user’s manual exaquantum エンジニアリングガイド vol.2 ネット …
TRANSCRIPT
User’s Manual
IM 36J04A15-02
Exaquantumエンジニアリングガイド Vol.2 ネットワーク構成編
IM 36J04A15-0211 版
<改訂情報> 目次-1
IM 36J04A15-02
目 次 1. はじめに......................................................................................... 1-1
1.1 対象読者 .................................................................................................... 1-1 1.2 本書の構成 ................................................................................................ 1-1 1.3 用語の定義 ................................................................................................ 1-2
2. Exaquantum ネットワーク管理 .................................................... 2-1 2.1 ネットワーク管理の概要 .......................................................................... 2-1 2.2 ネットワークに関するガイドライン ........................................................ 2-1
2.2.1 Windows ドメイン ....................................................................... 2-2 2.2.2 Windows ワークグループ ............................................................ 2-2 2.2.3 セキュリティ要素 ........................................................................ 2-2 2.2.4 名前解決....................................................................................... 2-3 2.2.5 ネットワーク形態 ........................................................................ 2-4 2.2.6 ファイアウォール ........................................................................ 2-5 2.2.7 サーバオペレーティングシステムの定義.................................... 2-5
2.3 ファイアウォール構成 .............................................................................. 2-6 2.3.1 Exaquantum システムでのコンポーネントのリンク構成........... 2-6 2.3.2 ディープパケットインスペクションの
ファイアウォール定義 ............................................................... 2-21 2.3.3 DCOM 用ポートの制限設定....................................................... 2-27 2.3.4 Windows ファイアウォール機能を有効にする場合 .................. 2-28 2.3.5 Windows ファイアウォール設定手順 ........................................ 2-31
2.4 VPN ネットワーク接続に対する Exaquantum の定義.......................... 2-39
3. インストール時の設定事項(従来モデル) ................................... 3-1 3.1 インストールの基本要素 .......................................................................... 3-1 3.2 ユーザをユーザグループに追加する ........................................................ 3-4
3.2.1 ドメイン定義 ............................................................................... 3-4 3.2.2 ワークグループ定義 .................................................................... 3-4
3.3 ユーザを作成する ..................................................................................... 3-5 3.4 OPC サーバの設定 .................................................................................. 3-12
3.4.1 グローバルユーザアカウントを使用する.................................. 3-12 3.4.2 ローカルユーザアカウントを使用する ..................................... 3-12
3.5 クライアントのインストール ................................................................. 3-13 3.5.1 クライアントインストール........................................................ 3-13
Exaquantum エンジニアリングガイド Vol.2ネットワーク構成編
IM 36J04A15-02 11 版
11th Edition:2010.12.27-00All Rights Reserved. Copyright © 2001, Yokogawa Electric Corporation
<改訂情報> 目次-2
IM 36J04A15-02
4. Exaquantum における DCOM とネットワークセキュリティ (従来モデル) .............................................................................. 4-1
5. ネットワーク診断ツール................................................................ 5-1 5.1 概要 ........................................................................................................... 5-1 5.2 NetworkTest ユーティリティ .................................................................. 5-2 5.3 Exaquantum サーバマネージャ............................................................... 5-4
6. IT セキュリティ.............................................................................. 6-1 6.1 概要 ........................................................................................................... 6-1
6.1.1 位置付け....................................................................................... 6-1 6.1.2 IT セキュリティの導入 ................................................................ 6-2 6.1.3 IT セキュリティの前提条件 ......................................................... 6-3
6.2 セキュリティ対策とモデル....................................................................... 6-4 6.2.1 セキュリティ対策 ........................................................................ 6-4 6.2.2 セキュリティモデル .................................................................... 6-5 6.2.3 IT セキュリティ設定ツールの使用方法 ....................................... 6-6 6.2.4 セキュリティモデルの変更........................................................ 6-12 6.2.5 各パッケージとの連携 ............................................................... 6-15
6.2.5.1 Exaopc....................................................................... 6-15 6.2.5.2 Exapilot...................................................................... 6-18 6.2.5.3 Exaplog...................................................................... 6-20 6.2.5.4 Exasmoc/Exarqe..................................................... 6-21 6.2.5.5 CENTUM VP ............................................................. 6-21 6.2.5.6 CENTUM CS3000 ..................................................... 6-22 6.2.5.7 他社 OPC サーバ....................................................... 6-23 6.2.5.8 Exaquantum OPC サーバにアクセスする
クライアント ............................................................. 6-24 6.3 運用 ......................................................................................................... 6-25
6.3.1 Windows のアカウント管理....................................................... 6-25 6.3.2 関連プログラム.......................................................................... 6-29 6.3.3 Windows の共有フォルダ .......................................................... 6-30
7. 時刻同期......................................................................................... 7-1 7.1 時刻同期の設定 ......................................................................................... 7-2
7.1.1 Active Directory ドメイン環境での時刻同期 ............................... 7-3 7.1.2 既存ネットワークでの時刻同期 .................................................. 7-3 7.1.3 新規ワークグループ環境での時刻同期 ....................................... 7-4 7.1.4 ツールの格納場所 ........................................................................ 7-4 7.1.5 OPC ゲートウェイへの時刻同期サーバ設定............................... 7-5 7.1.6 Exaquantum サーバへの時刻同期クライアント設定 .................. 7-6
7.2 R2.10.50 以前からのバージョンアップ時の注意 (同期方法切り替え) .............................................................................. 7-8 7.2.1 現状の同期方法の解除 ................................................................. 7-8 7.2.2 新しい同期方法の構築 ............................................................... 7-10
11th Edition:2010.12.27-00
<改訂情報> 目次-3
IM 36J04A15-02
付録 A. IT セキュリティ ...........................................................App.A-1 付録 A.1 Exaquantum の外部プロセスと通信する
モジュール一覧 ..............................................................App.A-1 付録 A.2 Exaquantum で利用される共有フォルダ .....................App.A-2 付録 A.3 Exaquantum で登録されるサービス一覧 .....................App.A-2 付録 A.4 未対応の主要な Windows セキュリティ機能 ...............App.A-2
付録 A.4.1 Windows Defender に関して.................. App.A-2 付録 A.4.2 DEP(Data Execute Prevention:データ
実行防止)機能に関して........................ App.A-2 付録 A.4.3 EFS(Encrypting File System:ファイル
暗号システム)機能に関して ................ App.A-2 付録 A.4.4 BitLocker 機能に関して .......................... App.A-3
付録 A.5 内在するセキュリティ脅威 ............................................App.A-4 付録 A.5.1 DCOM について ..................................... App.A-4 付録 A.5.2 Windows Firewall のスコープの件 ......... App.A-4
付録 A.6 ワークグループ管理とドメイン管理 .............................App.A-5 付録 A.6.1 ワークグループ管理 ............................... App.A-5 付録 A.6.2 ドメイン管理 .......................................... App.A-6
付録 A.7 NetBIOS .........................................................................App.A-7 付録 A.8 コンピュータの時計の同期の 長トレランス値 ...........App.A-8 付録 A.9 DCOM の設定変更 ........................................................App.A-10
付録 A.9.1 Personal Firewall の設定 ...................... App.A-10 付録 A.9.2 RPC ポートの動的ポートの制御 ......... App.A-10
付録 A.10 Windows Firewall の一括設定 ....................................App.A-13 付録 A.11 Windows サービスの一括設定 ....................................App.A-14 付録 A.12 MMC コンソールの起動 ...............................................App.A-16 付録 A.13 IT セキュリティ詳細情報 .............................................App.A-18
付録 A.13.1 アクセスコントロール ......................... App.A-18 付録 A.13.2 Personal Firewall チューニング ........... App.A-22 付録 A.13.3 SQL サーバサービスアカウント
の変更................................................... App.A-25 付録 A.13.4 不要な Windows サービスの停止
(強固モデル対象) ............................. App.A-26 付録 A.13.5 IT 環境の設定変更 ................................ App.A-26 付録 A.13.6 Web サーバのセキュリティ................. App.A-30
付録 A.14 HIS 環境へのインストール ..........................................App.A-35 付録 A.14.1 インストール手順 ................................ App.A-35 付録 A.14.2 HIS タイプ SSO における
インストール後の設定 ......................... App.A-36
11th Edition:2010.12.27-0011th Edition:2010.12.27-00
Blank Page
<目次> <1. はじめに> 1-1
IM 36J04A15-02
1. はじめに 本書は,Exaquantum システムのネットワーク構成について説明します。 本書は,Exaquantum システムの運用で必要とされるセキュリティの設定を正しく行
なえるようにすることを主な目的としています。本書は,ネットワークでのセキュ
リティ定義を行うために必要な手順を示しています。また,初めて Windows を使用
する方に役立つ用語の解説と,その基本定義も説明しています。
1.1 対象読者
本書は,Exaquantum システムのネットワーク構成を検討できる方を対象に説明しま
す。Exaquantum の設定に必要なネットワーク管理者(Administrator)権限を持つ
ユーザ向けの手順を記述しています。以下の分野についての知識と経験があり,
Exaquantum のトレーニングを終了していることを前提としています。 ・ Windows ドメインセキュリティ(ユーザ,グループ,アクセス権など) ・ DCOM ・ ネットワークコンポーネントの定義
1.2 本書の構成
本書は,新規あるいは既存のネットワーク環境に Exaquantum システムを構築する
にあたってのガイドラインを記述します。Exaquantum とそのネットワークの設定項
目は多岐にわたりますが,本書では,Exaquantum システムを定義,構築,および使
用するための,実用的かつ効果的な方法や手順を説明しています。 本書は,ネットワーク構成手順や方法を説明する,以下の章から構成されていま
す。 Exaquantum R2.60 以降に IT セキュリティが導入されました。IT セキュリティで
は,3 つのセキュリティモデル(従来モデル,標準モデル,強固モデル)を用意し
ています。 第 2 章,第 5 章と第 7 章は,IT セキュリティのどのモデルにも必要な情報を記載し
ています。 第 3 章と第 4 章は IT セキュリティが従来モデル(IT セキュリティ未使用)時の情
報,第 6 章と付録で IT セキュリティ使用時に必要となる詳細情報を記載していま
す。 第 1 章:はじめに 第 2 章:Exaquantum ネットワーク管理 第 3 章:インストール時の設定事項(従来モデル) 第 4 章:Exaquantum における DCOM とネットワークセキュリティ(従来モデル) 第 5 章:ネットワーク診断ツール 第 6 章:IT セキュリティ 第 7 章:時刻同期
11th Edition : 2010.12.27-00
<目次> <1. はじめに> 1-2
IM 36J04A15-02
1.3 用語の定義 以下の用語は本書で使用されるもので, Exaquantum 内で使用するために定義され
ます。
接続 接続には 2 種類あり,これらの設定は使用するコンピュータが含まれているネット
ワークの構成に依存します。
OPC サーバと Exaquantum サーバの接続 OPC サーバと Exaquantum サーバの接続は,Exaquantum から OPC サーバにデータ収
集の要求をしたり,OPC サーバから Exaquantum サーバにデータを提供するために
使用します。
Exaquantum サーバと Exaquantum クライアントの接続 Exaquantum サーバと Exaquantum クライアント間の接続は,クライアントが
Exaquantum サーバの保存するデータにアクセスすることを可能にします。
DCOM DCOM(Distributed Component Object Model)は,Microsoft 社が定めた分散オブ
ジェクト技術の仕様です。アプリケーションをリモートコンピュータ上で実行する
ことを可能にします。Exaquantum のインストールプログラムは,DCOM を設定し
て使用できる状態にします。
ドメイン 共通のユーザとユーザグループの間でリソースを共有できるコンピュータの集合
で,ドメインコントローラ(DC)によって管理されます。
ドメイン管理権 任意のユーザアカウントに割り当てられる権利で,これによりドメイン全体の管
理・操作が実行できます。これらの操作には,「グローバル」および「ドメイン
ローカル」ユーザグループの作成ならびにメンテナンス,および「グローバルユー
ザアカウント」の作成が含まれます。これらにはまた,「信頼関係」の作成および
変更も含まれます。
11th Edition : 2010.12.27-00
<目次> <1. はじめに> 1-3
IM 36J04A15-02
Dcomcnfig Microsoft Windows のプログラムで,アプリケーションの DCOM 設定の変更時に使
用します。DCOM 設定には 2 つのレベルがあります。 ひとつは,全アプリケーションで使用するデフォルトの設定です。 もうひとつは,デフォルト設定をそれぞれのアプリケーションにあわせて,特定の
DCOM プロパティを設定することです。新規のアプリケーションは,特にプロパ
ティを設定しない限りデフォルト設定を使用します。 注意:DCOM 設定の変更後はコンピュータを再起動する必要があります。 注意:デフォルト設定を変更し,カスタマイズすることは可能です。
ドメインローカルグループ Windows のセキュリティユーザグループの 1 つで,ネイティブモードで動作する
Windows ドメイン内でのみ使われます。このグループタイプは,ある 1 つのドメイ
ンコントローラ上で集中管理を行うことが可能で,Windows フォレスト内のどこに
所属するメンバでも持つことができます。
Exaquantum システム Exaquantum システムは,PCS からデータを収集する OPC サーバ,OPC サーバから
データを受け取る Exaquantum サーバ(Exaquantum/PIMS),そして Exaquantumサーバからデータを入手する Exaquantum クライアント(Exaquantum/Explorer)で
構成されます。これらのコンピュータはそれぞれドメインまたはワークグループに
属していますが,同一のドメインまたはワークグループである必要はありません。
フォレスト(Windows) 共通スキーマの性質によってリンクされた Windows 集合体の 1 つです。フォレスト
内のすべてのドメインには通常,デフォルトにより透過的なトラスト関係が与えら
れています。
グローバルアカウント ドメイン上に作成されるユーザアカウントの 1 つです。そのドメインに含まれる
か,あるいは正しい信頼関係を持つその他のドメインに含まれるすべてのコン
ピュータに対して利用可能となります。
グローバルグループ ドメイン上に作成されるユーザグループの 1 つです。そのドメインに含まれるすべ
てのコンピュータに対して利用可能となります。「グローバルグループ」はそれが
作成されたドメイン内部に所属するメンバのみを含みます。
ローカルアカウント コンピュータ上で作成されたユーザアカウントの 1 つです。その特定のコンピュー
タ上でのみ利用可能となります。
11th Edition : 2010.12.27-00
<目次> <1. はじめに> 1-4
IM 36J04A15-02
ローカル管理者権限 ユーザアカウントに割り当てられる権利で,そのコンピュータの管理任務が実行で
きます。これらの任務には「ローカルユーザグループ」の作成,メンテナンス,お
よび「ローカルユーザアカウント」の作成が含まれます。また,ソフトウェアをイ
ンストールして Exaquantum サービスのような Windows サービスを実行することも
含まれます。
ローカルグループ コンピュータ上に作成されたユーザグループの 1 つです。1 つのワークグループ内
のローカルグループは同一のコンピュータに所属するメンバのみを含むことができ
ます。あるドメイン内部のローカルグループは,そのドメインに所属するメンバ
と,有効な信頼関係を持つ他のドメインに所属するメンバを含むことができます。
マルチサーバ システム内に 2 つ以上の Exaquantum サーバを持つ構成です。それぞれのサーバは
同一のユーザグループ情報を持つ必要があります。
セキュリティ構成 ローカル,またはグローバルに作成されたユーザグループまたはユーザアカウント
です。
QDCOMConfig Exaquantum の IT セキュリティ設定が従来モデルの場合に使用されるツールで,
Exaquantum に必要な DCOM 設定を行います。このツールはインストール時に稼働
し,その後いつでも再起動できます。
透過的トラスト パススルー認証のできるトラスト関係です。これにより,セキュリティ構成はリ
モートドメインから認証を受けることができます。透過的トラスト関係は,
Windows ドメインが Windows フォレストに追加される時点で作成されます。
信頼関係 2 つのドメイン間における通信形態の 1 つで,信頼するドメインが信頼されるドメ
インにアクセスを許可するというものです。ドメインユーザマネージャを使用して
設定します。ドメインの信頼関係の設定には,双方のドメインでの設定が必要にな
ります。
ユーザアカウント 1 つまたは複数のコンピュータ上で,操作を行う権限を持つコンピュータアカウン
トです。ユーザには特定のコンピュータに限られる「ローカルユーザ」と,すべて
のコンピュータ(ドメイン内に限る)にわたる「グローバルユーザ」があります。
11th Edition : 2010.12.27-00
<目次> <1. はじめに> 1-5
IM 36J04A15-02
ユーザグループ ユーザと同様ですが,ユーザをグループ化することで権限の割り当てが管理しやす
くなります。Exaquantum は基本的にユーザグループ単位で権限を割り当てます。操
作中ユーザグループは,Exaquantumサーバによってチェックされます。
ユーザマネージャ ユーザ,ユーザグループの作成および変更を行う Windows のツールです。
ドメインユーザマネージャ ユーザマネージャに加えて以下の機能があります。 ・ ドメイン全域(グローバル)にわたるユーザ,ユーザグループの作成および変
更 ・ 信頼関係の作成
ワークグループ それぞれのコンピュータが持つ専用のユーザアカウントを使用することによって,
リソースの共有を行うことができるコンピュータの集合です。
Business Network PCN を含まない,企業内ネットワークです。
IT 環境 Exaquantum が動作する,Windows 環境です。
IT セキュリティ 現在および将来に渡る,サイバーテロなどのセキュリティ脅威に対して防御および
対抗するために,IT 環境から考慮したセキュリティ対策です。
Kerberos 認証 暗号による認証方式の 1 つで,通信経路上の安全が保障されないインターネットな
どのネットワークにおいて,サーバとクライアントの間で身元の確認を行うのに使
います。
NIC Network Interface Card の略で,端末をネットワーク接続するためのインタフェース
カードです。
OPC OLE for Process Control の略で,マイクロソフトの COM/DCOM を利用した,計測・
制御システムにおけるシステム開発をサポートする標準インタフェースです。
PCN PCN(Process Control Network)は,CENTUM システムなどの ICS(Industrial Control System)のために構築されたネットワークです。
11th Edition : 2010.12.27-00
<目次> <1. はじめに> 1-6
IM 36J04A15-02
Personal Firewall 端末・ドメインサーバ上で動作する Firewall です。 注意,Windows 標準の Firewall に限定されません。
Windows Firewall Windows 標準装備の Firewall です。
Windows サービス ログオンしているユーザとは無関係にバックグラウンドで実行されるプログラムで
す。
重要データ Exaquantum システム内のデータベースや操作ログなど保護が必要な情報資産です。
ドメインサーバ Windows ドメインを管理するサーバです。
プログラム用アカウント Exaquantum 関連のプログラムを動作させるための特別な権限を持った Windows ア
カウントです。
11th Edition : 2010.12.27-00
<目次> <2. Exaquantum ネットワーク管理> 2-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
2. Exaquantum ネットワーク管理
注 意
IT セキュリティモデルの設定に関わらず,お読みください。
2.1 ネットワーク管理の概要 本章は,Exaquantum システムを使用するお客様向けに説明しています。システムを
Exaquantum システムインテグレータに委託する前に,システム構成をお客様のエン
ジニアが準備する場合に使用します。 本章では,お客様の役務範囲およびシステムインテグレータの役務範囲を明確にし
ます。お客様は,システム仕様の要求項目を,本書にしたがって表にまとめること
ができます。システムインテグレータはこの表に基づき,要求に添った
Exaquantum システムを構築します。 Exaquantum R2.60 以降,統一したセキュリティ構築を提供するため,Exaquantumに
「IT セキュリティモデル」を導入します。 本設定はインストール時に行います。詳細は「6. IT セキュリティ」を参照してく
ださい。 ここでは,お客様が要求するシステム構成を,カスタマイズするレベルによって,
Exaquantum システムの構築プロセスが,きわめて単純なものから複雑なものにまで
変化しうることを説明しています。カスタマイズの主なメリットは,限られたディ
スク容量に保存されたデータを 大限利用すること,および Exaquantum が処理す
る内容を業務に役立て,ビジネス的価値を高めることです。
2.2 ネットワークに関するガイドライン
Exaquantum は Windows Server 上で動作するクライアント/サーバ・アプリケー
ションの 1 つです。Exaquantum はクライアントサーバ・システムであり,従来モデ
ルおよび標準モデル(ワークグループ管理)の場合は Exaquantum サーバ上に作成
されるローカルグループを使用して動作し,標準モデル(ドメイン管理)の場合は
ドメイングループを使用して動作するように設計されます。Windows ドメイン環境
で動作するように設定された前バージョン(従来モデル)をアップグレードする場
合,インストール後の設定が多少必要です。これらの手順についての詳細は,イン
ストールガイドを参照してください。
<目次> <2. Exaquantum ネットワーク管理> 2-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.2.1 Windows ドメイン ドメイン構成は集中化したセキュリティ管理とユーザおよびデータの管理を提供し
ますが,これは後で説明するワークグループ構成に比べて保守がより簡単になりま
す。しかし,システムが構成される場合はいつでも,変更を実施するためにはドメ
インコントローラへの管理者レベルでのアクセスが必要です。IT の管理が集中化し
ているところではこれは重大な問題となります。 Exaquantum がドメイン環境で動作するには, 低 1 台のサーバがドメインコント
ローラ(DC)として機能している必要があります。 Exaquantum は「スタンドアローンサーバ」に属します。 注意:Exaquantum はドメインコントローラ(DC)として使用されているサーバコンピュータ上に共存することはできま
せん。
2.2.2 Windows ワークグループ
Exaquantum の従来モデルおよび標準モデル(ワークグループ管理)の場合は
Windows ワークグループ環境のローカルグループを使用します。 Windows ワークグループの利点は独立したドメインコントローラが必要ないことで
す。ただし,ワークグループ内ではすべてのユーザアカウントおよびパスワードを
クライアントとサーバごとに作成し,しかも同一に保つ必要があります。 注意:Exaquantum をワークグループで使用する時は,パスワード期限を「パスワードを無期限にする」に設定してくださ
い。
2.2.3 セキュリティ要素
以下のネットワークアイテム(セキュリティ要素という)は Exaquantum システム
で必要です。 ・ ユーザグループ Exaquantum データベースへのアクセスを管理するために使用される Windows
セキュリティグループです。Exaquantum には標準で従来モデルの場合は 4 つ,
標準・強固モデルの場合は 5 つのユーザグループがあり,ロールベース・
ビューを使用する場合はさらに多くのユーザグループが利用できます。 ・ ユーザアカウント コンピュータに,つまり Exaquantum にアクセスするためにユーザが使用する
Windows ログインアカウントです。これらのアカウントはアクセスを管理する
ために該当するユーザグループのメンバに登録されます。 ・ Quantumuser アカウント(従来モデル),QTM_PROCESS(標準・強固モデル) Exaquantum プロセスの所有権を管理する特別のユーザアカウントです。この
ユーザアカウントはすべての Exaquantum コンピュータおよび OPC サーバで使
用できる必要があります。
<目次> <2. Exaquantum ネットワーク管理> 2-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.2.4 名前解決 WINS または DNS などの Windows の名前解決方式を使用していない場合は,各ク
ライアント上の「hosts」および「lmhosts」ファイルに,Exaquantum サーバを追加
する必要があります。 「hosts」と「lmhosts」ファイルの場所は以下のとおりです。 %windir%¥system32¥drivers¥etc
ファイルに拡張子.sam がついている場合があります。ファイルを使用する前にこの
拡張子を削除してください。 クライアントの登録や,Exaquantum サーバの IP アドレスの変更時には,「hosts」と「lmhosts」ファイルの更新が必要です。これらのファイルを更新しないと,
Exaquantum サーバに接続できません。
推奨事項 ネットワーク上に,WINS と DNS を使用している Windows サーバがすでにある場
合は, Exaquantum サーバでも WINS と DNS を使用してください。以後の管理作業
が簡単になります。 Exaquantum クライアント数が少ない場合は,ローカルの「hosts」ファイルに
Exaquantum サーバのホストネームと IP アドレスを追加するだけで十分です。 WINS と DNS を使用していないときは,ネットワークにこれらのサービスを登録せ
ず,かわりにローカルの「hosts」ファイルを使用してください。 この際,DHCP は使用せず,静的(スタティック)IP アドレスを使用してください。
<目次> <2. Exaquantum ネットワーク管理> 2-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.2.5 ネットワーク形態 Exaquantum ではネットワークが重要な役割を持っており,100 Mbps または 1000 Mbps の全二重ネットワーク上で動作するとき, も能力を発揮します。 利用可能な帯域を 大限に活用するため,Exaquantum サーバは,スイッチングハブ
を使用して設置することをおすすめします。これによって,クライアントワークス
テーションの性能が活かされます。
10/100/1000BASE-T 既存のネットワーク構成によっては,セグメント上で動作している Exaopc や HISと同じネットワークセグメントに,Exaquantum サーバを登録する場合,セグメント
の長さやステーション数の限界を超えないよう注意してください。 この場合,2 つのネットワークインタフェースコントローラが必要になります。
LAN 上における Exaopc 通信の制限 セキュリティ上の理由などから,CENTUM システムを工場の基幹ネットワークと
分ける場合が考えられます。この場合は,Exaquantum サーバへのネットワークカー
ドの追加設置をおすすめします。
ネットワークインタフェースカードとの接続順序 2 枚のネットワークインタフェースカードを Exaquantum サーバに取り付けて,OPCネットワークと業務レイヤネットワークを分離します。このような場合,OPC ネッ
トワークとの接続を 初に行ってください。
ネットワークプロトコル Exaquantum は TCP/IP ネットワークプロトコル上でのみ動作します。 IPX/SPX や NetBEUI といった,他のプロトコルと平行して TCP/IP を使用する場合
は,Exaquantum サーバにおけるプロトコルの優先順位は,TCP/IP プロトコルを
優先に設定ください。
ルータおよび RAS 接続 RAS を使用することで,一般の電話回線を通じて Exaquantum データにアクセスす
ることが可能です。 この場合,速度と性能の点から,Exaquantum のサーバとクライアントを同一サブ
ネットに設定することをおすすめします。Exaquantum クライアントが別のサブネッ
トに位置する場合は,「ホップ」の数を 小限にしてください。
<目次> <2. Exaquantum ネットワーク管理> 2-5
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.2.6 ファイアウォール ファイアウォールはネットワーク間の通信を制限する一般的な装置です。
Exaquantum のサーバとクライアントの間にファイアウォールが存在する場合,以下
の注意が必要です。 ・ ファイアウォールおよび DCOM についての詳細は,「2.3 ファイアウォール構
成」をご覧ください。 ・ ファイアウォールの中にはネットワークアドレス変換(NAT)機能を使用する
ものがあります。アドレス変換が使用されている場合,Exaquantum クライアン
トはファイアウォールを通じて Exaquantum サーバに接続することはできませ
ん。 2.2.7 サーバオペレーティングシステムの定義
Exaquantum サーバはオペレーティングシステムが正しく定義されていることが必要
です。Exaquantum の性能を 適化するための手順がいくつかあります。特定のサー
ビスは特定のインストールに基づき動作する必要があるという理由もありますが,
この定義には Exaquantum の標準インストールが推奨されます。 これらの手順のいくつかを以下に示します。
不必要なサービスの削除 DHCP サーバ,WINS サーバ,DNS サーバなどのサービスは Exaquantum サーバ上
で動作すべきではありません。
NETBEUI プロトコル Exaquantum は NETBEUI プロトコルを必要としませんので,インストールは不要で
す。インストールする場合は,Exaquantum が使用している TCP/IP プロトコルより
も優先権を低くする必要があります。
ネットワークモニタ 特にネットワークを監視していない場合は,ネットワークカードからのネットワー
クモニタを無効にしてください。
IP アドレス Exaquantum には,DHCP サーバから割り当てられる IP アドレスではなく,固定の
IP アドレスを割り当てることを推奨します。
ウィルスチェックソフト Exaquantum サーバ上でウィルスチェックソフトを使用する場合,パフォーマンスに
影響を与えるので,データベースファイルのチェックは無効にしてください。
他のソフトウェア Exaquantum を動作するために,Exaquantum サーバ用 PC には Exaquantum サーバ機
能だけを使用してください。他のソフトウェアは Exaquantum の動作に影響を与え
る可能性があります。
<目次> <2. Exaquantum ネットワーク管理> 2-6
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.3 ファイアウォール構成
2.3.1 Exaquantum システムでのコンポーネントのリンク構成 Exaquantum システムでの各コンポーネントのリンク構成は以下のとおりです。
Exaquantumサーバ
OPCサーバ
ExaquantumWebサーバ
WTSサーバ
Exaquantum Explorer
WTSクライアント
Webクライアント
DCO
M
DCOM
DCOM
DCOM1
2
3
54
6
7
OPCクライアント
DC
OM
8
9
ドメイン
コントローラDNSサーバ
DCOM
PI OPCインタフェースPC
⑩
⑪
PIサーバ
図 Exaquantum コンポーネントのリンク構成
各リンクに示した番号は以下に示し,次ページ以降にその詳細を説明します。 本項に記載の WTS は Windows Terminal Server のことを意味しています。 ① Exaquantum サーバから Exaquantum Explorer クライアントまたは管理ツール(ク
ライアント上) ② Exaquantum サーバから OPC サーバ ③ Exaquantum サーバから Exaquantum Web サーバ ④ Exaquantum Web サーバから Web クライアント ⑤ Exaquantum WTS サーバから Exaquantum サーバ ⑥ Exaquantum WTS サーバから WTS クライアント ⑦ Windows ドメインコントローラへのリンク ⑧ Exaquantum サーバから OPC クライアント ⑨ Exaquatum サーバから DNS サーバ ⑩ Exaquatum サーバから PI OPC インタフェース PC ⑪ PI サーバから PI OPC インタフェース PC DCOM のトラフィックは VPN トンネル経由以外では Network Address Translation(NAT)は,ファイアウォールを通過できないため,リンク 1~3,5 および 8 では
NAT やスタティック NAT を定義できません。 ファイアウォールによっては,DCOM トラフィックのパケット検査が行われたり,
プログラム ID/GUID によってアクセスが制限されます。制限のほとんどは,ポー
ト番号や IP アドレスのレベルでのトラフィック制限が行われます。 以降に説明する各リンクの詳細では,次の 3 つを説明します。 ・ TCP ポート番号と必要な通信の開始および終了ポイント ・ DCOM 通信での ProgID と GUID ・ DCOM ポートカウント
<目次> <2. Exaquantum ネットワーク管理> 2-7
IM 36J04A15-02
11th Edition : 2010.12.27-00
注 意
Exaquantum サーバは,RBNS で構築した他の Exaquantum サーバへのクライアントとなる場合があります。
これらの情報によって,必要なファイアウォールの標準的な定義が得られます。
リンク 1:Exaquantum サーバから Exaquantum Explorer クライアントまたは管理ツール(クライアント上)
この接続は 2 つのコンポーネントに分けられ,同一または個別にインストールされ
ます。 ・ Exaquantum Explorer, Excel Add in と API アクセス ・ Exaquantum管理ツール
それぞれの詳細を以下に示します。
Exaquantum Explorer, Excel Add-In と API アクセス
表 リンク 1 での TCP ポートフィルタ
リンク元 リンク元ポート リンク先 リンク先ポート 説明
Explorer クライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
Explorer クライアント */TCP Exaquantum サーバ 1433/TCP SQL サーバ通信
Explorer クライアント */TCP Exaquantum サーバ 1024~65535/TCP DCOM ダイナミック割り当てポート サーバにより制限される
Exaquantum サーバ */TCP Explorer クライアント 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ 1433/TCP Explorer クライアント */TCP SQL サーバ通信
Exaquantum サーバ */TCP Explorer クライアント 1024-65535/TCP DCOM ダイナミック割り当てポート
Exaquantum サーバでの DCOM ポートの合計:5 ・ Quantum.exe ・ ExaQuantumExecutive.exe ・ QRBNSServerBrowse.exe ・ QNameSpaceBrowser.exe ・ QHistorian.exe
<目次> <2. Exaquantum ネットワーク管理> 2-8
IM 36J04A15-02
11th Edition : 2010.12.27-00
Exaquantum 管理ツール
表 リンク 1 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
管理ツールクライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
管理ツールクライアント */TCP Exaquantum サーバ 1433/TCP SQL サーバ通信
管理ツールクライアント */TCP Exaquantum サーバ 1024-65535/TCP DCOM ダイナミック割り当てポート サーバにより制限される。
Exaquantum サーバ */TCP 管理ツールクライアント 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ 1433/TCP 管理ツールクライアント */TCP SQL サーバ通信
Exaquantum サーバ */TCP 管理ツールクライアント 1024-65535/TCP DCOM ダイナミック割り当てポート
Exaquantum サーバでの DCOM ポートの合計:8 ・ Quantum.exe ・ ExaQuantumExecutive.exe ・ QRBNSServerBrowse.exe ・ QNameSpaceBrowser.exe ・ QHistorian.exe ・ QBuilder.exe ・ QAnalyse.exe ・ QBFRetriever.exe
<目次> <2. Exaquantum ネットワーク管理> 2-9
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 2:Exaquantum サーバから OPC サーバ DCOM ポート範囲の制限は Exaquantum サーバと OPC サーバの両方に適用されます
が,その範囲は同じである必要はありません。
表 リンク 2 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
Exaquantum サーバ */TCP OPC サーバ 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ */TCP OPC サーバ 1024-65535/TCP DCOM ダイナミック割り当てポート OPC サーバにより制限される
Exaquantum サーバ ICMP OPC サーバ
IP のエラーメッセージや制御メッセージを転送するプロトコル 同期前に OPC サーバへの接続状態を確認するために使用される
OPC サーバ */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
OPC サーバ */TCP Exaquantum サーバ 1024-65535/TCP DCOM ダイナミック割り当てポート OPC サーバにより制限される
OPC サーバ ICMP Exaquantm サーバ
IP のエラーメッセージや制御メッセージを転送するプロトコル 同期前に OPC サーバへの接続状態を確認するために使用される
Exaquantum サーバでの DCOM ポートの合計:5 ・ QOPCDAMgr.exe ・ QOPCAEPump.exe ・ QOPCPropertyAccess.exe ・ QFBRetriever.exe ・ QZOPCAECatchup
<目次> <2. Exaquantum ネットワーク管理> 2-10
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 3:Exaquantum サーバから Exaquantum Web サーバ 表 リンク 3 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum Web サーバ */TCP Exaquantum サーバ 135/TCP RPC (DCOM) リスナー
Exaquantum Web サーバ */TCP Exaquantum サーバ 1433/TCP SQL サーバ通信
Exaquantum Web サーバ */TCP Exaquantum サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート Exaquantum サーバにより制限される
Exaquantum サーバ */TCP Exaquantum Web サーバ 135/TCP RPC (DCOM) リスナー
Exaquantum サーバ 1433/TCP Exaquantum Web サーバ */TCP SQL サーバ通信
Exaquantum サーバ */TCP Exaquantum Web サーバ1024-65535/TCP
DCOM ダイナミック割り当てポート Web サーバにより制限される
Exaquantum サーバでの DCOM ポートの合計:5(Exaquantum Explorer クライアント
への追加なし) ・ Quantum.exe ・ ExaQuantumExecutive.exe ・ QRBNSServerBrowse.exe ・ QNameSpaceBrowser.exe ・ QHistorian.exe
Exaquantum Web サーバでの DCOM ポートの合計:2. ・ Quantum.exe ・ W3wp.exe
<目次> <2. Exaquantum ネットワーク管理> 2-11
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 4:Exaquantum Web サーバから Web クライアント 表 リンク 4 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum Web クライアント */TCP Exaquantum Web サーバ 80/TCP HTTP
Exaquantum Web サーバ 80/TCP Exaquantum Web クライアント */TCP HTTP
注意: Web サイトがポート番号 80 以外に設定された場合は,上記の定義を変更してください。 このリンクでは DCOM は使用していません。しかし,Exaquantum Explorer クライ
アントがインストールされ,Exaquantum サーバへのアクセスが可能な場合,クライ
アントと Exaquantum サーバとの間にリンク 1 で定義したポートが必要です。これ
は,Quantum.exe が Exaquantum Web サーバの Web サービスではなく,Exaquantumサーバにデータ取得の接続をするからです。
リンク 5:WTS サーバから Exaquantum サーバ これはリンク 1 と同じです。
リンク 6:Exaquantum WTS サーバから WTS クライアント 表 リンク 6 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum WTS クライアント */TCP Exaquantum WTS
サーバ 3389/TCP WTS プロトコル
Exaquantum WTS サーバ 3389/TCP Exaquantum WTS
クライアント */TCP WTS プロトコル
注意: ターミナルサーバが 3389 以外のポートに設定されている場合は,上記の定義に変更してくださ
い。 このリンクでは DCOM トラフィックはありません。
<目次> <2. Exaquantum ネットワーク管理> 2-12
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 7:Windows ドメインコントローラへのリンク 表 リンク 7 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
メンバ・システム */TCP DC 389/TCP Lightweight Directory Access Protocol (LDAP)
メンバ・システム */TCP DC 636/TCP LDAP セキュアソケットレイヤ(LDAP SSL)
メンバ・システム */TCP DC 3268/TCP LDAP グローバルカタログ
メンバ・システム */TCP DC 3269/TCP LDAP グローバルカタログセキュアソケットレイヤ
メンバ・システム */TCP & UDP DC 53/TCP & UDP ドメインネームサービス(DNS)
メンバ・システム */TCP & UDP DC 88/TCP & UDP Kerberos
メンバ・システム */TCP DC 445/TCP SMB プロトコル
メンバ・システム 123/UDP DC 123/UDP Simple Network Time Protocol SNTP
DC 389/TCP メンバシステム */TCP Lightweight Directory Access Protocol (LDAP)
DC 636/TCP メンバシステム */TCP LDAP セキュアソケットレイヤ(LDAP SSL)
DC 3268/TCP メンバシステム */TCP LDAP グローバルカタログ
DC 3269/TCP メンバシステム */TCP LDAP グローバルカタログセキュアソケットレイヤ
DC 53/TCP & UDP メンバシステム */TCP & UDP ドメインネームサービス(DNS)
DC 88/TCP/UDP メンバシステム */TCP & UDP Kerberos
DC 445/TCP メンバシステム */TCP SMB プロトコル
DC 123/UDP メンバシステム 123/UDP Simple Network Time Protocol SNTP
このリンクでは DCOM トラフィックはありません。
<目次> <2. Exaquantum ネットワーク管理> 2-13
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 8:Exaquantum サーバから OPC クライアント Exaquantum には OPC DA および HDA サーバの機能もあります。このとき,クライ
アント側の ProgID や GUID はクライアントに依存します。 DCOM ポート範囲の制限は Exaquantum サーバと OPC サーバの両方に適用されます
が,その範囲は同じである必要はありません。
表 リンク 8 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum サーバ */TCP OPC クライアント 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ */TCP OPC クライアント 1024-65535/TCP DCOM ダイナミック割り当てポート
OPC クライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM) Listener
OPC クライアント */TCP Exaquantum サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート Exaquantum サーバにより制限される
Exaquantumサーバでの DCOM ポートの合計:2 ・ ZOPDA.exe ・ QOPCHDAServer.exe
リンク 9:Exaquantum サーバから DNS サーバ これは,Exaquantum サーバがクライアントなどの IP アドレスの解決に使用される
DNS サーバが Windows のワークグループ環境に包含されます。 DNS リンクは前述の Windows ドメインコントローラへのリンクに記載されていま
す。
表 リンク 9 での TCP ポートフィルタ
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum サーバ */TCP & UDP DNS 53/TCP & UDP ドメインネームサービス(DNS)
DNS 53/TCP & UDP Exaquantum サーバ */TCP &
UDP ドメインネームサービス(DNS)
<目次> <2. Exaquantum ネットワーク管理> 2-14
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 10:Exaquantum サーバから PI OPC インタフェース PC Exaquantum には OPC DA および HDA サーバの機能もあります。このとき,クライ
アント側の ProgID や GUID はクライアントに依存します。 DCOM ポート範囲の制限は Exaquantum サーバと OPC サーバの両方に適用されます
が,その範囲は同じである必要はありません。
表 リンク 10 での TCP ポートフィルタ
リンク元 リンク先 ポート リンク先 リンク先
ポート 説明
Exaquantum サーバ */TCP PI OPC インタフェース PC 135/TCP RPC (DCOM) リスナー
Exaquantum サーバ */TCP PI OPC インタフェース PC
1024-65535/ TCP DCOM ダイナミック割り当てポート
PI OPC インタフェース PC */TCP Exaquantum サーバ 135/TCP RPC (DCOM) リスナー
PI OPC インタフェース PC */TCP Exaquantum サーバ 1024-65535/
TCP DCOM ダイナミック割り当てポート Exaquantum サーバにより制限される
PI OPC インタフェース PC */TCP Exaquantum サーバ 1433/TCP SQL Server 通信
Exaquantum サーバ 1433/TCP PI OPC インタフェース PC */TCP SQL Server 通信
Exaquantum サーバでの DCOM ポートの合計:3 ・ ZOPDA.exe ・ QOPCHDAServer.exe ・ QOPCHAEServer.exe
リンク 11:PI サーバから PI OPC インタフェース PC PI OPC インタフェース PC は,PI サーバに集めたデータを転送します。
表 リンク 11 での TCP ポートフィルタ
リンク元 リンク先 ポート リンク先 リンク先
ポート 説明
PI OPC インタフェース PC */TCP PI サーバ 5450/TCP PI サーバ通信
PI サーバ 5450/TCP PI OPC インタフェース PC */TCP PI サーバ通信
注意:PI サーバのリンク先ポート 5450 はデフォルト値です。リンク先 PI システムの設定がデフォルトから変更されてい
る場合,その値を設定する必要があります。
<目次> <2. Exaquantum ネットワーク管理> 2-15
IM 36J04A15-02
11th Edition : 2010.12.27-00
Microsoft メッセージキュー この機能を使用している場合,以下の表に示すポートは DCOM を使用せず RPC と
ポート番号 135 を使用して,mqsvc.exe が監視しているポートをクライアントが使
用できるようにします。これらのポートでアクセスを要求する PC 間のリンクは
MSMQ 定義に依存します。また,このリンクは,すべて単独の Exaquantum サーバ
または複数の Windows サーバと管理クライアント内に包含されます。 詳細は,以下を参照してください。 http://support.microsoft.com/?id=178517
表 MSMQ での TCP ポートフィルタ
リンク元 リンク元ポート リンク先 リンク先
ポート 説明
Event Source */TCP MSMQ キューマネージャ 135/TCP RPC (DCOM)リスナー
MSMQ キューマネージャ */TCP MSMQ キュー
マネージャ 1801/TCP メッセージトラフィックおよび内部セッションオン管理トラフィック
いずれかの MSMQ PC */TCP MSMQ キュー
サーバ
2101/TCP (2101 が使用されている場合,2112/TCP に代替可能)
MQIS ベースの RPC および Active Directory lookup
いずれかの MSMQ PC */TCP
MSMQ キューサーバまたは個別のクライアント
2103/TCP 2105/TCP (上記が使用されている場合,2114 および2116/TCP が代替可能)
キューのリモート読み込み (実際の接続用ポートはポート135 以上で与えられる)
いずれかの MSMQ PC */TCP MSMQ キュー
マネージャ 389/TCP LDAP lookup
いずれかの MSMQ PC */UDP いずれかの
MSMQ PC 3527/UDP MSMQ Ping
<目次> <2. Exaquantum ネットワーク管理> 2-16
IM 36J04A15-02
11th Edition : 2010.12.27-00
ネットワークトポロジーの例 リンク 1 から Microsoft メッセージキューまでの情報を使用した実際のファイア
ウォールの定義を 2 つ説明します。
DMZ (De-Militarised Zone)での Exaquantum Exaquantum サーバから見て,3 つのネットワーク接続がある,2 つのファイア
ウォールを持つ DMZ を以下に示します。
図 DMZ 内の Exaquantum
1
2
7 OPCクライアント
8
ファイアウォールA
Exaquantum Explorerおよび管理クライアント
ファイアウォールB
ドメイン
コントローラ
Exaquantumサーバ
OPCサーバ(workgroup)
<目次> <2. Exaquantum ネットワーク管理> 2-17
IM 36J04A15-02
11th Edition : 2010.12.27-00
前述のリンク 1 から Microsoft メッセージキューまでの情報から,以下の定義要求
が得られます。 ファイアウォール A リンク 1,7 および 8 のポート配置を以下に示します(DCOM ポート配置で制限が
ないと想定)。
表 DMZ 内の Exaquantum の TCP ポートフィルタ A
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Explorer クライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
Explorer クライアント */TCP Exaquantum サーバ 1433/TCP SQL サーバ通信
Explorer クライアント */TCP Exaquantum サーバ 1024-
65535/TCP DCOM ダイナミック割り当てポート 範囲はサーバによって制限される
Exaquantum サーバ */TCP Explorer クライアント 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ 1433/TCP Explorer クライアント */TCP SQL サーバ通信
Exaquantum サーバ */TCP Explorer クライアント
1024-65535/TCP DCOM ダイナミック割り当てポート
管理ツール クライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
管理ツール クライアント */TCP Exaquantum サーバ 1433/TCP SQL サーバ通信
管理ツール クライアント */TCP Exaquantum サーバ 1024-
65535/TCP DCOM ダイナミック割り当てポート 範囲はサーバによって制限される
Exaquantum サーバ */TCP 管理ツール クライアント 135/TCP RPC (DCOM) Listener
Exaquantum サーバ 1433/TCP 管理ツール クライアント */TCP SQL サーバ通信
Exaquantum サーバ */TCP 管理ツール クライアント
1024-65535/TCP DCOM ダイナミック割り当てポート
Exaquantum サーバ */TCP OPC クライアント 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ */TCP OPC クライアント 1024-65535/TCP DCOM ダイナミック割り当てポート
OPC クライアント */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
OPC クライアント */TCP Exaquantum サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート 範囲は Exaqunatum サーバによって制限される
Exaquantum サーバ */TCP DC 389/TCP Lightweight Directory Access Protocol (LDAP)
Exaquantum サーバ */TCP DC 636/TCP LDAP セキュアソケットレイヤ (LDAP SSL)
Exaquantum サーバ */TCP DC 3268/TCP LDAP グローバルカタログ
Exaquantum サーバ */TCP DC 3269/TCP LDAP グローバルカタログセキュアソケットレイヤ
Exaquantum サーバ */TCP & UDP DC 53/TCP & UDP ドメインネームサービス(DNS)
Exaquantum サーバ */TCP & UDP DC 88/TCP & UDP Kerberos
Exaquantum サーバ */TCP DC 445/TCP SMB プロトコル
Exaquantum サーバ 123/UDP DC 123/UDP Simple Network Time Protocol SNTP
<目次> <2. Exaquantum ネットワーク管理> 2-18
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
DC 389/TCP Exaquantum サーバ */TCP Lightweight Directory Access Protocol (LDAP)
DC 636/TCP Exaquantum サーバ */TCP LDAP セキュアソケットレイヤ (LDAP SSL)
DC 3268/TCP Exaquantum サーバ */TCP LDAP グローバルカタログ
DC 3269/TCP Exaquantum サーバ */TCP LDAP グローバルカタログセキュアソケットレイヤ
DC 53/TCP & UDP Exaquantum サーバ */TCP &
UDP ドメインネームサービス(DNS)
DC 88/TCP/UDP Exaquantum サーバ */TCP & UDP Kerberos
DC 445/TCP Exaquantum サーバ */TCP SMB プロトコル
DC 123/UDP Exaquantum サーバ 123/UDP Simple Network Time Protocol SNTP
ファイアウォール B リンク 2(DCOM ポート配置で制限がないと想定)
表 DMZ での Exaquantum の TCP ポートフィルタ B
リンク元 リンク元 ポート リンク先 リンク先
ポート 説明
Exaquantum サーバ */TCP OPC サーバ 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ */TCP OPC サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート 範囲は OPC サーバによって制限される
OPC サーバ */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
OPC サーバ */TCP Exaquantum サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート 範囲は Exaqunatum サーバによって制限される
HIS を Exaquantum クライアントとして使用している場合,ファイアウォール B の
定義にリンク 1 のポート定義を含めてください。また,HIS の DCOM ポート範囲を
「9+Exaquantum 以外に使用するリンク数」に制限するように考慮してください。 DCOM ポート制限 ファイアウォールの“穴”を削減するために,Exaquantum および OPC サーバの
DCOM 範囲を制限してください。
表 DCOM ポートカウント
Exaquantum サーバ 参照元とリンク番号 カウント コメント
2 Windows プロセス
リンク 1 5 データアクセスクライアント
リンク 1 3 管理ツールクライアント
リンク 2 5 OPC リンク
リンク 8 2 OPC クライアント
合計 17
<目次> <2. Exaquantum ネットワーク管理> 2-19
IM 36J04A15-02
11th Edition : 2010.12.27-00
OPC サーバ OPC サーバに依存:HDA 付き Exaopc CS3000 カセットが 3 つ
DMZ 内の Exaquantum,Web サーバ
ExaquantumサーバOPC
サーバ
WTSクライアント Webクライアント
DMZ
ファイアウォール
A
ドメインコントローラ
ファイアウォールB
ExaquantumWebサーバ
WTSサーバ
図 DMZ 内の Exaquantum,Web
ファイアウォール A リンク 4,6 および 7 のポート配置を以下に示します(DCOM ポート配置で制限が
ないと想定)。
表 DMZ での Exaquantum,Web の TCP ポートフィルタ A
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
Exaquantum Webクライアント */TCP Exaquantum Web
サーバ 80/TCP HTTP
Exaquantum Web サーバ 80/TCP Exaquantum Web
クライアント */TCP HTTP
Exaquantum WTSクライアント */TCP Exaquantum WTS
サーバ 3389/TCP WTS プロトコル
Exaquantum WTSサーバ 3389/TCP Exaquantum WTS
クライアント */TCP WTS プロトコル
メンバシステム */TCP DC 389/TCP Lightweight Directory Access Protocol (LDAP)
メンバシステム */TCP DC 636/TCP LDAP セキュアソケットレイヤ (LDAP SSL)
メンバシステム */TCP DC 3268/TCP LDAP グローバルカタログ
メンバシステム */TCP DC 3269/TCP LDAP グローバルカタログセキュアソケットレイヤ
メンバシステム */TCP & UDP DC 53/TCP & UDP ドメインネームサービス(DNS)
メンバシステム */TCP & UDP DC 88/TCP & UDP Kerberos
メンバシステム */TCP DC 445/TCP SMB プロトコル
メンバシステム 123/UDP DC 123/UDP Simple Network Time Protocol SNTP
DC 389/TCP メンバシステム */TCP Lightweight Directory Access Protocol (LDAP)
DC 636/TCP メンバシステム */TCP LDAP セキュアソケットレイヤ (LDAP SSL)
<目次> <2. Exaquantum ネットワーク管理> 2-20
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
DC 3268/TCP メンバシステム */TCP LDAP グローバルカタログ
DC 3269/TCP メンバシステム */TCP LDAP グローバルカタログセキュアソケットレイヤ
DC 53/TCP & UDP メンバシステム */TCP & UDP ドメインネームサービス(DNS)
DC 88/TCP/UDP メンバシステム */TCP & UDP Kerberos
DC 445/TCP メンバシステム */TCP SMB プロトコル
DC 123/UDP メンバシステム 123/UDP Simple Network Time Protocol SNTP
ファイアウォール B リンク 2(DCOM ポート配置で制限がないと想定)
表 DMZ での Exaquantum,Web の TCP ポートフィルタ B
リンク元 リンク元 ポート リンク先 リンク先ポート 説明
Exaquantum サーバ */TCP OPC サーバ 135/TCP RPC (DCOM)リスナー
Exaquantum サーバ */TCP OPC サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート範囲は OPC サーバによって制限される
OPC サーバ */TCP Exaquantum サーバ 135/TCP RPC (DCOM)リスナー
OPC サーバ */TCP Exaquantum サーバ 1024-65535/TCP
DCOM ダイナミック割り当てポート範囲は Exaqunatum サーバによって制限される
DCOM ポート制限 ファイアウォールの“穴”を削減するために,Exaquantum および OPC サーバの
DCOM 範囲を制限してください。
表 DCOM ポートカウント
Exaquantum サーバ 参照元とリンク番号 カウント コメント
2 Windows プロセス
リンク 3 およびリンク 5 5 Web サーバと経由のデータアクセス
リンク 5 3 WTS サーバ経由の管理ツールクライアント
リンク 2 5 OPC リンク
合計 15 注意: リンク 3 とリンク 5 は DCOM ポートプールから出て来る際にファイアウォールを通過しません
が,DCOM ポートにカウントします。
OPC サーバ
OPC サーバに依存:HDA 付き Exaopc CS3000 カセットで 3 ポート
<目次> <2. Exaquantum ネットワーク管理> 2-21
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.3.2 ディープパケットインスペクションのファイアウォール定義 ここでは,GUID による DCOM のトラフィックに対するディープパケットインスペ
クションファイアウォールの定義について説明します。以下のファイアウォールを
想定しています。 ・ Microsoft 社の ISA サーバ ・ Checkpoint Firewall One
IP パケットフィルタリングも要求されますので,この項を含むファイアウォールの
構成の節をお読みください。 Exaquantum システムでの各コンポーネントのリンク構成は以下のとおりです。コン
ポーネントはすべてファイアウォールを経由します。また,DCOM のトラフィック
もあわせて示します。
DCO
M
DCOM
DC
OM
図 Exaquantum コンポーネントのリンク構成
各リンクに示した番号は以下に示し,以降にその詳細を説明します。 本項に記載の WTS は Windows Terminal Server のことを意味しています。 ① Exaquantumサーバから Exaquantum Explorer クライアントまたは管理ツール ② Exaquantumサーバから OPC サーバ ③ Exaquantumサーバから Exaquantum Web サーバ ④ Exaquantum WTS サーバから Exaquantum サーバ ⑤ Exaquantum サーバから OPC クライアント ⑥ Exaquantum サーバから PI OPC インタフェース PC
以降に説明する各リンクの詳細では,以下を説明します。 ・ DCOM 通信での ProgID と GUID
これらの情報によって,要求されるファイアウォールの標準定義が得られます。特
定用途のプログラムや追加アプリケーションによって発生するプロジェクト特有の
通信要求は対象としていません。
<目次> <2. Exaquantum ネットワーク管理> 2-22
IM 36J04A15-02
11th Edition : 2010.12.27-00
注 意
Exaquantum サーバは,RBNS で構築した他の Exaquantum サーバのクライアントと
なる場合があります。
リンク 1:Exaquantum サーバから Exaquantum Explorer クライアントまたは管理ツール(クライアント上)
この接続は 2 つのコンポーネントに分けられ,同一または個別にインストールされ
ます。 ・ Exaquantum Explorer, Excel Add-In と API アクセス ・ Exaquantum管理ツール
それぞれの詳細を以下に示します。
Exaquantum Explorer, Excel Add-In と API アクセス
表 リンク 1 での ProgID と GUID DCOM プロセス ProgID と GUID 格納場所
Quantum.exe
Quantum.Broker.1 {455E1DAC-48C5-11D2-8E65-00C04FA2F82C} Quantum.Session.1 {DA2141A4-5DC5-11D2-8E70-00C04FA2F82C} Quantum.Session2.1 {50DE9C27-8BCF-48B7-B85A-463AEB2863BE}
Exaquantum サーバ
ExaquantumExecutive.exe ExaQuantumExecutive.Executive.1 {A3A150CD-01F4-11D3-AC0C-00C04FA767C0}
Exaquantum サーバ
QRBNSServerBrowse.exe RBNSServerBrowse.RBNSBrowse.1 {4C8823B6-E801-493E-859C-A8234858B1BD}
Exaquantum サーバ
QNameSpaceBrowser.exe QNamespaceBrowser.Browse2.1 {36EA7642-3ABB-11D4-9311-00104BAA756F}
Exaquantum サーバ
QHistorian.exe QHistorian.Historian.1 {F3E4AB3E-6E46-11D2-8A20-00C04FA2F681}
Exaquantum サーバ
MXXLDataSelector.exe MXXLDataSelector.CMXXLDataSelector {9FBC8945-AD5A-4251-9A0B-0B868DFB6A1B
Exaquantum クライアント
Quantum.exe
Quantum.Broker.1 {455E1DAC-48C5-11D2-8E65-00C04FA2F82C} Quantum.Session.1 {DA2141A4-5DC5-11D2-8E70-00C04FA2F82C} Quantum.Session2.1 {50DE9C27-8BCF-48B7-B85A-463AEB2863BE}
Exaquantum クライアント
QExplore.exe Exaquantum クライアント
LiveExplore Exaquantum クライアント
<目次> <2. Exaquantum ネットワーク管理> 2-23
IM 36J04A15-02
11th Edition : 2010.12.27-00
DCOM プロセス ProgID と GUID 格納場所
Excel Exaquantum クライアント
Query Wizard Exaquantum クライアント
Server Manager Exaquantum クライアント
API または OLE/DB を使用した他のコード Exaquantum クライアント
注意:Exaquantum クライアントが記述された上記の表に ProgID と GUID を定義することはできません。これは,ProgID
や GUID はダイナミック DCOM コールバックであるためです。Exaquantum クライアントでは,関連した DCOM プロセスを 1 つ以上実行できます。
Exaquantum 管理ツール
表 リンク 1 での ProgID と GUID DCOM プロセス ProgID と GUID 格納場所
2.3.1 項の Exaquantum Explorer クライアントに関する内容と同じ
Exaquantum サーバ
QBuilder.exe
QBuilder.FBBuilder {1AD16D6F-5995-11D4-A9E3-00C04FA2E45C} QBuilder.TagBuilder {1AD16D60-5995-11D4-A9E3-00C04FA2E45C}
Exaquantum サーバ
QAnalyse.exe
QAnalyse.FBAnalyser.1 {AEB1CEA0-5992-11D4-9AED-00C04FA767C0} QAnalyse.TagAnalyser.1 {242E5780-C500-4F11-AD3E-F741B4061B6D}
Exaquantum サーバ
QFBRetriever.exe
QFBRetriever.cCandidates {BAB8A4FB-42D4-11D4-A0D8-00C04F7949E9} QFBRetriever.cReadFile {BAB8A4F9-42D4-11D4-A0D8-00C04F7949E9}
Exaquantum サーバ
<目次> <2. Exaquantum ネットワーク管理> 2-24
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 2:Exaquantum サーバから OPC サーバ OPC サーバ上で使われている ProgID は,OPC サーバの種類によって異なります。
以下に,OPC サーバが利用可能なすべてのオプションをサポートしている場合の一
覧表を示します。 ・ 参照を含む DA ・ HDA ・ A&E ・ プロパティ
表 リンク 2 での ProgID と GUID DCOM Process ProgID & GUID Location
QOPCDAMgr.exe YokogawaMarex.QOPCDAMgr.1 {65FF4FB1-7D85-11D4-8A8A-00C04F95AC2C}
Exaquantum サーバ
QOPCDAPump.exe QOPCAEPump.Pump.1 {97CB6026-7E0B-11D2-9462-00C04FA2F82A}
Exaquantum サーバ
QOPCPropertyAccess.exe YokogawaMarex.QOPCProp.1 {77C5C20C-3DF6-11D4-B2DB-004095460E25}
Exaquantum サーバ
QFBRetriever.exe (OPC 等値化)
QFBRetriever.cCandidates {BAB8A4FB-42D4-11D4-A0D8-00C04F7949E9} QFBRetriever.cReadFile {BAB8A4F9-42D4-11D4-A0D8-00C04F7949E9}
Exaquantum サーバ
QZOPCAECatchup.exe YokogawaMarex.QZOPCAECatchup.1 {87320759-08BA-11D5-8AFD-00C04F95AC2C}
Exaquantum サーバ
OPC サーバソフトウェアに依存。1 つは A&E,1 つはDA,可能性として 1 つはHDA
OPC サーバ
<目次> <2. Exaquantum ネットワーク管理> 2-25
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 3:Exaquantum サーバから Exaquantum Web サーバ 表 リンク 3 での ProgID と GUID
DCOM プロセス ProgID と GUID 格納場所
Quantum.exe
Quantum.Broker.1 {455E1DAC-48C5-11D2-8E65-00C04FA2F82C} Quantum.Session.1 {DA2141A4-5DC5-11D2-8E70-00C04FA2F82C} Quantum.Session2.1 {50DE9C27-8BCF-48B7-B85A-463AEB2863BE}
Exaquantum サーバ
ExaquantumExecutive.exe ExaQuantumExecutive.Executive.1 {A3A150CD-01F4-11D3-AC0C-00C04FA767C0}
Exaquantum サーバ
QRBNSServerBrowse RBNSServerBrowse.RBNSBrowse.1 {4C8823B6-E801-493E-859C-A8234858B1BD}
Exaquantum サーバ
QNameSpaceBrowser QNamespaceBrowser.Browse2.1 {36EA7642-3ABB-11D4-9311-00104BAA756F}
Exaquantum サーバ
QHistorian QHistorian.Historian.1 {F3E4AB3E-6E46-11D2-8A20-00C04FA2F681}
Exaquantum サーバ
Quantum.exe
Quantum.Broker.1 {455E1DAC-48C5-11D2-8E65-00C04FA2F82C} Quantum.Session.1 {DA2141A4-5DC5-11D2-8E70-00C04FA2F82C} Quantum.Session2.1 {50DE9C27-8BCF-48B7-B85A-463AEB2863BE}
Exaquantum Web サーバ
w3wp.exe(Web サイトへのワーカプールプロセス) Exaquantum Web サーバ
リンク 4:WTS サーバから Exaquantum サーバ これはリンク 1 と同じです。
<目次> <2. Exaquantum ネットワーク管理> 2-26
IM 36J04A15-02
11th Edition : 2010.12.27-00
リンク 5:Exaquantum サーバから OPC クライアント Exaquantum は OPC DA および HDA サーバとして動作します。クライアント側の
ProgID と GUID はクライアントに依存します。
表 リンク 5 での ProgID と GUID DCOM Process ProgID Location
ZOPDA.exe Yokogawa.ExaopcDAEXQ.1 {7C55C23F-4A01-43AD-B517-B7DA3B25EECB}
Exaquantum サーバ
QOPCHDAServer.exe
QOPCHDAServer.HDAServer.1 {E42A32A3-BDD8-40A5-9388-2ADE4CC9AAA3} QOPCHDAServer.HDAServerEx.1 {2A2165B5-7291-4F60-BD5B-DB6EB554E777}
Exaquantum サーバ
QOPCHAEServer.exe QOPCHAEServer.HDAServer_PIAE.1 {A297E742-2EA3-463E-BD63-46C6555391AE}
Exaquantum サーバ
OPCクライアントソフトウェアに依存。1つはA&E,可能性として 1つはHDA
OPC サーバ
リンク 6:Exaquantum サーバから PI OPC インタフェース PC これは,リンク 5 と同じです。
<目次> <2. Exaquantum ネットワーク管理> 2-27
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.3.3 DCOM 用ポートの制限設定 DCOM が使用するポートは,Windows システムによりダイナミックに取得されま
す。 ファイアウォール機器を使用する場合は,取得するポートの範囲を制限することに
より,ファイアウォールの“穴”を削減することができます。 この範囲は,必要とする DCOM のポート数の合計より多く設定する必要がありま
す。 この手順は Exaquantum サーバ上で実行する必要があります。ポート範囲はクライ
アントマシン上で制限する必要はありません。Exaquantum サーバ上でポートの制限
をする際には,Exaquantum サーバの特定の IP アドレス向けのこれらのポート上の
受信トラフィックに対してのみオープンとなるようにファイアウォールを構築する
ことができます。すべての送信ポート 1024-65535 はオープンになるものとしま
す。 他のアプリケーションが DCOM を使用している場合,各アプリケーションに対す
るポート要件を考慮する必要があります。 1. コンポーネントサービスを起動するには,[スタート]メニューから[プログ
ラム]-[管理ツール]-[コンポーネントサービス]をクリックします。 2. 「コンポーネントサービス」-「コンピュータ」のノードをクリックして展開
します。「マイ コンピュータ」を右クリックしてから,「プロパティ」をク
リックします。 3. 「既定のプロトコル」タブ上で,「DCOM プロトコル」リストボックス内の
「接続指向 TCP/IP」をクリックして,次に「プロパティ」をクリックします。 4. 「COM インターネットサービスのプロパティ」ダイアログボックスで,[追
加]をクリックします。 5. 「ポート範囲」テキストボックスで,ポート範囲(例えば,タイプ 5000~
5020)を追加して,次に[OK]をクリックします。 6. 「ポート範囲の割り当て」および「既定の動的ポート割り当て」オプションを
「インターネットの範囲」に設定したままにします。 7. [OK]を 3 回クリックしてから,Exaquantum サーバコンピュータを再起動し
ます。
<目次> <2. Exaquantum ネットワーク管理> 2-28
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.3.4 Windows ファイアウォール機能を有効にする場合 Windows XP SP2 以降,Windows Server 2003 SP1 以降,Windows Vista,Windows 7 お
よび Windows Server 2008 では,Windows ファイアウォール機能が追加されていま
す。ただし,Windows Server 2003 SP1 以降の場合,この機能はデフォルトでは無効
になっています。 この機能を有効にして使用する場合は,Windows ファイアウォールに所定の設定を
行う必要があります。下記の手順でファイアウォールの設定を行ってください。 なお,設定は administrator の権限で行う必要があります。
注 意
他のソフトウェアパッケージが同居している場合は,そのソフトウェアパッケージ
のファイアウォール設定について確認してください。
Windows ファイアウォール機能を無効にして使用する場合は,以下の設定は必要あ
りません。
補足 Windows Server 2003 SP1 以降で Windows ファイアウォール機能を有効に変更すると,初回のみ下記の
ダイアログが表示されます。ダイアログが表示された場合は,[はい]を選択してください。
<目次> <2. Exaquantum ネットワーク管理> 2-29
IM 36J04A15-02
11th Edition : 2010.12.27-00
PIMS サーバまたは,PIMS サーバおよび Web サーバの場合 例外リストにヒストリカルデータのコールバックを許す以下のポートとアプリケー
ションを追加します。
ポート ポート番号
HTTP 80/TCP(Web サーバのみ)
EPMAP 135/TCP
MSSQL 1433/TCP
リモートデスクトップ 3389/TCP
アプリケーション パス
ExaquantumLiveXplore Developer Tools¥LiveXplore.exe
mmc.exe C:¥WINDOWS¥system32¥mmc.exe
ExaquantumQuantumModule インストールフォルダ¥System¥Quantum.exe
Exaquantum Explorer インストールフォルダ¥Explorer¥QExplore.exe
Exaquantum システムイベントビューア インストールフォルダ¥Developer Tools¥SysEventsViewer.exe
Microsoft Excel (2003 の場合) C:¥Program Files¥Microsoft Office¥OFFICE11¥EXCEL.EXE
Microsoft Excel (2007 の場合) C:¥Program Files¥Microsoft Office¥OFFICE12¥EXCEL.EXE
Microsoft Excel (2010 の場合) C:¥Program Files¥Microsoft Office¥OFFICE14¥EXCEL.EXE
ExaQuantumExecutive.exe インストールフォルダ¥System¥ExaQuantumExecutive.exe
QRBNSServerBrowse.exe インストールフォルダ¥System¥QRBNSServerBrowse.exe
QNameSpaceBrowser.exe インストールフォルダ¥System¥QNameSpaceBrowser.exe
QHistorian.exe インストールフォルダ¥System¥QHistorian.exe
QBuilder.exe インストールフォルダ¥System¥QBuilder.exe
QAnalyse.exe インストールフォルダ¥System¥QAnalyse.exe
QFBRetriever.exe インストールフォルダ¥Product Tools¥QFBRetriever.exe
QOPCDAMgr.exe インストールフォルダ¥System¥QOPCDAMgr.exe
QOPCAEPump.exe インストールフォルダ¥System¥QOPCAEPump.exe
QOPCPropertyAccess.exe インストールフォルダ¥System¥QOPCPropertyAccess.exe
QZOPCAECatchup.exe インストールフォルダ¥System¥QZOPCAECatchup.exe
QOPCDAPump.exe インストールフォルダ¥System¥QOPCDAPump.exe
QArchive.exe インストールフォルダ¥System¥QArchive.exe
QEventHandler.exe インストールフォルダ¥System¥QEventHandler.exe
EQTagDefOutput.exe インストールフォルダ¥PIConnect¥ EQTagDefOutput.exe
<目次> <2. Exaquantum ネットワーク管理> 2-30
IM 36J04A15-02
11th Edition : 2010.12.27-00
Web サーバ,クライアントの場合 例外リストにヒストリカルデータのコールバックを許す以下のポートとアプリケー
ションを追加します。
ポート ポート番号
HTTP 80/TCP(Web サーバのみ)
EPMAP 135/TCP
アプリケーション 場所 備考
MMC WINDOWS¥system32¥mmc.exe Exaquantum 管理ツールで使用
Exaquantum Explorer <Exaquantum イ ン ス ト ー ル フ ォ ル ダ > ¥Explorer¥QExplore.exe ヒストリカルデータ要求時
Exaquantum Quantum Module
<Exaquantum イ ン ス ト ー ル フ ォ ル ダ > ¥System¥Quantum.exe サーバとの通信モジュール
Exaquantum LiveXplore <Exaquantum インストールフォルダ>¥Developer Tools¥LiveXplore.exe ヒストリカルデータ要求時
Exaquantum システムイベントビューア
<Exaquantum インストールフォルダ>¥Developer Tools¥SysEventsViewer.exe
タグデータ要求時のコールバック
MXXLDataSelector.exe <Exaquantum インストールフォルダ> ¥System¥ MXXLDataSelector.exe
データセレクタトレンドツールでのデータを提供するためのヒストリアンコールバック用
Microsoft Excel
<Microsoft Officeインストールフォルダ> ¥Excel.exe ・Office 2010 のとき
C:¥Program Files¥Microsoft Office¥OFFICE14¥ ・Office 2007 のとき
C:¥Program Files¥Microsoft Office¥OFFICE12¥ ・Office 2003 のとき
C:¥Program Files¥Microsoft Office¥OFFICE11¥
ヒストリカルデータ要求時
EQTagDefOutput.exe <Exaquantum インストールフォルダ> ¥PIConnect¥ EQTagDefOutput.exe
PI インタフェース構築で使用
注 意
・ ヒストリカルデータにアクセスする OLE/DB プロバイダー使用のユーザ作成ア
プリケーションは,上記のリストに追加する必要があります。 ・ ヒストリカルデータにアクセスする API 使用のユーザ作成アプリケーション
は,上記のリストに追加する必要があります。
<目次> <2. Exaquantum ネットワーク管理> 2-31
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.3.5 Windows ファイアウォール設定手順
Windows XP または Windows Server 2003 の場合 Windows ファイアウォール機能が有効になっている場合は,以下の設定を行う必要
があります。 1. コントロールパネルから“Windows ファイアウォール”を選択し,例外タブを
選択します。
2. 例外タブで[プログラムの追加]をクリックし,例外リストに以下に示すアプ
リケーションプログラムを追加します。
<目次> <2. Exaquantum ネットワーク管理> 2-32
IM 36J04A15-02
11th Edition : 2010.12.27-00
[プログラムの追加]をクリックしたあとにアプリケーションがリストに表示
されない場合には,[参照]ボタンをクリックしてアプリケーションを指定し
てください。
補足 例外リストに追加できるのは,拡張子が exe のファイルのみです。
3. Windows ファイアウォールダイアログの例外タブで[ポートの追加]をクリッ
クします。 ポートの追加ダイアログが表示されるので,“ポート番号”を追加します。
<目次> <2. Exaquantum ネットワーク管理> 2-33
IM 36J04A15-02
11th Edition : 2010.12.27-00
Windows Vista,Windows 7,Windows Server 2008 または Windows Server 2008 R2 の場合
高度セキュリティ付き Windows ファイアウォールスナップインにアクセスする方法
を以下に示します。 ・ Windows Vista の場合: コントロールパネルの「管理者ツール」を選択 ・ Windows Server 2008,Windows Server 2008 R2 の場合: サーバマネージャの「構
成」を選択 ・ Microsoft 管理ツールから「セキュリティが強化された Windows ファイアウォー
ル」スナップインを開く スナップインは以下のように表示されます。
図 セキュリティが強化された Windows ファイアウォールスナップイン
<目次> <2. Exaquantum ネットワーク管理> 2-34
IM 36J04A15-02
11th Edition : 2010.12.27-00
新規規則の追加 次に,「受信の規則」を選択してから,「新規の規則...」 をクリックすると,新規
の受信の規則ウィザードが表示されます。
図 [新規の規則...]メニュー
プログラム規則を追加する場合 規則の種類で「プログラム」を選択して,[次へ]ボタンをクリックします。 規則の種類
図 「プログラム規則オプション」メニュー
<目次> <2. Exaquantum ネットワーク管理> 2-35
IM 36J04A15-02
11th Edition : 2010.12.27-00
プログラム 「このプログラムのパス」を選択し,[参照]ボタンをクリックしてプログラムを
指定した後,[次へ]ボタンをクリックして,次ページの「操作」に進みます。
図 プログラムの場所を選択
ポート規則を追加する場合 ポート規則を追加するには,「規則の種類」から「ポート」を選択して,[次へ]
ボタンをクリックします。
図 ポート規則オプション
<目次> <2. Exaquantum ネットワーク管理> 2-36
IM 36J04A15-02
11th Edition : 2010.12.27-00
プロトコルおよびポート 「プロトコルおよびポート」で規則の設定を行い,[次へ]ボタンをクリックし
て,「操作」に進みます。
図 ポートの指定
操作 「接続を許可する」を選択し,[次へ]ボタンをクリックします。
図 接続の許可
<目次> <2. Exaquantum ネットワーク管理> 2-37
IM 36J04A15-02
11th Edition : 2010.12.27-00
プロファイル 「ドメイン」,「プライベート」,および「パブリック」を選択し,[次へ]ボタ
ンをクリックします。
図 規則を適用する場合の定義
名前 「名前」に規則名を入力し,「説明」に規則の説明を入力して,[次へ]ボタンを
クリックします。
図 規則の名前
<目次> <2. Exaquantum ネットワーク管理> 2-38
IM 36J04A15-02
11th Edition : 2010.12.27-00
既存規則の変更 既存の規則を変更するには,受信の規則から変更が必要となった規則をダブルク
リックしてプロパティを表示します。 プログラムの場合
図 プログラムの編集
ポートの場合
図 ポート例外の編集
<目次> <2. Exaquantum ネットワーク管理> 2-39
IM 36J04A15-02
11th Edition : 2010.12.27-00
2.4 VPN ネットワーク接続に対する Exaquantumの定義
概要 バーチャルプライベートネットワーク(VPN)接続によって,サイトから離れたと
ころのユーザがインターネットなどの公共のネットワークを経由して専用の LANや WAN に安全に接続できるようになります。このタイプの接続方法では,公共の
ネットワークを通過する間は内容をコード化したり異なるアドレスで覆うなどに
よって通信にマスクがかけられます。各 VPN 接続端に追加の定義が必要になるこ
とがあります。これは,2 台のコンピュータがマスキング処理を通して存在するた
めです。本節では以下を説明します。 ・ VPN 接続の工程 ・ DNS なしの場合の VPN に対する Exaquantum の設定 ・ VPN に関するトラブルシューティング
VPN 接続の工程 ドメインネームサービス(DNS)が 大に提供されたシステムや適切に定義されて
いるファイアウォールが介在するシステムでは,Exaquantum システムは追加の定義
を行うことなく VPN を稼動できます。 Exaquantum
外部クライアント VPNサーバ
ファイアウォール
Internet
DNSサーバ
ExaquantumサーバExaquantum
内部クライアント
外部ネットワーク環境
内部ネットワーク環境
LANバックボーン
VPN接続
通常の VPN 接続の動作は以下のようになります。 クライアント PC がインターネットに接続します。 クライアントがリモート VPN サーバに安全な接続を試みます。 認証が得られた場合は,VPN サーバはクライアントに IP アドレスを発行します。
この IP アドレスは Exaquantum サーバと同じサブネットです。このアドレスはクラ
イアントの‘本当の’IP アドレスではないため,ローカルネットワーク内でのみ有
効です。
<目次> <2. Exaquantum ネットワーク管理> 2-40
IM 36J04A15-02
11th Edition : 2010.12.27-00
Exaquantum サーバは,VPN サーバがクライアントの本当のアドレスへのルーティ
ングを補助するため,このアドレスを使用してリモートクライアントと通信を行う
ことができます。 反対方向については,必要なルーティングを行う VPN サーバを経由して,クライ
アントは Exaquantum サーバと通信を行うことができます。クライアントは,サー
バを設置するために目的のネットワーク上に提供される名前解決サービス(DNS)にアクセスするために,VPN を使用します。 しかし,DNS が利用できない場合には,別の設定を行う必要があります。次に,こ
の設定について説明します。
DNS なしの場合の VPN に対する Exaquantum の設定 異なる角度から問題にアプローチする 2 つの方法があります。 ・ IP アドレスを使用する: コンピュータ名でなく IP アドレスを使用する方法です。この方法では,クライ
アント PC での Exaquantum の設定と,各 Exaquantum サーバの Windows レジス
トリを変更する必要があります。 ・ コンピュータ名を使用する: この方法では通常使用する名前を使用します。ただし,クライアントの
‘hosts’ファイルを変更して,各 Exaquantum サーバの IP アドレスと適切な名
前をマッピングします。
IP アドレスを使用するための設定 このシステムを使用可能にするには,1 つ以上の Exaquantum サーバがあるかどうか
によって,2 つまたは 3 つの設定段階があります。 クライアント側の設定 クライアント PC では VPN 接続を使用します。 1. クライアントから VPN サーバまでの VPN 接続を確立します。 2. [スタート]-[プログラム]-[Exaquantum]-[サーバマネージャ]を選
択してサーバ管理ツールを起動します。 3. プライマリサーバボックスで,サーバ名をサーバの IP アドレスに変更します。
<目次> <2. Exaquantum ネットワーク管理> 2-41
IM 36J04A15-02
11th Edition : 2010.12.27-00
4. セカンダリサーバを使用している場合は,セカンダリサーバボックスで,サー
バ名をサーバの IP アドレスに変更します。
5. 接続できるかをチェックするため,設定した各サーバの[テスト]ボタンをク
リックして,サーバの状態が“実行中”になることを確認します。 6. [OK]をクリックしてサーバ管理ツールを閉じます。
サーバ側の設定 通常のシステムでは,Exaquantum サーバはホスト名をクライアントに渡します。こ
の名前を解決する DNS がないと,クライアントはサーバを特定できません。この
問題を解決するために,名前の代わりに IP アドレスを渡すように設定する必要が
あります。 この変更には Windows レジストリを編集する必要があります。レジストリの変更を
行う前に,システム全体のバックアップをとることを強くおすすめします。レジス
トリの変更をご自身で行うことが難しい場合は,当社サポート窓口までお問い合わ
せください。 名前は以下の 4 箇所に設定します。
HKEY_LOCAL_MACHINE¥SOFTWARE¥Quantum¥Client¥DesignatedServer
HKEY_LOCAL_MACHINE¥SOFTWARE¥Quantum¥DB¥QConfigServer
HKEY_LOCAL_MACHINE¥SOFTWARE¥Quantum¥Server¥Historian¥HistorianAd
minServer
HKEY_LOCAL_MACHINE¥SOFTWARE¥Quantum¥Server¥Historian¥HistorianDa
taServer
<目次> <2. Exaquantum ネットワーク管理> 2-42
IM 36J04A15-02
11th Edition : 2010.12.27-00
プライマリサーバの設定は,以下の手順で行います。 1. レジストリエディタを起動します。 2. 上記のレジストリキーのそれぞれのキーデータをサーバ名から IP アドレスに変
更します。
3. レジストリエディタを閉じます。 4. この変更は Exaquantum を停止するか再起動するまでは有効になりません。 1 台もクライアントが接続していないことを確認してから,Exaquantum サーバ
マネージャツールを使用します。[スタート]-[プログラム]-
[Exaquantum]-[Exaquantum サーバマネージャ]を選択します。 5. [停止]ボタンをクリックしてサービスを停止します。少しの時間を置いて状
態が‘停止’になります。 6. 利用可能になってから,[開始]ボタンを押してサービスを再開します。状態
は‘実行中’になります。
<目次> <2. Exaquantum ネットワーク管理> 2-43
IM 36J04A15-02
11th Edition : 2010.12.27-00
マルチサーバ環境での設定 上記に加えて,マルチサーバの環境では,それぞれのサーバに対して IP アドレス
を使用することをプライマリサーバにて認識させておく必要があります。これはプ
ライマリサーバのサーバツールで設定することができます。 プライマリ Exaquantum サーバで,以下を実行します。 1. QAdministrator 権限を持つアカウント(QuantumUser アカウントなど)でサーバ
にログオンします。 2. [スタート]-[プログラム]-[Exaquantum]-[システム管理ツール]を
選択して管理ツールを起動します。 3. ツリービューで[Console Root]-[Yokogawa Exaquantum]-[システム構
成]-[Exaquantum サーバ]を選択します。
4. リスト表示されたサーバそれぞれについて,コンピュータ名を IP アドレスに変
更します。 5. 管理ツールを閉じます。 6. この変更は Exaquantum を停止するか再起動するまでは有効になりません。 1 台もクライアントが接続していないことを確認してから,Exaquantum サーバ
マネージャツールを使用します。[スタート]-[プログラム]-
[Exaquantum]-[Exaquantum サーバマネージャ]を選択します。
ホスト名を使用する設定 この方法で必要な設定とは,サーバから提供される NetBIOS ホスト名を解決する方
法をクライアントに提供することです。これはクライアント PC の‘hosts’ファイ
ルに適切な情報を追加することで実現できます。通常のインストールが行われた場
合には,‘hosts’ファイルは以下のディレクトリに格納されています。 %Windir%¥system32¥drivers¥etc
この設定を完成するためには,アクセスするすべての Exaquantum サーバのホスト
名と IP アドレスが必要になります。
<目次> <2. Exaquantum ネットワーク管理> 2-44
IM 36J04A15-02
11th Edition : 2010.12.27-00
クライアント PC の‘hosts’ファイルにサーバを追加するには,以下を実行しま
す。 1. メモ帳などのテキストエディタで hosts ファイルを開きます。 2. hosts ファイルの既存の項目に,1 行に 1 つのサーバ単位で追加します。追加す
る際は,<IP アドレス> <名前>の形式で入力します。 入力例: 192.168.100.1 MyServer1 192.168.100.2 MyServer2 3. 変更を保存してテキストエディタを閉じます。変更はただちに有効になりま
す。 Ping コマンドを使用して変更の確認を行います。以下の形式で実行します。
ping <名前>
例えば,コンソールウィンドウの場合では,以下のようになります。 ping MyServer1
VPN に関するトラブルシューティング
接続できない VPN 接続が適切に動作しない原因は大きく分けて 2 つあります。個別の場合につい
て,原因が何であるかを診断するために,「原因の特定」以降での説明を実行して
ください。 DNS がない DNS が利用できないシステムでは,クライアントがサーバ名を解決できないため,
システムが動作しません。エラーメッセージは表示されませんが,製品のクライン
トツールにアクセスできなかったり,画面に斑点模様が表示されるなどの現象がみ
られます。 ファイアウォール もうひとつの原因は 2 つのコンピュータの間にあるファイアウォールです。
Exaquantum が要求する通信ポートが制限されていることが考えられます。
原因の特定 問題を診断するには 2 つの段階があります。 ・ ネットワークの接続状況を確認する: 2 つのコンピュータ間で適切にネットワークがつながっているかをチェックし
ます。 ・ DNS の機能を確認する: クライアント PC が DNS を利用できるかどうかをチェックします。
<目次> <2. Exaquantum ネットワーク管理> 2-45
IM 36J04A15-02
11th Edition : 2010.12.27-00
ネットワークの接続状況を確認する このテストの目的は,クライアント PC と Exaquantum サーバマシンとの間に適切な
ネットワークが敷かれているかを確認することです。 まず,クライアント PC と VPN サーバとの間で VPN 接続を確立します。接続され
たら,クライアント PC のコンソールウィンドウを開いて以下を入力します。 ping <Exaquantum サーバの IP アドレス>
入力されたサーバからの反応があるはずです。反応の結果は以下のようになりま
す。 C:¥>ping 172.10.20.31
Pinging Exaq1 [172.10.20.31] with 32 bytes of data
Replay from 172.10.20.31: bytes=32 time<1ms TTL=128
Replay from 172.10.20.31: bytes=32 time<1ms TTL=128
何も反応がない場合は,ping コマンドの実行に使われる ICMP プロトコルがファイ
アウォールによってブロックされている可能性があります。ネットワーク管理者に
問い合わせてください。
DNS の機能を確認する このテストの目的は,クライアント PC が目的のネットワークの DNS にアクセスで
きるかを確認することです。クライアントと VPN サーバ間の VPN 接続が適切であ
ること,また,ネットワーク接続のテストに合格していることを前提とします。 まず,クライアント PC と VPN サーバとの間で VPN 接続を確立します。接続され
たら,クライアント PC のコンソールウィンドウを開いて以下を入力します。 Nslookup <Exaquantum サーバのホスト名>
DNS は Exaquantum サーバの IP アドレスを返すはずです。反応の結果は以下のよう
になります。 C:¥>nslookup Exaq1
Server: pluto.corp.yokogawa-marex.com
Address: 172.10.20.100
Name: Exaq1.corp.yokogawa-marex.com
Address: 172.10.20.31
上記の例では,問題の IP アドレスは 2 つめの「172.10.20.31」です。 DNS からの反応がない場合,以下が考えられます。 ・ リモートネットワーク上に機能する DNS があることが分かっている場合,DNS
の設定に不備がある可能性があります。 ・ 利用できる DNS がない場合,「DNS がない場合の VPN に対する Exaquantum
の設定」を確認してください。
Blank Page
<目次> <3. インストール時の設定事項(従来モデル)> 3-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
3. インストール時の設定事項(従来モデル)
注 意
本章の内容は,IT セキュリティ設定が従来モデルであることを前提としています。
インストール中にローカルユーザグループが自動的に作成されます。 3.1 インストールの基本要素
Exaquantum では,データベースへのアクセスをコントロールする 4 つのユーザグ
ループと,サーバ・クライアント間の接続をコントロールする「quantumuser」と呼
ばれる特別なユーザアカウントが必要となります。
基本 Exaquantum ユーザグループ Exaquantum には,4 つの基本「ユーザグループ」が用意されています。それらを以
下に示します。
ユーザグループ 解説
QAdministratorGroup
Exaquantum データベースの変更,イコライズ,タグ作成,およびデータ書き込みができる。
QExplorerDesignGroup
Exaquantum/Explorer を「編集」モードで開いたり,Exaquantum/Explorer ドキュメントを作成あるいは変更できる。
QDataWriteGroup
データの書き込みができるが,その他のQAdministratorGroup 権限は使えない。
QUserGroup
Exaquantum にアクセスできる。上記のグループのすべてのメンバは必ずこのグループに所属しなければならない。
上級 Exaquantum ユーザグループ ユーザの役割に応じて特定のタグにアクセスできる機能が用意されています。管理
者はプラント全体のタグをアクセスできますが,例えばエリア 1 内にいるオペレー
タはエリア 1 内のタグしかアクセスできないなどの設定ができます。これは,
「ロールベース・ビュー」と呼ばれる拡張セキュリティモデルによって管理されま
す。これによって,アクセスをコントロールするユーザグループを追加することが
できます。
参照 ロールベース・ビューの詳細については,『Exaquantum/PIMS 説明書(IM 36J04A11-01)』の「5. ロールベース・ビューの定義」を参照してください。
<目次> <3. インストール時の設定事項(従来モデル)> 3-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
ユーザグループのメンバシップ ユーザグループは,そのグループのみに限定された権限を持つことができる複数の
ユーザアカウントで構成されます。したがって,グループの権限を利用できるよう
にするためには,すべてのアカウントをこれらのグループに対して追加する必要が
あります。別の方法としては,ユーザアカウントのローカルコピーを,ユーザグ
ループとして同じロケーション内に作成することもできます。これらのコピーは元
のアカウントと同じパスワードを持つ必要があります。
quantumuser アカウントの使用 「quantumuser」アカウントは Exaquantum システム上のすべてのコンピュータで使
用可能であることが必要です。これには,Exaquantum システム上のすべてのコン
ピュータからアクセス可能なアカウントをドメインに作成するか,または
Exaquantum システムのそれぞれのコンピュータ上に「quantumuser」アカウントを
作成します。「quantumuser」アカウントはすべて同じパスワードを持つ必要があり
ます。
Exaquantum セキュリティ Exaquantum はネットワークベースで,プロセスデータの保存と読み出しを行うデー
タベース管理を行います。データベースへのアクセスは,認証されたユーザのみア
クセスできるようにコントロールされている必要があります。Exaquantum に使用さ
れるセキュリティは包括的なものであり,汎用とロールベース・ビューの両方のモ
デルにおいて,柔軟かつ確実なセキュリティを可能にします。このセキュリティを
確定するのが Windows のセキュリティグループです。 Exaquantum セキュリティは,Exaquantum データサーバと Exaquantum Web サーバの
両方に適用されます。両サーバはこのセキュリティに適合するために同一のインス
トール手段を使用します。
<目次> <3. インストール時の設定事項(従来モデル)> 3-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
Exaquantum セキュリティの説明 Exaquantum 内部の接続が確立される前に,2 つの条件があります。 ・ Exaquantum サーバ,クライアント間通信での Exaquantum システムアカウント
(quantumuser ユーザアカウント)による接続 ・ QUserGroup のメンバシップ
注意:その他のグループのメンバシップも特別な操作を行うために必要ですが,これは,説明を分かりやすくするため,
この例では省くことにします。
quantumuser ユーザアカウントはサーバとクライアント間のアクセスを管理する特
別なアカウントです。 Exaquantum プロセスはこのアカウントとして動作するよう
設定され,そのアカウントが使用できない場合は,そのプロセスが実行できませ
ん。 UserGroup のメンバシップは,Exaquantum に対する基本アクセスを可能にするため
には,すべてのユーザが QUserGroup のメンバでなければなりません。 例:Exaquantum クライアントコンピュータ上で,'Yokogawa' のログインアカウン
トで行われたとします。 Exaquantum は,そのクライアントコンピュータが
quantumuser ユーザアカウントにアクセスするか,正しいパスワードを持ってい
るかを,まずチェックします。 Exaquantum は次に, 'Yokogawa' という名のメ
ンバ用の QUserGroup をチェックし,それが見つかったら,パスワードが正し
いかチェックします。一致していることが分かればアクセスが許可され,不一
致が見つかればアクセスは拒否されます。
<目次> <3. インストール時の設定事項(従来モデル)> 3-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
3.2 ユーザをユーザグループに追加する ユーザアカウントをユーザグループに追加するには 2 つの方法「ドメイン認証」
と「ワークグループ認証」があります。 3.2.1 ドメイン認証
ドメインモデルでは,すべてのユーザアカウントおよびユーザグループはグローバ
ルとして作成されます。その結果,そのドメイン内のすべてのコンピュータで利用
可能となります。ユーザグループにユーザアカウントを追加するときは,そのユー
ザグループが「ドメイン」コントローラ上でアクセスされ,そのアカウントが適当
なツールを使用して追加されます。すべてのアカウントは集中的に管理されますの
で,管理上の手間が省けることになります。「quantumuser」ユーザアカウントも同
じくドメイン内でグローバルとして作成されるので,そのドメイン内のすべてのコ
ンピュータに利用されます。これにより,Exaquantum プロセスの正しい動作が保証
されます。 3.2.2 ワークグループ認証
ワークグループ認証は,クライアント・サーバ間で,ローカルのユーザ名/パス
ワードが一致することによって動作します。そのためクライアントとサーバ間で
ユーザ名とパスワードが一致している必要があります。 ワークグループ認証は,クライアントとサーバの両方がドメインに属するか,または
クライアントとサーバの両方がワークグループに属する場合に正しく動作します。 クライアントがドメインでサーバがワークグループの場合に,クライアントにドメ
インのユーザでログインしているとき,サーバはローカルユーザとしてユーザ名と
パスワードの確認処理を行います。したがって,Exaquantum のアクセスに使用され
るすべてのユーザアカウントは,ユーザグループが作成される Exaquantum サーバ
上で複製されます。複製されたユーザアカウントは,次にローカルユーザグループ
に加えられます。これは,グローバルグループを持つことと同じ結果になります。
ただし,それぞれのアカウントを各コンピュータに追加する必要があるため,実行
しなければならない管理作業が多くなることに注意してください。さらに,パス
ワードの変更は各コンピュータ上で行う必要があります。
<目次> <3. インストール時の設定事項(従来モデル)> 3-5
IM 36J04A15-02
11th Edition : 2010.12.27-00
3.3 ユーザを作成する
■ 個々のユーザアカウントを追加する Exaquantum は,オペレータが通常のログイン ID を使用できるように設定されてい
ます。このユーザグループを使用するセキュリティ構造により,ユーザは個々のオ
ペレータができることとできないことを,そのユーザアカウントに基づいて決定で
きます。これは,4 つの基本「ユーザグループ」と「ロールベース・ビュー」を使
用することで決定されます。 ユーザは,管理者にすべてのユーザアカウントとそれらが属するグループのリスト
を提供し,すべてのユーザアカウントが Exaquantum に対してアクセスも行えるよ
うに,QUserGroup のメンバに登録してください。
■ ロールベース・ビュー(RBNS)グループ Exaquantum は,オペレータごとにアクセスできるタグをコントロールする機能が用
意されています。これは,Exaquantum データベースへのアクセスをより細かくコン
トロールする追加グループを作成することで実現されます。 各ロールベース・ビューは 1 つの Windows セキュリティグループのメンバシップに
基づいています。ローカルまたは外部ドメイン上に作成されるグループに基づく
ロールベース・ビューに加えて,Exaquantum サーバ上に局所的に作成されるグルー
プに基づくロールベース・ビューを持つことが可能です。 ロールベース・ビュー定義ツールによって,ネットワーク上で利用できる場所から
Windows セキュリティグループを選択することができます。
グループタイプ グループ場所 潜在的メンバ
ローカルグループ Exaquantum サーバ
Exaquantum サーバ上のローカルアカウント Exaquantum サーバのドメイン上のグローバルアカウント 外部ドメイン上のグローバルアカウント(信頼関係が必要)
グローバルグループ ドメインコントローラ 同一ドメイン上のグローバルアカウント 同一ドメイン上のグローバルグループ
ドメインローカルグループ ドメインコントローラ (Windows 2000 ネイティブ)
同一ドメイン上のグローバルアカウント 同一ドメイン上のグローバルグループ 同一ドメイン上のドメインローカルグループ 信頼関係にあるドメイン上のグローバルアカウント 信頼関係にあるドメイン上のグローバルグループ 信頼関係にあるドメイン上のドメインローカルグループ
参照 ロールベース・ビューグループの作成方法については,『Exaquantum/PIMS 説明書(IM 36J04A11-01)』の「5. ロールベース・ビューの定義」を参照してください。
<目次> <3. インストール時の設定事項(従来モデル)> 3-6
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ ドメインを使用したグループアカウントへのアクセス設定例
注 意
すべてのインストール手順は,ローカルマシンでの管理者権限を持つ Windows アカ
ウントで行ってください。
Exaquantum サーバがドメインを使用したグループアカウントにアクセスするため
に,以下の操作を行ってください。 1. Windows の管理ツールを開いてください。「ファイル名を指定して実行」から
「control adminTools」と入力してください。 2. 管理ツールウィンドウで,コンピュータの管理アイコンをダブルクリックし
て,ウィンドウを開いてください。 3. コンピュータの管理ウィンドウで,左側のツリーでローカルユーザーとグルー
プフォルダを開いてください。 4. グループフォルダをクリックしてください。 5. ウィンドウの右側に表示される項目から,Exaquantum グループアカウントをク
リックしてください。 6. <グループ名>プロパティダイアログボックスで,[追加...]ボタンをクリック
してください。 7. ユーザまたはグループの選択ダイアログボックスで,[参照]ドロップダウン
リストを使用して Exaquantum グループアカウントを管理するドメインサーバ
を探してください。 8. 名前欄で,現在定義されているワークグループと同じ名前のドメイン名をク
リックしてください。 9. [追加]ボタンをクリックしてください。 10. ユーザとグループの選択ダイアログボックスを閉じるには,[OK]ボタンをク
リックしてください。 11. <グループ名>プロパティダイアログボックスを閉じるには,[OK]ボタンを
クリックしてください。 12. 他の定義が必要な場合は,ステップ 6 から繰り返してください。 13. すべてのローカル Exaquantum アカウントが定義できたら,コンピュータの管
理ウィンドウを閉じてください。 14. 定義内容を有効にするには,コンピュータを再起動してください。
<目次> <3. インストール時の設定事項(従来モデル)> 3-7
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ ドメイン Quantumuser アカウントへのアクセス設定例 本設定では,QDCOMConfig ツールを使用します。デフォルトのインストールで
は,QDCOMConfig ツールは¥Program Files¥Yokogawa¥Exaquantum PIMS¥Systemフォ
ルダに格納されています。 Quantumuser を登録したドメイン名を確認しておいてください。
注 意
すべてのインストール手順は,ローカルマシンでの管理者権限を持つ Windows アカ
ウントで行ってください。
Exaquantum サーバがドメインを使用した quantumuser にアクセスするために,以下
の操作を行ってください。 1. Exaquantumサービスを停止してください。 2. ¥Program Files¥Yokogawa¥Exaquantum PIMS¥System フォルダの,QDCOMConfig.exe
ファイルをダブルクリックするか,選択した状態で右クリックして表示される
メニューから[開く]を選択して,QDCOMConfig ツールを起動してくださ
い。
図 QDCOM 定義ツール
3. 表示されるダイアログボックスの最下にある選択項目が,インストールしよう
とする項目になっているかを確認してください。 4. NT Accounts:グループボックスの User name テキストボックスで,現在のサー
バ名(最初の項目から¥印まで)を使用するドメイン名に変更してください。
<目次> <3. インストール時の設定事項(従来モデル)> 3-8
IM 36J04A15-02
11th Edition : 2010.12.27-00
5. Password テキストボックスで,そのドメインで使用する Quantumuser アカウン
トのパスワードを入力してください。 6. その他の内容は変更しないでください。 7. 設定内容を保存して QDCOMConfig ツールを閉じるには,[OK]ボタンをク
リックしてください。 8. 新しい設定を完全に有効にするために,コンピュータを再起動してください。
■ EXA アカウントパスワードの設定
1. セキュリティ強化などの理由で EXA アカウントを変更したい場合,以下の
EXE ファイルをダブルクリックしてください。 <Exaquantumインストールフォルダ>¥Exaquantum PIMS¥System ¥ExaAccountSetting.exe
注 意
Exaopc プロセス実行アカウント変更ツール実施後には,本ツールを必ず実行してく
ださい。
入力したユーザ名とパスワードに従ってアカウントが作成されます。 「ユーザ名の入力」欄には,すでに登録されているユーザ名が表示されます。 2. 「パスワードの入力」欄にパスワードを入力してください。 3. 「パスワードの確認入力」欄にパスワードを再度入力してください。
注意:パスワードは,大文字と小文字が区別されます。 4. 入力後,[OK]ボタンをクリックしてください。
<目次> <3. インストール時の設定事項(従来モデル)> 3-9
IM 36J04A15-02
11th Edition : 2010.12.27-00
5. 確認画面が表示されますので,変更内容を確定する場合は[OK]ボタンをク
リックしてください。
6. アカウントが正しく設定されたことを知らせる画面が表示されますので,
[OK]ボタンをクリックしてください。
注 意
ユーザ名を変更した場合は,旧ユーザ名の削除は自動では行われません。旧ユーザ
名の削除は手動で行ってください。アカウントを削除する際は,他のパッケージな
どで使用されていないことを確認してください。
■ SQLSERVER アカウントの設定 quantumuser アカウントのパスワードを変更した場合は,SQL Server サービスのアカ
ウントと SQL Server Agent サービスのアカウントのパスワードを再設定する必要が
あります。 以下の手順で設定してください。 1. [スタート]-[すべてのプログラム]-[Microsoft SQL Server2008]-[構
成ツール]-[SQL Server 構成マネージャ]を選択してください。 2. SQL Server(MSSQLSERVER)を選択して右クリックしてプロパティを選択してく
ださい。
<目次> <3. インストール時の設定事項(従来モデル)> 3-10
IM 36J04A15-02
11th Edition : 2010.12.27-00
3. 「ログオン」タブ内の「このアカウント」を選択して,アカウント名,パス
ワードを設定してください。 入力したアカウント名とパスワードに従ってアカウントが作成されます。 4. 「アカウント名」入力欄に,アカウント(quantumuser)を入力してください。 5. 「パスワード」入力欄にパスワード(変更後のパスワード)を入力してください。 6. 「パスワードの確認入力」欄にパスワードを再度入力してください。
注意:パスワードは,大文字と小文字が区別されます。
7. SQL Server Agent(MSSQLSERVER)を選択して右クリックしてプロパティを選択
してください。
8. 「ログオン」タブ内の「このアカウント」を選択して,アカウント名,パス
ワードを設定してください。 入力したアカウント名とパスワードに従ってアカウントが作成されます。 9. 「アカウント名」入力欄に,アカウント(quantumuser)を入力してください。 10. 「パスワード」入力欄にパスワード(変更後のパスワード)を入力してください。 11. 「パスワードの確認入力」欄にパスワードを再度入力してください。
注意:パスワードは,大文字と小文字が区別されます。
<目次> <3. インストール時の設定事項(従来モデル)> 3-11
IM 36J04A15-02
11th Edition : 2010.12.27-00
12. QDCOMConfig.exe を実行してください。詳細は「ドメイン Quantumuser アカウ
ントへのアクセス設定例」に記載してあります。
<目次> <3. インストール時の設定事項(従来モデル)> 3-12
IM 36J04A15-02
11th Edition : 2010.12.27-00
3.4 OPC サーバの設定 OPC サーバもまた,Exaquantum サーバに接続できるよう定義されている必要が
あります。必要条件は,「quantumuser」アカウントが各 OPC サーバでも使用で
きることです。これを可能にする方法は 2 つあります。 3.4.1 グローバルユーザアカウントを使用する
使用する Exaquantum システムがグローバルアカウントを使用し,OPC サーバがこ
れらにアクセスするよう定義されている場合は,何もする必要はありません。これ
は,OPC サーバが Exaquantum サーバと同じドメイン内にあり,グローバル
「quantumuser」アカウントが定義済みである場合に該当します。これ以外の場合
は,ローカル「quantumuser」アカウントを作成する必要があります。 アカウントが存在しているか分からない場合は,正しいドメインを指定して
「quantumuser」アカウントとパスワードを使って OPC サーバにログオンできるか
を試してください。ログオンできない場合は,アカウントをローカルに作成しなけ
ればなりません。 3.4.2 ローカルユーザアカウントを使用する
OPC サーバがグローバル「quantumuser」アカウントへのアクセス権限を持たない
場合は,ユーザがローカルアカウントを作成する必要があります。これは,
Exaquantum サーバが使用する「quantumuser」アカウントと同じパスワードを持た
なければなりません。
<目次> <3. インストール時の設定事項(従来モデル)> 3-13
IM 36J04A15-02
11th Edition : 2010.12.27-00
3.5 クライアントのインストール Exaquantum クライアントのインストールでは「ユーザグループ」をインストー
ルする必要はありませんが,グループへのアクセス権と,「quantumuser」アカ
ウントへのアクセス権を持つ必要があります。これは,使用するインストールのタ
イプによって,さまざまな方法で実現されます。 クライアントを Exaquantum システムにインストールする前に,どのタイプのネッ
トワーク設定が選択されているか確認する必要があります。不明な場合は,
Exaquantum 管理者に問い合わせてください。 3.5.1 クライアントインストール
「quantumuser」アカウントが各クライアント上にローカルに作成されます。これに
より Exaquantum プロセスが動作するようになります。ローカルに作成された
「quantumuser」アカウントは,Exaquantum サーバ上にローカルに作成された
「quantumuser」アカウントと同じパスワードを持つ必要があります。
インストール後に実行すること 「quantumuser」アカウントに加えて,すべての必要なオペレータのユーザアカウン
トを各コンピュータ上で利用できるようにする必要があります。
Blank Page
<目次> <4. Exaquantum における DCOM とネットワークセキュリティ…> 4-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
4. Exaquantum における DCOM とネットワークセキュリティ(従来モデル)
注 意
本章の内容は,IT セキュリティ設定が従来モデルであることを前提としています。
Exaquantum は,すべてのネットワーク通信に DCOM を使用します。本章では,
安全なネットワーク通信を可能にするために,Exaquantum のコンポーネントが
どのように定義されているかを説明します。 図 4-1 は,主なコンポーネントと,下記の項目で構成される典型的なシステム内
で,どのように通信が行われるかを示しています。 ・ Exaquantum/Explorer または Exaquantum 管理ツールを起動しているクライアン
ト ・ Exaquantumサーバコンポーネントを実行しているサーバ ・ Exaopc を実行している OPC サーバ
OPC サーバ
サーバ
クライアント
Quantum.exe
SQL サーバ
Quantum.exe
タブ
クライアント :コンピュータ上で動作するプロセス
:コンピュータのマシン境界
内部接続
外部接続
OPC サーバ
クライアント
OPC クライアント
図 4-1 Exaquantum システムにおける通信のリンク
<目次> <4. Exaquantum における DCOM とネットワークセキュリティ…> 4-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
参考までに内部の通信が描かれていますが,DCOM 通信の説明にはあまり関係があ
りません。 DCOM 通信のセキュリティの視点からみると,Exaquantum が正常に機能するため
には,外部通信ルートのすべてが許可されなければなりません。表では,各外部通
信ルートを使用できるようにするために,Exaquantum のインストールプログラム
が,どのように DCOM の設定をするかを表しています。 各コンピュータでは以下の DCOM 設定となっています。
表 4-1 DCOM 設定 コンピュータ セキュリティの定義
サーバまたはクライアント
以下の設定は,PC で設定します。(Exaquantum は設定値を変更しません) 「既定の認証レベル」は「接続」に設定します。 「既定の偽装レベル」は「識別する」に設定します。
OPC サーバ 「既定の認証レベル」は「なし」に設定します。 これは,Exaopc インストールの設定です。
<目次> <4. Exaquantum における DCOM とネットワークセキュリティ…> 4-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
各プロセスには,通信を確保するため,以下のような特定の DCOM 設定がありま
す。
表 4-2 DCOM 設定 プロセス 処理内容 セキュリティの定義
Quantum.exe (サーバ)
RTDB とクライアントとのデータ通信を管理します
特定のユーザ(QuantumUser)として実行するように設定します。
Quantum.exe (クライアント)
Exaquantum へのクライアント側「ゲートウェイ」機能を提供します。サーバからクライアントに返されるデータはすべてこのプロセスを通過します。
対話ユーザとして実行するように設定します。クライアントコンピュータに誰がログオンしているかによって,別のユーザとしてこのプロセスを実行します。
クライアントキャッシュ マネジメント (QClient.exe)(サーバ)
タグ認識とタグ定義データのキャッシュを制御します。これでサーバデータベースとネットワークの負荷を減らします。
特定のユーザ(QuantumUser)として実行するように設定します。
クライアントキャッシュ マネジメント (QClient.exe)(クライアント)
タグ認識とタグ定義データのキャッシュを制御します。これでサーバデータベースとネットワークの負荷を減らします。
対話ユーザとして実行するように設定します。クライアントコンピュータに誰がログオンしているかによって,別のユーザとしてこのプロセスを実行します。
OPC クライアント (OPCDAMgr.exe)
OPC データを OPC サーバから読み取ったり,OPC サーバに書き込んだりします。
OPC サーバとの通信を可能にするため,認証レベルはプログラムによって「(なし)」に設定されています。 特定のユーザ(QuantumUser)として実行するように設定します。
OPC クライアント (OPCAEPump.exe)
OPC サーバからアラーム&イベントのデータを読み込みます。
OPC サーバとの通信を可能にするため,認証レベルはプログラムによって「(なし)」に設定されています。 特定のユーザ(QuantumUser)として実行するように設定します。
OPC クライアント (QFBRetriever.exe)
イコライズ中に,OPC サーバからファンクションブロックのリストを読み込みます。
特定のユーザ(QuantumUser)として実行するように設定します。
OPC クライアント (QOPCPropertyAccess.exe)
OPC サーバから参照データを読み込みます。 (エンジニアリングリミット,単位など)
OPC サーバとの通信を可能にするため,認証レベルはプログラムによって「(なし)」に設定されています。 特定のユーザ(QuantumUser)として実行するように設定します。
レポート (QReporter.exe)
イベントログやログファイルにログ情報とエラーメッセージを出力します。
特定のユーザ(QuantumUser)として実行するように設定します。
<目次> <4. Exaquantum における DCOM とネットワークセキュリティ…> 4-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
プロセス 処理内容 セキュリティの定義
ヒストリアン (QHistorian.exe)
ヒストリアンデータの保存領域に対してヒストリアンデータの読み込み/書き出しを行います。
特定のユーザ(QuantumUser)として実行するように設定します。
ヒストリアンアーカイブ (QArchive.exe)
ヒストリアンデータの生成,バックアップ,およびリストアを制御します。
特定のユーザ(QuantumUser)として実行するように設定します。
タグビルダ (QBuilder.exe)
タグ,機能ブロック,および
フォルダの作成,削除,修正を
制御します。
対話ユーザとして実行するように設定します。クライアントコンピュータに誰がログオンしているかによって,別のユーザとしてこのプロセスを実行します。
タグ分析 (QAnalyse.exe)
タグ,機能ブロック,およびフォルダの作成,削除,修正が行われたときに,現在の定義データベースに対して行われた変更を分析します。
対話ユーザとして実行するように設定します。クライアントコンピュータに誰がログオンしているかによって,別のユーザとしてこのプロセスを実行します。
イベントマネージメント (QEventHandler.exe)
OPC アラームやイベントコンポーネントからイベントを受け取りシステム定義に従って指定のイベントを実行します。
特定のユーザ(QuantumUser)として実行するように設定します。
再計算 (QReclcEngine.exe)
最新のデータから締め切り処理の再計算を行います。
特定のユーザ(QuantumUser)として実行するように設定します。
表 4-3 は Exaquantum のインストールプログラムが,外部通信ルートを確保するた
め,どのように DCOM の設定を調整するかを表しています。
表 4-3 DCOM 設定 ルート 普段交換される情報 セキュリティの定義
クライアントの Quantum.exe からサーバの Quantum.exe へ
瞬時値とヒストリデータへの非同期要求
サーバの「既定のアクセス権」にはクライアントユーザ全員が属するグループ(QUserGroup)を含むように設定されています。 Quantum.exe が既定のアクセス権を使うように設定されています。
サーバの Quantum.exe から クライアントの Quantum.exe へ
サーバからのデータはコールバックでクライアントに返される
サーバの「既定のアクセス権」にはクライアントユーザ全員が属するグループ(QUserGroup)を含むように設定されています。 Quantum.exe が既定のアクセス権を使うように設定されています。
OPC クライアントから OPC サーバへ OPC データの非同期要求
認証レベルは OPC クライアントによって「(なし)」に設定されています。
クライアントから SQL Server へ 定義情報
すべてのクライアントユーザが属するグループ(QUserGroup)を SQL Server のセキュリティログインに追加します。
<目次> <5. ネットワーク診断ツール> 5-1
IM 36J04A15-02
5. ネットワーク診断ツール
注 意
本章は,IT セキュリティ設定のモデルに関わらず,お読みください。
5.1 概要 Exaquantum システムでは,Exaquantum/PIMS サーバ間や Exaquantum/PIMS サーバと
Exaquantum クライアント間での通信が不調になる場合があります。これらは,
Windows アプリケーションイベントログに記録されます。記録される内容の一部は
以下のとおりです。 ・ ヒストリアンクライアントクエリの失敗 ・ ヒストリアンデータコールバックの失敗 ・ Exaquantum実行時からのクライアント接続モニタリングの失敗 ・ Exaquantumサーバマネージャの接続の失敗
通信不調の原因を診断できるように,以下の機能が提供されています。 ・ Exaquantum/PIMS サーバおよび複合サーバに対応する NetworkTest ユーティリ
ティ ・ Exaquantum クライアントおよび Web サーバに対応するサーバマネージャから
のネットワークテスト機能
11th Edition : 2010.12.27-00
<目次> <5. ネットワーク診断ツール> 5-2
IM 36J04A15-02
5.2 NetworkTest ユーティリティ NetworkTest ユーティリティは,Exaquantum/PIMS サーバにのみインストールされて
います。以下の実行ファイルを実行することによって起動します。 <Exaquantum インストールフォルダ>¥Exaquantum PIMS¥Developer Tools¥Network
Test.exe
図 NetworkTest ユーティリティ
「サーバ名」には接続テストを行う接続先サーバ名を入力してください。「IP アド
レス」および「FQDN」(Fully Qualified Domain Name:完全修飾ドメイン名)はオ
プションです。テストを実行中にこれらが空欄の場合は,自動的に表示されます。 [テスト]ボタンをクリックすると,テストが実行されます。テスト結果は「結
果」フィールドに出力されます。 [ログファイル出力]にチェックをつけると,ネットワークテスト結果をテキスト
形式で保存できます。 [OK]ボタンをクリックすると,ログファイルが設定が保存され,画面を閉じま
す。 [キャンセル]ボタンをクリックすると,設定を保存せずに,画面を閉じます。 [ログファイルパス]横の[...]をクリックすると,ログファイルパスを指定する
ダイアログが表示されるので,保存するファイルを指定した後に,ファイル名を入
力して,[保存]ボタンをクリックしてください。
11th Edition : 2010.12.27-00
<目次> <5. ネットワーク診断ツール> 5-3
IM 36J04A15-02
<目次> <5. ネットワーク診断ツール> 5-4
IM 36J04A15-02
5.3 Exaquantum サーバマネージャ Exaquantum サーバマネージャは,以下の接続状態について基本および詳細なチェッ
クを行います。 ・ Exaquantum/PIMS サーバと Exaquantum クライアント ・ Exaquantum/PIMS サーバと Exaquantum Web サーバ
Exaquantum サーバマネージャは,Exaquantum クライアントの[Exaquantum]メ
ニューまたはタスクバー上の[スタート]-[プログラム]メニューから起動しま
す。
図 Exaquantum サーバマネージャダイアログ
[テスト]ボタンをクリックすると,プライマリサーバまたはセカンダリサーバの
基本的な接続テストが実行されます。 [ネットワーク診断...]ボタンをクリックすると,Exaquantum ネットワーク診断ダ
イアログが表示されます。このダイアログでプライマリサーバまたはセカンダリ
サーバに対する詳細な接続テストが実行できます。 [キャンセル]ボタンをクリックすると,現在の画面を設定せずに閉じます。 [適用]ボタンをクリックすると,現在の画面の状態を設定します。 [OK]ボタンをクリックすると,現在の画面の状態を設定して,画面を閉じま
す。
11th Edition : 2010.12.27-00
<目次> <5. ネットワーク診断ツール> 5-5
IM 36J04A15-02
図 Exaquantum ネットワーク診断(Exaquantum クライアントの場合)
表示された Exaquantum ネットワーク診断ダイアログには,プライマリサーバ名ま
たはセカンダリサーバ名が入力されています。「IP アドレス」および「FQDN」は
オプションです。テストを実行する際にこれらが空欄の場合には,自動的に表示さ
れます。 [テスト]ボタンをクリックすると,ネットワークテストが実行されます。テスト
結果は「結果」フィールドに出力されます。 [OK]ボタンをクリックすると,ログファイル設定を保存して,Exaquantum サー
バマネージャ画面に戻ります。 [キャンセル]ボタンをクリックすると,入力した内容は保存されずに
Exaquantum サーバマネージャ画面に戻ります。 [ログファイル出力]にチェックをつけると,ネットワークテスト結果をテキスト
形式で保存できます。 [ログファイルパス]横の[...]をクリックすると,ログファイルパスを指定する
ダイアログが表示されるので,保存するファイルを指定した後に,ファイル名を入
力して,[保存]ボタンをクリックしてください。
11th Edition : 2010.12.27-0011th Edition : 2010.12.27-00
Blank Page
<目次> <6. IT セキュリティ> 6-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
6. IT セキュリティ 6.1 概要
本章は現存するセキュリティ脅威と将来想定されるセキュリティ脅威に対して防御
および対抗するために,Exaquantum システムに IT セキュリティを導入するための
ガイドです。 本ガイドで考慮された IT セキュリティは,IT セキュリティの導入に伴う,現シス
テムの構成や運用に関する影響を必要最低限にすることを優先し,3 つのセキュリ
ティモデルを提案します。 提供するセキュリティモデルは,あくまでも Exaquantum の一般的な構成を基に検
討したセキュリティモデルで,実際に適用する場合は,現状システムやエンジニア
リング,運用を考慮して適用してください。 6.1.1 位置付け
Exaquantum を構築,運用を検討するエンジニア向きに作成してあります。提供する
セキュリティレベルは,IT に関する専門的な知識を有さない一般の第三者が,公開
されている情報だけをもとに,一般的な機器やツールを利用して,Exaquantum に攻
撃をしても,防御できる程度のセキュリティレベルです。
参照 Exaquantum のセキュリティに関しては,本書とあわせて以下を参照してください。 Exaquantum インストールマニュアル(IM 36J04A13-01)
<目次> <6. IT セキュリティ> 6-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.1.2 IT セキュリティの導入
セキュリティ脅威 さまざまなセキュリティ脅威の可能性がありますが,IT セキュリティはこれに対抗
しようとしています。脅威は以下のように分類されます。 (1) ネットワーク越しの攻撃 Business Network/DMZ/PCN から,非権限者がネットワーク経由でシステムへ影響を
及ぼしたり,それによって重要データが漏えいしたりする脅威。 (2) 端末を操作しての直接攻撃 非権限者が端末を直接操作して,システムへ影響を及ぼしたり,重要データが持ち
出されたりする脅威。 (3) 端末/重要データの盗難 端末/重要データを物理的に持ち出され,重要データが解析される脅威。 (4) Business Network 上のクライアント端末を操作しての直接攻撃 非権限者が Business Network に配置されている端末を直接操作してシステムへ影響
を及ぼしたり,重要データが持ち出されたりする脅威。
DCS HMI
Vnet/IP
PCN
Business Network
Exaquantum Explorer
Exaquantum ExplorerFirewall
FCS FCS
①ネットワーク越しの攻撃
③端末/データの盗難
②端末を操作しての直接攻撃
OPC ServerExaquantum
Server
④Business Network上のクライアント端末を操作しての直接攻撃
図 IT セキュリティ対象のシステム構成
上記図のブロックで表されたネットワーク単位はセキュリティゾーンと呼ばれま
す。セキュリティゾーンは論理または物理的なグループで,共通のセキュリティ要
件と一様なセキュリティレベルが与えられます。それぞれ異なるセキュリティ要件
を設定したゾーンを階層化することで,脅威からの防御を高めることが可能となり
ます。
<目次> <6. IT セキュリティ> 6-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.1.3 IT セキュリティの前提条件 使用するセキュリティ関連のソフトウェアの取り扱いを,以下に示します。
表 前提条件 項目 方針
Exaquantum における IT セキュリティ
Exaquantum R2.60.00 以降は,インストールの時に,IT セキュリティモデルを選択します。 Exaquantum R2.60.00 より前のバージョンはエンジニアリングによる個別設定とします。
無線ネットワーク 端末での無線ネットワークの利用は考慮されていません。
アンチウィルスソフトウェア
横河電機が検証したアンチウィルスソフトウェアのみが使用されます。また,検索エンジンやパターンファイルの更新に関しては,端末に予期せぬ影響を及ぼす可能性が考えられますので,更新を行う場合は,事前にテスト端末で確認を行うなど,システムごとの考慮が必要です。
Windows セキュリティパッチ (サービスパック含む)
横河電機が必要と認めた検証済みセキュリティパッチのみが適応できます。
Windows 自動更新機能 Windows の自動更新機能は利用できません。
未検証プログラム 横河電機が検証していないプログラムの各端末へのインストールおよび利用は禁止します。
ドメインサーバ
ユーザ管理をドメイン管理で行う場合のドメインサーバは,Exaquantum のIT セキュリティ構築時に新規に立ち上げる場合と,既に存在するドメインを使用する場合がある。 ドメインでの運用を行う場合は,個別のエンジニアリングが必要です。
<目次> <6. IT セキュリティ> 6-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2 セキュリティ対策とモデル 前節で検討されたセキュリティ脅威に対して,3 タイプのセキュリティモデルを提
案します。 ・ 従来 ・ 標準 ・ 強固 強固モデルの IT セキュリティが必要な場合は,当社にご相談ください。
6.2.1 セキュリティ対策
Exaquantum の IT セキュリティには,6 つのタイプのセキュリティ対策がありま
す。 ・ アクセスコントロール ・ Personal Firewall チューニング ・ SQL サーバサービスアカウントの変更 ・ 不要な Windows サービスの停止 ・ IT 環境の設定変更 ・ Web サーバのセキュリティ
表 セキュリティ対策 対応脅威
セキュリティタイプ セキュリティ対策 [1] [2] [3]
アクセスコントロール ○ ○ ○
Personal Firewall チューニング ○
SQL サーバサービスアカウントの変更 ○
不要な Windows サービスの停止 ○
AutoRun の制限 ○ ○ IT 環境の設定変更
StorageDevicePolicies 機能の適用 ○ ○
Web サーバのセキュリティ ○ <対応脅威> [1]:ネットワーク越しの攻撃 [2]:端末を操作しての直接攻撃 [3]:Business Network 上のクライアント端末を操作しての直接攻撃 ○: 脅威に対応するセキュリティ対策
注 意
付録「A.13 IT セキュリティ詳細情報」の説明および注意事項をよくお読みの上で,設定してくださ
い。
<目次> <6. IT セキュリティ> 6-5
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.2 セキュリティモデル Exaquantum R2.60 以降では,インストール時にセキュリティ設定ツールを使って,
従来モデルまたは標準モデルを選択して設定することができます。
表 セキュリティモデル 従来モデル 標準モデル
特徴 旧バージョンや IT セキュリティ未対応製品との連携を優先したモデル。
Exaquantum の運用や他システム(Exaopc,CENTUM など)との連携を重視して,“ネットワーク越しの攻撃”,“端末を操作しての直接攻撃”に対抗できるようにセキュリティ対策の一部に対応したモデル。“端末/データの盗難”の対抗に関しては,Exaquantum の性格上,脅威が低いと考えられるので,標準モデルでは対応しません。
適応手段 Exaquantum R2.60.00 以降では,インストール時に選択できます。
Exaquantum R2.60.00 以降では,インストール時に選択できます。
■ セキュリティモデルの組み合わせに関して Exaquantum システムは,サーバ/クライアントから構成されます。Exaquantum シ
ステムは 1 つのセキュリティモデルで構成される必要があります。例えば,
Exaquantum サーバが従来モデル,Exaquantum クライアントが標準モデルのような
組み合わせは許されません。
■ セキュリティモデルとセキュリティタイプ 各セキュリティモデルに対応するセキュリティタイプの関係を以下に示します。
表 セキュリティタイプ セキュリティタイプ 従来モデル 標準モデル
アクセスコントロール × ◎
Personal F/W のチューニング × ◎
SQL サーバサービスアカウントの変更 × ◎
不要 Windows サービスの停止 × ×
IT 環境の設定変更 × ○
Web サーバのセキュリティ × ○ ×: 未対応 ◎: 対応(セキュリティ設定ツールにより設定) ○: 対応(手動にて設定)
<目次> <6. IT セキュリティ> 6-6
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.3 IT セキュリティ設定ツールの使用方法 本ツールは,以下の場合に使用します。 ・ セキュリティレベルの変更が必要 ・ 手動で設定した内容をデフォルトに戻す ・ EXA パッケージのクライアントインストール後
IT セキュリティ設定ツールが利用できるのは以下のとおりです。 ・ Exaquantum/PIMS サーバ ・ Exaquantum/PIMS サーバおよび Web サーバ ・ Exaquantum/Web サーバ ・ Exaquantum/Explorer クライアント 本ツールは,Exaquantum/Web クライアントでは利用できません。 以下の手順でツールを実行してください。 1. 現在のセキュリティモデルとユーザ管理方法により,IT セキュリティ設定を実
施するユーザが異なります。 IT セキュリティツールを実行するための適切なユーザについては,「6.2.4 セキュリティモデルの変更」を参照してください。
注 意
管理者権限がない場合,EXA_MAINTENANCE グループに所属していない場合に本
ツールを起動すると,以下のエラーダイアログが表示されます。 適切なユーザでログインして,再度,本ツールを起動してください。 ・ 管理者権限がない場合
インストールユーザに管理者権限がありません
OK
図 エラーダイアログ
・ EXA_MAINTENANCE グループに所属していない場合
図 エラーダイアログ
エラー
インストールユーザがEXA_MAINTENANCEグループに所属していません
OK
<目次> <6. IT セキュリティ> 6-7
IM 36J04A15-02
11th Edition : 2010.12.27-00
2. 実行中のすべての Exaquantum サービス,Exaquantum サービスマネージャ,そ
の他の EXA パッケージのアプリケーションを終了してください。
注 意
現在実行中の Exaquantum および EXA 関連のサービス(Exa Bassd,PM Logd)が停
止されるので,すべてのクライアント画面は IT セキュリティ設定ツール実行前に
終了してください。
3. Windows のスタートメニューから[スタート]-[YOKOGAWA EXA]-[セ
キュリティ]-[IT セキュリティ設定]を選択してください。
注 意
Windows のスタートメニューの[スタート]-[YOKOGAWA EXA]-[セキュリ
ティ]にある Exaopc 用の「セキュリティ設定変更ツール」は使用しないでくださ
い。
4. セキュリティ設定の対象となるパッケージを選択するためのダイアログが表示
されます。チェックがついたパッケージのセキュリティ設定を行います。セ
キュリティモデルを変更する場合,すべてのパッケージに対してセキュリティ
設定が必要になるためチェックを外すことはできません。
Security Setting Utility - パッケージ選択
以下のパッケージのセキュリティ設定を行います。
Exaopc
Exapilot
Exaplog
Exaquantum
< 戻る 次へ > キャンセル
図 対象パッケージ選択ダイアログ
補足 現在インストールされている IT セキュリティ設定に対応したパッケージにチェックが付いています。
<目次> <6. IT セキュリティ> 6-8
IM 36J04A15-02
11th Edition : 2010.12.27-00
5. 「セキュリティモデルの選択」ダイアログが表示されます。 変更後のセキュリティモデルを選択して,[次へ]ボタンをクリックしてくだ
さい。
図 セキュリティモデルの選択ウィンドウ
補足 現在設定されているセキュリティモデルが選択されています。
注 意
・ ドメインに参加していない PC では,「標準モデル(ドメイン)」を選択する
ことはできません。 ・ モデル変更に必要な権限がない場合には,変更可能なモデルのみ選択できま
す。 ・ Windows ドメインに参加している PC で「標準モデル(スタンドアロン)」を
選択すると,以下のダイアログが表示されます。[OK]ボタンをクリックして
ください。 セキュリティ設定ウィンドウが表示されます。
<目次> <6. IT セキュリティ> 6-9
IM 36J04A15-02
11th Edition : 2010.12.27-00
6. 選択したセキュリティモデルに応じて操作を行ってください。
補足 セキュリティ設定ウィンドウでは,コンピュータに設定するセキュリティ項目を選択することができ
ますが,特別な理由がない限りすべての項目にチェックを付けてください。 現在設定されているセキュリティモデルと異なるモデルを選択した場合には,全項目の設定が必要に
なるためチェックを入れたままとしてください。
・ 「従来モデル」,「標準モデル(スタンドアロン)」を選択した場合 以下のセキュリティ設定ウィンドウが表示されます。 チェックが付いた項目のセキュリティが設定されます。
図 セキュリティ設定ウィンドウ(「従来モデル」または「標準モデル(スタンドアロン)」を選
択した場合)
・ セキュリティモデルに「標準モデル(ドメイン)」を選択した場合 参加しているドメイン名が表示されたセキュリティ設定ウィンドウが表示され
ます。
図 セキュリティ設定ウィンドウ(「標準モデル(ドメイン)」を選択した場合)
[設定]ボタンをクリックしてください。
<目次> <6. IT セキュリティ> 6-10
IM 36J04A15-02
11th Edition : 2010.12.27-00
7. EXA パッケージのプロセスを停止するための以下の確認ダイアログが表示され
ます。
図 プロセス停止の確認メッセージ
[いいえ]ボタンをクリックすると,確認メッセージが閉じ,手順 6 に戻りま
す。
注 意
「標準モデル(ドメイン)」選択時,ドメインサーバに必要なユーザグループが作
成されていない場合は,以下のエラーが表示されます。 [OK]ボタンをクリック後に,ドメインサーバでユーザグループを作成して,手
順 3 に戻ってください。
ドメインサーバにユーザグループを作成してください
OK
図 メッセージダイアログ
8. セキュリティ設定が開始されると,セキュリティ設定項目ダイアログの左下に
プログレスバーが表示されます。
図 セキュリティ設定中ダイアログ
Security Setting Utility
?? EXAパッケージのプロセスを停止します。よろしいですか?(プロセスを停止しないと設定できません。「いいえ」を押した場合、設定は中断されます。)
はい(Y) いいえ(N)
<目次> <6. IT セキュリティ> 6-11
IM 36J04A15-02
11th Edition : 2010.12.27-00
9. セキュリティ設定が正常終了すると以下のダイアログが表示されます。 [OK]ボタンをクリックして PC を再起動してください。
設定しました。
再起動が必要です。OKをクリックすると再起動します。
OK キャンセル
図 メッセージダイアログ
セキュリティ設定が異常終了すると以下のダイアログが表示されます。[OK]
ボタンをクリックし,IT セキュリティ設定ツールを終了してください。
Security Setting Utility
セキュリティ設定に失敗しました。EXAパッケージ情報収集ツールで解析に必要な情報を収集し、YOKOGAWAにお問い合わせください。
OK
図 エラーダイアログ
EXA パッケージ情報収集ツールで解析に必要な情報を収集し,当社サポート窓口
までお問い合わせください。
注 意
前回の IT セキュリティ設定後に,手動でセキュリティ設定(ユーザグループの追
加等)行った場合,今回の操作により IT セキュリティ設定がリセットされること
があります。その場合,手動でのセキュリティ再設定が必要です。
<目次> <6. IT セキュリティ> 6-12
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.4 セキュリティモデルの変更 セキュリティモデルの変更は,変更前と変更後の両方の実行権限を持つユーザアカ
ウントで行う必要があります。 セキュリティモデルの変更は,IT セキュリティ設定ツールで行うことができます。 ユーザへの許可を与える手順の詳細は,Exaquantum インストールマニュアル(IM 36J04A13-01)の「2.5 ユーザアカウントとグループ」を参照してください。
従来モデルから標準モデル(ワークグループ) 条件 ログインユーザは以下のグループに所属: ・ ローカルの Administrators ・ ローカルの EXA_MAINTENANCE 手順 1. 適切なユーザでログインする 2. IT セキュリティ設定ツールを実行する 3. ローカルの quantumuser と EXA アカウントを削除する(サーバで実行の場合) 4. PC をリスタートする
従来モデルから標準モデル(ドメイン) 条件 ・ PC をドメインに参加させる ・ ドメインサーバにグループを作成する(詳細については,Exaquantum インス
トールマニュアル(IM 36J04A13-01)の「2.5 ユーザアカウントとグループ」
を参照) ・ ログインユーザは以下のグループに所属:
- ローカルの Administrators - ドメインの EXA_MAINTENANCE 手順 1. 適切なユーザでログインする 2. IT セキュリティ設定ツールを実行する 3. ローカルの quantumuser と EXA アカウントを削除する(サーバで実行の場合) 4. PC をリスタートする
<目次> <6. IT セキュリティ> 6-13
IM 36J04A15-02
11th Edition : 2010.12.27-00
標準モデル(ワークグループ)から従来モデル 条件 ログインユーザは以下のグループに所属: ・ ローカルの Administrators ・ ローカルの EXA_MAINTENANCE 手順 1. 適切なユーザでログインする 2. パスワードポリシーの変更を行う(*1) 3. IT セキュリティ設定ツールを実行する 4. PC をリスタートする
*1: パスワードポリシーの変更については Exaquantum インストールマニュアル(IM 36J04A13-01)の以下の項目の“パ
スワードポリシーの変更方法(従来モデル)”を参照してください。 4.1.3 Windows Server 2008 Standard SP2(32Bit)を使用する場合 4.1.4 Windows Server 2008 Standard R2(64Bit)を使用する場合 5.1.3 Windows Vista Business Edition SP2 を使用する場合 5.1.4 Windows Server 2008 SP2(32Bit)を使用する場合 5.1.5 Windows Server 2008 R2 Standard(64Bit)を使用する場合 5.1.6 Windows 7 Professional(64Bit)を使用する場合
標準モデル(ドメイン)から従来モデル 条件 ログインユーザは以下のグループに所属: ・ ローカルの Administrators ・ ローカルの EXA_MAINTENANCE 手順 1. 適切なユーザでログインする 2. パスワードポリシーの変更を行う(*1) 3. IT セキュリティ設定ツールを実行する 4. PC をリスタートする 5. ドメインサーバからコンピュータを削除する(必須ではない) 6. ドメインサーバに作成されたグループを削除する。詳細については,
Exaquantum インストールマニュアル(IM 36J04A13-01)の 「2.5 ユーザアカウ
ントとグループ」を参照してください。 *1: パスワードポリシーの変更については Exaquantum インストールマニュアル(IM 36J04A13-01)の以下の項目の“パ
スワードポリシーの変更方法(従来モデル)”を参照してください。 4.1.3 Windows Server 2008 Standard SP2(32Bit)を使用する場合 4.1.4 Windows Server 2008 Standard R2(64Bit)を使用する場合 5.1.3 Windows Vista Business Edition SP2 を使用する場合 5.1.4 Windows Server 2008 SP2(32Bit)を使用する場合 5.1.5 Windows Server 2008 R2 Standard(64Bit)を使用する場合 5.1.6 Windows 7 Professional(64Bit)を使用する場合
<目次> <6. IT セキュリティ> 6-14
IM 36J04A15-02
11th Edition : 2010.12.27-00
標準モデル(ワークグループ)から標準モデル(ドメイン) 条件 ・ PC はドメインのメンバ ・ ドメインサーバに必要なグループを作成する。詳細については,Exaquantum イ
ンストールマニュアル(IM 36J04A13-01)の 「2.5 ユーザアカウントとグルー
プ」を参照してください。 ・ ログインユーザはドメインのメンバ ・ ログインユーザは以下のグループに所属:
- ローカルの Administrators - ドメインの EXA_MAINTENANCE - ローカルの EXA_MAINTENANCE
手順 1. 適切なユーザでログインする 2. IT セキュリティ設定ツールを実行する 3. PC をリスタートする 4. ローカルに作成されたグループを削除する。詳細については,Exaquantum イン
ストールマニュアル(IM 36J04A13-01)の 「2.5 ユーザアカウントとグルー
プ」を参照してください。
標準モデル(ドメイン)から標準モデル(ワークグループ) 条件 ・ ログインユーザは以下のグループに所属:
- ローカルの Administrators - ドメインの EXA_MAINTENANCE - ローカルの EXA_MAINTENANCE
手順 1. 適切なユーザでログインする 2. IT セキュリティ設定ツールを実行する 3. PC をリスタートする 4. ドメインサーバからコンピュータを削除する(必須ではない) 5. ドメインサーバに作成されたグループを削除する。詳細については,
Exaquantum インストールマニュアル(IM 36J04A13-01)の 「2.5 ユーザアカウ
ントとグループ」を参照してください。
注 意
Exaquantum/PIMS サーバ上で監視項目設定ツールを使用して監視を行っている場合,IT セキュリティ
設定変更後に,一部の設定を手動で変更する必要があります。 詳細は Exaquantum エンジニアリングガイド vol.3「サポートツール編」(IM 36J04A15-03)の「18. 監視項目設定ツール」を参照してください。
<目次> <6. IT セキュリティ> 6-15
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5 各パッケージとの連携 各パッケージと連携する場合の設定項目を列挙します。 (すべて Exaquantum サーバについての記載であり,Exaquantum クライアントでは
設定は不要です。) パッケージの連携には以下があります。 ・ 同居:Exaquantum サーバと他パッケージが同一 PC 上で動作する環境 ・ 接続:Exaquantum サーバと他パッケージが別 PC でネットワークを介して動作
する環境
● Exaquantum 実行アカウントについて 接続先の PC に Exaquantum の実行アカウント QTM_PROCESS を作成する場合は,
「プロセス実行アカウント作成ツール」を使用します。ツールは製品 CD に含まれ
ており,アカウントを作成したい PC 上で CD より実行してください。 CD:TOOLS¥CreateQTMProcess.exe
6.2.5.1 Exaopc お互いのプロセス実行アカウントが存在している必要があり,標準(強固)モデル
の場合,権限があるグループに所属させます。 OPC_PROCESS を作成する場合は,Exaopc の「プロセス実行アカウント作成ツー
ル」を使用します。ツールは Exaopc の製品 CD に含まれており,アカウントを作
成したい PC 上で CD より実行してください。 CD:EXA¥TOOLS¥CreateOPCProcess.exe
<目次> <6. IT セキュリティ> 6-16
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ Exaopc R3.60.00 以降
● 従来モデル 設定内容
Exaquantum 同居 Exaopc が従来
Exaopc
設定不要。
Exaquantum Exaopc のプロセス実行アカウント( デフォルト EXA)を作成し,パスワードを揃えます。Exaopc のプロセス実行アカウントが EXA の場合は作成する必要ありません。
Exaopc が従来
Exaopc ユーザアカウント”Quantumuser”を作成し,パスワードも揃えます。
Exaquantum ユーザアカウント“OPC_PROCESS” を作成します。 Exaopc が標準(強固)スタンドアロン
Exaopc ユーザアカウント”Quantumuser” を作成し,ユーザグループ”OPC_USER” に所属させます。
Exaquantum ユーザアカウント“OPC_PROCESS” を作成します。
接続
Exaopc が標準(強固)ドメイン
Exaopc ユ ー ザ ア カ ウ ン ト ”Quantumuser” を ユ ー ザ グ ル ープ”OPC_USER_LCL” グループに所属させます。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum 同居 Exaopc が標準(強固)スタンドアロン
Exaopc
ユーザアカウント” OPC_PROCESS”をユーザグループ“QTM_OPC”に所属させます。また,ユーザアカウント”QTM_PROCESS”をユーザグループ“OPC_USER”に所属させます。
Exaquantum Exaopc のプロセス実行アカウント( デフォルト EXA)を作成し,ユーザグループ”QTM_OPC” に所属させます。
Exaopc が従来
Exaopc ユーザアカウント”QTM_PROCESS”を作成します。
Exaquantum ユーザアカウント“OPC_PROCESS” を作成し,ユーザグループ”QTM_OPC” に所属させます。
Exaopc が標準(強固)スタンドアロン
Exaopc ユーザアカウント“QTM_PROCESS” を作成し,ユーザグループ”OPC_USER”に所属させます。
Exaquantum ユーザアカウント “OPC_PROCESS をユーザグループ”QTM_OPC_LCL “に所属させます。
接続
Exaopc が標準(強固)ドメイン
Exaopc ユーザアカウント “QTM_PROCESS をユーザグループ”OPC_USER_LCL”に所属させます。
<目次> <6. IT セキュリティ> 6-17
IM 36J04A15-02
11th Edition : 2010.12.27-00
● 標準(強固)ドメインモデル 設定内容
Exaquantum 同居 Exaopc が標準(強固)ドメイン
Exaopc
ユーザアカウント“QTM_PROCESS”をユーザグループ“OPC_USER_LCL”に所属させます。また,ユーザアカウン ト “ OPC_PROCESS ” を ユ ー ザ グ ル ー プ“QTM_OPC_LCL”に所属させます。
Exaquantum Exaopc のプロセス実行アカウント(デフォルト EXA)を作成し,ユーザグループ“QTM_OPC_LCL”に所属させます。
Exaopc が従来
Exaopc ユーザアカウント“QTM_PROCESS”を作成します。
Exaquantum ユーザアカウント“OPC_PROCESS”を作成し,ユーザグループ“QTM_OPC_LCL” に所属させます。
Exaopc が標準(強固)スタンドアロン
Exaopc ユーザアカウント“QTM_PROCESS”を作成し,ユーザグループ“OPC_USER”に所属させます。
Exaquantum ユーザアカウント“OPC_PROCESS”を作成し,ユーザグループ“QTM_OPC_LCL” に所属させます。
接続
Exaopc が標準(強固)ドメイン
Exaopc ユーザアカウント“QTM_PROCESS”を作成し,ユーザグループ“OPC_USER_LCL”に所属させます。
■ Exaopc R3.50.10 以前(IT セキュリティ未対応) Exaopc と同居する場合,Exaquantum のセキュリティモデルは従来モデルである必
要があります。設定内容は「Exaopc R3.60.00 以降」の設定と同様です。
<目次> <6. IT セキュリティ> 6-18
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5.2 Exapilot お互いのプロセス実行アカウントが存在している必要があり,標準(強固)モデル
の場合,権限があるグループに所属させます。 Exapilot には Exaquantum クライアントをインストールする必要があるため,セキュ
リティモデルの異なる同居 / 接続はできません。
■ Exapilot R3.70.00 以降(EQ 入出力工程部品を使用する場合) Exapilot の EQ 入出力工程部品を使用する場合は,以下の設定をしてください。
● 従来モデル 設定内容
Exaquantum 同居
Exapilot
Exapilot のプロセス実行アカウント(デフォルト EXA)をユーザグループ “QUserGroup”, “QDataWriteGroup”に所属させます。
Exaquantum Exapilot のプロセス実行アカウント(デフォルト EXA)を作成し,パスワードを揃えます。また,ユーザグループ“QUserGroup”に所属させます。 接続
Exapilot 設定不要。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum 同居
Exapilot
ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_DATA_READ”に所属させます。 ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_DATA_WRITE”に所属させます。 ユーザアカウント“QTM_PROCESS”をユーザグループ “PLT_OPC”に所属させます。
Exaquantum ユーザアカウント“PLT_PROCESS”を作成します。 ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_DATA_READ”に所属させます。 ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_DATA_WRITE”に所属させます。
接続
Exapilot ユーザアカウント“QTM_PROCESS”をユーザグループ “PLT_OPC”に所属させます。
● 標準(強固)ドメインモデル 設定内容
Exaquantum 同居
Exapilot
ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_MAINTENANCE_LCL”に所属させます。 ユーザアカウント“QTM_PROCESS”をユーザグループ “PLT_OPC_LCL”に所属させます。
Exaquantum ユーザアカウント“PLT_PROCESS”を作成します。 ユーザアカウント“PLT_PROCESS”をユーザグループ “QTM_MAINTENANCE_LCL”に所属させます。
接続
Exapilot ユーザアカウント“QTM_PROCESS”をユーザグループ “PLT_OPC_LCL”に所属させます。
<目次> <6. IT セキュリティ> 6-19
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ Exapilot R3.70.00 以降(Exapilot ActiveX コントロールを Exaquantum Explorer に貼り付けて使用する場合)
Exapilot ActiveX コントロールを Exaquantum Explorer に貼り付けて使用する場合
は,以下の設定をしてください。
● 従来モデル 設定内容
Exaquantum 同居
Exapilot
なし
Exaquantum なし 接続
Exapilot なし
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum 同居
Exapilot
Exaquantum Explorer を起動するユーザをユーザグループ
“PLT_OPERATOR”に所属させます。
Exaquantum なし 接続
Exapilot Exaquantum Explorer を起動するユーザをユーザグループ
“PLT_OPERATOR”に所属させます。
● 標準(強固)ドメインモデル 設定内容
Exaquantum 同居
Exapilot
Exaquantum Explorer を起動するユーザをユーザグループ “PLT_OPERATOR”に所属させます。
Exaquantum なし 接続
Exapilot Exaquantum Explorer を起動するユーザをユーザグループ “PLT_OPERATOR”に所属させます。
■ ExapilotR3.60.00 以前(IT セキュリティ未対応) Exaquantum が従来モデルである必要があります。その他のモデルとは同居/接続で
きません。設定内容は「Exapilot R3.70.00 以降」の従来モデルの設定と同様です。
<目次> <6. IT セキュリティ> 6-20
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5.3 Exaplog お互いのプロセス実行アカウントが存在している必要があり,標準(強固)モデル
の場合,権限があるグループに所属させます。 Exaplog には Exaquantum クライアントをインストールする必要があるため,セキュ
リティモデルの異なる同居/接続はできません。
■ Exaplog R3.30.00 以降
● 従来モデル 設定内容
Exaquantum 同居
Exaplog
設定不要。
Exaquantum 設定不要。 接続
Exaplog ユーザアカウント“Quantumuser”を作成し,「バッチジョブとしてログオン」に追加します。
● 標準(強固)スタンドアロンモデル ワークグループ管理
Exaquantum 同居
Exaplog
ユーザアカウント“Quantumuser”を作成し,「バッチジョブとしてログオン」に追加します。 ユーザアカウント“Quantumuser”をユーザグループ“QTM_DATA_READ”に所属させます。 ユーザアカウント“Quantumuser”をユーザグループ“PLG_CONVERTER”に所属させます。
Exaquantum ユ ー ザ ア カ ウ ン ト “ Quantumuser ” を 作 成 し , ユ ー ザ グ ル ー プ“QTM_DATA_READ”に所属させます。
接続
Exaplog ユーザアカウント“Quantumuser”を作成し,「バッチジョブとしてログオン」に追加します。 ユーザアカウント“Quantumuser”をユーザグループ“QTM_DATA_READ”に所属させます。 ユーザアカウント“Quantumuser”をユーザグループ“PLG_CONVERTER”に所属させます。
● 標準(強固)ドメインモデル Exaplog は標準(強固)ドメインモデルをサポートしていません。
■ Exaplog R3.20.00 以前(IT セキュリティ未対応) Exaquantum が従来モデルである必要があります。その他のモデルとは同居 / 接続できません。設
定内容は「Exaplog R3.30.00 以降」の従来モデルの設定と同様です。
<目次> <6. IT セキュリティ> 6-21
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5.4 Exasmoc/Exarqe
■ Exasmoc R4.01.00,Exarqe R4.01.00 以降 同じセキュリティモデルであれば同居することができます。また,設定は不要で
す。
■ Exasmoc R3.06.00,Exarqe R3.06.00 以前(IT セキュリティ未対応) Exaquantum が従来モデルであれば同居することができます。また,設定は不要で
す。
6.2.5.5 CENTUM VP 標準(強固)モデルの場合,お互いのプロセス実行アカウントを権限があるグルー
プに所属させます。また,HIS と Exaquantum サーバの同居はできません。 Exaquantum クライアントと HIS の同居については,Exaquantum エンジニアリング
ガイド Vol.2 ネットワーク構成編(IM 36J04A15-02)の付録 A14 を参照してくださ
い。
● 従来モデル 設定内容
Exaquantum CENTUM VP とユーザアカウント“CENTUM”のパスワードを揃えます。
CENTUM VP が従来
CENTUM VP ユーザアカウント“Quantumuser”を作成します。
Exaquantum ユーザアカウント“CTM_PROCESS”を作成します。 CENTUM VP が標準(強固)スタンドアロン CENTUM VP ユーザアカウント“Quantumuser”を作成し,ユーザグ
ループ“CTM_OPC”に所属させます。
Exaquantum ユーザアカウント“CTM_PROCESS”を作成します。
接続
CENTUM VP が標準(強固)ドメイン
CENTUM VP ユーザアカウント“Quantumuser”をユーザグループ“CTM_OPC_LCL”に所属させます。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum ユーザアカウント“CENTUM”を作成し,ユーザグループ“QTM_OPC”に所属させます。
CENTUM VP が従来
CENTUM VP ユーザアカウント“QTM_PROCESS”を作成します。
Exaquantum ユーザアカウント“CTM_PROCESS”を作成し,ユーザグループ“QTM_OPC”に所属させます。
CENTUM VP が標準(強固)スタンドアロン
CENTUM VP ユーザアカウント“QTM_PROCESS”を作成し,ユーザグループ“CTM_OPC”に所属させます。
Exaquantum ユーザアカウント“CTM_PROCESS”をユーザグループ“QTM_OPC”に所属させます。
接続
CENTUM VP が標準(強固)ドメイン
CENTUM VP ユーザアカウント“QTM_PROCESS”をユーザグループ“CTM_OPC_LCL”に所属させます。
<目次> <6. IT セキュリティ> 6-22
IM 36J04A15-02
11th Edition : 2010.12.27-00
● 標準(強固)ドメインモデル 設定内容
Exaquantum ユーザアカウント“ CENTUM” をユーザグループ“QTM_OPC_LCL”に所属させます。
CENTUM VP が従来
CENTUM VP ユーザアカウント“QTM_PROCESS”を作成します。
Exaquantum ユーザアカウント“CTM_PROCESS”をユーザグループ“QTM_OPC_LCL”に所属させます。
CENTUM VP が標準(強固)スタンドアロン
CENTUM VP ユーザアカウント“QTM_PROCESS”をユーザグループ“CTM_OPC”に所属させます。
Exaquantum ユーザアカウント“CTM_PROCESS”をユーザグループ“QTM_OPC_LCL”に所属させます。
接続
CENTUM VP が標準(強固)ドメイン
CENTUM VP ユーザアカウント“QTM_PROCESS”をユーザグループ“CTM_OPC_LCL”に所属させます。
6.2.5.6 CENTUM CS 3000 標準(強固)モデルの場合,お互いのプロセス実行アカウントを権限があるグルー
プに所属させます。また,HIS と Exaquantum サーバの同居はできません。
● 従来モデル 設定内容
Exaquantum CENTUM CS 3000 とユーザアカウント“CENTUM”のパスワードを揃えます。
接続 CENTUM CS 3000 が従来
CENTUM CS 3000 ユーザアカウント“Quantumuser”を作成します。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum ユーザアカウント“CENTUM”を作成し,ユーザグループ“QTM_OPC”に所属させます。
接続 CENTUM CS 3000 が従来
CENTUM CS 3000 ユーザアカウント“QTM_PROCESS”を作成します。
● 標準(強固)ドメインモデル 設定内容
Exaquantum ユーザアカウント“CENTUM”をユーザグループ“QTM_OPC_LCL”に所属させます。
接続 CENTUM CS 3000 が従来
CENTUM CS 3000 ユーザアカウント“QTM_PROCESS”を作成します。
<目次> <6. IT セキュリティ> 6-23
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5.7 他社 OPC サーバ 標準(強固)モデルの場合,お互いのプロセス実行アカウントをグループに所属さ
せます。
● 従来モデル 設定内容
Exaquantum 設定は必要ありません。 接続
他社 OPC サーバ 他社 OPC サーバの設定手順に従います。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum 他社 OPC 実行アカウントを作成し,ユーザグループ“QTM_OPC”に所属させます。
接続
他社 OPC サーバ 他社 OPC サーバの設定手順に従います。
● 標準(強固)ドメインモデル 設定内容
Exaquantum 他社 OPC 実行アカウントを作成し,ユーザグループ“QTM_OPC_LCL”に所属させます。
接続
他社 OPC サーバ 他社 OPC サーバの設定手順に従います。
<目次> <6. IT セキュリティ> 6-24
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.2.5.8 Exaquantum OPC サーバにアクセスするクライアント 基本的にお互いのプロセス実行アカウントを権限があるグループに所属させます。
ただし,クライアントに関しては,クライアントのマニュアルに従います。
Exaquantum OPC サ ー バ を 使 用 し て デ ー タ の 読 み 込 み を 行 う 場 合 は ,
“QUserGroup”または“QTM_DATA_READ”グループにクライアントの起動アカ
ウントを登録する必要があります。書込みを行う場合は,“QUserGroup”または
“ QTM_DATA_READ” グ ル ー プ に 加 え , “ QDataWriteGroup ” ま た は
“QTM_DATA_WRITE”グループにクライアントの起動アカウントを登録する必要
があります。 Exaquantum OPC DA サーバの起動アカウントは OPC_PROCESS,Exaquantum OPC HDA サーバの起動アカウントは QTM_PROCESS となります。
● 従来モデル 設定内容
Exaquantum 同居
クライアント*1
クライアントの起動アカウントをユーザグループ“QUserGroup”,“QDataWriteGroup”に所属させます。
Exaquantum クライアントの起動アカウントを作成し,ユーザグループ“QUserGroup”, “QDataWriteGroup”に所属させます。
接続
クライアント*1 クライアントの設定手順に従います。
● 標準(強固)スタンドアロンモデル 設定内容
Exaquantum 同居
クライアント*1
クライアントの起動アカウントをユーザグループ“QTM_DATA_READ”,“QTM_DATA_WRITE”に所属させます。
Exaquantum ク ラ イ ア ン ト の 起 動 ア カ ウ ン ト を 作 成 し , ユ ー ザ グ ル ー プ“QTM_DATA_READ”,“QTM_DATA_WRITE”に所属させます。
接続
クライアント*1 クライアントの設定手順に従います。
● 標準(強固)ドメインモデル 設定内容
Exaquantum 同居
クライアント*1
クライアントの起動アカウントをユーザグループ“QTM_DATA_READ”, “QTM_DATA_WRITE”に所属させます。
Exaquantum ク ラ イ ア ン ト の 起 動 ア カ ウ ン ト を 作 成 し , ユ ー ザ グ ル ー プ“QTM_DATA_READ”,“QTM_DATA_WRITE”に所属させます。
接続
クライアント*1 クライアントの設定手順に従います。 *1: クライアントに関しては,クライアントのマニュアル手順に従います。
<目次> <6. IT セキュリティ> 6-25
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.3 運用 前節で紹介したセキュリティ機能を導入した場合に,運用上注意が必要な,
Windows のアカウント管理と関連プログラムに関して記述します。 6.3.1 Windows のアカウント管理
Windows のアカウント管理は,共通アカウント管理と個別アカウント管理の 2 つの
アカウント管理を想定しています。
表 Windows のアカウント管理 アカウント管理方法 運用形態 運用上の利便性 セキュリティ強度
共通アカウント管理 1 つの Windows アカウントを複数のユーザで共有する運用形態。
高い従来の Exaquantum システムと同等の操作性。 低い 匿名性が高く不利。
個別アカウント管理 1 ユーザに 1 つの Windowsアカウントを配布する運用形態。
低い要員交代時に Windows ログオフ/ログオンが必要になり,従来の運用に比べ煩雑。
高い ユーザごとのアクセス管理ができ有利。
■ 共通アカウント管理 共通アカウント管理は,従来の Exaquantum システムのアカウント管理と同様なの
で,運用上の利便性は高いです。しかし,セキュリティ的な観点からみると匿名性
が高く不利なので,要員教育や運用環境のセキュリティにも十分に配慮した運用を
行ってください。
● アカウントに関して 共通アカウントで運用する場合,権限者ごとにグループ分けを行い,グループ内で
共通アカウントを利用する運用を推奨します。権限者ごとにグループ別けを行うこ
とにより,非権限者の操作を防止することができ,事故発生時のトレースに関して
も利用者グループを絞り込むことが可能となるので,すべてのユーザで共通アカウ
ントを利用した場合より有効なトレースデータになると考えられます。
● パスワード管理に関して セキュリティを考慮すると,パスワードは定期的に変更することを推奨します。パ
スワード変更を定期的に行うことにより,パスワードクラッキング攻撃に対抗でき
ます。共通アカウントで運用する場合は,共通アカウントを利用するメンバーが変
更されたタイミングでもパスワード変更することを推奨します。パスワード変更す
ることにより,旧関係者からの不正アクセスを防止します。
● 自動ログオン機能に関して 自動ログオン機能を利用する場合,自動ログオン機能に設定するユーザは,
QTM_DATA_READ グループに所属するアカウントを作成(アカウント名は任意)
してください。他アクセスグループに所属しているアカウントを設定した場合,非
権限者によって不用意にエンジニアリング機能などを利用されることが想定されま
す。
<目次> <6. IT セキュリティ> 6-26
IM 36J04A15-02
11th Edition : 2010.12.27-00
● 匿名性に関して 共通アカウントを利用することにより,システム操作に関する匿名性が高くなりセ
キュリティ的に脆弱になりやすいです。運用時は,コントロールルームの入退室管
理や運用者のセキュリティ教育などを徹底してセキュリティに留意することを推奨
します。
■ 個別アカウント管理 個別アカウント管理は,端末の運用者を特定することにより,アカウントに対する
権限を必要最低限にすることができます。また事故発生時のトレース作業も運用者
を特定できることにより有効なトレースが可能となります。ただし,個別アカウン
ト管理は,要員交代時に Winodws のログオフ/ログオンの作業が発生するなど,従
来の運用と異なる点もあるので,導入には十分な考慮が必要です。
● アカウントメンテナンスに関して ユーザに権限の変更が生じた場合,速やかにアカウント権限を変更することを推奨
します。(*1) 速やかなアカウントメンテナンスを行うことにより,旧権限者からの不正アクセス
や攻撃者からの予期しない攻撃に対抗します。 *1: 例えば,対象ユーザが退社した場合はアカウントの削除,メンテナンス担当者が運用担当に変更があった場合は所
属グループの変更,など。
● パスワード管理に関して セキュリティを考慮すると,パスワードは定期的に変更することを推奨します。パ
スワード変更を定期的に行うことにより,パスワードクラッキング攻撃に対抗しま
す。
● 要員交代時の考慮に関して 個別アカウント管理で運用する場合,操作監視の要員交代時に従来の運用と比較し
て Windows のログオフ/ログオンで時間を要します。要員交代時の緊急対応に備え
て,一斉の要員交代を避け,などの運用をお願いします。また,監視専用端末など
を設けることも有効な回避手段です。
● 要員のセキュリティ教育に関して 個別アカウント管理で運用する場合,要員によるアカウント管理が重要となりま
す。要員のアカウントに関するセキュリティ意識を高めることを推奨します。
<目次> <6. IT セキュリティ> 6-27
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ アカウント管理の注意点 “共通アカウント管理”/“個別アカウント管理”のいずれにも共通する注意点を
列挙します。
● システム監視に関して システム監視を定期的に行うことを推奨します。システム監視を定期的に行うこと
により,システムの異常を早期に発見でき,事故の予兆や事故の早期発見につなが
ります。なお,異常が発見された場合は,社内のネットワーク管理者または有識者
に相談して速やかに適切な対応を行ってください。
● ワークグループ管理によるアカウント管理に関して アカウントをワークグループで管理する場合,ユーザが利用する端末およびプロ
ジェクトデータベースが存在するエンジニアリング端末のすべてに同一ユーザのア
カウントを作成する必要があり,登録されたアカウントのパスワードも統一する必
要があります。なお,パスワード変更を行う場合も,同一アカウントが登録されて
いる全端末を,共通の新しいパスワードへ変更する必要があります。
● ドメイン管理によるアカウント管理に関して ドメインサーバと Exaquantum の各端末の時刻が大きく異なる(デフォルト値は,5分以上)場合,ドメイン環境下での認証機能が正常に動作しません。ドメインサー
バと各端末との時間のずれには注意してください。
参照 「付録 A.10 コンピュータの時計と同期」の「最長トレランス値」
● QTM_MAINTENANCE,EXA_MAINTENANCE グループに関して QTM_MAINTENANCE,EXA_MAINTENANCE は,メンテナンスのためのユーザグ
ループで管理者権限を含む非常に強力な権限を持ちます。通常運用時は,
QTM_MAINTENANCE,EXA_MAINTENANCE に所属するアカウントは,無効なア
カウントとして扱い,利用のタイミングでアカウントを有効化する運用が望ましい
です。また,アカウントを有効にするタイミングでアカウントに対して有効期限を
設定する運用なども,セキュリティ的には有効な手段です。
● Windows Vista/Windows 7/Windows Server 2008 利用ユーザに関して QTM_MAINTENANCE , QTM_MAINTENANCE_LCL , EXA_MAINTENANCE ,
EXA_MAINTENANCE_LCL 権限(管理者権限)を有するユーザが,Windows Vista/Windows 7/Windows Server 2008 上で Exaquantum を操作する場合,ユーザアカ
ウント制御のダイアログボックスが表示されることがあります。ダイアログボック
スが表示された場合は,「続行」あるいは「許可」をクリックしてください。
<目次> <6. IT セキュリティ> 6-28
IM 36J04A15-02
11th Edition : 2010.12.27-00
● Windows の管理者権限があるアクセスユーザグループのユーザの作成方法
に関して QTM_MAINTENANCE / QTM_MAINTENANCE_LCL , EXA_MAINTENANCE /
EXA_MAINTENANCE_LCL に所属するユーザを作成する場合,所属するグループ
と一緒に,“Administrators”グループまたは,“Domain Admins”グループを追加
する必要があります。 ・ ドメイン管理で,QTM_MAINTENANCE に所属するユーザを作成した場合の
ユーザのプロパティ
図 ドメイン管理でのユーザ作成
・ ワークグループ管理で,QTM_MAINTENANCE に所属するユーザを作成した場
合のユーザのプロパティ
図 ワークグループ管理でのユーザ作成
<目次> <6. IT セキュリティ> 6-29
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.3.2 関連プログラム
● Windows のセキュリティパッチに関して Exaquantumに対して,横河電機が必要と認めた検証済みセキュリティパッチを,速
やかに適用することを推奨します。0-day attackで注視されるように,ソフトウェア
にセキュリティ上の 脆弱性(セキュリティホール)が発見(公表)されてから,
その脆弱性を悪用する攻撃が行われるまでの期間が短くなってきているので,速や
かな対応が要求されます。 また,Exaquantum に対して,セキュリティパッチやサービスパックを適用した場
合,既存のセキュリティ設定(Firewall の設定やローカルセキュリティ設定)が変
更されるときがあります。セキュリティパッチやサービスパックを適用した場合,
従来のセキュリティ設定が有効であることを確認してください。
● アンチウィルスソフトウェアに関して Exaquantum システム内の端末,ドメインサーバに関しては,横河電機が検証済みの
アンチウィルスソフトウェアをインストールして運用することを推奨します。 アンチウィルスソフトウェアの検索エンジンやパターンファイルを更新した場合,
端末の再起動や動作に予期せぬ影響を及ぼす可能性があります。更新の場合は,テ
スト端末などで事前に動作確認を行うなど,十分に留意してください。
● 未検証プログラムに関して Exaquantum 内の端末で横河電機が検証していないプログラムを動作させた場合,
Exaquantum の動作へ影響を及ぼしたり,該当プログラムが原因で情報の漏えいやシ
ステム破壊につながったりする可能性があります。未検証プログラムを端末で動作
させることは推奨しません。
<目次> <6. IT セキュリティ> 6-30
IM 36J04A15-02
11th Edition : 2010.12.27-00
6.3.3 Windows の共有フォルダ Exaquantum Explorer ファイル(PXD ファイル)をクライアント間で共有する方法と
して Windows の共有フォルダを利用する方法があります。しかし Windows の共有
フォルダはウイルスの感染経路になったり,攻撃の対象になったりと脆弱性が指摘
されています。 そのため,常にフォルダを共有するのではなく,必要なときのみ,必要な権限で共
有することでセキュリティリスクを最小限におさえることができます。
<目次> <7. 時刻同期> 7-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
7. 時刻同期
注 意
・本章は,IT セキュリティ設定のモデルに関わらず,お読みください。 ・ 時刻同期のマスタがファイアウォールを使用している場合は,時刻同期のマス
タの UDP ポート 123 を開放してください。 ・ 時刻同期テストのため,時刻同期のクライアント側で,以下の操作を行ってく
ださい。 1. スタートメニューからコントロールパネルを開き,「日付とプロパティ」を選
択してください。 2. 「日付と時刻」をダブルクリックして,「日付と時刻のプロパティ」のプロパ
ティを開き,から「インターネット時刻」タブを選択してインターネット時刻
タブを開き,[設定の変更]ボタンをクリックしてください。
3. インターネット時刻設定画面のインターネット時刻サーバーと同期するに
チェックを付けて,[今すぐ更新]ボタンをクリックしてください。
<目次> <7. 時刻同期> 7-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
Exaquantum システム内では,時刻を同期させる必要があります。 Exaquantum サーバは,データ収集時に OPC ゲートウェイなどからデータを収集
し,時刻をキーにデータを時系列に保存/管理します。 Exaquantum サーバとデータ収集元になる OPC ゲートウェイ間での時刻が同期さ
れていないと,データの保存や読み込みが適切に行われなくなります。
Exaquantum サーバと OPC ゲートウェイ間での時刻同期は必ず実施してくださ
い。 Exaquantum クライアントでは,Exaquantum/Explorer 上で“現在”を基準にし
てレポートの開始および終了時刻の計算が行われます。また,Exaquantum の
API を利用したアプリケーションが動作する PC においても,時刻をキーにして
Exaquantum サーバが保存/管理しているデータにアクセスします。 Exaquantum クライアントや API を利用した PC にデータの時刻同一性を保証す
るには,Exaquantum システムとして時刻が同期されている必要があります。
補足 本節では,Exaquantum システムとは,Exaquantum サーバ,Exaquantum クライアント,OPC ゲート
ウェイ,Exaquantum の API を利用したアプリケーションが動作する PC を指します。
7.1 時刻同期の設定 Exaquantum システムの時刻同期には,ネットワーク環境により以下の 3 つの方法が
あります。 ・ Active Directory ドメイン環境での時刻同期
・ 既設ネットワークでの時刻同期
・ 新規ワークグループ環境での時刻同期
補足 「Active Directory ドメイン」とは,Windows Server 上で ActiveDirectory データベースを用いて構築し
たドメインです。 「既設ネットワーク環境」とは,Exaquantum システムの導入時点ですでに構築されているネットワー
クを指します。
「新規ワークグループ環境」とは,Exaquantum システムの導入とあわせて構築するワークグループ環
境のネットワークを指します。
<目次> <7. 時刻同期> 7-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
7.1.1 Active Directory ドメイン環境での時刻同期 Windows Server 上で構築した Active Directory ドメイン環境では,ログオン時のタイ
ムスタンプとドメインコントローラ(DC)の時刻を比較する機能があります。初
期設定では,この時間差が 5 分以上の場合ログインが拒否されます。このため,同
一ドメイン上のコンピュータは時刻の同期をとる必要があります。時刻同期は,
Windows Time(または W32Time)サービスによって実行されます。ただし,これ
は必要であればサードパーティ製の同期ツールに置き換えられます。 Active Directory ドメインに Exaquantum サーバを構築する場合は,通常ドメインコ
ントローラが時刻のマスタ(タイムサーバ)として機能し,同一ドメイン内の PCは自動的に時刻の同期が行われるため,時刻同期のための特別な設定は必要ありま
せん。 なお,PCS LAN 上のシステムと Exaquantum サーバの時刻同期が重要ですので,
PCS と Site Windows Domain が GPS 時計のような外部の時刻ソースを共有すること
を推奨します。 Active Directory ドメイン環境を構築してもドメインコントローラ以外でタイムサー
バを構築している場合や Windows Time 以外の方法で時刻同期を実現している場合
は,「既存ネットワークでの時刻同期」を参照して時刻同期を設定してください。 また,Active Directory ドメイン環境を構築しても時刻同期を行っていない場合は,
「新規ワークグループ環境での時刻同期」を参照して時刻同期を設定してくださ
い。 7.1.2 既存ネットワークでの時刻同期
以下に示すネットワーク内に Exaquantum サーバを構築する場合は,ネットワーク
管理者の指示に従って時刻同期を設定してください。 データ収集元である OPC ゲートウェイと Exaquantum サーバの時刻同期が重要です
ので,OPC ゲートウェイも同じ時刻で同期されるように設定してください。また,
時刻同期する周期が適切に設定されていることもネットワーク管理者に確認してく
ださい。 ・ Windows NT で構築したドメイン環境 ・ ワークグループ環境 ・ Active Directory ドメイン環境で DC 以外の PC がタイムサーバの場合 ・ Active Directory ドメイン環境で Windows Time を使用していない場合
上記のネットワークを構成していても時刻同期を行っていない場合は,「新規ワー
クグループ環境での時刻同期」を参照して時刻同期の設定をしてください。
<目次> <7. 時刻同期> 7-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
7.1.3 新規ワークグループ環境での時刻同期 以下に示すネットワーク構成内に Exaquantum システムを構築する場合は,ネット
ワーク管理者に時刻同期のポリシーを確認してください。時刻同期の設定は,ネッ
トワーク管理者の指示に従ってください。なお,データ収集元である OPC ゲート
ウェイと Exaquantum サーバの時刻同期が重要ですので,OPC ゲートウェイも同じ
時刻で同期されるように設定してください。また,時刻同期する周期が適切に設定
されているかもネットワーク管理者に確認してください。 ・ Active Directory ドメイン環境を構築しても,時刻同期を行っていない場合 ・ 既存ネットワークでも時刻同期を行っていない場合 ・ Exaquantum 導入に合わせて新たにワークグループでのネットワークを構築する
場合 ネットワーク管理者が時刻同期を検討していない場合は,Exaquantum システムでは
時刻同期が重要であることを説明し,OPC ゲートウェイにタイムサーバの機能を持
たせて,Exaquantum サーバはタイムサーバに対して時刻合わせを行う方法で時刻同
期の仕組みを構築することの了解を得てください。 OPC ゲートウェイが複数あり,システム間の時刻同期が困難な場合には,OPCゲートウェイからのデータ収集時刻に Exaquantum の時刻を使用することもできま
す 。 Exaquantum の 時 刻 を 使 用 す る 方 法 は , 『 Exaquantum/PIMS 説 明 書
(IM36J04A13-01)』「2 章 OPC ゲートウェイの定義」を参照ください。 7.1.4 ツールの格納場所
本節で説明するツールは以下に格納されています。 製品 DVD 内
Exaquantums 製品 DVD:¥Tools¥TimeSynchronyzeUtility.exe
Exaquantum サーバ内
¥<Exaquantumインストールフォルダ>¥Developer tools¥TimeSynchronyzeUtility.exe
注 意
ドメイン環境で使用する場合は,自動的にドメインサーバへの時刻同期が行われる
ため,本ツールでの設定は必要ありません。
ドメイン環境で使用した場合は,以下のメッセージを出します。
図 ドメイン環境で本ツールを起動した場合に表示されるメッセージ
<目次> <7. 時刻同期> 7-5
IM 36J04A15-02
11th Edition : 2010.12.27-00
7.1.5 OPC ゲートウェイへの時刻同期サーバ設定 OPC ゲートウェイに時刻同期サーバの機能を構築するため,本作業は OPC ゲート
ウェイの PC 上で行います。Exaquantum 製品 DVD を挿入すると,インストーラを
起動するメニューが自動的に起動しますので,メニューを閉じてください。 1. TimeSynchronyzeUtility.exe をダブルクリックしてください。時刻同期設定ツー
ルを起動します。[次へ]ボタンをクリックしてください。
図 時刻同期設定
2. 設定するコンピュータを選択ダイアログで(手順 1)を選択して,[次へ]ボ
タンをクリックすると,時刻同期サーバの設定が表示されます。
図 設定するコンピュータの選択
<目次> <7. 時刻同期> 7-6
IM 36J04A15-02
11th Edition : 2010.12.27-00
3. 時刻同期サーバの設定を行います。 [設定]ボタンをクリックすると,時刻同期サーバとして設定されます。 [解除]ボタンをクリックすると,時刻同期サーバとしての設定が解除されま
す。
図 時刻同期サーバの設定
7.1.6 Exaquantum サーバへの時刻同期クライアント設定
Exaquantum サーバに時刻同期クライアント機能を設定します。Exaquantum サーバが
インストールされている(またはインストールする)PCで以下の作業を行います。 Exaquantum 製品 DVD を挿入すると,インストーラを起動するメニューが自動的に
起動しますので,メニューを閉じてください。 1. TimeSynchronyzeUtility.exe をダブルクリックしてください。時刻同期設定ツー
ルを起動します。[次へ]ボタンをクリックしてください。
図 時刻同期設定
<目次> <7. 時刻同期> 7-7
IM 36J04A15-02
11th Edition : 2010.12.27-00
2. 設定するコンピュータを選択ダイアログで(手順 2)を選択して,[次へ]ボ
タンをクリックすると,時刻同期クライアントの設定が表示されます。
図 設定するコンピュータの選択
3. 同期の設定を行います。 時刻同期サーバ名に,OPC ゲートウェイへのタイムサーバ設定で設定した OPC
ゲートウェイのコンピュータ名を入力します。 “周期(分)”に,同期周期を分単位で入力します。
図 時刻同期設定
4. [設定]ボタンをクリックします。 時刻同期処理の設定が行われます。
注意:Windows ファイアウォールを「有効」にした場合は,Windows ファイアウォールの「例外」にポート 123(udp)を
追加してください。
<目次> <7. 時刻同期> 7-8
IM 36J04A15-02
11th Edition : 2010.12.27-00
7.2 R2.10.50 以前からのバージョンアップ時の注意(同期方法切り替え) ExaquantumR2.20 から「Windows Time」を利用した時刻同期を行っています。しか
し,過去にリリースした Exaquantum システムでは以下に示す方法での時刻同期も
サポートしてきました。 ・ Time Service ・ Net Time 従って,バージョンアップ前の Exaquantum システムで Windows Time 以外の時刻同
期方法を採用していた場合は,同期方法を切り替える必要があります。 まず現在の同期方法を停止し,その後新しい同期方法を構築して同期方法を切り替
えます。 7.2.1 現状の同期方法の解除
現状の時刻同期を解除します。
Time Service を使用している場合 Exaquantum サーバに時刻同期機能を設定します。Exaquantum サーバがインストー
ルされている(またはインストールする)PC で以下の作業を行います。 Exaquantum 本体の DVD を挿入すると,インストーラを起動するメニューが自動的
に起動しますので,メニューを閉じてください。 1. TimeSynchronyzeUtility.exe をダブルクリックしてください。時刻同期設定ツー
ルを起動します。[次へ]ボタンをクリックしてください。
図 時刻同期設定
<目次> <7. 時刻同期> 7-9
IM 36J04A15-02
11th Edition : 2010.12.27-00
2. 設定するコンピュータを選択ダイアログで(手順 2)を選択して,[次へ]ボ
タンをクリックすると,時刻同期サーバの設定が表示されます。
図 設定するコンピュータの選択
3. 時刻同期の停止を行います。 時刻同期サーバ名に,OPC タイムサーバ設定で設定した OPC ゲートウェイの
コンピュータ名を入力します。 “周期(分)”に,同期周期を分単位で入力します。
図 時刻同期設定
4. [解除]ボタンをクリックします。 時刻同期の解除が行われます。
<目次> <7. 時刻同期> 7-10
IM 36J04A15-02
11th Edition : 2010.12.27-00
Net Time を使用している場合 「スタートアップ」フォルダにある以下のコマンドが記述されたバッチファイルを
削除します。標準インストール手順では“Timesync.cmd”の名称でバッチファイル
が作られています。 以下のコマンド以外のコマンドが含まれている場合は,以下のコマンドのみ削除し
てください。
Net time ¥¥Qserver /set /yes
7.2.2 新しい同期方法の構築
「7.1.3 新規ワークグループ環境での時刻同期」で記述されている方法で時刻同期
を設定してください。
<目次> <付録 A. IT セキュリティ> App.A-1
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A. IT セキュリティ 付録 A.1 Exaquantum の外部プロセスと通信する
モジュール一覧 表 外部プロセスと通信する Exaquantum のモジュール一覧
No サービス名/ 実行ファイル名
ポート番号 (プロトコル) その他
Exaquantum サーバ
1 ファイルとプリンタの共有
TCP:139 UDP:137 UDP:138 TCP:445
(*1)
2 QOPCAEPump.exe TCP:135 TCP:20500 ~20550 (*2)
3 Quantum.exe TCP:135 TCP:20500 ~20550 (*2)
4 QEventHandler.exe TCP:135 TCP:20500 ~20550 (*2)
5 ExaQuantumExecutive.exe TCP:135 TCP:20500 ~20550 (*2)
6 QHistorian.exe TCP:135 TCP:20500 ~20550 (*2)
7 QArchive.exe TCP:135 TCP:20500 ~20550 (*2)
8 QOPCHDAServer.exe TCP:135 TCP:20500 ~20550 (*2)
9 QOPCHAEServer.exe TCP:135 TCP:20500 ~20550 (*2)
Exaquantum クライアント
1 Quantum.exe TCP:135 TCP:20500 ~20550 (*2)
*1: TCP:445 のみでファイル共有を行う場合,“6.3.5.6 NetBIOS over TCP/IP の無効化”の設定が必要となります。 *2: 別途,DCOM の動的ポートを制限する設定も必要となります。
<目次> <付録 A. IT セキュリティ> App.A-2
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.2 Exaquantum で利用される共有フォルダ Exaquantum では共有フォルダを使用していません。
付録 A.3 Exaquantum で登録されるサービス一覧
表 Exaquantum で登録されるサービス一覧
サービス名 説明 動作ユーザ スタートアップの種類
Exa Bossd Exaopc のプログラムローダサービス OPC_PROCESS 自動
Exaquantum Exaquantum のプログラムローダサービス Local System 手動
Exaquantum OPC HDA Exaquantum の OPC サーバサービス QTM_PROCESS 手動
Exaquantum Server Exaquantum サーバサービス QTM_PROCESS 手動
Exaquantum Web Server Exaquantum の Web サーバサービス Local System 手動
OpcEnum OPC サーバの登録情報を取得して提供するサービス Local System 自動
PM Logd Exa 共通ログサーバサービス EXA_PROCESS 自動
付録 A.4 未対応の主要な Windows セキュリティ
機能 付録 A.4.1 Windows Defender に関して
Microsoft 社が提供するフリーのスパイ対策ツール(Windows Vista では標準搭載)
です。EXA システム内で,Windows Denfender 機能に関して検証を行っていないの
で未対応とします。Windows Defender の原理的には,Exaquantumシステム内で利用
する場合,何らかの設定変更が必要となります。 付録 A.4.2 DEP(Data Execute Prevention:データ実行防止)
機能に関して Windows XP SP2/Windows Server 2003 SP1 より導入された機能で,不正コードの実
行(バッファーオーバーラン)を,防止する機能です。Windows システムが提供す
るバイナリーのみへの適用であれば問題はないです。Exaquantum システムのモ
ジュールは未対応なので,Exaquantum システム内のモジュールに関しては DEP 機
能を適応しないでください。
付録 A.4.3 EFS(Encrypting File System:ファイル暗号システム)機能に関して Windows が標準で装備するファイルの暗号化機能です。Exaquantum システムで運用
した場合,複数端末での暗号鍵の管理や,暗号化に伴うスループットの低下に関し
て検証を行っていないので,未対応とします。
<目次> <付録 A. IT セキュリティ> App.A-3
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.4.4 BitLocker 機能に関して Windows Vista(Ultimate,Enterprise の標準機能)より導入された,ハードディクス
をボリュームレベルで暗号する機能で,HD データの耐タンパー性を確保する目的
で作られています。現状 Exaquantum システムでは,未検証です。耐タンパーに対
する対策が必要な場合は,“6.3.7.1 BIOS による HDD パスワード機能”をご利用く
ださい。
<目次> <付録 A. IT セキュリティ> App.A-4
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.5 内在するセキュリティ脅威 付録 A.5.1 DCOM について
Exaquantum システム内で利用されている,OPC の基本となる DCOM 機能は,ネッ
トワークを介してプロセス間でいろいろな処理ができる非常に便利な機能である反
面,セキュリティ的には,まだ脆弱性を多く含んだ機能といわれます。Exaquantumシステム内では,利用ユーザを限定することによりセキュリティは確保しています
が,DCOM を利用するユーザのアカウント管理には十分に留意してください。 付録 A.5.2 Windows Firewall のスコープの件
Exaquantum の標準セキュリティモデルでは,ネットワーク構成による動作への影響
を 小限にするために,インストール時に設定される Windows Firewall のスコープ
は,“任意のコンピュータ(インターネット上のコンピュータを含む)”に設定さ
れています。システム構成に合わせてポート(プログラム)単位でスコープ範囲を
制限することを推奨します。スコープ範囲を狭めることにより,不用意な端末から
アクセスを防止することができます。
■ Windows Firewall のスコープ範囲の変更方法 1. [スタート]-[コントロールパネル]-[Windows ファイアウォール]を起
動します。 2. [例外設定]タブの任意の例外設定項目を選択して[編集]ボタンをクリック
し,“ポートの編集”の[スコープの変更]ボタンをクリックします。
3. ポート(プログラム)に適した, 小限のスコープを設定します。
<目次> <付録 A. IT セキュリティ> App.A-5
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.6 ワークグループ管理とドメイン管理 ワークグループ管理とドメイン管理の概要を以下に示します。
付録 A.6.1 ワークグループ管理
ワークグループ構成を採用し,複数の端末を使用してシステムを組む場合,端末毎
にアカウントを管理する必要があります。関連プロダクトと連携し,かつセキュリ
ティを設定する場合には,すべての端末に同一 ID のアカウント(パスワードも同
一)を用意する必要があります。
プロ
ジェク
トデ
ータ
ベー
スへ
アク
セス
図 ワークグループ管理
<目次> <付録 A. IT セキュリティ> App.A-6
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.6.2 ドメイン管理 ドメイン管理を採用した場合,システム構成に含まれるすべての端末をドメインへ
参加させることで,システムで使用する端末およびアカウントをドメインコント
ローラで一元管理できます。 また,端末へのログオンが成功すると,そのログオン情報は Windows ドメイン
ネットワークの機能で管理されるため,ワークグループ管理に比べてネットワーク
上を流れる認証情報を極力抑えることが可能です。
プロ
ジェ
クト
デー
タベ
ース
へア
クセ
ス
図 ドメイン管理
<目次> <付録 A. IT セキュリティ> App.A-7
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.7 NetBIOS NetBIOS(Network Basic Input/Output System)は,1980 年代に Sytec 社が IBM のために
作成した仕様で,アプリケーションがネットワーク越しにリモート PC からアクセ
スするための API です。 本機能を利用して,Windows のファイル共有機能(SMB/CIFS)は実現されていま
す。
NIC
NetBEUI IPX/SPX TCP/IP
NetBIOS
SMB/CIFS
ファイル共有 プリンタ共有 他アプリケーション
NetBIOS over TCP/IPTCP:UDP 137,138,139
Direct Hosting(Win2k以降)TCP:445
図 NetBIOS
NetBIOS の機能を利用して,NetBIOS が動作しているマシン上の色々な情報が取得
できるために,セキュリティ的には不利と言われています。 【取得できる情報例】 ・ ワークステーションサービスの情報 ・ メッセンジャサービスの情報 ・ マスタブラウザの情報 ・ メッセンジャサービスの情報 ・ RAS サーバサービスの情報 ・ NetDDE サービスの情報 ・ ファイルサーバサービスの情報 ・ RAS クライアントサービスの情報 ・ モデム共有サーバサービスの情報 ・ モデム共有クライアントサービスの情報 ・ SMS クライアントのリモートコントロールの情報 ・ SMS 管理者のリモートコントロールの情報 ・ SMS クライアントリモートチャットの情報 ・ SMS クライアントリモート間転送の情報 ・ McAfee のウイルス対策プログラムの情報 ・ メッセンジャサービスの情報 ・ ドメインの情報 ・ アカウント情報
<目次> <付録 A. IT セキュリティ> App.A-8
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.8 コンピュータの時計の同期の最長トレランス値 “コンピュータの時計の同期の 長トレランス”は,Kerberos V5 を利用した場合の,
クライアント時刻とドメインコントローラ(Windows Server2003)との時刻の 大
時間差を設定します。 再現攻撃を防ぐために,Kerberos V5 ではプロトコルの定義の一部としてタイムス
タンプを利用しています。タイプスタンプの処理を正しく動作させるためには,各
クライアントとドメインコントローラの時刻が可能な限り同期している必要があり
ます。 なお,この設定は固定的なものではなく,設定後ドメインコントローラを再起動し
た場合は,既定値(5 分)に戻ります。
■ Windows Server 2003 で“コンピュータの時計の同期の最長トレランス”の設定方法
1. ドメインサーバ上の[管理ツール]-[ドメインセキュリティポリシー]を起
動します。 2. [セキュリティの設定]-[アカウントポリシー]-[Kerberos ポリシー]を
開きます 3. コンピュータの時計の同期の 長トレランス”を変更します。
図 コンピュータの時計の同期の最長トレランス
<目次> <付録 A. IT セキュリティ> App.A-9
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ Windows Server 2008 で“コンピュータの時計の同期の最長トレランス”の設定方法
1. ドメインサーバ上の[管理ツール]-[グループポリシーの管理]を起動しま
す。 2. コンソールツリーで現存ドメインノード下の[Default Domain Policy]を右ク
リックし,[編集]をクリックします。
図 グループポリシーの管理
3. [グループ ポリシー管理エディタ]ウィンドウのコンソールツリーで,[コン
ピュータの構成]/[ポリシー]/[Windows の設定]/[セキュリティの設定]/[アカウント ポリシー]/[Kerberos ポリシー]を開きます。
4. コンピュータの時計の同期の 長トレランス”を変更します。
<目次> <付録 A. IT セキュリティ> App.A-10
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.9 DCOM の設定変更 Exaquantum で DCOM を利用するための設定を記述します。
付録 A.9.1 Personal Firewall の設定
下記のポートを,PersonalFirewall の例外ポートとして追加します。
項目 例外設定ポート
RPC TCP:135
動的ポート TCP:20500~20550
他の EXA 製品と同居している場合,他の EXA 製品が必要としているポート数の総
和を登録する必要があります。 付録 A.9.2 RPC ポートの動的ポートの制御
DCOM は,リモートプロシージャコール(RPC)の動的ポートを割り当てて使用し
ます。本設定で,DCOM の受信通信に対して RPC が割り付けるポートを制御しま
す。 1. DCOMCNFG.EXE を起動します。 [スタート]-[ファイル名を指定して実行]から,”dcomcnfg”を起動しま
す。
図 コンポーネント サービス
<目次> <付録 A. IT セキュリティ> App.A-11
IM 36J04A15-02
11th Edition : 2010.12.27-00
2. [コンポーネントサービス]-[コンピュータ]-[マイコンピュータ]を選
択して,右クリックで,プロパティを表示させます。
図 マイ コンピュータのプロパティ:全般
3. [既定のプロトコル]タブを選択します。
図 マイ コンピュータのプロパティ:規定のプロトコル
<目次> <付録 A. IT セキュリティ> App.A-12
IM 36J04A15-02
11th Edition : 2010.12.27-00
4. [接続指向 TCP/IP]を選択して,[プロパティ]ボタンをクリックします。
図 COM インターネット サービスのプロパティ
5. [追加]ボタンをクリックして,”20500”から”20600”を既定の動的ポートとし
て割り当てます。利用環境は,“インターネットの範囲”を選択してくださ
い。 “インターネットの範囲”が,正しく設定できない場合は,[すべて削除]をク
リックして,[OK]ボタンをクリックし,”dcomcnfg.exe”を一度終了します。そ
して再起動した後,ポートの範囲の設定を行ってください。
<目次> <付録 A. IT セキュリティ> App.A-13
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.10 Windows Firewall の一括設定 Exaquantum システムに,今回の IT セキュリティの Personal Firewall の例外設定を行
う場合,次のようなバッチファイルを作成して,一括設定が可能です。
■ 利用コマンド 【コマンド】 netsh firewall add portopening [ protocol = ] [ port = ] [ name = ][ [ mode =][ scope = ][ addresses = ][ profile = ] [ interface = ] ] 【機能】 ファイアウォールのポートの構成を追加します。 【パラメータ詳細】 protocol - ポートのプロトコルです。 TCP - Transmission Control Protocol (TCP) です。 UDP - User Datagram Protocol (UDP) です。 ALL - すべてのプロトコルです。 port - ポート番号です。 name - ポート名です。 mode - ポートのモードです (省略可能)。 ENABLE - ファイアウォール経由の通信を許可します(既定)。 DISABLE - ファイアウォール経由の通信を許可しません。 scope - ポートのスコープです (省略可能)。 ALL - ファイアウォール経由のトラフィックをすべて許可します (既定)。 SUBNET - ローカル ネットワーク (サブネット) のトラフィックのみ許可し ます。 CUSTOM - 指定したファイアウォール経由の通信のみ許可します。 addresses - カスタムのスコープ アドレスです (省略可能)。 profile - 構成プロファイルです (省略可能)。 CURRENT - 現在のプロファイルです (既定)。 DOMAIN - ドメインのプロファイルです。 STANDARD - 標準のプロファイルです。 ALL - すべてのプロファイルです。 interface - インタフェース名です (省略可能)。
■ バッチファイル例 rem 操作監視基本機能 netsh firewall add portopening tcp 20171 BKHOdeq ENABLE CUSTOM LocalSubnet netsh firewall add portopening tcp 20110 BKHTrGhr ENABLE CUSTOM LocalSubnet netsh firewall add portopening tcp 20183 LonTerm ENABLE CUSTOM LocalSubnet netsh firewall add portopening udp 32301 MnsServer ENABLE CUSTOM LocalSubnet pause rem DCOM 関連 netsh firewall add portopening tcp 135 DCOM ENABLE CUSTOM LocalSubnet netsh firewall add portopening tcp 20500 DCOMex00 ENABLE CUSTOM LocalSubnet (以後,省略)
<目次> <付録 A. IT セキュリティ> App.A-14
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.11 Windows サービスの一括設定 Exaquantum に,今回の IT セキュリティの“不要な Windows サービスの停止“を行
う場合,次のようなバッチファイルを作成して,一括設定が可能です。
■ 利用コマンド 【コマンド】 sc [Servername] Command Servicename [Optionname= Optionvalue...] 【機能】 Windows サービスを,追加,開始,停止することができます。 【パラメータ詳細】 Servername
省略可能です。リモート コンピュータでコマンドを実行する場合は,サーバの名前を指定します。サーバ
名の前には 2 つのバックスラッシュ文字 (¥) を使用する必要があります (例,¥¥myserver)。Sc.exe をロー
カル コンピュータで実行する場合は,このパラメータを指定しないでください。 Command
sc コマンドを指定します。多くの sc コマンドでは,指定したコンピュータの管理者特権が必要です。Sc.exe では,以下のコマンドがサポートされています。 Config-サービスの構成を変更します (永続的に変更されます)。 Continue-サービスに Continue 制御要求を送信します。 Control-サービスに Control を送信します。 Create-サービスを作成します (作成したサービスをレジストリに追加します)。 Delete-サービスを (レジストリから) 削除します。 EnumDepend-サービスの依存関係を列挙します。 GetDisplayName-サービスの表示名 (DisplayName) を取得します。 GetKeyName-サービスのキー名 (ServiceKeyName) を取得します。 Interrogate-サービスに Interrogate 制御要求を送信します。 Pause-サービスに Pause 制御要求を送信します。 qc-サービスの構成を問い合わせます。詳細については,SC QC のヘルプを参照してください。 Query-サービスの状態を問い合わせるか,サービスの種類の状態を列挙します。詳細については,SC QUERY のヘルプを参照してください。 Start-サービスを開始します。 Stop-サービスに Stop 要求を送信します。
Servicename レジストリの Service キーで指定された名前を指定します。この名前は,表示名とは異なることに注意し
てください。表示名は,net start コマンド,およびコントロール パネルの [サービス] ツールを使用したとき
に表示される名前です。Sc.exe では,サービスの主識別子として,サービス キー名が使用されます。 Optionname
Optionname パラメータおよび Optionvalue パラメータを使用すると,オプションのコマンド パラメータの名
前と値を指定できます。Optionname と等号の間にスペースがないことに注意してください。オプションの
パラメータでは,0 個以上の名前と値の組み合わせを指定できます。 Optionvalue
Optionname で指定されたパラメータの値を指定します。有効な値の範囲は,コマンドによって異なること
があります。使用できる値の一覧については,各コマンドのヘルプを参照してください。
■ バッチファイル例(参考) @echo off set s_name=Browser echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=Dhcp echo stop and disable to %s_name% service.
<目次> <付録 A. IT セキュリティ> App.A-15
IM 36J04A15-02
11th Edition : 2010.12.27-00
sc stop %s_name% sc config %s_name% start= disabled set s_name=Dnscache echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=ERSvc echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=helpsvc echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=NetDDE echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=NetDDEdsdm echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=RemoteRegistry echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=seclogon echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=ShellHWDetection echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=Themes echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=upnphost echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=WebClient echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled set s_name=WZCSVC echo stop and disable to %s_name% service. sc stop %s_name% sc config %s_name% start= disabled echo finish.
<目次> <付録 A. IT セキュリティ> App.A-16
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.12 MMC コンソールの起動 MMC コンソールの起動方法を記述します。 1. [スタート]-[ファイル名を指定して実行]の順にクリックし,「mmc」と
入力して,[OK]ボタンをクリックします。
図 ファイル名を指定して実行
2. [ファイル]メニューの[スナップインの追加と削除]を選択します。
図 MMC コンソール
<目次> <付録 A. IT セキュリティ> App.A-17
IM 36J04A15-02
11th Edition : 2010.12.27-00
3. [スナップインの追加と削除]ダイアログ ボックスの[追加]ボタンをクリッ
クします。
図 スナップインの追加と削除
4. [利用できるスタンドアロン スナップイン]で,[セキュリティ テンプレー
ト],[追加],[閉じる]の順にクリックして,[OK]ボタンをクリックし
ます。
図 スタンドアロン スナップインの追加
<目次> <付録 A. IT セキュリティ> App.A-18
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.13 IT セキュリティ詳細情報 個別のセキュリティ対策の詳細について記載します。 本節ではセキュリティ設定ツールにより設定される内容についても記載していま
す。 付録 A.13.1 アクセスコントロール
個々のアカウント権限を必要 低限にすることにより,Exaquantum 内の重要データ
への不正アクセスおよび漏えい,改ざん,破壊に対抗します。ファイルおよびレジ
ストリへのアクセス,各種プログラムの実行権に関しては,Windows のアクセスコ
ントロール機能を利用します。 アクセスコントロールはアクセスグループ単位で行い,任意のグループに所属する
ことにより,所属グループが有するアクセス権限を利用できます。
アクセスユーザグループ Exaquantum で作成する標準モデル,強固モデルと従来モデルのユーザおよびグルー
プと,その役割を以下に示します。
表 標準 または 強固モデルのアクセスユーザグループ ユーザ/グループ名
標準/強固 従来(*2) ユーザ/グループ
作成場所
権限 グループ 説明
QTM_DATA_READ QUserGroup グループ TypeA Users/ Domain Users
Exaquantum を利用するユーザが所属するユーザグループ
QTM_DATA_WRITE QDataWriteGroup グループ TypeA Users/
Domain Users Exaquantum 内のプロセスデータをメンテナンスできるユーザグループ
QTM_EXPLORER_DESIGN QExplorerDesignGroup グループ TypeA Users/
Domain Users Exaquantum Explorer を作成/修正/削除できるユーザグループ
QTM_MAINTENANCE QAdministratorGroup グループ TypeA Administrators/
Domain Admins
Exaquantum のメンテナンスを行うユーザ(システム構築時の SE やメンテナンス担当者)が所属するユーザグループ(Windows の管理者権限有)(*1)
QTM _MAINTENANCE_LCL 該当なし グループ TypeC Administrators
権限的には,”QTM _MAINTENANCE”と同様で,ドメイン環境が異常な場合に利用する緊急用ユーザグループ。通常の運用では利用しない。Exaquantum をドメイン環境で構築完了後,各 PC の管理者ユーザ(ローカルユーザ)を,この グループに追加する。(Windows の管理者権限有)(*1)
EXA_MAINTENANCE 該当なし グループ TypeA Administrators/Domain Admins
EXA 共通ツールを実行したり,EXA パッケージを同居させる場合のインストールを行う EXA パッケージ共通のメンテナンスを行うユーザが所属するユーザグループ(Windows の管理者権限あり) (*1)
EXA_MAINTENANCE_LCL 該当なし グループ TypeC Administrators
権限的には,”EXA_MAINTENANCE”と同様で,ドメイン環境が異常な場合に利用する緊急用ユーザグループ。通常の運用では利用しない。EXA パッケージをドメイン環境で構築完了後,各 PC の管理者ユーザ(ローカルユーザ)を,この グループに追加する。(Windows の管理者権限有)(*1)
QTM_OPC 該当なし グループ TypeA Users/ Domain Users
Exaquantum システムの外部から DCOM へアクセスするときの認証用グループ。Exaopc や Exapilot の実行ユーザを所属させる。(Exaopc 接続,Exaquantum 入出力工程部品など)
QTM_OPC_LCL 該当なし グループ TypeC Users 権限的には,”QTM_OPC”と同様で,外部接続するユーザがローカルユーザの場合に利用するユーザグループ。
<目次> <付録 A. IT セキュリティ> App.A-19
IM 36J04A15-02
11th Edition : 2010.12.27-00
ユーザ/グループ名 標準/強固 従来(*2)
ユーザ/グループ
作成場所
権限 グループ 説明
QTM _PROCESS Quantumuser ユーザ TypeB Users/ Domain Users
Exaquantum のプロセス(Windows サービス)を実行させるためのユーザで,Winodwsへログオン権限はないユーザ
EXA_PROCESS EXA ユーザ TypeB Users/ Domain Users
EXA 共通のプロセス(Windows サービス)を実行させるためのユーザで,Windows へログオン権限はないユーザ
QTM_SQLSERVER 該当なし ユーザ TypeB Users/ Domain Users
Exaquantum が使用する SQL Server のサービス用アカウント。 詳細は,“6.3.3 SQL サーバサービスアカウントの変更”を参照
表 従来モデルのアクセスユーザグループ
ユーザ/グループ名ユーザ/ グループ
作成 場所 権限グループ 説明
QUserGroup グループ TypeB Users Exaquantum を利用するユーザが所属するユーザグループ
QDataWriteGroup グループ TypeB Users Exaquantum 内のプロセスデータをメンテナンスできるユーザグループ
QExplorerDesignGroup グループ TypeB Users Exaquantum Explorer を作成/修正/削除できるユーザグループ
QAdministratorGroup グループ TypeB Administrators Exaquantum のメンテナンスを行うユーザ(システム構築時の SE やメンテナンス担当者)が所属するユーザグループ(Windows の管理者権限有)(*1)
Quantumuser ユーザ TypeB Users Exaquantum のプロセス(Windows サービス)を実行させるためのユーザ
EXA ユーザ TypeB Users EXA 共通のプロセス(Windows サービス)を実行させるためのユーザ
【作成場所の種類】 TypeA:アクセスユーザグループ管理に応じて,ドメイン管理の場合,ドメインサーバに作成し,ワークグループ管理の
場合は,ローカルマシンに作成する。 TypeB:アクセスユーザグループ管理に関係なくローカルマシンに作成する。 TypeC:ドメイン管理の場合に,ローカルマシンに作成する。 *1: 管理者のグループにユーザを追加する場合,ワークグループ管理の場合は Administrators グループに登録してくだ
さい。ドメイン環境の場合には DomainAdmins グループ,またはローカル PC の Administrators グループに登録してください。
*2: 参考として,従来モデルで該当するユーザグループ/ユーザを表示します。
注 意
標準モデルまたは強固モデル選択時のワークグループ管理において,クライアントから Exaquantum に
アクセスする場合,クライアント側でアクセスユーザグループの登録を行ったユーザアカウントと同
名のユーザアカウントをサーバ側にも作成し,必要なアクセスユーザグループに登録を行う必要があ
ります。
<目次> <付録 A. IT セキュリティ> App.A-20
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ レジストリ構成とアクセス権 Exaquantum R2.50 以前および他の同居するパッケージとの連携を考慮し,対象外を
除くすべてのアクセスグループに,フルアクセスコントロール権を設定します。
表 レジストリ構成とアクセス権 [1] [2] [3] [4] [5] [6] [7] [8] [9]
[HKEY_LOCAL_MACHINE]-[SOFTWARE]-[Quantum]以下のレジストリ
F F F F - F F - -
[HKEY_CURRENT USER]-[SOFTWARE]-[Quantum]以下のレジストリ
F F - F - F - F -
[HKEY_LOCAL_MACHINE]–[SOFTWARE]-[Yokogawa]–[PKGCOM]以下のレジストリ
F F - F - F - F -
[HKEY_LOCAL_MACHINE]–[SOFTWARE]-[Yokogawa]–[Exaopc]以下のレジストリ
F F - F - F - F -
[HKEY_LOCAL_MACHINE]–[SOFTWARE]-[Microsoft]–[MSSQLServer]-[Setup] 以下のレジストリ
- - - - - - F - -
アクセスユーザグループ [1]:QTM_DATA_READ [2]:QTM_DATA_WRITE [3]:QTM_EXPLORER_DESIGN [4]:QTM_MAINTENANCE [5]:QTM_OPC [6]:EXA_MAINTENANCE [7]:System(QTM_PROCESS) [8]:System(EXA_PROCESS) [9]:System(QTM_SQLSERVER) アクセス権限の種類 F:フルアクセスコントロール
■ 標準の DCOM のアクセス権 Exaquantum をインストールすると DCOM コンポーネントが追加されます。それぞ
れのコンポーネントはアクセスグループごとにアクセスコントロールされ,DCOM機能を制限します。
注 意
DCOM への設定内容は,セキュリティモデル変更を行っても削除されません.
<目次> <付録 A. IT セキュリティ> App.A-21
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ ローカルセキュリティのアクセス権 各アクセスユーザグループに,Windows 標準以外に次のローカルセキュリティ権限
を設定します。
表 ローカルセキュリティのアクセス権 アクセスユーザグループ
ユーザ権限の割り当て [1]~[6] [7] [8] [9]
サービスとしてログオン ― ○ ○ ○
バッチジョブとしてログオン ― ○ ○ ○
ローカルでログオンを拒否する ― ○ ○ ○ アクセスユーザグループ [1]:QTM_DATA_READ [2]:QTM_DATA_WRITE [3]:QTM_EXPLORER_DESIGN [4]:QTM_MAINTENANCE [5]:QTM_OPC [6]:EXA_MAINTENANCE [7]:System(QTM_PROCESS) [8]:System(EXA_PROCESS) [9]:System(QTM_SQLSERVER) ○: アクセス可
補足 ローカルセキュリティは,以下の手順で表示します。 1. [コントロールパネル]-[管理ツール]-[ローカルセキュリティポリシー]を起動します。 2. ローカルセキュリティ設定ウィンドウで,[ローカルポリシー]-[ユーザー権利の割り当て]を
選択します。 ここに表示されるさまざまなローカルセキュリティのうち,表に記した 3 つは Exaquantum が動作する
ために必要 低限の条件となります。
■ アクセスユーザグループの管理 アクセスユーザグループによるアクセスコントロールを行うための,Windows のア
クセスユーザグループの管理方法として,以下の 2 つのタイプがあります。
表 アクセスユーザグループの管理 構成 運用 その他
ワークグループ管理 Exaquantum 端末のみの構成です。
すべての端末に利用ユーザのアカウントを登録します。
ドメイン管理
Exaquantum 端末以外にドメインサーバの構築が必要です。
ドメインサーバへ利用ユーザのアカウントを登録します。
ユーザの一元管理を行うために,人為的なミスを軽減でき,セキュリティ的には有利と考えられます。
参照 アクセスユーザグループの管理については,付録 A.6 の「ワークグループ管理とドメイン管理」を参
照してください。
<目次> <付録 A. IT セキュリティ> App.A-22
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.13.2 Personal Firewall チューニング ネットワークからの各端末への接続を必要 低限にすることにより,未知領域から
の攻撃に対抗します。
注 意
Exaquantum R2.60 以降では,インストール時にセキュリティ設定ツールを使って,
Windows Firewall に対して標準モデル準拠の設定をすることができます。サード
パーティ製の Personal Firewall については,利用者の自己責任で設定および運用を
行ってください。
補足 多くの Personal Firewall 製品には,初期値が設定されており,ここに説明する設定項目と重複する場合
もあります。設定を行う前に初期値を消去するか,設定後に想定外のサービスが開放されてないか,
確認してください。
<目次> <付録 A. IT セキュリティ> App.A-23
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ Personal Firewall の設定(標準モデル)
標準モデルの場合,全端末共通の設定で,Exaquantum の機能が設定変更なしで動作
するように,Exaquantum 関連の通信を例外設定します。通信相手のスコープに関し
ては制限を行っていません。
表 Personal Firewall の設定
Exaquantum サーバ
Exaquantum クライアント
基本の設定 例外設定(下表参照) 例外設定(下表参照)
表 PIMS サーバまたは,PIMS サーバおよび Web サーバの場合の例外設定 ポート ポート番号
HTTP 80/TCP(Web サーバのみ)
EPMAP 135/TCP
MSSQL 1433/TCP
リモートデスクトップ 3389/TCP
アプリケーション パス
mmc.exe WINDOWS¥system32¥mmc.exe
Exaquantum Quantum Module <Exaquantum インストールフォルダ>¥System¥Quantum.exe
Exaquantum Explorer <Exaquantum インストールフォルダ>¥Explorer¥QExplore.exe
Exaquantum LiveXplore <Exaquantum インストールフォルダ>¥Developer Tools¥LiveXplore.exe Exaquantum システムイベントビューア <Exaquantum インストールフォルダ>¥Developer Tools¥SysEventsViewer.exe
Microsoft Excel
<Microsoft Office インストールフォルダ>Excel.exe ・Office 2010 のとき
C:¥Program Files¥Microsoft Office¥OFFICE14¥ ・Office 2007 のとき
C:¥Program Files¥Microsoft Office¥OFFICE12¥ ・Office 2003 のとき
C:¥Program Files¥Microsoft Office¥OFFICE11¥
ExaQuantumExecutive.exe <Exaquantum インストールフォルダ>¥System¥ExaQuantumExecutive.exe
QRBNSServerBrowse.exe <Exaquantum インストールフォルダ>¥System¥QRBNSServerBrowse.exe
QNameSpaceBrowser.exe <Exaquantum インストールフォルダ>¥System¥QNameSpaceBrowser.exe
QHistorian.exe <Exaquantum インストールフォルダ>¥System¥QHistorian.exe
QBuilder.exe <Exaquantum インストールフォルダ>¥System¥QBuilder.exe
QAnalyse.exe <Exaquantum インストールフォルダ>¥System¥QAnalyse.exe
QFBRetriever.exe <Exaquantum インストールフォルダ>¥Product Tools¥QFBRetriever.exe
QOPCDAMgr.exe <Exaquantum インストールフォルダ>¥System¥QOPCDAMgr.exe
QOPCAEPump.exe <Exaquantum インストールフォルダ>¥System¥QOPCAEPump.exe
QOPCPropertyAccess.exe <Exaquantum インストールフォルダ>¥System¥QOPCPropertyAccess.exe
QZOPCAECatchup.exe <Exaquantum インストールフォルダ>¥System¥QZOPCAECatchup.exe
<目次> <付録 A. IT セキュリティ> App.A-24
IM 36J04A15-02
11th Edition : 2010.12.27-00
表 Web サーバ,クライアントの場合の例外設定 ポート ポート番号
HTTP 80/TCP(Web サーバのみ)
EPMAP 135/TCP
アプリケーション パス
mmc.exe WINDOWS¥system32¥mmc.exe
Exaquantum Quantum Module <Exaquantum インストールフォルダ>¥System¥Quantum.exe
Exaquantum Explorer <Exaquantum インストールフォルダ>¥Explorer¥QExplore.exe
Exaquantum LiveXplore <Exaquantum インストールフォルダ>¥Developer Tools¥LiveXplore.exe
Exaquantum システムイベントビューア <Exaquantum インストールフォルダ>¥Developer Tools¥SysEventsViewer.exe
Microsoft Excel
<Microsoft Office インストールフォルダ>Excel.exe ・Office 2010 のとき
C:¥Program Files¥Microsoft Office¥OFFICE14¥ ・Office 2007 のとき
C:¥Program Files¥Microsoft Office¥OFFICE12¥ ・Office 2003 のとき
C:¥Program Files¥Microsoft Office¥OFFICE11¥
■ Personal Firewall の設定(強固モデル)
設定については横河電機にお問い合わせください。
<目次> <付録 A. IT セキュリティ> App.A-25
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.13.3 SQL サーバサービスアカウントの変更 SQL サーバで利用されるローカルシステムアカウントで動作するサービスを,Exaquantumサーバ固有のSQLサーバ用サービスプロセスアカウントに変更しています。 対象になる SQL サービスの一覧を以下に示します。
表 SQL サーバサービスアカウント
サービス ユーザグループ 最小限の許可要求
SQL Server 既定のインスタンス : SQLServerMSSQLUser$ComputerName$MSSQLSERVER
サービスとしてログオン (SeServiceLogonRight)
プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)
スキャン チェックを行わない (SeChangeNotifyPrivilege)
プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)
SQL Server Active Directory Helper を起動する権限
SQL ライターを起動する権限
イベント ログ サービスを読み取る権限
リモート プロシージャ コール サービスを読み取る権限
SQL Server エージェント
既定のインスタンス: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER
サービスとしてログオン (SeServiceLogonRight)
プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)
スキャン チェックを行わない (SeChangeNotifyPrivilege)
プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)
■ 標準モデルの設定
標準モデルの場合,Exaquantum サーバに SQL サーバサービス用アカウントを作成
します。前述した SQL サーバサービスのアカウントをすべて Exaquantum サーバ用
SQL サーバアカウントに変更します。
注 意
対象サービス(SQL Server,SQL Server エージェント)以外の SQL Server のサービスは手動で停止し
てください。
表 SQL サーバサービスアカウント(標準モデル) ユーザ名 対象サービス 所属ユーザ・グループ
QTM_SQLSERVER SQL Server SQL Server エージェント
SQLServerMSSQLUser$ ComputerName$MSSQLSERVER
<目次> <付録 A. IT セキュリティ> App.A-26
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.13.4 不要な Windows サービスの停止(強固モデル対象) 設定については横河電機にお問い合わせください。
付録 A.13.5 IT 環境の設定変更
本項では,IT 環境で動作する Windows のセキュリティ機能で,Exaquantum に適用
できる機能を紹介します。セキュリティ機能の導入に際しては,各々の
Exaquantum の状況に応じて,セキュリティ機能ごとに導入の可否を検討してくださ
い。 各機能とモデルの関係を以下に示します。
表 IT 環境の設定項目とモデルの関係 設定項目 標準モデル
AutoRun の制限 ○
StorageDevicePolicies 機能の適用 ○ ○: 対応可
IT 環境の設定項目については,すべて手動で設定してください。 強固モデルの設定については横河電機にお問い合わせください。
■ AutoRun の制限 CD-ROM などがドライブに挿入されたとき,メディアから自動的に不正なプログラ
ムが実行されることを防止します。特に,USB フラッシュメモリを介してコン
ピュータに感染するウィルス(USB ワーム)への対策に有効な手段です。
● 制限内容 ・ 標準モデルまたは強固モデル すべてのドライブの自動起動機能を無効にします。
● 設定方法 1. 管理者権限のあるユーザでログインします。 2. 以下のファイルをダブルクリックします。 標準モデルまたは強固モデルの場合: <Exaquantumインストールフォルダ>¥Exaopc¥PKGCOM¥tool¥ PMCDisableAutoRun.reg 3. Windows を再起動します。
制限を解除する場合は,以下のファイルをダブルクリックします。 <Exaquantum インストールフォルダ>¥Exaopc¥PKGCOM¥tool¥
PMCEnableAutoRun.reg
<Exaquantum インストールフォルダ> はインストール先フォルダ (デフォルト C:¥Program Files¥Yokogawa¥Exaquantum PIMS)
<目次> <付録 A. IT セキュリティ> App.A-27
IM 36J04A15-02
11th Edition : 2010.12.27-00
● 留意点 AutoRun の制限をする場合は,次の点に留意してください。 ・ Exaquantum DVD を挿入しても,インストールメニューは自動表示されませ
ん。 ・ Windows Server 2008 で本設定を行う場合,Microsoft Windows のセキュリティ更
新プログラム KB950582 が事前にインストールされている必要があります。 ・ Windows XP,Windows Server 2003 で本設定を行う場合,Microsoft Windows の
セキュリティ更新プログラム KB950582,更新プログラム KB967715,または更
新プログラム KB953252 が事前にインストールされている必要があります。 ・ ドメイン環境では,ドメインコントローラのポリシーによって,この設定がド
メインコントローラの設定で上書きされる場合があります。このような場合
は,ドメインコントローラの設定を変更してください。 参考: KB950582 および KB967715 は,ExaquantumDVD の Misc フォルダ以下に同
梱しています。
■ StorageDevicePolicies 機能の適用 Windows の StorageDevicePolicies 機能を利用することにより,外部記憶メディアを
読み込み専用のデバイスとして扱うことができます。本機能を利用することによ
り , 不 正 な ユ ー ザ に よ る デ ー タ の 持 ち 出 し を 防 止 で き ま す 。 ま た ,
StorageDeviceCTL を利用することにより,利用者に対して一時的に書き込み権限を
設定することも可能です。 本設定により USB ディスクの使用を不可にします。その場合に,例えばエンジニ
アがシステムの保守管理のために一時的に USB デバイスを有効にさせる運用をし
たい場合に,StorageDeviceCTL ツールを提供しています。
注 意
1. Windows Server 2003 では、本機能は利用できません。 2. Windows 7/Windows Server 2008/Windows Server 2008 R2の場合,StorageDeviceCTL実
行後,設定を反映するために以下のサービスを再起動する必要があります。 サービス名:Portable Device Enumerator Service 3. Windows Server 2008 で StorageDeviceCTL を実行した場合,上記のサービスの停
止確認ダイアログが表示される場合があります。 メッセージ:「Portable Device Enumerator Service は動作を停止しました。」 この場合は[閉じる]ボタンをクリックしてください。 4. Windows Server 2008 R2 では,Portable Device Enumerator Service の停止/開始が
できない場合があり,このときは設定を反映するために OS を再起動する必要
があります。
<目次> <付録 A. IT セキュリティ> App.A-28
IM 36J04A15-02
11th Edition : 2010.12.27-00
注 意
自動アーカイブや作成した帳票などの出力先を USB 外付けディスクにしている場
合,StorageDevicePolicies 機能を使用して外部記憶メディアを読み取り専用にする
と,書き込みに失敗します。いったん内蔵ディスクに保存するなどの手段を検討す
る必要があります。
● 設定方法 1. 管理者権限のあるユーザでログインします。 2. 以下のファイルをダブルクリックします。 標準モデルまたは強固モデルの場合: <Exaquantum インストールフォルダ> ¥Exaopc¥PKGCOM¥tool¥PMCEnableStorageDevicePolicies.reg 3. Windows を再起動します。 制限を解除する場合は,以下のファイルをダブルクリックします。 <Exaquantum インストールフォルダ> ¥Exaopc¥PKGCOM¥tool¥PMCDisableStorageDevicePolicies.reg <Exaquantum インストールフォルダ> はインストール先フォルダ
(デフォルト C:¥Program Files¥Yokogawa¥Exaquantum PIMS)
● 書き込み権限の設定 StorageDevicePolicies 機能で,ストレージデバイス(USB メモリなど)に対する書
き 込 み 権 限 を 削 除 し た と き に , 書 き 込 み 権 限 が 必 要 な タ イ ミ ン グ で
StorageDeviceCTL を実行すると,実行中のみ書き込みが可能となります。 本ツールの起動後に,USB メモリを PC に差し込み,書き込み作業を行います。 EXA_MAINTENANCE 権限が必要となります。 なお,本ツールは Storage Device Policies 機能を設定した PC に対してのみ利用して
ください。Storage Device Policies 機能を設定していない PC で本ツールを起動する
と,Storage Device Policies 機能が設定され,ストレージデバイスが読み込み専用と
なります。
注 意
必ず本ツールの起動後に,ストレージデバイスを認識させてください。
<目次> <付録 A. IT セキュリティ> App.A-29
IM 36J04A15-02
11th Edition : 2010.12.27-00
● StorageDeviceCTL 起動方法 起動方法は以下のとおりです。 1. エクスプローラで以下のプログラムフォルダを開いてください。 以下は C ドライブの例です。 ¥ProgramFiles¥Yokogawa¥Exaquantum PIMS¥Exaopc¥PKGCOM¥tool
注 意
64 ビット OS の場合には「¥ProgramFiles」を「¥ProgramFiles(x86)」と読み替えてく
ださい。
2. フォルダ内の以下のファイルをダブルクリックしてください。 Yokogawa.IA.iPCS.Platform.Security.StorageDeviceCTL.exe 起動直後は,タスクバーにのみタスクが表示されます。 3 ストレージデバイスを PC に差し込んでください。 4. ストレージデバイスに対して,必要なデータの読み込み/書き込みを行ってく
ださい。 5. ストレージデバイスを取り外してください。
補足 USB メモリを取り外す場合は,タスクトレイから[ハードウェアの安全な取り外し]アイコンを右ク
リックして,[ハードウェアの安全な取り外し]を選択して,デバイスの停止を行ってください。
6. タスクバーから[StorageDeviceCTL]をクリックして,[WriteStop]をクリッ
クして終了してください。
<目次> <付録 A. IT セキュリティ> App.A-30
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.13.6 Web サーバのセキュリティ Exaquantum では Web サーバを構築する場合があります。Web サーバはインター
ネットやイントラネットと接続するため,セキュリティについては細心の注意を払
う必要があります。
表 Web サーバのセキュリティ 設定項目 標準モデル
必要な IIS コンポーネントのみをインストールする ○
必要な Web 拡張サービスのみを有効にする ○
IIS ログを設定する ○
Web サーバのセキュリティは,すべて手動で設定してください。
■ 必要な IIS コンポーネントのみをインストールする FTP,NNTP,SMTP などのコンポーネントと使用しないサービスを有効化しないでく
ださい。 インストールの詳細手順は,IM36J04A13-01Exaquantum インストールマニュアルを
参照ください。
●Windows Server 2003 の場合 [スタート]-[コントロールパネル]-[プログラムの追加と削除]にある
「Windows コンポーネントの追加と削除」を使用して IIS コンポーネントのインス
トールを行います。 以下に,IIS コンポーネントをインストールするときに ExaquantumWeb サーバに必
要な項目を挙げます。
・ 必要なアプリケーションサーバのサブコンポーネント アプリケーションサーバコンソール ASP.NET ネットワーク COM+アクセスの有効化 ネットワーク DTC アクセスの有効化 インターネットインフォメーションサービス(IIS) メッセージキュー
・ 必要な IIS サブコンポーネント 共通コンポーネント インターネットインフォメーションマネージャ World Wide Web サービス ・ 必要な WWW(World Wide Web)サービスのサブコンポーネント Active Server Pages WWW(World Wide Web)サービス
● Windows Server 2008 の場合 [スタート]-[管理ツール]-[サーバマネージャ]の[役割の追加]を使用して
IIS コンポーネントのインストールを行います。 以下に,IIS コンポーネントをインストールするときに ExaquantumWeb サーバに必
要な項目を挙げます。
<目次> <付録 A. IT セキュリティ> App.A-31
IM 36J04A15-02
11th Edition : 2010.12.27-00
・ 必要なサーバの役割 Web サーバ(IIS)
・ 必要な Web サーバの役割サービス Web サーバ -HTTP 基本機能(全サブアイテム選択) 静的なコンテンツ 既定のドキュメント ディレクトリの参照 HTTP エラー HHTP リダイレクション -アプリケーション開発 ASP.NET .NET 拡張性 ASP ISAPI 拡張 ISAPI フィルタ -状態と診断 HTTP ログ ログツール 要求の監視 トレース -セキュリティ(全サブアイテム選択) 基本認証 Windows 認証 ダイジェスト認証 クライアント証明書のマッピング認証 IIS クライアント証明書のマッピング認証 URL 承認 要求フィルター IP およびドメインの制限 -パフォーマンス 静的なコンテンツの圧縮 -管理ツール IIS 管理コンソール IIS 管理スクリプトおよびツール -IIS6 管理互換(全サブアイテム選択) IIS6 メタベース互換 IIS6 WMI 互換 IIS6 管理コンソール
<目次> <付録 A. IT セキュリティ> App.A-32
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ 必要な Web 拡張サービスのみを有効にする IIS サーバによる動的コンテンツの機能と拡張は,Web サービス拡張を使用して実
現されます。 IIS 6.0 の拡張セキュリティ機能により,Web サービス拡張を個別に有効または無効
にすることができます。新規インストール後の IIS サーバは,静的なコンテンツの
み送信します。動的コンテンツ機能を有効にするには,IIS マネージャの Web サー
ビス拡張ノードを使用することができます。これらの拡張には,ASP.NET,SSI,WebDAV,FrontPage Server などがあります。 必要のない Web 拡張サービスを無効化することで,IIS サーバへの攻撃の危険性を
低減できます。
●Windows Server 2003 の場合 1. [スタートメニュー]-[コントロールパネル]-[管理ツール]-[イン
ターネットインフォメーションサービス(IIS)マネージャ]を選択します。 2. ツリーの Web サービス拡張を選択します。
図 インターネットインフォメーションサービスサービス(IIS)マネージャ
<目次> <付録 A. IT セキュリティ> App.A-33
IM 36J04A15-02
11th Edition : 2010.12.27-00
表 Web サービス拡張 Web サービス拡張 許可/禁止 拡張が必要になる状況
Active Server Pages 許可 IIS サーバで実行している 1 つ以上の Web サイトとアプリケーションにASP コンテンツが含まれる場合。
ASP.NET v1.1.4322 禁止 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションに ASP.NET コンテンツが含まれる場合。
ASP.NET v2.0.50727 許可 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションに ASP.NET コンテンツが含まれる場合。.NET Framework3.0 がインストールされている場合。
すべての不明な CGI 拡張 禁止 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションに不明な CGI 拡張コンテンツが含まれる場合。
すべての不明な ISAPI 拡張 許可 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションに不明な ISAPI 拡張コンテンツが含まれる場合。
FrontPage Server Extensions 2002 禁止 IIS サーバで実行している 1 つ以上の Web サイトで,FrontPage Server Extensions を使用する場合。
インターネットデータコネクタ (IDC) 禁止 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションが,IDC を使用してデータベース情報 (このコンテンツには.idc ファイルと.idx ファイルが含まれる)を表示する場合。
サーバ側インクルード (SSI) 禁止
IIS サーバで実行している 1 つ以上の Web サイトが,SSI ディレクティブを使用して IIS サーバに再利用可能なコンテンツ(例えば,ナビゲーションバー,ページヘッダーまたはフッター)を別の Web ページに挿入するように指示する場合。
WebDAV 禁止 WebDAV サポートは,クライアントが Web リソースを透過的に発行し,管理する場合に IIS サーバに必要です。
● Windows Server 2008 の場合 1. [スタートメニュー]-[コントロールパネル]-[管理ツール]-[イン
ターネットインフォメーションサービス(IIS)マネージャ]を選択します。 2. [機能ビュー]の[ISAPI および CGI の制限]をダブルクリックします。
<目次> <付録 A. IT セキュリティ> App.A-34
IM 36J04A15-02
11th Edition : 2010.12.27-00
表 ISAPI および CGI の制限 ISAPI および CGI 制限 必要になる状況
Active Server Pages 許可 IIS サーバで実行している 1 つ以上の Web サイトとアプリケーションに ASP コンテンツが含まれる場合。
ASP.NET v2.0.50727 許可 IIS サーバで実行している 1 つ以上の Web サイトおよびアプリケーションに ASP.NET コンテンツが含まれる場合。.NET Framework3.0 がインストールされている場合。
■ IIS ログを設定する ログは,Web サイトやアプリケーションごとに個別に作成できます。IIS のログに
は,誰がサイトにアクセスしたか,何を参照したか,いつその情報が 後に参照さ
れたかといった情報が含まれます。IIS のログを使用すると,コンテンツのアクセ
ス頻度を評価できる,情報のボトルネックを把握できる他,攻撃調査のリソースと
しても利用できます。 MMC の[IIS マネージャ]スナップインを使用すると,ログファイルの形式,ログ
スケジュール,およびログに記録する具体的な情報を設定できます。ログのサイズ
を制限するために,ログにどのフィールドを記録するかを慎重に計画する必要があ
ります。IIS のログは「インターネットインフォメーションサービス(IIS)マネー
ジャ」から Web サイトのプロパティを選択して設定します。
図 規定の Web サイトのプロパティ(Web サイトタブ)
<目次> <付録 A. IT セキュリティ> App.A-35
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.14 HIS 環境へのインストール CENTUM VP R4.03 HIS 環境へ Exaquantum クライアント環境をインストールす
る場合の注意事項を記載します。
付録 A.14.1 インストール手順
■ インストール前準備 インストール PC が,自動ログオン設定(HIS タイプ SSO も含む)となっている場
合,下記処理を行ってください。 (1) 自動ログオンの設定の設定を解除し,PC を再起動をしてください。 (2) CENTUM VP のセキュリティ設定を行ったアカウントでログオンしてくだ
さい。 (セキュリティ設定を行ったアカウントが HIS 起動する場合は,HIS 起動
の設定を OFF にした後再起動してください。)
■ IT セキュリティ設定の準備
● 標準モデル(スタンドアロン)の場合 「CTM_MAINTENANCE」に属する管理者(CENTUM VP R4.03 のセキュリティ設
定したアカウント)で「Exaquantumインストールマニュアル(IM 36J04A13-01)」
の「3.3 インストール前のユーザグループ作成」を行ってください。
● 標準モデル(ドメイン)の場合 ・ ドメインサーバー用 PC で行う作業
「Exaquantum インストールマニュアル(IM 36J04A13-01)」の「3.3 インス
トール前のユーザグループ作成」を行ってください。 インストール用アカウントとして,「EXA_MAINTENANCE」に所属している
ドメインユーザアカウントを「CTM_MAINTENANCE」ドメインユーザーグ
ループに追加してください。 ・ Exaquantum のインストール先 PC で行う作業 「CTM_MAINTENANCE」に所属する管理者で「Exaquantum インストールマ
ニュアル(IM 36J04A13-01 )」の「3.3 インストール前のユーザーグループ作
成」を行ってください。
■ Exaquantum クライアントのインストール 「■ IT セキュリティ設定の準備」で作成したインストール用アカウントで
「Exaquantumインストールマニュアル(IM 36J04A13-01)」の「5. Exaquantum/Explorerクライアントのインストール」または「6. Exaquantum/Web クライアントのインストー
ル」を参照し,クライアントインストールを行ってください。
<目次> <付録 A. IT セキュリティ> App.A-36
IM 36J04A15-02
11th Edition : 2010.12.27-00
付録 A.14.2 HIS タイプ SSO におけるインストール後の設定 HIS タイプ SSO の場合,セキュリティの観点から OFFUSER に権限を与えないでく
ださい。そのため,自動ログオンされた環境では,スタートメニューから
Exaquantum の各ツールは起動できません。自動ログオンした環境で Exaquantum の
ツールを使用するために,CENTUM VP の下記作業を行ってください。詳細は,
CENTUM VP の IM を参照してください。 ・ ユーザインするためのアカウントのセキュリティ設定 ・ ファンクションキー・プリセットメニューの設定 この作業を行うことで,ユーザインしたアカウントに応じて,ファンクション
キー・プリセットメニューから Exaquantum のツールが使用できるようになりま
す。
■ ユーザインするためのアカウントセキュリティ設定 Exaquantum クライアントのインストールに際して作成したアカウントに対して,以
下の作業を行ってください。設定方法は,CENTUM VP の IM を参照してくださ
い。 (1) CENTUM VP の適切なグループに所属させるようにしてください。 (2) ユーザインできるように設定してください。
■ ファンクションキー・プリセットメニューの設定 必要に応じて Exaquanntum のツールをファンクションキー割り付け,またはプリ
セットメニューの「ファイル名によるプログラムの実行」で設定してください。
<目次> <付録 A. IT セキュリティ> App.A-37
IM 36J04A15-02
11th Edition : 2010.12.27-00
■ Exaquantum ツールの割り付け方 [スタート]メニューに登録されているツールのパス名の取得方法は,以下のとお
りです。 (1) 「QTM_MAINTENANCE」または「QTM_DATA_READ」に所属しているア
カウントでログインしてください。 (2) [スタート]メニュー上にある Exaquanntum のツール名上で右クリック
し,プロパティを選択してください。 (3) リンク先欄がツールパス名となります。
[スタート]メニューに登録されているツールとパスの対応表は下記のとおりで
す。
表 スタートメニュー対応表 Menu Path
Exaquantum Explorer <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Explorer¥QExplore.exe
アイテム・セレクタ <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥System¥QItemSelector.exe
クエリ作成ウィザード <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥System¥QQueryWizard.exe
グラフィック・エディタ <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Graphics Editor¥GraphicsEditor.exe
クロスリファレンス・ツール <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Developer Tools¥ExaquantumXRef.exe
サーバ・マネージャ <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥System ¥SeverManager.exe
システムイベントビューア <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Developer Tools¥SysEventsViewer.exe
システム管理ツール <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Product Tools¥Exaquantum.msc
タグ構成一覧 <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Developer Tools¥TagConfigViewer.exe
管理ツール・サーバ <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Product Tools¥AdminToolsServer.exe
Explorer クライアント
簡易トレンド 解析画面
<Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥Explorer¥QExplore.exe /R <Exaquantum インストールフォルダ> ¥Exaquantum PIMS ¥Explorer¥TrendAnalyze¥Explorer¥WorkBook¥TrendAnalyze.pxw
Web クライアント Web サーバ・マネージャ <Exaquantum インストールフォルダ> ¥Exaquantum PIMS¥System¥WebSeverManager.exe
● ファンクションキーの割り付け ファンクション割り付けビルダーより,ファンクションキーを設定してください。
設定方法は,CENTUM VP の IM を参照してください。
● プリセットメニューの設定 HIS 設定ウィンドウより,プリセットメニューを設定してください。設定方法は,
CENTUM VP の IM を参照してください。
<目次> i
IM 36J04A15-02
11th Edition : 2010.12.27-00
取扱説明書 改訂情報 資料名称 : Exaquantum エンジニアリングガイド Vol.2 ネットワーク構成編 資料番号 :IM 36J04A15-02 2010 年 12 月/11 版 Windows Server 2008 R2 Standard,Windows 7 Professional の記述を追加 サポートソフトに Microsoft Office 2010 を追加,Microsoft Excel 2000,XP を削除 IT セキュリティ対応 R2.60 リリースに伴う全面改訂 2009 年 9 月/10 版 2 章 「2.3.4 Windows ファイアウォール機能を有効にする場合」に Windows XP SP3,Windows Server2008 を追
加,ポートとアプリケーションの内容を修正 「2.3.5 Windows ファイアウォール設定手順」に Windows Vista または,Windows Server 2008 の場合の記
述を追加 「2.3.5 Windows ファイアウォール設定手順」にファイアウォール例外リストを追加 3 章 「3.3 Exaquantum グループおよびユーザを手動で作成する」の記述を SQL Server 2008 対応 「3.3 Exaquantum グループおよびユーザを手動で作成する」のドメイン Quantumuser アカウントへのア
クセス設定例のビットマップを変更 「3.3 Exaquantum グループおよびユーザを手動で作成する」の EXA アカウントパスワードの設定 に注意
を追記 5 章 「5. ネットワーク診断ツール」を新規追加 R2.50 リリースに伴う記述見直し 2008 年 2 月/9 版 2 章 「2.2.5 ネットワーク形態」の 10/100/1000BASE-T および 10BASE-2 の記述を修正,推奨事項を削除,ネ
ットワークインタフェースカードのバインディングを追加 「2.2.6 ファイアウォールとプロキシサーバ」の記述を修正 「2.2.7 サーバオペレーティングシステムの定義」にウィルスチェックを追加,他のプログラムを他のソ
フトウェアに変更 「2.3.1 Exaquantum コンポーネントのリンク構成」にファイアウォール記述を追加 「2.3.3 Windows ファイアウォールを有効にする場合」に Vista の記述を追加 「2.3.4 Windows ファイアウォール設定手順」に Office2007 の記述を追加 3 章 「3.3 Exaquantum グループおよびユーザを手動で作成する」の「EXA アカウントパスワードの設定」の
記述を修正 「3.5.1 時刻同期の設定」の「Active Directory ドメイン環境での時刻同期」内の文章を修正,
「Exaquantum サーバへの時刻同期機能設定」の 4.に注意を追記 「3.5.2 R2.10.50 以前からのバージョンアップ時の注意(同期方法切り替え)」内の文章を修正 4 章 「4 Exaquantum における DCOM とネットワークセキュリティ」の表 4-1 DCOM 設定の記述を修正 R2.40 リリースに伴う記述見直し 2007 年 2 月/8 版 2 章 「2.3 ファイアウォール構成」に「Exaquantum システムでのコンポーネントのリンク構成」,「Windows
ファイアウォールを有効にする場合」を追加,「Exaquantum が必要とするポート番号」を削除 3 章 「3.3 Exaquantum グループおよびユーザを手動で作成する」に「EXA アカウントパスワードの設定」,
「SQL SERVER アカウントの設定」を追加 「4. セキュリティ」を削除 上記削除に伴い章番号を以下のように変更 Exaquantum における DCOM とネットワークセキュリティ(5 章→4 章) 4 章 「4. Exaquantum における DCOM とネットワークセキュリティセキュリティ」 DCOM 設定の表内のセキュリティの定義を修正 R2.30 リリースに伴う記述見直し 2005 年 12 月/7 版 3 章 「3.3 Exaquantum グループおよびユーザを手動で作成する」に「ドメインを使用したグループアカウン
トへのアクセス設定例」,「ドメイン Quantumuser アカウントへのアクセス設定例」を追加 「3.5 時刻同期」全面改定 R2.10 リリースに伴う記述見直し
<目次> ii
IM 36J04A15-02
11th Edition : 2010.12.27-00
2004 年 9 月/6 版 1 章 1.3 用語の定義 混合ドメイン(Windows 2000),ネイティブドメイン(Windows 2000)削除 2 章 2.2 ネットワークに関するガイドライン 文章差替 2.2.1 Windows ドメイン 一部文章差替 2.2.2 Windows ワークグループ 文章差替 2.2.3 セキュリティ要素を新規追加 上記追加に伴い項番号を以下のように変更 名前解決(2.2.3→2.2.4) ネットワーク形態(2.2.4→2.2.5) ファイアウォールとプロキシサーバ(2.2.5→2.2.6) サーバオペレーティングシステムの定義(2.2.6→2.2.7) 2.2.4 名前解決 一部文章差替 2.2.5 ネットワーク形態 一部文章差替 2.2.6 ファイアウォールとプロキシサーバ 一部文章差替 2.3 ファイアウォール定義を追加 上記追加に伴い,節番号を以下のように変更 VPN ネットワーク接続に対する Exaquantum の定義(2.3→2.4) 3 章 Exaquantum 定義の選択を削除 上記削除に伴い章番号を以下のように変更 インストール時の設定事項(4 章→3 章) セキュリティ(5 章→4 章) Exaquantum における DCOM とネットワークセキュリティ(6 章→5 章) 3 章 インストール時の設定事項 一部文章差替え 以下の節削除 限定定義によるネットワーク設定 推奨定義によるネットワーク設定 Windows2000 ネイティブドメインによるネットワーク設定 マルチサーバ構成 Web サーバ 上記削除に伴い、節番号を以下のように変更 Exaquantum グループおよびユーザを手動で作成する(4.8→3.3) OPC サーバの設定(4.9→3.4) 時刻同期クライアントのインストール(4.10→3.5) 3.3 Exaquantum グループおよびユーザを手動で作成する ユーザグループに加筆 以下の節削除 再インストールまたはバージョンアップ ネットワークグループ設定の変更 クライアントの再インストールまたはバージョンアップ ドメインを使用したグループアカウントへのアクセス設定例を追加 4 章 セキュリティ 文章内の「ローカルまたはグローバル」を「ローカルまたはドメイン」に変更 R2.10 リリースに伴う記述見直し 2003 年 9 月/5 版 表紙 名称変更(Instruction Manual→User’s Manual) 2 章 「2.3 VPN ネットワーク接続に対する Exaquantum の定義」 マルチサーバ環境での設定内誤記訂正(Exaquanum→Exaquantum) 4 章 「4.4 推奨定義によるネットワーク設定」 管理上の必要条件内の参照,インストールの詳細内の参照の誤記訂正(「4.7 Exaquantum グループおよ
びユーザを手動で作成する」→「4.8 Exaquantum グループおよびユーザを手動で作成する」) 「4.5 Windows 2000 ネイティブドメインによるネットワーク設定」 インストールの詳細内の参照誤記訂正(「4.7 Exaquantum グループおよびユーザを手動で作成する」→
「4.8 Exaquantum グループおよびユーザを手動で作成する」) 6 章 「6. Exaquantum における DCOM とネットワークセキュリティ」表 6-2 DCOM 設定に項目を追加 R2.02.50 リリースに伴う記述見直し
<目次> iii
IM 36J04A15-02
11th Edition : 2010.12.27-00
2003 年 8 月/4 版 2 章 「2.3 VPN ネットワーク接続に対する Exaquantum の定義」新規追加 2002 年 6 月/3 版 2 章 「2.2.6 サーバオペレーティングシステムの定義」追加 3 章 記述変更 4 章 「4.7 Web サーバ」「4.10 時刻同期」追加 R2.01 リリースに伴う記述見直し 2001 年 11 月/2 版 1 章 「1.1 本書の目的」追加。その他記述追加。1.4(旧 1.3)新規項目追加 3 章 全面変更 4 章 新規追加 5 章 新規追加 6 章 新規追加 2001 年 2 月/初版 新規発行
著作者 横河電機株式会社 システム事業センター PA PMK 部 発行者 横河電機株式会社 〒180-8750 東京都武蔵野市中町 2-9-32 印刷所 港北出版印刷(株)
Blank Page