-files.html


3. 認証モードを選択し、ShareFileプロキシアクセス⽤に指定されたWindowsアカウントを指定します。4. サイトがすべての発信 HTTPトラフィックをプロキシし、ゾーンに複数のストレージゾーンコントローラーがある場合は、バイパス設定を構成します。

• すべてのストレージゾーンの Controllerートラフィックが同じサブネット上にある場合は、[プロキシのバイパス… ]チェックボックスを選択して、コントローラが相互に通信できるようにします。

• ストレージゾーンコントローラが異なるサブネット上にある場合は、[Bypass Address]にプライマリストレージゾーン Controllerホスト名または IPアドレスを⼊⼒します。

5. すべてのゾーンメンバーの IISサーバーを再起動します。

ドメイン Controllerが委任のために記憶域ゾーンコントローラを信頼するように構成する

December 12, 2019

注：

このセクションは、ストレージゾーンコネクタにのみ適⽤されます。

ネットワーク共有または SharePointサイトで NTLMまたは Kerberos認証をサポートするには、次のようにドメイン Controllerを構成します。

1. ストレージゾーンドメインのドメイン Controllerで、[スタート]、[管理ツール]、[Active Directoryユーザーとコンピュータ]の順にクリックします。

2. [ドメイン]を展開し、[コンピュータ]フォルダを展開します。

3. 右側のペインで、ストレージゾーンの Controller名を右クリックし、[プロパティ]を選択して、[委任]タブをクリックします。

4. [Kerberos]で、[指定したサービスへの委任のみにこのコンピューターを信頼する]を選択します。

5. NTLMの場合：

a) [指定したサービスへの委任のみでこのコンピューターを信頼する]と [任意の認証プロトコルを使⽤する]を選択します。[OK]をクリックします。

b) [追加]ボタンをクリックします。[サービスの追加]ダイアログボックスで、[ユーザー]または [コンピューター]をクリックし、ネットワーク共有または SharePointサーバーのホスト名を参照または⼊⼒します。[OK]をクリックします。

複数のファイルサーバーまたは SharePointサーバーがある場合は、それぞれにサービスを追加します。

c) [使⽤可能なサービス]ボックスの⼀覧で、使⽤するサービス (CIFS (ネットワークファイル共有⽤のコネクタ)と HTTP (SharePoint⽤のコネクタ)を選択します。[ OK]をクリックします。



Web Appプレビュー、サムネイル、および表⽰専⽤共有⽤のストレージゾーンController構成する

December 17, 2019

オンプレミスのファイルプレビューは、オンプレミスのMicrosoft Office Webアプリ (OWA)サーバーによってレンダリングされます。Citrixが管理するストレージゾーンに保存されているファイルをプレビューすると、Citrixが管理する OWAサーバーまたはMicrosoftが管理する OWAサーバーによってプレビューされます。

重要:

ホワイトリスト登録の要件：

*.sf-api.comは、バージョン 5.0以降のストレージゾーンでプレビューおよび編集が適切に機能するためには、Office Online Serverからアクセスできる必要があります。

要件

オンプレミスのファイルプレビューでサポートされるファイルタイプ

• doc, .docm, .docx, .dot, .dotm, .dotx, .odt• .ods, .xls, .xlsb, .xlsm, .xlsx• .odp, .pot, .potm, .potx, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx• .pdf• 画像ファイル（bmp、gif、jpg、jpeg、png、tif、tiff）

オンプレミスのファイル編集でサポートされるファイルの種類

• .docm, .docx, .odt• .ods, xlsb, xlsm, xlsx• .ppsx, .pptx

サポートされる環境

• 標準ゾーン• マルチテナントゾーン• ウェブアプリケーション



ホワイトリスト/ネットワークに関する考慮事項

• OOSサーバは到達できる必要がありますhttps://\*.sf-api.com（または.eu）• SZCサーバは、https://\*.sf-api.comおよびhttps://\*.sharefile.com（または.eu）に到達できる必要があります。

• SZC サーバは OOS サーバhttps://\<Customer OOS / OWA Endpoint\>/hosting/discovery（たとえば、https://oos.sharefileexample.com/hosting/discovery）に到達できる必要があります。

オンプレミスのファイルを編集するには、ShareFileアカウントでファイルのバージョン管理が有効になっている必要があります。

ShareFile Web Appの [詳細設定]メニューでMicrosoft Officeオンライン編集を有効にする設定は、オンプレミスのファイルを編集する機能には影響しません。この特定の切り替えは、オンプレミスのファイルを編集する機能を制御しませんが、パブリッククラウドに保存されているファイルの編集には適⽤されます。オンプレミスファイルの編集の有効化は、ストレージゾーン Controllerの Adminによって排他的に制御されます。

Microsoftサーバーの互換性

• Microsoft Server 2016: ファイルの編集とプレビューの両⽅の機能をサポートしています。編集を無効にすることもできます。

• Microsoft Server 2013: ファイルのプレビュー機能のみをサポートしています。

アーキテクチャ図とネットワーク図

1. 認証されたユーザーが ShareFileでファイルプレビューを要求します。2. ShareFileは、Officeオンラインサーバーの FQDNを使⽤してクライアントデバイスへのリダイレクトを発⾏します。

3. クライアントデバイスが Officeオンラインサーバーの FQDNにリダイレクトされます。注: HTTPS接続、DNSには、内部サーバー IP⽤の Aレコード、またはロードバランサー VIP⽤の Aレコード (クライアントデバイスとポート 443上のファイアウォール間に適⽤可能なルーティングあり)が必要です。

4. Office Online Serverは要求を処理し、ストレージゾーン Controllerサーバーへの API呼び出しを⾏います。注: HTTPS接続、DNSには、内部サーバー IP⽤の Aレコード、またはロードバランサー VIP⽤の Aレコード (クライアントデバイスとポート 443上のファイアウォール間に適⽤可能なルーティングあり)が必要です。

5. ストレージゾーンの Controllerチェックhttps://\<DNSname\>/hosting/discoveryに到達できます。到達可能な場合にのみ、SZCは API応答を Officeオンラインサーバーに送信します。注: 記憶域ゾーン Controllerは、Office Onlineサーバーに接続する必要があります。両⽅の内部でホストされているサーバー間の HTTPS接続。


https://support.citrix.com/article/CTX208327


6. ストレージゾーン Controllerは、ShareFile API（sf-api.com）にアウトバウンドに接続します。注: これは、ファイアウォール、プロキシ、またはアウトバウンドルーティングアプライアンスを経由する必須のアウトバウンド接続です。ストレージゾーンの Controllerサーバーが、上記の⽂書化された IPアドレスにHTTPS/443経由でアウトバウンド通信できることを確認します。

7. Officeオンラインサーバーは、ShareFile APIにアウトバウンドに接続します。注: これは、ファイアウォール、プロキシ、またはアウトバウンドルーティングアプライアンスを経由する必須のアウトバウンド接続です。Office Onlineサーバーが、上記の⽂書化された IPアドレスに HTTPS/443経由でアウトバウンド通信できることを確認します。

8. プレビューが実⾏されます。

コンテンツをダウンロードするための ShareFileコントロールプレーンを呼び出す OOSではなく、OOSにストレージゾーン Controllerストリームファイルバイトを持っているために:私たちは、ストレージゾーンコントローラ上の設定ファイルのいずれかのキーを更新する必要があります.

C:\inetpub\wwwroot\Citrix\StorageCenter\WopiServer\AppSettingsReleaseOnPrem.configを更新する必要があります。

この設定ファイルには、現在偽であるキー downloadFileFromSCがあります。キーを trueに変更し、IISを再起動します。

これにより、構成が更新されます。また、OOSは ShareFileコントロールプレーンを呼び出してファイルの内容をダウンロードすることもなくなりました。

このオプションを使⽤する場合、コントロールプレーンから OOSへの着信トラフィックがないことを⽰すのは正しいでしょうか。

上記のオプションを使⽤すると、OOSは ShareFileコントロールプレーンへのアウトバウンド接続を⾏いません。

ただし、ShareFileコントロールプレーンは、上記のオプションが使⽤されているかどうかにかかわらず、OOSへのアウトバウンド接続を⾏います。

1つの⽅法と他の⽅法を使⽤する場合の賛否両論はありますか？

この⽅法では、OOSはファイルの内容を直接ダウンロードしていません。ストレージゾーン Controllerは、ファイルバイトをダウンロードして OOSにストリーミングします。したがって、ストレージゾーンの Controllerサーバーの負荷が増加します。

ファイルのバイトのダウンロードとストリーミングは、リソースを⼤量に消費するタスクです。ユーザー数とプレビュー操作と編集操作の数に応じて、ストレージゾーンの Controllerサーバーの負荷が増加します。

オンプレミスのプレビューと編集を有効にする

ブラウザー内のドキュメントとイメージのプレビュー、サムネイル、カスタマー管理ストレージゾーンに格納されたデータの表⽰専⽤共有、オンプレミスのファイル編集をサポートするには、次のようにストレージゾーン Controller構成します。



1. ストレージゾーンの Controllerコンソールで、ShareFile Dataタブをクリックします。

2. [ローカルネットワーク共有の構成]セクションで、[ Office Webアプリのプレビューを構成する]を有効にします。

3. Microsoft Office Webアプリケーション (OWA)サーバーの外部 URLを⼊⼒します。

• ユーザーは、Microsoft Office MSDNサブスクリプションを使⽤して OWAサーバーソフトウェアをダウンロードして構成する必要があります。

4. [Officeオンライン編集を有効にする (必要な場合)]を選択します。

5. OWAの URLが外部からアクセス可能であることを確認します。

6. Office Onlineサーバーが*.sf-api.comと通信できることを確認します。

7. ストレージゾーン Controllerコンソールで、[Monitoring ]タブをクリックします。

8. OWAサーバー接続に緑のチェックマークが付いていることを確認します。

注：

オンプレミスのファイルを編集するには、ShareFileアカウントに対してファイルのバージョン管理を有効にする必要があります。アカウントに対してファイルのバージョン管理が無効になっている場合、オンプレミスの編集は機能しません。

重要:

クロック同期の設定：

• ストレージゾーン Controller上の時刻が、time.windows.comまたは別の NTPサーバと同期されていることを確認します。クロック同期の設定については、ここをクリックしてください。

OWA URALの変更またはプレビューの無効化：

• 上記のいずれかの操作では、プライマリおよびセカンダリ Controllerごとに IISサービスを再起動する必要があります。

制限事項

• モバイルアプリはブラウザー内での編集をサポートしていません。• コネクタはブラウザ内プレビューをサポートしていません。

WOPIプレビューは、VDRアカウントではサポートされていません。

Citrix ADCを読み取り専⽤共有⽤に構成する⽅法については、[ストレージゾーン Controller⽤の Citrix ADCを構成します。]を参照してください。(/ja-jp/storage-zones-controller/5-0/install/configure-netscaler.html)



https://msdn.microsoft.com/en-us/library/cc773263%28v=ws.10%29.aspx


OWAおよびOOSの問題のトラブルシューティング

オンプレミスファイルのプレビューまたは編集で問題が発⽣した場合は、次の⼿順で特定の問題を特定して修正できます。

構成のトラブルシューティングを⾏うには、まず OWAまたは OOSマシンにサインインします。

1. OfficeWebアプリまたはオンラインWindowsサービスが services.msc内で実⾏されていることを確認します。

2. 新しいブラウザで、http://localhost/hosting/discoveryページを開きます。このページが正常に読み込まれる場合は、XMLレスポンスを返す必要があります。

3. 管理者として PowerShellを実⾏し、次のコマンドを実⾏します。

Get-OfficeWebAppsFarm

応答にWARNINGまたは ERRORメッセージが表⽰された場合は、構成設定にエラーや誤りがないか確認します。

ネットワークに関する考慮事項：

• OOSサーバは到達できる必要がありますhttps://*.sf-api.com（または.eu）• SZCサーバは、https://*.sf-api.comおよびhttps://*.sharefile.com（または.eu）に到達できる必要があります。

• SZC サーバが OOS サーバhttps://<CustomerOOS/OWAEndpoint\>/hosting/discoveryに到達できる必要があります。たとえば、https://oos.sharefileexample.com/hosting/discoveryのようになります。

マルチテナントストレージゾーンの構成

December 17, 2019

マルチテナントストレージゾーンは、ShareFileストレージゾーン Controller機能で、Citrix Service Provider（CSP）がすべてのテナントで共有される単⼀のストレージゾーンを作成および管理できるようにします。

ShareFileによってプロビジョニングされたパートナーアカウントを持つ CSPの場合、無制限の数のテナントをサポートする 1つのマルチテナント標準ストレージゾーンをドメインでホストできます。マルチテナントゾーンを使⽤すると、次のことが可能になります。

• 各テナントに固有の ShareFileアカウントを提供し、カスタムブランディング、ファイル保存の設定、セキュリティ設定などの優れた ShareFile機能をすべて活⽤します。

• すべてのテナントに対して 1つのストレージリポジトリを維持します。• 新規顧客を迅速に導⼊し、お客様のアカウントごとに個別のストレージゾーンを作成する際のコストと管理の複雑さを軽減します。



パートナーアカウントを作成する

マルチテナントストレージゾーンを登録するには、パートナーアカウントが必要です。

パートナーアカウントを作成するには、CSPプログラムに登録し、ShareFileをサービスとして提供できる販売代理店に在庫 SKUを注⽂する必要があります。CSPプログラムに適⽤するには、https://www.citrix.com/partner-programs/service-provider.htmlに進みます。

すでに CSPとして登録されており、CSP在庫 SKU⽤の適切な ShareFileを注⽂している場合は、パートナーアカウントがすでに作成されています。この新しいパートナーアカウントが⾒つからない場合は、ShareFileアカウントサービス（）にお問い合わせください < [email protected] >。

CSP ShareFileサービスで顧客アカウントのプロビジョニングを開始する際には、パートナーアカウントに汎⽤サービスアカウント管理者ユーザーを作成することをお勧めします。このようにして、adminユーザーはすべての顧客アカウントの正式なパートナー管理者になることができます。このサービスアカウントの管理者ユーザーに、テナントの管理権限が有効になっていることを確認します。これにより、CSP顧客アカウント申請フォーム (ステップ 4)に記⼊する前に、パートナー様にこのパートナー管理者を作成することをお勧めします。

マルチテナントストレージゾーンのインストールとセットアップ

• 新しいマルチテナントストレージゾーンを作成し、パートナーアカウントに関連付けます。詳細については、「ストレージゾーン Controllerをインストールし、ストレージゾーンを作成する」を参照してください。

• ストレージゾーン Controllerをマルチテナントモードでインストールします。前の⼿順で説明したインストール資料で、次の指定されたコマンドプロンプトを実⾏してください。

msiexec /i StorageCenter\\_5.0.1.msi MULTITENANT=1

注：

上記のコマンドでは、インストールしようとしているmsiの番号と⼀致するようにバージョン番号 (この例では 5.0.1)を更新する必要があります。

新しいストレージゾーンを構成し、パートナーアカウントに関連付けます

詳細については、ストレージゾーン Controllerをインストールし、ストレージゾーンを作成するのステップ 10を参照してください。

新しいゾーンを登録するパートナーアカウントにログインします。

重要:

このアカウントには、「テナントの管理」および「ゾーンの作成と管理」という ShareFile権限が必要です。

これで、パートナーアカウントにログインして、新しいマルチテナントストレージゾーンを表⽰できます。[管理設定] > [ストレージゾーン] > [パートナー管理]タブをクリックします。


https://www.citrix.com/partner-programs/service-provider.html

https://www.citrix.com/partner-programs/service-provider.html




マルチテナントゾーンのテナントアカウントを要求する

テナントアカウントをリクエストするには、CSPカスタマーアカウントリクエストフォームに⼊⼒します。

テナントアカウントを要求する場合は、パートナー管理者ユーザーも指定する必要があります。このパートナー管理者は、テナントの管理権限が有効になっているパートナーアカウントの管理者ユーザーである必要があります。テナントアカウントが作成されると、このパートナー管理者ユーザーは管理者ユーザーとして⾃動的にプロビジョニングされ、テナントアカウントにサインインして管理できるようになります。同じ電⼦メールアドレスを持つアカウントに 2⼈のユーザーがいることはできないため、フォームで指定されているパートナー管理者の電⼦メールを、同じフォームの顧客管理者と同じにすることはできません。

ターンアラウンドを最短にするために、テナントアカウントのストレージゾーンとして使⽤する正しい Org IDとマルチテナントゾーン名を指定してください。

Citrixが要求されたアカウントをプロビジョニングすると、電⼦メールが送信されます。電⼦メールには、テナントのサブドメインの詳細と、アクセスをセットアップするためのアクティベーションリンクが含まれます。ShareFileは、あなたとあなたの顧客の管理ユーザーに別々の電⼦メールを送信します。

その後、お客様は ShareFileの使⽤を開始できます。テナントのアカウントにプロビジョニングされた新しいユーザーは、ユーザーのファイルの既定の場所として指定したマルチテナントゾーンを使⽤します。

Officeオンラインサーバーを使⽤してOfficeファイルと PDFをプレビューする

この機能は、サポートされている Office Online Server環境でサポートされています。設定情報はこちら.

コネクタ共有

この機能は、マルチテナントゾーンでサポートされています。

テナントの管理

パートナーアカウント内に、[管理者設定] > [詳細設定]の下にある [テナント管理]ダッシュボードがあります。この⼀元化されたダッシュボードを使⽤すると、パートナーアカウントにリンクされているすべてのテナントのステータスを確認できます。ダッシュボードには、各テナントのライセンス消費、既定の記憶域ゾーン、記憶域消費、およびアカウントの状態 (有料または試⽤版)が含まれます。

注：

ダッシュボードは、テナントの管理ユーザー権限が有効になっているパートナーアカウント内のユーザーのみが使⽤できます。


https://bit.ly/cspsharefile



マルチテナントの制限事項

ShareFile情報権限管理機能（IRM）は、マルチテナントストレージゾーンではサポートされていません。

トラブルシューティング

ゾーンの作成に失敗しました:禁⽌されています

ストレージゾーンの登録時に、「ゾーンの作成に失敗しました:禁⽌されました」というエラーが表⽰された場合は、ユーザーのアクセス許可に「テナントの管理」アクセス許可が含まれていることを確認します。

アップグレード

December 17, 2019

[警告]

StorageZones Controller 2.xを使⽤している場合は、2.xから StorageZones Controller 3.0.1にアップグレードするにはの説明に従って、まずバージョン 3.0.1にアップグレードする必要があります。バージョン3.0.1にアップグレードすると、最新バージョンに直接アップグレードできます。

このバージョンがインストールされている場合：次の操作を⾏います。

StorageZoneコネクタ 1.0 StorageZoneコネクタ 1.0はアップグレードできません。StorageZoneコネクタ 1.0をアンインストールし、最新のストレージゾーン Controllerをインストールします。

Storage Center 1.0 Storage Center 1.0を Storage Center 1.1にアップグレードします。次に、続⾏する前に、StorageCenter 1.1が正しく構成され、機能していることを確認します。次に、Storage Center 1.1をStorageZones Controller 2.0 Update 1にアップグレードします。次に、StorageZones Controller2.0アップデート 1を StorageZones Controller3.0.1にアップグレードします。最後に、最新のストレージゾーン Controllerにアップグレードします。


/ja-jp/storage-zones-controller/5-0/upgrade.html

/ja-jp/storage-zones-controller/5-0/upgrade.html


このバージョンがインストールされている場合：次の操作を⾏います。

Storage Center 1.1 Storage Center 1.1を StorageZones Controller2.0アップデート 1にアップグレードします。続⾏する前に、Storage Center 2.0 Update 1が正しく構成され、機能していることを確認します。次に、StorageZones Controller 2.0アップデート 1をStorageZones Controller 3.0.1にアップグレードします。最後に、最新のストレージゾーン Controllerにアップグレードします。

ストレージゾーンコントローラ 2.x StorageZoneコントローラ 2.xを StorageZonesController 3.0.1にアップグレードしてから、最新のストレージゾーンコントローラにアップグレードします。

StorageZones Controller 3ベータ・プログラム StorageZones Controller 3は、ベータ・プログラム・ソフトウェアであり、StorageZoneを新規インストールする必要がありました。それ以外の場合は、最新のストレージゾーン Controllerにアップグレードできます。

StorageZones Controller 3.x 最新のストレージゾーン Controllerへのアップグレード

StorageZones Controller 4.x 最新のストレージゾーン Controllerへのアップグレード

StorageZones Controller 3.0.1以降を最新バージョンにアップグレードする

StorageZones Controller 3.0.1、3.x、および 4.xは、次の⼿順に従って直接アップグレードできます。

1. http://www.citrix.com/downloads/sharefile.htmlの ShareFileダウンロードページから、最新のストレージゾーン Controllerインストーラにログオンしてダウンロードします。

注：

ストレージゾーン Controllerインストールすると、サーバーのデフォルトのWebサイトがコントローラーのインストールパスに変更されます。

2. プライマリストレージゾーン Controllerをアップグレードするサーバで、次の⼿順を実⾏します。

• StorageCenter.msiを実⾏して、ShareFileストレージ・ゾーン・Controller・セットアップ・ウィザードを起動します。




• プロンプトに応答します。インストールが完了すると、ウィザードに「Citrix ShareFileストレージゾーン Controllerセットアップウィザードが完了しました」というメッセージが表⽰されます。

• [完了]をクリックします。ストレージゾーンの Controllerコンソールが開きます。

重要:

ストレージゾーン Controllerクローンを作成する場合は、設定を続⾏しないでください。ディスクイメージをキャプチャし、各ストレージゾーン Controller構成します。

• ストレージゾーンの Controllerコンソールに戻るには、http://localhost/configservice/login.aspxを開くか [スタート]メニューから設定ツールを起動します。[完了]をクリックするか、ストレージゾーン Controllerコンソールに戻ると、[ログオン]ページが開きます。

• 表⽰された情報を変更するには、[変更]をクリックして変更を⾏い、[保存]をクリックします。

3. プライマリストレージゾーン Controllerレジストリ設定を確認します。

すべてのアップグレードパスで、ゾーンあたりのファイル数を増やすために必要なレジストリ設定が追加されるわけではありません。この機能を有効にするには、設定がレジストリに含まれていることを確認します。詳細については、「ゾーンあたりのファイル数を増やす」を参照してください。

4. 各セカンダリストレージゾーン Controllerで、次の操作を⾏います。

• StorageCenter.msiを実⾏して、ShareFileストレージ・ゾーン・Controller・セットアップ・ウィザードを起動します。

• プロンプトに応答し、[完了]をクリックします。ストレージゾーン Controllerコンソールの [Logon]ページが開きます。

• ログオンします。表⽰された情報を変更するには、[変更]をクリックして変更を⾏い、[保存]をクリックします。


StorageZones Controller 2.xを StorageZones Controller 3.0.1にアップグレードする

これらの⼿順では、StorageZones Controllerの旧バージョンで作成された標準ゾーンをアップグレードします。

1. プライマリ StorageZones Controller構成のバックアップの説明に従って、プライマリ StorageZonesControllerをバックアップします。

2. http://www.citrix.com/downloads/sharefile.htmlの ShareFile ダウンロード・ページから、最新のStorageZones Controller 3インストーラにログオンしてダウンロードします。

注：

StorageZones Controllerをインストールすると、サーバのデフォルトWebサイトがコントローラのインストール・パスに変更されます。



/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/backup-configuration.html



3. プライマリ StorageZones Controllerをアップグレードするサーバで、次の⼿順を実⾏します。

• StorageCenter.msiを実⾏して、ShareFileストレージゾーン・コントローラ・セットアップ・ウィザードを起動します。

• プロンプトに応答します。インストールが完了すると、ウィザードに「Citrix ShareFileStorageZonesControllerセットアップウィザードが完了しました」というメッセージが表⽰されます。

• [完了]をクリックします。StorageZones Controllerコンソールが開きます。

重要:

StorageZones Controllerを作成する場合は、構成を続⾏しないでください。ディスク・イメージをキャプチャし、各 StorageZones Controllerを構成します。

• StorageZones Controller コンソールに戻るには、http://localhost/configservice/login.aspxを開くか［スタート］メニューから構成ツールを起動します。[完了]をクリックするか、StorageZones Controllerコンソールに戻ると、[ログオン]ページが開きます。

• 表⽰された情報を変更するには、[変更]をクリックして変更を⾏い、[保存]をクリックします。

4. プライマリ StorageZones Controllerレジストリ設定を確認します。

すべてのアップグレードパスで、ゾーンあたりのファイル数を増やすために必要なレジストリ設定が追加されるわけではありません。この機能を有効にするには、設定がレジストリに含まれていることを確認します。詳細については、「ゾーンあたりのファイル数を増やす」を参照してください。

5. セカンダリ・StorageZones Controllerごとに、次の操作を⾏います。

• StorageCenter.msiを実⾏して、ShareFileストレージゾーン・コントローラ・セットアップ・ウィザードを起動します。

• プロンプトに応答し、[完了]をクリックします。[StorageZones Controllerコンソールログオン]ページが開きます。

• ログオンします。表⽰された情報を変更するには、[変更]をクリックして変更を⾏い、[保存]をクリックします。


7. StorageZones Controller 3.4にアップグレードするには、この記事の「StorageZones Controller 3.1または 3.0.1からストレージゾーンコントローラ 3.4にアップグレードするには」を参照してください。

重要:

2.2.3より前のバージョンからStorageZonesController 3.0.1にアップグレードし、以前はProducerTimerまたは DeleteTimerの設定をカスタマイズしている場合は、ShareFileサポートに問い合わせてください。




ストレージゾーンコントローラを管理する

December 17, 2019

プライマリおよびセカンダリストレージゾーンコントローラをインストールしたら、次の⼿順に従ってコントローラを管理し、ディザスタリカバリの準備をします。

ストレージゾーン Controller コンソールを開くには、http://localhost/configservice/login.aspxに移動するか、[スタート]メニューから設定ツールを起動します。

ストレージゾーン Controllerを管理する

• セカンダリストレージゾーン Controllerをストレージゾーンに結合する• プライマリストレージゾーン Controllerアドレスまたはパスフレーズの変更• ストレージ・ゾーン・コントローラを降格および昇格する• ストレージゾーン Controller無効化、削除、または再デプロイ• 新しいネットワーク共有にファイルを転送する• プライマリストレージゾーン Controller構成のバックアップ• プライマリストレージゾーン Controller構成の回復• プライマリストレージゾーン Controllerを交換する• ファイルリカバリ⽤のストレージゾーン Controllerを準備する• ShareFileデータのバックアップからファイルやフォルダを回復する• ShareFileクラウドをストレージゾーンで調整する• アップロードされたファイルのウイルス対策スキャンの設定• ShareFileデータの移⾏• ストレージゾーン Controller構成で FIPS 140-2モードを有効にする• コネクタのお気に⼊り

セカンダリストレージゾーン Controllerをストレージゾーンに結合する

December 17, 2019

⾼可⽤性を実現するストレージゾーンを構成するには、少なくとも 2つのストレージゾーンコントローラを接続します。そのためには、次のことを⾏う必要があります。

1. プライマリストレージゾーン Controller をインストールし、ゾーンを作成します（ストレージゾーンControllerをインストールし、ストレージゾーンを作成するを参照）。

2. ストレージゾーン Controllerを 2台⽬のサーバにインストールし、そのコントローラを同じゾーンに参加させます。



/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/change-address-or-passphrase.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/demote-promote.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/disable-delete-redeploy.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/transfer-to-new-cifs.html


/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/restore-primary.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/replace-controller.html


/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/recover.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/reconcile.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/antivirus-scans.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/migrate-sharefile-data.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/enable-fips-140-2.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/connector-favorites.html




同じゾーンに属する記憶域ゾーンコントローラーは、記憶域に同じファイル共有を使⽤する必要があります。

⾼可⽤性展開では、セカンダリサーバーは独⽴しており、完全に機能するストレージゾーンコントローラです。ストレージゾーン制御サブシステムは、アップロード、ダウンロード、コピー、削除などの操作要求を処理するために、ストレージゾーン Controllerをランダムに選択します。

プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリサーバに簡単に昇格できます。サーバをプライマリからセカンダリに降格することもできます。

1. サーバで Web ブラウザを開き、セカンダリストレージゾーン Controller にします。次にhttp://localhost/configservice/login.aspxを開き、ログオンします。

2. [既存のゾーンに参加]をクリックし、ストレージゾーンを選択します。

3. 必要な情報を⼊⼒し、[登録]をクリックします。

プライマリゾーン Controllerの場合、ホスト名または IPアドレスだけを⼊⼒することができ、ShareFileは完全な URLを記⼊します。URLをテストするには、ブラウザのアドレスフィールドに URLを⼊⼒します。URLが正しい場合は、ShareFileバナーページが表⽰されます。標準ゾーンの場合:URLが正しくなく、httpsを指定した場合は、有効で信頼できるパブリック SSL証明書を使⽤していることを確認します。

4. プライマリストレージゾーン Controllerにプロキシサーバを使⽤している場合は、ストレージゾーンのプロキシサーバーの指定の説明に従って、セカンダリコントローラのプロキシサーバを指定します。


セカンダリストレージゾーン Controllerは、起動時にプライマリコントローラの設定を継承します。

プライマリストレージゾーン Controllerアドレスまたはパスフレーズの変更

December 12, 2019

プライマリストレージゾーン Controllerに別の外部アドレスまたはローカルアドレスを指定するには

この⼿順または他のサーバー管理ツールを使⽤して、プライマリストレージゾーン Controller外部アドレスを変更できます。

1. ShareFile Webインターフェイスで、[管理]、[ストレージゾーン]の順にクリックします。2. ゾーン名をクリックし、プライマリストレージゾーン Controllerホスト名をクリックします。3. 新しい外部アドレスまたはローカルアドレスを指定し、[変更を保存]をクリックします。4. すべてのゾーンメンバーの IISサーバーを再起動します。





プライマリストレージゾーン Controllerパスフレーズを変更するには

1. ストレージゾーンの構成ページを開きます。http://localhost/configservice/login.aspx

2. [修正]をクリックします。

3. ファイル暗号化キーの保護に使⽤するパスフレーズを指定します。パスフレーズと暗号化キーは安全な場所にアーカイブしてください。

パスフレーズはアカウントのパスワードと同じではなく、紛失した場合は復元できません。パスフレーズを紛失した場合、ストレージゾーンを再インストールしたり、追加のストレージゾーンコントローラをストレージゾーンに参加させたり、サーバーに障害が発⽣した場合にストレージゾーンを回復したりすることはできません。

注：

暗号化キーは、共有ストレージパスのルートに表⽰されます。暗号化キーファイルが失われると、すべてのストレージゾーンファイルへのアクセスが直ちに切断されます。

4. プライマリサーバでパスフレーズを変更した場合：他の各メンバのストレージゾーン構成ページにログオンし、プロンプトが表⽰されたらパスフレーズを⼊⼒します。

ゾーン内のストレージゾーン Controllerごとに、同じパスフレーズを使⽤する必要があります。


ストレージ・ゾーン・コントローラを降格および昇格する

December 12, 2019

⾼可⽤性展開では、セカンダリサーバーは独⽴しており、完全に機能するストレージゾーンコントローラです。プライマリストレージゾーンコントローラを維持または交換するには、まずコントローラを降格してから、セカンダリコントローラを昇格します。プライマリサーバがオフラインになった場合は、セカンダリサーバをプライマリに昇格できます。

ご注意：

レジストリを誤って編集すると、深刻な問題が発⽣し、オペレーティングシステムの再インストールが必要になることがあります。Citrixは、レジストリエディタの誤った使⽤に起因する問題を解決できることを保証できません。レジストリエディタは、⾃⼰の責任において使⽤してください。レジストリを編集する前に、必ずレジストリをバックアップしてください。

1. プライマリ・ストレージ・ゾーン・Controllerを降格するには、次の⼿順で⾏います。

a) レジストリキーを探します。HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenter



b) プライマリ構成サーバーを falseに設定します。

c) PrimaryConfigServiceUrl を、https://IPaddressまたはhttps://hostname/ConfigService/の形式を使⽤して、新しいプライマリストレージゾーン Controller となるサーバの URLに設定します。

d) すべてのゾーンメンバーの IISサーバーを再起動します。

2. セカンダリ・ストレージ・ゾーン・Controllerを昇格するには、次の⼿順に従います。


b) プライマリ構成サーバーを trueに設定します。

c) プライマリ設定サービス URLをhttp://localhost/ConfigService/に設定します。

d) すべてのゾーンメンバーの IISサーバーを再起動します。

3. 追加のセカンダリストレージゾーンコントローラをすべて変更します。


b) PrimaryConfigServiceUrl を、https://IPaddress またはhttps://hostname/ConfigService/の形式を使⽤して、新しいプライマリストレージゾーン Controller となるサーバの URLに設定します。

c) すべてのゾーンメンバーの IISサーバーを再起動します。

ストレージゾーン Controller無効化、削除、または再デプロイ

December 12, 2019

ストレージゾーン Controllerを無効にするには

注：

各ストレージゾーン Controllerに異なる外部アドレスがある場合は、この⼿順を使⽤します。すべてのストレージゾーン Controllerに同じ外部アドレスを使⽤する場合は、Citrix ADCインターフェイスからコントローラーを無効にします。

メンテナンスのためにサーバをオフラインにする前に、ストレージゾーン Controllerを無効にします。

1. ShareFile Webインターフェイスで、[管理]、[ストレージゾーン]の順にクリックします。2. ゾーン名をクリックし、ストレージゾーン Controllerホスト名をクリックします。3. 有効になっているチェックボックスをオフにし、[変更を保存]をクリックします。4. すべてのゾーンメンバーの IISサーバーを再起動します。



ストレージゾーン Controllerを削除するには

ストレージゾーン Controllerを削除しても、データまたは SCKeys.txtは削除されません。プライマリストレージゾーンコントローラを削除する場合は、そのコントローラを降格してから続⾏します。

1. ShareFile Webインターフェイスで、[管理]、[ストレージゾーン]の順にクリックします。2. ゾーン名をクリックし、ストレージゾーン Controllerホスト名をクリックします。3. [削除]をクリックします。4. すべてのゾーンメンバーの IISサーバーを再起動します。

ストレージゾーン Controller再デプロイするには

ストレージゾーン Controller再デプロイしても、情報は失われません。

1. サーバからストレージゾーンをアンインストールします。2. ShareFile Webインターフェイスで、[管理] > [ストレージゾーン]の順にクリックし、ゾーンを選択します。ゾーンを削除しないでください。

3. ストレージゾーン Controllerを選択して削除します。4. ストレージゾーンをインストールします。まだ登録しないでください。5. ストレージゾーン Controller構成ウィザードを実⾏して、ストレージゾーンコントローラをゾーンに参加させ、登録を完了します。


新しいネットワーク共有にファイルを転送する

December 12, 2019

プライベートデータストレージ⽤の新しいネットワーク共有を設定する前に、次の操作を⾏います。

要件

• 同じストレージゾーンに属するストレージゾーンコントローラは、ストレージに同じファイル共有を使⽤する必要があります。

• ストレージゾーンコントローラは、IISアカウントプールユーザーを使⽤して共有にアクセスします。既定では、アプリケーションプールは低レベルのユーザー権限を持つ Network Serviceユーザーアカウントで動作します。ストレージゾーン Controllerは、既定でネットワークサービスアカウントを使⽤します。

• ネットワークサービスアカウントは、このストレージの場所へのフルアクセス権を持っている必要があります。

1. ストレージゾーンの構成ページを開きます。http://localhost/configservice/login.aspx



2. [修正]をクリックします。

3. [記憶域の場所]で、ネットワーク共有への UNCパスをフォーム\\server\shareに⼊⼒し、[保存]をクリックします。

ご注意：

ストレージゾーン Controllerは、このパス内のデータを独⾃のストレージ形式で上書きします。ベストプラクティスとして、ファイルデータを含む場所へのパスを指定しないでください。このストレージの場所は、ShareFileデータ専⽤のストレージゾーン⽤に予約します。

4. 新しいネットワーク共有の場所の UNCパスの資格情報が以前のものと異なる場合は、[記憶域ログオン]と[記憶域パスワード]を指定します。


6. すべてのゾーンメンバーの設定ページにログインします。

7. SCkeys.txtを含むディレクトリ構造全体を新しいサーバーにコピーします。

プライマリストレージゾーン Controller構成のバックアップ

December 17, 2019

ストレージゾーン Controllerがローカルサイトにインストールされ、バックアップはユーザーが担当します。展開を完全に保護するには、ストレージゾーン Controllerサーバーのスナップショットを作成し、構成をバックアップし、およびファイルリカバリ⽤のストレージゾーン Controllerを準備する。

このトピックで説明するように、設定をバックアップすることが重要です。たとえば、バックアップがなく、誰かが誤ってゾーンを削除した場合、そのゾーン内のフォルダとファイルを回復することはできません。

重要:

この⼿順では、必ず PowerShell 4.0を使⽤してください。PowerShellの要件の詳細については、ストレージゾーン Controllerシステム要件の「PowerShellスクリプトとコマンド」を参照してください。

記憶域ゾーン Controllerインストーラーには、プライマリストレージゾーンコントローラーの構成設定をバックアップおよび復元するコマンドを含む PowerShellモジュールが含まれています。バックアップには、ゾーンの構成情報、ShareFile Dataの記憶域ゾーン、SharePointの記憶域ゾーンコネクタ、ネットワークファイル共有の記憶域ゾーンコネクタが含まれます。

バックアップおよび復元コマンドでは、記憶域ゾーン Controllerと同じユーザーコンテキストで 32ビットバージョンの PowerShellを実⾏する必要があります。ユーザーコンテキストを設定するには、ツール PSExecを使⽤します。このツールは、http://technet.microsoft.com/en-us/sysinternals/bb897553からダウンロードできます。





http://technet.microsoft.com/en-us/sysinternals/bb897553


注：

これらの⼿順は、セカンダリストレージゾーン Controllerには適⽤されません。セカンダリ・ストレージ・ゾーン・Controllerをリカバリするには、サーバにストレージ・ゾーン・コントローラを再インストールし、サーバをプライマリ・StorageZones Controllerに参加させます。

1. この⼿順で使⽤する PowerShellスクリプトは署名されていないため、PowerShell実⾏ポリシーの変更が必要になる場合があります。

a) PowerShell実⾏ポリシーでローカルの署名されていないスクリプトの実⾏が許可されているかどうかを判断する:PSC:\>Get-ExecutionPolicy

たとえば、[RemoteSigned]、[無制限]、または [バイパス]というポリシーを使⽤すると、署名されていないスクリプトを実⾏できます。

b) PowerShell実⾏ポリシーを変更するには:PSC:\>Set-ExecutionPolicy RemoteSigned

2. この PowerShellセッションのユーザーコンテキストを設定します。コマンドウィンドウで、次のいずれかのコマンドを実⾏します。

• 既定のネットワークサービスアカウントを使⽤している場合:

PsExec.exe -i -u ”NT AUTHORITY\NetworkService”C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell

• ストレージゾーン Controllerアプリケーションプールに名前付きユーザーを使⽤する場合は、次の⼿順を実⾏します。

PsExec.exe -i -u ”domain\username”C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell

PowerShellウィンドウが開きます。

3. PowerShell プロンプトから、ConfigBR.dll: Import-Module”C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SfConfigBR\ConfigBR.dll”モジュールをインポートします。

新しい PowerShellウィンドウを開くたびに、モジュールをインポートする必要があります。

4. PowerShell プロンプトから、Get-SfConfig コマンドを実⾏します。Get-SfConfig -PrimaryZoneController ”server”-Passphrase ”passphrase”-FilePath ”fullpath”

たとえば、次のようになります。

1 Get-SfConfig -PrimaryZoneController ”‘https://myserver.domain.com/ConfigService/‘” -Passphrase ”mypassphrase” -FilePath ”c:\szc-backup.bak”

コマンドパラメータ:



パラメーター説明例

「サーバー」プライマリストレージゾーンのControllerサーバー名または IPアドレス。これは、「例」に⽰されている次の形式のいずれかであり、末尾のスラッシュを含める必要があります。

ローカルサーバーへの接続:http://localhost/ConfigService/;リモートサーバーへの接続:http[s]://myservername.domain.com/ConfigService/; DNSの問題がサーバー名への接続を妨げている場合は、リモートサーバーへの接続:http[s]://10.40.37.5/ConfigService/

“passphrase” ストレージゾーン Controllerに指定されたパスフレーズ。

“MyPassphrase”

“fullpath” バックアップファイルを保存する場所。

“c:\szc-backup.bak”

Get-SfConfigコマンドは、バックアップファイルを作成します。

プライマリストレージゾーンの Controller設定を復元するには、プライマリストレージゾーン Controller構成の回復を参照してください。

プライマリストレージゾーン Controller構成の回復

December 17, 2019

ストレージゾーン Controllerは、プライマリストレージゾーンコントローラが削除されるか、使⽤できなくなった場合に、障害復旧のために次のオプションを提供します。

• セカンダリストレージゾーン Controllerが使⽤可能な場合は、セカンダリコントローラをプライマリコントローラに昇格させます。

• セカンダリストレージゾーン Controllerが使⽤できず、プライマリストレージゾーンコントローラ構成（プライマリストレージゾーン Controller構成のバックアップを参照）をバックアップした場合は、バックアップファイルを作成します。

• プライマリストレージゾーンコントローラー構成のバックアップがなく、すべてのストレージゾーンコントローラーが誤って削除または使⽤できなくなった場合、部分的な回復のみが可能です。ShareFile Dataでは、ゾーンとストレージゾーンの構成を回復できますが、ストレージゾーンコネクタは回復できません。







重要:

この⼿順では、必ず PowerShell 4.0を使⽤してください。PowerShellの要件の詳細については、ストレージゾーン Controllerシステム要件のPowerShellスクリプトとコマンドを参照してください。

バックアップファイルからプライマリストレージゾーン Controllerを回復するには

注：

これらの⼿順は、プライマリストレージゾーン Controllerにのみ適⽤されます。セカンダリストレージゾーンControllerを回復するには、ストレージゾーンコントローラをサーバに再インストールし、プライマリストレージゾーンコントローラにサーバを結合します。


a) PowerShell実⾏ポリシーでローカルの署名されていないスクリプトの実⾏が許可されているかどうかを判断する:PSC:\>Get-ExecutionPolicy


b) PowerShell実⾏ポリシーを変更するには:PSC:\>Set-ExecutionPolicy RemoteSigned


注：

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspxから PsExec.exe をダウンロードし、そのページのインストール⼿順に従います。


1 PsExec.exe -i -u ”NT AUTHORITY\NetworkService” C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell


1 PsExec.exe -i -u ”domain\username” C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell


3. PowerShellプロンプトから、モジュール ConfigBR.dllをインポートします。Import-Module ”C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SfConfigBR\ConfigBR.dll”



http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx



4. PowerShell プロンプトから、次のSet-SfConfigコマンドを実⾏します。Set-SfConfig-PrimaryZoneController ”server”-Passphrase ”passphrase”-FilePath ”

fullpath”

ここで、次のようになります。

• serverは、プライマリストレージゾーン Controllerサーバ名または IPアドレスです。次の形式のいずれかで、末尾のスラッシュを含める必要があります。

http://localhost/ConfigService/

servername/またはserverip/（HTTPを使⽤している場合）

http[s]://servername.domain.com/ConfigService/

http[s]://serverip/ConfigService/

• パスフレーズは、ストレージゾーン Controllerに指定されたものです。

• fullpathは、バックアップファイルの場所と名前です。たとえば、c:\szc-backup.bakのようになります。

バックアップファイルを使⽤せずにプライマリストレージゾーン Controllerをリカバリするには

バックアップファイルがない場合は、ShareFile Data⽤のゾーンとストレージゾーンの構成を回復できますが、ストレージゾーンコネクタは回復できません。



PsExec.exe -i -u ”NT AUTHORITY\NetworkService”C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell

• StorageZones Controllerアプリケーションプールに名前付きユーザーを使⽤している場合は、次の⼿順を実⾏します。

PsExec.exe -i -u ”domain\username”C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell


2. PowerShellプロンプトから、モジュール ConfigBR.dllをインポートします。Import-Module ”C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SfConfigBR\ConfigBR.dll”


3. PowerShellプロンプトから、Join-SfConfigコマンドを実⾏します。



重要:

Join-SfConfigコマンドは、現在 Azureまたは Amazon S3ストレージをサポートしていません。このコマンドを使⽤する必要がある場合は、ShareFileサポートにお問い合わせください。

1 Join-SfConfig -ShareFileUserName ”ShareFileUserName” -ShareFilePassword ”ShareFilePassword” -subdomain ”subdomain.sharefile.com” -ZoneId ”ZoneId” -SCID ”StorageCenterId” -Passphrase ”passphrase” [-StorageZoneLocation ”StorageZoneLocation”] [-StorageUsername ”StorageUserName”] [-Storagepass ”StoragePassword”] [-AzureAccountName ”StorageAccount”] [-AzureSecretKey ”PrimaryOrSecondaryAccessKey”] [-AzureContainerName ”Container”] [-S3AccessKey ”S3AccessKey”] [-S3SecretKey ”S3SecretKey”] [-S3ContainerName ”S3ContainerName”] [-S3EndpointAddress ”S3EndpointAddress”] [-S3ForcePathStyle]

ここで、次のようになります。

• ゾーン IDは、次のようにして取得できます。

a) ShareFile Webインターフェイスで、「管理」>「ストレージゾーン」の順にクリックし、サイト名を右クリックして「プロパティ」を選択します。

表⽰されるアドレスは、次のようなゾーン IDで終わります:zae4fb8c-8520-478f-8f87-aa589a8fd181。

b) この IDをコピーして Join-SfConfigコマンドに貼り付けます。

• Storage Center IDは、次のように取得できます。

a) ShareFile Webインターフェイスで、［管理］>［ストレージゾーン］の順にクリックし、サイト名をクリックし、ホスト名を右クリックして［プロパティ］を選択します。

表⽰されるアドレスは、次のようなストレージ IDで終わります:scd344cf-8043-4ce2-974b-8f9cd83e2978。

b) この IDをコピーして Join-SfConfigコマンドに貼り付けます。

• StorageZoneLocationは、ShareFileデータのストレージゾーンがそのゾーンに対して有効になっている場合にのみ必要です。

• StorageUsernameと StoragePasswordは、そのゾーンで ShareFileデータのストレージゾーンが有効であり、ストレージの場所で認証が必要な場合にのみ必要です。

• Azureアカウント名、Azureアクセスキー、および Azureコンテナ名は、ShareFileデータのストレージゾーンがWindowsAzureストレージコンテナに格納されている場合にのみ必要です。

4. ストレージゾーンコネクタを回復するには、ストレージゾーン Controller コンソール (http://localhost/configservice/login.aspx)を使⽤して、コネクタを有効にして構成します。



プライマリストレージゾーン Controllerを交換する

December 17, 2019

プライマリストレージゾーン Controllerを別の場所（別のドメインなど）にあるコントローラに置き換えるには、バックアップと復元⼿順を使⽤します。次の⼿順では、構成設定とすべてのデータが確実に転送されます。

1. 既存のストレージゾーン Controller構成のバックアップファイルを作成します。「プライマリストレージゾーン Controller構成のバックアップ」を参照してください。

2. 新しいネットワークの場所にストレージゾーン Controllerをインストールしますが、構成はしません。3. バックアップした設定を新しい Controllerにインポートします。「プライマリストレージゾーン Controller構成の回復」を参照してください。

4. データを新しいネットワーク共有にコピーし、新しいストレージゾーン Controller構成コンソールにログオンし、新しいストレージパス情報を⼊⼒します。「新しいネットワーク共有にファイルを転送する」を参照してください。

5. 新しいストレージゾーン Controller設定コンソールで、コントローラの外部 URLを更新します。「プライマリストレージゾーン Controllerアドレスまたはパスフレーズの変更」を参照してください。

ファイルリカバリ⽤のストレージゾーン Controllerを準備する

December 17, 2019

警告:

ShareFileリカバリ機能は、永続的なストレージの場所を⾃動的にバックアップしません。バックアップユーティリティを選択し、1〜 7⽇ごとに実⾏する必要があります。

ファイルリカバリの準備⽅法は、データが格納されている場所によって異なります。

• サポートされているサード・パーティ製ストレージ・システム：ストレージ・ゾーン・Controllerを備えたサード・パーティ製ストレージ・システムを使⽤する場合、サード・パーティ製ストレージは冗⻑であり、ローカル・バックアップは不要です。ただし、ファイルを削除する ShareFileユーザーは、ファイルをごみ箱から短期間回復できることに注意してください。45⽇後に ShareFileのごみ箱からファイルを回復することはできません。回復期間が経過すると、ファイルはゾーンから削除され、したがって冗⻑サードパーティストレージから削除されます。リカバリ時間が⼗分でない場合は、次のいずれかのソリューションを検討してください。

– ShareFileごみ箱にファイルを残す時間を増やします。これを⾏うには、C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe.config.の [期間]設定の値を変更します。詳しくは、ストレージキャッシュ操作のカスタマイズを参照してください。保持時間を⻑くすると、必要なサードパーティ製ストレージの量も増加することに注意してください。

– StorageZoneファイルを 7⽇ごとにローカル・バックアップを作成し、バックアップの適切な保存ポリシーを決定します。






/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/transfer-to-new-cifs.html





• オンプレミスストレージ—プライベートデータストレージにローカルで管理されている共有を使⽤する場合は、オンプレミスのストレージゾーン Controllerローカルファイルストレージとレジストリエントリをバックアップする必要があります。ShareFileは、ShareFileクラウドに存在する対応するファイルメタデータを3年間アーカイブします。重要:データ損失から保護するには、ストレージゾーン Controllerサーバー構成をバックアップするのスナップショットを作成し、ローカルファイルストレージをバックアップすることが重要です。

このトピックで説明するように、ストレージゾーン Controllerファイルリカバリ⽤に準備したら、ShareFile管理者コンソールを使⽤して次の操作を実⾏できます。

• ストレージゾーンを参照して、特定の⽇時の ShareFile Dataレコードを検索し、復元するファイルやフォルダーにタグを付けます。ShareFileは、タグ付けされたアイテムをリカバリキューに追加します。次に、回復スクリプトを実⾏して、バックアップから永続的なストレージ場所にファイルを復元します。

詳しくは、ShareFileデータのバックアップからファイルやフォルダを回復するを参照してください。

• オンプレミスのストレージからデータを回復できない場合は、ShareFileクラウドに保存されたメタデータをオンプレミスのストレージと調整します。ShareFileリコンサイル機能は、指定された⽇時にストレージゾーンに存在しなくなったファイルのメタデータを ShareFileクラウドから完全に削除します。

詳細については、ShareFileクラウドをストレージゾーンで調整するを参照してください。

前提条件

• ウィンドウズサーバー 2012 R2またはウィンドウズサーバー

• Windows PowerShell (32 ビットおよび 64 ビットバージョン) では、.NET 4 ランタイムアセンブリがサポートされている必要があります。詳細については、ストレージゾーン Controller システム要件の「PowerShellスクリプトとコマンド」を参照してください。

• PsExec.exe-PsExecを使⽤すると、ネットワークサービスアカウントを使⽤して PowerShellを起動できます。PsExecを使⽤して回復タスクをスケジュールすることもできます。http://technet.microsoft.com/en-us/sysinternals/bb897553.aspxから PsExec.exeをダウンロードし、そのページのインストール⼿順に従います。

災害復旧に使⽤されるファイルの概要

C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recoveryにある次のファイルは、ディザスタリカバリに使⽤されます。



/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/recover.html

/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/reconcile.html





[ファイル名] 説明

DoRecovery.ps1 回復プロセスを処理するためにWindowsタスクスケジューラによって実⾏される PowerShellスクリプト。このファイルには、ファイルのバックアップと保存場所が格納されます。

Recovery.psm1 回復キュー操作を処理する PowerShellモジュール。

recovery.log リカバリプロセスの出⼒を格納するログファイル。

recoveryerror.log リカバリ・プロセスでエラーを格納するログ・ファイル。

LitJson.dll JSON（JavaScriptオブジェクト記法）⽂字列との変換を処理するための.Netライブラリ。

バックアップフォルダを設定するには

バックアップサーバで、永続ストレージフォルダをバックアップするフォルダを作成します。

ShareFile Dataファイルバックアップ⽤のストレージゾーンは、ストレージゾーン Controller永続ストレージと同じレイアウトに従う必要があります。

バックアップの場所が記憶域ゾーン Controller永続記憶域と同じレイアウトに従っていない場合は、回復プロセス中に追加の⼿順を実⾏して、バックアップの場所から Recovery PowerShellスクリプトで指定した場所にファイルをコピーする必要があります。

ストレージレイアウト

バックアップレイアウト

1 \\\PrimaryStorageIP2 \StorageLocation3 \persistentstorage4 \sf-us-15 \a024f83e-b147-437e-9f28-e7d03634af426 \fi3d85dc_1d6c_49b0_8faa_1f36ef3d83b57 \fi7d5cbb_93c8_43f0_a664_74f27e72bc838 \fi47cd7e_64c4_47be_beb7_1207c93c1270910 \\\BackupStorageIP11 \BackupLocation12 \persistentstorage13 \sf-us-114 \a024f83e-b147-437e-9f28-e7d03634af42



15 \fi3d85dc_1d6c_49b0_8faa_1f36ef3d83b516 \fi7d5cbb_93c8_43f0_a664_74f27e72bc8317 \fi47cd7e_64c4_47be_beb7_1207c93c1270

重要:

ShareFileリカバリ機能は、永続的なストレージの場所を⾃動的にバックアップしません。バックアップユーティリティを選択し、1〜 7⽇ごとに実⾏する必要があります。

障害回復キューを作成するには

この 1回限りのセットアップが必要です。以下のコマンド例では、デフォルトのストレージゾーン Controllerインストールフォルダを使⽤します。

1. 記憶域ゾーン Controllerで、管理者として PowerShellを実⾏します。


a) PowerShell実⾏ポリシーで、ローカルの署名されていないスクリプトの実⾏が許可されているかどうかを判断します。PS C:\ >Get-実⾏ポリシー


b) PowerShell実⾏ポリシーを変更するには:PS C:\ >実⾏ポリシーの設定リモート署名付き

3. PowerShellに正しい CLRVersionが設定されていることを確認するには、次のように⼊⼒します。

$psversiontable

PowerShellがスクリプトで.NETアセンブリをロードできるようにするには、CLRVersionの値を 4.0以上にする必要があります。そうでない場合は、Windows PowerShell 32ビット版と 64ビット版の両⽅で次のように変更します。

a) 管理者としてメモ帳を実⾏します。

b) 次の内容のファイルを作成します。

1 <?xml version=”1.0”?>2 <configuration>3 <startup useLegacyV2RuntimeActivationPolicy=”true”>4 <supportedRuntime version=”v4.0.30319”/>5 <supportedRuntime version=”v2.0.50727”/>6 </startup>7 </configuration>



c)「ファイル」>「名前を付けて保存」を選択し、ファイルに powershell.exe.configという名前を付け、次の場所に保存します。

C:\Windows\System32\WindowsPowerShell\v1.0

C:\Windows\SysWOW64\WindowsPowerShell\v1.0

d) PowerShellウィンドウを閉じて、管理者として新しいウィンドウを開き、「$psversiontable」と⼊⼒して CLRVersionが正しいことを確認します。

4. 次のように、PowerShellウィンドウを閉じて、PsExec.exeを使⽤して PowerShellを起動します。

a) 管理者としてコマンドプロンプトウィンドウを開きます。

b) PsExec.exeの場所に移動し、次のように⼊⼒します。

PsExec.exe -i -u “NTAUTHORITY\NetworkService”C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell

c) [同意する]をクリックして、PsExec.exe使⽤許諾契約に同意します。

5. ストレージ・ゾーン・Controller・インストール・フォルダ内の「災害復旧ツール」フォルダに移動します。

cd ‘C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recovery’

6. リカバリ.psm1モジュールをインポートします。

インポートモジュール。.psm1のリカバリ

7. 回復キューを作成するには、次のように⼊⼒します。New-SCQueue-name回復-操作回復

このコマンドの出⼒には、作成されたキューの名前が含まれます。たとえば、キュー 92736b5d-1cff-4760-92c8-d8b04dcb2が作成されました

新しいフォルダを表⽰するには、ファイルブラウザを開き、次の場所に移動します。

\\server\(Your Primary Storage Location)\Queue. あなたはそのような 92736b5d-1cff-4760-92c8-d8b04dc92cb2のようなキューフォルダが表⽰されます。

8. 次のセクションで説明するように、⾃分の場所のリカバリ PowerShellスクリプトをカスタマイズします。

⾃分の場所のリカバリ PowerShellスクリプトをカスタマイズするには

DoRecovery.ps1 PowerShellスクリプトは、回復プロセスを処理するためにタスクスケジューラによって実⾏されます。このファイルには、サイトに対して指定する必要があるファイルのバックアップと保存場所が含まれています。

1. 記憶域ゾーン Controllerで、回復⽤ PowerShellスクリプトに移動します。

C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recovery\DoRecovery.ps1

2. スクリプトを次のように編集します。



a. $backupRootパラメータを、バックアップ場所のUNCパスを指すように設定します。例：$backupRoot= “\\10.10.10.11\(YourBackupLocation)\persistentstorage”

b. $storageRootパラメーターを、ストレージゾーン Controller永続ストレージの UNCパスを指すように設定します。例：$storageRoot = “\\10.10.10.10\StorageLocation\persistentstorage”

回復プロセスをテストするには

1. テストファイルを作成し、ShareFileにアップロードします。

2. 1時間ほど経過したら、ファイルが永続記憶域 ($backupRootに指定されたパス)に表⽰されていることを確認します。

3. ShareFileからファイルを削除します。ShareFile管理者ツールで、[ごみ箱]をクリックし、ファイルを選択し、[完全に削除]をクリックします。

4. 永続ストレージからファイルを削除します。

このステップでは、ShareFileがファイルを削除してから 45⽇後に実⾏するアクションを再作成します。

5. ShareFile管理者ツールで、[管理] > [ストレージゾーン]に移動し、ゾーンをクリックし、[ファイルのリカバリ]をクリックします。

6. [ Recovery Date ]テキストボックスをクリックし、ファイルが削除される前とアップロードされた後の⽇付と時刻を選択します。

指定した⽇付と時刻のストレージゾーンのファイルリストが表⽰されます。

7. ファイルのチェックボックスをオンにします。

8. 復元されたファイルを格納するフォルダを選択し、[復元]をクリックします。

ファイルがバックアップキューに追加され、復元する準備が整いました。ファイルが正常に回復されると、回復されたファイルが格納されているフォルダが表⽰されるように画⾯が変わります。

9. ファイルをリカバリするには、次の⼿順で⾏います。

a. 管理者としてコマンドプロンプトウィンドウを開きます。

b. PsExec.exeの場所に移動し、次のように⼊⼒します。

1 ‘‘‘2 PsExec.exe -i -u ”NT AUTHORITY\NetworkService” C:\Windows\SysWOW64

\WindowsPowerShell\v1.0\powershell3 ‘‘‘

c. PowerShellウィンドウで、次の場所に移動します。

cd C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recovery

d. リカバリ・スクリプトを実⾏します。



.\DoRecovery.ps1

PowerShellウィンドウには、「アイテムが回復しました」というメッセージが表⽰されます。ファイルが永続的なストレージの場所に追加されます。

10. 復元したファイルを ShareFileウェブサイトからダウンロードします。

関連する PowerShellコマンド

次の PowerShellコマンドは、障害回復をサポートします。

• Get-RecoveryPendingFileIDs

リカバリに必要なファイル IDのリストを取得します。構⽂とパラメータについては、次のコマンドを使⽤します。

Get-Help Get-RecoveryPendingFileIDs -full

• Set-RecoveryQueueItemsStatus

回復キュー内のすべての項⽬または指定された項⽬の状態を設定します。これにより、キュー内の既存の回復状態が上書きされます。構⽂とパラメータについては、次のコマンドを使⽤します。

Get-Help Set-RecoveryQueueItemsStatus -full

リカバリ⽤のタスクを作成してスケジュールするには

スケジュールされたリカバリタスクが必要な場合は、次の⼿順に従います。

1. Windowsタスクスケジューラを起動し、[操作]ウィンドウで [タスクの作成]をクリックします。

2. [全般]タブで、次の操作を⾏います。

a. タスクのわかりやすい名前を⼊⼒します。

b. [セキュリティオプション]で、[ユーザーまたはグループの変更]をクリックし、タスクを実⾏するユーザー (ネットワークサービス、または記憶域への書き込み権限を持つ指定ユーザー)を指定します。

c. [ Configure for ]メニューから、タスクを実⾏するサーバのオペレーティングシステムを選択します。

3. トリガーを作成するには、[トリガー]タブで [新規作成]をクリックします。

4. [タスクの開始]で、[スケジュール上]を選択し、スケジュールを指定します。

5. アクションを作成するには、[アクション]タブで [新規作成]をクリックします。

a. [アクション]で、[プログラムの開始]を選択し、プログラムの完全なパスを指定します。例:C:\Windows\System32\cmd.exe。


b. [引数の追加]に、次のように⼊⼒します。/c “c:\windows\syswow64\WindowsPowerShell\v1.0\PowerShell.exe -File .\DoRecovery.ps1” >> .\recovery.log 2>>.\recoveryerror.log

c. [開始場所]で、ストレージゾーン Controllerのインストール場所にある [災害復旧]フォルダを指定します。たとえば、次のようになります。c:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recovery

サービスのデフォルト期間の削除

StorageZoneコントローラ4.0以降、削除サービスのタイマーは45⽇に設定されます。45⽇間のデフォルト期間は、以前の設定を上書きします。デフォルトの期間を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvcで「ファイル」「削除」「サービス.exe.config」を編集します。



<add key=”Period”value=”45”/>

アップグレード後のサービスのデフォルト期間の変更

いくつかのアップグレードシナリオでは、削除期間の値は、”ファイル DeleteService.exe.config”でヌルに設定されます。nullに設定すると、削除期間はデフォルトで 45⽇になり、ShareFileから削除されたファイルが物理ストレージから削除されるまでのデフォルトの⽇数になります。

記憶域ゾーン Controller 上の削除期間を変更するには、次の場所にある FileDeleteService.exe.configファイルを編集します。C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe.config

ストレージゾーン Controllerをクリーンインストールすると、削除サービスは 8時間ごとに実⾏され、⼀時ファイルとフォルダをクリーンアップします。タイマーを変更するには、次の場所にある FileDeleteService.exe.configファイルを編集します。C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe.config

ShareFileデータのバックアップからファイルやフォルダを回復する

December 17, 2019

ShareFile管理者コンソールでは、ストレージゾーンを参照して特定の⽇時の ShareFileデータレコードを検索し、復元するファイルやフォルダにタグを付けます。ShareFileは、タグ付けされたアイテムをリカバリキューに追加します。その後、提供されたスクリプトを実⾏して、バックアップからストレージ場所にファイルを復元できます。


重要:

この⼿順では、必ず PowerShell 4.0を使⽤してください。PowerShellの要件の詳細については、ストレージゾーン Controllerシステム要件のPowerShellスクリプトとコマンドを参照してください。

前提条件

• ファイルリカバリ⽤のストレージゾーン Controllerを準備するの説明に従って、セットアップとテストを完了します。セットアップには、リカバリされたファイルを格納するフォルダを作成する⼿順が含まれています。

1. ShareFile Webインターフェイスで、[管理]、[ストレージゾーン]の順にクリックします。

2. ゾーン名をクリックし、[ファイルのリカバリ]をクリックします。

3.［リカバリ⽇］テキストボックスをクリックし、⽇付と時刻を選択します。

指定した⽇付と時刻のストレージゾーンのファイルリストが表⽰されます。

4. 復元する各ファイルのチェックボックスをオンにし、[復元]をクリックします。

5. 復元されたファイルを格納するフォルダを選択し、[復元]をクリックします。

フォルダ⼀覧には、リカバリが進⾏中であることを⽰す回転アイコンが表⽰されます。

6. バックアップの場所がストレージゾーンの永続記憶域と同じレイアウトに従っていない場合は、バックアップの場所から DoRecovery.ps1の編集時に指定した場所にファイルをコピーします。

7. DoRecovery.ps1 PowerShellスクリプトは署名されていないため、この⼿順では PowerShell実⾏ポリシーの変更が必要になる場合があります。

a) PowerShell実⾏ポリシーで、ローカルの署名されていないスクリプトの実⾏が許可されているかどうかを判断します。PowerShellウィンドウで、次の操作を⾏います。Get-ExecutionPolicy


b) PowerShell 実⾏ポリシーを変更するには、次の⼿順に従います。Set-ExecutionPolicyRemoteSigned









1 PsExec.exe -i -u ”domain\username” C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell


9. ファイルをリカバリします。

a) 管理者としてコマンドプロンプトウィンドウを開きます。

b) PsExec.exeの場所に移動し、次のように⼊⼒します。


c) PowerShellウィンドウで、次の場所に移動します。

cd C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\Disaster Recovery

d) リカバリ・スクリプトを実⾏します。

.\DoRecovery.ps1

PowerShellウィンドウには、「アイテムが回復しました」というメッセージが表⽰されます。リカバリされたファイルは、バックアップから永続的なストレージ場所にコピーされます。コンソールを更新すると、ShareFile Webインターフェイスから正常にリカバリされたファイルの回転アイコンが消えます。

ShareFile Webアプリケーションから削除されたファイルが、ストレージゾーン Controller削除サービスによってまだ削除されていない場合、ファイルは永続的なストレージ場所に残っています。その場合、ファイルのリカバリは即時に⾏われ、ShareFile Webインターフェイスに回転するアイコンは表⽰されません。

ファイルをリカバリできない場合は、[ディザスタリカバリ]フォルダにあるヘルプファイルを参照してください。

ShareFileクラウドをストレージゾーンで調整する

December 12, 2019

ディスク障害などの問題により、ローカルストレージでデータが失われると、ローカルストレージと ShareFileクラウドに保存されているメタデータとの間に⽭盾した状態が⽣じます。これらの差異を⾃動的に調整して、指定した⽇時にストレージゾーンに存在しなくなったファイルのメタデータが ShareFileクラウドから完全に削除されるようにすることができます。

ご注意：

リコンサイルは、ローカルファイル記憶域で回復不能なデータが失われる場合にのみ実⾏してください。リコンサイルは、指定した⽇時時点でローカルファイルストレージに⾒つからないファイルのメタデータを



ShareFileクラウドから永久に消去します。

1. [管理]をクリックし、[ストレージゾーン]をクリックします。2. ゾーン名をクリックし、[ファイルの調整]をクリックします。3.「調整⽇」テキストボックスをクリックし、⽇付と時刻を選択します。4. [調整]をクリックします。確認ダイアログボックスが表⽰されます。

アップロードされたファイルのウイルス対策スキャンの設定

December 12, 2019

重要:

StorageZones 4.2のアプリケーション・コードの更新により、⼀部のお客様は、ツールを実⾏する権限レベルをローカル管理者からシステム・ネットワーク・サービスに更新する必要があります。アクセス許可の更新に失敗すると、ウイルス対策スキャンが開始されません。

要件/概要

• StorageZones Controller 4.2以降を使⽤しているユーザー• SFAntivirusは、PSExecを使⽤してネットワークサービスとして実⾏する必要があります• 更新ログファイルの場所

PSExecを使⽤してネットワークサービスとして SFAntivirusを実⾏します。

SFAntivirusにリンクされている既存のスケジュールされたタスクを使⽤して SZ 4.2以降にアップデートするクライアントは、ツールを実⾏するユーザーレベルをローカル管理者からシステムネットワークサービスに変更する必要があります。

ネットワークサービス権限を取得するには、PSExecを使⽤して、ストレージゾーン Controllerと同じユーザーコンテキストで PowerShell (x86)を起動し、次のコマンドを使⽤してネットワークサービス権限を取得します。

PsExec.exe -i -u ”NT AUTHORITY\\NetworkService”C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

更新ログファイルの場所

管理者は、log4net.configエントリを編集して、デフォルトの SZCログディレクトリ以外のディレクトリにロギングする場合は、次の⾏を変更して、ログファイルの場所を変更する必要があります。

\<file value=”..\\..\\SC\\logs\\avscantool-”/\>



ストレージゾーン Controllerインストールには、ウイルス対策スキャンをサポートする複数のファイルが含まれています。ファイルはデフォルトで C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. にインストールされます。

構成ファイルをカスタマイズし、Windowsタスクスケジューラを使⽤してスキャンをスケジュールした後、次の⼿順で説明するように、各ファイルアップロード要求により、ストレージゾーン Controllerがファイルをウイルス対策スキャン⽤にキューに⼊れます。スキャンしたファイルの問題が報告された場合、「フォルダ」ビューにはファイルの警告アイコンが表⽰されます。ユーザーがファイルをダウンロードしようとすると、警告メッセージが表⽰されます。

StorageZones Controller 4.0では、ウイルス対策ログ・ファイルの場所を構成できます。ログの場所を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. で SFAntivirus.exe.configファイルを編集します。

ウイルス対策スキャンでは、ファイルは削除されません。

ICAP ⽤の RFC 標準にコード化されたウイルス対策スキャンプラットフォームでの ICAP プロトコルの使⽤は、StorageZones Controller 4.2以降でサポートされています。ICAP AVの設定に関する情報は、この記事の後半で確認できます。

前提条件

• ストレージゾーンコントローラーでウイルススキャン (SFAntiVirus.exe)を実⾏する場合は、Controllerで暗号化が無効になっていることを確認します。ストレージゾーンコンソールの構成ページで、[暗号化を有効にする]チェックボックスがオフになっていることを確認します。

注：

ゾーンでアンチウイルスを構成すると、新しくアップロードされたアイテムがすべてスキャンされます。ウイルス対策の設定は遡及的ではありません。この構成では、ゾーンにすでに存在するファイルおよびアイテムはスキャンされません。

場所の設定を準備するには

1. ストレージゾーン Controller以外のサーバでウイルススキャンを実⾏するには、次の⼿順を実⾏します。

a) C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirusフォルダを別のサーバーにコピーします。

b) ストレージゾーンControllerでC:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.configを開き、QueueSDKRestricted を 0 に設定します。<add key=”QueueSDKRestricted”value=”0”/>

2. ウイルススキャンを実⾏するサーバーで、SFAntiVirus.exe.configをストレージゾーン Controller設定の値で編集します。



a) CommandFileの場合:ウイルス対策ソフトウェアへのフルパスを指定します。このソフトウェアは、ShareFileアンチウイルスフォルダと同じサーバ上に存在する必要があります。

b) CommandOptionsとリターンコードの場合:設定ファイルに⽤意されているコマンドラインの設定が例です。ウイルス対策ソフトウェアと環境に適した設定を指定します。

c) ScanFileTimeoutの場合:ファイルのサイズが⼤きいほど、スキャンに時間がかかることがあります。ストレージで予想されるファイルサイズに応じて、この設定を調整します。そうしないと、⼤きなファイルがスキャンされないリスクが⾼くなります。

3. コマンドラインウィンドウで、次のコマンドを実⾏してウイルススキャンを設定します。SFAntiVirus.exe -register SFusername SFpassword

コマンドラインツールではなく、AVスキャンに ICAPを使⽤する

StorageZones Controller 4.2以降では、ICAPの RFC標準にコード化されたアンチウイルススキャンプラットフォームでの ICAPプロトコルの使⽤がサポートされています。お客様は、必要に応じて CLI⽅式を使⽤することもできます。この機能は、SZ 5.0.1以降のテナントゾーンでサポートされています。

ストレージゾーン Controllerで ICAP AVスキャナーを有効にするには、ストレージゾーンコントローラー設定ページに移動します。

[ウイルス対策統合を有効にする]チェックボックスをオンにし、[ ICAP RESPMOD URL ]フィールドにウイルス対策サーバーのアドレスを⼊⼒します。ICAP応答変更サービスの URLです。ICAP://SERVER/RESPMOD

[接続のテスト]をクリックして、設定を確認します。

ウイルススキャンのタスクを作成してスケジュールするには

注：

ウイルススキャンのスケジュールされたタスクの作成は、コマンドラインツールを使⽤する場合にのみ必要です。ICAPを利⽤する場合、これは必須ではありません。

1. Windowsタスクスケジューラを起動し、[操作]ウィンドウで [タスクの作成]をクリックします。

2. [全般]タブで、次の操作を⾏います。

a) タスクにわかりやすい名前を指定します。

b) [セキュリティオプション]で、[ユーザーまたはグループの変更]をクリックし、タスクを実⾏するWindowsユーザーを指定します。ユーザーは、ストレージの場所に対するフルアクセス権を持っている必要があります。

c) [ユーザーがログオンしているかどうかに関係なく実⾏]を選択します。[パスワードを保存しない]チェックボックスをオフのままにします。

d) [最も⾼い権限で実⾏する]を選択します。



e) [ Configure for]メニューから、タスクを実⾏するサーバのオペレーティングシステムを選択します。

3. トリガーを作成するには、[トリガー]タブで [新規作成]をクリックします。次に、[タスクの開始]で、[スケジュール上]を選択し、スケジュールを指定します。

4. アクションを作成するには:[アクション]タブで、[新規作成]をクリックします。

a) [アクション]で、[プログラムの開始]を選択し、プログラムの完全なパスを指定します。たとえば、次のようになります。

C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

b) [開始場所]で、SFAntiVirus.exeの場所を指定します。C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

5. [設定]タブの [タスクが既に実⾏されている場合、次のルールが適⽤されます。[新しいインスタンスを起動しない]を選択します。

AVコマンドラインのスキャンサービスへの統合

前提条件

• ストレージゾーン Controller 5.2をインストールまたはアップグレードする前に、既存のコマンドライン AVがスケジュールされたタスクまたは cronとして実⾏されている場合は、必ず停⽌または削除してください。

• .NET 4.6.2 (またはそれ以降)をホストマシンにインストールします。

オンプレミスのストレージゾーン Controllerスキャンサービスには、シマンテック社のコマンドライン AVスキャンなどのコマンドライン AVツールの使⽤のサポートが含まれています。さらに、スキャンサービスでは、ICAPがサポートするウイルス対策製品を使⽤してスキャンが提供されます。

この機能を有効にするには、アンチウイルス/OnPrem/AVScanサービス/アプリケーション設定.configに次の設定キーと値を追加します。

<add key=”use-command-line-av”value=”true”/>

コマンド・ライン・ツール固有の構成

ストレージゾーン Controller 5.2のアップグレードまたは新規インストールには、新しい設定ファイルが含まれています。

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

このファイルでは、AVコマンドラインに必要な設定を処理します。

次に、設定キーの値について説明し、値の例を⽰します。



• このポイントをコマンドラインアプリに設定します。

”command-file”: ”c:\\\\\vscan\\\\\scan.exe”

• コマンドラインアプリのドキュメントを参照して、サポートするオプションまたはスイッチを確認し、この場所に追加します。

”command-options”: ”/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ”,

• クリーンスキャンを⽰す出⼒値を含めます。

”scanner-codes-for-clean-file”: ”0, 19”,

• 感染ファイルを⽰す出⼒値を含めます。

”scanner-codes-for-infected-file”: ”12, 13”,

• スキャンされなかったファイルを⽰す出⼒値を含めます。

”scanner-codes-for-notscanned-file”: ”2, 6, 8, 15, 20, 21, 102”

拡張⼦を除く最⼤ファイルサイズの強制に関する注意事項

バージョン 5.2より前のバージョンでは、コマンドライン AVで拡張⼦の除外または最⼤ファイルサイズの強制を実⾏できませんでした。この操作は、ICAP Scanサービスでのみ⾏うことができます。バージョン 5.2では、除外された拡張⼦と最⼤ファイルサイズ (バイト単位)に関する ICAPスキャンサービスに適⽤される設定と同じ設定が AVコマンドラインサービスに適⽤されます。

これらの設定は、次のように命名されました。

<add key=”icap-exclude-extensions”value=””/>

<add key=”icap-max-file-size-bytes”value=”0”/>

ストレージゾーン Controller 5.2を新しくインストールすると、これらの設定の名前が次のように変更されます。名前が変更された設定は、ICAPベースの AVとコマンドライン AVの両⽅に適⽤できるという事実を反映しています。

<add key=”exclude-extensions”value=””/>

<add key=”max-file-size-bytes”value=”0”/>

アップグレードでは、これらの設定の名前は変更されません。⼿動の名前変更も可能ですが、ICAPに加えて AVコマンドラインでも同じ設定が機能します。

<add key=”icap-exclude-extensions”value=””/>

<add key=”icap-max-file-size-bytes”value=”0”/>



ShareFileデータの移⾏

December 12, 2019

ShareFileデータをあるオンプレミスゾーンから別のオンプレミスゾーンに移⾏する⽅法は複数あります。

• Webポータルまたはユーザー管理ツールを使⽤した移⾏• PowerShellスクリプトを使⽤した移⾏• ゾーン修正ツールを使⽤した移⾏

前提条件

• ソース・ゾーンがターゲット・ゾーンから到達可能であることを確認し、ソース・ストレージ・センターへのアウトバウンド接続のブロックを解除します。

• ゾーン間の接続をテストするには、宛先ゾーンのブラウザで送信元ゾーンの外部アドレスに移動して、送信元ゾーンの外部アドレスにアクセスします。接続が成功すると、ShareFileロゴが表⽰されます。

Webポータルまたはユーザー管理ツールを使⽤した移⾏

ShareFile Webアプリケーションでは、個々のユーザーまたは特定のユーザーのゾーン間でのデータの移⾏を開始できます。

重要:

以下の変更を保存すると、⾮同期移⾏操作が直ちにトリガーされ、既存のファイルが新しいゾーンにアップロードされます。この移⾏期間中にフォルダにアップロードされた新しいファイルは、新しいゾーンに移⾏します。

特定のユーザーのデータを移⾏する -「⼈」に移動し、「従業員」ユーザーを検索します。プロファイルページを表⽰するには、ユーザーをクリックします。[記憶域の場所]で、新しいゾーンを選択します (ゾーンがすでにインストールおよび構成されている場合)。

特定のフォルダのデータを移⾏する:フォルダに移動し、フォルダ名の右側にある [その他のオプション]メニューにアクセスします。[フォルダの詳細設定]をクリックします。メニューを使⽤して、新しいゾーンを選択します。

移⾏プロセス

まず、移⾏のためにキューに⼊れられたファイルは、元のゾーンの [保存場所]内の [キュー]フォルダにプレースホルダファイルを作成します。

プレースホルダファイルが正常に処理されると、移⾏されたファイルは元のゾーンのpersistentstorageから削除され、新しいゾーンのpersistentstorageに追加されます。



PowerShellを使⽤した移⾏

ShareFile PowerShell SDKを使⽤すると、ユーザーは元のゾーンの場所から⼤きなフォルダー構造をダウンロードし、それらのフォルダーを新しいゾーンにアップロードできます。詳細はこちらから。

要件 -SDKを実⾏およびインストールするには、PowerShell 4+および.NET 4.x+が必要です。PowerShell 5をダウンロードできます。こちらをご覧ください

[ゾーン修正による移⾏]ツール

Zone Fixツールは、ストレージゾーンの開発者によって作成されたコマンドラインツールです。ShareFile APIを利⽤して、特定のゾーンへの移⾏のためにフォルダ IDをターゲットにします。詳細はこちらから。

最適なパフォーマンスを得るには、サイズが 2 GB未満のフォルダーにこの⽅法をお勧めします。

ストレージゾーン Controller構成で FIPS 140-2モードを有効にする

December 12, 2019

ShareFileの次の構成を適⽤する前に、Windows Serverで FIPSモードが有効になっていることを確認します。これを⾏うには、次の操作を⾏います。

1. レジストリエディタ（regedit）を起動します。2. パスを参照します。HKEY_LOCAL_MACHINE\SOFTWARE\PowerShell\Server\163. レジストリ値の UseFIPS準拠 APIを確認します。4. 値データ (DWORD)が 1の場合、FIPS準拠モードが有効になります。

FIPS準拠モードが有効になっていない場合は、以下を使⽤して FIPS準拠モードを有効にします。

1. Windowsシステム管理者としてWindowsにログオンします。

2. [スタート]ボタン、 [コントロールパネル]、[管理ツール]の順にクリックします。

注：

次の⼿順では、⼤きなアイコンに切り替える必要がある場合があります。

3. [ローカルセキュリティポリシー]をクリックします。[ローカルセキュリティ設定]ウィンドウが表⽰されます。

4. ナビゲーションウィンドウで、[ローカルポリシー]をクリックし、[セキュリティオプション]をクリックします。

5. 右側のウィンドウで、[システム暗号化:暗号化、ハッシュ、署名に FIPS準拠アルゴリズムを使⽤する]をダブルクリックします。




注：

上記の設定を有効にすると、コンピュータ上のすべてのアプリケーションに影響する可能性があります。

6. 表⽰されるダイアログボックスで、[有効]、[適⽤]、[OK]の順にクリックします。

7. [ローカルセキュリティの設定]ウィンドウを閉じます。

詳細については、こちらMicrosoftサポート記事を参照してください。

既定では、記憶域ゾーン Controllerは、FIPS 140-2標準に準拠していない暗号化モジュールを使⽤できます。記憶域ゾーン Controllerインストールした後、ConfigServiceを実⾏する前に:お客様は、コントローラーで FIPS140-2準拠を有効にするには、次のコード例を追加する必要があります。

1 <appSettings>23 <add key=”fipsOnly” value=”1” />45 </appSettings>

前述のコードサンプルを<configuration>要素の⼦として次のファイルの末尾に追加します。

C:\Windows\Microsoft.NET\Framework\v4.0.x\Config\machine.config

次に、IISをリセットし、すべての ShareFileサービスを再起動します。または、コンピュータを再起動します。

注：

情報リソース管理 (IRM)はサポートされていません。

コネクタのお気に⼊り

December 12, 2019

ストレージ・ゾーン・Controller 5.0以降、ユーザーは ShareFileWebApp内のネットワーク共有、SharePoint、Documentumコネクタの下で、コネクタ・フォルダをお気に⼊りとして作成できます。詳細については、このCitrixサポートナレッジセンターの記事を参照してくださいを参照してください。

ShareFileモバイルでは、コネクタフォルダをお気に⼊りに追加できます。制限付きゾーンでコネクタフォルダのお気に⼊りを作成することはサポートされていないことにも注意してください。

ShareFileデータのストレージ・ゾーンを管理する

December 12, 2019


https://support.microsoft.com/en-us/help/4014354/how-to-use-sql-server-2016-in-fips-140-2-compliant-mode



ShareFileデータのストレージゾーンは、ShareFileが管理するクラウドと併⽤したり、その代わりに使⽤できます。

ゾーン間でホームフォルダとファイルボックスを移動する

ShareFileの管理対象クラウドストレージからプライベートゾーンまたはプライベートゾーン間でホームフォルダーとファイルボックスを移動するには、次の⼿順に従います。また、ShareFileユーザー管理ツールを使⽤して、ゾーン間でユーザーを移⾏することもできます。

1. [ホーム]をクリックし、フォルダに移動します。2. 右側のナビゲーションウィンドウで、[フォルダオプションの編集]をクリックします。3. ストレージゾーンメニューからゾーンを選択し、[ Save]をクリックします。4. すべてのゾーンメンバーの IISサーバーを再起動します。

ストレージゾーンにフォルダを作成する

1. [ホーム]をクリックし、[フォルダ]をクリックします。2. [フォルダ]タブで、[フォルダを追加]をクリックします。3. 通常どおりフォルダ情報を指定し、[ストレージサイト]で、このフォルダとその内容を保存するストレージゾーンを選択します。[フォルダの作成]をクリックします。

4. 通常どおりフォルダを構成します。フォルダーを作成するときに、ShareFileで管理されるクラウドストレージを使⽤するか、ローカルストレージゾーンを使⽤するかを選択できます。


ストレージゾーンの名前変更または削除

重要:

ストレージゾーンを削除する前に、ストレージゾーンをバックアップしてください。ゾーンを削除すると、そのゾーン内のすべてのファイルとフォルダが消去され、操作を元に戻すことはできません。

1. [管理]をクリックし、[ストレージゾーン]をクリックします。2. ゾーン名をクリックします。

• ゾーンの名前を変更するには、[ゾーンの編集]をクリックし、新しい名前を⼊⼒して、[変更の保存]をクリックします。

• ゾーンを削除するには、ゾーン名をクリックし、[ Delete Zone]をクリックします。3. すべてのゾーンメンバーの IISサーバーを再起動します。

ストレージキャッシュ操作のカスタマイズ

ShareFileユーザーのファイルのアップロード、ダウンロード、削除要求は、ストレージゾーン Controllerによって処理され、接続されたストレージと通信します。たとえば、接続されたストレージがサポートされているサード・



パーティ製ストレージ・システムであり、ShareFileユーザーがファイルをアップロードする場合、ShareFileクライアントはそのファイルを永続的なストレージ・キャッシュに送信します。ストレージ・ゾーン・Controllerは、サード・パーティのストレージ・システムにファイルをアップロードします。

ストレージゾーンControllerは、C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe.configで設定可能な設定を使⽤して、永続ストレージキャッシュを管理します。この説明では、サポートされているサード・パーティ製ストレージ・システムに固有の設定について説明します。

アップロードされたファイルの場合:

• ストレージゾーン Controller は、アップロードされたファイルを永続ストレージキャッシュ (Persis-tentStorageフォルダ)に配置します。

• サービス削除操作のタイミングは、次の設定によって制御されます。– MinDeletionAgeは、ファイルが最後にアクセスされてから削除されるまでの最⼩期間を指定します。デフォルトは 1⽇です。最⼩設定は 8時間です。

– [1⽇のオフピーク時間]と [1⽇のオフピーク時間]は、ファイルの削除の開始時刻と終了時刻を指定します。デフォルトは午前 2時と午前 4時です。

– プロデューサータイマーの間隔と削除タイマーの間隔は、サービスの削除操作の頻度を制御します。デフォルト値 (1⽇)がサイトに適切でない場合は、サポートにお問い合わせください。

• 削除サービスは、暗号化キーやキューに⼊れられたファイルなどの⼀時アイテムを含むフォルダも管理します。削除サービスは、作成後 24時間後にこれらのアイテムを削除します。

• サポートされているサード・パーティ製ストレージ・システムのみ：– 削除サービスは、ストレージキャッシュ内のファイルに対応する BLOBが、サポートされているサードパーティストレージ内にあるかどうかを判断します。

– 既定では、削除サービスは 10 秒 (CheckSizeThreasholdTimer) ごとに、記憶域キャッシュが 10GBのディスクしきい値 (DiskSpaceDropoutThresholdGB)を超えたかどうかを判断します。しきい値を超えると、削除サービスは、過去 1 時間以内にアクセスされていないファイルを削除します(CacheCleanupFileThreasholdPeriodUnExpected)。(ディスクサイズがしきい値に達したためではなく)通常のスケジュールの結果として削除サービスを実⾏すると、BLOBがサポートされるサードパーティの記憶域にある場合、過去 24時間 (CacheCleanupFileThresholdPeriodNormal)にアクセスされていないファイルが削除されます。BLOBがサードパーティの記憶域にない場合、ファイルは記憶域キャッシュに残ります。

ダウンロードしたファイルの場合:

• ストレージゾーン Controllerがダウンロード要求を受信すると、ファイルが存在する場合は永続ストレージキャッシュからファイルをダウンロードします。ファイルがそのキャッシュにない場合、Controllerはサード・パーティ製ストレージ・システムからパーシステント・ストレージ・キャッシュにファイルをダウンロードします。削除サービスは、過去 24時間 (キャッシュクリーンアップファイルのしきい値期間標準)にアクセスされていないファイルを削除します。

削除されたファイルの場合:

• 削除サービスは、ShareFileアプリケーションから 45⽇前に削除されたファイルのリストを取得します（期


間）。• 削除サービスは、ストレージの場所から対応するファイルを削除するか、サードパーティのストレージから対応するオブジェクトを削除します。

サービスのデフォルト期間の削除

StorageZones Controller 4.0以降、削除サービスのタイマーは 45⽇に設定されています。45⽇間のデフォルト期間は、以前の設定を上書きします。

1. デフォルトの期間を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvcで FileDeleteService.exe.configを編集します

• 

• <add key=”Period”value=”45”/>

ストレージゾーンコネクタの作成と管理

December 17, 2019

ストレージゾーンコネクタは、次のドキュメントおよびフォルダへのアクセスを提供します。

• SharePointサイト、サイトコレクション、およびドキュメントライブラリ• ネットワークファイル共有• Documentumコネクタ (SZC 4.1以降が必要)

接続されたリソースを表⽰する権限を持つユーザーは、ShareFile Webインターフェイスおよび ShareFileクライアントから、接続されている SharePointサイト、SharePointライブラリ、およびネットワークファイル共有を参照できます。

デフォルトでは、ShareFile Webインターフェイスのコネクタ参照は無効になっています。コネクタの参照を有効にするには、ShareFileサポートにお問い合わせください。

Active Directoryルックアップに使⽤するドメイン Controllerユーザーが指定できる追加設定もあります。この記事の「認証」セクションを参照してください。この設定には SZ 4.1以降が必要です。

コネクタのシステム要件

ストレージゾーンコネクタは、デバイス間でのドキュメントの共有やフォルダの同期をサポートしていません。

コネクタには⼀意の表⽰名が必要です。ユーザーは、アカウントの別の場所で現在使⽤されているコネクタ名を使⽤できません。


ストレージゾーンコネクタを作成するためのアクセス許可

コネクタを作成および管理するには、管理者または従業員ユーザーに次の権限が必要です。

• コネクタの作成と管理• ルートレベルフォルダの作成

SharePointのストレージゾーンコネクタを作成するには

前提条件

• ShareFile Dataにストレージゾーンを使⽤している場合は、コネクタに使⽤するゾーンを作成します。

次の⼿順では、ShareFile Webインターフェイスからストレージゾーンコネクタを作成する⽅法について説明します。ShareFileユーザーは、SharePointサイトの URLを⼊⼒することで、サポートされているデバイスからコネクタを作成することもできます。

1. コネクタの作成と管理権限を持つ管理者として ShareFileアカウントにサインインします。

2. [管理者設定] > [コネクタ]に移動します。

3. SharePointコネクタの種類の [追加]をクリックします。

4. ShareFileデータにストレージゾーンを使⽤している場合は、コネクタのゾーンを選択します。

コネクタのゾーンは、SharePointサーバーと同じドメインにあるか、信頼関係を持っている必要があります。複数のドメインに SharePointサーバーがあり、ドメイン間の信頼を構成できない場合は、ドメインごとにストレージゾーン Controllerーを作成します。

5. [サイト]には、SharePointルートレベルサイト、サイトコレクション、またはドキュメントライブラリのURLを次の形式で指定します。

• SharePointルートレベルサイトへの接続例:https://sharepoint.company.com

ルートレベルサイトに接続すると、ユーザーはルートレベルのすべてのサイト (サイトコレクションを除く)およびドキュメントライブラリにアクセスできます。ShareFileは、SharePointシステムフォルダをユーザーから隠します。

• SharePoint サイトコレクションへの接続例:https://sharepoint.company.com/site/SiteCollection

サイトコレクションに接続すると、ユーザーはそのコレクション内のすべてのサブサイトにアクセスできます。

• SharePoint 2010ドキュメントライブラリへの接続例:

– https://mycompany.com/sharepoint/– https://mycompany.com/sharepoint/sales-team/Shared Documents/



– https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

• SharePoint 2013ドキュメントライブラリへの接続例:

既定の SharePoint 2013 URL (最⼩ダウンロード戦略が有効になっている場合) は、https://sharepoint.company.com/\\_layouts/15/start.aspx\##/Shared%20Documents/の形式です。

• 認証されたユーザーの NetBIOS名にリダイレクトする接続の例:

変数%UserDomain% を使⽤して、認証されたユーザーのログオン名をそのユーザーの NetBIOS名に置き換えます。新しい変数を使⽤すると、https://example.com/%UserDomain%\\_%UserName%/Documentsなどの URLへのサイトレベルのコネクタを作成できます。

• [個⼈⽤サイト]または [ビジネス向け OneDrive]に接続するときの接続例:

SharePoint 個⼈⽤サイトに接続するときに選択した特殊⽂字を⾃動的に解決するには、変数%URLusername% を使⽤します。この変数は、スペースを%20、ピリオドをアンダースコアに置き換えます。%URLusername%変数を使⽤するには、SZ v3.4.1が必要です。

ユーザーの「domain\username」が「acme\rip.van winkle」の場合、

https://sharepoint.acme.com/personal/%URLusername%は次のように解決されます。https://sharepoint.acme.com/personal/rip van%20winkle

6. コネクタのわかりやすい名前を⼊⼒します。

この名前は、ユーザーに対して SharePointサイトを識別するために使⽤されます。それは⼩さな画⾯のモバイルデバイス上でうまく表⽰されるように、名前は短くする必要があります。

7. [コネクタを追加]をクリックします。[フォルダアクセスの表⽰/編集]ダイアログボックスが表⽰されます。

8. コネクタを他のユーザーに表⽰するには:[フォルダアクセスの表⽰/編集]で、ユーザーと配布グループを追加し、[変更の保存]をクリックします。

この⼿順では、コネクタがユーザーに表⽰されるかどうかのみを決定します。ストレージゾーンコネクタは、SharePointサーバーからアクセス許可を継承します。

SharePointメタデータのタグ付けを有効にするには

ストレージゾーン Controllerを構成するときは、SharePointコネクタが有効になっていることを確認します。

メタデータのタグ付けは、SharePoint 2013以降のモバイルクライアントでサポートされています。

注：

en-USのみ。



ネットワークファイル共有⽤の記憶域ゾーンコネクタを作成するには

前提条件

• ShareFile Dataにストレージゾーンを使⽤している場合は、コネクタに使⽤するゾーンを作成します。

次の⼿順では、ShareFile Webインターフェイスからコネクタを作成する⽅法について説明します。ShareFileユーザーは、ファイル共有のパスを⼊⼒して、サポートされているデバイスからコネクタを作成することもできます。

1. コネクタの作成と管理権限を持つ管理者として ShareFileアカウントにログオンします。

2. [管理者設定] > [コネクタ]に移動します。

3. [ネットワーク共有]コネクタの種類の [追加]をクリックします。

4. ShareFileデータにストレージゾーンを使⽤している場合は、コネクタのゾーンを選択します。

コネクタのゾーンは、ファイル共有と同じドメインにあるか、信頼関係を持っている必要があります。複数のドメインにファイル共有があり、ドメイン間の信頼を構成できない場合は、ドメインごとにストレージゾーンControllerーを作成します。

5. [パス]に UNCパスを⼊⼒します。

FQDNの例: \\fileserver.acme.com\shared

UNCパスでは、次の変数を使⽤できます。

• %UserName%

ユーザーのホームディレクトリにリダイレクトします。パスの例: \\myserver\homedirs\%UserName%

• %HomeDrive%

Active Directoryプロパティの「ホームディレクトリ」で定義されている、ユーザーのホームフォルダーパスにリダイレクトします。パスの例: %HomeDrive%

• %TSHomeDrive%

Active Directory プロパティms-TS-Home-Directory で定義されている、ユーザーのターミナルサービスのホームディレクトリにリダイレクトします。この場所は、ユーザーがターミナルサーバーまたは Citrix XenApp サーバーから Windows にログオンするときに使⽤されます。パスの例:%TSHomeDrive%

Active Directoryユーザーとコンピュータスナップインでは、ユーザーオブジェクトを編集するときに、リモートデスクトップサービスプロファイルタブでms-TS-Home-Directory値にアクセスできます。

• %UserDomain%

認証されたユーザーの NetBIOS ドメイン名にリダイレクトします。たとえば、認証されたユーザーのログオン名が「abcjohnd」の場合、変数は「abc」に置き換えられます。パスの例:\\myserver\%UserDomain%_%UserName%



変数は⼤⽂字と⼩⽂字を区別しません。

重要：ShareFileデータの格納場所へのコネクタを作成しないでください。ユーザーの権限に応じて、ユーザーがすべての ShareFileデータを削除できるようになります。

6. コネクタのわかりやすい名前を⼊⼒します。

この名前は、ユーザーに対してファイル共有を識別するために使⽤されます。それは⼩さな画⾯のモバイルデバイス上でうまく表⽰されるように、名前は短くする必要があります。

7. [コネクタを追加]をクリックします。[フォルダアクセスの表⽰/編集]ダイアログボックスが表⽰されます。

8. コネクタを他のユーザーに表⽰するには:[フォルダアクセスの表⽰/編集]で、ユーザーと配布グループを追加し、[変更の保存]をクリックします。

この⼿順では、コネクタがユーザーに表⽰されるかどうかのみを決定します。ストレージゾーンコネクタは、ネットワーク共有からアクセス許可を継承します。読み取り/書き込みアクセスのアクセス許可は、ネットワーク共有のセキュリティ設定によって決定され、ShareFileプランの影響も受けます。

ネットワークファイル共有のファイルのチェックインとチェックアウトを有効にするには

前提条件

ストレージゾーン Controllerバージョン 5.8およびネットワークファイル共有コネクタを構成する必要があります。

ステップ

1. Storage Centerにサインインします。設定ページが表⽰されます。2. 設定ページで [変更]をクリックします。3. [ネットワークファイル共有のチェックインとチェックアウトを有効にする]チェックボックスをオンにします。

4. ユーザーとネットワーク共有があるドメインの名前を⼊⼒します。5. サービスアカウントのユーザー名とパスワードを⼊⼒します。このサービスアカウントは、ネットワーク共有の場所にあるすべてのファイルとフォルダに対する読み取りおよび書き込みアクセス権を持っている必要があります。

Documentum⽤のストレージゾーンコネクタを作成するには

注：

Documentum コネクタのセットアップでは、基本認証のみがサポートされています。DocumentumContent Serverでは⼤⽂字と⼩⽂字が区別されるため、Documentumコンテンツサーバで⼤⽂字と⼩⽂字



が区別されない限り、認証時に⼊⼒したユーザー名は⼤⽂字と⼩⽂字が区別される資格情報と⼀致する必要があります。

前提条件

1. StorageZones Controller 4.1以降2. ShareFileカスタマー・サポートによって有効化された Documentum ECM設定。3. Documentumレストサービスは、Documentumサーバに配置する必要があります。Documentumレストサービスの詳細については、ここをクリックしてください。.

4. Citrix ADCを使⽤する場合は、特定の構成変更が必要です。これらの変更については、この記事で詳しく説明します。

ShareFileカスタマー・サポートでこの機能を有効にしたら、ストレージ・ゾーン・Controllerに移動し、ストレージ・ゾーン・コネクタ・メニューを探します。[既存のエンタープライズコンテンツ管理 (ECM)データソースへのアクセスを有効にする]チェックボックスをオンにします。変更を保存します。

次に、ShareFile Webアプリケーションにサインインし、[管理者設定] > [コネクタ]に移動します。

Documentumコネクタタイプの横にある [追加]ボタンをクリックします。

EMCサーバのパスを指定し、コネクタの名前を⼊⼒します。続⾏します。

次に、Documentumコネクタへのアクセス権をユーザーに付与します。

コネクタが作成されると、Webアプリやモバイルアプリからコネクタにアクセスできます。

サポートされているアクション

モバイル（iOS/Android/ユニバーサルWindowsプラットフォーム）：

• ブラウズ• ファイルのアップロード/ダウンロード• ファイルとフォルダの作成/削除• オフライン編集

ウェブアプリ

• コネクタの作成• ブラウズ• ファイルのアップロード/ダウンロード• フォルダの作成/削除

未サポート

• Documentumコネクタ内に格納されたファイルの共有


https://community.emc.com/docs/DOC-32266

https://community.emc.com/docs/DOC-32266


• パスのホワイトリスト/ブラックリスト

注：

Documentum Content Serverでは⼤⽂字と⼩⽂字が区別されるため、Documentumコンテンツサーバで⼤⽂字と⼩⽂字が区別されない限り、認証時に⼊⼒したユーザー名は⼤⽂字と⼩⽂字が区別される資格情報と⼀致する必要があります。

Documentumコネクタ⽤の Citrix ADC構成

Citrix ADCを環境とともに使⽤する場合は、Citrix ADCの構成を次のように変更します。

1. [コンテンツ切り替え] > [ポリシー]の下にある _SF_CIFS_SPポリシーに以下を追加します。

HTTP.REQ.URL.CONTAINS(”/cifs/”)|| HTTP.REQ.URL.CONTAINS(”/sp/”)|| HTTP.REQ.URL.CONTAINS(”/documentum/”)|| HTTP.REQ.URL.CONTAINS(”/ProxyService/”)

2. [コンテンツ切り替え] > [ポリシー]の下にある _SF_SZ_CSPOLポリシーに以下を追加します。

HTTP.REQ.URL.CONTAINS(”/cifs/”).NOT && HTTP.REQ.URL.CONTAINS(”/sp/”).NOT && HTTP.REQ.URL.CONTAINS(”/ProxyService/”).NOT && HTTP.REQ.URL.CONTAINS(”/documentum/”).NOT

コネクタ名を変更するには

コネクタ名は、ユーザーに対して SharePointサイトまたはネットワークファイル共有を識別するために使⽤されます。

1. ShareFileアカウントに管理者としてサインインし、コネクタタブをクリックします。2. [タイトル]列で、コネクタ名をクリックします。3. コネクタのわかりやすい名前を⼊⼒し、[保存]をクリックします。

コネクタを削除するには

コネクタを削除しても、SharePointまたはネットワークファイル共有からはデータは削除されません。

1. ShareFileアカウントに管理者としてサインインし、コネクタタブをクリックします。2. コネクタのチェックボックスをオンにし、[削除]をクリックし、[OK]をクリックします。

コネクタ認証

管理者ユーザーは、次の設定を使⽤して、CIFSまたは SP認証の ADルックアップを実⾏するときに使⽤するドメイン・Controllerを指定できるようになりました。



<add key=”Domaincontrollers”value=”DC01,dc02.domain.com,123.456.789.1”/>

上記の「Value=」は、ホスト名、FQDN、または IPアドレスで識別される単⼀の DCまたは複数の DCに設定できます。複数の DCは、コンマまたはセミコロンで区切る必要があります。

複数の DCが指定されている場合は、最初の DCに対してルックアップが実⾏されます。エラーが発⽣した場合は、2番⽬の DCが使⽤されます。

上記のプロパティは、すべてのストレージゾーン Controller IISアプリケーション（CIFS、SP、ProxyServiceを含む）に継承されるように、C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.configに追加できます。

新しいアプリ設定が存在しない場合は、DCを⾃動的に選択する既定の動作が続⾏されます。

ネットワーク共有/ SharePointコネクタからの直接リンクを取得する

iOS または Android ⽤の ShareFile アプリの最新バージョンを使⽤しながら、ユーザーはネットワーク共有/SharePointコネクタから「ダイレクトリンクを取得」できるようになりました。

管理者がこの機能を無効にしたい場合は、以下を追加することで無効にすることができます。

<add key=”disable-direct-link”value=”1”/>

上記は、C:\inetpub\wwwroot\Citrix\StorageCenter\sps\AppSettingsRelease.configに追加することができます。

基本認証とローカライズされたユーザー名

基本認証では、⾮ ASCII⽂字はサポートされていません。ローカライズされたユーザー名を使⽤する場合は、NTLMと Negotiateの使⽤をお勧めします。

情報漏えい対策

December 12, 2019

ShareFileのデータ損失防⽌（DLP）機能を使⽤すると、ファイル内で⾒つかったコンテンツに基づいてアクセスと共有を制限できます。

インラインコンテンツスキャンの標準ネットワークプロトコルである ICAPをサポートするサードパーティの DLPセキュリティスイートを使⽤して、ストレージゾーンにアップロードされたドキュメントをスキャンできます。次に、DLPスキャンの結果と、アクセスをどの程度厳密に制御するかの設定に基づいて、共有権限とアクセス権限を調整します。



サポートされている DLPシステム

ストレージゾーン Controllerは、ICAPプロトコルを使⽤して、サードパーティの DLPソリューションと対話します。ShareFileを既存の DLPソリューションで使⽤すると、既存のポリシーやサーバーを変更する必要はありません。ただし、負荷が⼤きいと予想される場合は、ShareFileデータの処理専⽤の ICAPサーバーを使⽤することもできます。

⼀般的な ICAP準拠 DLPソリューションには、次のものがあります。

• シマンテック社による情報漏えい対策• McAfee DLP Prevent• Websense TRITON AP-DATA• RSAデータ消失防⽌

ShareFileは既存の DLPセキュリティスイートを使⽤するため、データ検査とセキュリティアラートのためのポリシー管理を⼀元管理できます。送信メールの添付ファイルやWebトラフィックのスキャンに前述のソリューションの 1つをすでに使⽤している場合は、ShareFileストレージゾーン Controller同じサーバーに設定できます。これらの既存の DLPシステムでは、基盤となる DLPシステム⾃体が ICAPSをサポートしている場合、セキュリティで保護された ICAP (ICAPS)もサポートします。

DLPの有効化

ShareFileおよびストレージゾーン Controller⽤の DLPを有効にするには、次の 3つのアクションを実⾏します。

1. ShareFileアカウントで DLP機能を有効にします。2. ストレージゾーン Controllerサーバーで DLPを有効にします。3. 各ファイル分類に対して許可されるアクションを構成します。

これらのアクションについては、以降のセクションで詳しく説明します。

ShareFileアカウントで DLP機能を有効にする

メールを < [email protected] >に送信して、ShareFileサブドメインが DLPに対して有効になっていることをリクエストするか、確認します。⼀部のアカウントでは、DLPを有効にすると、ShareFileウェブサイトの新しいユーザーエクスペリエンスを有効にする必要もあります。アカウントで DLPが有効になったら、ストレージゾーンControllerサーバーで DLPを有効にすることができます。

ストレージゾーン Controllerサーバーで DLPを有効にする

ストレージゾーン Controllerデプロイメントで DLP設定を構成するには、次の⼿順に従います。

1. StorageZones Controller 3.2以降をインストールまたはアップグレードします。



2. ストレージゾーンの Controller コンソールhttp://*localhost*/configservice/login.aspxで、ShareFile Data タブをクリックします。ゾーンが存在する場合は、[ Modify] をクリックします。

3. [ DLP統合を有効にする]チェックボックスをオンにし、[ICAP REQMOD URL]フィールドに DLPサーバーの ICAPアドレスを⼊⼒します。アドレスの形式は次のとおりです。

1 icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod

23 OR45 \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*67 The default ICAP port is 1344 (non-secure DLP) and the default

ICAPS port is 11344 (secure DLP).89 For example, if your DLP server is dlp-server.example.com, type

the following into the ICAP REQMOD URL field:1011 icap://\*dlp-server.example.com\*:1344/reqmod1213 OR1415 \*icaps://dlp-server.example.com:11344/reqmod\*

4. [保存]または [登録]をクリックします。

DLPを有効にした後、[モニタリング]タブの [DLP ICAPサーバーステータス]エントリをチェックして、DLPサーバーが到達可能であることを確認します。

DLPスキャン結果に基づくアクセスの制御

アカウントおよびストレージゾーン Controllerで DLPを有効にすると、DLPが有効なストレージゾーンにアップロードされたすべてのファイルのすべてのバージョンが機密コンテンツについてスキャンされます。スキャンの結果は、データの分類として ShareFileデータベースに保存されます。

DLP設定では、DLPの分類に基づいて、ファイルで使⽤できる通常のアクセス許可と共有コントロールが制限されます。ドキュメントを共有する場合、DLP設定で匿名での共有が許可されていても、ユーザーは匿名アクセスをブロックできます。ただし、ユーザーが DLP設定に違反するような⽅法でファイルを共有しようとすると、ShareFileによって共有できなくなります。

データの分類は、次のとおりです。

• スキャン済み: OK — DLPシステムによってスキャンされ、[OK]に合格したファイル。



• スキャン済み:却下—DLPシステムによってスキャンされ、機密データが含まれていることが検出されたファイル。

• [ Unscanned ]：スキャンされていないファイル。

スキャンされていない分類は、Citrixが管理するストレージゾーンまたは DLPが有効になっていないその他のストレージゾーンに保存されているすべてのドキュメントに適⽤されます。この分類は、DLPが構成される前にアップロードされた DLPが有効なストレージゾーン内のファイルにも適⽤されます。この分類は、外部 DLPシステムが使⽤できないか、応答が遅いためにスキャンを待機しているファイルにも適⽤されます。

各アイテムの分類は、ICAPサーバーの応答ルールによって決定されます。DLP ICAPサーバーが、コンテンツをブロックまたは削除する必要があるというメッセージで応答した場合、ファイルは「スキャン:拒否」とマークされます。それ以外の場合、ファイルは「スキャン:OK」とマークされます。

データ分類ごとに、異なるアクセス制限と共有制限を設定できます。ShareFile管理者は、3つのカテゴリのそれぞれに対して、許可するアクションを選択します。

• 従業員は、ファイルをダウンロードまたは共有できます。• サードパーティクライアントユーザは、ファイルをダウンロードまたは共有できます。クライアント共有はデフォルトで無効になっていますが、[管理] > [詳細設定] > [クライアントによるファイルの共有を許可する]で有効にできます。

• 匿名ユーザーは、ファイルをダウンロードできます

ユーザーがファイルを共有すると、ダウンロード権限を持つユーザーのみがファイルを受け取ることができます。したがって、データ分類の共有アクセス許可を有効にする場合は、少なくとも 1つのクラスのユーザーダウンロードアクセス許可も付与する必要があります。

ShareFileで DLP設定を構成するには

1. ShareFile Webインターフェイスで、[管理] > [情報漏えい防⽌]をクリックします。2. [コンテンツに基づいてファイルへのアクセスを制限する]オプションを [はい]に変更します。3. 各データ分類に対して許可されるアクションを設定します。

重要:

ShareFile On-Demand Sync ツールには、通常の操作のためのダウンロード権限が必要です。展開にShareFile On-Demand Syncが含まれている場合は、すべてのコンテンツ分類の従業員ダウンロードを有効にします。

ストレージゾーン Controllerが DLPシステムにファイルを送信すると、ファイルの所有者を⽰すメタデータが含まれます。このファイルには、ShareFile内のファイルが存在するフォルダパスも含まれます。この情報により、DLPサーバー管理者は、機密コンテンツを含むファイルについて ShareFileに固有の詳細を表⽰できます。



DLPの詳細設定

DLPスキャンプロセスを調整するには、ストレージゾーン Controllerのwwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.configにある設定ファイルを編集します。次の表では、DLPに関連する各設定について説明します。

設定説明デフォルト値

scan-interval DLPサービスが DLPキューで新しいファイルをチェックし、処理のために DLP ICAPサーバーに送信する頻度。

30秒

icap-response-timeout 記憶域ゾーン Controllerが ICAPサーバーを使⽤不可とマークするまでに ICAP応答を待機する時間。

30秒

icap-exclude-extensions DLPスキャンから除外する拡張⼦のコンマ区切りリスト。DLPサーバーは、名前の拡張⼦で終わるファイルは処理しませんが、ファイルを Scanned: OKとマークします。値の例：「exe、jpg、ビン、mov」

無し

icap-max-file-size-bytes 処理のために DLPサーバに送信するファイルの最⼤サイズ (バイト単位)。値 0は、最⼤値がなく、すべてのファイルサイズが送信されることを意味します。ゼロ以外の値で構成した場合、DLPサーバーは構成されたサイズより⼤きいファイルを処理しませんが、[スキャン:OK]とマークされます。

31457280 (30 MB)

x-queue-items-to-process 各スキャン間隔の反復ごとにスキャンするキューに⼊れられたアイテムの最⼤数。この値を⼩さくすると、StorageZoneに多数のファイルが追加されるときに DLPサーバへの影響が軽減されます。

512



設定説明デフォルト値

max-queue-processing-threads

DLPスキャンキューの排出に使⽤する同時プロセッサスレッドの最⼤数。この値は、ICAPサーバーに許可される同時接続の最⼤数に基づいて設定します。同じ ICAPサーバーを使⽤する他のネットワークサービスがブロックされないようにするには、妥当な範囲内である必要があります。

4

Icap-reqmod-http-request-verb

デフォルトでは、ネットワークコールは PUT動詞で⾏われます。必要に応じて、この設定を [POST]に変更できます。

PUT

DLPExistingFiles tool

ShareFileストレージゾーン Controllerは、ICAPを通じてストレージセンターを DLP（データ損失防⽌）プロバイダと統合するためのオプションを提供します。

ただし、ICAPサービスは、新しく作成されたファイルによってのみ取り込まれるキューを介して動作します。つまり、ICAPが有効になる前にゾーンに存在するファイルは、サービスによってスキャンされません。このツールは、スキャンのためにそれらのファイルをキューに⼊れるのに役⽴ち、スキャンしたファイルを再スキャンするためにキューに⼊れることもできます。

名前が⽰すように、このツールは現在 DLP ICAPサービスでのみ機能します。

要件

このツールは PowerShellスクリプトであるため、PowerShellを実⾏する必要があります。PsExecまたは同様のツールも必要です。これは、スクリプトをネットワーク共有の場所にアクセスするためにネットワークサービスとして実⾏する必要があるためです。

[場所]

インストール済みのストレージゾーン Controller の場合、ツールは<storage zones controllerinstallation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1にあります。ストレージゾーン Controller のインストール場所は、デフォルトでですC:\inetpub\wwwroot\Citrix\StorageCenter。


https://docs.microsoft.com/en-us/sysinternals/downloads/psexec


ツールを実⾏する前の考慮事項

次の状況に応じて、1回の操作でツールを複数回実⾏する必要がある場合があります。

• キューサイズ制限に関する制限事項。• 指定した基準の項⽬数。キューサイズの制限が 0以下に設定されていない限り、この考慮事項は当てはまります。この場合、ツールはキューディレクトリ内のアイテムの最⼤サイズを 200,000と仮定します。

たとえば、ツールがスキャンされていないアイテムをキューに⼊れる場合、キューサイズの制限は 500アイテムに設定されます。スキャンされていないアイテムが 500個を超える場合、500個のアイテムがキューにいっぱいになった後にツールが停⽌します。ツールは停⽌した場所を追跡するために、最後に取得したアイテムの作成⽇を保存します。このツールは、DLPExistingFiles-enddate.tempという名前の<storage zones controllerinstallation location>\SCの⼀時ファイルに⽇付を保存します。

各実⾏の前に、ツールはこのファイルを探します。ファイルが存在する場合、ツールはファイルの次のバッチのマーカーとして作成⽇を使⽤します。ツールは、特定の操作の完了時に⼀時ファイルを削除しません。代わりに、ゾーン管理者は、特定の操作のすべてのバッチが完了したら、ファイルを削除できます。この状況により、完全な操作が完了すると、別の操作を実⾏する前に、⼀時ファイル (存在する場合)を⼿動で削除する必要があります。

PsExecを使⽤してツールを実⾏する

コマンドウィンドウを開き、次のコマンドを使⽤して PsExecを実⾏します。

1 PsExec.exe -i -u ”nt authority\network service”23 ”C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe”

これにより、ネットワークサービスとして実⾏されている PowerShellが開きます。実際にネットワークサービスとして実⾏されていることを確認するには、whoamiを実⾏して結果を確認します。

PowerShellが開いたら、そこでツールを直接実⾏して、必要なタスクを実⾏します。

1 <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

コマンドラインオプション

ツールの実⾏には、次のオプションを使⽤できます。

• -runscan (必須): このオプションは、スキャンのためにキューに⼊れるファイルの種類を指定するために使⽤します。サブオプション:

– [スキャンなし]: スキャンされていないファイル。たとえば、スキャンされなかった DLP以前のファイルなどです。



– ScannedOK:クリーンとしてマークされたファイルをスキャンします。– スキャン拒否済み: スキャンされたファイルが、クリーンでないとマークされています。– [スキャン]: スキャンされたすべてのファイル。

• -queueLimit (オプション): このオプションは、ツールが停⽌する前にキュー内で許可されるアイテムの数を指定するために使⽤します。

• -date (オプション): スキャンのためにキューに⼊れられるアイテムの最⼤作成⽇。例えば、⽇付が「2017年10⽉ 30⽇ 11:30 AM」と指定されている場合、この⽇付/時刻より前に作成されたファイルのみがスキャンのためにキューに⼊れられます。

例:

すべての例については、PsExecを使⽤してネットワークサービスとして PowerShellを開きます。⼿順については、この資料の前の⼿順を参照してください。

ゾーン内のスキャンされていないアイテムをキューに⼊れるには、次のコマンドを実⾏します。

1 <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

キュー制限が 100のゾーン内のすべてのスキャン済みアイテムをキューに⼊れるには、次のコマンドを実⾏します。

1 <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

2017年 10⽉ 30⽇の午前 11時 30分までに作成されたすべてのスキャン済みアイテムを、次の特性でキューに⼊れるには、キュー制限が 200のゾーンでクリーンとしてマークするには、次のコマンドを実⾏します。

1 <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date ”10/30/2017 11:30 AM”

モニター

December 12, 2019

ストレージゾーン Controllerと ShareFile管理者インタフェースには、ストレージゾーン Controllerアクティビティを監視し、問題のトラブルシューティングに役⽴ついくつかのリソースが含まれています。

• 全般的なコンポーネントステータス—ストレージゾーン Controllerコンソールの [Monitoring]タブには、トラブルシューティングプロセスを開始するためのコンポーネントのステータスが表⽰されます。ステータスは、アクセス許可、サービスステータス、および ShareFileコントロールプレーンへのストレージゾーンControllerアウトバウンド接続を⽰すハートビートのステータスなどの項⽬に対して提供されます。



ストレージゾーン Controller は、ShareFile Web アプリケーションに 5 分ごとに更新を送信します。ShareFile Webアプリケーションが 10分以内に更新を受信しない場合、ストレージゾーン Controllerはオフラインとしてマークされます。

[Monitoring]タブの⾚⾊で表⽰されている項⽬については、ログファイルで詳細情報を確認してください。

［Monitoring］タブには、ShareFileコントロールプレーンが外部ストレージゾーンの URLに到達できるかどうか、クライアントがゾーンに到達できるかどうかなど、ストレージゾーンが接続⾯で機能しているかどうかは表⽰されません。

• ストレージゾーン Controllerサーバー情報—サーバーのストレージ使⽤状況、ネットワーク使⽤状況、ファイルアクティビティについて詳しくは、ShareFileインターフェースから ShareFile Enterprise eアカウントにログオンし、「管理」>「StorageZones」の順に選択し、ストレージゾーンをクリックして、ストレージゾーン Controllerホスト名。

• ゾーン情報 — ゾーンのストレージ使⽤状況、ネットワーク使⽤状況、およびファイルアクティビティについては、ShareFileインターフェイスから ShareFile Enterprise eアカウントにログオンし、[管理] >[StorageZones ]の順に選択し、ゾーン名をクリックします。

• ストレージゾーン Controller健全性ステータス— ShareFile.comがゾーンに参加しているストレージゾーンコントローラーからハートビートメッセージを受信しているかどうかを判断するには、健全性ステータスを表⽰します。ShareFileインターフェイスから、ShareFile Enterpriseアカウントにログオンし、管理>StorageZonesで、[健全性]列に緑のチェックマークが表⽰されていることを確認し、サイト名をクリックして、ストレージゾーン Controllerが応答していることをハートビートメッセージで⽰していることを確認します。

• ログファイル—ログファイルは、次のセクションで説明するように、ストレージゾーンの Controller構成とそのコンポーネントに関する詳細情報を提供します。

ログファイル

ストレージゾーン Controller 次のログファイルは、デフォルトでC:\inetpub\wwwroot\Citrix\StorageCenter\SC\logsにあります。

ログファイル名次のログ情報が含まれます。

cfgsrv-%date%.txt ストレージゾーン Controller構成アクション (既存のストレージゾーン構成の変更、新しいストレージゾーンの作成、既存のプライマリストレージゾーンコントローラへの新しいストレージゾーンコントローラの結合など)

sc-%date%.txt 標準ゾーンの ShareFileデータのアップロードとダウンロードのアクティビティ



ログファイル名次のログ情報が含まれます。

CIFS-%date%.txt ネットワークファイル共有のアップロードおよびダウンロードアクティビティ⽤のストレージゾーンコネクタ

sharepoint-%date%.txt SharePointのアップロードおよびダウンロードアクティビティ⽤のストレージゾーンコネクタ

cloudstorageuploader-%date%.txt クラウドストレージアップローダーサービス（サポートされているサードパーティーストレージシステムへ）

copy-%date%.txt ShareFileコピーサービス

delete–%date%.txt ShareFileクリーンアップサービス（永続ストレージキャッシュ⽤）

s3uploader–%date%.txt ShareFile管理サービス。ハートビートステータスメッセージを含む

拡張ログは、次の各コンポーネントで使⽤できます。これは、サポートする詳細情報を提供する必要がある場合に便利です。

コンポーネント AppSettingsRelease.configの場所

ShareFileデータ C:\inetpub\wwwroot\Citrix\StorageCenter

ネットワークファイル共有⽤のストレージゾーンコネクタ

C:\inetpub\wwwroot\Citrix\StorageCenter\cifs

ストレージゾーンコネクタ C:\inetpub\wwwroot\Citrix\StorageCenter\sp

拡張ログを有効にするには

次の⼿順では、すべてのストレージゾーンの Controllerコンポーネントとサービスに対して拡張ログを有効にします。

1. 記憶域ゾーン Controllerサーバーで、IISを開きます。2. [既定のWebサイト]に移動し、[アプリケーション設定]を開きます。3. 有効拡張ロギングの値を 0から 1に変更します。4. Citrix ShareFile管理サービスを再起動します。5. 問題を解決した後、拡張ログをクリアして、ログの量を減らすことをお勧めします。

特定のコンポーネントの拡張ログを有効にするには、AppSettingsRelease.config ファイルを編集します。



<add key=”enable-extended-logging”value=”0”/>の値を 0から 1に変更します。

また、IISログをチェックして、トラフィックがストレージゾーン Controllerに到達しているかどうかを判断することもできます。IISログには、すべての受信要求が表⽰されます。ストレージゾーン Controllerの IISログはc:\inetpub\logs\LogFiles\W3SVC1. にあります。

拡張 IISロギングを有効にするには、http://support.microsoft.com/kb/313437を参照してください。

アップロードのレイテンシのテスト

記憶域ゾーン Controllerには、潜在的な待ち時間の問題のトラブルシューティングに役⽴つWebページが含まれています。このページには、指定したファイルのアップロードの経過時間とレートが表⽰されます。時間とレートの値は、ストレージゾーンへのアップロード Controllerおよびストレージキャッシュへのアップロードに対して提供されます。テストでは、ファイルのメタデータをアップロードしたり、アップロードされたファイルを変更したりしません。

この機能はデフォルトでオフになっています。有効にするには、キー<add key=”EnableTestUploadPage”value=”1”/>を C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.configに追加します。

このページを開くには、https://externalFQDN/UploadTest.aspxに移動します。externalFQDNは、ストレージゾーン Controller完全修飾ドメイン名です。ダウンロードするファイルを指定すると、時間とレートのデータが表⽰されます。データの解釈にサポートが必要な場合は、サポート担当者に連絡してください。

ストレージゾーンで HTTPコールアウトを有効にして Citrix ADCを使⽤している場合、アップロードテストページへのトラフィックはブロックされます。内部ネットワークからレイテンシーテストを実⾏し、外部ゾーンアドレスの代わりにストレージゾーンの Controllerサーバーアドレスを使⽤して Citrix ADCをバイパスすることをお勧めします。

インストールと構成のトラブルシューティング

発⾏説明と解決策

ストレージゾーン Controllerの構成中に「HTTPエラー 404-ファイルまたはディレクトリが⾒つかりません」と表⽰される

このメッセージは、通常、IISまたはASP.NETに問題がある場合に発⽣します。WindowsインストールでIISの役割が有効になっていること、および IISでASP.NET機能が有効になっていることを確認します。

ストレージゾーン Controllerでローカルホストを参照すると、「HTTPエラー 404.2-⾒つかりません」と表⽰される

このメッセージは、ASP.NETの ISAPIおよび CGIの制限が [許可]に設定されていないことを⽰します。





アップロードの試⾏後に「HTTPエラー 413 —リクエストエンティティが⼤きすぎます」と表⽰される

このメッセージは、ストレージゾーンへのアップロードに失敗した後でネットワークトレースに表⽰され、IISのクライアント証明書の設定が原因である可能性があります。この問題を回避するには、記憶域ゾーンControllerサーバーで IISを開きます。[既定のWebサイト]に移動し、[SSL設定]を開きます。[クライアント証明書]で、[無視]を選択します。CitrixShareFile管理サービスを再起動します。

ストレージゾーン Controllerの構成中に IISエラーが発⽣する

IISエラーは通常、ASP.NETが完全に設定されていないことを⽰します。IISマネージャの [ISAPIおよびCGIの制限]で、すべてのASP.NET⼀覧で [制限]が[許可]に設定されていることを確認します。ASP.NETが IISに登録されていることを確認します。IISマネージャーの [アプリケーションプール]で、ASP.NET⼀覧が表⽰されていることを確認します。⼿動でASP.NETを登録するには、次の表に続くコマンドラインを参照してください。問題が解決しない場合は、IISとASP.NETセットアップを確認してください。

ストレージゾーン Controllerの構成中に「ストレージセンターのバインドを保存できませんでした」と表⽰される

メッセージは、IISアカウントプールユーザーのアクセス許可の問題を⽰しています。既定では、アプリケーションプールはネットワークサービスユーザーアカウントで動作します。記憶域ゾーン Controllerは、既定でネットワークサービスアカウントを使⽤します。Network Serviceアカウントの代わりに名前付きユーザーアカウントを使⽤する場合、名前付きユーザーアカウントは、プライベートデータ記憶域に使⽤されるネットワーク共有へのフルアクセス権を持っている必要があります。

ゾーン構成中に「アクセスが拒否されました」と表⽰される

このメッセージは、ログオンしている ShareFileアカウントにゾーンを作成および管理する権限がない場合に発⽣することがあります。ShareFile管理者コンソールを使⽤して、その権限を設定します。




アウトバウンド要求がブロックされるアウトバウンド要求がブロックされると、cfgsrvログに System.Net.WebExceptionが含まれます。リモートサーバーがエラーを返しました:(403)許可されていません。この問題は、プロキシサーバーが送信要求をブロックしていることが原因である可能性があります。ファイアウォールが、ストレージゾーン Controllerシステム要件を満たしていることを確認します。

ストレージゾーン Controllerにログオンすると、「リモートサーバーに接続できません」と表⽰される

このメッセージは、通常、プロキシの問題を⽰しています。プロキシ設定が構成されていることを確認します。プロキシ設定が正しい場合は、ストレージゾーンControllerから ShareFileアカウントにログインできることを確認します。ストレージゾーン Controllerを構成するための管理者レベルのアクセス許可があり、ポート 443が外部ファイアウォールで開いていることを確認します。

共有ファイルデータの記憶域ゾーンを有効にして構成した後、ネットワーク共有上の ShareFileStorageという名前のフォルダーに SCKeys.txtが含まれていません。

ストレージゾーン Controllerは、ストレージゾーンのインストールに使⽤したアカウントがアクセス制御リストにない限り、インストール中に SCKeys.txtを作成します。アクセス制御リストを更新し、ストレージゾーン Controllerを再インストールします。

ゾーンを作成した後、共有フォルダーへのファイルのアップロードが失敗する

この問題は、内部 DNSに問題があることを⽰しています。ストレージゾーン Controllerの FQDNには、内部および外部 DNSレコードの両⽅が必要です。




[モニタリング]タブの [ハートビートステータス]が⾚⾊です。

⾚いアイコンは、ストレージゾーン ControllerがShareFileウェブサイトにハートビートメッセージを送信できないことを⽰します。他のコンポーネントのアイコンが⾚⾊であるかどうかを確認します。その場合は、ログを参照して詳細を確認してください。s3uploaderログにハートビートの送信に失敗した場合、ストレージゾーンの Controllerサーバーは、プロキシサーバーを通過しない限り ShareFile Webサイトにアクセスできないことがあります。ストレージゾーンコントローラ⽤のプロキシサーバーを指定するには、コントローラコンソールを開き、[ネットワーク]タブに移動します。ストレージゾーン Controllerサーバーがネットワークサービスユーザーを使⽤してShareFileウェブサイトにアクセスできない場合は、ネットワークサービスユーザーに ShareFileウェブサイトへのアクセスを許可するか、プロキシサーバーへのアウトバウンドアクセスを許可するWindowsユーザーアカウントを設定します。




ShareFile管理者インタフェースにストレージ・ゾーンが表⽰されない

この問題は、外部アドレスまたはファイアウォールに問題があることを⽰している可能性があります。まず、ストレージゾーンの Controllerコンソールで、外部アドレスにポートが含まれていないことを確認します。接続されている場合は、ポートを取り外し、Controllerを再起動します。外部アドレスにポートが含まれていない場合は、Windowsファイアウォールが正しく構成されていることを確認します。デフォルトでは、Windowsファイアウォール設定では、ポート 443上の ShareFileサービスのアウトバウンドトラフィックが許可されます。ストレージゾーンControllerでは、その設定が必要です。Windowsファイアウォールが、ポート 443で次のプロセスに対してアウトバウンドトラフィックを許可することを確認します。C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc\FileDeleteService.exe,C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCopySvc\FileCopyService.exe,C:\inetpub\wwwroot\Citrix\StorageCenter\s3uploader\S3UploaderService.exe,C:\inetpub\wwwroot\Citrix\StorageCenter\CloudStorageUploaderSvc\CloudStorageUploaderService.exe,C:\inetpub\wwwroot\Citrix\StorageCenter\SCProxyEmailSvc\ProxyEmailService.exe




ストレージゾーン Controllerが ShareFileにデータをアップロードしない

Citrix ADCコンソールで、統計情報の負荷分散仮想サーバーを右クリックし、トラフィックが ShareFileコントロールプレーン、ストレージゾーン Controller、および ShareFileクライアントから Citrix ADCに到達しているかどうかを確認します。ファイルをアップロードし、仮想サーバーでヒット数が増加すると、トラフィックは Citrix ADCを通過します。Citrix ADC接続のすべてのポイントのトラフィックを確認します。コンテンツスイッチング仮想サーバー、コネクタおよび ShareFileデータの負荷分散仮想サーバー、2つの仮想サーバーの 1つにバインドされた HTTPコールアウト、ShareFileデータ仮想サーバーにバインドされたレスポンダーポリシー、コネクタ仮想サーバーCitrix ADC AAAへのバインディング。次に、ShareFileデータの負荷分散仮想サーバーでレスポンダーポリシーをバインド解除して、ShareFileデータのアップロードをテストします。（レスポンダーポリシーは、ShareFileコントロールプレーンによって署名されていない着信トラフィックをドロップします。Webブラウザで、ストレージゾーン Controllerの外部 FQDNを⼊⼒します。接続がある場合は、ShareFileロゴが表⽰されます。Webブラウザで、コネクタの URLを⼊⼒します。次の URLがストレージゾーンコネクタのアクセシビリティのテストに成功すると、バックエンドサーバーがダウンしている場合でも資格情報の⼊⼒を求められます。または、ユーザーとしてログオンしている場合は、API応答を取得します。https://szc-address/cifs/v3/Items/ByPath?path=\\path,https://szc-address/sp/v3/Items/ByPath?path=http://sharepoint-server. APIレスポンスの形式は次のとおりです。{“Name”:”connectorName”,“FileName”:”FileName”,“CreationDate”:”date”,“ProgenyEditDate”:”date”,“IsHidden”:false,“Path”:”“,”StreamID”:”id”,“odata.metadata”:”https://szc-address/cifs/v3/$metadata##Items/ShareFile.Api.Models.Folder@Element”,“Id”:”id”}.その他の例:https://szc-address/cifs/v3/getItems(itemID)、https://szc-address/sp/v3/getItems(itemID). iOSの場合:https://szc-address/cifs/v3/Items/(connector-folder-ID)?$select=Name,FileName,CreationDate,ProgenyEditDate...。外部ネットワークからデバイスをテストします。デバイス接続の問題は、DNSセットアップが原因で発⽣する可能性があります。外部 DNSレコードが必要です。また、外部記憶域ゾーンFQDN⽤の内部 DNSレコードが必要になる場合もあります。特定のデバイスのみに問題がある場合は、そのデバイスをテストします。




ストレージゾーン Controllerをアップグレードした後、ファイルクリーンアップサービスからのShareFile接続のステータスが⾚いアイコンです。

記憶域ゾーン Controllerがネットワーク接続を確⽴する前に、Windowsがファイルクリーンアップサービスを開始すると、⾚いアイコンが表⽰されます。Controllerサーバーがネットワークに戻ると、ステータスは緑⾊のアイコンに戻ります。

コネクタの作成中に「パスが最⼤⻑ (1024)を超えています」と表⽰される

このメッセージは、ストレージゾーンコントローラ⽤に構成された外部アドレスが、ストレージゾーンコントローラサーバ FQDNではなく ShareFile Webサイトを指している場合に発⽣することがあります。

古いストレージゾーンコントローラを削除した後に新しいストレージゾーン Controllerを構成すると、「無効な名前」と表⽰されます。

このメッセージは、古いストレージゾーン Controllerに関連するエンティティがまだ存在する場合に発⽣することがあります。この問題を解決するには、新しいストレージゾーン Controllerアンインストールします。共有ネットワークフォルダを削除します。フォルダ c:\inetpub\wwwroot\Citrix. を削除します。regeditを開き、キーHKEY_LOCAL_MACHINE/ソフトウェア/Wow6432Note/Citrixを削除します。新しいストレージゾーン Controllerをインストールして構成します。問題が解決しない場合は、サポート担当者にお問い合わせください。このメッセージは、ストレージゾーンサーバーが DNSまたはローカルホストファイルを使⽤してストレージゾーンの FQDNを解決できない場合に表⽰されます。

ASP.NETを⼿動で登録するには

1 cd /d C:\Windows\Microsoft.NET\Framework\v4.0.303192 iisreset /stop3 aspnet_regiis -i4 iisreset /start5 %systemroot%\system32\inetsrv\appcmd set config /section:

isapiCgiRestriction6 /[path=’%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_isapi.dll’].

allowed:True7 %systemroot%\system32\inetsrv\appcmd set config /section:

isapiCgiRestriction8 /[path=’%windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_isapi.dll’

].allowed:True



ShareFileクライアントとWebアプリケーションのトラブルシューティング

モバイルデバイスがコネクタに接続されない場合は、接続を確認します。上記の表では、接続に関する問題の多くについて説明しています。ストレージゾーン Controllerがオンラインであることを確認します。ゾーンにファイルをアップロードします。アップロードが機能する場合、問題はコネクタに固有のものです。携帯ネットワークと企業ネットワークの両⽅を使⽤して、モバイルデバイスから接続してみてください。SharePointサーバーまたはファイルサーバーが使⽤可能であることを確認します。

コネクタにアクセスしようとしたときに「HTTPエラー 401 —権限がありません」と表⽰される場合は、ユーザーがShareFileクライアントまたは ShareFileWebアプリケーションからコネクタにアクセスできないようにする次のような問題がある可能性があります。

• IISの構成が正しくない:Webサービス (IIS)の役割で基本認証とWindows認証が有効になっていることを確認します。これらのオプションが [セキュリティ]に表⽰されていない場合は、サーバーマネージャーを使⽤してインストールし、IISを再起動します。

• 不正なユーザー権限:ADユーザーが共有にアクセスできることを確認します。サーバーマネージャーから、[共有と記憶域の管理]に移動し、必要に応じてユーザーを追加するか、ユーザーのアクセス許可を変更します。

• Citrix ADC認証、承認、およびグループアクセスの監査に関する問題。トラブルシューティング情報については、「CTX126589」を参照してください。

SharePointサイトに接続するときに「HTTPエラー 403—禁⽌」と表⽰された場合、SharePointサーバーは基本認証⽤に構成されている可能性がありますが、資格情報をキャッシュするように記憶域ゾーン Controllerが構成されていない可能性があります。この問題を解決するには、C:\inetpub\wwwroot\Citrix\StorageCenter\sp\AppSettingsRelease.configに<add key=”CacheCredentials”value=”1”/>を追加します。

モバイルアプリがコネクタにアクセスしようとしたときに「HTTPエラー 503 —サービスが利⽤できません」と表⽰された場合、コネクタは応答を送信していますが、HTTP要求を処理できません。これは、コンテンツ切り替えポリシー、負荷分散 VIP、またはレスポンダーポリシーが Citrix ADC上で正しく構成またはバインドされていない場合に発⽣します。この問題を解決するには、ShareFile⽤の Citrix ADC構成を確認し、構成を修正します。

制限されたストレージゾーン

December 12, 2019

制限されたストレージゾーンは、機密データを保護するために利⽤されます。制限付きストレージにアクセスできるのは従業員だけです。

サードパーティのユーザー認証は、制限付きゾーンではサポートされていません。




注：

制限されたストレージゾーンは、メンテナンス終了です。このライフサイクルポリシーについては、「ライフサイクルマイルストーンの定義」で詳しく説明します。新しい制限付きストレージゾーンの作成はサポートされていません。制限付きストレージゾーンを利⽤している既存のお客様は、今後の製品マイルストーンについてさらに通知を受けることができます。

制限ゾーン機能

ゾーン認証： ShareFileへのログオンに加えて、ユーザーは制限ゾーンに保存されたドキュメントにアクセスするために、ストレージゾーン Controllerに対して個別に認証する必要があります。ディレクトリ検索により、ShareFileにログオンしているユーザーがゾーンに対して認証しているユーザーと同じものであることが保証されます。この追加の認証要件は、共有を制限します。ドキュメントは、ストレージゾーン Controllerへのアクセス権を持ち、エンタープライズ認証情報を使⽤して認証できる他のユーザーとのみ共有できます。制限付きゾーンでは、ファイルを匿名で共有することはできません。ユーザーにはファイルを表⽰するアクセス許可が付与され、共有ファイルを受け取るには常にログオンする必要があります。

メタデータの暗号化：ゾーン内のファイルとフォルダに関するすべての情報は、ShareFileに送信される前に鍵で暗号化されます。その結果、組織外の誰も制限付きゾーン内のフォルダ名やファイル名を表⽰できません。暗号化キー、復号化されたファイル、およびメタデータへのアクセスは、ストレージゾーン Controllerへのエンタープライズ認証を通じてのみ使⽤できます。

ストレージゾーン Controllerの内部アドレス：制限ゾーンの場合、ストレージゾーンコントローラと ShareFileクラウド間ではなく、ストレージゾーンコントローラと ShareFileクライアント間で認証が⾏われます。その結果、制限付きゾーンをホストするストレージゾーン Controllerは、外部アドレスまたは外部 SSL証明書を必要としません。ストレージゾーン Controllerが内部専⽤アドレスで構成されている場合、ユーザーは会社のネットワークまたは VPNに接続して、制限ゾーン内のドキュメントにアクセスする必要があります。

メールサーバーからのメール通知：制限ゾーン内の共有ファイルやフォルダーに関するメール通知をユーザーが受信すると、メールは ShareFileサーバーではなく内部メールサーバーから送信されます。

標準ゾーンと制限ゾーンの違い

[プロパティ] 標準ゾーン制限区域

ストレージ・ゾーン・サーバは、次の⽅法で管理できます。

Citrixまたはあなたあなた

ユーザー認証は、によって処理されます…

ShareFile.comまたはShareFile.eu

ShareFile.comまたはShareFile.euとオンプレミスのストレージゾーン Controllerの組み合わせ


https://www.citrix.com/support/product-lifecycle/milestones/

https://www.citrix.com/support/product-lifecycle/milestones/



ファイルを共有できます… 従業員および第三者のユーザー（つまり、電⼦メールアドレスを持つすべてのユーザー）

従業員またはドメインアカウントを持つ他のユーザー

ShareFileコントロールプレーンに格納されているファイルとフォルダのメタデータは…

クリアテキストで保存され、⼀部の Citrix社員が閲覧可能

Citrixでは利⽤できないプライベートキーで暗号化されています。

電⼦メール通知は、次の⽅法で送信されます…

ShareFileメールサーバーまたはSMTPサーバー

SMTPサーバー

ゾーンの外部アドレスは… required 不要

標準および制限付きストレージゾーン

ストレージゾーンは、標準または制限付きとして指定できます。

• 標準ストレージゾーンは、機密性の⾼いデータを対象としており、従業員が⾮従業員とデータを共有できるようにします。

• 制限付きストレージゾーンは機密データを保護します:従業員のみがゾーンに格納されているデータにアクセスできます。

次の表は、標準ゾーンと制限ゾーンの違いをまとめたものです。


ストレージ・ゾーン・サーバは、次の⽅法で管理できます。

Citrixまたはあなたあなた

ユーザー認証は、によって処理されます…

ShareFile.comまたはShareFile.eu

ShareFile.comまたはShareFile.euとオンプレミスのストレージゾーン Controllerの組み合わせ

ファイルを共有できます… 従業員および第三者のユーザー（つまり、電⼦メールアドレスを持つすべてのユーザー）

従業員またはドメインアカウントを持つ他のユーザー

ShareFileコントロールプレーンに格納されているファイルとフォルダのメタデータは…

クリアテキストで保存され、⼀部の Citrix社員が閲覧可能

Citrixでは利⽤できないプライベートキーで暗号化されています。

電⼦メール通知は、次の⽅法で送信されます…

ShareFileメールサーバーまたはSMTPサーバー

SMTPサーバー




ゾーンの外部アドレスは… required 不要

Citrixが管理するゾーンでは、ShareFileクラウドは従業員認証を除くすべての操作を実⾏します。従業員認証はストレージゾーン Controllerによって処理されます。

標準ゾーンでは、Webサイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルメタデータ、アップロードとダウンロードの承認、電⼦メール通知 (SMTP)、サードパーティのユーザー認証、およびフォルダ権限がクラウドで処理されます。従業員の認証とファイルの保管と暗号化は、Controllerによって処理されます。

制限ゾーンでは、Webサイトのメンテナンスと更新、クライアントとアプリケーションの更新、およびフォルダーのアクセス許可がクラウドで処理されます。従業員の認証、ファイルの保管と暗号化、ファイルのメタデータ、アップロードとダウンロードの承認、電⼦メール通知 (SMTP)は、Controllerによって処理されます。サードパーティのユーザー認証は、制限付きゾーンではサポートされていません。

ShareFileは、1つのアカウント内で標準ゾーンと制限ゾーンを混在させることができます。独⾃の認証要件を持つ複数の制限付きゾーンを作成できます。たとえば、ドメイン Aのユーザーがドメイン Bのユーザーとファイルを共有できないようにするには、ドメインごとに個別の制限ゾーンをインストールします。

このセクションの残りの部分では、ShareFileの管理対象ゾーン、標準ゾーン、制限ゾーンのワークフローについて説明します。

制限付きストレージゾーンの概念実証導⼊

制限ゾーン⽤に構成されたストレージゾーン Controllerは、ShareFileクラウドからのインバウンド接続を受け⼊れる必要はありません。内部アドレスで設定できます。次の図は、ユーザーデバイス、ShareFileクラウド、ストレージゾーン Controller間のトラフィックフローを⽰しています。

このシナリオでは、1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーン Controllerは、アクセスを制御するために、ファイアウォールの内側にあります。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート 443で SSLプロトコルを使⽤してこの接続を確⽴する必要があります。この接続をサポートするには、ファイアウォールでポート 443を開き、ストレージゾーンControllerの IISサービスに SSL証明書 (プライベートにできる)をインストールする必要があります。

制限付きゾーンの場合、ストレージゾーン Controllerは ShareFileからではなく、ローカル SMTPサーバから電⼦メール通知を送信します。

制限付きゾーンの⾼可⽤性展開

制限ゾーン⽤に構成されたストレージゾーンコントローラーは、ShareFileクラウドからのインバウンド接続を受け⼊れる必要はありません。各コントローラーは内部アドレスで設定できます。次の図は、制限付きゾーンの⾼可⽤性展開を⽰しています。



このシナリオでは、1つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間にあります。ストレージゾーンコントローラは、アクセスを制御するためにファイアウォール内に存在します。ShareFileへのユーザー接続は、ファイアウォールを通過し、ポート 443で SSLプロトコルを使⽤してこの接続を確⽴する必要があります。この接続をサポートするには、ファイアウォールでポート 443を開き、ストレージゾーン Controllerの IISサービスに SSL証明書 (プライベートにできる)をインストールする必要があります。


制限区域

次の表は、ユーザーが ShareFileにログオンし、制限ゾーンからドキュメントをダウンロードしたときに発⽣するネットワーク接続を⽰しています。すべての接続で HTTPSが使⽤されます。



2. ADFSを使⽤している場合は、SAML IdPログオンにリダイレクトします。



クライアント szc.company.com

4. ファイルのダウンロード認証と暗号化されたメタデータの取得

szc.company.com company.sharefile.com

5ファイルのダウンロードクライアント szc.company.com

制限付きストレージゾーンの展開

次の図は、制限付きゾーンの⾼可⽤性展開を⽰しています。


制限付きゾーンのネットワーク接続

次の図と表は、ユーザーが ShareFileにログオンし、制限ゾーンにドキュメントをアップロードするときに発⽣するネットワーク接続を⽰しています。この場合、アカウントは SAMLログオンに Active Directoryフェデレーションサービス (ADFS)を使⽤します。認証トラフィックは、信頼されたネットワーク上の ADFSサーバーと通信するADFSプロキシサーバーによって処理されます。




1. ShareFileクライアントまたはブラウザが接続を開く

クライアント company.sharefile.comまたはcompany.sharefile.eu

HTTPS



HTTPS

3. ShareFileがユーザーをストレージ・ゾーン・Controllerにリダイレクトする

クライアント company.sharefile.comまたはcompany.sharefile.eu

HTTPS

4. クライアントがWindows認証情報をストレージゾーンControllerに送信する

クライアントストレージゾーンController

HTTPS

5ストレージゾーンControllerが認証情報を検証し、クライアントアクセスを許可する


ドメイン Controller Kerberos

6. クライアントがストレージゾーン Controllerにファイルをアップロードする

クライアントストレージゾーンController

HTTPS

7. 制限ゾーンのストレージ・リポジトリにファイルが書き込まれる


ローカルストレージ CIFS

8. ストレージゾーンControllerは、ファイルのメタデータを暗号化し、ShareFileに送信します


company.sharefile.comまたはcompany.sharefile.eu

HTTPS

制限付きストレージゾーンの場合:

• 内部または外部のホスト名を使⽤します。

• ShareFileとの通信に SSLを有効にします。



内部ホスト名を使⽤する場合は、プライベート証明書を使⽤できます。証明書は、ユーザーデバイスによって信頼されている必要があります。

外部ホスト名を使⽤する場合、ストレージゾーン Controller上の SSL証明書は、ユーザーデバイスおよびShareFile Webサーバーによって信頼されている必要があります。

• ストレージゾーン Controllerから次のいずれかのサービスバス URIへのアウトバウンド HTTPアクセスを提供します。

– ShareFile.comアカウント: sf-zk-email-use.servicebus.windows.net– ShareFile.euアカウント: sf-zk-email-euw.servicebus.windows.net

ネットワークの依存関係をネットワークチームと調整してください。

制限付きストレージ・ゾーンのクライアント要件

ShareFile Webアプリケーションは、次のWebブラウザからの制限付きストレージゾーンをサポートしています。

• Internet Explorer 11

ShareFile Webアプリケーションから制限ゾーン内のフォルダおよびコネクタへのアクセスを有効にするには：

1. Internet Explorerを開き、[インターネットオプション]に移動し、[セキュリティ]タブをクリックし、[信頼済みサイト]をクリックします。

2. [ Sites ]をクリックし、サブドメインと外部ストレージゾーンの Controllerアドレスを追加します。3. [閉じる]をクリックし、[レベルのカスタマイズ]をクリックします。4. [その他] > [ドメイン間でデータソースにアクセス]で、[有効]を選択します。5. [ユーザー認証] > [ログオン]で、[ユーザー名とパスワードを要求する]を選択します。

• Chrome

• Firefoxの

• Safari

• Secure Web

制限付きストレージゾーンをサポートするには、ShareFileクライアントを以下のバージョン以降にアップグレードする必要があります。

• ShareFile Sync for Windows 3.1• ShareFile Outlookプラグイン 3.2.2• ShareFile for iOS 3.3• ShareFile for Android 3.4• ShareFile for Windows Phone 2.3.10



これらの ShareFileクライアントとツールは、この記事の公開⽇現在、制限されたストレージゾーンでの使⽤はサポートされていません。

注：ShareFileクライアント機能の最新情報については、ShareFileサポートサイトを参照するか、ShareFileサポート担当者にお問い合わせください。

• ShareFile Desktop Sync for Windows 3.1および ShareFile Outlook Plug-inのオフドメイン使⽤

クライアントは、ストレージゾーン Controllerサーバーと同じ Active Directoryフォレスト内にあるドメインに参加しているWindowsデスクトップ上に存在する必要があります。クライアントは、制限付きゾーンへのサイレント認証に NTLMまたは Kerberosを使⽤できます。

• On-Demand Sync for Windows

• Sync for Mac

• ShareFile Enterprise Sync Manager

• Secure Mail for iOS

• ShareFile Desktopウィジェット

• ShareFile for BlackBerry

• ShareFile

制限付きストレージゾーンでは、次の代替アカウントアクセス⽅法はサポートされていません。

• FTP• PowerShell• ShareFileコマンド・ライン・インタフェース（SFCLI）• HTTPS API (V1)• WebDav• SMTP

重要事項

ShareFileは正式にサポートしておらず、DFSレプリケーションの使⽤を推奨していません。これは、⼤きなファイルに対してロックの失敗を引き起こすことが知られています。DFSレプリケーションを使⽤する必要がある場合は、ゾーンがアクティブに使⽤されていないピーク時間帯に個別のバックアップソリューションを使⽤します。

制限付きストレージゾーンのアップグレード

StorageZones Controllerを最新バージョンにアップグレードしても、そのコントローラは引き続き標準ゾーンを使⽤します。標準ゾーンを制限ゾーンにアップグレードすることはできません。

標準ゾーンを制限ゾーンに置き換えるには、新しいストレージゾーン Controllerーをインストールし、制限ゾーンを構成する必要があります。


http://www.sharefile.com/support/


制限ゾーンまたはコネクタへのWebアクセスをサポートするには、ウィザードの完了後に追加の Citrix ADC構成を実⾏する必要があります。この構成により、ShareFileクライアントが信頼される ShareFileドメインにログオンしたときにのみ資格情報を送信するようにします。コネクタへのWebアクセスをサポートするには、/cifsおよび /spへのトラフィックに使⽤されるコンテンツ切り替えポリシーにパス (/ProxyService)を追加します。

制限付きゾーンの追加情報

制限付きストレージゾーンのサポートは、ShareFileサービスのすべての側⾯に影響します。メタデータの暗号化とゾーン認証をサポートするために必要なプロトコルの変更により、⼀部の ShareFileクライアントおよび機能は制限付きストレージゾーン内のドキュメントを操作する際にサポートされません。

[内容]

• クライアントとツール• ブラウザ• 特徴• Sync for Windows• モバイルアプリ• Outlookプラグイン

クライアントとツール

Sync for Windows 3.1以降

Microsoft Outlookのプラグイン 3.2.2以降

On-Demand Sync for Windows 未サポート

Drive Mapper 3.01.171.0以降

ShareFile for iOS 3.3 —MDXのみ

ShareFile for Android 3.4以降

ShareFile for Windows Phone 8 2.3.10以降

Sync for Mac 未サポート

ShareFile Desktop 未サポート

XenMobile WorxMail for iOS 未サポート

XenMobile WorxMail for Android サポートされています



ShareFile 未サポート

モバイルサイト未サポート

その他のアカウントアクセス⽅法

PowerShell 未サポート

SFCLI 未サポート

REST API(V3) サポートされています

HTTPS APT(V1) 未サポート

RSZ Test Coverage 未サポート

FTP 未サポート

ファイルをフォルダに電⼦メールで送信する未サポート

.Net SDK サポートされています

ブラウザ

Windows Internet Explorer 11, Firefox (最新バージョン),Chrome (最新バージョン)

macOS Safari (最新バージョン), Firefox (最新バージョン),Chrome (最新バージョン)

iOS Safari, Secure Web

Android Secure Web

特徴

エンドユーザーアクション:ファイルの操作:

ファイルの参照とダウンロードサポートされています

ファイルをアップロード（アップローダータイプ） HTML5: サポートされています;フラッシュ:サポートされていません; Java: サポートされていません;標準HTMLフォーム:サポートされていません



ごみ箱サポートされています

⼀括ダウンロードと削除サポートされています

ファイルボックス表⽰:サポートされている;削除:サポートされている;アップロード:サポートされている;ダウンロード:サポートされていない;ファイルボックスから送信:サポートされていない

ファイルプレビュー (サムネイル) 未サポート

Webブラウザでのドキュメントの表⽰未サポート

ファイルの再アップロード未サポート

ファイルごとに複数のバージョン未サポート

検索制限付きゾーンのアイテムが検索結果に含まれていません

フォルダをお気に⼊りとしてマークする未サポート

ファイルのコピーまたは移動未サポート

フォルダオプションの編集:フォルダの有効期限、ファイル保存ポリシー

サポートされています

共有フォルダのバブリング未サポート

エンドユーザーの操作:共有とコラボレーション:

ファイルを送信する：アップロードを必要とする、ShareFileを訴える電⼦メールを送る、私に私がコピーできるリンクを与える、ログオンするユーザーを要求し、ダウンロード数を制限する


共有ファイルの受信とダウンロードサポートされています

制限付きストレージゾーンに共有フォルダを作成するサポートされています

フォルダへのユーザーの追加:アップロードとダウンロードの権限の制御


ファイルをリクエストするサポートされています

「ShareFileログインを要求する」を有効にしてファイルを要求する

未サポート



メール通知サポートされています

受信トレイ:⾃分に送信されたファイルサポートされています

受信トレイ:送信済みメッセージ表⽰、有効期限、再送および編集：サポート

アクティビティ・ログの表⽰サポートされています

署名を取得する（RightSignature経由）未サポート

管理アクション:

制限ゾーンにユーザーを作成するサポートされています

ユーザーを別のゾーンに移⾏する未サポート

レポート:アクセス監査、使⽤状況レポート、メッセージングレポート、帯域幅レポート、ストレージレポート

HTMLビューア:サポート; Excel/CSV/PDFビューア:暗号化されたメタデータを表⽰

ゾーン管理

ストレージ使⽤率の監視サポートされています

帯域幅の使⽤状況の監視サポートされています

ファイル・アクティビティの監視サポートされています

ファイルをリカバリする未サポート

ファイルを調整する未サポート

ゾーンを削除サポートされています

⾼可⽤性サポートされています

Sync for Windows

最⼩バージョン-3.1

ドメインに参加しているクライアントからの認証(NTLMまたは Kerberos)


ドメイン以外のクライアントからの認証-ユーザーはパスワードの⼊⼒を求められます




制限付きゾーンで「マイファイルとフォルダ」を同期する


制限ゾーンの共有フォルダを同期するサポートされています

アップロード、ダウンロード、同期サポートされています

XenApp環境および XenDesktop ktop環境向けのオンデマンド同期

未サポート

お気に⼊りフォルダを表⽰する制限付きストレージゾーンフォルダでは使⽤できません。

右クリック >リンクをコピーサポートされています

右クリック >電⼦メールファイルサポートされています

モバイルアプリ

以下のアプリケーション固有の表を参照してください。

iOS版-最低バージョン 3.3


コンテンツをオフラインで表⽰サポートされています

フォルダを作成するサポートされています

ファイルの作成または編集サポートされています

写真またはビデオをアップロードするサポートされています

ユーザー名/パスワードによる認証サポートされています

Worxマイクロ VPNによるシングルサインオンサポートされています

共有:リンクをコピーするサポートされています

共有:メールで共有未サポート

フォルダのメモを追加または編集する未サポート

メモの作成または既存のメモの編集未サポート

フォルダへのユーザーの追加または既存のフォルダの権限の編集

未サポート



フォルダをお気に⼊りとしてマーク/アンマークする未サポート

ファイルをリクエストする未サポート

サムネイルプレビュー未サポート

複数項⽬の削除未サポート

フォルダをオフラインで使⽤できるようにするルートレベルの「⾃分と共有」フォルダを除いてサポート

フォルダを共有するルートレベルの「⾃分と共有」フォルダを除いてサポート

制限付きストレージゾーンにコネクタを作成する未サポート

Android-最低バージョン 3.4


コンテンツをオフラインで表⽰サポートされています

ファイルを送信するサポートされています

フォルダを作成するサポートされています

ファイルの作成または編集サポートされています

ファイルのアップロードサポートされています

ユーザー名/パスワードによる認証サポートされています

Worxマイクロ VPNによるシングルサインオンサポートされています

ファイルをリクエストする未サポート

メモの作成未サポート

アップロード後に既存のファイルを上書き未サポート

Outlookプラグイン

ドメインに参加しているクライアントからの認証(NTLMまたは Kerberos)




ドメイン以外のクライアントからの認証-ユーザーはパスワードの⼊⼒を求められます


ShareFileからのファイルの参照と選択サポートされています

「受信者にログインを要求する」を有効にしてShareFileからファイルを参照して選択する

未サポート

添付ファイルを ShareFileリンクに変換サポートされています

「受信者にログインを要求する」を有効にして添付ファイルを ShareFileリンクに変換する

未サポート

ファイルをリクエストするサポートされています

[受信者にログインを要求する]を有効にしてファイルを要求する

未サポート

参照:ストレージゾーン Controller設定ファイル

December 17, 2019

このリファレンスでは、ストレージゾーンの Controller設定ファイルの概要を説明します。

• AppSettingsRelease.config• FileDeleteService.exe.config• SFAntiVirus.exe.config• Web.config

これらのファイルは、ストレージゾーン Controller インストーラによって作成されます。ストレージゾーンControllerコンソールで⾏った変更は、ファイルに保存されます。

特定の機能を使⽤または構成するには、構成ファイルで⼀部の設定を⼿動で追加または更新する必要があります。このリファレンスは、これらの設定をリストし、関連情報へのリンクを提供します。

AppSettingsRelease.config

AppSettingsRelease.configファイルは、ストレージゾーンControllerインストールパス (C:\inetpub\wwwroot\Citrix\)の次のフォルダーに含まれています。

• StorageCenter

ストレージゾーン Controllerグローバル設定を定義します。



• StorageCenter\cifs

ネットワークファイル共有の記憶域ゾーンコネクタの設定を定義します。

• StorageCenter\sp

SharePointの記憶域ゾーンコネクタの設定を定義します。

AppSettingsRelease.configファイルを編集する前に、正しい場所で作業していることを確認してください。

FileDeleteService.exe.config

FileDeleteService.exe.config は、永続ストレージキャッシュを管理するためにストレージゾーン Controllerが使⽤するコントロールを提供します。この設定ファイルは、次の場所にあります。C:\inetpub\wwwroot\Citrix\StorageCenter\SCFileCleanSvc

詳しくは、ストレージキャッシュ操作のカスタマイズを参照してください。

SFAntiVirus.exe.config

SFAntiVirus.exe.configは、ストレージゾーン Controllerの設定、スキャナソフトウェアの場所、およびさまざまなコマンドオプションに関する情報をスキャナソフトウェアに提供します。この設定ファイルは、次の場所にあります。C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus

詳しくは、アップロードされたファイルのウイルス対策スキャンの設定を参照してください。

Web.config

⼀般に、C:\inetpub\wwwroot\Citrix\StorageCenter\ConfigService\Web.configには通常変更すべきではないコントロールが含まれています。ただし、古いストレージゾーンコントローラをプロキシサーバーで使⽤している場合は、更新する必要があります。

StorageZones Controller 2.2〜 2.2.2のみ: ゾーンに複数のストレージゾーンコントローラがあり、すべてのHTTPトラフィックがプロキシサーバを使⽤する場合は、セカンダリサーバごとにバイパスリストをWeb.configに追加する必要があります。

注:リリース 2.2.3以降、バイパス設定はストレージゾーンコントローラコンソールの [Network]ページに含まれています。

1. テキストエディタでファイルを開き、<system.net>セクションを⾒つけます。プロキシサーバーを設定した後のセクションの例を次に⽰します。

1 <system.net>2 <defaultProxy enabled=”true”>3 <proxy proxyaddress=”http://192.0.2.0:3128” />



/ja-jp/storage-zones-controller/5-0/manage-storagezone-controllers/antivirus-scans.html


4 </defaultProxy>5 </system.net>6 </configuration>

2. 次のように、そのセクションにバイパスリストを追加します。

1 <system.net>2 <defaultProxy enabled=”true”>3 <proxy proxyaddress=”http://192.0.2.0:3128” />4 <bypasslist>5 <add address=”primaryServer” />6 </bypasslist>7 </defaultProxy>8 </system.net>9 </configuration>

プライマリサーバーは、IPアドレスまたはホスト名 (サーバー名.サブドメイン.com)のいずれかです。

後でプライマリストレージゾーン Controllerの IPアドレスまたはホスト名を変更する場合は、各セカンダリサーバの ConfigService\ Web.configでその情報を更新する必要があります。



LocationsCorporate Headquarters | 851 Cypress Creek Road Fort Lauderdale, FL 33309, United StatesSilicon Valley | 4988 Great America Parkway Santa Clara, CA 95054, United States

© 2020 Citrix Systems, Inc. All rights reserved. Citrix, the Citrix logo, and other marks appearing herein are property of

Citrix Systems, Inc. and/or one or more of its subsidiaries, andmay be registered with the U.S. Patent and Trademark Office

and in other countries. All other marks are the property of their respective owner(s).

Citrix Product Documentation | docs.citrix.com May 22, 2020

ストレージゾーン Controller5...ストレージゾーンController5.x...

Documents

Transcript of ストレージゾーン Controller5...ストレージゾーンController5.x...