SGD の主要なドメインネームシステム (DNS) 要件を次に示します。
ホストの DNS エントリは、すべてのクライアントで解決可能であることが必要です。
ホストの DNS 検索と逆検索が常に成功する必要があります。
すべてのクライアントデバイスが DNS を使用する必要があります。
SGD サーバーは複数の DNS 名を持つことができます。各 SGD サーバーには、1 つのピア DNS 名と 1 つ以上の外部 DNS 名が割り当てられます。
SGD を構成するときは、完全指定 DNS 名を使用するのが最良の方法です。
ピア DNS 名とは、アレイ内の SGD サーバーが相互に識別するために使用する DNS 名のことです。たとえば、boston.example.com
です。
外部 DNS 名とは、SGD Client が SGD サーバーへの接続に使用する DNS 名のことです。たとえば、www.example.com
です。
上記の 2 種類の DNS 名は、SGD ホスト上の同一ネットワークインタフェースに関連付けることも、それぞれ別のネットワークインタフェースで使用することもできます。これらの DNS 名は、完全修飾 DNS 名である必要があります。
SGD のインストール時に、SGD サーバーの DNS 名の入力を要求されます。これには、ファイアウォールの内側で使用されるピア DNS 名を指定する必要があります。これは、SGD Web サーバーがバインドする DNS 名です。
インストール後、各 SGD サーバーに 1 つ以上の外部 DNS 名を構成できます。外部 DNS 名は、SGD Client が SGD サーバーへの接続時に使用します。デフォルトでは、ピア DNS 名は外部 DNS 名としても使用されます。
ファイアウォールがあるネットワークでは、一部の名前を、インターネット上などファイアウォールの外側で使用できるようにし、他の名前をファイアウォールの内側で使用できるようにすることが必要になる場合もあります。たとえば、ファイアウォールの外側にいるユーザーは、www.example.com
を使用できるようにし、boston.example.com
を使用できないようにします。ファイアウォールの内側にいるユーザーは、どちらの名前も使用できるようにします。
すべての SGD サーバーをファイアウォールの外側で使用可能にする必要はありません。ただし、ユーザーがファイアウォールの内側と外側の両方から SGD サーバーにログインする場合、ファイアウォールの外側からログインした際に一部のアプリケーションを再開できないことがあります。
SGD Gateway を使用する場合、クライアントデバイスは Gateway またはロードバランサの DNS 名を使用するのではなく、直接 SGD に接続します。外部 DNS 名は、Gateway を経由せずにクライアントに直接接続する場合にのみ使用されます。Gateway をインストール、構成、および使用する方法の手順については、『オラクル Secure Global Desktop Gateway 管理者ガイド (リリース 4.7 用)』を参照してください。
外部ハードウェアロードバランサやラウンドロビン DNS などのメカニズムを使用している場合に、ユーザーの接続先となる SGD サーバーを制御するには、これらのメカニズムと連携して動作するように SGD を構成する必要があります (「ユーザーセッションの負荷分散」を参照)。
このセクションの内容は、次のとおりです。
SGD Client は、SGD サーバーに直接接続する場合、SGD サーバーが提供する外部 DNS 名を使用します。実際に使用される DNS 名は、クライアントの IP アドレスをもとに決まります。
SGD Gateway を使用する場合は、SGD Gateway を経由しない、クライアントの直接接続にのみ外部 DNS 名が使用されます。
外部 DNS 名は、クライアント IP アドレスを DNS 名に適合させる 1 つ以上のフィルタを設定することによって設定します。各フィルタの形式は、Client-IP-Pattern
:DNS-Name です。
Client-IP-Pattern
には、次のいずれかを指定できます。
1 つ以上のクライアントデバイスの IP アドレスに合致する正規表現。たとえば、192.168.10.* のように指定します。
1 つ以上のクライアントデバイスの IP アドレスに合致する、ビット数で表現されるサブネットマスク。たとえば、192.168.10.0/22 のように指定します。
SGD サーバーには複数のフィルタを構成できます。SGD は最初に合致する Client-IP-Pattern
を使用するため、フィルタの順番は重要です。
SGD がファイアウォール転送に対応するように構成されている場合は、SGD がクライアントデバイスの IP アドレスを決定できなくなるため、複数の外部 DNS 名を使用できません。この場合は、1 つの外部 DNS 名 (たとえば、*:www.example.com
) を構成できます。次に、分割 DNS を使用することにより、クライアントはファイアウォールの内側にあるか外側にあるかに応じて、DNS 名を異なる IP アドレスに解決できます。「ファイアウォール越え」を参照してください。
外部 DNS 名の設定例を次に示します。
$ tarantella config edit --server-dns-external \ "192.168.10.*:boston.example.com" "*:www.example.com"
この設定により、次の内容が適用されます。
IP アドレスが 192.168.10
で始まるクライアントは、boston.example.com
に接続します。
それ以外のクライアントはすべて、www.example.com
に接続します。
フィルタの順番を逆にした場合は、すべてのクライアントが www.example.com
に接続します。
SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。
Administration Console で、「SGD サーバー」タブに移動し、SGD サーバーを選択します。
「一般」タブが表示されます。
「外部 DNS 名」フィールドに、外部 DNS 名の 1 つ以上のフィルタを入力します。
各フィルタがクライアント IP アドレスを DNS 名に適合させます。
フィルタを入力するたびに、Return キーを押します。
各フィルタの形式については、「外部 DNS 名の設定」を参照してください。
フィルタの順番は重要です。最初に一致したエントリが使用されます。
「保存」をクリックします。
SGD サーバーを再起動します。
外部 DNS 名の設定を変更したとき、これを反映するには SGD サーバーを再起動する必要があります。
ソフトウェアを再インストールしなくても SGD サーバーのピア DNS 名を変更できます (「SGD サーバーのピア DNS 名を変更する方法」を参照)。
ピア DNS 名を変更する前に、SGD サーバーをアレイから切り離し、SGD を停止する必要があります。
DNS 名の変更後、/opt/tarantella/var/log/SERVER_RENAME.log
ファイルには変更内容の詳細が記録されています。既存のサーバーセキュリティー証明書は、/opt/tarantella/var/tsp.OLD.
ディレクトリにバックアップされます。
number
SGD サーバーをアプリケーションサーバーとして使用する場合は、アプリケーションサーバーオブジェクトを手動で再構成する必要があります。そのためには、アプリケーションサーバーの DNS 名を変更し、オプションでオブジェクトの名前を変更します。
SGD プリンタキューを UNIX または Linux プラットフォームのアプリケーションサーバーにインストールした場合は、SGD サーバーの古い DNS 名を使用するプリンタキューを削除し、SGD サーバーの新しい DNS 名を使用する新しいプリンタキューを構成することが必要になることがあります。「UNIX および Linux プラットフォームのアプリケーションサーバーの印刷の設定」を参照してください。
SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。
ピア DNS 名の変更は、コマンド行からのみ行うことができます。
SGD ホスト上でスーパーユーザー (root) としてログインします。
SGD サーバーをアレイから切り離します。
プライマリ SGD サーバーのピア DNS 名を変更する場合は、最初に別のサーバーをプライマリサーバーにしてから、サーバーを切り離してください。
# tarantella array detach --secondary serv
切り離したサーバーで tarantella status コマンドを実行して、そのサーバーがアレイから切り離されていることを確認してください。
SGD サーバーを停止します。
SGD ホストの DNS 名の変更が反映されたことを確認します。
DNS 構成を確認し、ほかの SGD サーバーがこの新しい DNS 名を解決できることを確認します。場合によっては、SGD ホストの /etc/hosts
および /etc/resolv.conf
ファイルも編集する必要があります。
SGD サーバーの DNS 名を変更します。
次のコマンドを使用します。
# tarantella serverrename --peerdnsnewname
[ --extdnsnewname
]
完全指定 DNS 名を使用するのが最良の方法です。
サーバーの外部 DNS 名を変更するには、--extdns オプションを使用します。このオプションが機能するのは、SGD サーバーの外部 DNS 名が 1 つの場合のみです。サーバーの外部 DNS 名が複数ある場合は、外部 DNS 名を手動で更新する必要があります。「外部 DNS 名の設定」を参照してください。
プロンプトが表示されたら、Y と入力して名前の変更を続行します。
アレイ内のセキュリティー保護された通信に使用される証明書を再生成します。
# tarantella security keystoregen
アレイ内のセキュリティー保護された通信の詳細は、「アレイ内のセキュア通信」を参照してください。
新しいピア DNS 名が SGD サーバーによって使用される SSL 証明書の中に含まれていない場合、その証明書を置き換える必要があります (「サーバー SSL 証明書を置き換える方法」を参照)。
SGD Web サーバーと SGD サーバーを再起動します。
SGD サーバーをアレイに連結します。
アレイに連結するサーバーの時刻がそのアレイ内の他のサーバーの時刻と同期している必要があります。時間差が 1 分を超えている場合、アレイの連結操作は失敗します。
# tarantella array join --primaryp-serv
--secondarys-serv
(オプション) SGD Gateway の配備を再構成します。
SGD Gateway を使用している場合は、次の手順が必要となることもあります。
各 SGD Gateway に SGD サーバー SSL 証明書をインストールします。これは、手順 7 でサーバー SSL 証明書を置き換えた場合にのみ必要です。
各 SGD Gateway に、手順 6 で生成された新しいピア認証局 (CA) 証明書をインストールします。これは、アレイ内のプライマリ SGD サーバーのピア DNS 名を変更する場合にのみ必要です。
Gateway 配備の再構成の詳細については、『オラクル Secure Global Desktop Gateway 管理者ガイド (リリース 4.7 用)』の付録 D を参照してください。