NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

エラー: 不正プログラム対策 エンジンオフラインの対処方法

不正プログラム対策 エンジンオフラインについて

Deep Seuciry(Agent レス)において、「不正プログラム対策エンジンがオフライン」のエラーが発生する場合があります。このエラーが発生した場合、対象の仮想マシンは「無保護」状態となるため、放置していると感染リスクが高まります。
基本的には、トラブルシューティングガイドに沿って診断と対処を行いますが、経験上、最も多いのはソフトウェアの不具合とリソース不足になります。ソフトウェアが最新かつ、リソースも問題ない場合、以下の対処が解決することがあります。*1

特定の仮想マシンのみで事象が発生している場合

考えられる原因
・仮想マシンがスリープ状態になっている。
・VMware Tools が起動していない。
・vsepflt/vmci ドライバーが停止している。
・NSX のセキュリティグループ/セキュリティポリシー設定に誤りがある。

対処方法
vsepflt/vmci ドライバーの状態は、対象の仮想マシンにログインして、コマンドで確認できます。

sc query vsepflt
sc query vmci

STATE が RUNNING になっていれば問題ありませんが、それ以外の場合は、VMware Tools の再インストールを実施する必要があります。

特定の ESX(DSVA)上のすべての仮想マシンで事象が発生している場合

考えられる原因
・DSVA に CPU/メモリ負荷がかかり、Deep Security Agent のプロセスが正常に動作していない。
・NSX に CPU/メモリ負荷がかかり、vShield-Endpoint-Mux プロセスが正常に動作していない。

対処方法
●Deep Security Agent の再起動
対象の DSVA へログインして、Deep Security Agent の再起動を以下の手順で実施します。

service ds_agent restart

(参考)Deep Security Manager/Deep Security Agent サービスの再起動/開始/停止方法

●vShield-Endpoint-Mux の再起動
対象の ESX にログインして、vShield-Endpoint-Mux の再起動を以下の手順で実施します。

/etc/init.d/vShield-Endpoint-Mux restart

(参考)ESX ゲスト イントロスペクションモジュール (MUX) のトラブルシューティング

上記を実施しても解決しない場合、診断ログを取得して、サポートへ問い合わせすることをおすすめします。

以上

*1:Deep Security 11.0 と NSX 6.4.4 の組み合わせが前提です。

Internet Explorer 表示した PDF を保存できない

フォルダリダイレクトが有効になっている環境で、Internet Explorer 表示した PDF を保存しようとすると、以下のエラーが発生する場合があります。

保存しようとしたディスクまたは一時ファイルに使用するディスクがいっぱいです。このディスクの容量を空けてもう一度保存しなおすか、別のディスクに保存してください。

こちらによると、ディスク容量は問題なくても、Adobe Reader の保護モードの不具合が原因で発生する可能性があり、以下の手順で保護モードを無効にすると回避できるようです。

  1. 編集/環境設定を選択します。
  2. 左側の「分類」から、「セキュリティ(拡張)」を選択します。
  3. 「サンドボックスによる保護」領域で、「起動時に保護モードを有効にする」をオフにします。

helpx.adobe.com

なお、ドメイン管理下の PC は、GPO(レジストリ)を利用して一括で設定することも可能です。

キー:HKEY_CURRENT_USER\SOFTWARE\Adob​e\Acrobat Reader\DC\Privledged
値:bProtectedMode
値のデータ:0

f:id:FriendsNow:20200704170040p:plain

Horizon 7 に物理 PC に登録する方法

通常、Horizon に vCenter Server を登録し、vCenter 管理化の仮想 PC に VMware Horizo​​n View Agent をインストールすることで、Horizon に仮想 PC が(自動で)登録されますが、vCenter の管理化にない仮想 PC や、物理 PC を Horizon に登録することも可能です。
簡易検証環境等、vCenter をたてずに Horizon を検証する際に便利です。

対象の仮想 PC(または物理 PC)に Horizon View Agent をインストールする際、以下のオプションを付与してインストールします。

/v"VDM_VC_MANAGED_AGENT=0"

すると Horizon 接続サーバーを登録するボックスが表示されます。
f:id:FriendsNow:20200627234435p:plain

インストール完了後、View Administrator から仮想 PC を選択できるようになります。

以上

Deep Security の概要

特徴

Deep Security Virtual Appliance(DSVA)が VMware ハイパーバイザーと連携し、各仮想マシンにセキュリティ対策ソフトをインストールすることなく、アンチウィルス対策機能を提供する。

  1. 各仮想マシンごとのソフトインストールが不要
  2. セキュリティ対策時は共有リソースを使用するため、消費リソースを節約できる。*1
  3. 各種コンポーネントはDSVAのみに配信されるため、各マシンの容量を節約できる。

f:id:FriendsNow:20200626214824p:plain:w500
出典:VMware Horizon環境での不正プログラム対策のベストプラックティス

Deep Security と VMware NSX の連携

VMware NSX の分散ファイアウォールと連携することで、感染した仮想端末を自動で隔離し、感染拡大を防止することが可能*2
Deep Security 12.0 から NSX-T と連携可能となりました。NSX-V との主な相違点は以下のとおりです。
・仮想アプライアンスとしての Guest Introspection が廃止され、ESXi ホストに導入される Ops Agent が必要な機能を提供
・NSX の管理は vCenter Server ではなく、NSX-T の NSX Manager による管理へ変更
・各仮想マシンの NSX サービスステータスも、vCenter Server ではなく NSX Manager による管理へ変更
・NSX Manager を3台構築することが必要となり、DSM からの登録は NSX Manager Cluster VIP を設定することが推奨
f:id:FriendsNow:20200626224028p:plain:w350

NSX-T 環境における Deep Security の配置

DSVA を配信する際に、以下の設定を行う必要があります。

トランスポートゾーン
DSVA を配信したいクラスタに展開される仮想ネットワーク

トランスポートノード
NSX-T においてトラフィック転送を司るノード
トランスポートゾーンを展開したい ESXi ホスト(クラスタ)を指定

トランスポートノードプロファイル
トランスポートノードとして指定された ESXi ホスト(クラスタ)に対してトランスポートゾーンやそれに紐づくアップリンクポート、物理ポートなどを規定するためのプロファイル

N-VDS(NSX Virtual Distributed Switch)
トランスポートノードでスイッチング機能を実行する NSX ソフトウェアコンポーネント、トランスポートノードプロファイルの中でアップリンクポートや ESXi ホストの物理 NIC などを設定
f:id:FriendsNow:20200626223854p:plain:w600

出典:Deep Security 12.0 VMware NSX-T環境におけるエージェントレス型セキュリティの実装概要

以上

*1:DSVA がウィルス検索処理を実行する。

*2:標的型攻撃対策として有効

AD の基礎について

Active Directory の 5 つのサービス機能

出典:wizLanScope | IT活用をもっと身近にするための情報サイト

AD DS(Active Directory ドメイン サービス)

認証基盤、ディレクトリサービスといったドメインの機能を提供します。
AD DS は Windows Server 2003 までは Active Directory と呼ばれていました。
一般的には Active Directory と言うと、ドメインサービスのみを指すことが多い。
(ドメインサービスは一般的に必ず使用し、他のサービスはオプションになるため。)

AD LDS(Active Directory ライトウエイト ディレクトリサービス)

AD DS の簡易版の位置づけで、認証はできませんがディレクトリサービスのみが使用できる機能です。
ディレクトリサービスとは、その所在や属性、設定などの情報を収集・記録し、検索できるようにすることで情報を見つけやすくするためのサービスです。

AD CS(Active Directory 証明書サービス)

公開キー(PKI)を構築するための、証明書の作成と管理を行う証明機関を作成するサービスです。
AD CS を使ってアプリケーションで使用するための証明書の発行や管理を行うことができます。
AD CS を利用することで、一般的なサーバー証明書の発行や、Windows のログオン ID に紐づけたクライアント証明書の発行などに利用できます。

AD RMS(Active Directory Right Management サービス)

ドキュメントの権限管理やコンテンツ保護など、不正使用から情報を保護するための機能です。
AD RMS を利用すれば、メールやドキュメントの保護が可能になり、保護されたデータは暗号化され、細かな権限設定をユーザ単位で設定されます。第三者がそのデータを利用しようとすると、AD によってユーザ認証が行われ、そのユーザに許可された範囲での操作のみ行うことができます。

AD FS(Active Directory フェデレーションサービス)

複数の Web アプリケーション間の認証や、異なる組織間での認証など、組織の違いを超えて認証の仕組みを連携する機能です。

AD DS とは

AD DS の 主な機能として「LDAP」「認証」「DNS」があります。

LDAP(Lightweight Directory Access Protocol)

システムを利用するユーザーの情報を保管する仕組みで、階層構造により構成されています。
階層構造は、ディレクトリ情報ツリー(Directory Information Tree=DIT)という概念で構成されていて、Active Directory では OU や CN が既存で用意されています。
これらを組み合わせた情報(オブジェクト)は、Active Directory 内において、DN(Distinguished Name)と表現されます。

例)example.com ドメインの DIT
f:id:FriendsNow:20200614214252p:plain

認証

ドメイン環境での認証は、「Kerberos認証」と呼ばれるチケットを利用した認証方式を利用します。
f:id:FriendsNow:20200614214355p:plain:w400

DNS

Active Directory では、ドメインコントローラーの場所を特定するために DNS の SRV レコードが利用されます。
SRV レコードは DNS マネージャーや、コマンドプロンプトから確認できます。

例)DNS マネージャーでの確認
f:id:FriendsNow:20200614214443p:plain

例)コマンドプロンプトでの確認

C:\Users\Administrator> nslookup
> set type=srv
> _ldap._tcp.dc._msdcs.example2.com
サーバー:  localhost
Address:  127.0.0.1

権限のない回答:
_ldap._tcp.dc._msdcs.example2.com       SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = ad03.example2.com

ad03.example2.com       internet address = 192.168.1.133

Active Directory の適用範囲

ドメイン

Active Directory の基本単位を「ドメイン」といいます。ドメイン内のリソースに、認証が通ったユーザーがアクセスできます。主なリソースとして、ユーザーアカウント、Windows クライアント、サーバー、プリンターなどがあります。

OU(組織単位)

各リソースにはグループポリシーを使って、アクセス制御や機能制御等を適用することができますが、「OU(Organizational Unit)」と呼ばれる単位で管理することが可能です。

ドメインツリー

ドメインを複数に分け管理することが出来ます。親ドメイン(例:example.com)の下に子ドメイン(例:a.example.com)を作成しますが、子ドメインは親ドメイン名の一部(example.com)を継承し、「信頼関係」が結ばれます。信頼関係が結ばれると、リソースを共有することができます。これをドメインツリーといいます。

例)Windows Server 2019 での子ドメイン作成
f:id:FriendsNow:20200614220039p:plain

フォレスト

Active Directory の管理単位で最大となるもので、ドメインツリーのまとまりです。
同一フォレスト内のドメインは互いに信頼関係が結ばれ、フォレストに参加する全てのドメインのリースへアクセスできます。
なお、フォレストは 1 つ以上のドメインツリーで構成されるため、1 つのドメインでもフォレストとなります。
また、すべてのドメインを 1 つのフォレストにする構成を「シングル・フォレスト」とよび、複数のフォレストに分ける構成を「マルチ・フォレスト」とよびます。

信頼関係

信頼関係には、「方向」と「推移性」という考え方があります。
「方向」には双方向と片方向があり、双方向の信頼関係があると、ドメイン間、またはフォレスト間でお互いにアクセス可能です。
「推移性」には、推移性と非推移性があり、例えば以下のように親ドメイン(example.com)が、子ドメイン(a.example.com と b.example.com)間で、双方向の信頼関係があり、推移性である場合、子ドメイン間で双方向の信頼関係が間接的に構成されます。
フォレスト内では、双方向の推移性を持つ信頼関係が自動的にドメイン間で作成されます。フォレスト間(example.com と example2.com)の信頼関係は既定では作成されませんが、手動で結ぶことが可能です。

f:id:FriendsNow:20200614221520p:plain:w500

例)親ドメインと子ドメインの信頼関係
f:id:FriendsNow:20200614220112p:plain

例)フォレスト間の信頼関係構築
f:id:FriendsNow:20200614220146p:plain

以上

KMS ホストの導入と認証の仕様について

KMS 認証の仕様

KMS 認証について

KMS クライアントがライセンス認証されると、180 日間のライセンス認証の有効期間が与えられます。
KMS クライアントと KMS ホスト間が通信不能となっても、直ちに既存のライセンス認証は外れません。

KMS 認証の閾値について

KMS ホストは、認証リクエストを行った KMS クライアントの情報を 30 日保持します。
30 日以内に同一 KMS クライアントからライセンス認証の更新要求がなかった場合、当該 KMS クライアントの情報は KMS ホストから削除され、KMS ホストの認識している "現在の数" も減少します。
もし現在の数が閾値(Windows Server の場合は 5 台)を下回った場合、その KMS ホストが管理している KMS クライアントは全て認証を更新できなくなります。
そのため、KMS ホストと KMS クライアント間が30 日以上通信不能となる場合は注意が必要です。

KMS ホスト導入

KMS ホストキーのインストール

slmgr /ipk <KMS ホストキー>

KMS ホストキーのオンラインライセンス認証*1

slmgr /ato

ライセンス状況の確認

slmgr /dli

KMS クライアントのセットアップ

KMS クライアントセットアップキーの登録*2
※クライアントセットアップキーはこちら

slmgr /ipk <KMS クライアントセットアップキー>

KMS ホストの登録

slmgr.vbs -skms <KMS ホストの IP アドレス>

KMS ホストへのライセンス認証

slmgr.vbs -ato

※0xC004F038 エラーとなる場合は、KMS ホストの "現在の数" が不足しています。
Windows Server の場合は 5 以上、 Windows クライアントの場合は 25 以上である必要があります。
f:id:FriendsNow:20200613234148p:plain
ライセンス状況の確認

slmgr /dli

以上

*1:インターネットに接続できている必要があります。

*2:KMS クライアントに指定して KMS ホストへ認証可能にします。

VMware Horizon View 7 インスタントクローン構築

インスタントクローンとは

以下、インスタントクローンとリンククローンの比較です。(Horizon 7 で 2020年5月時点での比較です。)
リンククローンは今後廃止となる流れのようです。
f:id:FriendsNow:20200606154100p:plain
※1 どちらもスナップショットから Template VM を作成し、これをコピーした Replica VM から Parent VM を作成します。Parent VM は ESX 毎に作成され、Parent VM をクローンして VDI を展開します。
インスタントクローンでは、この Parent VM からクローンする際、実行中の Parent VM のメモリ内クローンを行うことで仮想マシンを迅速に展開します。*1
この動作のため、Parent VM は以下のように常にサスペンド状態となっています。
f:id:FriendsNow:20200517210429p:plain
※2 VDI はユーザーログオフ後に削除され、更新後のレプリカから再作成されます。

前提条件

  • 以下の OS/ソフトウェアバージョンを使用
    • VMware-VMvisor-Installer-7.0.0-15843807.x86_64
    • VMware-VCSA-all-7.0.0-15952498
    • VMware-Horizon-Connection-Server-x86_64-7.6.0-9823717
  • 事前準備として、対象のサーバをドメイン参加しておきます。

仮想デスクトップのマスター OS 作成

仮想デスクトップ展開用のマスター OS として Windows10 を作成します。
Windows10 上で View Agent のインストーラを実行し、「VMware Horizon Instant Clone Agent」をインストールします。「VMware Horizon View Composer Agent」と「VMware Horizon 7 Persona Management」は、インストール不可となりますのでご注意ください。

VMware-Horizon-Agent-x86_64-7.6.0-9539447.exe

f:id:FriendsNow:20200516232730p:plain

インストール後、マスター OS の「スナップショット」を取得しておきます。

ドメイン管理者の設定

View Administrator の管理画面から、インスタントクローンのドメイン管理者の追加を行います。
f:id:FriendsNow:20200516232828p:plain

インスタントクローンのデスクトッププールを作成します。なお、Composer は不要です。
f:id:FriendsNow:20200516232857p:plain

以上で、サーバ環境の設定は完了です。

VMware Horizon View Client 接続

VMware Horizon View Client で接続先サーバに「VMware View Connection Server」のホスト名を入力して「接続」すると、仮想デスクトップにアクセスできます。
ログオフすると、仮想デスクトップが削除され、再プロビジョニングされます。

イメージの更新

リンククローンでは、再構成(リコンポーズ)で Replica VM を入れ替えますが、インスタントクローンでは、イメージプッシュという機能で、Template VM、Replica VM、Parent VM を更新します。
仮想デスクトップはログオフ後に即削除され、その際に更新イメージを使って再作成されます。
このため、パッチ適用等のアップデートが簡単にできます。
イメージプッシュをするには、プールを選択し「イメージをプッシュ」をクリックします。
f:id:FriendsNow:20200517185344p:plain

更新するスナップショットを選択します。
f:id:FriendsNow:20200517185356p:plain

更新するスケジュールを設定します。緊急の際はユーザーを強制ログオフさせることも可能です。
f:id:FriendsNow:20200517185404p:plain

注意点

マスター OS に「VMware Horizon Instant Clone Agent」がインストールされていないと、以下のエラーがでてプロビジョニングに失敗します。

プロビジョニング中にエラーが発生しました:
Initial publish failed: Fault type is UNKNOWN_FAULT_FATAL - After waiting for 600 seconds internal template VM: vm-2021 still has not finished customization. Giving up!

f:id:FriendsNow:20200516232929p:plain

View Agent のインストーラーのデフォルトは「インストールしない」となっているのでご注意ください。

以上