isLandcenter 非番中

ブログトップ | ログイン

タグ:Windows ( 62 ) タグの人気記事

終った技術: Windows 10 S mode

Windows 10 にある不思議なバージョン、Sモード。この技術はもう終わっている。

なんでも、「セキュリティとパフォーマンス」のために Microsoft Store のアプリケーションと Edge + Bing 検索しか使えないモードなんだそうですが、今では

「お前、そんなところで何してるんだ?」

と言う微妙な立ち位置にいるのが Windows S mode なのですね。

そもそも、教育機関向け、企業のタブレット向けに販売を開始したものなのだそうですが、天気予報とゲーム位しか魅力的なアプリしかない、Microsoft Store から、いったい何をダウンロードして使えと言うのでしょう。

大手都市銀行の銀行の振込用アプリさえない。何しろ iOS ならウチの近所の農協の口座だって振込できる時代なのにです。
しかも、S mode から Pro や Home エディションには簡単に切り替えられるという。逆は非なりだそう。



PR




- ことごとく失敗してきたモバイル戦略 -

Windows RT そういやありましたねぇ」と完全に過去完了形。「Windows 10 Mobile ってなくなるんだって?」と現在進行中の既に過去表現。そう、Microsoft のモバイル、あるいはタブレット用システムは、過去に何度も失敗しています。買って後悔した人も多いでしょう。大体ライバルに対してSKUが大きすぎる。重くて電池が持たないのです。ライバルのスマートフォン、タブレットOSが軽いシステムから、重量化したのと違い、もともとの重戦車から、主砲を取り除いたような、意味のない軽量化でフットプリントばかりでかくて、誤魔化した作りなのです。

Windows 10 Mobileのサポート終了、移行先についての身も蓋もないアナウンスが話題に

後継製品のアナウンスもなく iPhone だとか Amdroid に乗り換えろ、って何なんだ。電話帳は引き継げるのか?



だが Windows S mode は「Pro版や Home版に切り替えられる」という「逃げ道」を作っているのが失敗前提の設計のミソなのですよ。

つまり「Windows S Modeは失敗することを前提に設計してるもんね」という「もんね」的な誤魔化しがごっちょり入っているのです。

なぁーに、使えなければ Pro 版に切り換えちゃえばいい、そんな匂いがプンプンしているのが Windows S Mode なんですね。

もう出た時から既に終わった技術なのです。



by islandcenter | 2019-07-01 13:40 | Windows | Comments(0)

Linux は使ってみたいけど、どれを選べばいい? という悩みの中で、openSUSE Leapを初めて使ってみようかという方に、Hyper-V 環境で簡単に構築する手順を説明します。

まずは仮想環境で「やってみて」、「何だか分かってきた」ら、ちょっと古いノートブックだとか、ホワイトボックスのBTOマシンで、本格的なベアメタルPCで自宅サーバーや、 Web LAMP のスキルアップのための自己学習用の開発環境を構築できるようになるでしょう。

自宅サーバーや、小規模なプロジェクトでの開発環境で Linux が必要であれば openSUSE Leap 15.1 は手ごろな一つの選択です。


PR 働き方、減るのは給与増える暇、ドメイン取って副業か? PR

openSUSE が使えるVPS


- SUSE とは -

ドイツの SUSE 社は、米 RedHat が IBM 傘下に入ってしまったため、 2019 年現在、世界最大の独立系のオープンソースソフトウェア企業となりました。

かつては Novell 傘下だったり、Attachemate, Micro Focus などから出資を受けていましたが、現在はヨーロッパ・スウェーデンの投資組合、EQTのまとまった出資を受けた世界最大の独立系 OSS ソフトウェア企業です。SUSE Enterprise は有償 Linux のディストリビューションの中では世界で約 30% 程度のシェアがあるようです。openSUSE Leapは、主力製品、SUSE Linux Enterprise のいわゆるデチューン版のようなものです。

- SUSE Linux -

SUSE Linux という言い方は誤解を呼ぶかも知れません。

SUSE が関連する Linux のディストリビューションには SUSE が後援する openSUSE と呼ばれるシンプルで無償のコミュニティ版と、エンタープライズ向けのバリエーションが豊富な SUSE Linux Enterprise (SLE) と呼ばれる有償版の二つのディストリビューションがあります。

SLEは、SLES(Server)はじめ SLED(Desktop)から、SAP専用、大手クラウド事業者用など、数々のバリエーションに分かれています。

SLE 15 より、openSUSE は SLE のコードを基に、テクニカルサポートやプロプラエタリなパッケージ、エンタープライズ向けのハイエンドな機能を削除して、インストーラをコンパクトに、無償化したディストリビューションが openSUSE です。

  • アウトバーンの国、ドイツ製という事もあり、堅牢性安定性はずば抜けている点。
  • YaST という Linux 知らずの初心者にもベテランにも取っ掛かりの良い設定・管理ツール
  • モバイル環境から一般的なビジネス用途、サーバー用途にも使える高い汎用性

に特徴があります。

また、「比較的新しいハードウェアでも問題なく動く」と割と評判はいいようです。

2019 年5月現在、 openSUSE Leap は 15.1 が最新版です。

SUSE Linux Enterprise は 15.1 がリリースノートで発表されていますが、まだ公式に入手できるのは SLE 15.0 が最新版の様です。

openSUSE には openSUSE Tumbleweed と呼ばれるローリングリリース版と、安定版の Leap の二の種類があります。Tumbleweed は openSUSE/SLE の開発用テスト版の様なもので、初心者には向いていません。初心者がちょっと入門で Linux を触ってみたいのであれば openSUSE Leap 版を使ってください。

わざわざ初めての Linux に、openSUSE Tumbleweed を選んでチャレンジして、Quita なんかで「openSUSE はバグだらけで使い物にならない」とボヤいて諦めるチャレンジャーさんが大勢います。そういう方は、是非バグ情報を openSUSE の開発者向けコミュニティで元気よくボヤいてください。自らソースコードを弄って改良すれば Leap 版にいずれ反映されるでしょう。

初めての openSUSE は openSUSE Leap を選ぶのが定石です。

--
ちなみに SLE (SUSE Linux Enterprise)については、無料アカウント登録すれば、60日間の評価用サブスクリプションコードとインストール用のメディアを入手できます。SUSE 15 より openSUSE Leap 15 --> SLE15 へのアップデートがサポートされました。



ここでは、コンパクトで無料、手軽に利用しやすい、2019/6 現在、最新の openSUSE Leap 15.1 について説明します。


- SUSE の管理は YaST で始まり YaST で終わる -

openSUSE/SLE を特徴づけている機能が YaST(Yet another Setup Tool) です。そもそも openSUSE/SLE のインストーラ自体が YaST の機能の一部です。

a0056607_15194076.png

ほとんどの Linux の管理を、このツールで行う事ができます。おかげで古本屋で買った時代遅れの Linux/Unix 管理者向けのアンチョコ本とはオサラバできます。

まず、SUSE Linux では、YaST で80%の管理、運用を行えるため、他のディストリビューションの様に、コマンドラインのヘルプや vi エディタと闘う事がありません。ある意味では Linux エンジニアのスキルキラーの様な高度なツールです。

おそらく Windows ユーザが初めて YaST に触れれば、驚くほど、キーボードタイプが少なく、マウス操作だけで多くの作業ができる事に気が付くでしょう。他のディストリビューションから乗り換えてみると、こんなに便利なツールはないのか、と思うはずです。

YaST自体はオープンソースなので、Oracle Linux などでもオプションとして用意されており、互換性がある CentOS の管理者さんが、強引に突っ込んだら「動いた」そうです。海外の Ubuntsu のフォーラムに "Ubuntsu で YaST を動かす方法はないのか" という書き込みも見たことがあります。

SUSE Linux 15 YaSTの基本 (openSUSE Leap, SLE)
https://islandcnt.exblog.jp/238758768/

また、GUIが使えない、貧弱なWANのネットワーク越しでも、同じ機能をメニュー形式で使える CUI 版 yast コマンドもあります。ほとんどの操作を TAB, やカーソルキーで操作できる優れものです。

軽量なので、ちょっとした変更をしたい場合によく使います。

a0056607_15270644.png

Windows は知っているけど、初めてだけど、少しは Linux も知っておきたいという程度からの、入門者には実に便利で「使えるツール」です。


- openSUSE Leap インストール ISO のダウンロード -

openSUSE Leap 15.1

ダウンロードリンクには、DVDの ISO イメージ版と、ネットワークインストール用の二つのメディアがあります。ネットワークインストール版は、最新のパッケージがインストールされる事。ダウンロードサイズが小さい事がメリットですが、インストールがオンラインで行われるので、私の環境の様にインターネット回線が弱い場合、インストールに却って時間がかかったり、途中で止まってしまい、やり直す事も良くあります。

ネットワーク版は、私は使ったことがありません。
という事もあり、何度も練習するには、DVD版の ISO ファイルを一つ、ダウンロードしておく事をお勧めします。

- Hyper-V にインストール -

手元のノートPCには Windows 10 Pro x64 には Hyper-V が用意されているので、ここでは Hyper-V を使って openSUSE Leap 15.1 をインストールしてみました。

SUSE は Novell 傘下の時に、Windows と Linux の相互運用について協力体制を取りました。そのため、多くの Linux ディストリビューションの中で Hyper-V 上での認証された Linux の最初のディストリビューションです。
という事で Hyper-V はもちろん、Asure 上で最も最適化されたバリエーションを用意しています。


ここでは Hyper-V そのものの詳しい説明は割愛します。

Hyper-Vは有効化しておきます。

a0056607_14062169.png

Hyper-V Manager から「新しい仮想マシン」を作成します。

1G バイトの仮想メモリ、 16Gb の仮想ディスクがあればとりあえずインストールできます。ウィザードの中で数値を適当に設定して進めます。

a0056607_14064410.png

作成が終わったら、仮想マシンに接続して、「起動」します。

インストールソースに DVD ISO を指定したので、インストーラが起動します。F2キーを押すと、言語設定リストが出てくるので、どうしても「ブート画面からニホンゴじゃなきゃ嫌だ」という場合は、F2キーから「日本語」を選んでください。

openSUSE でサーバー運用する場合、日本語のドキュメントや、詳しい情報が少ないため、私の場合、英語でインストールしてから、第二追加言語を日本語にしています。

SUSE Linux Enterprise Server (SLES) の場合、基本的にサーバー運用で、ヘルプ情報がほとんど英語になってしまうので、私は第二外国語で日本語フォントを入れる以外は殆ど英語版で運用をお勧めします。変に日本語のメッセージやログ、ダイアログが出ても、意味わかりませんからね。

デスクトップを使ってみたいのであれば、日本語でインストールすると良いでしょう。

a0056607_14090351.png


- インストール -

ここでは、初めてインストールする方に向けてポイントだけを説明します。

実際のインストールの流れは、別記事にまとめてあります。そちらをご参考下さい。

openSUSE Leap 15 Install

15.0 > 15.1の差分として参考にしてください。

openSUSE Leap 15.1 インストール

openSUSE 15.1 のインストールの全体の基本的な流れはこちらの動画(音出ます)




Web LAMP を使いたい場合のインストール手順はこちら(音出ます)。 パーティションは分けてみました。



実際、OSのインストールから、Web Server の立ち上げまでのほとんどの作業を、マウスクリックで行える事に気づかれたでしょうか。

DVD.iso のフルインストール版(3.7GB)を使ってインストールする場合、私はオンラインのリポジトリは使いません。すごく時間がかかるし途中で止まってしまう場合があります。

※ ファイルコピーの途中で止まってしまう場合があります。単に時間がかかっている場合もありますが2~3分待っても進捗しない場合があります。もう一度やり直せばいいだけなのですが、パーティションをフォーマットするので、本番環境の場合は、大事なデータは事前にバックアップしておきます。


- デスクトップの選択 -

openSUSE Leap のデスクトップは KDE を選ぶ人が多い様です。

SUSE Enterprise Linux Server(SLES) は gnome のみです。

私は SLES に合わせて使うので openSUSE をインストールする場合も gnome デスクトップを使います。

どちらがいいのかは好みの問題です。

「サーバー」を選んだ場合はデスクトップ環境がインストールされません。YaST の GUI 版を使うため、初めて SUSE Linux を使う場合も、本格的にサーバー化したい時も、 KDE か gnome デスクトップを選んだ方が良いでしょう。
a0056607_14093942.png



- ネットワークの設定とホスト名 -

インストールの途中で、ネットワークの設定はできません。デフォルトで DHCP です。

また、コンピュータ名はランダムな名前が与えられるため、この二点を最初に修正します。YaST > System > Network Settings の中で、ホスト名、固定IP/DHCPの設定ができます。

※ openSUSE Leap 15.1 よりネットワーク管理が YaST(Wicked) ではなく、モバイル環境を考慮してデフォルトでデスクトップのアプレット(Network Manager)から設定する様に変更されました。もちろん従来の YaST でも設定できます。

私はモバイル環境で使うつもりがないので Wicked に変更して使っています。

openSUSE Leap 15.1:ネットワークの設定はYaSTではなくアプレットで

openSUSE Leap 15.1 では 15.0 とはネットワーク設定のデフォルトが異なります。(音でます)



YaSTによるネットワーク接続の設定


YaST のネットワーク設定で、 hostname を設定する箇所があるので、ホスト名を任意に変更するには YaST のシステム > ネットワーク設定から変更します。

こちらの動画では、一つ古いバージョン、 openSUSE Leap 15 のインストールから、HOSTNAME の設定、ネットワークやNTPの初期設定を説明しています。(うるさい音出ます)後半1/3あたりから、初期インストールの「その後」の作業の様子をキャプチャしました。




- まずは YaST から始めよう -

さて、そうこうしているうちに openSUSE Leap 15.1 がインストールされました。(やっぱり Hyper-V は KVM に比べて遅いなぁ)

ここでは gnome デスクトップですが、検索ボックスから "yast" で検索すると、YaST アイコンが出てきます。一般ユーザでログオンした場合は、root パスワードが必要になります。

それでは始めましょう。

a0056607_14113473.png

LibreOffice もインストールされます。日本語入力もできました。Windows でも Mac でも Linux でも使える無料のオープンソース、LibreOfficce と GIMP は最強の組み合わせです。

a0056607_14132148.png
- Windows からの管理ツール -

今回は 「Hyper-V で使ってみよう」の提案なのですが、実際にはベアメタル環境やコンソールを繋がないサーバー運用もあるでしょう。 Windows 環境から openSUSE/SLE を管理するのに便利なツールを紹介しておきます。

Linux 管理者が持ってると便利な Windows 用ツールとは

個人的には movaXtermwinSCP があれば、おおよその作業は問題ありません。タマに puttyxLaunch を使う程度です。

これらを手元の Windows ノートブックに用意すれば、どこでも困ることは殆どないでしょう。

- VPS での対応は -

レンタルVPSでは、さくらインターネットが openSUSE Leap 15.0 を提供しています。他の ISV ではまだまだです。

この点が日本市場での弱さです・

さくらのVPS カスタムOS「openSUSE Leap 15.0」「FreeBSD 12」提供開始のお知らせ

一般的ではないのですが、ビジネス・エンタープライズ向け Microsoft Azure などの海外の ISV では、普通に SUSE Linux Enterprise が対応しているようです。SLES の場合は、専用のバリエーションがあるので、それを使う事になります。

もし、openSUSE についてもっと情報が欲しい方は、コメント残してください。今後のネタにしてみます。


最後まで読んでくれてありがとうございます、まずは一歩目が肝心ですね









by islandcenter | 2019-06-04 14:46 | SUSE | Comments(0)

Windows 2019 試用版を入手したので、SUSE(SLE15)+KVM 環境下で、仮想マシンドライバパック、VMDP(Virtual Machine Driver Pack, virtio) と一緒に導入してみました。

SUSE Linux Enterprise Virtual Machine Driver Pack

FAQに
"有効なSUSE Linux Enterprise Serverサブスクリプションをお持ちのお客様には、これらの並行仮想化ドライバの保守およびサポートの使用権が自動的に付与されます。ドライバのサポート契約は、お客様が契約しているSUSE Linux Enterprise Serverサブスクリプションから継承されます。"

とあるので SLE のサブスクリプションに含まれている、と考えていいでしょう。

サブスクリプションの購入はこちら

最新の VMDP 2.5 はこちらから無料登録済み SUSE アカウント でダウンロードができます。

SUSE Linux Enterprise Virtual Machine Driver Pack 2.5


Windows では xen 環境からの移行も簡単です。

SUSE Linux で XEN から KVM へ移行、VMDP はこんなに簡単

全体の流れは動画にまとめました(9分、盛大に音出ます)

Windows Server 2019 on SUSE Linux 15 with VMDP + KVM install (仮想化インストール)





今回は iso 版を仮想マシンにマウントしてインストールしました。

a0056607_15192426.jpg


- virt-manager からインストール -

SLE15より virt-manager のアイコンが yast2 の GUI から消えてしまったので、XのGUI 環境からテキストターミナルを開いて

# virt-manager &

をコマンドライン実行して仮想マシンマネージャを起動します。起動したら”not connected” のラインから右ボタンで "connect" します。

左上の Create ボタンを押して、新しいVMを作成します。

a0056607_15202167.jpg


インストールソース iso イメージを指定するため、 Browse ボタンを押して、メディアパスを探してセットします。

インストールソースをセットすると、自動的にインストールするVMのOSタイプを認識します。 SLE15 より Windows 2019 の方が後に出たため、ここでは Windows 2016 と認識されています。 他のOSの場合"unknown" などと出てきた場合は "Automatically detect ......." のチェックを外して、最も近いシステムを選択することができます。

> Forward

a0056607_15204710.jpg

Windows Server 2016 と認識したため、VM イメージは 40 Gb と認識されました。 Windows でこれより大きな C: システムイメージを作りたい場合は、任意の数字をセットします。

デフォルトでは /var/lib/libvirt/images の下に qcow 形式の仮想イメージを作ります。
今回は、SSD をマウントしたディレクトリに、RAW フォーマットのイメージを作りたいので、"Select or create ......" を選び "Manage" ボタンを押して、任意の場所、任意のファイル名で仮想イメージを作ります。

a0056607_15214328.jpg

メモリとCPU数を、デフォルト状態から任意の数値にセットします。

a0056607_15212259.jpg


仮想イメージを作成するディレクトリをブラウズして決定し、ファイル名を任意にセットします。ここでは SSD ドライブをマウントした下のディレクトリに"仮想VM名.disk0.raw" としました。

※ なお、ディレクトリはこのダイアログでは作成できないため、事前に

# mkdir "仮想VM名"

しておくと良いでしょう。

a0056607_15223969.jpg



仮想ディスクイメージがセットできたら "Forward"

a0056607_15231082.jpg



最後のダイアログです。ここでは必ず決め打ちされた仮想VM名: "Name" のボックスに、運用上の命名規則に則った Name をセットします。

次に、必ず "Customize configuration before install" のチェックを入れて、インストールのサマリダイアログを開くようにしてください。

> "Finish"

a0056607_15233941.jpg



"Customize configuration before install" のチェックを入れると、インストールのサマリスクリーンに移動します。

a0056607_15243416.jpg


IDE Disk を選んで "Advanced options" ドロップダウンを開くと "Storage format" が qcow2 で決め打ちされています。この欄を "raw" 形式に変更します。

※ qcow2 形式は、指定したディスク容量より小さく、容量を節約できますが、一般に書き込み動作が低速で重い、と言われています。また、データの使い方によっては、それほど、効率が良くないようです。例えば一発デフラグすると、あっという間に容量を使い切ってしまうという事が起こりえます。
 
 システムドライブイメージでは初めから容量確保されて安定して高速な "raw" フォーマットの方が良いと思います。
データドライブ、パーティションは qcow2 形式を選択する場合もありますが、データドライブは別メディア、例えば iSCSI SAN ストレージを使った方がベターです。

a0056607_15250315.jpg




VMDP(Virtual Machine Driver Pack) を使う場合、NIC の形式は "Hypervisor Default" から”virtio” に変更します。
ハイパーバイザーデフォルトを後で変更しても構いませんが、手順がややこしいので、インストール時点で "virtio" にしておくのが良いでしょう。

a0056607_15263103.jpg


"Apply" を押して、左上にある "Begin installation" を押すとインストールが開始されます。

a0056607_15271901.jpg

インストールが始まります。

a0056607_15273937.jpg

二度ほど再起動したら、インストール完了です。(この環境では約10分....)さすが Linux ベースの仮想化は早い!...



- VMDP のインストール -

virtio をNICドライバとして設定したため、NICが見当たらない状態になっています。

a0056607_15275800.jpg



仮想コンソールからVMのサマリ編集画面のボタンを押して移動し、 IDE CDROM に認識されているインストールソースを"Disconnect" して、”Connect” ボタンから、 VMDP の ISO ファイルをファイルシステムからブラウズしてマウントします。

a0056607_15281902.jpg

仮想コンソールに戻り、VMDP の ISO ファイルがマウントされている事を確認します。

a0056607_15300798.jpg

※VMDP はアンインストールしたり再インストールする場合があるので、C: ドライブの任意のフォルダにコピーしておくと良いでしょう。

VMDP の setup.exe を実行します。

a0056607_15303216.jpg



EULAに同意

a0056607_15304667.jpg

インストールが始まります。(この環境で1分弱)

a0056607_15310514.jpg

VMDPのインストールが終わると、再起動が要求されます。でもその前にネットワークが検出されたようです。

a0056607_15312356.jpg

再起動後のネットワークのプロパティです。ネットワークが認識されているようです。

a0056607_15313802.jpg


イーサネットのプロパティを開くと "SUSE Network Driver for Windows" がインストールされている事が分かります。「構成」ボタンを押してドライバのパラメータを確認します。

a0056607_15320010.jpg



「詳細設定」タブにドライバのパラメータが設定されています。VMDP2.5 では、デフォルトで問題ないようですが、一応 "xxxx Offload" 系のパラメータは全て "Disabled" になっている事を確認します。 これらが Disable にセットされて問題になったことはありませんが、Enable で問題になったことは何度もありました。


a0056607_15322063.jpg


デバイスマネージャーを開いて、 BUS ドライバや SUSE NIC ドライバがインストールされている事を確認します。

a0056607_15323781.jpg


VMのサマリ画面に戻り "Boot Options" にある "Autostart" にチェックを入れ、ハイパーバイザー筐体が起動したときに同時にVMも起動できるようにします。また、Boot Menu が出ないよう、マウントした CDROM のチェックを外しておきます。


a0056607_15325246.jpg





How to install samba on SUSE Linux Enterprise 15 (SLES15) インストール

初めての Linux, openSUSE Leap を Hyper-V で動かす

openSUSE Leap 15.1 で始める KVM, 無料のハイパーバイザー


SUSE Linux 15, openSUSE 15, SLES15, KVM, Windows サーバー仮想化、virtio, Linux, 仮想サーバーの最適化, 仮想マシンが重い,






by islandcenter | 2019-02-24 15:33 | SUSE | Comments(0)

まだ真新しい、Windows Creators Update のPCを Fall Creators にISOファイルから直接バージョンアップしました。回線がそれほど太くないので、ISOをダウンロードして確実にオフラインでもアップデートできれば、回線に関わるコスト(時間)が短縮できるし、台数が多い場合もそれだけ手早くできるので、ISOからのアップデートはお勧めです。


前回のはこちら

ISO を使った Windows 10 のオフラインアップデート

- 準備するもの -

- ヒマでブラウザでSNSなんかしないまた―りとした夜 -> 寝ている間の ISO のダウンロードに必要
- 何もすることがない雨の週末の金曜の午後 -> 作業時間は2~3時間、徹夜も覚悟のその間PCは使えない。
- Blue Noteの CD 2~3枚 -> アップデートする時のBGMが必要
- チャンドラーの短編集2~3冊 -> これくらいは読み終えるくらい時間がかかる
- 缶ビール2~3本 -> ま、失敗したら徹夜覚悟ですな。
- バーボンのボトルがあれば直良し
- アイスクリーム -> あまり腹を冷やすと逆効果
- チョコチップス -> バーボンに合う、腹減るからね。

なお、C:ドライブの空きはタップリ必要です。

Windows7から10へ移行、C:ドライブの拡張には MiniTool は便利


- ISO の入手先-

Windows 2017 Fall Creators Update ISO ファイル

ダウンロード先

"ツールを今すぐダウンロード"

a0056607_15402131.jpg


ダウンロードした MediaCreationTool を起動

なにやらやっている


a0056607_14480340.jpg


よーく読んで”同意”するしかない。


a0056607_14482053.jpg


"別なPCのインストールメディア ....."を選んで ISO ファイルを手に入れる。


a0056607_14483912.jpg


"このPCのお勧めのオプション"のチェックを外す

アーキテクチャ”64”または"32"必要であれば、両方


a0056607_14490056.jpg

”プロダクトキーが要るよ”のダイアログを確認

使用するメディアは "ISOファイル"を選択

a0056607_14492370.jpg

保存先が指定できるので、C:ドライブの空きを考えて、別ドライブか、ネットワークに保存するのが良いでしょう。

デフォルトファイル名が Windows10.ISO なので HOME 版なのか Pro 版なのか、32ビット版なのか、64ビット版なのかわかるように、ファイル名に名前を付けて保存

一晩寝る。ZZZZzzzzzz.......

この間 Youtube なんかは見ない事。

- いよいよアップデート -

余分なソフトウェア、機能は停止させておくこと。
このPCには Hyper-V が動作していたので、削除しておきました。以前 Anniversary アップグレードした時はこいつが原因で、失敗したことがあります。また、Windows と Linux のデュアルブートしているPCもおかしなことになる可能性があります。Linux の Grub が書き換えられてブートできなくなる場合があります。アンチウィルスは削除しませんでしたが、時折悪さする事が、悪さどころかシステムをクラッシュさせる場合もあるので、削除した方が無難でしょう。他に常駐系のアプリケーションは、削除するなり、サービスを無効にしておくことが、安全にアップデートする秘訣でしょう。どうせ Microsoft 製品ですから、素の状態でしかテストしていない、そんなものです。


a0056607_14501429.jpg

ISO ファイルをマウントして

a0056607_16534976.jpg

> setup.exe を実行します。

a0056607_16551569.jpg


a0056607_14503951.jpg

回線の都合を考えて、この時点では更新のダウンロードはしないで、別な機会にしましょう。

「インストールの品質向上に協力」する必要なんてないので、チェックは外します。何を送信するか、判りませんからね。


a0056607_14510747.jpg



嫌々ながら「同意する」


a0056607_14522165.jpg

何かと、リフレッシュインストールしたがるけれど、個人用ファイルとアプリは引き継ぎます。


a0056607_14524531.jpg


インストールしています....... 30 分

勝手にリブートします。ノートブックなので Bios のパスワードを入れないと起動できない。

構成中 ..... 30分

もう一度再起動、また Bios のパスワード

構成中 .... 30 分

またまた再起動、またか。

構成中.... 30 分 起動できた。

プロファイルの再構築 約5分

終わり、> winver でバージョンを確認 Version 1709 Build 16299.15 でした。

a0056607_14540713.jpg



その後 Windows Update をします。

- インプレッション -

今回は何のドラマもなくアップデートが終わりました。Windows10 というものの変化を見ていると、Windows10 が如何に未完成で、未熟なものであるのかというのを身に染みて感じます。これから、どんな便利な機能が亡くなってしまったか、どれほど不便になったか、どれだけ先取りして、使えない邪魔な機能が増えたのかをチェックしてみます。

また、せっかく見つけて Disable にした機能が復活している場合があるので、これも要チェックですね。

Windows7 からWindows10 にアップデートしたらまずするべき事。

「Windows10 をエンタープライズ利用する」場合、単に"Windows10" という言い方をしてはいけない状態になります。当然多くのPCの償却期間、4~5年の期間を見越して、どのバージョンを選ぶかが重要になります。 "Windows10 xx update" "Windows10 yy update" 別物の製品です。今 Internet Explorer 11 が付いてきているようですが、このサポートも、これからの長い "Windows10" 時代に終了するはずです。何しろ "Windows10"最後の Windows です。 今後何年続くかわからない代物なのです。

ユーザが自分自身でアップデートする可能性は少ないでしょうから、人力でどこかのタイミングで、償却と共に、バージョンアップを検討しなければならないでしょう。そのタイミングを間違えると、エラク不便な事になります。

また、 Windows10 自体のアップデート作業は1台当たり2~3時間はかかる作業です。その間にどれだけユーザの生産性を削ぐかを検討しなければなりません。人海戦術で行っても、一人当たり一日5~6台が限度です。ライセンス費用だけではなく、作業コストと、作業中に生産性を削ぐ時間のコストを考えると、1台当たり、2~3万円程度の費用、あるいは利益機会の損失があります。

パッチを充てる程度の手間と思うと痛い思いをするでしょう。

次の読み物

openSUSE シェルを Windows10 Subsystem for Linux (WSL) で使う

OES Linux でフォルダの容量制限付きアーカイブ専用ファイルサーバー:サーバーをゴミ箱にしない工夫

ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)



最後まで読んでくれてありがとうございます。


- Keyword -

Windows10 Fall Creators Update, Version 1709, 1803, ISO マウント, ISO アップデート, インストール手順, アップデート手順, 作業時間

by islandcenter | 2017-10-26 15:30 | Windows | Comments(0)

Windows10 で、C ドライブを非表示にしたいとか、ネットワークにマップした S: と D: だけ表示させたいとか、リムーバブル USB メモリデバイスに割り当てられる E: とか F: とかを不可視にしたいというケースがあります。

ここでは、既定のグループポリシーに手を加えて、柔軟にドライブの表示/非表示を定義する方法を説明します。



10年前にこんな記事を書いたのですが、未だにご覧になられる方がいらっしゃるようで気になっていました。

グループポリシーでドライブを非表示にする。

という事で、 Windows10 でも、エクスプローラからグループポリシーでドライブが非表示にできるかどうかを試してみました。


PR- 副業やるならまずHP -PR





Windows のドライブは勿論、アルファベットのA~Zまであるのですが、意図的に見せたくないドライブもあります。例えばC:ドライブに勝手にディレクトリを掘って、そこに重要なデータを保管されたりすると、いざ、PCがご臨終になった場合に、データが無くなったとウルサいエンドユーザさんもいるわけですね。できれば、C:とD: は別なパーティションにわけて、D:ドライブは自由に使ってもいいけどC:ドライブは、システムを復旧した時に保証されないよ、という事もあるわけです。ついでに、ドキュメントフォルダなんかはD:ドライブに割り当ててあげて、タスクスケジューラなんかでD:ドライブだけをNASなどの隠しドライブに Robocopy してあげれば、最低限ユーザのデータのバックアップは為せば成る。

また、USBの外付け記憶装置や外付けHDDなんかをつないだ時に、ドライブレターが、エクスプローラに表示されなければ、簡単にコピーすることもできません。「なぜコピーできないんだ」と言われれば、それは「セキュリティポリシーだから」で済むわけです。そこで、例えばネットワークに割り当てたP:とかS: とか以外は見せたくないという事も考えられるわけです。

という事で、エクスプローラから、見せたくないドライブをグループポリシーで隠してしまおうの Windows10 版です。もっとも、エクスプローラからは見えないだけで、コマンドプロンプトや、保存したり、エクスプローラから、開く時のアドレスバーに直接ドライブ名を入れてしまえば、見えてしまうのですが、おおよそ9割のエンドユーザさんはそんなことお構いなしに「見えないものは無いもの」と考えてくれるわけですから、それなりに便利だともいえます。



- 基本編 -

さて、グループポリシーエディタ gpedit のドライブを隠す設定は

  1. [ユーザーの構成]、[管理用テンプレート]、[Windows コンポーネント]、[エクスプローラー]
  2. [指定したドライブを [マイ コンピューター] 内で非表示にする] を開く
  3. [指定したドライブを [マイ コンピューター] 内で非表示にする] ダイアログ ボックスで [有効]
  4. ドロップダウン ボックスで該当するオプションをトグルして設定

という手順になるのですが、


a0056607_10500340.jpg


ただ、この gpedit のテンプレートでは、決め打ちのドライブを隠す設定だけなので D: とネットワークに割り当てた P: と S: だけは見せたいとかのカスタマイズができません。という事で、この「隠しドライブ」のテンプレートをカスタマイズしてみましょう、というのがテーマです。



- 不可視ドライブをカスタマイズする -

C:\Windows\PolicyDefinitions の下に WindowsExplorer.adml というファイルがあります。C:\Windows\PolicyDefinitions が本体で、さらに ..\ja-JP\ に翻訳した内容が記述されています。

C:\Windows\PolicyDefinitions\ja-JP>dir WindowsExplorer.adml
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions\ja-JP のディレクトリ
2016/07/17 07:15 80,922 WindowsExplorer.adml
1 個のファイル 80,922 バイト
0 個のディレクトリ 25,201,598,464 バイトの空き領域
C:\Windows\PolicyDefinitions\ja-JP>

翻訳はメモ帳で開くとこんな設定が書かれています。gpedit に出てくる内容そのまんまですね。

: 略

<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"; xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"; revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">;
<displayName>表示名をここに入力する</displayName>
<description>説明をここに入力する</description>
<resources>
<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

実体を開くと

C:\Windows\PolicyDefinitions>dir WindowsExplorer.admx
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions のディレクトリ
2016/07/17 07:20 41,886 WindowsExplorer.admx
1 個のファイル 41,886 バイト
0 個のディレクトリ 25,188,646,912 バイトの空き領域
C:\Windows\PolicyDefinitions>

例えば翻訳では 「AB のみを制限する」内容がこのように記述されています。翻訳版の ja-JP の "string id=" の部分を "item displayName=" で定義しています。

: 略

<item displayName="$(string.ABOnly)">
<value>
<decimal value="3" />
</value>
</item>

: 略

ここで問題となるのが "decimal valu=" の部分です。





- 不可視ドライブの値を決定する -

ここで Decimal Value は Z~A をビットに見立てて、0 は見せるドライブ、1 は見せないドライブです。
Dex:3 は 0011b: 0x03 ですから "D:C:B:A: ドライブの B: と A: はビットが立って、制限して見せない"という事になります。

右からZ:Y:X: .... C:B:A: とビットで制限して、内容を10進数で表記しているわけです。実に面倒くさい。

例えば D:E:F:P:S: ドライブだけ見せて、他のドライブをエクスプローラーに表示させたくない場合、次の様なバイナリデータが、7桁の十六進数 0x3FB7FC7 となり、 Decimal 十進数では 66812895 となります。

Novell の ZENworks の Knowledge Database に記事があります。

How to restrict drives on workstations

つまり、D:E:F:P:S だけ見せたいという計算はこういう事です。

**ZW|XWVU|TSRQ|PONM|LKJI|HGFE|DCBA <<-- Drive Letter
0011|1111|1011|0111|1111|1100|0111 <<-- Binary 1:Hide, 0:Show
0x03|0x0F|0x0B|0x07|0x0F|0x0C|0x07 <<-- Hex
66812895 <<-- Decimal

という事で、ドライブの見せ方を決定するには面倒で使えない Windows10 の「電卓アプリ」を使って、二進、十進の計算するわけです。

しかし電卓アプリよりこの面倒な数値を求めるサイトが、まだあるのでご紹介しておきます。とても便利です。


Drives to show/hide

不要なデフォルトの Show Only を Delete して、表示したいドライブレターをチェックします。"New" ボタンを押すと、必要最低限の情報だけを作ってくれます。

a0056607_10505797.jpg





Export すると、この様な hidedrive.adm が作成されてダウンロードできるので、参考にすると良いでしょう。 D:E:F:P:S: を表示する値は 66813895 になりました。0 は全部ビットが落ちて "ShowAll" で 67108863 は全部にビットが立って "HideAll" になります。

  : 略

CATEGORY !!WindowsComponents
CATEGORY !!WindowsExplorer
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoViewOnDriveDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
END CATEGORY ; WindowsExplorer
END CATEGORY ;; WindowsComponents

: 略




- 実装してみる -

メモ帳などのテキストエディタで、 C:\Windows\PolycyDefinitions の中身を書き換えて追加する隠しドライブのポリシーを追加します。上書きできないのでいったん保存して、ファイルのバックアップを取ってから、ファイルを PolicyDefinicions にコピーして実装します。

C:\Windows\PolicyDefinitions>type WindowsExplorer.admx

: 略

<item displayName="$(string.DEFPSonly)">
<value>
<decimal value="66813895" />
</value>
</item>

: 略

C:\Windows\PolicyDefinitions\WindowsExplorer.admx は所有者が Administrator でなければ上書きできません。ファイルのセキュリティの詳細から所有者を Administrator グループなどに変更する必要があります。一応バックアップをとってから書き換えることができました。

C:\Windows\PolicyDefinitions\ja-JP>type WindowsExplorer.adml

: 略

<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="DEFPSonly">DEFPSのみ見せる</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

この様な感じで、追加したポリシーを書き換えて保存します。

このC:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml ファイルはいったん別なディレクトリに保管して管理者として上書きします。

実装前

G: I: が見えています。

a0056607_10542889.jpg



"DEFPS のみ見せる"が出てきました。「有効」にポリシーを設定して「適用」します。


a0056607_10562741.jpg


グループポリシーを即座に適用します。

C:\WINDOWS\system32>gpupdate.exe
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\WINDOWS\system32>

エクスプローラからC: H: I: ドライブが消えました。

a0056607_10552891.jpg




S:にネットワークの共有記憶領域を割り当てます。S:は見えるようです。





--


今回は、単体PCで実施しましたが、 ZENworks Configuration Management では、変更したPCで iManager から設定し、サーバーにアップすれば良いかと思います。 Windows ドメインを使う場合は、たぶんどこぞの隠し共有フォルダにこのファイルがあるので、書き換えて管理できるでしょう。

このグループポリシーのテンプレート自体をカスタマイズする方法は、若干面倒ですが、他で紹介されているように直接レジストリを書き換える方法より安全でしょうし、また、他にいくつかの Hide Drive Policy のテンプレートを追加して作っておけば応用が利きます。

ドメインコントローラや ZENworks ユーザによって、管理者、ヘルプデスク、一般パワーユーザ、一般ユーザ、先生、生徒の様に様々なパターンが二つのファイルのカスタマイズだけでできるのでとても便利です。

※なお、この方法は Windows Update などで、テンプレートが上書きされる場合があるので、必ずテンプレートのバックアップを取っておくのが良い様です。


PR- 最後まで読んでいただきありがとうございます-PR






-Keyword-

Windows, Windows10 特定のドライブ, ドライブが見えない, ドライブを不可視, ドライブを隠す, 特定のドライブを非表示, グループポリシー, How to Hide Drive letter from Explorer,特定のドライブを「コンピューター」や「エクスプローラー」で非表示, 指定したドライブを [マイ コンピューター] 内で非表示にする, カスタマイズ, マイコンピュータから特定ドライブを見せない, マイコンピューターからドライブを消す方法、グループポリシー cドライブのアクセス禁止、windows10 ドライブを不可視、リムーバブル ディスクを表示させない。windows ドライブを制限する。外付け hdd を見え なくする。


by islandcenter | 2017-10-19 11:14 | ZENworks | Comments(0)

ここでは Linux, Windows のシャットダウン、リブートの方法について説明します。

1) .Linux のシステムを停止、電源遮断する

Linux システムのシャットダウン、再起動コマンドは shutdown コマンドを
実行します。

- 参考ページ -

シャットダウンして、電源遮断(Halt)をするには

# shutdown -h 0 または
# shutdown -h now

シャットダウンして、再起動(Reboot)をするには

# shutdown -r 0 または
# shutdown -r now

-h は halt, -r はリブートの意味です。0 は「0分後」つまり今すぐの意味です。

SLES11の場合

SLES11sp4:~ # shutdown --help
shutdown: invalid option -- '-'
Usage: shutdown [-akrhHPfnc] [-t secs] time [warning message]
-a: use /etc/shutdown.allow
-k: don't really shutdown, only warn.
-r: reboot after shutdown.
-h: halt after shutdown.
-P: halt action is to turn off power.
-H: halt action is to just halt.
-f: do a 'fast' reboot (skip fsck).
-F: Force fsck on reboot.
-n: do not go through "init" but go down real fast.
-c: cancel a running shutdown.
-t secs: delay between warning and kill signal.
** the "time" argument is mandatory! (try "now") **

SLES12 の場合

sles12sp3:~ # shutdown --help
shutdown [OPTIONS...] [TIME] [WALL...]

Shut down the system.

--help Show this help
-H --halt Halt the machine
-P --poweroff Power-off the machine
-r --reboot Reboot the machine
-h Equivalent to --poweroff, overridden by --halt
-k Don't halt/power-off/reboot, just send warnings
--no-wall Don't send wall message before halt/power-off/reboot
-c Cancel a pending shutdown
sles12sp3:~ #



2). Windows のシステムを停止、電源遮断する(特にリモートデスクトップ)

通常にスタートボタン(田ボタン)からシャットダウン、リブートします。

Windows Server 系ならリモートデスクトップでも「田ボタン」から、シャットダウン、再起動のメニューが使えますが、Windowsクライアント系(VDIデスクトップ)の場合、リモートデスクトップから、再起動のメニューが出ません

もしWindows のリモートデスクトップを使ってシャットダウンする場合はDOS プロンプトを開いて

> shutdown /s /t 0 (シャットダウン)
> shutdown /r /t 0 (再起動)

か、

必ずフルスクリーンモード alt+f4 キーでシャットダウンのダイアログが出ます。


a0056607_13562995.jpg

こちらをご参考ください。



Windows2008 系を KVM/XEN で仮想化している場合、「シャットダウンしています...」が60秒以上かかる場合、あるいは、シャットダウンし切れない場合があります。

動きがない場合 virt-manager & から Force Off しても構いません。

あるいはコマンドラインで

# virsh(あるいは xm or xl ) destroy my-vmachine-Name_or_vmID_num

で強制終了させます。


3).仮想化ハイパーバイザホストで fsck する場合がある

なお、長期連続運用後、再起動させた場合、fsck プロセスが走る場合があります。

これは長期間 fsck をしていない場合に必ず行う checkdisk の様な物なので、進捗具合を見ながら放置してください。

数分から数十分かかる場合がありますので、慌てて電源を切らない事です

OS起動時のfsckのチェック間隔 (※SLES11の場合)

Superblock があるパーティションで

sles11sp4:~ # tune2fs -l /dev/sda9 | grep interval
Check interval: 15552000 (6 months)
sles11sp4:~ #
sles11sp4:~ # tune2fs -l /dev/sda8 | grep -i mount
Last mounted on: <not available>
Default mount options: (none)
Last mount time: Fri Sep 29 13:39:19 2017
Mount count: 44
Maximum mount count: -1

デフォルトでは6か月以上 fsck をしない ext3 パーティションは強制的に fsck されるようです。マウント回数は -1 なので無限大の様です。強制的に fsck させない場合は shutdown コマンドで

-f: do a 'fast' reboot (skip fsck).

オプションを使います。

※ このケースは SLES11 の ext3 フォーマットでのデフォルトです。SLES12 では BtrFS と XFS をデフォルト使用しませんのでこの限りにあらずです。





計画停電時の対策 SUSE (SLES11, SLES12,15) XEN/KVM 遮断マニュアル

SUSE SLES11, ハイパーバイザーのメンテナンス、Linux, Windows, シャットダウン、再起動



by islandcenter | 2017-10-03 14:00 | SUSE | Comments(0)

- 目的 -

全社、あるいは多くの部署で読み書き可能だったファイルサーバーのフォルダのアクセス権を特定の部署、あるいはグループに特定できるように変更したい。

- OES Linux での操作 -

次の OES ファイルサーバーのフォルダ VOL:test には O=ACE(組織全部)と Yoiko.Uses.Osaka.Ace(グループ)に権限が与えられています。

既に O=ACE に [ RWCEFM ] の権限が与えられているため、全社 O=ACE がこのファイルサーバーのフォルダを読み書きできる状態です。グループオブジェクト Yoiko.Osaka.Ace にもトラスティが与えられていますが、この権限はこの場合は余分です。
a0056607_11070253.jpg
したがって、OES ファイルサーバーの VOL:test には グループに関係なくすべてのユーザに権限が与えられています。

これを Users.Tokyo.ACE の OU にのみ解放したい場合 ....

いったんすべてのファイルサーバーの権限を削除して、
a0056607_11072836.jpg

特定の部門、グループにだけ権限を与えます。ここでは Users.Tokyo.Ace に権限が与えられ、Osaka.Ace には与えられていません。全社からではなく、一部の部署がファイルサーバーの特定のフォルダにアクセスできるようになります。

a0056607_11075388.jpg
これで Osaka.ACE のユーザには権限が与えられなくなります。

※ただし、ログインスクリプトで map f:=VOL: などの記述があると、全くボリュームに権限がないと、マップエラーになります。本来であれば、権限がない時点で map のスクリプトを削除するのがベストですが、何か理由があって、ログインスクリプトに手を加えたくない場合は、dummy ファイルを置いて、[ F ] 権だけを与えたファイルを作っておくと良いでしょう。

試しに VOL:dummy.txt のユーザに [ F ] 権のみ与えてみると、東京では見えるフォルダは見えませんし、F権のみなのでフォルダを見ることはできても中身を確認することができません。

a0056607_11081955.jpg
Windows のファイル共有と違って、OES のファイルサーバーのアクセス権(トラスティ)の割り当ては、一か所変えるだけで、メタファイルを一か所変えるだけなので、一瞬で終わります。フォルダの中にどれほどサブフォルダやファイルがあっても、ディレクトリとファイル全体の権限をスキャンして変更しませんので、ファイルサーバーの負荷はほとんど0%です。Windows ファイルサーバーでは数分から数時間かかり、ほとんどその間は、ファイルサーバが利用できない激重状態になります。

次のデモビデオでは、数万ファイルの大量のデータのアクセス権を変える操作を Novell OESでは一瞬、 Windows ファイルサーバーでは30分以上かかり、その間、ほとんどサーバーが使えなくなっている様子を比較したビデオクリップです。

Novell versus Microsoft: Granting Access Rights



また、権限のない不可視のフォルダ共有はエクスプローラにも表示されないため、共有サーバー上に数百、数千の読み書き不可の共有ディレクトリがあっても、ファイルサーバーが返すディレクトリ情報のポケットは「権限のある」ディレクトリだけなので、ネットワークの負荷が少なく高速に表示されます。



- keyword -

ファイルサーバー アクセス権限 変更 共有フォルダを見せない フォルダのアクセス権限を変える 遅い 重い ファイルサーバーの負荷100%

by islandcenter | 2017-07-19 11:23 | OES Linux | Comments(0)

すっかり落ち着いてしまったようですが、世間が wannacry ランサムウェアで大騒ぎしていた頃、気になる記事を Gigazine に見つけました。

Gigazine

Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」

"WannaCryは「MS17-010」で報告されている、Microsoft Windows SMB サーバーというWindowsのファイル共有システムの脆弱性を利用して広がりましたが"

Gigazine のこの記事によると、 wannacry については Windows XP に感染する前にブルースクリーンになり拡散に失敗するケースが多く、 Windows10 では比較的被害が少ないし、Windows8x 系はそもそもサンプルが少ないので、実際に感染したコンピューターは Windows7 の SMB なんだろうなぁ、という事がぼんやりと気になっていました。

そこで SMB のバージョンについて調べてみました。まぁまぁ良く整理されている記事がこちら。

第7回 ファイル共有プロトコルSMBの概要

そこで wannacry に関する情報を探ると出てくる出てくる。Windows サーバーから、おなじみの samba も影響があるのですね。


- 一番初めに試した対策 -

ほとんどどこでも言及している「SMB 1.0/CIFS のファイル共有のサポート」 デフォルト・イネーブルを削除してみました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

「コントロールパネル」>「プログラムと機能」> 「Windows の機能の有効化または無効化」から "SMB 1.0/CIFS ファイル共有のサポート"のチェックを外します。後は「再起動しろ」と言ってくるので、再起動します。すごく再起動に時間がかかります。

a0056607_17592725.jpg
再起動すると見事に samba サーバーが「ネットワーク」から消えました。\\IP\Share_name でアクセスもできません。

全滅

です。

という事でこいつ(SMB1.0/CIFS .....)は元にもどす事になりました。つまりはこれも拡散を防ぐための一時的な対策に過ぎません。

- samba サーバー側で対応してみる -

==========
Workaround
==========

Add the parameter:

nt pipe support = no

to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.

という事だそうです。

smb.conf — Samba の設定ファイル
によると

nt pipe support (G)

この真偽値パラメーターにより、 smbd(8) が Windows NT のクライアントに対して、 Windows NT の SMB 固有の IPC$ パイプへの接続を許可するかどうかが制御される。 これは開発者のデバッグオプションであり、意識する必要はない。

既定値: nt pipe support = yes


意識する必要はないとはありますので、とりあえず 手元の SUSE Linux SLES11 で設定してみます。

yast(or yast2) > Network Service > Samba の Identity タブ Advanced Setting からこの Expert Global Settings を書き換えます。

a0056607_18000345.jpg

Add ボタンで "nt pipe support" にチェック(デフォルト)が入っているので、このチェックを外すと smb.conf が書き換えられます。この状態で yast でOKすると samba が再起動します。

a0056607_18003739.jpg

ところが

a0056607_18010151.jpg

見事にアクセスが拒否られます。また Windows7 とサンドボックスの Windows XP も見事アクセスが拒否されました。
つまり

nt pipe support = no

パラメータはあくまでも一時的なものであり、根本解決には至りません。

という事で SUSE から出ているパッチを探してみました。これの様です。

- SUSE のパッチ -

CVE-2017-7494

結構メンド臭そう。やっぱり公式リポジトリからセキュリティ系のアップデートを全部パッチするのが正解の様です。

怖いのは、Linux のディストリビューション各社はパッチをだしているのですが、よく国道沿いのディスカウントショップで「家族計画用品」の隣で売られているご家庭製品専門のメーカーで出しているような、「なんちゃって我が家のNAS」みたいなものがパッチを出していなかったり、当てるのも面倒だったり、そもそも wannacry に対策しているかどうかもわからないところですね。


ということで

第一段階

SMB1.1/CIFS の利用をやめて Samba や NAS の使用を停止して、エンドユーザに総スカンを食らう
その間にパッチを全部確認する。

第二段階

手に入る限りの Windows パッチ、Samba パッチを当てまくり、リブートしまくり、ついでにあちこちでトラブルが出て、みんなに総スカンを食らう。

第三段階

PCを「安全性が高い」とマイクロソフトが豪語する Windows10 と Windows 2016 Server にリプレースして、SMB3.11 にアップデートして samba も 4.x にアップデートして SMB3.x のみサポートして、動かないアプリケーション続出しまくり、繋がらない古いPCユーザから総スカンを食らい、金をかけた効果はあったのかと経営者に詰問されて、辞表を書く。

というのが対策の手順となりそうです。




- Keyword-

wannacry, 対策, Windows10, Windows7, samba, SMB, CIFS, Linux, 脆弱性



by islandcenter | 2017-07-10 18:08 | プライベートクラウド | Comments(0)

この記事は書き換える可能性があります。

2016/10 より、Windows Update のポリシーが変わったせいでしょうか、急に WSUS の容量が爆発的にふえてしまったのです。

PR



WSUSを長年運用していると、

1) インストール済のパッチの拒否
2) クリーンアップウィザード
3) WSUS 自身のアップデート
4) 同期
5) 世間のパッチの不具合の話題をチェックしてインストールの承認
6) パッチのダウンロードと配信

という流れが出来てきます。これで毎月運用していれば WSUS の使用ディスク容量なんて20Gから30G程度で落ち着いてくれます。

ところが、ある日、クリーンアップウィザードを実施しても、全然キャッシュが消えないという不思議な現象に出くわしました。WSUS ピンチです。40G確保したD:ドライブを dd コマンドで4Gほど増やしてみて(当然仮想化運用です)も、キャッシュドライブは、大泉洋が作るスパゲッティみたいに膨れ上がる一方です。
a0056607_10515734.jpg
ということで、WSUS の空き容量を緊急に確保する緊急手段です。

Windows Update Service > 「オプション」 > 「更新ファイルと更新言語」を開きます。


a0056607_13493085.jpg
更新ファイルをローカルに保存せず Microsoft Update からインストール」をチェックして「適用」します。

a0056607_13495876.jpg
これで、キャッシュされたアップデートが削除が指示されるので、(その間「OK」ボタンがグレーアウトします。5分待ってください)その後、クリーンアップウィザードを使って、キャッシュのクリーンアップを行います。

空き容量が増えたら「更新ファイルをローカルに保存する」のチェックを入れてOKボタンを押します。次のパッチ配信から、ローカルネットワークにキャッシュされます。

ギリギリだった容量が一挙に回復しました。

a0056607_13502123.jpg
Windows は 2016/10 より、パッチのリリース方法が変わりました。
2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点
これで、WSUS のキャッシュが「ふえるワカメ」になるという記述はありませんが、 WSUS の運用方法に影響が出ることは予測していました。やっぱり、運用は変わりますね。

-ただ今40Gbダウンロード中-

どこまで増えるんだ? 4G のOSパッチがその10倍もあるなんて .....! という事でこの話はまだ続きます。
やっと終わった40Gb、Windows 7, 10/ 10amv Upadte の三つのパッチだけで、本体の3倍のパッチ。これえ40Gbってどういう事よ。

-ダウンロードの取り消しと拒否-

それでもダウンロードが止まらない。という事で、「ダウンロードの取り消し」をやってみました。「全ての更新プログラム」の中で「タイトル」の左にある白の「!」アイコンを押して、ソートして、配信しなければならないパッチのみ黄色の「!」マークをリストします。

配布が不要な無印の更新プログラムの残骸が「拒否、未インストール」でゴッソリ残っています。

この黄色の「!」マーク以外の拒否したリストをShift キーを押しながら選択(やっちゃった後の「キャプチャ」なんでね....)、右ボタンから「ダウンロードの取り消し」「拒否」を行います。(下の図では!マークを選んでいますが...)
a0056607_11414788.jpg
その後、クリーンアップウィザードでディスクをクリーンアップすると、見事にダウンロードの嵐が止み、ディスク容量も回復することが出来ました。

Windows10 のKB3197356には気を付けろ。Edge のパッチだけで 700Mb あるぞ、という事らしいです。このパッチが配布された後は、小康状態です。
良かったみたいです。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)
https://islandcnt.exblog.jp/238412872/

フォルダの容量制限付きアーカイブ専用ファイルサーバー:サーバーをゴミ箱にしない工夫
https://islandcnt.exblog.jp/238371771/

クライアントPCのBCP対策 D:ドライブにドキュメントを保管・バックアップ
https://islandcnt.exblog.jp/238911684/

SUSE linux15 virt-manager が起動できない
https://islandcnt.exblog.jp/239299263/


isLandcenter.jp



-Keyword-

WSUS 3.0 ディスクが満杯 アップデートの削除 ディスクの節約 容量不足 空き容量 





by islandcenter | 2016-10-17 17:20 | プライベートクラウド | Comments(0)

関連記事


Windows10 HOME でパスワードがないゲストユーザを作る

Windows10 Microsoft アカウント<-->ローカルアカウントの変更


の続きです。

Windows10 に作成した、「ゲストユーザ」にストアアプリを使ってもらう事を想定してみましょう。例えば貴方のタブレットをちょっとの間、パスワードのないゲストアカウントで知人に貸し出したり、リモートデスクトップでVDIサーバーしか使わない、格安シンクライアントにログインした、パスワードなしのユーザ、(VDIは Windows7 だったりするので、ストアアプリは使えない)にストアアプリにある、ニュースアプリや天気予報、乗り換え案内など、業務や、ちょっとした行動に必要なブラウザでは使えないアプリをインストールしておくことがあります。あるいは、"MyHomeUser" など、パスワードを必要としない我が家のガキンチョどもに、ちょっと使わせたい、なんてシーンはゴロゴロしているわけですね。そんな目的で、Microsoft アカウントと紐づけされていないPCに、ストアアプリをインストールする方法をチェックしてみました。


- ストアアプリにサインインしてアプリをインストール -

ストアアプリを起動して、「検索」窓左の人型アイコンをプルダウンして、「サインイン」します。
a0056607_11364611.jpg
アカウントの選択で "Microsoft アカウント"を選びます。
a0056607_11380177.jpg

ここで既にある Microsoft アカウントでサインインします。
a0056607_11384664.jpg
Microsoft ID のユーザ名とパスワードをセットして
a0056607_11393345.jpg
"このアプリのみサインイン"します。
a0056607_11404018.jpg

これで Windows ストアにアクセスできるので、天気予報アプリを使ってみました。
a0056607_11411913.jpg

問題なく使えるようです。
a0056607_11420540.jpg


- サインアウトする -

ストアアプリからサインアウトするには、検索ボックスの人型アイコンからサインインしたアカウントをクリックして”サインアウト”します。
a0056607_11424410.jpg

無事サインアウトしたようです。
a0056607_11432944.jpg
この状態であれば、天気予報やニュースアプリのように Microsoft アカウントを使わないストアアプリであれば、問題なく利用できるようです。ちなみに、一つの Microsoft アカウントで同時に利用できるデバイスは10台までとの事ですが ....

[Windows 10]ストアアプリのインストール回数はどのように管理するのでしょうか?

「設定」>「アカウント」>「お使いのアカウント」>「Microsoft のアカウントの管理」でブラウザが起動します。 Windows Live へログインし、「デバイス」メニューから「PCの削除」が行えます。
a0056607_11441527.jpg

これで、Microsoft アカウントとデバイスとの紐づけを解除したら、10台以上に”天気予報アプリ”がインストールできるか、どうなのか。残念ながらそんなにPC持っていないので試していませんが、やっぱりデバイス情報には、インストールされたPCがリストされたので、10台以上のPCに一つのアカウントでインストールはできないようです。

a0056607_11540635.jpg
10台以上デバイスをお持ちの方のフォローがあったら嬉しいです。




-Keyword-
Microsoft Windows ID Windows10IDなし ストアアプリのインストール ゲストユーザ アカウントの紐づけがない アカウントの紐づけされていない Windows ID パスワードなしのユーザ 激安 格安 シンクライアント Windowsアプリ 使いたい。


by islandcenter | 2016-07-12 11:55 | Windows | Comments(0)