2026-02-12T13:49:53+09:00 islandcenter Linux から Windows, mac まで　SOHO システムから中小企業までのトータルなネットワークをサポートするブログです。 Excite Blog http://islandcnt.exblog.jp/5780670/ 2027-12-31T01:00:00+09:00 2026-02-12T13:49:53+09:00 2007-06-24T12:56:19+09:00 islandcenter 雑文 インディペンデントコントラクター（ＩＣ）としてＩＴ関連の仕事をしています。


このブログサイトは、私の仕事上のお付き合いがある方々をご支援するために開設しました。


どうせ技術的なメールを書いても、山のようなメールに埋もれてしまいます。HTML メールを読まない（私も使わない）し、ワープロ文書にしてもあまり整理つきませんし、リンク先や画像のスナップショットをお見せできる手段として良い方法はないものかなぁと思っていました。


せっかく作った自分の情報の山なので、思い切って公開しちゃえ、と思い、独立を機会に問題ない範囲で公開を始めました。公開するのは良いことで、仕事先でも電車の中でも、「あの手順何だっけ？」を確認できるのはいいものです。


-お仕事しませんか-


皆さまといい関係のお仕事を探しています。


私の公式ウェブサイトはこちらです。


http://islandcenter.jp



詳細はウェブサイトでご確認ください。


--
このブログのトラックバックとコメントは承認制です。トラックバックスパムが多いので、トラックバックは受け付けていません。


　大手企業に対する批判に対して個人が名誉毀損で訴えられるケースがあります。いきなりこういう態度をとられてもこちらとしてはなすすべがありません。ブログの内容に不審な点、不愉快な表現がありましたら、まずはご連絡ください。適切に処理します。また製品担当者からのお励まし、ご意見などありましたら感謝します。


--
このブログを読んで、直接ご感想や、ご質問があれば、コメント欄にメールアドレスとコメントを書いて「非公開」チェックしていただければ私だけ皆さまのメールアドレスをチェックできます。のちほど非公開のメールアドレスからお返事します。


なお kenn*islandcenter.jp(@に置き換えてください)にメールを送っていただいても結構ですが、メールはジャンク処理していますので、必ず、サブジェクトにわかりやすいタイトルを書いてください。フリーメールやサブジェクトが空欄の場合、まず読まれることはないので、ご承知ください。詳細はウェブサイトをご参考ください。



My Home Web Site
http://islandcenter.jp



Meil Form
http://www.islandcenter.jp/il/contact/






- 2019/6/6 -
この６月から、広告を付けてみました。


見づらくなった。広告ウザい。などアンチのご意見もあるでしょう。コメントください。



このブログの価値を具体的な金額にするとどんなものか、書き手としてのモチベーションに繋がるだろうと思い試してみました。


一応、こちらを見る限り、アフリエイトは問題ないようです。



エキサイトブログ利用規約改定とライフログカテゴリの拡張について

https://blog.excite.co.jp/staff/4861188/



有料プランの概要・支払い方法

https://www.exblog.jp/bloghelp/blog/8/20927442/



PR- うちの大家さんもよろしく -PR








--
気が向いた時にしかコメントできなくて申し訳ありませんが、ブログの記事に関係なくご意見ご要望があれば、このトピックスにコメントください。
]]> http://islandcnt.exblog.jp/239738880/ 2019-11-04T13:16:00+09:00 2025-05-18T14:38:22+09:00 2019-11-04T13:16:40+09:00 islandcenter プライベートクラウド

数十年前に初めて、お客さんのネットワークシステムを構築したとき


「コンピューター名どうしましょ」


となった時に


「ま、花鳥風月でいいんじゃないっすか？」


と申し上げた事がありました。コンピュータ、ホスト名、パソコンの名前の命名規則のお話です。

英国軍艦の装甲艦コルベットには「フラワー級コルベット」というのがあり、「立派な海軍の男がパンジー（三色スミレ、男色者の隠語）なんかぁで戦えるか」というくだりが、よく英国の海洋冒険小説に出てきます。でもこの「花の名前」のフラワー級コルベット。使い勝手の悪さと居住性の悪さにも関わらず、構造が簡素で大量生産できたため、大戦中の大西洋でのドイツの潜水艦との地味で退屈で危険な戦いでは大活躍したんです。沢山作るンだから、花の名前でも付ければいいでしょ、みたいな安易なネーミングスタンダードですが、実用的な命名規則でした。





https://commons.wikimedia.org/wiki/Category:Flower_class_corvette



※ちなみに英国海軍の場合は、必ず正式名に HMS が付きます。カナダ海軍は HMCS です。艦船接頭辞と言うそうです。

https://en.wikipedia.org/wiki/Ship_prefix



そこで戦後に初めてアメリカの GM が作った小型スポーツカーにつけられた名前が「コルベット」。


旧日本海軍では軍艦の命名規則は、律令時代の「国名」が戦艦、「河川名」が巡洋艦。空母は「喜ばしい架空の鳥の名前」駆逐艦は「洋上の自然現象」と決まっていたようです。




Q&Aでわかる テレワークの労務

・法務・情報セキュリティ

2020/7/3


できるテレワーク入門

在宅勤務の基本が身に付く本

2020/5/29





テレワーク大全

2020/6/4




ま、余談はここまで。「花」はこんなものですが、「鳥」は何だかメンド臭そう。「月」は "ナントカ moon" 以外に見つからず、じゃ「風」の名前はどうなんだろうと調べたら、結構、コンパクトで魅力的な風の名前（地方風）の語には蠱惑的な単語が結構あるんですね。


List of local winds

https://en.wikipedia.org/wiki/List_of_local_winds



特にヨーロッパ古代から中世史に興味があったので、地中海の船乗りに関する「風の名前」「船乗り用語」「船乗りが嫌がるもの」など地中海の船乗りが使う語彙が豊富になりました。という事で、ウチのコンピュータや Wifi の SSID なんかには、いいも悪いも含めて地中海の船乗りになじみのある自然現象などの名詞が使われています。


ちなみにSSIDの文字列の最大長は３２バイトだそうです。そういえば、電車の中でスマートフォンのSSIDを変えて、見知らぬ他人と会話する、という話が一時期話題になったように、２バイト文字も使えますが、お勧めはできません。


https://ja.wikipedia.org/wiki/サービスセット識別子



WifiのSSIDで隣人とコミュニケーションしよう

http://bohemia.hatenablog.com/entry/2018/12/06/005644



軍艦の命名規則には、それぞれお国柄があるようです。特に海軍国である英国艦艇の補助艦には、フラワー級だけではなくリバー級とかタウン級なんて命名規則がありました。アメリカ海軍の場合 USS で始まり、州の名前とか政治家とか、頑張って戦死した二等水兵の名前とか。


ま、そのうち風の名前のセンスに苦しんで、コンピューターのホスト名には北欧の物語に出てくる妖精の名前をかたっぱしから付ける様になりました。英国空軍の機種名やエンジンの名前によく使われています。英国人のセンスですね。名前を見るとユニークでインパクトがあるものをよく見ます。



先輩がやさしく教えるシステム管理者の知識と実務


クラウド&データセンター完全ガイ ド 2020年


システム障害対応の教科書 単行本





- あわせて読みたい -



ユーザアカウント名は８文字以内にすべきか？ユーザの命名規則の理由

https://islandcnt.exblog.jp/238796922/


パスワード強化ポリシーの色々、最大最小値、文字種、使い回し、Windows、mac, Linux

https://islandcnt.exblog.jp/241847045/

var a8='a19060232917_35H9RS_DNS2GI_2HOM_BUB81';var rankParam='bft4qZL1WKYaR8mqWHY-GeYPpKYPMnLTqfMnqGYkaQNO.QNb-';var bannerType='0';var bannerKind='item.fix.kind1';var frame='1';var ranking='1';var category='パソコン・周辺機器';


- よくある命名規則 -



社内ネットワークが構築され始めたころ、良く客先で見かけた命名規則が「星の名前」や「ギリシャ神話の神」をルールにしているところが多かった。これは単純に使いやすいのと、ゲームの主人公なんかによく使われるんですね。どうも、「天体名」は人気があるそうです。


でもその名前の由来を調べたら、縁起の悪いものもあるので、気を付けたいところです。こういった命名規則を作った趣味人の命名規則。


例えば、片っ端から「ガンダム名」にしてしまうと、


「シャーが死んだ」とか「ザクにバグがある」「ホワイトベースが堕ちた」


なんていう楽しい会話ができます。私にはそんな趣味ありませんけどね。まぁ”ウルトラマンに出てくる怪獣の名前”とか、ま、やめときましょう。最後には倒されるンですから...


フォネティックコードを使うのも一つのアイディアです。短くて誤読、認識性が高い。さすが軍隊の通信に使われるだけあってよく考えてある。


ですが、欠点はアルファベットの２６種類しかない事。



https://ja.wikipedia.org/wiki/NATOフォネティックコード


明確で単純ですがあまり人気はありません。


自社の製品名、自社のサービス名を使うケースもあるのですが「ｘｘｘ（自社製品名）が死んでいる」とか「ｘｘｘがおかしい」なんて会話が飛び交うと、社内で変な誤解を生んでしまいます。あまり流行らないようですね。


また、プロジェクト名などを付けると、後でそのプロジェクトがポシャって、プロジェクト名が付いたホストが残ると淋しいものです。


また、いくら花鳥風月でも "chrysanthemum" (菊)なんて言うような、舌を噛むような難読名は命名規則には避けるべきでしょう。私なら「薔薇」って書けません。


植物の名前は豊富ですが、微妙な花言葉だと、使う側もビミョーな気持ちになります。でも語彙は豊富です。鶏の名前は英語だとピンときませんね。


List of garden plants
https://en.wikipedia.org/wiki/List_of_garden_plants


List of birds of Japan

https://en.wikipedia.org/wiki/List_of_birds_of_Japan



プロ野球のチーム名をつけていたお客さんがいました。中々良いセンスでした。難点は、せ・パどちらにするか、１２チームしかないことです。




JリーグならJ1,J2,J3合わせて 50 数チームあるのでちょっとした組織でも充分でしょう。東京の様に２チームある場合は FCTokyoo、TokyuV の様に名前をつける。


まぁ重要度に応じてJ1チームの名前を与えるというのもありますし、本物のJチームが出世するように、サーバも重要度が増してくるのは、「システムを育てているんだ！」みたいな楽しみでもあります。


応用を利かせて、大リーグのチーム名、都市名、欧州サッカーのチーム名なんかも使えそうです。


ただし、本物の野球チームが不調だったり、ついでにその名前のサーバが落ちたりするのは、あまり気持ちの良いものでは有りません.私なら贔屓のチームがJ2落ちしたり、その名前のサーバがサービス終了してなくなってしまうのはちょっと悲しい想いをするでしょう


かっこいい言葉を選びたいので哲学用語や仏教のお経の言葉も良さそうですが、やっぱり複雑で専門性が高いのは結構難しいでしょう。担当者が変わると使われなくなります。


シアン、マゼンタの様な色名も良いかもしれません。デザイン系の職場のネットワークでは良い命名方式かもしれません。あるゼネコンさんで、建築用語を使っているケースがありましたが、部外者のワタシにはチンプンカンプンで馴染めなかった事があります。やはり業界ではポピュラーな言葉でも外部の協力会社さんにも判りやすい命名規則だと有り難いですね。また所属する業界特有の専門用語は文字数が長すぎる気配があります。くれぐれも4〜6文字程度に収まる１ワードの単語がある語彙集を見つけるべきでしょう。花鳥風月が良いと言っても２ワードになっては面白くありません



どうしても男社会では、かっこいい名前が受けますが、若い女性が多い組織では洋菓子の名前なんかは受けが良いかもしれません。
https://ja.wikipedia.org/wiki/洋菓子



何らかの略語４文字とかも良いのでしょうが、"F" で始まる４文字熟語はたいてい下品になるようなので、よしたほうが良い。







- Mnemonic Word listによる命名規則 -


http://web.archive.org/web/20090918202746/http://tothink.com/mnemonic/wordlist.html
http://web.archive.org/web/20091003023412/http://tothink.com/mnemonic/wordlist.txt


ここでリストアップされた単語は、アクセントや綴りに重複や読み間違えを生みにくい４~７文字の単語のリストです。1626語ありますから選択は自由です。命名規則に関わらず、任意にコンピュータ名に付けたい時には参考になるリストです。


- ガチガチの命名規則 -


これは、どこの現場でも良く見る命名規則です。通し番号は最低２桁、できれば３桁の通し番号を付けます。この方法のメリットは、 # grep | sort した時に見やすい事です。

例えば

PRNnnn - プリンタWPCnnn - Windows 端末DNSnnn - DNS サーバーAPSnnn - アプリケーションサーバFSVnnn - ファイルサーバー

ただ、これだとユーザや管理者から即時認識できないので、[SRV+nnn+PANSY]の様な、共通接頭辞＋ユニークで機械的な通し番号＋ユニークな愛称はいいアイディアだと思います。愛称があると判りやすいし、Nattou とか Umeboshi なんてミヤビな名前があれば愛着も沸くものです。でも、自分のPC名が「鶏レバー」だったら愛着は湧きませんが....



実際、意味のない文字列＋数字の場合は担当者はさておき、協力会社の担当者さんやエンドユーザは即座に識別できないので、何等かの愛称があると識別性が高いという事になります。


ホスト名は「記号化」してしまうと、認識度が低くなり、伝達性を損ないミスタイプを誘います。一意にするための"記号＋理解可能な単語"の組み合わせが良いだろうと思いますけどね。


まぁ Linux の場合、ホスト名が影響するのは Samba の Netbios 名程度（設定でホスト名とは違う名前を付けられる）で、後は DNS 名ですから、 DNS 名の命名規則と異なる機械的な命名方法でも構わないでしょう。

テスト用だから、"SVtest001" なんて名前を付けるのはいいアイディアとは思えません。作り込んで本番運用するときに至って、名前を書き換える手間を考えると恐ろしいほどの後戻りが発生します。 いつまでテスト用なンだ？　ってことになります。


プリンタの場合、ベンダー名や機種名、機能（FAX付き、スキャナ付き）などがわかると良いこともあります。ドライバを選択するにも、印刷やスキャン取り込みなどの目的が判りやすいのがいいでしょう。PRNCNN(キヤノンプリンタ専用機)、 PFSEPS(FAXスキャナ付きエプソン複合機)、ベンダー名よりプリンタのシリーズ名で機能がわかるわけですから、シリーズ型番+SKU３桁+花鳥風月。ちょっと長いかな。しかし機能がわかると協力会社さんや外部のヒトにも判りやすいと思います。こうした周辺機器は、リースが切れて交換すると、次の世代にアップグレードされるので、サーバ名とはまた違う、ユーザにも初見のヒトにも判りやすい命名規則でも構わないと思います。


ただしプリンタはあまり設置フロアとか部門名はつけない方がいい。部門の再編とか、社内引っ越しで設置場所が変わってしまう事もあるのですね。

- PC端末の命名規則 -


Windows では「NetBiosの都合」というややこしい制限があるので、それぞれエンドユーザさんが使うPC一台一台には工夫が必要でしょうね。クライアントPCはネットワーク上では、将棋の「歩」です。それぞれの足軽は「姓」を名乗らない「歩」なので「貫太郎」とか「強右衛門」の様なユニークな名前を与得る場合もある訳です。私も自分のコンピュータ名を「タマちゃん」と呼んでいた時期がありました。


コンピューターに名前を付けるのは、ペットに名前を付けるのと同じくらいのセンスが要求されます。機械的な命名では、利用者から愛着をもって使ってもらえません。


英米の海軍でもこれらの「歩」の様な哨戒艇などには PT-109 とか MTBnnn の様な、記号＋通し番号が正式名称だったのですが、実部隊の現場ではお互いを「愛称」や「コールサイン」「ペナントナンバー」で識別していたようです。


所詮「足軽」なので、端末は３~４年で入れ替わってしまいます。永続的にホスト名やIPアドレスが使われる、DNSやメールサーバーの様に厳密にする必要はありません。


端末のホスト名は、アセット管理とヘルプデスク、ワークグループの使い勝手を優先目的とします。



「PC+導入年度下二けた+シリアル番号(SKU)下４けた+数バイトの認識名」とかも良いでしょうか。


コツは、先頭のバイト数は必ず揃えて、接尾に付ける認識名の始まりは何文字目、と決めておくことです。


認識名としては、３バイトの空港コードのように短くて聞き間違えがなく認識性が高いものが良いでしょう。「WPC+3桁の通し番号+３桁の空港コード(HND-羽田,CTS-千歳,NRT-成田)」などです。桁が揃った一意の綴り３文字なので、応用が利きそうです。


３文字だと記号っぽいので、5文字の英単語（名詞）とかも桁が揃ってよさそうです。ただ、あまりに不吉だったり、非常識な単語は避けるべきです。


https://ja.wikipedia.org/wiki/空港コード#IATA空港コード（3レターコード）


修理でマザーボードを交換したとか、USBドングルアダプタで有線化した場合はMACアドレスが変わります。IP や MACアドレス、利用者名などを使うと何れ破綻します。


ｰ 数字は１６進数を使う ｰ


例えば通し番号を数字二けたとすると 00から99 までの 100 個の個体を識別できるわけですが、これを１６進数にすれば 00 ～ FF まで二けたで 256 個の個体を識別できます。 256 はクラスＣのひとセグメントですから、大体の中小組織では十分な数です。


３桁 000 ～ FFF を使うと全部で 4096 の識別個体を作れます。中堅企業以上では、これで十分ですね。


ただし３桁の先頭文字にアルファベットはつかわないのがいいでしょう。000 ~ 9FF までです。


また、不吉な数字は欠番にすべきかもしれません。中華系のユーザのPC符号が WPC4444 だったり、まじめなカソリック教徒にWPC013というPCを与えるのはいかがなものでしょう。１３番が似合うのはゴルゴ１３くらいです。


- OS、機種、機能、設置部署、場所、企業名は使わない -



OS 種別を命名規則に取り入れると、例えばWindows で動いていたサービスを Linux に置き換えた場合はちょっと面倒なことになります。


また機器のベンダー名や型番を命名規則に使うと機器のリプレースの時に面倒な事になります。


設置したオフィスや部門の所在地を使うと、オフィスが移転したときに問題となります。


nnnn の通し番号に IP アドレスを指定している所がありました。リーズナブルなようで、後でハードウェアのリプレースで問題となります。あまり IP や Mac アドレスをコンピュータのホスト名に使うべきではないと思います。仮想化時代なのでいずれ破綻します。


また、「会社名」も避けるべきです。会社名なんてしょっちゅう変わるものなんですね。Windows ドメイン名に「会社名」を付けてすぐに買収されて、泣く泣くドメインを再構築したお客さんがありました。


- 社内向けドメイン名、アクティブディレクトリ（AD）の命名規則 -



「社内向けドメイン？」何ンか変だな。まぁ Microsoft Active Directory を始めとして、イントラネット向けのドメイン名なんですが、


".local" は禁忌ドメイン名です。ローカルネットワーク、AD ドメイン名に絶対に使ってはいけません。間違っても AD では ”mycompany.local” で作ると問題が出ます。 Apple 製品、Mac があるネットワークでは mDNS(microDNS) ,Bonjour ネットワークで使われています。 TimeMachine バックアップでや iTunes や iPhone の同期でトラブルが出ます、Google 大魔神の投票結果なので、探してみてください。


Apple ネットワークに Linux：Avahi on SUSE Linux






そもそも、"mycompany" という、アナタの所属する組織名は移ろいやすいのですね。ローカルネットワークで使うFQDNに含まれる、ドメイン名、ホスト名はもう少し真面目に考えてもいいのではないのかなと思います。


例えばですよ、あくまでも例えば。


社内向けのDNSのADのローカルドメイン名に local.google.com なんてオレオレドメイン付けてしまって、prn01.local.google.com に印刷してしまった場合、オレオレじゃない本物の Google さんの prn01.local.google.com から極秘文書がジーコジーコとプリントアウトされる可能性があるのですね。ま、考えにくいけど。


だから、社内向けのドメイン名は、インターネットにおいてユニークで唯一無二で、しかも将来においては他人に使われない、変更される可能性がないドメイン名を指定すべきでしょう。会社名.com なんかはよした方がいい。どうせ会社名なんて、いつＣＩされて変わってしまうかわからないのです。その後 Windows ドメイン名を変えてしまうのは恐ろしく手間がかかる作業になってしまうでしょう。これは社内ドメインの工夫。アクティブディレクトリの命名規則のポイントですね。


だから、Active Directory のドメイン名に組織名はつかうべきではないと思うのですが、唯一無二という事なら、思い切って”花鳥風月”の一般名で公式な名詞をオレオレなインターネットドメインを取ってしまい、そのサブドメインをイントラネット用ドメイン名にしてしまえば、社名が変わっても将来にわたって使えるわけですね。.NET とか .SITE とかはかなり安く取得できるので、例えば pansy.site なんかを１円で取得して fsv001plum.ad01.pansy.site というドメインやFQDNを AD や社内向けサービスの名称にするというのも思い切った手段です。これなら会社名が変わろうが、組織が改変されたり、引っ越しても使い続けられます。
zzzzzzzz.com みたいな単純なドメインでも格安です。


オレオレドメインがもたらす当たり前な問題

https://islandcnt.exblog.jp/19963917/







AD ドメイン名のベストプラクティスとしては、絶対に組織名や、所在地、組織名など、将来変わる可能性がある名称を使わないことです。どうせいつかは変わることが予想されるんですね。花鳥風月な名詞の中から決めたほうがいい。




- ドメイン名の命名規則からの HOSTNAME の制限 -



FQDNではゾーン名を含め１バイトから最大２５３文字です。FQDN は hostname.mydomain.com となりますが、ドットの間の「ラベル」に使われる最大文字数は６３文字です。従って、「コンピュータのホスト名」の公約数は


「１から６３文字以内で、かつFQDNも含めて２５３文字に収まること」


がまず条件になります。SUSE Linux では getconf コマンドで確認できます。Linux のホスト名は最大で６４バイトですが、最後は Null なので６３バイトという事です。


suse15:~ # getconf -a | grep HOST
HOST_NAME_MAX 64
suse15:~ #


ラベルに使われる文字は、英数字とハイフン、ただしハイフンは「ラベルの先頭と末尾」には使えません。基本的には使わないのが無難。 Windows では "_"(アンダースコア)も利用可能ですが、他との公約数として"＿"も Windows でも使わない方が無難でしょう。Windows DNS では AD 環境で動いてしまいますが bind DNS と混在する環境では確実にトラブルが起こります。


この６３文字の文字制限は hostname コマンドのマニュアルには記載がないのですが、 limit.h に定義されているそうです。


６３文字以内です。


ドメイン名の構成
https://www.nic.ad.jp/ja/dom/system.html


ただし、いくら 253 文字使えるとは言え、長すぎる　FQDN 名は避けるべきでしょう。解りやすく、短くが原則です。そもそも文字列が長いと、タイプミスしやすいし、メンドクサイものです。




DNSがよくわかる教科書



重要なのは、命名規則で使える文字種、最大、最小文字数などは、＆＆条件で最小公約数で決める事です。Windows や NetBios で許されても、FQDN の条件に合わない命名規則は、好ましいことではありません。Windows から、他のシステムに移行した場合に問題となる可能性があります。逆に 63 文字のホスト名が付いたシステムを Windows に移植したら、これも問題が出てきます。

rakuten_affiliateId="0ea62065.34400275.0ea62066.204f04c0";rakuten_items="ranking";rakuten_genreId="204200";rakuten_recommend="on";rakuten_design="slide";rakuten_size="600x200";rakuten_target="_blank";rakuten_border="on";rakuten_auto_mode="on";rakuten_adNetworkId="a8Net";rakuten_adNetworkUrl="https%3A%2F%2Frpx.a8.net%2Fsvt%2Fejp%3Fa8mat%3D35H9RS%2BDNS2GI%2B2HOM%2BBS629%26rakuten%3Dy%26a8ejpredirect%3D";rakuten_pointbackId="a19060232917_35H9RS_DNS2GI_2HOM_BS629";rakuten_mediaId="20011815";



- Windows におけるコンピュータ名の規則 -


Windows におけるコンピュータ名も同じく６３文字の様です。


Enter your computer name
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc757496(v=ws.10)?redirectedfrom=MSDN


ただし１５バイト以上の「コンピュータ名」はトランケート（丸められる）ようなので、１５バイト以内が無難なようです。


なぜなら、"Netbios" という２０世紀に作られたDOS時代のレガシーなシステムの残骸を引きずっていて、 FQDN での制限である６３バイトより、短い「Windows は１５バイトのコンピュータ名」をつけた方が良い様ですね。


しかもNetbios では特殊文字のドットも可能。


勿論、ドット（ピリオド）はFQDNのラベルの区切りになるので、NetBiosでは許されてもコンピュータ名で使うべきではありません。だからADの命名規則では禁止されているという矛盾。また RFC では "_" (アンダースコア)は積極的に推奨されていないようなので、Windows では認められても使うべきではないようです。
　
Active Directory におけるコンピューター、ドメイン、サイト、および OU の名前付け規則
https://support.microsoft.com/ja-jp/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and


この Netbios 名の制限は、当然 Linux/Unix 系OSで使われる Samba にも影響しますから、 Linux で SMB/CIFS を使う場合は Linux のホスト名とは別に Netbios 名も英数字 15 バイトに収めるのが無難である、ということになります。もっとも BIND なんかで名前解決するなら問題ありませんが、Windows ガチガチなネットワークの場合、制限は


「NetBiosに従え」


ということになりそうです。




- 日本語や2バイト文字は使わない


システム的には許せても、日本語や非ラテン文字、例えばキリル文字などは使わないことです。他のシステムでは受けつかなかったり、例えば ping するときに面倒です。



- ついでに macOS Big Sur 11.4 の場合(蛇足) -


林檎マーク > システム環境設定 > 共有、より「コンピュータ名」を編集できます。ComputerName.local と拡張子に .local が付きます。もし Microsoft Active Directory のドメイン名が "MyCompany.local" だった場合、確実に Mac のネットワークにトラブルが出るでしょう。Mac があるネットワークでは(それだけの理由でもなく) AD のドメイン名に .local は使ってはいけません。未だに古い Windows の教科書通りに MyCompany.local をつかっているなら AD ドメイン名の変更を考えるべきです。





ヘルプには


”コンピュータのローカルホスト名を変更するローカルホスト名またはローカルネットワーク名は、「共有」環境設定パネルの一番上にあるコンピュータの名前の少し下に表示されます。Bonjour対応のサービスでは、この名前でお使いのMacが識別されます。ローカルホスト名は、コンピュータ名に.localを追加した名前であり、スペースはハイフンで置き換えられます。たとえば、My Computerという名前は、My-Computer.localというローカルホスト名になります。ローカルホスト名では、大文字と小文字は区別されません。したがって、my-computer.localはMy-computer.localと同じです。


1. Macでアップルメニュー ＞「システム環境設定」と選択し、「共有」をクリックします。"


とあります。



ところで、macOS の場合、日本語のコンピュータ名は使えるのでしょうか？　macOS 11.4 big Sur の事例です。







既定の文字数以上の長いコンピュータ名は、設定できませんでした。


ニホンゴのコンピュータ名は使えるようですが、システム的には"KanaMoji-Alphabet.local" となってしまいます。上の例では、英数字 36 バイトで拒否されました。短くすると設定できますが、2バイトコードを使ったホスト名のコンソールのプロンプトは見事に英数字です。






ネットワークから見ると、見事に全然違います。ちょっと笑えない状態です。これでは認識性が全く損なわれます。







古いドキュメントの様ですが、一応次のような文書を見つけました。





macOS Serverでサーバの名前を変更する


https://support.apple.com/ja-jp/guide/server/apd4affc56f/mac






”ローカルホスト名の最初の部分は変更できますが、拡張子は常に「.local」です。ローカルホスト名にスペースを含めることはできません。ハイフン（－）に置き換えられます。ローカルホスト名では大文字小文字は区別されません。






-中略-






コンピュータ名は、63文字以下の英字です。空白を含めることはできますが、「=」、「:」、または「@」は使用しないでください。"




とあります。どっちにせよ、Windows ネットワークと共存する環境では NetBios の１５文字、2バイトコードは使えても、楽しい事にも悲しい事にもなるので使わない事。


たとえ使えても、２バイトコードや、空白(スペース文字)、空白が置き換えられる "-" (ハイフン) や "_" (アンダースコア)を使わない”英数字のみ１５文字以内”が最小公約数で無難でしょう。
もし、スタバでドヤリたいのなら、無難な一般名詞を使ったホスト名の方がいいでしょう。「オレオレたまちゃんのmac Book M1 Air」なんて名前で、公共の Wifi 環境につなげると、一発で「あ、mac Book 使っているアイツか」ってバレることもあり得るという事です。いずれにせよ、俗人的な固有名詞は使わない事です。まぁ、これは mac の場合だけではないんですけどね。Windows の自腹マシンでも、公共の Wifi 使う場合は「みんなオトモダチになる事もある」気を付けるべきです。


- 重要なのは文書化しておく事 -


大体、コンピュータのホスト名の命名規則というのは、管理している人間の趣味で作られるものです。まぁほとんどはその場の思い付きなんですね。

例えば、先頭６バイトの文字規則（ナンバリング規）＋愛称名の利用可能なリスト

命名規則の原則は、文書化と認証。必ず文書化して、担当マネージャーのハンコをもらっておく事です。


- まとめ -



grep | sort したり、正規表現での検索、スプレッドシートでソートしやすい様、先頭 4 ~ 6 バイトには特殊記号のない規則性を持たせる 基本は英数字のみ１５バイト以内に抑える。もっとも短い方がいいのは勿論。2バイト文字は使わない。 特殊文字は "-" ハイフン以外使わない、と言うより正規表現で特殊処理が必要な文字なので "-" , ”_” の利用も控える。 後半部には規則性のある任意のニンゲンが認識可能な文字を付け加えても構わないが、４~５文字に控え長い文字列は避ける。数字で始まるホスト名は避ける。 オフィスのストリート、住所、部署名、社名など、将来も使い続ける可能性がない略字、語句は使わない。恥ずかしい名前や、難読性なもの、「そういう面白い趣味か」「不吉な単語」といった名前は避ける。 IP アドレスや Mac アドレスの様な変化する可能性のある命名規則はそのうち破綻する。 愛称のストックは常にためておく事。花鳥風月、空港コード、フォネティックコードの様なリスト、文字数を決めておく。



※ バイト数なのか、マルチバイト Unicode の ”文字数” なのか？ 書いている私も混乱しています。UTF8 と UTF16 では、同じ漢字コードでも、バイト数が違うそうです。8ビット英数字限定なら「単純バイト数」なので、「英数字nバイト」と決め打ちするのが良いかも知れません。


まぁ、RFC1178 に、べき論とべからず論があるので、一読しておくことです。

Choosing a Name for Your Computer
https://tools.ietf.org/html/rfc1178


ITにおける標準化策定：機能のクラス分け
https://islandcnt.exblog.jp/241843280/

ファイルサーバーをゴミ箱にしない工夫https://islandcnt.exblog.jp/238371771/


PCDAサイクルから考えるセキュリティポリシーの見直し

https://islandcnt.exblog.jp/240694097/



ファイル名とパスの最大長の色々

https://islandcnt.exblog.jp/240142567/



パスワード強化ポリシーの色々、最大最小値、文字種、使い回し、Windows、mac, Linux
https://islandcnt.exblog.jp/241847045/




isLandcenter.jp








]]> http://islandcnt.exblog.jp/239378954/ 2019-07-18T10:53:00+09:00 2021-03-01T16:35:17+09:00 2019-07-18T10:53:01+09:00 islandcenter プライベートクラウド

まぁできれば、アラートを検出してメールを流すとか、したいところなのですがグラフを出すところまでで許してください。


Zabbix5 はこちら
zabbix 5.2 openSUSE Leap 15.2 SNMP でデバイス監視
https://islandcnt.exblog.jp/240860975/


- Target の snmp は有効か -


まず、ターゲット側が、snmp が有効になっている必要があります。このあたりは、装置のマニュアルをご参考下さい。


サンプルとして、適当なデバイスがなかったので Linux のサーバーを使っています。コミュニティ・ストリングは public です。勿論、snmp のパスワードに相当するので適宜置き換えてください。


SUSE Linix の場合 net-snmp パッケージが必要になります。YaSTからインストールして /etc/snmp/snmpd.conf を次の様に書き換え、snmpd をリスタートさせます。


target:/etc/snmp # cat snmpd.conf | grep public
# rocommunity public 127.0.0.1　<---- comment ouut
rocommunity public 192.168.1.0/24
target:/etc/snmp #
target:/etc/snmp # rcsnmpd restart




ネットワーク監視 最強の指南書



次に zabbix 側から、snmp の参照ができる事をsnmpwak で確認します。


zabbix4:~ # snmpwalk -v 2c -c public target.i.islandcenter.jp .1.3.6.1.2.1.1
SNMPv2-MIB::sysDescr.0 = STRING: Linux TS-110 4.2.6
SNMPv2-MIB::sysORID.1 = OID: SNMP-MPD-MIB::snmpMPDMIBObjects.3.1.1
SNMPv2-MIB::sysORID.2 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.5 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.6 = OID: IP-MIB::ip
SNMPv2-MIB::sysORID.7 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.8 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORDescr.1 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.2 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.3 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.5 = STRING: The MIB module for managing TCP implementations
SNMPv2-MIB::sysORDescr.6 = STRING: The MIB module for managing IP and ICMP implementations
SNMPv2-MIB::sysORDescr.7 = STRING: The MIB module for managing UDP implementations
SNMPv2-MIB::sysORDescr.8 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORUpTime.1 = Timeticks: (1103) 0:00:11.03
SNMPv2-MIB::sysORUpTime.2 = Timeticks: (1103) 0:00:11.03
SNMPv2-MIB::sysORUpTime.3 = Timeticks: (1103) 0:00:11.03
SNMPv2-MIB::sysORUpTime.4 = Timeticks: (1104) 0:00:11.04
SNMPv2-MIB::sysORUpTime.5 = Timeticks: (1109) 0:00:11.09
SNMPv2-MIB::sysORUpTime.6 = Timeticks: (1109) 0:00:11.09
SNMPv2-MIB::sysORUpTime.7 = Timeticks: (1109) 0:00:11.09
SNMPv2-MIB::sysORUpTime.8 = Timeticks: (1110) 0:00:11.10
zabbix4:~ #


PR



- Zabbix 側から監視ターゲットホストの作成 -



全体の流れは動画にしました。（音出ます）









Configuration > Hosts >　Create Host







[改訂3版]Zabbix統合監視実践入門 ──障害通知、傾向分析、可視化による省力運用 (Software Design plus)新品価格
￥4,048から
(2020/1/27 23:12時点)
[改訂2版]Zabbix統合監視徹底活用──複雑化・大規模化するインフラの一元管理 (Software Design plusシリーズ)新品価格
￥3,960から
(2020/1/27 23:14時点)
日経ITエンジニアスクール ネットワーク監視 最強の指南書




Add ボタン


Host name: 任意の識別名
Group > Select > 必須項目なのでどこかのグループをセット 、グループは新たなグループを作れます。後で変更できます。
Agent interface > Zabbix Agent を使う場合は、一応アドレスと DNS 名をセット。ＤＮＳに登録されているなら"DNS" ボタンを押しておく、zabbix agent を使えないデバイスの場合は空欄でも構いません。
SNMP interface > "Add"リンクで入力ボックスを開き > アドレスと DNS 名をセット。ＤＮＳに登録されているなら"DNS" ボタンを押しておく、ポートは 161













次に Template の設定。 "Template" を選び、Select から、一番使えそうなテンプレートを選び "Add" リンク、


最後に左下の"Update"ボタンで登録











これで一応監視対象 SNMP デバイスの登録は終わり。
ただし、まだデータの収集を始めていないので "SNMP" のステータスはグレーです。









試しに、登録したばかりの Host を開いてみると、"SNMP" のステータスはグリーンに変わっていました。大体５分程度で認識するようです。
ただし、 Graphs の横には何もありません。まだグラフを描画できるほどの情報がないのですね。











”HOST” リストでも、”SNMP” がグリーンになっています。













３０分から一時間ほどで描画できるデータが集まったようです。graphsの横に、グラフ描画できるアイテム数が出ています。









"Monitoring" > Graphs > "HOST" をトグルして > "Graph" の種類を選ぶと、グラフが描画されました。









ネットワーク監視 最強の指南書






PR








- インプレッション -


グラフが見やすくなりました。今日一日の状態や過去数時間、今週、先週と言った単位で、グラフが表示できるのはいいものです。また、監視のためのテンプレートが豊富になったので、サービス単位で監視ができるというところもいいですね。テンプレートを作ってくださったコミュニティの皆様には感謝です。


残念な所は、今までの 3.2 では、ディスクの空き容量が、パイチャートで見る事ができたのですが、この機能がなくなったこと。これは、私のやり方が悪かったのか、何かカスタマイズでできるのか、あるいは理由があって削除されたのか、分かりません。


Zabbix については情報は多いのですが、新旧混在で、古い情報で良い情報を見つけても、画面のデザインが違ったり、古い情報を基にカスタマイズすると、なぜか怒られたり、ということがあまりにも多すぎます。プロジェクトの疾走感は強く感じますが、最新の情報がまとまっていないのが難点ですね。



[改訂3版]Zabbix統合監視実践入門



zabbix4.2 を zabbix5.0 アップデート openSUSE Leap 15.1
https://islandcnt.exblog.jp/240337666/


zabbix5 でインターネットの疎通、監視、リモートワーク時代の「ネットが遅い」をチェック
https://islandcnt.exblog.jp/240356560/


isLandcenter.jp















]]> http://islandcnt.exblog.jp/238911684/ 2018-12-19T17:58:00+09:00 2019-10-09T15:23:24+09:00 2018-12-19T17:58:38+09:00 islandcenter プライベートクラウド
パーティションニングソフトは欲しいよね


私がノートパソコンを買った場合、初期状態で必ず、D:ドライブを分けて、データとシステムドライブと分けています。いつもこの方法で個人的に運用しています。C: ドライブに分散して存在するファイルは、システムファイルと混在してバックアップは面倒です。PCを初期化したりHDDが故障したりで、システムの再インストールが必要な事故だと、目が当てられません。悲劇を避けるために、C:ドライブにファイルを保存せず、常にD：ドライブに無意識にデータを保管して、データドライブだけ簡単にバックアップできるよう、コンピュータをセットアップすることが重要です。


Windows7から10へ移行、パーティション分割、C:ドライブの拡張、 MiniTool Partition Manager は超便利
MiniTool Parttition Wizard パーティションマネージャー




- 使い込んだPCの準備--できるだけC:をコンパクトに -


購入したての場合は問題ないのですが、購入して使い込んだPCの場合は、C:ドライブにかなり余分なデータが溜まっています。そのため、C:ドライブを減らして、データ用 D:ドライブが十分に確保できないことがあります。


まず、やる事は


- C:users\myname\ の下にある重要なデータやC:ドライブのファイルは外付けHDDや、NASに"移動"して、できるだけC:ドライブを開けてしまいます。


- 明らかに不要なファイルは削除します。


- 必要であれば、再インストールが容易なアプリケーションはアンインストールします。ストアアプリのゲーム、めったに使わないツールとかですね。何らかのアカウントと同期するSNSアプリなどは残しておいたほうがいいでしょう。



- 次に C: ドライブのディスクをクリーンアップします。エクスプローラーから C: ドライブをポイントして、右ボタン > プロパティで、「全般」タブにある「ディスクのクリーンアップ」をウィザードに従って実行し、不要なデータをC:ドライブからパージします。











- C:ドライブをデフラグします。C:ドライブのプロパティから「ツール」タブを開いて「最適化」をウィザードに従って行います。C:ドライブの空き領域を、後半のセクタにマージしてしまうのですね。


この処理には時間がかかります。







- パーティションを分ける -


エクスプローラーの自分のコンピュータ名をポイントして、右クリックから「管理」を選びます。









コンピュータの管理から「記憶域」＞「ディスクの管理」を開きます。









- ここまでが、現在使用中のコンピュータのディスクの整理、準備作業です。コンピューターが初期状態、あるいはまだ使い始めの場合は不要かもしれません。










- D:ドライブの作成 -


ここで「ディスク０」のC:ドライブをポイントして、右ボタンから「ボリュームの縮小」を選びます。







この時点で縮小できるサイズの初期値は「縮小できる領域の最大サイズ」です。このサイズを調整します。







全部縮小してしまうとC:ドライブの空きが全くなくなるため、「縮小後の合計サイズ」が８０Gバイトから１２０Gバイト程度に調整するのが理想でしょう。多くのオフィス系のソフトウェアや Windows Update に必要な領域は最低でも６０～１００G程度あれば十分です。アプリケーションが全てインストールされていても、２０Gb程度は空きが確保できればOKです。


私はいつも新規購入したPCのC:ドライブは１００Gbに調整していますが、問題になったことはありません。６０Gbでは Windows10 のメジャーアップデートに不足した場合がありました。８０Gbから 120Gb 程度に調整できれば適量でしょう。




図では別な所にできていますが、通常１ドライブシステムの場合、C:を縮小した後は C:の後ろに「未割り当て」の領域が現れます。この部分をD:ドライブに割り当てます。



「未割り当て」の領域をポイントして右ボタンから「新しいシンプルボリューム」を作成します。





ウィザードに従って作業します。





新しく作った「ボリューム」に任意の名前を割り当てます。









完了を押して、作業を終わります。







- ドキュメントフォルダをD:ドライブに変更する -



「ドキュメント」をポイントして右ボタン、プロパティの「場所」タブを開きます。通常、"C:\Users\MyName\Documents" になっているので、"C:"の部分を "D:" に書き換え、「適用」します。











確認ダイアログに「はい」







"C:Users\MyName\Documents" の内容が、"D:Users\MyName\Documents" に"コピー"されます。移動ではない事に注意してください。


- この作業を”ピクチャ”、”ビデオ”など、全てに繰り返します。


これで、アプリケーションから「名前を付けて保存」する場合、”ドキュメント” フォルダなどに保存するファイルはD:への保存になります。


エクスプローラから "D:\Users\myname\Document" にファイルを作ると、"コンピュータ名\ドキュメント"にも同じファイルが作成されればＯＫです。














- アプリケーションのデータ保管先の変更 -


アプリケーションによっては、決め打ちで "C:\users\MyName\Documents" にデータを保存するものがあります。大抵はアプリケーションの"環境設定オプション"などで任意のディレクトリを指定できるので、"D:\users\MyName\Documents" に変更しなければならないものがあります。


はがき印刷ソフトや、会計と言った、素人さん向けのソフトウェアにはそういう設計の物が多いようです。重要なデータですから、必ず使うアプリケーションのデフォルト保存先を確認してください。


- Outlook の場合


Outlook の場合、マイクロソフトの次の文書が役に立ちます。


Exchange Server 環境で使用している Outlook 2010 のデータを保存、復元、または移動する方法
https://support.microsoft.com/ja-jp/help/2179267


オフィスデータをＤドライブに移す方法を教えてください
https://answers.microsoft.com/ja-jp/msoffice/forum/msoffice_install-mso_other-mso_2010/オフィスデ/1646ba4c-a35c-4b3e-919a-f6a7e86b470a?messageId=d34eb650-5f3f-40fa-a764-017221feb85c


Outlook で個人用フォルダー (.pst) ファイルを参照、移動、またはバックアップする方法
https://support.microsoft.com/ja-jp/help/291636/how-to-locate-move-or-back-up-your-personal-folders-pst-file-in-outloo






Windows 10は初期設定で使うな!
(日経BPパソコンベストムック)



- Thunderbird の場合




Thunderbird は


C:\Users\<username>\AppData\Roaming\Thunderbird\Profiles\xxxxxxxx.default\


にデフォルトのメールストアが作成されます。 これをD:にコピーして、コマンドプロンプトから Thunderbird.exe -p を実行するとプロファイル作成モードになるので、コピー先のプロファイルを指定してプロファイルの作成をします。次のドキュメントが参考になるでしょう。


Thunderbird のプロファイル
https://support.mozilla.org/ja/kb/profiles-where-thunderbird-stores-user-data


Thunderbird のデータを新しいコンピューターに移動する
https://support.mozilla.org/ja/kb/moving-thunderbird-data-to-a-new-computer


複数のプロファイルを使用する
https://support.mozilla.org/ja/kb/using-multiple-profiles







プロファイル作成モードで起動


プロファイルディレクトリを指定










- Evernote の場合


Evernote は通常 C:\Users\MyName\AppData\Local\Evernote\Evernote\Databases に巨大なデータベースがあるので、一旦 Evernote を終了して、これを削除して、起動して同期が始まる前に、ツール ＞ オプション > 「全般」、から「ローカルプロファイル」の保存先を D:ドライブの任意の保存先に変更して同期するとクラウドに保存されたデータベースがD:ドライブに新規作成されます。これでC:ドライブがデータベースでパンパンになることを防げます。


Evernote for Windows でデータをバックアップおよび復元する方法
https://help.evernote.com/hc/ja/articles/208313528-Evernote-for-Windows-でデータをバックアップおよび復元する方法


※ DBの再構築の時にログインが求められます。誤りがないように事前に Evernote のIDとパスワードを WEB 版で確認しておきましょう。


※ ちなみに Evernote の動作が重い場合はデータベースを削除して再作成するのが一番効果がある様です。DBのサイズも小さくなります。









※ ちなみにストア系アプリでクラウド同期しない物は、ほとんどが C: に保管するようです。これは変更できるものは少ないようです。全くダメな仕様ですね。






- バックアップの実施 -


バックアップ用のバッチファイルを作成します。次のサンプルは Windows の robocopy ツールを使ったファイルサーバーへのバックアップ用のバッチファイルです。バッチファイルは、バックアップ先のメディア（ファイルサーバーや外付けHDD）に用意するのが良いでしょう。バックアップメディアが使えるときにこのバッチファイルを実行すれば、バックアップが開始されます。


net use n: /delete /yes
net use n: \\<MYNAS.local.mydom_or_MyNAS_IP_Address>\<share_for_backup>
pause
robocopy /S /E /R:1 /W:1 /LOG:n:\backup.log D:\<SrcPath>\*.*　n:\<backup_DST>\
net use n: /delete /yes
pause




※ robocopy には /MIR オプション（ミラー同期で削除もあり）は付けません。誤って「消してしまった」ファイルのバックアップのためです。


コピー先パスは、NAS でも構いませんし、USBの外付けHDDでも構いません。上の例では Samba ファイルサーバーを n: ドライブに指定しています。途中でログインを確認するための pause が入っています。"/user:MyName　 PassWord" オプションを付ければ、接続も自動化されますが、ファイルサーバーのパスワードがまんま書かれているため、セキュリティの問題があります。タスクとして自動化したい場合は注意が必要です。


バックアップ先を複数のディスク、ディレクトリとするバッチファイルを作ることで、サーバー側のディスクトラブルを回避することもできます。


また JBOD 対応の USB 接続の HDD 多連装外付けケース（センチュリー製、裸族のマンションシリーズみたいなの）を使って、「物理＝別々の論理ディスク D:E:F:G:H:」を作り、月金のバックアップを、別玉にスケジューラでファイルサーバーをバックアップしたケースもあります。


テープバックアップより単純な考え方なのでリストアは楽ですね。ディスクを取り外して交換・フォーマットして差し替えすると、永久保存用アーカイブになります。


Robocopy は差分だけコピーしますので、バックアップの頻度、サイズ、作成/変更したファイル数にもよりますが数分から、数十分でバックアップコピーが完了します。 /LOG オプションでログを取っているのでログを確認して「失敗」をキーワード検索して、下の様に正しくバックアップできたかを確認できます。


合計 コピー済み スキップ 不一致 失敗 Extras
ディレクトリ: 2860 0 2860 0 0 0
ファイル: 33242 155 33087 0 0 3
バイト: 69.629 g 1.011 g 68.617 g 0 0 71.4 k
時刻: 0:01:02 0:00:25 0:00:00 0:00:37




- バックアップのコンセプト -


私は、バックアップは誤消去したファイルを保護するためでもあるので、Robocopy を使って、ミラー同期はしません。ただ、この方式であればどんどん削除されたファイルも含めてバックアップがファイルサーバーの中で膨らんでしまいます。その場合は、バックアップ先のファイルで不要なファイルを、別な手段でアーカイブするか、整理して削除しています。


サーバー内部では、データを Linux の rsync で別メディア、別サーバーにコピーしています。


どうせ、古いファイルはいらないから不要なのであり、断捨離ついでにファイルも整理してしまいます。


新しいPCを購入した場合、必要なファイルだけをバックアップから、新しいモバイルノートPCにの容量の少ないストレージにコピーして使うようにして、できるだけ、バックアッ:プの負荷を減らすことにしています。




isLandcenter.jp





- Keyword -


クライアントPCのバックアップ、BCP、C:ドライブの分割、D:に保存、データだけバックアップ


]]> http://islandcnt.exblog.jp/237866370/ 2017-10-13T10:41:00+09:00 2017-10-13T14:25:58+09:00 2017-10-13T10:41:28+09:00 islandcenter プライベートクラウド

ipv6 は殺してしてしまえ。検疫システムの限界 - 今後のＩＴ資産管理
http://islandcnt.exblog.jp/17102590/


というブログを数年前に書いて、不正端末検出システム(IDS/IPS)の限界を探ってみました。


ま、大した反響もなかったンですが、最近、普段持ち運び用のPCがご臨終になったので、色々物色していました。何しろPCというのはスマートフォンやタブレット端末に向く「デジタルコンシューマー」のツールではなく、その中身を作る「デジタルクリエーター」のツールなのですね。少なくともオフィスにおいてはです。という事で何とか 13.3 Inch の「ちょっと重いけど」フルスペックの安物ノートを手に入れました。ところで、この種の「カバンPC」を探すうえで色々物色して問題となるのが、薄さと軽量化を求めるとオンボードで RJ45 のポートが標準装備というPCが中々手ごろなのがない、という事です。


- 脱着可能な Ethernet アダプタ -


でも「やっぱりNASの中に大量にある、馬鹿みたいにデカい映像や画像、資料からデジタルコンテンツとして、資料見ながら、文書から簡単な映像、プレゼンテーション資料、プログラミングまで、一つのコンテンツを作るなら有線接続だよね」という事になると、多くの 11.1 ～ 13.3 Inch モバイル系PCの多くは、有線LANポートを持っていません。無線アダプタはIDSなどの不正端末検出システムに正規の物として登録しても、速度面ではやっぱり 802.11ac 規格より、有利な有線で 1Gb ネットワークを使いたい、という事で USB TypeC 用の RJ45 変換プラグとかをホワイトリストに登録して使うわけですね。これ、簡単に脱着できるし、簡単に無くすし、別なPCに繋いでも、同じ MAC アドレス使っているのでDHCP環境では同じIP振られる可能性が高く、単に「未登録のPC」に不正使用していただく事もできるわけです。IPS の Arp Poisoning による不正端末検出、切断なんて全然使えません。


「あれ、オレのこのノート、ゲストは繋がんないねぇな」
「じゃぁこのアダプタで繋いでみたら？」
「あ、繋がるねぇ」


という事になります。何しろMACアドレスによる arp poisoning は PC 本体の情報ではなく、PCに半永久に実装されている Ethernet Port の MAC アドレスを登録することで、未登録のデバイスにアタックを与えて接続拒否をするからです。「脱着可能な Ethernet Adapter」なんて、「アウトオブ眼中」なのですね。


- テザリング端末 -


まぁ最近のスマートフォンってのは、普通にテザリング機能があるわけですね。当然 IDS にはスマートフォンが社内ネットワークにつながる時は Wireless デバイスの接続の許可／非許可を、システム担当者は IDS 内部に設定できるのですが、テザリングを有効にした後の、その先のタブレットだとか無許可ノートPCなんてのはチェックできない。


勿論、普段使いの BYOD スマートフォンは許可とって、従来型のエージェントレスの IDS/IPS に登録していたとしても、テザリングで「オレんちで使っていたオレのノートPC」も同じ手段で社内に接続ができてしまうのです。現在の普通のIDSシステムではこれを拒否る機能はまずなさそうです。そこで「My持ち込み無許可PC」を「許可付きスマートフォン」のテザリング機能で繋いでしまえば、いくらでもデータコピーができて風呂敷残業ができてしまいます。


- VPN接続 -


何やら「働き方改革」というのがキーワードになる近年、経営側だけのメリットを考えると無駄な残業代をカットしたり、オフィススペースの賃料を節約するために、狭いフリーアクセスフロアにして、経営側は成果、結果ではなく、時間でしか成果を評価できないクセに「ウチで仕事してもいいよ」という事が、どうもぶっ飛んだ企業では流行りになりそうです。当然、これも、IDS/IPS では検出できない。当然VPNで繋ぐにはそれなりの設定というのが必要なんだろうけど、普通は、VPN ゲートウェイのユーザIDとパスワードなんで、自宅で悪い事しているPCでもIDとパスワードを登録すれば、接続できてしまいます。


何しろ「働き方改革」は、与党の民衆への人気取り政策であり、「働くオフィスドレイの為の政策」ではないのです。何しろ多くのIDSで検知できるのはVPNサーバーの MAC アドレスだけ。当然、VPNの向こうの平和だったり、平和でもない家庭のネットワークなんぞ、知らんぞな、もし。という事なのですね。もし、そんなユーザにとっては当たり前の環境を検出できずに、繋がっちゃった場合、責任を取るのは結局「現場のネットワーク管理者の減点５」になるわけです。


-これからのIDS（不正侵入者検出、ブロック）の機能は-


やっぱり、接続可能なデバイスの「システム内部」の全てに何等かのエージェントをインストールして「マーキング」をして、マーキングがないデバイスは接続は許さんぞ、というシステムが必要なような気がします。これらは Windows, MacOS, iOS, Android, Linux など全てのシステムソフトウェアに対応している必要があり、システム管理者に対して「お前働くドレイなんだから、それインストールするのに八王子の山奥に住んでいるオレんちまで来て仕事しろ」というユーザがいるかも知れませんが、黙って高尾山の蕎麦屋のレシート確保してでもやるべき仕事かもしれません。


- やっぱりはびこるセキュリティ根性論 -


私はパスワード管理もウィルス対策も、基本は「根性論」であると考えています。システムとしていくつかの障壁を作ってみても、今あるIDSによる不正接続検出に限界がある以上、「やっていい事」「悪い事」はそれぞれユーザに教科する根性論が重要になります。「悪い事」を教えるのはシステムの穴を教えるようなモノなのですが、「やってもいい事」だけのリストではそれ以外は、グレーリストになるため、ブラックルールも明示し、それなりのペナルティを用意しておくことも必要だろうな、という根性論なのです。またグレーゾーンをどう探し出して、運用基準を定期的にアップデートするかのシステム運用側の「根性論」も重要でしょう。


--
という事で、「今考えられる働き方改革の障害となる不正アクセス検出方法」のホワイトリストに俄然と存在するブラックホールを幾つか考えてみました。単純な IP Poisoning によるIDS/IPS にはもう限界があり、それなりのシステム側の対策には様々な方法が見当たるのでしょうが、その都度、新たな投資を考えなければならないのです。




islandcenter.jp













]]> http://islandcnt.exblog.jp/237487153/ 2017-08-08T15:19:00+09:00 2021-01-24T18:36:15+09:00 2017-08-08T15:19:01+09:00 islandcenter プライベートクラウド

今でも考えられるケースで XEN を使うとしたら、


- XEN の Domain_U のカーネルを弄ってまで、他のハイパーバイザーに移行させたくない(これ結構大きい)
- BSD 系 Uinux や Soralis と言った、非 Linux カーネルの UNIX系 OSをハイパーバイザーやゲストOSでも使っている(トモダチになりたくないな)
- ハードウェアに仮想化支援機能(VT機能) がない機器とか i386 ベースのx86ハードウェアでも仮想環境を使いたい（エラク古いPCだ）
- Intel x86 系の CPUを使っていない(PPCやIA64)とか (見たことないけど、もっとトモダチにもなりたくないな) )


こういった「今更な理由」がない限り Linux に限れば XEN による準仮想化を積極的に選ぶ理由がなくなってしまったのです。


まぁ、もともと１０数年前に XEN 3.0 の登場とともに Intel=VT や AMD-V などの仮想化支援機能がハードウェアに実装されたと同時に XEN に「完全仮想化」というキラーな機能がついて、火が付いたと云えます。


と同時にこれらのVT機能の強化が続く中、普及と共にライバルの完全仮想化、６４ビット版のみの KVM ハイパーバイザーが台頭してきたわけです。何しろ完全仮想化は QEMU にオーバーヘッドを渡すわけで、同じ QEMU を使う KVM ハイパーバイザーとの共通化が進んでいるわけですね。


PR








ただし KVM ハイパーバイザーは当時としては主流だった VT 機能非搭載のPCサーバーや XEN を積極的に導入してきた非Linux 系の ISP やBSD系 Unix が主流の iDC の積極的な導入がなく、実績も少なかったので、まだまだ「開発中」といったイメージしかありませんでした。また、ハードウェアも仮想化を強く意識しないデュアルコアやクアッドコアがせいぜいでした。


しかし、VT機能というハードウェアの援護を受けて、KVM は一挙に広まっていった、という感じがあります。実際、XENで完全仮想化された Domain_U であれば、ほとんど仮想イメージを変更しないで KVM へ移植できてしまいます。何しろハイパーバイザーの補助をする QEMU という共通基盤があるため、XEN の完全仮想化はほとんど KVM との共通ワードとなっているわけですね。だから、 Linux On Linux の仮想化でも Full Virtual には、特に目立った機能の低下、スループットの低下はあまり感じなくなってきました。さらにはオクタコアやへクスコアなんていうハードウェアが、松竹梅の「竹程度」のサーバーに実装されると、ボトルネックはディスクI/O程度の問題になります。


SUSE 11.x の時代は XEN の全盛時代だったのですが、 SUSE では SLES12 以降、Libvirt の共通化により、オペレータは、自分が操作するハイパーバイザーが XEN なのか KVM なのか、強く意識しなくなりました。この原因は OpenStack の影響もあるでしょう。 SUSE は openstack に重点が移っているし、親会社の Microfocus も HPE のソフトウェア部門の買収に伴い、益々マルチベンダークラウドに力が入っていきそうです。


顧客も専用のハイパーバイザーと管理ツールによるベンダーロックインは避けたいところ。オンプレミスなクラウドと、iDC のプライバートクラウドと、AWS のようなパブリッククラウドとの間にあるマイグレーションを試みたい所です。まぁ日本のIT業界ではベンダーロックインというよりSI屋にロックインされているのですけどね。
SLES の仮想化コマンド自体も Libvirt の共用化によって、virsh コマンドにオプションの違いはあるにせよ、ほとんど xm, xl コマンドと同じ操作ができるようになってしまいました。こうなると、自分の操作するハイパーバイザーが XEN なのか KVM なのか、ほとんどオペレーターは意識する必要がなくなってしまいます。こうなると Citrix や VMware 専門のエンジニアのある種の閉鎖性が邪魔になってしまいそうです。


また openstack による統合管理を考えると、事業者におけるハイパーバイザーの一本化というのは避けて通れない（のかな）という事もあり、Linux + x86_64 主体のデータセンターでのハイパーバイザー運用は XEN ではなく KVM の一本化に進んでいくことになりそうです。


伝統的に XEN on BSD Unix などを使っていた iSP や iDC 事業者はさておき、数年後の新興サービスベンダーの若い技術者にとっては「XEN？何それ」化しそうな気がします。


PR　これも KVM








--
こうなると "XENserver" を名乗る CItrix の戦略はどうなるのよ、という疑問がふつふつとわいてきます。世の中、完全仮想化に向いている中、Linux や BSD 系の「サーバー」OSを XEN ハイパーバイザーで管理する、という商品イメージはだんだんとネガティブに見えてきます。いまや XEN というブランドが、重しとして Citrix に乗りかかっているのですね。「あぁ Citrix, 昔 XEN でブイブイ言っていたベンダーね」と「聞いたことあるよ」という日がいつか来るでしょう。いや、その頃はもうXEN app というプロプラエタリなアプリケーションの仮想化ベンダーとして特化する中，早まって XENsource を買収したCitrix も XEN というブランド名を捨ててしまうのかも知れません。


もともと、Windows NTx 系のオペレーティングシステムをマルチユーザ化した Windows Remote Desktop も Cytrix が開発に関わった機能であり、Metaframe や XEN App といった、Citrix 得意のシンクライアント機能に特化した企業として存続していくのだろうけれど、サーバー集約化を目指す Xenserver といった製品の他社ベンダーや openstack や docker との差別化できない機能は、よほどのことがない限り、「世界のクラウドの Citrix 」化することはなさそうです。



PR インフラエンジニアが知っておくべき仮想化技術








islandcenter.jp


















]]> http://islandcnt.exblog.jp/237271422/ 2017-07-22T12:58:00+09:00 2017-07-26T15:25:02+09:00 2017-07-22T12:58:20+09:00 islandcenter プライベートクラウド

うーむ。


じゃ私が求める仕事用ノートＰＣとは


1) Corei5 以上
2) 8Gb 以上のメモリ
3) 500Gb のハードディスク(SSDなら 256Gb 以上)
4) 有線用 RJ-45 コネクタ付き
5) 11 ～ 13 インチのスクリーンで縦は 1024 ドット以上
6) クルリポンの 2in1 でも USBメモリなど外部メディアで Linux が起動できる事 ,やっぱりクラムシェルがいい。
7) フットプリント A4以下で重さ 1.5Kg 以下
8) USB ポート３個程度
9) 外部 HDMI もしくは VGA ポート
10) 価格は 10万円を超えない程度（目標）
11) USB 外付けのポータブル光メディアデバイスは持っているし滅多に使わないからイラネ
12) 金属筐体と、ほぼ問題なく満足なブラインドタッチができる厚みのあるキーボード
13) 当たり前の BIOS パスワード ロック


と言ったところが、ＩＴインフラエンジニアである「私が欲しいビジネスに必要なノートブックＰＣ」です。


ところが、最近はあまりこのような仕様のＰＣが見当たらないンですね。


モバイル主体なら１３インチ、Ａ４モデルというと、紙っぺらみたいな１cm厚のノートが主流。勿論この厚さでは RJ-45 モジュラや、VGA ポートは問題外、しかも HDD ではなく　128Gb のSSD と４Gbのメモリという選択しか中々出てこないのですね。メモリとＳＳＤはマザー直付けで固定。カスタマイズなし。割とこのテのＰＣは筐体の作りがしっかりしているようですが、ちょっと物足りないスペック。薄さは魅力だけれど、重要じゃない。外部Ｉ／Ｏは USB Type-C のみ。これはあまりお客さんにもお勧めしませんね。持ち帰り自宅仕事を増やすだけ。


結局、「ノートPCの厚み」というのは、アダプタ類を実装し、大容量低価格のハードディスクを内蔵するためのメリットじゃないかと思います。その分、フットプリントは犠牲になっても構わない。


Type-C用のネットワークとかUSB増設アダプタあるじゃん、と思った貴方は鋭い。しかし、エンドユーザという「彼ら」の仕事はそう言った「小物を紛失する」のも仕事なのです。小物だけじゃなくって、ＰＣ本体だって、自宅の鍵すらヨッパラって３件目の飲み屋とか電車に置き忘れる。これは上からも、下からも IT部門へのブツブツ不満となって帰ってくるわけですね。


そう言った「カッチョええ」ＰＣは、自前でＢＹＯＤして、混んだ電車のシルバーシートにハードボイルドに気取ってバキッと大股おっ開げて座り込み、意味のない無線信号飛ばしまくって、キーボードをバシバシ叩いて、じーっと目をつぶっている両隣のジジババを起こしてクソ餓鬼の写真でも見せびらかすためにあるのですね。とてもじゃないけど、ビデオ編集なんてできない。


私はエンジニアですから、フリーの技術ライターがお勧めする様なＰＣでは物足りません。客先で Hyper-V 仮想化とか、SUSE Linux の USB 起動＋仮想化ハイパーバイザーブートが必要なので、ディスクの中身は仮想イメージだとか ISO なんかがごっちゃり入っています。必要であれば、出先の仮想環境でオペレーションマニュアル書いたりするので８Gbのメモリは必須です。そこまで酷使しなくても、８Ｇメモリは悲鳴を上げている。固定デスクトップは無条件に Linux サーバー化するので、ノートＰＣとは Windows のメインＰＣなのですね。


今のところ使っているのはマウスコンピューター製の 11.1 インチノートなのですが、ほぼこのスペックを満たしており、まぁは満足しています。が悲しいかな安物の二流国内メーカーで、プラ筐体なので、格安航空会社の格安チケットで出張中、モニタをゆっくり開いたらヒンジがバキリと音を立ててヒビが入りました。当然保証外。そこでほとんど自宅では、外部モニタが必須です。客先でもお借りすることがあります。電車の中でも安心して持ち運べる金属筐体が欲しい。やっぱりちょっと高いけど Dell とかレノボかな。パナとか東芝はちょっとお高く止まっている。VAIO はちょっと魅力。でもほぼコレというのは完全に２０万円台の竹コースです。


ノートPCはキーボードもポインティングデバイスもモニタも「替えが利かない」ので、できるだけ長期保証が欲しい所ですが、このあたりも Ｍ-ＰＣ さん、ノートＰＣのキーボードもモニタもポインティングデバイスも消耗品扱いするので、ちょっと保証がモノ頼りない。以前　DELLの「像が踏んでも無償交換修理」という無敵の Dell Inspiron か何か使っていた事があったのですが、ベッドで使っている最中、眠ってしまい、夢の中でエルボーアタックでモニタにピキッとヒビが入った時は、２～３日で無償修理してくれました。結局５年間使えました。 結局お得でしたね。


電池の持ちはあまり気にしません。せいぜいUPS替わりに２時間も使えれば結構。その代わりACアダプタは必携です。どうせカタログで７時間と言っても１年もしないうちに半分くらいまでヘタります。


なぜ、ビジネス用ＰＣに有線LANが必要かと言うと、「無線ほど信用できないモノはない」からです。接続の信頼性、スループット、スニッフィングの危険、気が付いたら「隣の家の無線を拝借していた事故」の防止。


この間もありましたけどね。有線無線両用している時にファイルサーバーとの接続がプチ切れる、ンで調べたら、隣のビルのコンビニからの電波がお客様が「拝借」して「お邪魔でぇーす」していたそうです。どうもゲスト用のパスワードなしのＳＳＩＤを捕まえてしまい、というトラブルです。勿論セキュリティもダダ漏れ状態。


ウチでも「激安アウトレット品」の Wifi ルータにヤラレタ事があります。DNS/DHCP は止められないし、デフォルトＧ／Ｗがインターネットルータになるので、ローカルLANのDNSを参照してくれないケースですね。こういったおバカ仕様だと当たり前ですが、無線／有線混在仕様だと、内部のシステムにアクセスできない事があり、ひどく怪しい動きをしてくれます。トンデモケースですが安物買いの銭失いですな。


それに最近はテザリングできるスマートフォンなんかあるわけで、カイシャにもどったら、さっき出先でテザリングしていたのを忘れて、ひたすら天井のアクセスポイントより全然近い、PCの隣で USB 充電中のスマートフォンとひたすら通信してたなんて話もよくあります、ってか私もよくやっちゃいます。


まぁ、昔、聞いたまじめな話。無線対応のプリンタが流行った頃、コンフィデンシャルな会議用ドキュメントをバキバキと印刷していたら、あれ、おかしい。ジャムったか、トナー切れか。とおもってトラブルを調べていたら、見知らぬカイシャから「おタクのカイシャのロゴが入った印刷物がゴッチョリ大量に出てきてウチのプリンタトナー使い切ったんだけど何とかしろ」とクレームが来たという。どうやら距離は結構そこそこに離れているんだが印刷した本人の席と問題のカイシャとの間にはガラス窓以外に遮蔽物がなく、「極秘文書」をジャンジャン他社に送り付けたらしい。総務が赤っ恥かいて謝罪にいったらしいけど、その後、その会社では無線の使用は厳禁になったとかならなかったとか。


ウソかホントか知らんけど似たトラブルはよく聞きます。「だからオフィスでは無線は使うなぁ、スイッチ切れぇ！」とお灸をすえてやりましたが.....


これから無料 Wifi スポットが増えるとそんなトラブルも良く出るんだろうなぁ。


有線が使えるなら、厚みやディスプレーのサイズにはこだわりません。まぁ肩が凝るほどの重量級ノートは遠慮しますが、かつては毎日、大型ノート２台持ちもしたくらいですからモニタサイズと重量はあまり気にしない。できれば電源は二個持ち、一個は固定使用、予備は持ち歩き用。ＡＣ電源アダプタとかディスプレーでも壊れりゃ、ただのウエイトトレーニングの用途にしかならないのがノートＰＣです。


確かにスマートフォンや、容量の少ない記憶装置は、クラウド主体のビジネスモバイルとしては充分かも知れません。が、この使い方はあくまでも、あくまでもシャドウＩＴ。ＩＴ部門の管理から外れた利用方法になるため、余分な機密データの持ち出しや、大量かつ巨大データの加工、生産には向いていません。例え、リアルタイムに常時接続したい、というニーズはタブレットやスマートフォンではお分かりの通り少ないンです。だからこれらのデバイスでは無線でも充分。しかしプロの生産活動にはやはり有線接続のＰＣは必要なのです。


また、多くのフリーランスやＩＴメディア編集部のＩＴライターさんが書くインプレッション記事は、新品状態の細かなスペックだとか、自宅兼オフィスの深夜の丑三つ時、静的環境で数台のＰＣやタブレットを使ってみての夏休みの感想文なのです。彼らフリーランスのＩＴライターは数百台のＰＣが存在し、巨大な画像ファイルや図面を使う、不動産業や金融業の資産調査に使うデジタルカメラのデータ、建設現場などの航空写真、書籍を作るための大量の図形や文書、巨大なビデオデータなど共有データを必要とする、現場の激務の中で仕事をするプロフェッショナルに必要なファイルサーバーなどの存在を気にする事はありません。


せいぜい「オフィス兼自宅」のＮＡＳと一対一で転送してスペックを記事にするだけです。そもそも 802.11ac ったって、チャネルあたり 443Mbps しか出ないのです。４チャンネル束ねて 1.6Gbps とかド派手にパッケージにコンジキでド派手に書かれているけど、普通は端末側は対１チャネルしかないのですね。無線だと、普通カタログスペックの３割しか出ないというし、輻輳したり、「１チャネルを皆ンなで共有」なんて事すると、ひと昔の３Ｇ回線並みのが普通になります。まぁ YouTube で「昨日の大相撲のこの一番」を見るのには困りませんがね。５分の動画ストリーミングでも、５分間ゆっくり転送しても困りません
早朝６時、たったあ２Gでえ９分とかありえない。
他はブチブチ切れるな。こりゃ朝飯の時間だ。
802.11n 54Mbs でこれだ。 32Mbitps = 8bit(1Bit) * 4MByte/S うーむ納得できる数字だ
条件いい時間帯なんだけどね。

無線じゃやっておれんぞ。RJ-45のモジュラが壊れているのでUSB 2.0 アダプタ経由でやってみる。それでも帯域はフルに使っている。そこそこだ。


そもそも端末側が 2.4Ghz 帯の 802.11n しか対応していなければ、まぁ「つながった！良かったね」そんな程度です。


ＩＴメディアが提供する記事は鵜呑みにすべきではない、これが現場が必要とするプロのエンドユーザ環境なのです。



実際のエンドユーザさんは私たちの様なＩＴバカではありません。業務の「その道に関してはプロ」なのです。ヘビーユーザーなんですね。60分の映像データでも10秒で共有ストレージにアップロードしなければならない。４００枚の高解像度のカメラの映像から使える画像をピックアップする。そんなプロのオフィスユースには、とてもじゃありませんが、無線はお勧めできない。みんな昼飯食いに行くしかない。


これもまた聞きなのですが、生産現場の ITエンジニアに、せいぜいオフィスとブラウザ程度しか使えないペラペラのノートPC配ってドメインのポリシーでロックダウンかけたという事でエラそーに言っていた営業出身の某経営者がいました。これでどーやって Linux のサポートするのよ、って渡された本人怒っていましたけどね。これなら紙とエンピツの方がよっぽどましだぞって。


環境は統一したいけど、現場にいかに適合した環境もまた検討できるかが勝負なのです。






islandcenter.jp


無線LAN　トラブル　有線接続　インターネット　接続できる　LANに接続できない　


]]> http://islandcnt.exblog.jp/237190698/ 2017-07-15T14:45:00+09:00 2019-07-28T16:18:46+09:00 2017-07-15T14:45:58+09:00 islandcenter プライベートクラウド

zabbix 2.x の導入はこんな感じでした。


SUSE Studio から Zabbix 管理ツールの導入
http://islandcnt.exblog.jp/17428351/


2019/7 現在最新の openSUSE Leap 15.1 に zabbix 4.2 をインストールする手順です。


How to setup zabbix4.2 on openSUSE Leap 15.1
https://islandcnt.exblog.jp/239366228/


Zabbix4.2 snmp デバイスのグラフを表示させるまで

https://islandcnt.exblog.jp/239378954/



[改訂3版]Zabbix統合監視実践入門



※ ソフトウェアアプライアンス版は、評価目的のチューニングですが、中小規模の数台のサーバーやルータ、スイッチなどのトラフィック管理など数十台のデバイス管理には、そこそこ使えます。より深く学び、システム管理が複雑で規模や問題が大きくなれば、それなりに Zabbux L.L.C の有償サポートを受けたパッケージの導入とトレーニングを受けてください。私としては、デバイスの異常なトラフィック増大を時系列で見えればよい程度なので、導入の敷居が低いzabbix のソフトウェアアプライアンス版は初めての方にはお勧めです。なお、 3.2 は LTS 版ではないのでそのつもりでトレーニングだと覚悟してください。


- ハイパーバイザーへの実装 -


Zabbix のダウンロードページから、 "KVM, Parallels, QEMU, USB stick, VirtualBox, Xen" 用イメージ (.raw1.6Gb) をダウンロードします。


Download
https://www.zabbix.com/download


Zabbix appliance Documets
https://www.zabbix.com/documentation/3.0/manual/appliance


*****.tar.gz を解凍すると 10Gb の仮想アプライアンスイメージが出来上がります。ubuntu のバージョンは /etc/os-release によると 14.04 でした。


これを virt-manager から Create Virtual Machine で実装します。機材の都合で XEN4.4 on SUSE SLES11sp4 です。



このバージョンは、 Ubuntu 14 は対応していないようですが、 Ubuntu(Other) で実装できました。
- Virtual : Full Virtual
- Name of VM :
- Hardware : 512Mb, 1Vcpu
- MAC : XEN source のヘッダに任意の３桁







これで OK を押すと、Zabbix 3.2 アプライアンスが起動できました。


Ubuntu のいやらしいroot でログインできないログインプロンプトです。





ダウンロードページにあるパスワードでログインします。


login : appliance
Password : zabbix





DHCPで IP をもらうので一応 ifconfig で IP を確認します。



これで SSH テキスト端末からログインできます。



ssh xx.xx.xx.xx -l appliance


sles11:/var/lib/xen/images/zabbix32 # ssh 192.168.1.xx -l appliance
Zabbix server Appliance (mysql)
appliance@192.168.1.55's password: **********
Last login: Fri Jul 14 10:30:35 2017
######## ### ######## ######## #### ## ##
## ## ## ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
## ## ## ######## ######## ## ###
## ######### ## ## ## ## ## ## ##
## ## ## ## ## ## ## ## ## ##
######## ## ## ######## ######## #### ## ##

appliance@zabbix:~$



IPを固定します。 /etc/network/interface を sudo vi で　DHCPから Static に編集します。（メンド臭い）
IP を指定して DNS, Default Gateway の設定をします。


appliance@zabbix:/etc$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).


# The loopback network interface
auto lo
iface lo inet loopback


# The primary network interface
auto eth0
#iface eth0 inet dhcp <--- コメントアウト
iface eth0 inet static <--- 追加


address 192.168.1.220 <--- 追加
netmask 255.255.255.0 <--- 追加
gateway 192.168.1.1 <--- 追加
dns-nameservers 192.168.1.2 <--- 追加


/etc/resolv.conf を書き換えます。（メンド臭い）


appliance@zabbix:/etc$ cat resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.1.2 <--- 追加
nameserver 192.168.1.3 <--- 追加
search intra <--- 追加


でネットワークの再起動（メンド臭いしミスタイプしやすい）


appliance@zabbix:/etc$ sudo ifdown eth0 && sudo ifup eth0
[sudo] password for appliance: *********
appliance@zabbix:/etc$ ping www.yahoo.co.jp
PING edge.g.yimg.jp (183.79.248.252) 56(84) bytes of data.
64 bytes from 183.79.248.252: icmp_seq=1 ttl=52 time=90.6 ms
64 bytes from 183.79.248.252: icmp_seq=2 ttl=52 time=97.3 ms


--- edge.g.yimg.jp ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 90.698/94.024/97.350/3.326 ms
appliance@zabbix:/etc$









という事でブラウザから http://ip_or_DNS_address/zabbix へ Admin/zabbix のデフォルトでログインします。





で、色々弄って、date すると UTC 表示でした...... ubuntu の場合、謎のオマジナイがあるのでシステム時刻を JSTに変更します。



appliance@zabbix:/etc$ sudo dpkg-reconfigure tzdata
[sudo] password for appliance: *********


こんな UI が出てくるので Asia > Tokyo を選び OK します。







appliance@zabbix:~$ date
Sat Jul 15 00:29:36 JST 2017
appliance@zabbix:~$


無事、システムの時刻表示は UTC から JST になりました。しかし、Zabbix の UI で表示される、グラフやイベントは UTC のままです。一体どこで変えるんでしょうね。


/etc/php5/apache/php.ini を sudo vi で変更しました。


appliance@zabbix:/etc/php5/apache2$ sudo vi php.ini
appliance@zabbix:/etc/php5/apache2$ ....: 編集中 .....
appliance@zabbix:/etc/php5/apache2$ cat php.ini | grep timezone
; Defines the default timezone used by the date functions
; http://php.net/date.timezone
;date.timezone =
date.timezone = Asia/Tokyo
appliance@zabbix:/etc/php5/apache2$


zabbix-server と apache2 をリスタートさせましたが
何故か６時間、表示が遅れています（謎）


※謎解決　タイムゾーンを JST に


/etc/apache2/conf-available/zabbix.conf に Timezone の設定があるのでこれを突いたら治りました。



appliance@zabbix:/etc/apache2/conf-available$ ls -al
total 36
drwxr-xr-x 2 root root 4096 Aug 7 17:53 .
drwxr-xr-x 8 root root 4096 Jul 28 06:43 ..
-rw-r--r-- 1 root root 315 Jan 3 2014 charset.conf
-rw-r--r-- 1 root root 3224 Jan 3 2014 localized-error-pages.conf
-rw-r--r-- 1 root root 189 Jan 3 2014 other-vhosts-access-log.conf
-rw-r--r-- 1 root root 2190 Jan 3 2014 security.conf
-rw-r--r-- 1 root root 455 Jan 7 2014 serve-cgi-bin.conf
-rw-r--r-- 1 root root 1582 Aug 7 17:53 zabbix.conf
-rw-r--r-- 1 root root 1583 Aug 7 17:52 zabbix.conf.org
appliance@zabbix:/etc/apache2/conf-available$ cat zabbix.conf | grep timezone
php_value date.timezone Asia/Tokyo
php_value date.timezone Asia/Tokyo
appliance@zabbix:/etc/apache2/conf-available$



マニュアルはちゃんと読めよという事ですね。
https://www.zabbix.com/documentation/3.0/manual/appliance



- NTP をインストールして設定 -


NTP が入っていないので、インストールします。ハードウェアクロックは仮想環境では時刻狂いを起こします。


sudo apt-get で ntp を Install します。


appliance@zabbix:/etc$ sudo apt-get install ntp
[sudo] password for appliance:
Sorry, try again.　あちゃーメンドクサイ
[sudo] password for appliance:
Reading package lists... Done
Building dependency tree
Reading state information... Done


　: 中略して誤魔かしの美....


appliance@zabbix:/etc$




/etc/ntp.conf を外部ソースから、LAN内の NTP ソースに変更します。


# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.
#server 0.ubuntu.pool.ntp.org <--- コメントアウト
#server 1.ubuntu.pool.ntp.org <--- コメントアウト
#server 2.ubuntu.pool.ntp.org <--- コメントアウト
#server 3.ubuntu.pool.ntp.org <--- コメントアウト
server ntp1.intra <--- 追加
server ntp2.intra <--- 追加


とここまで３時間の作業でした。SUSE なら、yast 一発で２０分で終わるんだけどなぁ。


Install on openSUSE / SLES
https://www.zabbix.org/wiki/Install_on_openSUSE_/_SLES


あとは Configuration > Hosts から、smnp エージェントを実装したデバイスを登録して行くだけです。


- 対象ホストが snmp を返すか調べる snmpwalk -


監視対象ホストが SNMP に反応するかどうかは snmpwalk を使いますが、このアプライアンスにはデフォルトでは入っていないので、SUSE なら YaST で一発の所、Ubuntu 版では、テキストコンソールからキーボードと闘いオマジナイを唱える必要があります。くれぐれも綴りを間違えないように..... アチャーなトラップが待っています。


appliance@zabbix:~$ sudo apt-get install snmpd
Reading package lists... Done
Building dependency tree
Reading state information... Done
snmpd is already the newest version.
snmpd set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 19 not upgraded.
appliance@zabbix:~$ snmpwalk　<---- snmpd だけじゃダメポ.......
-bash: snmpwalk: command not found
appliance@zabbix:~$ sudo apt-get install snmp <--- このパッケージが必要なようです。
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
snmp
0 upgraded, 1 newly installed, 0 to remove and 19 not upgraded.
Need to get 146 kB of archives.
After this operation, 554 kB of additional disk space will be used.
Get:1 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main snmp amd64 5.7.2~dfsg-8.1ubuntu3.2 [146 kB]
Fetched 146 kB in 3s (41.1 kB/s)
Selecting previously unselected package snmp.
(Reading database ... 52441 files and directories currently installed.)
Preparing to unpack .../snmp_5.7.2~dfsg-8.1ubuntu3.2_amd64.deb ...
Unpacking snmp (5.7.2~dfsg-8.1ubuntu3.2) ...
Setting up snmp (5.7.2~dfsg-8.1ubuntu3.2) ...
appliance@zabbix:~$
appliance@zabbix:~$
appliance@zabbix:~$ snmpwalk -v2c -c public 192.168.1.239 .1.3.6.1.2.1.1
iso.3.6.1.2.1.1.1.0 = STRING: "Linux abianca 3.0.101-63-xen #1 SMP Tue Jun 23 16:02:31 UTC 2015 (4b89d0c) x86_64"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.8072.3.2.10
iso.3.6.1.2.1.1.3.0 = Timeticks: (44081742) 5 days, 2:26:57.42
iso.3.6.1.2.1.1.4.0 = STRING: "Administrator <postmaster@example.com>"
iso.3.6.1.2.1.1.5.0 = STRING: "abianca"
iso.3.6.1.2.1.1.6.0 = STRING: "Right here, right now."
iso.3.6.1.2.1.1.7.0 = INTEGER: 76
iso.3.6.1.2.1.1.8.0 = Timeticks: (47) 0:00:00.47
iso.3.6.1.2.1.1.9.1.2.1 = OID: iso.3.6.1.6.3.10.3.1.1
iso.3.6.1.2.1.1.9.1.2.2 = OID: iso.3.6.1.6.3.11.3.1.1
iso.3.6.1.2.1.1.9.1.2.3 = OID: iso.3.6.1.6.3.15.2.1.1
iso.3.6.1.2.1.1.9.1.2.4 = OID: iso.3.6.1.6.3.1
iso.3.6.1.2.1.1.9.1.2.5 = OID: iso.3.6.1.2.1.49
iso.3.6.1.2.1.1.9.1.2.6 = OID: iso.3.6.1.2.1.4
iso.3.6.1.2.1.1.9.1.2.7 = OID: iso.3.6.1.2.1.50
iso.3.6.1.2.1.1.9.1.2.8 = OID: iso.3.6.1.6.3.16.2.2.1
iso.3.6.1.2.1.1.9.1.3.1 = STRING: "The SNMP Management Architecture MIB."


　:　中略


iso.3.6.1.2.1.1.9.1.4.8 = Timeticks: (47) 0:00:00.47
appliance@zabbix:~$ <----- うまく帰ってきたようです。


こんなに使いづらい Ubuntu 大好きって人はよっぽどマゾなんだろうなぁ。



[改訂3版]Zabbix統合監視実践入門







islandcenter.jp









-Key Word-


Zabbbix 3.2 仮想アプライアンス XEN KVM 評価　導入　練習台 無償で始めるネットワーク管理



]]> http://islandcnt.exblog.jp/237154227/ 2017-07-10T18:08:00+09:00 2023-10-04T10:26:02+09:00 2017-07-10T18:08:57+09:00 islandcenter プライベートクラウド

Gigazine


Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/#


"WannaCryは「MS17-010」で報告されている、Microsoft Windows SMB サーバーというWindowsのファイル共有システムの脆弱性を利用して広がりましたが"



Gigazine のこの記事によると、 wannacry については Windows XP に感染する前にブルースクリーンになり拡散に失敗するケースが多く、 Windows10 では比較的被害が少ないし、Windows8x 系はそもそもサンプルが少ないので、実際に感染したコンピューターは Windows7 の SMB なんだろうなぁ、という事がぼんやりと気になっていました。


そこで SMB のバージョンについて調べてみました。まぁまぁ良く整理されている記事がこちら。


第7回　ファイル共有プロトコルSMBの概要
http://www.atmarkit.co.jp/ait/articles/1507/02/news026.html#


そこで wannacry に関する情報を探ると出てくる出てくる。Windows サーバーから、おなじみの samba も影響があるのですね。




- 一番初めに試した対策 -


ほとんどどこでも言及している「SMB 1.0/CIFS のファイル共有のサポート」 デフォルト・イネーブルを削除してみました。


ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.techet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/


「コントロールパネル」＞「プログラムと機能」＞ 「Windows の機能の有効化または無効化」から "SMB 1.0/CIFS ファイル共有のサポート"のチェックを外します。後は「再起動しろ」と言ってくるので、再起動します。すごく再起動に時間がかかります。



再起動すると見事に samba サーバーが「ネットワーク」から消えました。\\IP\Share_name でアクセスもできません。



全滅


です。


という事でこいつ(SMB1.0/CIFS .....)は元にもどす事になりました。つまりはこれも拡散を防ぐための一時的な対策に過ぎません。


- samba サーバー側で対応してみる -


CVE-2017-7494.html:
https://www.samba.org/samba/security/CVE-2017-7494.html
によると



==========
Workaround
==========


Add the parameter:


nt pipe support = no


to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.


という事だそうです。


smb.conf — Samba の設定ファイル
http://www.samba.gr.jp/project/translation/4.0/htmldocs/manpages/smb.conf.5.html
によると


nt pipe support (G)


この真偽値パラメーターにより、 smbd(8) が Windows NT のクライアントに対して、 Windows NT の SMB 固有の IPC$ パイプへの接続を許可するかどうかが制御される。 これは開発者のデバッグオプションであり、意識する必要はない。


既定値: nt pipe support = yes




”意識する必要はない ”とはありますので、とりあえず 手元の SUSE Linux SLES11 で設定してみます。


yast(or yast2) > Network Service > Samba の Identity タブの Advanced Setting からこの Expert Global Settings を書き換えます。





Add ボタンで "nt pipe support" にチェック（デフォルト）が入っているので、このチェックを外すと smb.conf が書き換えられます。この状態で yast でOKすると samba が再起動します。





ところが





見事にアクセスが拒否られます。また Windows7 とサンドボックスの Windows XP も見事アクセスが拒否されました。
つまり


nt pipe support = no


パラメータはあくまでも一時的なものであり、根本解決には至りません。


という事で SUSE から出ているパッチを探してみました。これの様です。


- SUSE のパッチ -


CVE-2017-7494
https://www.suse.com/security/cve/CVE-2017-7494/#


結構メンド臭そう。やっぱり公式リポジトリからセキュリティ系のアップデートを全部パッチするのが正解の様です。


怖いのは、Linux のディストリビューション各社はパッチをだしているのですが、よく国道沿いのディスカウントショップで「家族計画用品」の隣で売られているご家庭製品専門のメーカーで出しているような、「なんちゃって我が家のNAS」みたいなものがパッチを出していなかったり、当てるのも面倒だったり、そもそも wannacry に対策しているかどうかもわからないところですね。




ということで


第一段階


SMB1.1/CIFS の利用をやめて Samba や NAS の使用を停止して、エンドユーザに総スカンを食らう
その間にパッチを全部確認する。


第二段階


手に入る限りの Windows パッチ、Samba パッチを当てまくり、リブートしまくり、ついでにあちこちでトラブルが出て、みんなに総スカンを食らう。


第三段階


PCを「安全性が高い」とマイクロソフトが豪語する Windows10 と Windows 2016 Server にリプレースして、SMB3.11 にアップデートして samba も 4.x にアップデートして SMB3.x のみサポートして、動かないアプリケーション続出しまくり、繋がらない古いPCユーザから総スカンを食らい、金をかけた効果はあったのかと経営者に詰問されて、辞表を書く。


というのが対策の手順となりそうです。






大病院で起きた大規模サイバーテロ：閉塞網が作る慢心が産んだ惨事









islandcenter.jp




- Keyword-


wannacry, 対策, Windows10, Windows7, samba, SMB, CIFS, Linux, 脆弱性




]]> http://islandcnt.exblog.jp/237099978/ 2017-06-16T15:20:00+09:00 2017-06-18T12:09:00+09:00 2017-06-16T15:20:30+09:00 islandcenter プライベートクラウド


ローカルネットワークから、Squid プロクシ経由でインターネット接続している場合、 Windows Update Service 3.0 (WSUS) サーバからアップデートできない。この現象は Windows7 環境では発生せず Windows10 以降(具体的には 1607以降)のバージョンで発生する。


Windows 10 / Windows Server 2016 を含め、プロキシ サーバーを介して Windows Update サイトへアクセスした際に、更新プログラムの検出が通信エラー (0x80240030 / 0x80072efe / 0x80244022 / 0x80072EFD / 0x80072EE2 等) でうまくいかない、あるいは更新プログラムのダウンロードが通信エラー (0x80072ee7 / 0x8024402c 等) で進まないといったお問い合わせをいただくことがございます。


プロキシ サーバー経由での Windows Update へのアクセスについて
https://blogs.technet.microsoft.com/jpwsus/2017/05/17/proxy-settings/


また、WinHTTP に対してプロキシ サーバーが適切に設定されているかをご確認ください。


-------



「ナヌ！ WinHTTP って聞いたことないぞな？」


と、どうやらインターネットマーケットで一般的な Squid などのプロクシ経由では、「WinHTTP という、我等大変困惑独善非標準的詳細非公開的謎通信網」はエラーになってしまうようですね。つまり、WSUS は HTTP(s) 80,443 ポートを使うにも関わらず、一般的な HTTP(s) ではなく WinHTTP というレッドチャイナ並の特殊で非公開な極秘な通信するという事なのですね。（はじめて知った......）


「うちは、ほぼ世界標準の Squid プロクシなんだけどなぁ.....」


という場合、例外リストに明示的にプロクシの設定から WSUS サーバーを除外する必要があるようです。


- 対策 -


ローカルLAN内に Squid などの Proxy がある場合、コントロールパネル ＞ インターネットオプション > 「接続」タブ > プロキシサーバー > 「詳細設定」ボタンから「例外」リストに


"*.mylocalzone.mycompany.com;" のローカルゾーンか WSUS の、生IP アドレス(192.168.1.xx;)などをセミコロン区切りで明示的に追加します。




どうも Windows10 Version 1607 あたりから、WSUS の挙動がおかしくなったナとは思っていました。この場合、単純なＬＡＮ内部のプロキシキャッシュなので、月のモノのWindows Update をする場合、一時的にプロクシを外せばいいのですが、Windows10 1607 以降、Windows Update ってやたらと時間がかかるじゃないですか。その間、色々モンダイがあるわけですよ。まぁ、このケースではこれで「一応」解決できていますが。


例えば、 Windows Update の「更新プログラムのチェック」をしても、全部アップデートできない。その様なときは "オンラインで Microsoft Update から更新プログラムを確認します"をクリックすると "ご本尊" からのアップデートを更新して、 WSUS にアップデートがキャッシュされるようです。最初の１台目でキャッシュすると、以降はイントラネットの WSUS からアップデートを "ダウンロード"だけはしてくれるので、２台目以降は、 WSUS から、文字通り "Windows Update Service" のキャッシュが参照されて、ピピッと、"ダウンロードだけは" 行われます。もっともその後の「更新のインストール」だけは、ユーザさんには、朝のコーヒー飲んで、ついでにトイレにでも行ってＰＣの性能次第で「まったり待つ」必要があります。

もっとも、Windows Update の”状態の更新”は、深夜に行われるようスケジュールされるので、実際の現場では "朝イチバン"に、パッチの適用と、 WSUS への通知が行くようです。月モノによっては二度のリブートが必要なケースもあるので、翌日もう一度"リブートしろ"と出るケースもあります。ユーザさんは待ち時間でゆっくりトイレで××コ「していても、インフラ担当者は、漏れそうでも「そんなヒマねぇよ」という我慢の時間帯です。


まぁこれも給料の一部だとおもって、諦めてください。あらかじめ総務にお願いして Windows Update を 「承認」した、翌数日間は、役員用トイレも解放しておくようお願いするのもイイかも。



でも、同時にWSUS 上にも正しく更新された情報が伝わるようで、WSUS の登録されたＰＣの全てが数日後に 100% パッチ完了となります。やれやれ......



山市良のうぃんどうず日記（97）：進まないWindows Update、やっぱり止まっていなかった

http://www.atmarkit.co.jp/ait/articles/1706/13/news016.html




--


でセキュリティアプライアンスや、チャイニーズ製グレートファイアウォールなどが導入されている環境の場合、


Windows Update / Microsoft Update の接続先 URL について
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/


によると、2017/2 現在....


http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://download.microsoft.com
https://*.update.microsoft.com
http://*.update.microsoft.com
https://update.microsoft.com
http://update.microsoft.com
http://*.windowsupdate.com
http://*.windowsupdate.microsoft.com
http://windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://ntservicepack.microsoft.com
http://wustat.windows.com
—————————-
※Windows 10 の配信の最適化を使用するためには以下の URL も併せて通信を許可するように設定ください。
—————————-
*.download.windowsupdate.com
*.au.windowsupdate.com
*.tlu.dl.delivery.mp.microsoft.com


の全てを、プロクシキャッシュなどの、セキュリティアプライアンスを使う経路から除外しろ、という事になりますね。これらを除外リストにズラズラと Windows10 の場合(;) セミコロンで区切って羅列します。（それも全部）


コピペ用に書いてみましたが、プロクシがある環境では、例外リストを「こうしろ」という事ですかね。間違っていたらご指摘下さい。
------ここから
*.download.windowsupdate.com;*.download.windowsupdate.com;*.download.microsoft.com;*.update.microsoft.com;*.windowsupdate.com;*.windowsupdate.microsoft.com;*.ntservicepack.microsoft.com;*.wustat.windows.com;*.download.windowsupdate.com;*.au.windowsupdate.com;*.tlu.dl.delivery.mp.microsoft.com;

ここまで-----


ちなみに



Windows Update / Microsoft Update サイトへの接続先 URL は不定期に変更されることがございますので変更が生じた際は本ブログも更新いたします。



とあるので要チェックです。（つまり予期なく変更ということで.... はぁ?）


セキュリティアプライアンスなどの設定も要注意ということになります。あるいは "WinHTTP という謎” を克服するか。



どうも


netsh winhttp set proxy proxy-server=


というインディジョーンズも解読できない呪文を管理者モードで実行せよというのもありです。


これで謎の WinHTTP も強制的に、システムプロクシの設定に合わせてしまうようです。世間一般および新華社通信によると、どうもこのコマンドはプロクシを使う環境では香港土産の謎の萬金丹のように良く効くようです。


プロキシ サーバーを使用する環境にて Windows Update を実行すると通信エラーが発生する
https://support.microsoft.com/ja-jp/help/2894304


じゃ、トランスペアレントプロクシだとかセキュリティアプライアンスがインターネット接続のトポロジのグレートファイアウォールにある場合はどーなるンでしょうね。ウチの環境の場合 WSUS サーバーも LAN内にあるので、WSUS 自体も Squid Proxy を使う事(なぜか問題ない)になるので、とりあえずは問題解決ですが、トランスペアレントプロクシがグレートファイアウォールを作って、そこから経由して WSUS がローカルで構築していない環境では、ちょっと困ったモンダイになりそうな悪寒です。



また必ずしも、全て WSUS 3.0 経由では当たらない「累積パッチ」もあるようです。この問題は Windows2012r2 標準の WSUS 4.0 で解決しているかどうかはわかりませんが....やっぱりこれも謎の呪文を唱える必要があるようです。


Windows Update で通信系のエラーが出た場合、近所のセブンイレブンとかの無料、暗号化なし Wifi フリースポットへ走って（あるいはＰＣをかついで）アップデートし、ついでにウィルスクサいメールをかたっぱしから開きまくって、アンチウィルスが正しく動作しているかどうかテストしたり、銀行振込してパスワードダダ漏れさせてみる、のもヒマつぶしには面白いかもしれません。


Squid 本家の次の文書も見つけましたが、情報が古くて全然アテにならないようです。どうやら "Windows そのものの問題” と捉えているようなので、あの謎の萬金丹のコマンドを使え、という見解のようです。


How do I make Windows Updates cache?
http://wiki.squid-cache.org/SquidFaq/WindowsUpdate




全く、Windows10 anniversary Update 以降の Windows Update はどうも問題が謎な部分が多くあります。中国製かと思われるぐらい不可思議.....
Windows7 時代に構築して問題なかった WSUS の運用方法も Windows10 時代では適応できないようです。





-その他の記事-


Windows 2008R2 で作る WSUS 3.0 sp2 Windows Update Server

http://islandcnt.exblog.jp/17494887/


WSUS のディスク容量がピンチ！空き容量を一挙に増やすには

http://islandcnt.exblog.jp/23294901/


Windows Update Service(WSUS) の日常の運用

http://islandcnt.exblog.jp/19161699/



Windows10の Windows Update はデフォルトで使ってはいけない。

http://islandcnt.exblog.jp/21708236/







※言い訳：すみません、いつも「串」って言ってるんで「風呂串＝プロクシ」と読ンじゃう私はやっぱり古いタイプなのです。世間では「風呂岸」なんですね。



islandcenter.jp







Windows10 WSUS 3.0 Windows Update Error Squid Proxy キャッシュ、キャッシュアプライアンス、プロクシ、プロキシ、




]]> http://islandcnt.exblog.jp/23294901/ 2016-10-17T17:20:00+09:00 2020-07-22T17:34:26+09:00 2016-10-17T17:20:40+09:00 islandcenter プライベートクラウド

2016/10 より、Windows Update のポリシーが変わったせいでしょうか、急に WSUS の容量が爆発的にふえてしまったのです。



WSUSを長年運用していると、

1) インストール済のパッチの拒否
2) クリーンアップウィザード
3) WSUS 自身のアップデート
4) 同期
5) 世間のパッチの不具合の話題をチェックしてインストールの承認
6) パッチのダウンロードと配信


という流れが出来てきます。これで毎月運用していれば WSUS の使用ディスク容量なんて２０Gから３０G程度で落ち着いてくれます。


ところが、ある日、クリーンアップウィザードを実施しても、全然キャッシュが消えないという不思議な現象に出くわしました。WSUS ピンチです。40G確保したD:ドライブを dd コマンドで４Gほど増やしてみて（当然仮想化運用です）も、キャッシュドライブは、大泉洋が作るスパゲッティみたいに膨れ上がる一方です。

ということで、WSUS の空き容量を緊急に確保する緊急手段です。


Windows Update Service > 「オプション」 > 「更新ファイルと更新言語」を開きます。




「更新ファイルをローカルに保存せず Microsoft Update からインストール」をチェックして「適用」します。
これで、キャッシュされたアップデートが削除が指示されるので、（その間「OK」ボタンがグレーアウトします。５分待ってください）その後、クリーンアップウィザードを使って、キャッシュのクリーンアップを行います。
空き容量が増えたら「更新ファイルをローカルに保存する」のチェックを入れてOKボタンを押します。次のパッチ配信から、ローカルネットワークにキャッシュされます。
ギリギリだった容量が一挙に回復しました。

Windows は 2016/10 より、パッチのリリース方法が変わりました。2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点
これで、WSUS のキャッシュが「ふえるワカメ」になるという記述はありませんが、 WSUS の運用方法に影響が出ることは予測していました。やっぱり、運用は変わりますね。
-ただ今４０Ｇｂダウンロード中-
どこまで増えるんだ？ 4G のＯＳパッチがその１０倍もあるなんて .....!　という事でこの話はまだ続きます。
やっと終わった４０Ｇｂ、Windows 7, 10/ 10amv Upadte の三つのパッチだけで、本体の３倍のパッチ。これえ４０Ｇｂってどういう事よ。
-ダウンロードの取り消しと拒否-
それでもダウンロードが止まらない。という事で、「ダウンロードの取り消し」をやってみました。「全ての更新プログラム」の中で「タイトル」の左にある白の「！」アイコンを押して、ソートして、配信しなければならないパッチのみ黄色の「！」マークをリストします。
配布が不要な無印の更新プログラムの残骸が「拒否、未インストール」でゴッソリ残っています。
この黄色の「！」マーク以外の拒否したリストをShift キーを押しながら選択(やっちゃった後の「キャプチャ」なんでね....)、右ボタンから「ダウンロードの取り消し」と「拒否」を行います。（下の図では！マークを選んでいますが...）その後、クリーンアップウィザードでディスクをクリーンアップすると、見事にダウンロードの嵐が止み、ディスク容量も回復することが出来ました。
Windows10 のKB3197356には気を付けろ。Edge のパッチだけで 700Mb あるぞ、という事らしいです。このパッチが配布された後は、小康状態です。良かったみたいです。





WindowsServer2019
パーフェクトマスター


OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)
https://islandcnt.exblog.jp/238412872/

フォルダの容量制限付きアーカイブ専用ファイルサーバー：サーバーをゴミ箱にしない工夫
https://islandcnt.exblog.jp/238371771/

クライアントPCのBCP対策 D:ドライブにドキュメントを保管・バックアップ
https://islandcnt.exblog.jp/238911684/

SUSE linux15 virt-manager が起動できない
https://islandcnt.exblog.jp/239299263/

クラウド時代のサイバーテポドン Windows Update の回線帯域を確保
https://islandcnt.exblog.jp/239787249/





BUFFALO 
IPsec対応 VPNルーター
VR-S1000


精密ドライバーセット
104種ビット 
 特殊ドライバーセット
 多機能ツールキット


iClever 折りたたみ Bluetooth キーボード 
ワイヤレスキーボード 充電式 
iPhone/iPad/Andriod 対応




isLandcenter.jp
-Keyword-
WSUS 3.0 ディスクが満杯　アップデートの削除　ディスクの節約　容量不足　空き容量　




]]> http://islandcnt.exblog.jp/23267387/ 2016-10-06T10:49:00+09:00 2019-07-31T06:01:49+09:00 2016-10-06T10:48:22+09:00 islandcenter プライベートクラウド

超高速通信10Gイーサネット環境導入に最適！全ポートが10GBASE-Tに対応したメタル筺体スイッチングハブを発売



この手のデバイスはチップメーカーが出し始めると、別ブランドでも同じチップを使ったより低価格のモノが出てくるものです。１ポート 12,000 円台と言うのは完全に普及価格帯ですね。もっとも使われるのは小規模なデータセンターやサーバールームの iSCSI NAS との接続だったり、バックアップデバイスとの接続に限られてしまうのでしょうが、光ファイバーより遥かに取り扱いが容易なので、仮想環境下でのサーバー : ストレージ間の接続には有力な選択肢となります。





スイッチングハブ 10ギガビット対応 8ポート 金属筺体 EHB-UT2A08F






Nbase-T(802.3bz) はどうなる。


Cat5e ケーブルで 2.5Gbps や 5Gbps で通信できるマルチギガビットネットワークはどうなる？　たぶん普及しないだろう。というより、高性能な HUB, NIC が 802.3bz に対応したポートが付いていれば、１Gでも１０Gでもなく、ネゴシエーションの結果 2.5Gbps で繋がっちゃった、という結果になるのでしょうね。まだ対応した NIC や HUB がなく 10Gbps が使えるようになれば Wifi のボトルネックは吸収されてしまうから、2.5G/5G のケーブルインフラの問題だけとなります。幹線の 10Gbps 化が進めば、2.5/5G の速度はフロアの配線インフラを有効に使いたいという出番だけでしょう。元々 10Gbps はそれなりに普及する以前の段階で標準化が進んでいるわけです。


--
とにかく驚きなのは、ネットワークの専用機器メーカーではなく、エレコムという周辺機器メーカーから 10GbaseT HUB が出たことです。他の周辺機器メーカーでも同様な製品が続々とでてくるのではないでしょうか。


isLandcenter.jp



]]> http://islandcnt.exblog.jp/22998137/ 2016-07-15T13:26:00+09:00 2016-07-15T13:29:17+09:00 2016-07-15T13:26:02+09:00 islandcenter プライベートクラウド


D-Link、低価格の10GBASE-T対応レイヤ2スイッチ2製品
http://cloud.watch.impress.co.jp/docs/news/1009629.html




　今回提供されるのは、100／1000／10GBASE-Tを8ポート搭載する「DXS-1100-10TS」と、同12ポート搭載する「DXS-1100-16TC」の2製品。前者はそれ以外にSFP＋スロットを2基、後者はSFP+スロットを2基、100／1000／10GBASE-TとSFP+のコンボスロットを2基備えている。


　価格（税別）は、DXS-1100-10TSが18万8000円、DXS-1100-16TCが29万8000円。


仕様など詳細はこちら
http://www.dlink-jp.com/series/dxs-1100#series_feature


この価格帯の 10Gbase-T HUB は長いこと NetGear の独壇場だったのですが、他からこの価格帯の製品がなかなか出なかった。


山が動くっ！　10GbE　安価なHUB登場　ネットギア　XS708E
http://oliospec.ldblog.jp/archives/25067189.html


NetGear と違うのはレイヤ２でしかも SNMP マネージ機能がついている事。Zabbix の様なオープンソースの監視ソフトウェアで SNMP 管理すれば 10GbaseT の実力だとか、ポート単位で実効速度なんかをグラフのイメージでも把握できるわけです。やっぱり 10GbaseT は必要だよね、とかこのストレージは 1Gbase-T でも十分じゃんとか、中々イメージできないものです。


PCサーバー本体や、SANストレージには 10Gbase-T のポートは比較的安価に増設できたのですが、中々 HUB が出てこないのは、１Uラックでは廃熱や電源などの問題があったようなのですが、こうして低価格の 10Gbase-T の HUB が出てくる事は、小規模ネットワークのプライベートクラウド化のボトルネックだった、ストレージアクセスが解消されるわけです。


何より、ストレージ系のバックボーンを安心してSAN化できるのはいいことです。


isLandcenter.jp









-KeyWord-


プライベートクラウド SAN 10Baseu-T HUB ストレージボトルネック　仮想化
]]> http://islandcnt.exblog.jp/22984314/ 2016-07-11T10:44:00+09:00 2016-07-15T09:00:05+09:00 2016-07-11T10:44:56+09:00 islandcenter プライベートクラウド

値上げされた「Evernote」　ユーザーは他サービスに移行すべき？



クラウドのフリーミアムモデルの後退です。Evernote ユーザは牧草地帯、クラウドノートの草刈り場となるのでしょうか。


- フリーミアムのコントロール -


クリス・アンダーソンの著書「フリー」では、１０％のプレミアムユーザがフリーミアムの理想である、と”フリー”の中で書いています。Evernote のビジネスモデルでは、予想されたプレミアムユーザよりフリーユーザである分母が多すぎた、という事になります。無料のベーシック版が２台までというのはすごく微妙でポイントを付いた数字ですね。分母を減らしてでも運用コストを下げるか、プレミアム（プライム）ユーザから費用をとれるかのツボを押さえた制限です。


また、Evernote はプレミアムユーザであれば、転送容量、利用容量無制限だったのですが、このポリシーも数か月前に撤廃されて、プレミアムユーザであっても１０Ｇの容量制限がかかっています。何しろプレミアムユーザならアップロードは無制限、無料ユーザはアップロード制限があっても、ダウンロードは自由だった訳ですね。


「本来の使い方から逸脱した利用」があったらしく、おそらく、一部のプレミアムユーザが「割れ物」のアップロードと共有に使っていたのでしょう。確かにそういう使い方もあるなと想像できます。


Evernote のアカウント先に送られてくるメールにも Evernote 自身が、プレミアムサービスをどう増やせばいいか迷走している様子がよく窺えました。


-ビジネス向けのフリークラウドサービスの限界-


よく Line なんかでグループチャットが便利といわれますが、メンバーの中に一人でもガラケーを使っている人がいると使えないと云われます。


と、おんなじで Evernote の一つの機能として、グループによるデータ共有があり、Evernote としてはこの機能を一つのメダマとして、アピールしたいようなのですが、メンバーの中に一人でも 「Evernote なんて知らんぞな、もし」のような人がいれば使えないのですね。


組織と組織外、個人との情報共有というのは非常に難しいものなのです。


一度、gmail の共有アカウントを作って、そこで共同作業をやって欲しいと、強制してきた業者がいましたが、非常に困惑しました。


google のアカウントにログインしてしまえば、ブラウザの情報は個人的なものでも、すべて「共有」されてしまうのです。個人的なものならまだしも、他の業務で使っている情報まで「共有」されてしまえば、これは立派な情報漏えいになってしまうわけですね。


結局フリーの滅多に使わないようなブラウザにパスワードを記憶させましたが、他の事業者、他人、他の組織のユーザにフリーであっても、便利だから、という理由でクラウドサービスを使うように強制させる事は難しいのです。


特に、ＩＴ部門が関わらないこうしたフリーのクラウドサービスは、情報共有に対する制御が利きません。


私も「個人的に」使っている Evernote の「情報共有機能」がどのようなものなのかが把握できない以上、Evernote を使っている外部のユーザさんと情報共有するための目的には絶対に使わないでしょう。そういった理由もあり、管理ができるという理由で、意味もない常駐人月時間単価監禁仕事という形態を日本の顧客やＩＴ業界やSI業界はヨロコブわけです。なぜ、日本でこうしたオープンな業務形態を実現できないか、というのは、コラボレーションツールのマネジメントの欠如がプロジェクトの中で”ない”からなのでしょう。


Evernote にはいくつかのサクセスストーリーがありますが、それはあくまでもプレミアムユーザを対象とした、「組織丸ごと」のサクセスストーリーであり、個人ユーザのサクセスストーリーではありません。しっかりしたコラボレーションツールのマネジメントの中で行われるから、サクセスストーリーが出来上がるわけです。


- フリーミアムはパーソナルで -


もちろん Evernote のポリシー変更はワールドワイドのものであろうから、日本だけ特殊なわけではありません。このストーリーにオチを付けるなら、フリーミアムがプレミアム化するには、安心して利用できるしっかりした「管理できる」サクセスストーリーが必要だという事です。管理できないフリーサービスは、あくまでも個人利用からプレミアム化し、グループワークに使うのであれば、何等かのルール、あるいはプレミアム化できる付加価値として、強力な管理機能が必要なのです。


例えば、従業員が業務で使っていたフリーミアムアプリケーションに保存されたデータは退職したときにどう管理されるのでしょう。組織外と共有していたデータは、そのメンバーがライバルのプロジェクトに引き抜かれたらどうなるのでしょう。


もちろんフリーミアムのプレミアムサービスを組織として経費化できる仕組みがなければ、他の組織と、境界を超えたコラボレーションが行える訳ないのですね。フリープレミアムサービスの経費化、これは個人の出費なのか、組織の出費なのか、外部の業者に利用を強制すべきなのか、その境界が曖昧である以上、フリーミアムが、公式な組織のツールとして存在することはあり得ないのです。




isLandcenter.jp












]]> http://islandcnt.exblog.jp/22946722/ 2016-06-28T11:38:00+09:00 2022-04-21T14:41:29+09:00 2016-06-28T11:38:21+09:00 islandcenter プライベートクラウド http://www.intel.co.jp/content/www/jp/ja/compute-stick/intel-compute-stick.html
http://ark.intel.com/ja/products/86612/Intel-Compute-Stick-STCK1A32WFC


今回の企ては、こいつを使った激安シンクライアントを構築してみようという事です。



仕様などの詳細は上のURLをご参考ください。Atom 1.33 2Gb Memory SSD 32Gb です。


ついでに LAN 端子付き USB HUB もセットで購入しました。（ヨドバシで２，７００円程度）
http://logitec.co.jp/products/lan/langtju3h3/index.php


-本体-


本体には
- 本体
- USB-A <---> Micro USB の電源
- USB-A これはキーボードなどをつなぐので有線LAN 付 USB HUB を取り付けます。USB は 2.0 なので、HUB 3.0 Hub はオーバースペックなのですが、それはそれで使い道があるという事です。実際 100Mb LAN 搭載の USB2.0 HUB よりは全然早いようです。
- 標準サイズの HDMI オス、これをテレビなんかにプチと繋げます。
- メモリ用のカードスロット
- 電源ボタン


以上です。


-付属品-


- 物理的に HDMI ポートにプチと繋げられない場合のための HDMI オス<->メス 約20Cm の延長ケーブル。
- USB-A オス <--> Micro USB ケーブル、電源用なので、携帯電話の４Ｐ電源アダプタに繋ぎました。ふつうの Micro USB ケーブルです。
- USB-A メスの電源ユニット。近くにＰＣとか、TV に USB-A 端子がない場合に使います。各国の電源アダプタに合うように、着せ替えユニットもついています。つまりワールドワイド電源ですね。こういう気配りが日本国内でしか販売しないガラパゴス製品にはありません。



Intel Stick PC は atom モデルなので、約１６，０００円程度で販売していました。


ＯＳは Windows HOME 32bit 8.1 Being なので。最初はずいぶんショボいＯＳだなぁ、と思ったのですが、 Windows10 HOME てこんな画面だったっけ？という感じですね。しばらくおかしいなぁと思っていたのですが、PC のプロパティを見て初めて Windows 8.1 HOME だと気が付きました。やっぱり必要だね、という事で　NAS に入っていた ClassicSHell を入れて色々いじってみます。


http://www.classicshell.net


という事で早速、Windows 10 HOME 32 にアップデートします。


Windows 10 HOME 32 の Update ISO ファイルが NAS に保管されていたので、 Windows 8.1 のISO マウントを使ってマウントし、setup.exe を実行してアップデート開始です。ローカルディスクなので、ファイルのコピーは数分程度でしたが、さすがに atom 系なので、アップデート作業そのものは、数度の再起動の後、１時間以上程度かかりました。もちろん、「更新のインストール」はなし。アップデートと「更新のインストール」を同時にやると、素敵な休日の午後どころか、週末一杯付き合わないといけません。


-なんか遅い-


で Windows10 HOME にしたのですが、何だか動きがもっさりして重い。そう、Intel 内蔵グラフィックスのドライバーは、 Windows10 のアップデートのガンで、デフォルトでアップデートされると、異常に性能が悪いのです。そこで、Intel の内蔵グラフィックドライバだけ、アップデートすれば良かったのに、Windows 全部を更新してしまいました。(敗因)


あとは「またーり」と待つだけです。アップデータの中にはグラフィックスドライバもありました。


Windows Update のダウンロードは、接続している回線の最速でダウンロードする訳じゃありません。ウチの場合、古いＡＤＳＬなので、実質下り 3MB/s 程度なのに 500KB/s 程度しか使っていない。有線でつなぐのも勿体ないので、 HDMI も有線 LAN もプチリと抜いて、電源が入った状態で酒飲んで放置プレーです。


一晩かかりました。ライセンスも引き継がれています。




-シンクライアント化には有線は必須-


シンクライアント化するには有線ＬＡＮの接続と有線マウス、キーボードは欲しいでしょうね。無線の通信速度が上がっても、混信があったりするので、有線接続をお勧めします。また、キーボードとマウスは無線ものより操作の双方向性が確実な有線ものが良いでしょう。無線 Wifi 接続でもテキストを主な処理とする場合は「そこそこ」使えるレベルです。試しに３Ｄグリグリの Windows 10 用のゲームを RDP 接続すると、Wifi では画面がモザイク状態。有線ではそこそこ見られるレベルでした。


シンクライアントとして使う場合、比較的単純な業務が多いと思います。そういった場合、接続が確実で大型のフルキーボードと有線マウスが必要でしょう。こうした、マン・マシンのインターラクティブな操作感は、シンクライアントでは重要です。Wifi ルータの性能は 802.11ac により１Ｇ越えも多いのですが、エンドポイントの端末は 11/b,g,n がまだ主流なんですね。スマートフォンにアプリをダウンロードする速度については便利ですが、リアルタイムなインターラクティブな操作が必要なシンクライアント環境では、2.4Ghz帯の混線が多い不安定なレスポンスしか期待できない無線接続は避けるべきでしょう。 逆に USB HUB に 802.11ac の子機ドングルを繋げるという選択もあったのかな、と思います。



-セッションの作成-



「セッションはなるべく軽く」がシンクライアント作成と固定のポイントです。「自動検出」でも問題ないのですが、ここではレイテンシを下げて"フォントスムージング"だけイネーブルにします。これをチェックしないとフォントがギザギザになってしまいます。




-静止画はキレイなんだけど動画はつらい-


動画再生や３Ｄのグリグリゲームで多くのリアルタイム動画を見る場合は、まずシンクライアントではお勧めできません。モザイクだらけの80年代のエロビデオを見ているような気分になります。もっともゲームをやっていて不満なのは、グラフィックスが汚いだけで、実際の操作感は、PCそのものをいじっているのと大体は同じです。もっと早いPCが欲しくなりますね。Core i5 程度ならまだしも、VDI サーバーで XEON V4 18 コア３６スレッド、デュアルソケットなんてVDIサーバーなら、VDI クライアントを３０台くらい詰め込んでも京王各駅停車から新幹線に乗った気分になれるでしょう。なにしろ、ユーザはクライアントＰＣのＣＰＵの５％も使えばいいほうなわけですから、これで十分、というか勿体ないくらいのパフォーマンスです。
静止画はキレイなんだけどなぁ


ということでデスクトップメインマシンも、ＶＤＩ仮想サーバー上の仮想クライアントも、SSH 仮想X端末も、スティックＰＣ１台でほぼこなすことができるようになりました。



-まとめ-



今回は激安のスティックＰＣを使ったのですが、同じことは Android の激安タブレットや高級な iPad なんかでも同じ事が出来ます。ポイントとしては


- USB HUB 付の有線アダプタはあった方がいい。できれば USB3.0 Gbit Ether がいい。
　(本体が 2.0 でもネットワークはそこそこ早い)
- 本体には HDMI メス(標準でもマイクロでもいい)が必要
- USB ポートが付いていてできれは USB 3.0 であると尚可
- USB ポートが使われている状態でも電源供給ができること
- 古いモデルは Windows 8.1 Being なので、 7/29 までアップデートしておくこと。以降は流通在庫が激安で手に入るが 8.1 で我慢。
- Android や iOS ではストアに無料のRDP ソフトウェアがあるのでこれを利用
- Android/iOS は MHL 規格に対応している必要がある。電源供給できるかどうかはアダプタ次第。 HDMI はやっぱり欲しい。
- PC内蔵（？）のキーボードなんか非常にグッド。


Intel Compute Stick スティック型コンピューター Windows 10 Home インテルAtom x5-Z8300 プロセッサー 搭載モデル BOXSTK1AW32SC新品価格
￥17,979から
(2020/2/2 16:27時点)
intel 第 6 世代 Coreプロセッサー・ファミリー搭載 Compute Stick Skylake m3-6Y30 BLKSTK2M364CC【日本正規流通品】新品価格
￥35,169から
(2020/2/2 16:28時点)


これで、タブレットでも、iPhone でも激安 Windows タブレットでも　HDMI ポートがあるテレビ、モニタと、BluetoothやUSB 接続のキーボードやマウスがあれば、シンクライアントの完成です。


Windows 365 は使える？ サブスクリプション化する Windows
https://islandcnt.exblog.jp/241428891/


isLandcenter.jp


-Keyword-


激安シンクライアント 　スティックＰＣ 　激安ＰＣは使えるか　ＰＣ内蔵キーボード ＶＤＩシステム　クライアント仮想化
]]> http://islandcnt.exblog.jp/22941190/ 2016-06-26T13:05:00+09:00 2019-10-21T13:44:25+09:00 2016-06-26T13:05:21+09:00 islandcenter プライベートクラウド

また、キオスク端末のためのシステムや、ご家庭での「お子ちゃまＰＣ」など使い方は色々あるわけですね。


ただ、安い事には理由があり、ほとんどの搭載ＯＳが Windows10 HOME 32 bit 版だったりするわけです。





---->>>>ここから嘘の恥まり >>>>------


Windows10 には Guest ユーザがいません。（←ウソ）そこで"guestをイネーブルにしてパスワードなしで使わせる"という芸当ができなくなっています（<--大嘘）。また、意地でも Microsoft アカウントと繋げようとするのも、あまり好ましくありません。




※知らなかった .... ビルトインアカウント Guest ってちゃんとあるのね。こっちが本当です。


Windows10 "Guest" ユーザを作る、いや、ビルトインアカウントを有効にする
http://islandcnt.exblog.jp/237151716/



ということで以下は嘘から生まれた参考程度にしてくだされ。---->>>>>



-目標-


"Microsoft アカウントと紐づけされていないパスワードなしの「一般ゲストユーザ」を作る"


事を目標として、その方法を説明します。


-目的-


- 子供たちが自由にログインできる
- 一般ユーザのリモートデスクトップなどのVDIサーバーのシンクライアント専用のアカウントを作る
- HOME edition 搭載のタブレットＰＣをちょっと友人に貸して使わせたい
- メインユーザがパスワードを忘れてログインできなくなった場合の予備の管理者ユーザを作りたい（備考）
- キオスク端末を作りたい


と言った用途が考えられます。




Windows 10完全ガイド 基本操作+疑問

困った解決+便利ワザ 改訂2版





-手順-


スタート＞「設定」＞「アカウント」より「家族とその他のユーザ」を開き

「その他のユーザをこのＰＣに追加」します。

「このユーザはどのようにサインインしますか」のページで「このユーザのサインイン情報がありません」をクリックして次へ


「アカウントを作成しましょう」のページから「Microsoftアカウントを持たないユーザを追加する」をクリックします。





「このＰＣを使うのは誰ですか」の欄に "guest" とか "anybody" とか、"HomeUser" とか "Pochi(犬用)", "Tama(ヌコ用)"などのアカウントをセットします。"パスワード"の欄は空欄のままです。





これで、パスワードなしの一般ユーザが作成されました。ログインする際は、ログインスクリーンの左下の "anybody" などの作成したアカウントをクリックすると、プロファイルが作成され、パスワードなしのユーザが自動的に作成されます。



-予備管理者-


予備の "Administrator"権限を持つユーザを作る場合は、よく使う”自分に覚えやすい”パスワードをセットして、ユーザを作成したあと、ユーザ名をクリックすると「アカウント種類の変更」を「管理者」に変更します。





※ Windows8/8.1 まで guest アカウントがあったため、これを有効にした状態から Windows 10 にアップデートすると、プロファイルが競合するため、"guest" は作成できなくなるようです。<<<-----大嘘です。ビルトインアカウントありました。




Windows 10は初期設定で使うな! (日経BPパソコンベストムック)





以上大嘘終わり---






--
続きです。


Windows10のゲストユーザが Microsoft ID なしでストアアプリを使う
http://islandcnt.exblog.jp/22989381/


知らなかった .... ビルトインアカウント Guest ってちゃんとあるのね。


Windows10 "Guest" ユーザを作る、いや、ビルトインアカウントを有効にする
http://islandcnt.exblog.jp/237151716/


PR








その他の情報はこちら


ファイルサーバーをファイルのゴミ箱にしない工夫

https://islandcnt.exblog.jp/21300561/



ファイルサーバーのフォルダ容量制限

https://islandcnt.exblog.jp/238412872/






isLandcenter.jp



-Keyword-


Windows10 Home Edition パスワードなしのユーザ作成　Microsoft アカウントに紐づけされていないユーザの作成、家族用アカウントの作成　キオスク端末用アカウントの作成　管理者権限のあるバックアップユーザの作成


]]> https://www.excite.co.jp/ https://www.exblog.jp/ https://ssl2.excite.co.jp/