Hrizon 7 Administrator で(みつかりません)エラー
例えば、vCenter サーバーから仮想デスクトップを削除してしまった場合、接続サーバーまたは、View Composer のデーターベース上の不整合が発生し、「デスクトッププール」➡「インベントリ」の仮想デスクトップで、以下のエラーとなる場合があります。
メンテナンスモード(みつかりません)
この場合、KB2015112に記載されている、"接続サーバ上の ADAM データベースから仮想マシンを削除"を実施することで解決する場合があります。
具体的な手順は以下のとおりです。
- View Administrator で対象プールのプロビジョニングを無効化
- いずれかの接続サーバーに、ドメイン管理者アカウントでログオン
- [開始] > [管理ツール] > [ADSI エディタ] をクリック
- コンソール ウィンドウで、[ADSI エディタ] を右クリックし、[接続先] をクリック
- [名前] フィールドに、次のように入力
View ADAM データベース
- [識別名または名前付けコンテキストを選択または入力する] を選択
- [識別名または名前付けコンテキストを選択または入力する] の下のフィールドに、次のように入力
dc=vdi,dc=vmware,dc=int
- [ドメインまたはサーバを選択または入力する] を選択
- [ドメインまたはサーバを選択または入力する] の下のフィールドに、次のように入力
localhost:389
- [OK] をクリック
- [View ADAM データベース [localhost:389]] をクリックしてデプロイ
- [DC=vdi,dc=vmware,dc=int] をクリックしてデプロイ
- [接続] View ADAM データベース [localhost:389] を右クリックし、[新規作成] > [クエリ] をクリック
- たとえば「VM Search」など、適当なクエリ名を入力
- [検索のルート] で、[参照] をクリックし、[サーバ] の構成単位を選択
- [OK] をクリック
- [クエリ文字列] に次の検索文字列を貼り付け
(&(objectClass=pae-VM)(pae-displayname=VirtualMachineName)) ※VirtualMachineName は GUID を検索する仮想マシン名
- [OK] をクリックしてクエリを作成
- 左側のペインでクエリをクリック。 検索に適合する仮想マシンが右ペインに表示
- プロパティにて、対象の仮想デスクトップであることが確認できたら、pae-VM オブジェクトを削除
- View Administrator で対象プールのプロビジョニングを有効化
以上
cDOTで NFS マウントエラー
久しぶりに触ったら、NFS マウントでハマってしまったのでメモしておきます。
まず、以下のエラーでマウントに失敗
# mount -t nfs -v 10.1.1.21:/vol1 /mnt/test mount.nfs: timeout set for Wed Nov 28 08:50:58 2018 mount.nfs: trying text-based options 'vers=4,addr=10.1.1.21,clientaddr=10.1.1.251' mount.nfs: mount(2): Connection refused mount.nfs: trying text-based options 'addr=10.1.1.21' mount.nfs: prog 100003, trying vers=3, prot=6 mount.nfs: portmap query retrying: RPC: Program not registered
こちらは、LIF の -data-protocol が CIFS になっていました。
なお、-modify で変更できなかったので、再作成しました。
LIF を削除
cl::> network interface modify -vserver vs -lif lif1 -status-admin down cl::> network interface delete -vserver vs -lif lif1
LIF 再作成
cl::> network interface create -vserver vs -lif lif-nfs -role data -data-protocol nfs -home-node cl-01 -home-port e0a -address 10.1.1.21 -netmask 255.255.255.0
次に以下のエラー
# mount -t nfs -v 10.1.1.21:/vol1 /mnt/test mount.nfs: timeout set for Wed Nov 28 08:59:16 2018 mount.nfs: trying text-based options 'vers=4,addr=10.1.1.21,clientaddr=10.1.1.251' mount.nfs: mount(2): Permission denied mount.nfs: access denied by server while mounting 10.1.1.21:/vol1
こちらはマウント対象の"vol1"が所属する vserver のルートボリューム"svm_root" に適切な Export-Policy が適用されていないことが原因でした。
"vol1"には"policy1"が適用されていますが、"svm_root"は"default"となっています。
cl::> volume show -vserver vs -fields policy vserver volume policy ------- -------- ------- vs svm_root default vs vol1 policy1 vs vol22 policy1 3 entries were displayed.
"svm_root"に"policy1"を適用
cl::> volume show -vserver vs -fields policy vserver volume policy ------- -------- ------ vs svm_root policy1 vs vol1 policy1 vs vol22 policy1 3 entries were displayed.
なお、"policy1"の内容は以下のとおりです。
cl::> vserver export-policy rule show -policyname policy1 Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- vs policy1 1 any 0.0.0.0/0 any
無事マウントできました。
# mount -t nfs -v 10.1.1.21:/vol1 /mnt/test mount.nfs: timeout set for Wed Nov 28 09:59:32 2018 mount.nfs: trying text-based options 'vers=4,addr=10.1.1.21,clientaddr=10.1.1.251' 10.1.1.21:/vol1 on /mnt/test type nfs (rw) # ll total 7726916 -rwxrwxrwx. 1 nobody nobody 4386213888 Aug 11 2017 test.txt
以上
GPO でログオフ時間を記録する方法について
ドメイン環境化において、ユーザが端末からログオフした時間を、AD サーバーのイベントビューワーへ出力方法についてご紹介します。
ログオフスクリプトの作成
ログオフスクリプトはこちらを参考にさせて頂きました。
“\\AD01”は、スクリプトを配置する DC 名を指定します。
On Error Resume Next ' EVENTLOG_DC_NAME: イベントログを記録させたいDC名をUNCで指定 Const EVENTLOG_DC_NAME = "\\AD01" ' SCRIPT_PRE_MESSAGE: イベントログに書き込むメッセージの最初の文言 Const SCRIPT_PRE_MESSAGE = "[端末からログオフしました。] " ' WshShellオブジェクトとADSIオブジェクトを生成、取得 Set objShell = WScript.CreateObject("WScript.Shell") Set objADSystemInfo = WScript.CreateObject("ADSystemInfo") ' ADのユーザーオブジェクトを取得 Set objUser = GetObject("LDAP://" & objADSystemInfo.UserName) ' ADのユーザーオブジェクトのGroupsプロパティから、所属グループ名を取得 strGroupNames = "MemberOf: CN=Domain Users" For Each objGroup In objUser.Groups strGroupNames = strGroupNames & "," & objGroup.Name Next ' EventCreateコマンドでイベントログを書き込む。 objShell.Run "EVENTCREATE /S " & EVENTLOG_DC_NAME & " /T INFORMATION /L APPLICATION /ID 8 /D " & """" & SCRIPT_PRE_MESSAGE & strGroupNames & """", 7, True ' 事後処理 Set objShell = Nothing Set objADSystemInfo = Nothing Set objUser = Nothing
スクリプトの配置
スクリプトは以下のパスに配置します。※任意のパスでは実行されないので注意してください。
\\DC名\sysvol\ドメイン名\scrpits\
本例では、以下のパスに配置しています。
\\ad01\sysvol\example.com\scripts
GPO の設定
GPO を設定します。本例では「DaaS Users」というユーザ OU に、「Audit」と名前のポリシーをリンクしています。
「Audit」ポリシーで「ログオフスクリプト」を指定します。
GPO を更新します。
gpupdate /force
アクセス権の設定
通常、イベントビューワーへの書き込みは Domain_Admins グループに属するアカウントでのみ許可されています。一般ユーザーで書き込みができるようDC 上で、以下のコマンドを実行します。
wevtutil sl application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x3;;;DU)
イベントビューワーの出力結果
ドメイン環境化の端末からユーザーがログオフすると、AD のイベントビューワーの「WIndows ログ」「Application」でログオフ時間を確認できます。
以上
ONTAP 9.4 の重複排除効果監視について
ONTAP Simulator 9.4 を使用したテスト環境の構築と、重複排除効果を監視する方法をご紹介します。
環境構築手順(簡易版)
disk 追加~Aggr 作成
storage disk assign -all true -node cl-01 storage aggregate create -aggregate aggr1 -raidtype raid_dp -diskcount 20 -nodes cl -maxraidsize 28
※root volume 拡張(オプション)
ONTAP Simulator の初期セットアップ後、以下のエラーが出力される場合があります。
CRITICAL: This node is not healthy because the root volume is low on space (<10MB). The node can still serve data, but it cannot participate in cluster operations until this situation is rectified. Free space using the nodeshell or contact technical support for assistance.
そのため、以下の手順で root volume のサイズを拡張しておきます。
storage aggregate add-disks -aggregate aggr0_cl_01 -diskcount 3 run -node cl-01 vol size vol0 +1g storage aggregate show -node cl-01 -root true volume show -node cl-01 -aggregate aggr0_cl_01
※2018.12.09 追記
なお、運用中に上記エラーがでた際は、以下の方法で vol0 のサイズを拡張することが可能です。
> node run local > vol size vol0 +1g
SVM 作成~LIF(CIFS 用)作成
vserver create -vserver vs -aggregate aggr1 network interface create -vserver vs -lif lif-cifs -role data -data-protocol cifs -home-node cl-01 -home-port e0a -address 10.1.1.21 -netmask 255.255.255.0
ライセンス登録~volume 作成
license add -license-code "License Code" volume create -vserver vs -volume vol1 -aggregate aggr1 -size 10g -security-style ntfs -space-guarantee none -junction-path /vol1
時刻設定~CIFS 設定
timezone Asia/Tokyo system date modify -dateandtime 201810201926.48 vserver services dns create -vserver vs -domains example.com -name-servers 10.1.1.120 cifs create -cifs-server cifs -domain example.com -vserver vs Enter the user name: Administrator Enter the password: vserver cifs share create -vserver vs -share-name vol1 -path /vol1
重複排除設定と効率の確認
volume efficiency on -vserver vs -volume vol1
効率化によるスペース削減量の表示(出力結果抜粋)
volume show -vserver vs -volume vol1 <...snip...> Space Saved by Deduplication: 119.6MB <---重複排除によって節約された領域 Percentage Saved by Deduplication: 2% <---重複排除によって節約された割合 <...snip...>
重複排除効率の監視
NetApp PowerShell Toolkit Installerとタスクスケジューラを使用して、重複排除効率化の定期的な監視を行うことができそうです。以下のファイルを実行してインストールします。
NetApp_PowerShell_Toolkit_4.6.0.msi
PowerShell スクリプトを利用して重複排除効率を確認可能です。
スクリプト例
$netapp = "192.168.1.21" $user = "admin" $pass = "password" $volname = "vol1" #------------------------------------------------------------------------- # function Efficiency-Status #------------------------------------------------------------------------- function Efficiency-Status() { $outfile = "C:\Efficiency_status.log" $logdata = "Efficiency_Status" $logdata | out-file $outfile -append Get-Date -Format g >> $outfile Get-NcVol $volname | select @{Name="Volume" ; Exp={$_.name}}, @{Name="Total(MB)" ; Exp={[math]::Truncate(($_ | Get-NcVol).TotalSize/1MB)}}, @{Name="Used(%)" ; Exp={($_ | Get-NcVol).Used}}, @{Name="Avail(MB)" ; Exp={[math]::Truncate(($_ | Get-NcVol).Available/1MB)}}, @{Name="Saved(MB)" ; Exp={[math]::Round(($_ | Get-NcEfficiency $volname).Returns.Dedupe/1MB)}} | Format-Table -autosize >> $outfile write-output ""`n >> $outfile } #------------------------------------------------------------------------- # Do-Initialize #------------------------------------------------------------------------- $password = ConvertTo-SecureString $pass -asplaintext -force $cred = New-Object System.Management.Automation.PsCredential $user,$password Import-Module DataOnTap Connect-NaController $netapp -cred $cred #------------------------------------------------------------------------- # Main Application Logic #------------------------------------------------------------------------- Efficiency-Status
参考書籍
リンク
以上
OVF デプロイ時のエラーについて
VCSA6.7 で OVF テンプレートをデプロイした際、以下のエラーが発生して失敗することがあります。
不明な理由で操作が失敗しました。この問題は、ブラウザが証明書を信頼できない場合に発生します。 自己署名証明書またはカスタム証明書を使用している場合は、下記の URL を新しいブラウザで開いて証明書を受け入れてから、操作を再試行してください。 https://"ESXi の IP アドレス"
対処方法
VCSA にアクセスして「信頼されたルート CA 証明書をダウンロード」をクリックします。
ダウンロードした zip を解凍すると、「.crt」と「.crl」のファイルが展開されますので、それぞれ「信頼されたルート証明機関」にインポートします。
ブラウザを再起動すると「保護された通信」に遷移し、正常にデプロイができるようになります。
以上
IPsec の暗号化アルコリズムについて
IPsec の暗号アルゴリズムに TDEA を使用しているのを時折みかけますが、TDEA は、平文のデータを取得される脆弱性(sweet32)が確認されており、NIST(アメリカ国立標準技術研究所)が可能な限り早期に TEDA から AES に切り替えていくことを推奨しています。
NIST urges all users of TDEA to migrate to AES as soon as possible.
NIST is developing a draft deprecation timeline for the 3-key variant of TDEA including a sunset date.
NIST requests comments on the current plan described in this announcement, including suggestions for the deprecation timeline.
出典:COMPUTER SECURITY RESOURCE CENTER
AES は TDEA と比較して、セキュリティ性が高く、負荷も軽いことから、急速に普及しつつある暗号アルゴリズムです。
IETF IPsec ワーキンググループも、いずれは AES を IPsec の必須アルゴリズムとする方向性のようです。
It is the intention of the IETF IPsec Working Group that AES will eventually be adopted as the default IPsec ESP cipher and will obtain the status of MUST be included in compliant IPsec implementations.
出典:The AES-CBC Cipher Algorithm and Its Use with IPsec
以上
VCSA6.7 インストール
アプライアンスのデプロイ
任意の OS*1 に iso イメージをマウントして、以下の実行ファイルを実行します。
E:\vcsa-ui-installer\win32\installer.exe
インストーラーが起動後、「インストール」をクリックします。
「次へ」をクリックします。
「使用許諾契約書の条項に同意します」にチェックし、「次へ」をクリックします。
「Platform Services Controller が組み込まれた vCenter Server」を選択して、「次へ」をクリックします。
デプロイターゲット情報を入力して、「次へ」をクリックします。
「はい」をクリックします。
仮想マシン名、root パスワードを入力して、「次へ」をクリックします。
デプロイサイズを選択して、「次へ」をクリックします。
データストアを選択して、「次へ」をクリックします。
ネットワーク設定をして、「次へ」をクリックします。
「完了」をクリックします。
デプロイ完了後、「続行」をクリックします。
アプライアンスの設定
「次へ」をクリックします。
アプライアンス設定後、「次へ」をクリックします。
SSO 設定後、「次へ」をクリックします。
CEIP 設定後、「次へ」をクリックします。
「完了」をクリックします。
「OK」をクリックします。
セットアップ完了後、「閉じる」をクリックします。
vSphere Client の起動
以下の URL へアクセスします。
https://"仮想マシン名 or IP アドレス":443
vSphere Client(HTML5)をクリックします。
vSphere Client(HTML5)が起動します。
以上
*1:本例では Windows 10 を使用しています。
Linux の Traceroute について
Linux の Traceroute では、ポートを指定して、ネットワーク経路上で該当ポートを使用する通信が許可されているかどうかを確認することができます。
Traceroute とは
IP パケットの TTL*1を活用し、最初に TTL を 1 に設定して ICMP パケットを送信する。
1番目のルータが受け取った時点で TTL は1減算されるため、ルータは TTL の生存時間が過ぎたことを通知する”ICMP Time Exceeded (TYPE=11)"を自身の情報と共に返す。これを受けて、ホストは TTL を 2 にして送信、2台目のルータの情報を入手。これを繰り返すことで、目的のホストまでの経路情報を取得する。
参考:@IT
Traceroute の使い方
TCP 389番を使用して Traceroute をする場合
traceroute -T -p 389 100.64.1.90
UDP 53番を使用して Traceroute をする場合
traceroute -U -p 53 100.64.1.90
Traceroute の実行例
以下の環境で実際に試してみます。
NW 装置で TCP389 をブロックし、UDP53 を許可している場合、Traceroute の実行結果は以下となります。
Traceroute(TCP389)の結果
NW 装置でブロックしているため通信不可
[root@hostname ~]# traceroute -T -p 389 100.64.1.90 gateway (10.1.1.254) 0.910 ms 0.841 ms * * * *6 * gateway (10.1.1.254) 0.789 ms !X
Traceroute(UDP53)の結果
NW装置で許可しているため通信可
[root@hostname ~]# traceroute -U -p 53 100.64.1.90 traceroute to 100.64.1.90 (100.64.1.90), 30 hops max, 60 byte packets 1 gateway (10.1.1.254) 0.917 ms 1.570 ms 1.531 ms 2 100.64.1.90 (100.64.1.90) 2.856 ms * *
Tracerouteの留意事項
Traceroute(ポート指定)では、IP到達性があれば、応答を得ることができます。
例として、サーバが該当ポートを使用するサービスをリッスンしていなくても、応答を得ることができることから、Traceroute では、ネットワーク経路上や、宛先サーバで、該当ポートを使用した通信がブロックされていないことを確認できるだけで、サービスレベルの確認はできない点に留意が必要です。
Traceroute(TCP389)の結果
サーバで LDAP をリッスンしていないが、 NW 装置とサーバで ALL 許可しているため通信可
[root@hostname ~]# traceroute -T -p 389 100.64.1.90 traceroute to 100.64.1.90 (100.64.1.90), 30 hops max, 60 byte packets 1 gateway (10.1.1.254) 1.328 ms 1.744 ms * 6 * 100.64.1.90 (100.64.1.90) 1.445 ms 3.007 ms
サービスのアクティブ性確認
サービスのアクティブ性を確認するため、実際のサービス通信以外で確認する方法として、Telnet があります。Telnet でサービスポートを指定することで、サービスが該当ポートで、待ち受けているかの確認することが可能です。
Telnet(TCP389)の結果
サーバで LDAP をリッスンしている場合は、以下のとおりとなる。
telnet 100.64.1.90 389 Trying 100.64.1.90... Connected to 100.64.1.90. Escape character is '^]'.
サーバで LDAP をリッスンしていない場合は、以下のとおりとなる。
telnet 100.64.1.90 389 Trying 10.1.1.254... telnet: connect to address 100.64.1.90 : Connection refused
tcpdump によるパケットキャプチャ
サービスをリッスンしている場合
[root@hostname ~]# tcpdump port 389 -i ens34 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens34, link-type EN10MB (Ethernet), capture size 262144 bytes IP localhost.localdomain.57498 [root@hostname ~]# 100.64.1.90.ldap: Flags [S], seq 2076959109, win 29200, options [mss 1460,sackOK,TS val 1279295 ecr 0,nop,wscale 7], length 0 IP 100.64.1.90.ldap [root@hostname ~]# localhost.localdomain.57498: Flags [S.], seq 2434335086, ack 2076959110, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 1711531 ecr 1279295], length 0 IP localhost.localdomain.57498 [root@hostname ~]# 100.64.1.90.ldap: Flags [.], ack 1, win 229, options [nop,nop,TS val 1279296 ecr 1711531], length 0
サービスをリッスンしていない場合*2
[root@hostname ~]# tcpdump port 389 -i ens34 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ens34, link-type EN10MB (Ethernet), capture size 262144 bytes IP localhost.localdomain.57502 [root@hostname ~]# 100.64.1.90.ldap: Flags [S], seq 3028605199, win 29200, options [mss 1460,sackOK,TS val 1695981 ecr 0,nop,wscale 7], length 0 IP 100.64.1.90.ldap [root@hostname ~]# localhost.localdomain.57502: Flags [R.], seq 0, ack 3028605200, win 0, length 0
RST について
前述のとおり、通常、サーバはリッスンしていないサービスに対するリクエストに応じてRSTを送信します。[RFC793, RFC1122, Ste94]
また、一部のファイアウォール等では不正と判断したパケットに対して、RSTを送信します。*3
RST をサーバが送信しているのか、経路上の NW が送信しているのかを見極める方法として、パケットキャプチャで送信元 IP や TTL を確認する方法が考えられます。
TTL が同じ値の場合はサーバ、TTL に差異がある場合は、NW 装置が RST を送信している可能性が高くなります。
以上
CentOS 7 の基本設定
CentOS 7 の設定メモです。
インターフェースの設定
インターフェース名が従来の eth から ens という名前に変わっています。
インターフェースの自動有効化
[root@hostname ~]# nmcli c m ens33 connection.autoconnect yes
インターフェースの設定確認
[root@hostname ~]# nmcli device show ens33
インターフェースの IP アドレス設定
[root@hostname ~]# nmcli c modify ens33 ipv4.addresses 192.168.1.21/24
インターフェースの Default Gateway の設定
[root@hostname ~]# nmcli c modify ens33 ipv4.gateway 192.168.1.2
インターフェースの DNS の設定
[root@hostname ~]# nmcli c modify ens33 ipv4.dns 8.8.8.8
インターフェースの IP アドレスの確認
[root@hostname ~]# ip addr
ネットワークの再起動
[root@hostname ~]# systemctl restart network
インターフェースのステータス確認
[root@hostname ~]# nmcli device status
ネットワークの設定
スタティックルートの追加
[root@hostname ~]# ip route add 100.64.1.0/24 via 10.1.1.254 dev ens34
スタティックルートの削除
[root@hostname ~]# ip route del 100.64.1.0/24
スタティックルートの確認
[root@hostname ~]# ip route list
再起動後も反映させたい場合は、以下の設定ファイルを更新します。
[root@hostname ~]# vi /etc/sysconfig/network-scripts/route-ens34 100.64.1.0/24 via 10.1.1.254
Default Gateway の設定
[root@hostname ~]# route add default gw 192.168.1.2
Default Gateway の削除
[root@hostname ~]# route delete default
参考書籍
リンク
以上
Internet Explorer 11 のプロキシ設定について
SBC 方式で運用しているシンクライアント環境において、エンドユーザーが使用する Internet Explorer 11にプロキシを設定したいといった要望があり、調査した結果、GPO とレジストリの編集で対応可能な事がわかったので、紹介します。*1
Internet Explorer 11 のプロキシ設定は、グループポリシー(レジストリベース)で配布する事が可能です。
グループポリシーの設定
- [ユーザーの構成] ➡ [基本設定] ➡ [Windows の設定] ➡ [レジストリ]
- 右クリックから[新規作成] ➡ [レジストリ項目]を押下する。
プロキシサーバーの有効化
以下のレジストリを変更します。
キー : HKEY_CURRENT_USER\OFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 名前 : ProxyEnable 種類 : REG_DWORD データ : 1
プロキシサーバーの指定
以下のレジストリを作成します。
キー : HKEY_CURRENT_USER\OFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 名前 : ProxyServer 種類 : REG_SZ データ : (例)127.0.0.1:8080
プロキシサーバーの除外設定
以下のレジストリを作成します。
キー : HKEY_CURRENT_USER\OFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 名前 : ProxyOverride 種類 : REG_SZ データ : (例)10.1.1.*;172.16.*;192.168.1.*;<local>
グループポリシーの適用
Internet Explorer 11 をホストしているサーバで、以下のコマンドを実行します。
gpupdate /force
上記を全て設定した場合、Internet Explorer 11 のプロキシ設定は以下のとおりとなります。
以上
*1:サーバーは、Windows Server 2016 を使用する前提です。
Ericom Connect のプリンタリダイレクト機能について
前提条件
- 以下の OS/ソフトウェアバージョンを使用
- Windows Server 2016
- Ericom Connect 8.2
- Access Pad を使用
- [設定]-[デフォルト]-[詳細設定]-[セッション構成]-[ネイティブクライアントの選択]で「Blaze」を指定
- 「EricomRDP」の仕様については、以下「EricomRDP の動作仕様」を参照
UPD*1のインストール
以下のサイトから、HP Universal Postscript(PS)Printing Driver をダウンロードし、 RDS サーバにインストールします。インストール方式は「ダイナミック」を選択します。
HP Customer Support - Software and Driver Downloads
RDS Server が Windows Server 2016 の場合、以下のファイル名になります。
HP Universal Print Driver for Windows PostScript (64-bit)
upd-ps-x64-6.6.0.23029.exe
Ericom Connect の設定
管理コンソールに接続し、[設定]-[詳細]の「プリンタ構成」のセクションで、以下を設定します。
| プリンタリダイレクションモード | 汎用 |
|---|---|
| HP汎用ドライバーモードを有効化 | はい |
| PS2PDFを有効化 | いいえ |
| 高度なPDF印刷コマンド | -shell*2 |
クライアントの設定
AccessPad からアプリケーションを起動後、印刷画面を開き、リダイレクトされているクライアントのプリンタドライバを選択して印刷します。
EricomRDP の動作仕様
EricomRDP には、以下の制限事項があります。
- EricomRDP を使用した場合、セッションシェアリングが利用できません。
- EricomRDP 利用時に、文字入力変換確定後に再変換候補を出力させるために、[変換]キーを押しても、再変換候補が出力されません。
- EricomRDP においてローカルのドライブをリダイレクトさせる場合、特定のドライブを指定したドライブのリダイレクトはできません。また、ダイナミックドライブズ機能が正しく機能しません。
- EricomRDP を利用した場合、タイムゾーンのリダイレクトは常に有効です。無効にすることはできません。
- Ericom SecureGateway経由の場合、EricomRDPセッションの自動再接続はできません。
以上
Windows Server 2016 Hyper-V インストール
Windows Server 2016 上で Hyper-V をインストールする際の手順例です。
Hyper-V の要件
- ハードウェア要件として、以下を満たしている必要があります。
- VM モニターモード拡張機能
- 第 2 レベルのアドレス変換(SLAT) 機能
- 仮想化支援機能
- Intel Virtualization Technology (Intel VT)
- ハードウェア データ実行防止(DEP) 機能
- XD bit (execute disable bit)
管理者権限でコマンドプロンプトを起動し、以下を実行することで要件を満たしているか確認できます。
systeminfo.exe
Hyper-V の有効化
PowerShell を利用して、Windows Server 2016 で Hyper-V の役割を有効にします。
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
次のコマンドで Hyper-V の役割がインストールされていることを確認できます。
Get-WindowsFeature -ComputerName <computer_name>
仮想スイッチの作成
作成する仮想スイッチのタイプを決定します。
接続タイプ
- 外部:仮想マシンに物理 NW へのアクセスを許可し外部 NW 上のサーバーと通信可能にします。*1
- 内部:同じ Hyper-V 上の仮想マシン間及び、仮想マシンとホスト OS 間の通信を可能にします。
- プライベート:同じ Hyper-V 上の仮想マシン間の通信のみを許可します*2
「外部」を選択した場合は、使用する NIC と次の表に記載されているその他のオプションを選択します。
- 管理 OS にこの NIC の共有を許可する:ホストが仮想スイッチ用に構成した設定を使用できます。*3
- SR-IOV を有効にする:仮想マシンでシングルルート IO 仮想化(SR-IOV)を有効化します。*4
次のコマンドで既存の NIC を確認し、仮想スイッチに使用する NIC 名をメモします。
Get-NetAdapter
出力例は以下のとおりです。本例では Ethernet0 を使用します。
PS C:\Users\Administrator.MY> Get-NetAdapter Name InterfaceDescription ifIndex Status MacAddress LinkSpeed ---- -------------------- ------- ------ ---------- --------- Ethernet1 Intel(R) 82574L Gigabit Network Conn... 4 Up 00-50-56-86-5B-AB 1 Gbps Ethernet0 vmxnet3 Ethernet Adapter 3 Up 00-50-56-86-4F-2B 10 Gbps
"ExternalSwitch"という名前の外部スイッチを作成し、管理OSにこの NIC の共有を許可する場合、以下のコマンドを実行します。
New-VMSwitch -name ExternalSwitch -NetAdapterName Ethernet0 -AllowManagementOS $true
"InternalSwitch"という名前の内部スイッチを作成する際は以下のコマンド実行します。
New-VMSwitch -name InternalSwitch -SwitchType Internal
"PrivateSwitch"という名前のプライベートスイッチを作成する際は以下のコマンド実行します。
New-VMSwitch -name PrivateSwitch -SwitchType Private
仮想マシンの作成
仮想マシンで使用する仮想スイッチの名前を取得します。
Get-VMSwitch * | Format-Table Name
新規に仮想マシンを作成する際は以下のコマンドを使用します。
New-VM -Name <Name> -MemoryStartupBytes <Memory> -BootDevice <BootDevice> -VHDPath <VHDPath> -Path <Path> -Generation <Generation> -Switch <SwitchName>
- Name は仮想マシンの名前を設定します。
- MemoryStartupBytes は、起動時に仮想マシンで使用できるメモリの量です。
- BootDevice は、仮想マシンが起動するデバイス*5です。
- VHDPath は、使用する仮想マシンディスクのパスです。
- Path は、仮想マシン構成ファイルを格納するパスです。
- Generation は仮想マシンの世代です。VHD には世代1、VHDX には世代2を使用します。
- Switch は、仮想マシンが使用する仮想スイッチの名前です。
以下の例では、4GBのメモリを搭載したWin2016VMという名前の第2世代の仮想マシンを作成します。
Win2016.vhdx という名前の新規のハードディスクをサイズ20GBで作成し、ExternalSwitchという名前の仮想スイッチに接続します。仮想マシン構成ファイルは、VMData フォルダに格納されます。
New-VM -Name Win2016VM -MemoryStartupBytes 4GB -BootDevice VHD -NewVHDPath .\VMs\Win2016.vhdx -Path .\VMData -NewVHDSizeBytes 20GB -Generation 2 -Switch ExternalSwitch
以下の例は新規に Windows10 の仮想マシンを作成するスクリプト例です。
# Set VM Name, Switch Name, and Installation Media Path. $VMName = 'TESTVM' $Switch = 'ExternalSwitch' $InstallMedia = 'C:\Users\Administrator.MY\Desktop\ja_windows_10_multi-edition_version_1709_updated_dec_2017_x64_dvd_100406736.iso' # Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 2147483648 -Generation 2 -NewVHDPath ".\VMs\$VMName\$VMName.vhdx" -NewVHDSizeBytes 53687091200 -Path ".\VMData\$VMName" -SwitchName $Switch # Add DVD Drive to Virtual Machine Add-VMScsiController -VMName $VMName Add-VMDvdDrive -VMName $VMName -ControllerNumber 1 -ControllerLocation 0 -Path $InstallMedia # Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName # Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
作成した仮想マシンを起動するには以下のコマンドを実行します。
Start-VM -Name TESTVM
仮想マシンに接続するには以下のコマンドを実行します。
VMConnect.exe
参考書籍
リンク
以上
Smooth File のファイル交換ソリューションについて
Smooth File とは
プロット社が開発・提供する「ファイル交換ソリューション」です。「ファイル無害化機能*1」により、分離されたネットワーク間での安全なファイル交換を実現します。詳細についてはこちらを参照ください。
ダブルブラウザとの連携について
前回記事「インターネット分離時のファイル共有について」ではファイルサーバーを利用して、ユーザ間でファイル共有を行う例をご紹介しましたが、本記事では分離されたネットワーク間で、Smooth File を使用して、同一ユーザーがファイルを交換する例について紹介します。
Smooth File の展開
Smooth File は物理アプライアンス版と、VMware や Hyper-V 上で動作する仮想アプライアンス版が提供されております。本例では仮想アプライアンス(VMware 版)を使用します。ova 形式で提供されており、インストール方法について割愛します。
インストール完了後、"https://(IP アドレス)/smoothfile/top/login/1_admin" にアクセスします。こちらが管理画面となり、基本的な設定はこちらで行います。
なお、仮想アプライアンスは、2つの仮想ネットワークアダプタが付与されていますが、2つ目のアダプタ(eth1)の IP アドレスはコンソール経由でのみ設定可能です。
ネットワーク分離
Smooth File のネットワーク分離エディションでは、「管理グループ」と「インターネットセグメント*2」及び、「情報セグメント*3」の3つがデフォルトで定義されおり、追加・削除はできません。本例では、「インターネットセグメント」は、RDS サーバからのみ接続可能とし、クライント端末は「情報セグメント」への接続のみ可能とします。なお、2つあるネットワークアダプタのうち「eth0」を「インターネットセグメント兼管理用」とし、「eth1」を「情報セグメント」とします。
検証環境
Smooth File の設定例
ネットワークアドレス設定
「オプション」タブで「eth0」のネットワークアドレスを設定します。上述のとおり「eth1」は、コンソールのみで設定変更可能です。
セグメント管理設定
「セグメント管理」タブで、各セグメントの設定を行います。
「情報セグメント」にチェックをして、「セグメント情報編集」をクリックします。
「背景カラー」をオレンジを指定します。
他の設定はデフォルトとします。画面下にある「登録」をクリックします。
次に「インターネットセグメント」にチェックをして、「セグメント情報編集」をクリックします。
「ログイン許可 IP」に RDS サーバ(100.64.100.111)を指定し「無変換時のみ上長承認」を「no」に指定します。
セグメントに所属する職員を明示的に設定する場合は「所属職員管理」をクリックします。
「職員管理」タブへ遷移し、こちらで設定していきます。※本例では後述の AD 連携にて職員情報を取得するため設定しません。
職員管理設定(AD 連携設定)
AD 連携を行う前に AD に利用ユーザを定義する必要があります。本例では User01,02 の承認者に Manager01、User03,04 の承認者に Manager02 を定義することを前提とします。
「オプション」タブから「ActiveDirectory 連携設定」をクリックします。
「情報セグメント」を選択し「連携先情報編集」をクリックします。
AD の情報を設定します。
「権限グループ」で「受信者(情報セグメント」を選択し、AD に接続可能なアカウントを設定後「登録」をクリックします。
「情報セグメント」を選択し「接続テスト」をクリックします。
AD 上のアカウントを入力後「接続テスト」をクリックし「サーバの接続」と「職員情報の取得」に「成功」と表示されれば OK です。
「情報セグメント」を選択し「LDAP 同期」をクリックします。
「職員管理」タブをクリックし、AD 上のユーザ情報が登録され、所属セグメントが「情報セグメント」となっていることを確認します。
「インターネットセグメント」についても同様に設定し、設定後「LDAP 同期」をクリックします。
「職員管理」タブをクリックし、ユーザの所属セグメントが「インターネットセグメント」が追加されたことを確認します。
「セグメント管理」の「所属人数」もそれぞれ反映されていることを確認します。
職員管理設定(承認者登録設定)
インターネットセグメント(ファイル送信側)で、ユーザ単位で承認者を設定します。
「職員管理」タブをクリックし、対象のユーザ(本例では user01)を選択後、「職員編集」をクリックします。
「承認者一覧」をクリックします。
承認者(本例では Manager01)を選択し「確定」をクリックします。
「承認者一覧」に「承認者」が登録されたことを確認し「登録」をクリックします。
「職員管理」タブで対象ユーザの「承認者登録」が「済」となっていることを確認します。
(注)なお承認者設定は、一括して設定ができずユーザ単位で設定する必要があります。
ファイル送受信手順
ファイルのアップロード
仮想ブラウザを起動し、以下の URL からインターネットセグメントへアクセスします。
http://100.64.100.21/smoothfile/top/login_ldap?lid=2
user01 でログインします。
「ファイル転送 送信」タブで「送信」をクリックします。
「ファイルを選択」をクリックします。
対象のファイルを選択して「開く」をクリックします。
「登録」をクリックします。
「ファイル転送 送信」タブでファイルが存在することを確認します。
ファイルを選択し「詳細」をクリックします。
ファイルの詳細を確認できます。
ファイルのダウンロード
ローカルブラウザを起動し、以下の URL から情報セグメントへアクセスします。
http://100.64.100.22/smoothfile/top/login_ldap?lid=1
user01 でログインします。
「ファイル転送 受信」タブで受信可能なファイルを確認します。承認されていないため、先ほど送信したファイルは存在しません。
ファイルの転送承認
仮想ブラウザを起動し、以下の URL からインターネットセグメントへアクセスします。
http://100.64.100.21/smoothfile/top/login_ldap?lid=2
manager01 でログインします。
「承認一覧」タブでファイルを選択し「承認」をクリックします。
ファイルのダウンロード
前述の手順で「情報セグメント」へアクセスし、「ファイル転送 受信」タブで受信可能なファイルを選択後、「詳細」をクリックします。
選択したファイルがダウンロード可能となります。
以上
インターネット分離時のファイル共有について
インターネット分離とは
近年、標的型サイバー攻撃による情報漏洩インシデントが多発しています。この事態を受けて、総務省・IPA*1・NISC*2は個人情報などの機密情報を扱うシステムをインターネットから分離する事を推奨しています。「インターネット分離」とは、インターネット経由で攻撃者が重要システムにアクセス出来る経路を断絶することを意味します。
Ericom Connect によるインターネット分離
公開アプリケーションでブラウザを配信し、インターネットには配信されたブラウザ経由で接続、(機密情報のある)イントラサイトには既存のローカルブラウザで接続することで、機密情報の漏えいを防止するソリューションです。Ericom 社製品の日本国内における総販売代理店であるアシスト社は「ダブルブラウザソリューション」と呼んでいます。 詳細についてはこちらを参照ください。
インターネット分離時のファイル共有
インターネット分離をした際、ファイルの共有が課題となります。本記事では、Ericom Connect のダブルブラウザ利用時に、ユーザ間でファイル共有を行う例について紹介します。
RDS サーバにファイルサーバを接続
RDS サーバにファイルサーバ上のフォルダをドライブマップするためのスクリプトを作成します。
@echo off rem サーバ「ad01.example.com」の「share」フォルダを X: ドライブマップ net use X: \\ad01.example.com\share /persistent:yes
「ファイル名を指定して実行」を起動して「gpedit.msc」と入力し、「OK」をクリックします。
「ユーザーの構成」 > 「Windows の設定」 > 「スクリプト(ログオン/ログオフ)」 > 「ログオン」 をダブルクリックし「追加」をクリックします。
「スクリプト名(N):」に作成したスクリプトのパスを設定し「OK」クリックします。
「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「グループポリシー」 > 「ログオンスクリプトの遅延を構成する」 をダブルクリックします。
「無効」にチェックし「OK」クリックします。
「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「スクリプト」 > 「ログオンスクリプトを同期的に実行する」 をダブルクリックします。
「有効」にチェックし「OK」クリックします。
「コンピューターの構成」 > 「管理テンプレート」 > 「システム」 > 「ログオン」 > 「コンピュータの起動およびログオンで常にネットワークを待つ」 をダブルクリックします。
「有効」にチェックし「OK」クリックします。
「gpupdate /force」を実行します。
「ファイル名を指定して実行」を起動して「rsop.msc」と入力し、「OK」をクリックします。
ポリシーが正しく適用されていることを確認します。
ファイルサーバの接続確認
クライアント端末で Access Pad を起動し「user01」でログインします。
「Internet Explorer」をクリックします。
「ファイル」タブから「名前を付けて保存」をクリックします。
ファイルサーバ上のフォルダがドライブマップされている事を確認します。
ファイルサーバへのファイル保存と共有
仮想ブラウザでダウンロードしたインターネット上のファイルをファイルサーバへ保存します。
クライアント端末で Access Pad を起動し「user02」でログインします。
ファイルサーバに保存したファイルを閲覧可能なアプリケーションをクリックします。本例では「PDF」を使用します。
対象のファイルを選択し「開く」をクリックします。
ファイルが閲覧可能なことを確認します。
以上
ダブルブラウザ連携キットについて
ダブルブラウザ連携キットについて
ClickOnce を用いてクライアントにモジュール*1のインストールを行う仕組みを提供します。ClickOnce はユーザ毎にインストール作業が必要となります。
実装方法
ClickOnce では共有ファイルサーバを利用した配布と、Web を用いた配布をサポートしています。本例では、共有ファイルサーバを利用した配布を行います。
共有ディレクトリへのモジュール配置
- 本例では、ad01.example.com サーバを共有ファイルサーバーとして使用します。
- 連携キットの本体である「WBrowserLauncher.zip」を展開し、任意の場所へ配置します。
「WBrowserLauncher」フォルダを共有します。
なお、URL 自動判別オプションを配布する場合は「contents」フォルダ内へ「kotomine.zip」を展開します。
設定ファイルの編集
「WBrowserLauncher」>「WBConfigTool」フォルダ内の「WBConfigTool.exe」を実行します。
環境に合わせて必要な設定を行います。
URL 自動判別オプションを利用する場合は、チェックを ON にします。*2
また、URL 自動判別オプションに必要な設定を行います。詳細は「Ericom Connect URL 自動判別について」を参照ください。
ユーザインストール操作
クライアント PC から以下のパスへアクセスします。
\\ad01.example.com\WBrowserLauncher\WBrowserLauncher.application
自動で Access Pad がインストールされ、公開アプリケーション(本例では chrome)が利用できます。*3
URL 自動判別オプションを利用する場合は、ブラウザ拡張をインストールする必要があります。管理権限で実行したコマンドプロンプトで以下のコマンドを実行します。
●IE-Addon
BrowserLauncher.exe -unregisterAddon -registerAddon
●Chrome 拡張
BrowserLauncher.exe -registerChromeExt
アンインストール
スタートメニューにある「WBrowser Launcher のアンインストール」を実行します。
「アンインストールと変更」をクリックします。
「このコンピュータからアプリケーションを削除します。」を選択して「OK」をクリックします。
以上
