前へ
目次
索引
DocHome
次へ
|
| iPlanet Directory Server 5.1 インストールガイド |
第 2 章 コンピュータシステムの要件
iPlanet Directory Server 5.1 をインストールする前に、ソフトウェアをインストールするシステムが、ハードウェアおよびオペレーティングシステムの最低限の要件を満たしているかどうかを確認しておく必要があります。以降の節では、これらの要件について、プラットフォームごとに詳しく説明します。
サポートされているプラットフォーム
サポートされているプラットフォーム
iPlanet Directory Server 5.1 は、Sun Solaris 9 for UltraSPARC (32 および 64 ビット) および Sun Solaris 9 for x86 オペレーティング環境にプリインストールされています。Solaris 9 プラットフォームで Directory Server を構成する方法の詳細は、Solaris の『System Administration Guide: Naming and Directory Services, Vol. 5』を参照してください。このマニュアルでは、サポートされている次のプラットフォームに iPlanet Directory Server 5.1 をインストールする方法について説明します。
Sun Solaris 8 for UltraSPARC (32 および 64 ビット) オペレーティング環境
このリリースの Directory Server は、Linux、Tru64 UNIX、OpenVMS ではサポートされていません。Microsoft Windows NT 4.0 Server Service Pack 6A (x86 のみ)
Microsoft Windows 2000 Server および Advanced Server Service Pack 2 (x86 のみ)
ハードウェアの要件
いずれのプラットフォームにおいても、次の条件を満たしている必要があります。
最小限の設定によるインストールの場合、約 2G バイトのディスク容量。実際のシステムで、製品のバイナリファイル、データベース、ログファイル (ログファイルにはデフォルトで 1G バイト必要) を扱うには、最低でも 2G バイトが必要。非常に大規模なディレクトリの場合は 4G バイト以上必要になることがある
次の表に、Directory Server が管理するエントリの数に応じて必要なディスク容量とメモリーのガイドラインを示します。この表は、LDIF ファイル内のエントリのサイズが約 100 バイトで、推奨されるインデックスだけが設定されていることを前提としています。それより大きなエントリを使用する場合は、LDIF ファイルの少なくとも 4 倍の空き容量をディスク上に確保してください。256M バイトの RAM。ただし、大規模な実際のシステムにおいては、最適な性能を実現するために、256M バイトから 1G バイトの RAM の実装を計画しておくべきである
オペレーティングシステムの要件
この節では、必要なオペレーティングシステムのバージョンとパッチについて説明します。
idsktune ユーティリティ
UNIX プラットフォーム用の iPlanet Directory Server には、システム上に適切なパッチがインストールされているかどうかを確認するためのユーティリティが備わっています。また、このユーティリティにより、カーネルのパラメタを変更して性能を最適化するための情報とアドバイスを得ることができます。このユーティリティは idsktune と呼ばれ、/usr/iplanet/servers/bin/slapd/server ディレクトリに置かれています。idsktune の実行方法については、第 7 章「トラブルシューティング」を参照してください。
注 iPlanet Directory Server をインストールする前に、DNS がシステム上に適切に構成されており、システムが静的な IP アドレスを保持していることを確認してください。
Solaris 8 オペレーティングシステム
このリリースの iPlanet Directory Server は、Solaris 2.6 以前および Solaris 7 ではサポートされていません。このリリースの iPlanet Directory Server は 64 ビットの Solaris 8 環境でも使用できますが、32 ビットプロセスとして稼働し、プロセスメモリーも 3.7G バイトに制限されます。
ディスク容量の要件
ソフトウェアをダウンロードする前に、充分なディスク容量があることを確認してください。
- ダウンロード先となるディレクトリ : 120M バイト
/usr/iplanet を含むパーティション : 2G バイト
注 iPlanet Directory Server 5.1 は、UltraSPARC チップセットに合わせて最適化されているため、SPARCv8 以前のチップセットでは動作しません。
パッチ
推奨パッチクラスタがインストールされていることを確認してください。Sun の推奨パッチクラスタは、http://sunsolve.sun.com あるいは Solaris のサポートベンダから入手可能です。システムにインストールされているパッチを確認するには、patchadd -p を使用します。
iPlanet Directory Server とともにインストールされる idsktune ユーティリティでは、パッチを追加してインストールするように推奨されている場合があります。idsktune の実行方法については、第 7 章「トラブルシューティング」を参照してください。
パッチのインストールが完了したら、マシンを再起動してください。
セキュリティ上の問題に対応する方法については、http://www.sun.com/blueprints/0100/security.pdf にある Solaris Operating Environment Security Sun Blueprint を参照してください。
システムのチューニング
基本的な Solaris のチューニングに関するガイドラインを示した本が何冊か出版されています。『Sun Performance and Tuning: Java and the Internet』(ISBN 0-13-095249-4) はその一例です。詳細なチューニング情報に関しては、http://docs.sun.com/ab2/coll.707.1/ にある『Solaris Tunable Parameters Reference Manual』(806-4015) を参照してください。
ファイルディスクリプタ
iPlanet Directory Server に設定できる同時接続の数は、システム全体としてのファイルディスクリプタテーブルの最大サイズの設定によって決まります。管理パラメタ rlim_fd_max は、/etc/system ファイル内に設定されます。このパラメタが存在しない場合、デフォルトでは最大サイズは 1024 に設定されます。/etc/system に次の行を追加することにより、4096 まで値を大きくすることができます。変更が完了したらシステムを再起動してください。このパラメタを 4096 よりも大きな値に設定する場合は、システムの安定性に悪影響を及ぼすことがないか、設定の前に必ず Sun Solaris のサポート窓口に相談してください。
TCP のチューニング
デフォルトでは、Solaris カーネルの TCP/IP 実装は、インターネットまたはインターネットサービス用に最適化されていません。次の /dev/tcp チューニングパラメタを確認し、必要な場合は、インストール環境のネットワークトポロジに合わせて変更してください。Solaris 8 の tcp_time_wait_interval は、TCP 接続を閉じてからカーネルのテーブル内に接続をそのまま維持する時間をミリ秒で設定します。この値が 30000 (30 秒) よりも大きく、ディレクトリが LAN、MAN、または単一ネットワークの管理下で使用されている場合は、/etc/init.d/inetinit ファイルに次のような行を追加して、値を減らす必要があります。
ndd -set /dev/tcp tcp_close_wait_interval 30000
tcp_conn_req_max_q0 および tcp_conn_req_max_q パラメタは、iPlanet Directory Server プロセスのためにカーネルが受け入れる接続のバックログの最大値を制御します。多数のクライアントホストによって 1 つのディレクトリが同時に使用されることが予想される場合は、/etc/init.d/inetinit ファイルに次のような行を追加して、これらの値を少なくとも 1024 に増やす必要があります。
ndd -set /dev/tcp tcp_conn_req_max_q0 1024
ndd -set /dev/tcp tcp_conn_req_max_q 1024tcp_keepalive_interval は、各 TCP オープン接続に対し、Solaris が keep-alive パケットを送る間隔を秒数で指定します。このパラメタは、ネットワークから接続が解除されたクライアントへの接続を削除するときに使用することもできます。
LAN、または高速の MAN や WAN 上でサーバの性能テストを行う場合は、tcp_rexmit_interval_initial の値を確認します。広域のインターネット上での運用では、この値を変更する必要はありません。
tcp_smallest_anon_port は、サーバに対して設定できる同時接続の数を制御します。rlim_fd_max の値を 4096 以上に増やした場合は、/etc/init.d/inetinit ファイルに次のような行を追加することによって、この値を減らす必要があります。
ndd -set /dev/tcp tcp_smallest_anon_port 8192
クライアントが主に Windows TCP/IP スタックを使用する場合は、tcp_slow_start_initial パラメタを確認します。
Windows NT 4.0 サーバ
この節では、Windows NT 上への iPlanet Directory Server のインストール方法について説明します。
iPlanet Directory Server 実行のためのマシンの構成
iPlanet Directory Server をインストールするコンピュータは、ネットワークレベルのファイアウォールによって、公共インターネットから隔離する必要があります。これは、Windows NT オペレーティングシステムを IP ベースの攻撃から守るために必要です。このコンピュータにはほかのネットワーク機能を持たせないようにします。このコンピュータはデュアルブートシステムであってはならず、また、ほかのオペレーティングシステムを実行してはなりません。コンピュータシステムには、最低限 256M バイトの RAM、2G バイトのディスク容量、Pentium II 以上のプロセッサ、100Mbps のイーサネット接続が必要です。
ソフトウェアをダウンロードする前に、充分なディスク容量があることを確認してください。
システムモジュールの要件
iPlanet Directory Server 5.1 は、Windows NT 3.5.1 以前のリリース、または Alpha アーキテクチャの Windows NT ではサポートされていません。また、Windows NT Workstation でもサポートされていません。これは、このオペレーティングシステムの形式が、スケーラブルなインターネットサーバまたはイントラネットサーバの配置に適していないためです。Windows NT Workstation は、接続バックログの設定に制限があります。Windows NT Server では、接続バックログを 10 より大きい値に設定できます。負荷の大きな TCP/IP サーバにおいては、この程度のバックログが必要となります。
Windows NT Server のインストール
Windows NT をインストールするときは、次の事項に従ってください。
すでにコンピュータ上にオペレーティングシステムがインストールされている場合でも、アップグレードではなく新規インストールを選択する
NTFS ではファイルおよびディレクトリにアクセス制御を設定できるので、FAT ではなく NTFS でドライブをフォーマットする
スタンドアロンサーバとしてコンピュータを設定し、既存のドメインやワークグループのメンバーにはしない。これによって、ネットワークセキュリティサービスへの依存度を下げることができる
管理者用パスワードは 9 文字以上にする。最初の 7 文字の中には、句読文字またはアルファベット以外の文字を使用する
サードパーティユーティリティのインストール
Directory Server ソフトウェアを解凍するには、UNZIP ユーティリティが必要です。PKZIP や Winzip を始めとして、ライセンスが必要な市販ツール、フリーウェアやシェアウェアなどの多くのツールがあります。PKZIP 2.70 はシェアウェアですが、未登録のものはインターネット上の広告サービスなどに TCP/IP 接続されるので、このシステムへのインストールには必ずしも適していません。マニュアルを読むには、Adobe Acrobat Reader をインストールする必要があります。Acrobat Reader は、次のサイトからダウンロードできます。
http://www.adobe.com/products/acrobat/readstep2.html
サーバ構成ファイルを編集するには、大容量のテキストファイルの処理が可能なテキストエディタが必要です (メモ帳とワードパッドは適さない)。UNIX の Emacs を使い慣れている場合は、ftp://ftp.cs.washington.edu/pub/ntemacs/ から Windows 版をダウンロードできます。その他多くのシェアウェアや市販のテキストエディタが入手可能です。
Netscape ブラウザで英語以外の文字を表示する場合は、次の URL から国際化に関する一般的なアドバイスおよび Bitstream Cyberbit フォント固有の情報を入手できます。
http://developer.netscape.com/software/jdk/i18n.html
Bitstream Cyberbit フォントをダウンロードする場合は、次の ftp リンクを使用してください。
ftp://ftp.netscape.com/pub/communicator/extras/fonts/windows
フォントをダウンロードする前に、READMEfirst.txt および ReadMe.htm をお読みください。
Microsoft ユーティリティのインストール
Windows NT オペレーティングシステムのセキュリティ機能を向上させるには、次の追加ユーティリティを推奨します。これらのユーティリティは、iPlanet Directory Server の操作に必須のものではありません。Microsoft Press 製の Resource Kit CD-ROM がある場合は、Windows NT Server Resource Kit から「passprop.exe」というユーティリティをシステム上にコピーします。このユーティリティは、CD の i386\netadmin ディレクトリに置かれています。これは、管理者アカウントのロックアウトができるように、あとで必要になります。
Service Pack 4 以降がまだインストールされていない場合は、この時点でインストールする必要があります。これは、Microsoft Internet Explorer 5 のインストールに必要です。サービスパックは、 http://www.microsoft.com/windows/servicepacks/ から入手できます。
Microsoft Internet Explorer 5 以降はセキュリティ構成マネージャで使用するので、インストールしておく必要があります。
Microsoft のセキュリティ構成マネージャは、Service Pack 4 の CD-ROM に収められています。
また、ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/ からダウンロードすることもできます。このツールについては、Microsoft Knowledge Base の Article Q195227 を参照してください。
システム時刻の正確性の確認
ログファイルの時刻および日付のタイムスタンプがほかのコンピュータシステムのタイムスタンプと連動して使用できるように、システム時刻は正しく、充分な精度で同期させる必要があります。NET TIME コマンドは NetBIOS を必要としますが、NetBIOSはインストール後のシステム設定中は無効にされるため、TCP/IP ベースの NTP クライアント (シェアウェアプログラム Tardis など) をインストールするか、その他の時刻を同期させる仕掛けを実装します。Windows NT 用の NTP クライアントについては、http://www.ntp.org/ を参照してください。
Windows のサービスパックとホットフィックス (Hotfix) のインストール
Windows NT のサービスパックには、オペレーティングシステムのセキュリティと信頼性を維持するのに重要な修正が含まれています。ホットフィックス (Hotfix) シリーズには、サービスパックリリース後に確認された問題に対する重要な変更が含まれています。
Windows NT 4.0 Service Pack 6a 以降のインストール
このサービスパックは、http://www.microsoft.com/windows/servicepacks/ からダウンロードできます。サービスパックのインストール後に、システムは再起動されます。
ホットフィックス (Hotfix) のインストール
Service Pack 6a 用の post-sp6a など、システムにインストールされているサービスパックに対応した Windows NT 4.0 ホットフィックス (Hotfix) をダウンロードしてインストールします。ホットフィックス (Hotfix) は、ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/ からダウンロードできます。通常、各ホットフィックス (Hotfix) のインストール後は、システムを再起動する必要があります。
TCP ISN パッチのインストール
ディレクトリにアクセスするユーザの認証を行う場合は、TCP 接続に対するハイジャック攻撃が弱点となります。Microsoft は、シリアル番号に関するセキュリティを強化するためのパッチ、q243835i.exe をリリースしています。詳細は、以下を参照してください。http://www.microsoft.com/security/bulletins/ms99-046.asp
インストール後に行うその他のシステム構成
Windows 環境では、動作環境内での iPlanet Directory Server の性能を最適化するためのチューニングが必要です。マルチスレッドのインターネットサービスのための Windows NT のチューニング方法については、Windows のシステム管理者用マニュアルを参照してください。以降の節に、いくつかのガイドラインを示します。
ネットワークサービスの制限
iPlanet Directory Server ではネットワークによるファイル共有は必要ないので、無効にする必要があります。「コントロールパネル (Control Panel)」の「ネットワーク (Network)」アイコンを開きます。「サービス (Network Services)」タブから、「ワークステーション (Workstation)」、「コンピュータブラウザ (Computer Browser)」、「NetBIOS インターフェイス (NetBIOS Interface)」、「リモートアクセスサービス (Remote Access Service)」、「サーバーサービス (Server Services)」を削除します。「RPC 構成」はそのまま残します。
SNMP 監視機能を使用する場合は、SNMP サービスを残すことも可能です。
これ以後、「コントロールパネル (Control Panel)」の「ネットワーク (Network)」アイコンを開くたびに、Windows NT Networking のインストールを求めるダイアログボックスが表示されます。このダイアログボックスに対しては、常に「いいえ (No)」と応答してください。
NETBIOS の削除
サーバでは TCP/IP だけを使用するので、Microsoft のネットワークサービスは必要ありません。「コントロールパネル (Control Panel)」の「ネットワーク (Network)」アイコンを開き、「バインド (Bindings)」タブで「すべてのプロトコル (All Protocols)」を選択します。次に「WINS クライアント (WINS Client)」を無効にします。これによって、NETBIOS と TCP/IP のバインドが解除されます。
ポートフィルタリングの有効化
RPC サービスは、Microsoft ソフトウェアがループバックインタフェース上で RPC 接続を確立するために必要になることがあるので、削除しません。ただし、RPC ポートはほかのシステムにアクセスできないようにする必要があります。「コントロールパネル (Control Panel)」の「ネットワーク (Network)」アイコンを開き、「プロトコル (Protocols)」タブを選択します。次に、「TCP/IP プロトコル (TCP/IP)」 > 「プロパティ (Properties)」ボタン > 「詳細 (Advanced)」 > 「セキュリティ処理を行う (Enable Security and Configure)」の順に選択します。「TCP/IP のセキュリティ (TCP/IP Filtering)」ウィンドウで、TCP ポート 389 と 636、管理ポート番号、および IP プロトコル 6 (TCP) だけを許可し、UDP ポートは許可しないように設定します。インタフェースが複数ある場合、インタフェースごとにこの操作を繰り返す必要があります。
この変更を加えたあとは、Microsoft コマンド行 FTP クライアントは使用できなくなります。これは、Microsoft クライアントでは FTP サーバが逆方向の接続を確立しなければならないにもかかわらず、LDAP 以外のポートはすべてブロックされているためです。
IP 転送の無効化
「TCP/IP プロトコル (TCP/IP Protocol)」のウィンドウで、「IP 転送を行う (IP Routing)」を無効にします。
WINS クライアントの無効化
「コントロールパネル (Control Panel)」の「デバイス (Devices)」アイコンを開き、「WINS Client」を無効にします。
レジストリからの OS/2 および POSIX サブシステムキーの削除
iPlanet Directory Server には、OS/2 および POSIX サブシステムは必要ありません。regedit を使用して次のレジストリ操作を行い、これらを削除します。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT
CurrentControlSet\Control の下には SessionManager (名前にスペースは入りません) という名前の別のキーがあります。このキーの下にあるものには変更を加えないでください。
このキーの中にある Os2LibPath の値を削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
次のキーの「Optional」の項目の値を 2 バイトの「00 00」に変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
次のキーから Posix および OS/2values を削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
OS/2 DLL の削除
%SystemRoot%\system32\os2 ディレクトリおよびそのすべてのサブディレクトリ内のすべてのファイルを削除します。
不要なサービスの停止
「コントロールパネル (Control Panel)」の「サービス (Services)」アイコンを開きます。EventLog、iPlanet Directory Server、iPlanet Administration Server、NT LM Security Support Provider、Plug and Play、Protected Storage、Remote Procedure Call (RPC) Service、および SNMP 以外の、すべてのサービスは停止および無効化しておきます。ただし、「スタートアップ (Startup)」が「手動 (Manual)」になっているサービスは、無効にする必要はありません。
エラー発生時のシステムの再起動の自動化
「コントロールパネル (Control Panel)」の「システム (System)」アイコンを開きます。「起動/シャットダウン (Startup/Shutdown)」タブで、「待ち時間 (Show list time)」を 0 秒に設定し、「自動的に再起動する (Automatic reboot)」チェックボックスの選択を解除します。
ユーザアカウントの構成
管理ツールを開きます (「スタート (Start)」 > 「プログラム (Programs)」 > 「管理ツール (Administrative Tools)」 > 「ユーザーマネージャ (User Manager)」)。「原則(Policies)」メニューの「アカウント (Account)」を選択して「アカウントの原則 (Account Policies)」ウィンドウを表示します。ロックアウトするアカウントのチェックボックスを選択します。
次に、「原則 (Policies)」メニューの「ユーザーの権利 (User Rights)」を選択します。「ネットワーク経由でコンピュータへアクセス (Access this computer from the network)」を選択して、「Everyone」を削除し、リストに「Authenticated Users」を追加します。
次に、「原則 (Policies)」メニューの「監査 (Audit)」を選択します。ダイアログで「監査するイベント (Audit These Events)」を選択し、「ログオンとログオフ (Logon and Logoff)」イベントの「成功 (Success)」および「失敗 (Failure)」ボックスの両方にチェックマークを付けます。
管理者アカウント名を、部外者が推測できないような名前に変更することもできます。
NT Server Resource Kit から passprop ユーティリティをコピーした場合は、これをコマンド行で passprop/adminlockout として実行すると、管理者アカウントのロックアウトを可能にすることができます。
アカウントデータベースの暗号化
syskey プログラムを実行すると、Windows NT のユーザアカウントデータベースである SAM を保護します。このプログラムは、管理者用のパスワードを暗号化し、レジストリ抽出型のハッカーツールでパスワードを使用できないようにします。
イベントログの構成
イベントビューアを開き (「スタート (Start)」 > 「プログラム (Programs)」 > 「管理ツール (Administrative Tools)」 > 「イベントビューア (Event Viewer)」)、「イベントログの処理」 (「ログ (Log)」 > 「ログの設定 (Log Settings)」にある) の値をユーザの導入に適した値に設定します。
チューニングパラメタの構成
転送制御ブロック (TCB) は、各 TCP 接続のデータを格納します。制御ブロックは、アクティブな接続ごとに TCB ハッシュテーブルに追加されます。LDAP 接続が TCP/IP によってサーバに達したときに充分な制御ブロックがない場合は、追加制御ブロックが作成されるのを待つため、さらに遅延が生じます。TCB timewait テーブルのサイズを大きくすることによって、より多くのクライアント接続に対するサービスが高速になるため、応答時間の負荷を削減できます。この値を調整するには、次のレジストリキーにパラメタを追加します。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
ここに、MaxFreeTcbs の値を 0xFA0 にして追加します。
この例では、TCB timewait テーブルのサイズを、デフォルトの 2,000 エントリから 4,000 エントリに増やしています。これで iPlanet Directory Server の TCP によるオーバーヘッド時間が小さくなったので、次に対応する TCB 保存用のハッシュテーブルを調整します。ハッシュテーブルの調整は、次のレジストリキーにパラメタを追加して行います。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
ここに、MaxHashTableSize の値を 0x400 にして追加します。
これによって TCB ハッシュテーブルのサイズが 512 から 1,024 になり、より多くの接続情報を格納できるようになります。TCB 情報は、ページ分けされていないメモリプールに格納されます。iPlanet Directory Server にメモリー上のボトルネックが生じ、サーバに対してそれ以上のメモリーを割り当てられない場合は、上記の値を小さくしてください。
マルチプロセッサシステム上では、NIC と CPU の関係を最適化することを推奨します。ネットワーク経由で LDAP 要求が受信されると、サービスを要求しているプロセッサでは割り込みが発生します。プロセッサによって、割り込み要求の緊急度が高い (割り込みレベルが高い) ものではないと判断されると、その要求の処理は延期されます。この延期された割り込み要求が DPC (Deferred Procedure Call) となります。サーバが受ける要求が増えるに従って、割り込みと DPC の数は増えていきます。
割り込みが特定の CPU に送られ、その処理が延期された場合、この DPC がサーバ内のほかの CPU に送られると (サーバが SMP に対応している場合)、サーバの負荷がさらに増えることになります。これは、Windows のデフォルト動作で、性能の面から考えると好ましくありません。このような DPC の転送が発生しないようにするには、次のレジストリにパラメタを追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NDIS\Parameters
ここに、ProcessorAffinityMask の値を 0 にして追加します。
これによって、割り込みを処理した CPU が、その CPU に対応する DPC の処理も行うようになります。また、1 つまたは複数のネットワークインタフェースカードが、特定の CPU に固定されないことを保障します。その結果、割り込みとネットワークインタフェースカードで生成される DPC に対する CPU の処理が改善されます。
Windows NT には、TCP/IP、NBF (NetBEUI)、および NWLink など、さまざまな転送ドライバが付属しています。これらの転送では、すべて TDI インタフェースを最上層に、NDIS (Network Driver Interface Specification) を最下層にしてエクスポートが行われます (Windows NT には AppleTalk と DLC も付属していますが、これらには TDI インタフェースがありません)。TCP/IP プロトコルがバインドリストの最初にある場合は、接続の平均セットアップ時間が短くなります。
Windows NT では、TCP の高速な転送と回復のための Van Jacobson アルゴリズムを実装し、ACKS 受信時に、再送タイマーの時間切れを待つことなく、失われたセグメントを迅速に転送し直すことができます。Van Jacobson アルゴリズムを実装するには、次のパラメタを編集します。
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
ここで、TcpMaxDupAcks という名前の値を追加して、タイプを REG_DWORD に、値を ACK の数に設定します。有効な値は 1 から 3 で、デフォルトは 2 です。
Windows 2000 Server および Advanced Server
iPlanet Directory Server 実行のためのマシンの構成
iPlanet Directory Server をインストールするコンピュータは、ネットワークレベルのファイアウォールによって、公共インターネットから隔離する必要があります。これは、オペレーティングシステムを IP ベースの攻撃から守るために必要です。このコンピュータにはほかのネットワーク機能を持たせないようにします。このコンピュータはデュアルブートシステムであってはならず、また、ほかのオペレーティングシステムを実行してはなりません。コンピュータシステムには、256M バイトの RAM、16M バイトのディスク容量、Pentium II 以上のプロセッサ、100Mbps のイーサネット接続が最低限必要です。
ソフトウェアをダウンロードする前に、充分なディスク容量があることを確認してください。
システムモジュールの要件
iPlanet Directory Server 5.1 は、Windows 2000 Pro および Windows 2000 DataCenter サーバではサポートされていません。
Windows 2000 サーバのインストール
Windows 2000 をインストールするときは、次の事項に従ってください。
すでにコンピュータ上にオペレーティングシステムがインストールされている場合でも、アップグレードではなく新規インストールを選択する
NTFS ではファイルおよびディレクトリにアクセス制御を設定できるので、FAT ではなく NTFS でドライブをフォーマットする
スタンドアロンサーバとしてコンピュータを設定し、既存のドメインやワークグループのメンバーにはしない。これによって、ネットワークセキュリティサービスへの依存度を下げることができる
管理者用パスワードは 9 文字以上にする。最初の 7 文字の中には、句読文字またはアルファベット以外の文字を使用する
サードパーティユーティリティのインストール
Directory Server ソフトウェアを解凍するには、UNZIP ユーティリティが必要です。PKZIP や Winzip を始めとして、ライセンスが必要な市販ツール、フリーウェアやシェアウェアなどの多くのツールがあります。PKZIP 2.70 はシェアウェアですが、未登録のものはインターネット上の広告サービスなどに TCP/IP 接続されるので、このシステムへのインストールには必ずしも適していません。マニュアルを読むには、Adobe Acrobat Reader をインストールする必要があります。Acrobat Reader がインストールされていない場合は、次のサイトからダウンロードできます。
http://www.adobe.com/products/acrobat/readstep2.html
サーバ構成ファイルを編集するには、大容量のテキストファイルの処理が可能なテキストエディタが必要です (メモ帳とワードパッドは適さない)。UNIX の Emacs を使い慣れている場合は、ftp://ftp.cs.washington.edu/pub/ntemacs/ から Windows 版をダウンロードできます。その他多くのシェアウェアや市販のテキストエディタが入手可能です。
Netscape ブラウザで英語以外の文字を表示する場合は、次の URL から国際化に関する一般的なアドバイスおよび Bitstream Cyberbit フォント固有の情報を入手できます。
http://developer.netscape.com/software/jdk/i18n.html
Bitstream Cyberbit フォントをダウンロードする場合は、次の ftp リンクを使用してください。
ftp://ftp.netscape.com/pub/communicator/extras/fonts/windows
フォントをダウンロードする前に、READMEfirst.txt および ReadMe.htm をお読みください。
システム時刻の正確性の確認
ログファイルの時刻および日付のタイムスタンプがほかのコンピュータシステムのタイムスタンプと連動して使用できるように、システム時刻は正しく、充分な精度で同期させる必要があります。NET TIME コマンドは NetBIOS を必要としますが、NetBIOSはインストール後のシステム設定中は無効にされるため、TCP/IP ベースの NTP クライアント (シェアウェアプログラム Tardis など) をインストールするか、その他の時刻を同期させる仕掛けを実装します。Windows 用の NTP クライアントについては、http://www.ntp.org/ を参照してください。
Windows のサービスパックとホットフィックス (Hotfix) のインストール
Windows 2000 のサービスパックには、オペレーティングシステムのセキュリティと信頼性を維持するのに重要な修正が含まれています。ホットフィックス (Hotfix) シリーズには、サービスパックがリリースされた後に確認された問題に対する重要な変更が含まれています。iPlanet Directory Server は Service Pack 2 に対応しています。
インストール後に行うその他のシステム構成
Windows 2000 環境では、動作環境内での iPlanet Directory Server の性能を最適化するためのチューニングが必要です。マルチスレッドのインターネットサービスのための Windows 2000 のチューニング方法については、Windows 2000 のシステム管理者用マニュアルを参照してください。
ディスク容量の要件
ソフトウェアをダウンロードする前に、充分なディスク容量があることを確認してください。
システムモジュールの要件
iPlanet Directory Server 5.1 は、HP-UX 10 以前のバージョンではサポートされていません。システムモジュールには、少なくとも HP-UX 11 が必要です。iPlanet Directory Server は 64 ビットの HP-UX 11 環境でも使用できますが、32 ビットプロセスとして動作し、プロセスメモリーも 1G バイトに制限されます。iPlanet Directory Server 5.1 を最適な条件で使用するには、PA-RISC 1.1 または PA-RISC 2.0 CPU を備えた HP 9000 アーキテクチャのマシンが必要です。
注 iPlanet Directory Server の今後のバージョンは、PA-RISC 1.1 CPU を使用した HP システム上でサポートされなくなる可能性があります。サポートの対象外となる可能性があるのは、9000/7xx シリーズ、C100、C110、C160L、J200、J210、J210XC、B132L、B132L+、B160L、および B180L システムです。
パッチ
Directory Server をインストールする前に、パッチをインストールしてください。HP-UX 11.0 上で iPlanet Directory Server を実行するには、次のパッチが必要です。
PHCO_19491
また、次の Web サイトで、最新のパッチ要件に関する情報を確認してください。PHKL_17038、PHCO_17792、PHKL_20079、および PHKL_20674 は、PHKL_18543 パッチとの依存関係がある
AWT を使用するアプリケーションには、PHSS_20141、PHSS_17535、PHSS_20140、および PHSS_19964 を使用すること。PHNE_20094 および PHSS_20145 は、PHSS_20140 パッチとの依存関係がある
システム上に HP C++ 実行時ライブラリがインストールされていることを確認すること。最新バージョンはパッチ PHSS_16587 として入手できる
http://www.hp.com/products1/unix/java/infolibrary/patches.html
システムチューニングの確認
カーネルパラメタを次のように設定します。
カーネルパラメタ maxdsize が少なくとも次の値であることを確認する
HP-UX マシン上では、iPlanet Directory Server を正しく動作させるためには、管理者はラージファイルのサポートを有効化する必要があります。
max_thread_proc (1 プロセスあたりの最大スレッド数) を 128 に設定する
- cachesize×entrysize+4096
- つまり、Directory Server の cachesize が 1000 (デフォルト) で、平均ディレクトリエントリサイズが 20K バイトの場合は、カーネルパラメタ maxdsize が少なくとも (1000×20000) + 4096、または少なくとも 21M バイトであることを確認します。
ラージファイルのない既存のファイルシステムでラージファイルを受け入れられるようにするには、次の操作を実行します。
次のように umount コマンドを使用して、システムのマウントを解除します。たとえば、次のようにします。
これらのパラメタ設定の詳細および推奨事項については、使用しているシステムの HP マニュアルを参照してください。ラージファイルシステムを作成します。たとえば、次のようにします。
fsadm -F vxfs -o largefiles /dev/vg01/rexport
サードパーティユーティリティのインストール
Directory Server ソフトウェアを解凍するには、gunzip ユーティリティが必要です。GNU gzip および gunzip プログラムについては、http://www.gnu.org/software/gzip/gzip.html を参照してください。これらのプログラムは、さまざまなサイトからダウンロードできます。マニュアルを読むには、Adobe Acrobat Reader をインストールする必要があります。Acrobat Reader がインストールされていない場合は、次のサイトからダウンロードできます。
http://www.adobe.com/products/acrobat/readstep2.html
ディスク容量の要件
ソフトウェアをダウンロードする前に、充分なディスク容量があることを確認してください。
システムモジュールの要件
AIX 4.3.3 以降のバージョンが必要です。iPlanet Directory Server 5.1 は、AIX 4.3.2 以前のリリースではサポートされていません。また、AIX 5.0L でもサポートされていません。
パッチ
ご使用のシステムに必要なパッチまたは APAR については、次のサイトを参照してください。http://server.software.ibm.com/cgi-bin/support/rs6000.support/downloads
サードパーティユーティリティのインストール
Directory Server ソフトウェアを解凍するには、gunzip ユーティリティが必要です。GNU gzip および gunzip プログラムについては、http://www.gnu.org/software/gzip/gzip.html を参照してください。これらのプログラムは、さまざまなサイトからダウンロードできます。マニュアルを読むには、Adobe Acrobat Reader をインストールする必要があります。Acrobat Reader がインストールされていない場合は、次のサイトからダウンロードできます。
http://www.adobe.com/products/acrobat/readstep2.html
DNS および NIS の要件 (UNIX のみ)
インストールの前に、DNS リソルバと NIS ドメイン名を構成しておく必要があります。DNS リソルバは、通常、/etc/resolv.conf ファイルによって設定されます。ただし、同時に /etc/nsswitch.conf ファイルと、Solaris の場合は /etc/netconfig ファイルも確認し、DNS リソルバを名前検索で使用できるようにしてください。
NIS をまだ使用していない場合は、デフォルトの NIS ドメイン名も設定する必要があります。通常、この設定は /etc/defaultdomain ファイル内に NIS ドメイン名を設定してコンピュータを再起動するか、domainname コマンドを使用して行います。
前へ 目次 索引 DocHome 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.
Last Updated February 05, 2002