2008年 10月 30日
Windows 7 プレベータ発表!!!
スクリーンショットでみるWindows 7 注目!
Windows 7では仮想ディスクをネイティブに管理可能
配布されたプレベータには既に脆弱性が発見されているということです。
MS、「Windows 7」プレベータ公開前にパッチリリース
Windows 7で着実に改良されているVistaの不満点
Windows 2008 は "R2"に
Windows 7のサーバー版がWindows Server 2008 R2と判明
マイクロソフト、「Windows Server 2008 R2」の詳細を発表
64ビット版のみに。
現行の Windows 2008 もずばり”R2待ち”なのでしょうか。それまで 3.2G しか使えない 32bit 版バンドルの Windows 2003 server で我慢します?
Vista との互換性を保障するところによれば ZCM 10.1 や Novell Client for Windows Vista もほぼ問題なく動きそうですね。あるいはパッチ程度の対応で済むかもしれません。
プリンタドライバも Vista 対応を謳っているものは問題なしと願いたいところです。
この他の情報はこちらを参考にしてください。
非番のエンジニア
2008年 10月 29日
レノボ、SUSE Linux 対応のサーバ製品を発表
まずはWindowsとSUSEの両OSで提供を始める。
なぜ、最初から RedHat が外れたか。
レノボのウェブサイトへ行くと、オプションとして Windows サーバか SLES 10 が選べるようになっています。
2008年 10月 24日
米Novell、データアクセス管理スイートを発表
2008年 10月 21日
VMware,Xen,Hyper-Vを比較,検証
「VMware ESX Serverは実績が多いが高価,Xenは注目されているがLinuxの知識が必要,Hyper-VはWindows標準だが検証と実績が課題」
宮原さん、実に短い言葉でまとめています。
例えばHyper-Vはエディションにより利用できる仮想インスタンスが異なる。またゲストOSのCALはすべてWindows Server 2008 CALが必要。バンドル版(OEM版)ライセンスを移行させることはできない。
確かにそのとおりで、Hyper-V は「お試し」や、セカンダリとしての仮想化ベースには役に立つ(これは ESXiにも言える) が初期導入には不向きです。
VMware で NetWare を仮想化してくれないかという話が私の所に舞い込んできたことがありますが、とても大掛かりな仕事になってしまうようであればコストに見合いません。 XEN + OES NetWare でちゃんと ipx しゃべるし。
と思っても Linux の知識を顧客に求めるのも厳しいものがあります。
惑わされていはいけないのは、 Windows 2008 ベースで仮想化した場合、その上で動く Windows 2008 サーバのメモリも食うということです。
Hyper-V だけであれば、それほどメモリ食いなわけではないでしょうが、最初の 2008 サーバはフルキット導入する必要があるだろうこと。それにはおそらくメモリ2Gとか使うわけで、さらに仮想化した場合、仮想マシンでは4G割り当てようかということで、合計6Gのメモリが必要となるわけです。
普通のミッドレンジサーバは8ソケット程度が普通ですから1Gメモリ8枚、8Gが最大搭載量となります。もっとも、もっと高価な4Gモジュールなどを使えば16Gとか32Gとか積めるわけですけど、その当たりのメモリモジュールはめちゃくちゃ高価なわけですね。
つまり、ミッドレンジサーバで Windows 2008 ベースの仮想化を実現しようとすると、いいところ2~3サーバしか走らないわけです。ということで4Uクラスの高級機を持ってくる。
まぁ、Windows は”そのうち重くなるから再起動しよう”ってことがよくあります。Linux でもそういうことがあるんでしょうけど高級機でさらにクラスタなどを前面に持ってくる。
もっとも DRP 対策なんてのは同じサーバルームにスタンバイ機があっても全然意味ないことだと見抜けない経営者はいません。ただ単にそれを売りたいというSI業者と、そういう技術にチャレンジしてみたいというエンジニアの自慰的行為なのです。
東京の本社のデータを愛知の工場でバックアップ取っているから意味があるので、世の中の90%以上の中小企業の方々には恥かしくて出せる提案じゃないのですね。
確かに、大手のデータウェアハウスにコンピュータを預けるべしという発送はありますが、自社のアプリケーションの問題を解決してくれるわけでなし。問題があれば川崎の山の中とかに出張にいかなければならない。せいぜい電気代とスペースが節約できたという結果しか残らないわけです。だから、もう少し気軽に使える仮想化は重要だと思います。
SI ベンダーさんにとってはそこが商売のネタなんですね。「仮想化しましょか、メモリ仰山積みまショか」って具合にです。とたんに見積もりが倍になる。Windows を仮想化するというのはIT業界全体にとって受注額が上がるというハッピーなことなんですね。
いや、DNS や DHCP などなら、2008 コアインストールでいいでしょう、という話になっても、あのコンソールだけでどれだけの設定ができるのか、それはそれで自虐的な楽しみです。
たった幾つかのサービスを仮想化するためにとんでもない仕掛けを用意することは本末転倒なわけですから、必要に応じた規模で仮想化は検討してもいいのではないでしょうか。
と思いますが。
仮想化無制限で1プロセッサ46万3000円から- Windows Server 2008 R2発表
非番のエンジニア
2008年 10月 21日
iManager が開けない
iManager が表示できない。ブランクで表示される。
iManager login page is blank
SYS:Apache2\log のエラーログに次の記録がある。
[Mon Sep 01 08:52:30 2008] [crit] (10022)Unknown error: make_secure_socket: for port 443, WSAIoctl: (SO_SSL_SET_SERVER)
Configuration Failed
Error: "10022 unknown error: make_secure_socket" loading Apache
-対策-
PKIDIAG.NLM で Certificate Object の再構成を行います。
OES NetWare は PKIDIAG がありますが、 Windows 版 Linux 版はありません。オブジェクトを削除して Certificate を再作成するしかありません。
How to manually create all security objects
-List-
Enter (fully distinguished) Login Name: .admin.ace
Enter Password: *****
Logging in... User: .admin.ace
PKIDiag 2.78 Utility
-----------------------------------
0) Begin diagnostics now [No changes will be made]
1) Exit now
Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)
Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Diagnostic mode
Enter option:4 - Diagnostic mode をセット
PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now
Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)
Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rename and create new KMO
6) Update default KMO mode: Rename and create when necessary
Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:5 - Default replacement mode をセット
PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now
Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)
Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rekey existing KMO
6) Update default KMO mode: Re-key when necessary
Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:6 - 必要であれば Re-Ley をセット
PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now
Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)
Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rekey existing KMO
6) Update default KMO mode: Always Re-key
Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:0 - をセット Fix が開始されます
Step 1 Verifying the Server's link to the SAS Service Object.
Server 'aceNW.System.TK.JP.ace' points to SAS Service object 'SAS Service -
aceNW.System.TK.JP.ace'
Step 1 succeeded.
Step 2 Verifying the SAS Service Object
SAS Service object 'SAS Service - aceNW.System.TK.JP.ace' is backlinked to
server 'aceNW.System.TK.JP.ace'.
Step 2 succeeded.
Step 3 Verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - aceNW.System.TK.JP.T
EST'.
--->KMO IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace is linked.
--->KMO SSL CertificateIP - aceNW.System.TK.JP.ace is linked.
--->KMO DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.ace is linke
d.
--->KMO SSL CertificateDNS - aceNW.System.TK.JP.ace is linked.
Step 3 succeeded.
Step 4 Verifying the KMOs
---> aceing KMO 'SSL CertificateIP - ace2.System.TK.JP.ace'.
Rights check -- OK.
ERROR -603 reading host server attributes for KMO 'SSL CertificateIP - ace2.Sys
tem.TK.JP.ace'.
Private Key -- Failed.
---> aceing KMO 'SSL CertificateDNS - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
---> aceing KMO 'DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.TES
T'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
---> aceing KMO 'SSL CertificateIP - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
---> aceing KMO 'IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
Step 4 succeeded.
Step 5 Re-verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - aceNW.System.TK.JP.T
EST'.
KMO 'IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace' is linked.
KMO 'SSL CertificateIP - aceNW.System.TK.JP.ace' is linked.
KMO 'DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.ace' is linked.
KMO 'SSL CertificateDNS - aceNW.System.TK.JP.ace' is linked.
INFO: kmo SSL CertificateIP - ace2.System.TK.JP.ace is not back linked to any
server. It should probably be deleted.
Step 5 succeeded.
Step 6 Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 1
--> The default IP address is: 192.168.1.238
--> The KMO SSL CertificateIP's IP Address is: 192.168.1.238
----> The IP addresses match.
FIXING: Creating SSL CertificateIP (192.168.1.238)
FIXED: Successfully created SSL CertificateIP.
--> Number of Server DNS names for the IP address 192.168.1.238 = 1
--> The server's default DNS name is:
acenw.islandcenter.ddo.jp
--> The KMO SSL CertificateDNS's DNS name is: acenw.islandcenter.ddo.jp
----> The DNS names match.
FIXING: Creating SSL CertificateDNS (acenw.islandcenter.ddo.jp)
FIXED: Successfully created the SSL CertificateDNS.
Step 6 succeeded.
Note: Occasionally multiple problems will be solved with a single fix.
Fixable problems found: 0
Problems fixed: 2 -- 2つのエラーが修復されました。
Un-fixable problems found: 0
java -show を実行して "org.apache.startup.Main xxx" というプロセスがあることを確認します。
ACENW:java -show
Classname ID
========================================
org.apache.catalina.startup.Bootstrap....................... 309
org.apache.catalina.startup.Bootstrap....................... 308
org.apache.catalina.startup.Bootstrap....................... 328
Total Running: 3
この他の情報はこちらを参考にしてください。
非番のエンジニア
2008年 10月 20日
eDirectory Server のツリーからの削除
まず、目的のサーバをシャットダウンすることからはじめてください。
ConsoleOne >メニューから Partition Replica View を開きます。

左のツリーブラウザを開き、削除したいサーバを確認します。

右ボタンから「削除」します。

サーバが稼動している場合、はすぐこの右ボタンメニューが出ますが、サーバが遮断されている場合は、数十秒から数分待つ場合があります。
確認のダイアログからOKを押すと

現状で稼動中のサーバは削除することができません。
サーバがシャットダウンするとこのサーバは削除することができます。
NetWare4/5 の環境では同じ操作をNDS Manager から実行します。

UNKNOWN オブジェクトの削除/修正
ボリュームオブジェクトなど、サーバーオブジェクトに依存していたオブジェクトは黄色いアイコンで表示されます。これらは未定義オブジェクトです。削除しても構いませんが、次の方法で削除するのが良いでしょう。
DSrepair > Advanced options menu -> Replica Partition options -> サーバーがあるパーティションを選択 -> Delete Unknown leaf objects (未定義オブジェクトの削除)

その他、この操作で削除されないいくつかのオブジェクト(CerverCertificate など)を削除します。
-Keyword-
OES NetWare Linux サーバ削除 eDirectory ConsoleOne NDSmanager
この他の情報はこちらを参考にしてください。
非番のエンジニア
2008年 10月 18日
Ldap でWindows のポリシー管理 - ZCM10 まとめ
まず、従来の ZENworks とあまりにも異なるインターフェースに違和感を感じます。過去の ZENworks を使っていた管理者でも、一瞬どこから手をつければ良いか戸惑うでしょう。
これまでの ZENworks では必要な機能が全て eDirectory に格納されていたわけで、いい意味でも悪い意味でも eDirectory の管理下にありました。
ZCM 10 は明らかに eDirectory と異なるインフラストラクチャで動作し、 AD, eDirectory その他 LDAP 環境であればどのようにでもユーザ認証を行うことができます。
過去に "NetWare のオマケ" に過ぎなかった、軽い ZENworks がしっかりと独立した製品となっています。が、その分、サーバへの負荷は非常に大きくなっている点は考慮しなければなりません。実際に実装テストをしてみると、リソースの点で苦労することがありました。
実際に大規模運用を考えると、Windows 管理サーバより、要件の緩い SUSE Linux 上での構築がベターです。NetWare 版がなくなった事は別にデメリットとは考えられません。
-DLU-
Dynamic Local User の機能は eDirectory 管理下でのみ動作します。Ldap 認証だけで Local Account が作成できるのかと思ったのですが、非常に残念です。
ただし、ADを Ldap サーバとして指定することもできるので、その際はSSOが使えるのでしょうか。そこまではチェックできませんでした。
もっとも、パスワードポリシーが各システムにより異なるわけで、パスワードの変更手続きを考えると OpenLdap による運用はかなり難しいと思います。普通エンドユーザが自分で SSH 端末を起動して、複雑なコマンドで Ldap パスワードを手軽に変更できるとは思えません。
ローカルアカウント管理は AD 環境、もしくは eDirectory 環境での運用がよさそうです。
-メリット-
ADに対してデメリットがあるとすれば、AD は Windows にくっ付いてくるモノ。ZCM は買わなければならないという点です。それ以外は全て ZCM が勝っていると言えるでしょう。
AD + 他の管理ツールで比較するより ZCM は単体で完成した管理ツールです。 AD は確かにユーザとワークステーションを容易に管理することができますが、インベントリ管理、アプリケーション配信、イメージング、ヘルプデスク機能を併せ持つ製品が必要であれば、何かいい製品はないかと探さざるを得ません。こういったニーズには ZCM は良い候補です。
AD + WSUS + Ghost + LanDesktop + QND plus と言った組み合わせで運用しているなら、ぜひ ZENworks のシンプルで統合された使い勝手を検討してみてください。同様な機能をシンプルにまとめた ZCM がいかに安上がりかがわかるはずです。
-欠けた機能-
最大の欠点はサポート対象となる Windows のスイートスポットが非常に狭い点です。 Windows XPsp3 と Vista sp1 のみというのは疑問です。9x 系が排除されたのは仕方ないとしても、Windows 2000 Pro にも対応してほしかったところです。
もっとも、次期 Windows 7 (内部コードは Windows 6.1 らしい) のリリースが近いわけですから、あわせて ZCM のバージョンがあがると思われます。Windows 7 への対応がパッチ対応となるのか、新バージョンになるかは全く将来の話です。ここはあわてる必要はないでしょう。
ただし、次期 Windows が "Vista Second Edition" に近い形であれば、それほど大きな変更は必要なく動くでしょう。"Windows 7 待ち" を決めている環境では一挙に XP -> Windows 7 への移行が始まるわけですから、必要な評価はしておきたいところです。
AppSnapShot がなくなったことは惜しまれる点です。今回の評価ではアプリケーション配布は試していません。アプリケーション配布、ワークステーションレジストリの変更が従来のように容易であれば、うれしい所です。
ただし、最近の Windows は"要塞化"しており、リモートからの管理は非常に困難です。リモートからの Deployment タスクは全て失敗しました。原因はどこかにあるのでしょうが、最近のウィルス、フィッシング対策が施してあるワークステーションへの Deployment はかなり困難となるでしょう。
また、従来であれば、容易に定義ファイルを手で書き換えてポリシーを追加して、F:ドライブだけ見せるというテクニックが使えたのですが、 ZCM ではどのようにやればよいのかがまだ勉強しなければならない点です。
当たり前ですが Macintosh OS-X の対応はたわ言に過ぎません。必ず聞かれるので、これも残念なことです。
-ZEN6,7 からのマイグレート-
現在 ZENworks 6.5, 7 を利用している場合、ZCM 10x への移行はかなり慎重に検討しなければなりません。何しろ今までのリソースが全て移行できるわけではなさそうです。完全に eDirectory の管理下から外れるわけですから、一夜にして変更することはかなり難しいと思います。もっともマイグレーションについてのマニュアルの記載もあるので、充分に検討する必要があります。
-買いか?-
買いか?と聞かれればズバリ"待ったほうがいい"と答えます。これは Vista 後を待つ気持ちと同じで、"Vista後" が出れば、買いのタイミングです。Windows 7 が登場し、評価が充分に定まれば、ZCM の移行を考慮していいでしょう。Novell K.K. があまり大規模にキャンペーンを行わないところもそこを見越しています。
ZCM は Intel が見放し、BillG がリタイアしてしまった "盟友 Microsoft" への Vista 移行キャンペーンへの援護射撃の表れです。Vista sp1 の登場に合わせて ZCM 10 sp1 が出たのも両者の蜜月関係の現われでしょう。
おそらく Windows 7 が出れば、どのような形であれ速やかに次期 ZCM が出ることは容易に予測できます。
-最後に-
当初は ZCM 10 は評価に値しないと考えていました。これは Vista も評価に値しないと同じ意味です。しかし、評価期間をめいっぱい使い倒してみると、Novell が今考えていること、自社製品だけで囲い込むのではなく、できる限りオープンな環境で使える製品を出したい、というメッセージがなんとなく理解できそうです。
また、過去の ZENworks のように ConsoleOne から隠しコマンドのように探していたインターフェースは改善され、誰でも直感的に使えるところは好感が持てます。サーバの要求値は高いのですが、管理用コンソールは非常に軽く動作します。
ZCM ZENworks DLU Policy Remote Desktop Management Novell Windows管理 mono SUSE Linux OES OES2 Ldap Dynamic Local User インベントリ 資産管理
この他の情報はこちらを参考にしてください。
非番のエンジニア
2008年 10月 17日
PlateSpin の PowerConvert 7 を公開
2008年 10月 17日
無料とは言え幾つか重要な機能が欠けている Hyper-V
ハイパーバイザーだけ無料化してもやっぱり使いこなすには工夫が必要な Hyper-V。
デバイスドライバは ISO に登録してあるものだけで、新しいデバイスに対応させるには一工夫が必要なようです。
もっとも、VMware ESXi のように、サーバーベンダーが自社製品のドライバをバンドルして販売するということは考えられるでしょう。
もっとも、仮想化システムのイメージバックアップはどうするのかとか、いろいろ複雑な問題があり、これだけで全て解決できるというものでもないでしょう。今後サードパーティがどのような対応をするかが楽しみです。
2008年 10月 17日
Ldap でWindows ポリシー管理 - ZCM10 のその他の機能
-グループポリシー管理-
Polices > New > Policies から Windows Group Policy を作成します。(この作業を行うためには Windows XPsp3 以降が必要です)

Upload を選ぶと、グループポリシー編集ツールが起動します。

ここからは、一般的なグループポリシーの操作なので、Windows を管理したことの経験があれば、ご理解できると思います。パスワード保護付きスクリーンセーバ、コントロールパネルの削除など、様々なポリシーを定義して、画面をクローズすれば、ポリシーがサーバにアップロードされます。
-リモートコントロール-
Device > Workstation > ワークステーション から Task メニューに Remote のリンクがあります。

デフォルトでは、この後、ブラウザから証明書をもらい、ワークステーションユーザがリモート制御を受け入れた場合、アクセスすることができます。
実際の事例では、この機能により、建築現場事務所のPCのヘルプデスクを本社で行うゼネコンさんや、各拠点のヘルプデスク機能を一箇所に集中統合して、時差のある各拠点、各ヘルプデスクの言語を24時間提供する多国籍企業などがあります。
ヘルプデスクの集中化とサービスの向上を図ることができますが、ある意味では能力の低いヘルプデスクにとっては脅威的な製品とも言えるでしょう。

このほか、リモートワークステーションのインベントリ診断や、再起動、インベントリスキャンの開始などの操作を行うことができます。

-イメージング-
なぜか、あまり人気がないのがイメージ配布機能です。この機能は ZENworks 3.0 で初めて実装されたものですが、ブートローダーを書き換えたり、イメージの圧縮、マルチキャスト機能がなかったため、あまり過去に利用してきたお客様は聞きませんでした。
また一番大きな理由は、大企業以外では導入が難しいマイクロソフトのライセンスの問題や、部門、グループ企業ごとに異なるPCの購買、管理ポリシーのため、多機種が導入されており、一斉にイメージを配信してアップデートすることが困難だという理由でしょうか。また、ノートブックが普及しているため、サスペンド、レジューム、Bios パスワードの設定などの問題があります。

しかし、 Ghost で、新しいパッチが提供されたり、ソフトウェアのバージョンアップを一挙に行っている学校の事例があります。Symantec Ghost のような別売製品ではなく ZENworks の imaging 機能もかなり有効に利用できそうです。
-インベントリ、アセット管理-

いくら、PCをスプレッドシートやデータベースで管理していても、「実際にあるかないか」はわかりませんし、そのコンピュータのCPUスペックであるとか、メモリ容量などは、手動で管理している限り、往々にして欠けていたり、処分されたPCがリストに残っていたりするものです。
いざ現場に行ってみると、そのPCは既になかったり、実際の管理台帳とは違うCPUが装備されていたり、HDDの容量が不足していたりするのが常です。
そういう意味では ZCM の資産管理ツールとしては良くできており、従来の付けたしのような機能よりかなり高速に高度にインベントリ管理をしてくれます。
ZCM は、よく「資産管理ツール」として紹介されることが多いのですが、実際には資産管理よりも、ヘルプデスクを強力にサポートするツールなのです。
-KeyWord-
ZCM ZENworks DLU Policy Remote Desktop Management Novell Windows管理 mono SUSE Linux OES OES2 Ldap Dynamic Local User インベントリ 資産管理
この他の情報はこちらを参考にしてください。
非番のエンジニア