2019年 12月 07日
クラウド時代の激震!リース終了サーバーのHDDがオークションに、ユーザ企業は..
IT運用系の技術者としてショッキングな事件がありました。
日経の記事によると
神奈川県、行政情報に大量流出懸念 廃棄機器転売され"県のサーバーを更新した際、取り外されたHDの廃棄を委託された事業者の社員がデータ消去の不十分な状態で一部を持ち出し、ネットオークションで販売した。データ量は最大54テラバイトに上る可能性があるという。"
まず総データ量は54Tbであること
"出品されたHD18個の半数は県が回収したが9個は未回収という。"
ここで鯖屋が考えるのは、
全部で18個の半分回収済み、半分の9個行方不明、合計18個、ここに 54Tbなら 54Tb/18玉=3TbのHDD
という計算になる訳です。18個の3TbのHDD。
朝日のこの記事では
「なんだこれは…」と絶句 HDD落札男性が見た中身
恐らく、ディスク1個をPCにつなげて、データ復旧したら、やばいデータがぞろぞろ出てきたわけですね。
で、私は思うのですよ。
「SAS Raidじゃないな」
ここで3Tbの18玉という数字を想像して、あ、これなら日時バックアップ+週次に使えば大体ひと月分のウィークデーのバックアップに相当するわけです。普通Raid が壊れると、まず私程度の一般的なスキルの持ち主では修復できません。それに SASなら、一般的なPCでは動かないし、高価なHBAアダプタが必要だし。Raid HBA が変わると Raid はまず再構成が始まります。もうこの時点でほぼ復旧できません。Raidの玉一個だけなら、「バラバラ殺人事件」の体の一部です。全体は復旧できない。
2019年の今ならわかるけど、たぶんサーバベンダー製3TbのSAS HDD なんて、あっても高価だし、おそらく数年前の導入時にはかなり希少だと思います。中古品でも、サポート切れHWの修理用として高価に取引されます
ただし、Raid が壊れた場合、私のようなパンピーな技術者や「愉快犯」程度では無理でも、その筋の「玉筋金太郎」のような、専門家ならゴルゴ13並みに不可能ではありません。Linux+XFSの様なセキュリティが強そうファイルシステムならまだしも、Windows+NTFS だと「なんちゃってエンジニア」でも簡単に使えるフリーソフトはたくさんありますからね。
怖いのはクラウドサービスを使っていて、使い終わった後のデータ処理ポリシーがブラックボックス。データ消去が顧客側のポリシーでコントロールできません。oneDrive なんて使って、オフィスデータをごっちょりため込んでいる運用者にとっては悪夢ですね。
私も経験ありますが、 Raid が壊れたケースでは、 Raid が壊れて完全データ復旧まで、玉筋金太郎に頼んで海外の提供先に出して二か月かかったそうです。メチャマイナーなNSSファイルシステムで、復旧にはン百Gbで、費用はン百万単位。でもすごいものですが、いるんですね。そんな玉筋金太郎な技術者って。
空中分解したスペースシャトルから地上にたたきつけられたハードディスクのデータを復元Novell Storage Service
恐らくサーバーのシステム構成は、普通に SAS Raid6とかで、オークションで流れたのは、日時バックアップ用の外付けSATA HDDで、実データは3Tb程度+差分18個なのかもしれません。
ま、ここまでは推測ですけど...
--
- 顧客としてやるべき事 -
今回の事件は、神奈川県庁が被害者のように見られそうですが、一番の被害者は納税者であり、個人情報が危険にさらされている神奈川県民なのですね。
多くの企業でサーバを固定資産にせず、経費処理しています。リース会社に返却する場合は、データの抹消はリース元に安易に任せず、ユーザ自身が責任をもってすべきなのです。
でもHDDはリース品なので、無傷で欠品なくリース会社に返却しなければならないわけです。とは言っても中のファイルとソフトウェア資産を残したまま返却するわけにはいかないので、利用するユーザ側としてはできる範囲で、データのシュレッドを行うべきだった、という事です。
データの完全消去
一般的にはアメリカ国防省がスタンダードとしている
1. 乱数書き込み3回2. 最後に Null 書き
が一般的だと言われます。本来ならLinux のライブUSBで起動して
1. # dd if=/dev/urandom of=/dev/sda2. # dd if=/dev/urandom of=/dev/sda3. # dd if=/dev/urandom of=/dev/sda4. # dd if=/dev/zero of=/dev/sda
を実行するわけです。今回の場合、27玉の HDD に全てにすべきだったのでしょう。ランダム書きは恐ろしく時間がかかるのですが、これを顧客側でやっておけ、という事です。たぶんひと玉当たり一日仕事です。全部でひと月かかるでしょう。
時間がなければ、デバイスの Null 書きだけでもすべきです。これなら数時間で終わります。ここまででもやっておけば、よっぽどその筋の玉筋金太郎でなければ、まず復旧できないのです。
openSUSE Leap 15.1 の Live USB で「初めてのどこでも Linux」の作り方
そんな面倒な事やってられないよ、と言われそうですが、データ消去にかかる費用もシステム移行にかかるコストとして計算すべきだったのかもしれません。
」何しろこういったインシデントがあった後は、業界自体が体制の見直しだとか、廃棄ルールの徹底をチェックしますからね。ひょっとしたら今が狙い時かも知れませんが、謳っている広告と実際の作業内容の乖離が大きかった事は、業界のダメージでしょう。
いわば「IT業界の最下流」である、データ破棄業者が信用できなければ、たとえ上流のデータセンターの厳しいセキュリティチェックがある、入退室管理システムも信用できない。クラウド次第の激震、クラウド契約終了後の、残ったデータの破棄はどうするのか。おそらく契約書にはなにも書かれていない。
何しろ持ち込み禁止の「入退室管理ができている隔離された部屋から、リュックに詰め込んだHDDが運び出された」わけです。同じことが、iDCやクラウド運用ビジネスで行われることも「あり得るな」という印象を与えた事は大きな事件です。
BSE騒動直後、品川港南口付近の「焼肉屋」はずいぶん安い価格でうまい肉食わせてもらった覚えがあります。業界が岐路にある時は、真摯に対応してくれるものかもしれません。今、一番信用できるのは他のPC破棄業者かもしれませんね。
▲
by islandcenter
| 2019-12-07 16:45
| 雑文
|
Comments(0)
2019年 11月 04日
ホスト名の命名規則? 15文字の制限と63バイト、ホスト名の命名権利はあなたにある。
- ホスト名は「花鳥風月」 -
数十年前に初めて、お客さんのネットワークシステムを構築したとき「コンピューター名どうしましょ」となった時に「ま、花鳥風月でいいんじゃないっすか?」と申し上げた事がありました。英国軍艦の装甲艦コルベットには「フラワー級コルベット」というのがあり、「立派な海軍の男がパンジー(三色スミレ、男色者の隠語)なんかぁで戦えるか」というくだりが、よく英国の海洋冒険小説に出てきます。でもこの「花の名前」のフラワー級コルベット。使い勝手の悪さと居住性の悪さにも関わらず、構造が簡素で大量生産できたため、大戦中の大西洋でのドイツの潜水艦との地味で退屈で危険な戦いでは大活躍したんです。
※ちなみに英国海軍の場合は、必ず正式名に HMS が付きます。
そこで戦後に初めてアメリカの GM が作った小型スポーツカーにつけられた名前が「コルベット」。ま、余談はここまで。「花」はこんなものですが、「鳥」は何だかメンド臭そう。「月」は moon 以外に見つからず、じゃ「風」の名前はどうなんだろうと調べたら、結構、コンパクトで魅力的な風の名前(地方風)の語には蠱惑的な単語が結構あるんですね。特にヨーロッパ古代から中世史に興味があったので、地中海の船乗りに関する「風の名前」「船乗り用語」「船乗りが嫌がるもの」など地中海の船乗りが使う語彙が豊富になりました。という事で、ウチのコンピュータや Wifi の SSID なんかには、いいも悪いも含めて地中海の船乗りになじみのある自然現象などの名詞が使われています。ちなみにSSIDの文字列の最大長は32バイトだそうです。そういえば、電車の中でスマートフォンのSSIDを変えて、見知らぬ他人と会話する、という話が一時期話題になったように、2バイト文字も使えますが、お勧めはできません。
WifiのSSIDで隣人とコミュニケーションしよう
軍艦の命名規則には、それぞれお国柄があるようです。特に海軍国である英国艦艇の補助艦には、フラワー級だけではなくリバー級とかタウン級なんて命名規則がありました。アメリカ海軍の場合 USS で始まり、州の名前とか政治家とか、頑張って戦死した二等水兵の名前とか。ま、そのうち風の名前のセンスに苦しんで、コンピューターのホスト名には北欧の物語に出てくる妖精の名前をかたっぱしから付ける様になりました。英国空軍の機種名やエンジンの名前によく使われています。英国人のセンスですね。名前を見るとユニークでインパクトがあるものをよく見ます。
ユーザアカウント名は8文字以内にすべきか?ユーザの命名規則の理由
- よくある命名規則 -
社内ネットワークが構築され始めたころ、良く客先で見かけたのが「星の名前」や「ギリシャ神話の神」をルールにしているところが多かった。これは単純に使いやすいのと、ゲームの主人公なんかによく使われるんですね。どうも、「天体名」は人気があるそうです。でもその名前の由来を調べたら、縁起の悪いものもあるので、気を付けたいところです。こういった命名規則を作った趣味人の命名規則。例えば、片っ端から「ガンダム名」にしてしまうと、
「シャーが死んだ」とか「ザクにバグがある」「ホワイトベースが堕ちた」
なんていう楽しい会話ができます。私にはそんな趣味ありませんけどね。まぁ”ウルトラマンに出てくる怪獣の名前”とか、ま、やめときましょう。最後には倒されるンですから...フォネティックコードを使うのも一つのアイディアです。短くて誤読、認識性が高い。さすが軍隊の通信に使われるだけあってよく考えてある。ですが、欠点はアルファベットの26種類しかない事。明確で単純ですがあまり人気はありません。自社の製品名、自社のサービス名を使うケースもあるのですが「xxx(自社製品名)が死んでいる」とか「xxxがおかしい」なんて会話が飛び交うと、社内で変な誤解を生んでしまいます。あまり流行らないようですね。また、プロジェクト名などを付けると、後でそのプロジェクトがポシャって、プロジェクト名が付いたホストが残ると淋しいものです。また、いくら花鳥風月でも "chrysanthemum" (菊)なんて言うような、舌を噛むような難読名は避けるべきでしょう。私なら「薔薇」って書けません。
- Mnemonic Word listによる命名規則 -
ここでリストアップされた単語は、アクセントや綴りに重複や読み間違えを生みにくい4~7文字の単語のリストです。1626語ありますから選択は自由です。命名規則に関わらず、任意にコンピュータ名に付けたい時には参考になるリストです。
- ガチガチの命名規則 -
これは、どこの現場でも良く見る命名規則です。通し番号は最低2桁、できれば3桁の通し番号を付けます。この方法のメリットは、 # grep | sort した時に見やすい事です。例えば
- PRNnnn - プリンタ
- WPCnnn - Windows 端末
- DNSnnn - DNS サーバー
- APSnnn - アプリケーションサーバ
- FSVnnn - ファイルサーバー
ただ、これだとユーザや管理者から即時認識できないので、[SRV+nnn+PANSY]の様な、機能+機械的な数字+愛称はいいアイディアだと思います。愛称があると判りやすいし、Nattou とか Umeboshi なんてミヤビな名前があれば愛着も沸くものです。でも、自分のPC名が「鶏レバー」だったら愛着は湧きませんが....実際、意味のない文字列+数字の場合は担当者はさておき、協力会社の担当者さんは即座に識別できないので、何等かの愛称があると識別性が高いという事になります。ホスト名は「記号化」してしまうと、認識度が低くなり、伝達性を損ないミスタイプを誘います。一意にするための"記号+理解可能な単語"の組み合わせが良いだろうと思いますけどね。まぁ Linux の場合、ホスト名が影響するのは Samba の Netbios 名程度(設定でホスト名とは違う名前を付けられる)で、後は DNS 名ですから、 DNS 名の命名規則と異なる機械的な命名方法でも構わないでしょう。
- PC端末の命名規則 -
「NetBiosの都合」というややこしい制限があるので、それぞれエンドユーザさんが使うPC一台一台には工夫が必要でしょうね。クライアントPCはネットワーク上では、将棋の「歩」です。それぞれの足軽は「姓」を名乗らない「歩」なので「貫太郎」とか「強右衛門」の様なユニークな名前を与得る場合もある訳です。私も自分のコンピュータ名を「タマちゃん」と呼んでいた時期がありました。英米の海軍でもこれらの「歩」の様な哨戒艇などには PT-109 とか MTBnnn の様な、記号+通し番号が正式名称だったのですが、実部隊の現場ではお互いを「愛称」や「コールサイン」で識別していたようです。所詮「足軽」なので、端末は3~4年で入れ替わってしまいます。永続的にホスト名やIPアドレスが使われる、DNSやメールサーバーの様に厳密にする必要はありません。端末のホスト名は、アセット管理とヘルプデスク、ワークグループの使い勝手を優先目的とします。「PC+導入年度下二けた+シリアル番号(SKU)下4けた+数バイトの認識名」とかも良いでしょうか。認識名としては、3バイトの空港コードのように短くて聞き間違えがなく認識性が高いものが良いでしょう。「WPC+3桁の通し番号+3桁の空港コード(HND-羽田,CTS-千歳,NRT-成田)」などです。桁が揃った一意の綴り3文字なので、応用が利きそうです。修理でマザーボードを交換したとか、USBドングルアダプタで有線化した場合はMACアドレスが変わります。IP や MACアドレス、利用者名などを使うと何れ破綻します。
ー 数字は16進数を使う ー
例えば通し番号を数字二けたとすると 00から99 までの 100 個の個体を識別できるわけですが、これを16進数にすれば 00 ~ FF まで二けたで 256 個の個体を識別できます。 256 はクラスCのひとセグメントですから、大体の中小組織では十分な数です。3桁 000 ~ FFF を使うと全部で 4096 の識別個体を作れます。中堅企業以上では、これで十分ですね。ただし先頭には数字を使うべきではありません。
- OS、機種、機能、設置部署、場所、企業名は使わない -
OS 種別を命名規則に取り入れると、例えばWindows で動いていたサービスを Linux に置き換えた場合はちょっと面倒なことになります。また機器のベンダー名や型番を使うと機器のリプレースの時に面倒な事になります。設置したオフィスや部門の所在地を使うと、オフィスが移転したときに問題となります。nnnn の通し番号に IP アドレスを指定している所がありました。リーズナブルなようで、後でハードウェアのリプレースで問題となります。あまり IP や Mac アドレスをコンピュータのホスト名に使うべきではないと思います。仮想化時代なのでいずれ破綻します。また、「会社名」も避けるべきです。会社名なんてしょっちゅう変わるものなんですね。Windows ドメイン名に「会社名」を付けてすぐに買収されて、泣く泣くドメインを再構築したお客さんがありました。
- 社内向けドメイン名、アクティブディレクトリ(AD)の命名規則 -
「社内向けドメイン?」何ンか変だな。まぁ Microsoft Active Directory を始めとして、イントラネット向けのドメイン名なんですが、".local" は禁忌ドメイン名です。絶対に使ってはいけません。間違っても AD では ”mycompany.local” で作ると問題がありそうです。Google 大魔神の投票結果なので、探してみてください。そもそも、"mycompany" という、アナタの所属する組織名は移ろいやすいのですね。ローカルネットワークで使うFQDNに含まれる、ドメイン名、ホスト名はもう少し真面目に考えてもいいのではないのかなと思います。例えばですよ、あくまでも例えば。社内向けのDNSのADのローカルドメイン名に local.google.com なんてオレオレドメイン付けてしまって、prn01.local.google.com に印刷してしまった場合、オレオレじゃない本物の Google さんの prn01.local.google.com から極秘文書がジーコジーコとプリントアウトされる可能性があるのですね。ま、考えにくいけど。だから、社内向けのドメイン名は、インターネットにおいてユニークで唯一無二で、しかも将来においては他人に使われない、変更される可能性がないドメイン名を指定すべきでしょう。会社名.com なんかはよした方がいい。どうせ会社名なんて、いつCIされて変わってしまうかわからないのです。その後 Windows ドメイン名を変えてしまうのは恐ろしく手間がかかる作業になってしまうでしょう。だから、Active Directory のドメイン名に組織名はつかうべきではないと思うのですが、唯一無二という事なら、思い切って”花鳥風月”の一般名で公式なオレオレなインターネットドメインを取ってしまい、そのサブドメインをイントラネット用ドメイン名にしてしまえば、社名が変わっても将来にわたって使えるわけですね。.NET とか .SITE 何かはかなり安く取得できるので、例えば pansy.site なんかを取得して ad1.ad.pansy.site というドメインを AD や社内向けサービスのドメイン名にするというのも思い切った手段です。
オレオレドメインがもたらす当たり前な問題
- ドメイン名の命名規則からの HOSTNAME の制限 -
FQDNではゾーン名を含め1バイトから最大253文字です。FQDN は hostname.mydomain.com となりますが、ドットの間の「ラベル」に使われる最大文字数は63文字です。従って、「コンピュータのホスト名」の公約数は「1から63文字以内で、かつFQDNも含めて253文字に収まること」がまず条件になります。SUSE Linux では getconf コマンドで確認できます。Linux のホスト名は最大で64バイトですが、最後は Null なので63バイトという事です。suse15:~ # getconf -a | grep HOSTHOST_NAME_MAX 64suse15:~ #ラベルに使われる文字は、英数字とハイフン、ただしハイフンは「ラベルの先頭と末尾」には使えません。基本的には使わないのが無難。 Windows では "_"(アンダースコア)も利用可能ですが、"_"も Windows では使わない方が無難でしょう。この63文字の文字制限は hostname コマンドのマニュアルには記載がないのですが、 limit.h に定義されているそうです。63文字以内です。ドメイン名の構成ただし、いくら 253 文字使えるとは言え、長すぎる FQDN 名は避けるべきでしょう。解りやすく、短くが原則です。そもそも文字列が長いと、タイプミスしやすいし、メンドクサイものです。
重要なのは、命名規則で使える文字種、最大、最小文字数などは、&&条件で最小公約数で決める事です。Windows や Netbios で許されても、FQDN の条件に合わない命名規則は、好ましいことではありません。Windows から、他のシステムに移行した場合に問題となる可能性があります。逆に 63 文字のホスト名が付いたシステムを Windows に移植したら、これも問題が出てきます。
- Windows におけるコンピュータ名の規則 -
Windows におけるコンピュータ名も同じく63文字の様です。
Enter your computer name
ただし15バイト以上の「コンピュータ名」はトランケート(丸められる)ようなので、15バイト以内が無難なようです。なぜなら、"Netbios" という20世紀に作られたDOS時代のレガシーなシステムの残骸を引きずっていて、 FQDN での制限である63バイトより、短い「Windows は15バイトのコンピュータ名」をつけた方が良い様ですね。しかもNetbios では特殊文字のドットも可能。勿論、ドット(ピリオド)はFQDNのラベルの区切りになるので、NetBiosでは許されてもコンピュータ名で使うべきではありません。だからADの命名規則では禁止されているという矛盾。また RFC では "_" (アンダースコア)は積極的に推奨されていないようなので、Windows では認められても使うべきではないようです。Active Directory におけるコンピューター、ドメイン、サイト、および OU の名前付け規則この Netbios 名の制限は、当然 Linux/Unix 系OSで使われる Samba にも影響しますから、 Linux で SMB/CIFS を使う場合は Linux のホスト名とは別に Netbios 名も英数字 15 バイトに収めるのが無難である、ということになります。もっとも BIND なんかで名前解決するなら問題ありませんが、Windows ガチガチなネットワークの場合、制限は「NetBiosに従え」ということになりそうです。
- 重要なのは文書化しておく事 -
大体、コンピュータのホスト名の命名規則というのは、管理している人間の趣味で作られるものです。まぁほとんどはその場の思い付きなんですね。例えば、先頭6バイトの文字規則(ナンバリング規)+愛称名の利用可能なリスト命名規則の原則は、文書化と認証。必ず文書化して、担当マネージャーのハンコをもらっておく事です。
- まとめ -
- grep | sort したり、正規表現での検索、スプレッドシートでソートしやすい様、先頭 4 ~ 6 バイトには特殊記号のない規則性を持たせる
- 基本は英数字のみ15バイト以内に抑える。もっとも短い方がいいのは勿論。
- 特殊文字は "-" ハイフン以外使わない、と言うより正規表現で特殊処理が必要な文字なので "-" , ”_” の利用も控える。
- 後半部には規則性のある任意のニンゲンが認識可能な文字を付け加えても構わないが、長い文字列は避ける。
- 数字で始まるホスト名は避ける。
- オフィスのストリート名、部署名、社名など、将来も使い続ける可能性がない略字、語句は使わない。
- 恥ずかしい名前や、難読性なもの、「そういう面白い趣味か」といった名前は避ける。
- IP アドレスや Mac アドレスの様な変化する可能性のある命名規則はそのうち破綻する。
- 愛称のストックは常にためておく事。空港コード、フォネティックコードの様なリストを決めておく。
まぁ、RFC1178 に、べき論とべからず論があるので、一読しておくことです。
Choosing a Name for Your Computer
▲
by islandcenter
| 2019-11-04 13:16
| プライベートクラウド
|
Comments(0)
Windows Store の終焉:Microsoft に見捨てられた Windows、Surface Duo は Android に
【速報】Microsoft、Androidが動作する2画面スマホ「Surface Duo」
どうやら、Microsoft は、単なる携帯電話、スマートフォンのハードウェアサプライになるらしい。
ディスコンになった Windows Phone に代わり、スマートフォンのOSに Android をマイクロソフトは遂に選択した。
これでは、単に中国製のスマートフォンと変わりがない。
どうせハードウェアは中国生産だろうし、ロゴに "Microsoft Surface" とロゴが入った、
「なんちゃって Microsoft スマートフォン」
である。
たとえ、アカウントが Microsoft に紐づいていても、ダウンロードするアプリケーションは、Gmail や Google カレンダーであり、Youtube の視聴ソフトウェアだろう。検索エンジンは Being ではなく Google がデフォルトだろう。
使われるアプリケーションは、Facebook だったり、Twitter や Instgram であり、Linkedin は入っていても真っ先に削除されるアプリだろう。
Windows Store より豊富な Apple Music や Amazon Prime, Amazon の電子ブックビューワ、が利用されるだけで Microsoft Windows Store からのダウンロードして何かアプリを使うことってできるのかな。m、ないだろう。
もう Windows Phone がディスコンになった時点で Windows Store はその役割を終えたのですね。
Surface Duo...... Microsoft に存在する意味ないね。
Windows Store よ、さらば..........
▲
by islandcenter
| 2019-10-03 11:39
| Windows
|
Comments(0)
2019年 07月 01日
既に終った技術: Windows 10 S mode お前は既に死んでいる。
終った技術: Windows 10 S mode
Windows 10 にある不思議なバージョン、Sモード。この技術はもう終わっている。
なんでも、「セキュリティとパフォーマンス」のために Microsoft Store のアプリケーションと Edge + Bing 検索しか使えないモードなんだそうですが、今では
「お前、そんなところで何してるんだ?」
と言う微妙な立ち位置にいるのが Windows S mode なのですね。
そもそも、教育機関向け、企業のタブレット向けに販売を開始したものなのだそうですが、天気予報とゲーム位しか魅力的なアプリしかない、Microsoft Store から、いったい何をダウンロードして使えと言うのでしょう。
大手都市銀行の銀行の振込用アプリさえない。何しろ iOS ならウチの近所の農協の口座だって振込できる時代なのにです。
しかも、S mode から Pro や Home エディションには簡単に切り替えられるという。逆は非なりだそう。
PR
- ことごとく失敗してきたモバイル戦略 -
「Windows RT そういやありましたねぇ」と完全に過去完了形。「Windows 10 Mobile ってなくなるんだって?」と現在進行中の既に過去表現。そう、Microsoft のモバイル、あるいはタブレット用システムは、過去に何度も失敗しています。買って後悔した人も多いでしょう。大体ライバルに対してSKUが大きすぎる。重くて電池が持たないのです。ライバルのスマートフォン、タブレットOSが軽いシステムから、重量化したのと違い、もともとの重戦車から、主砲を取り除いたような、意味のない軽量化でフットプリントばかりでかくて、誤魔化した作りなのです。
Windows 10 Mobileのサポート終了、移行先についての身も蓋もないアナウンスが話題に
後継製品のアナウンスもなく iPhone だとか Amdroid に乗り換えろ、って何なんだ。電話帳は引き継げるのか?
だが Windows S mode は「Pro版や Home版に切り替えられる」という「逃げ道」を作っているのが失敗前提の設計のミソなのですよ。
つまり「Windows S Modeは失敗することを前提に設計してるもんね」という「もんね」的な誤魔化しがごっちょり入っているのです。
なぁーに、使えなければ Pro 版に切り換えちゃえばいい、そんな匂いがプンプンしているのが Windows S Mode なんですね。
もう出た時から既に終わった技術なのです。
▲
by islandcenter
| 2019-07-01 13:40
| Windows
|
Comments(0)
2019年 06月 04日
初めての Linux, openSUSE Leap を Hyper-V で動かす。
Linux は使ってみたいけど、どれを選べばいい? という悩みの中で、openSUSE Leapを初めて使ってみようかという方に、Hyper-V 環境で簡単に構築する手順を説明します。
まずは仮想環境で「やってみて」、「何だか分かってきた」ら、ちょっと古いノートブックだとか、ホワイトボックスのBTOマシンで、本格的なベアメタルPCで自宅サーバーや、 Web LAMP のスキルアップのための自己学習用の開発環境を構築できるようになるでしょう。
自宅サーバーや、小規模なプロジェクトでの開発環境で Linux が必要であれば openSUSE Leap 15.1 は手ごろな一つの選択です。
PR 働き方、減るのは給与増える暇、ドメイン取って副業か? PR
openSUSE が使えるVPS
- SUSE とは -
ドイツの SUSE 社は、米 RedHat が IBM 傘下に入ってしまったため、 2019 年現在、世界最大の独立系のオープンソースソフトウェア企業となりました。かつては Novell 傘下だったり、Attachemate, Micro Focus などから出資を受けていましたが、現在はヨーロッパ・スウェーデンの投資組合、EQTのまとまった出資を受けた世界最大の独立系 OSS ソフトウェア企業です。SUSE Enterprise は有償 Linux のディストリビューションの中では世界で約 30% 程度のシェアがあるようです。openSUSE Leapは、主力製品、SUSE Linux Enterprise のいわゆるデチューン版のようなものです。
- SUSE Linux -
SUSE Linux という言い方は誤解を呼ぶかも知れません。SUSE が関連する Linux のディストリビューションには SUSE が後援する openSUSE と呼ばれるシンプルで無償のコミュニティ版と、エンタープライズ向けのバリエーションが豊富な SUSE Linux Enterprise (SLE) と呼ばれる有償版の二つのディストリビューションがあります。SLEは、SLES(Server)はじめ SLED(Desktop)から、SAP専用、大手クラウド事業者用など、数々のバリエーションに分かれています。SLE 15 より、openSUSE は SLE のコードを基に、テクニカルサポートやプロプラエタリなパッケージ、エンタープライズ向けのハイエンドな機能を削除して、インストーラをコンパクトに、無償化したディストリビューションが openSUSE です。
- アウトバーンの国、ドイツ製という事もあり、堅牢性、安定性はずば抜けている点。
- YaST という Linux 知らずの初心者にもベテランにも取っ掛かりの良い設定・管理ツール。
- モバイル環境から一般的なビジネス用途、サーバー用途にも使える高い汎用性
に特徴があります。また、「比較的新しいハードウェアでも問題なく動く」と割と評判はいいようです。2019 年5月現在、 openSUSE Leap は 15.1 が最新版です。SUSE Linux Enterprise は 15.1 がリリースノートで発表されていますが、まだ公式に入手できるのは SLE 15.0 が最新版の様です。openSUSE には openSUSE Tumbleweed と呼ばれるローリングリリース版と、安定版の Leap の二の種類があります。Tumbleweed は openSUSE/SLE の開発用テスト版の様なもので、初心者には向いていません。初心者がちょっと入門で Linux を触ってみたいのであれば openSUSE Leap 版を使ってください。わざわざ初めての Linux に、openSUSE Tumbleweed を選んでチャレンジして、Quita なんかで「openSUSE はバグだらけで使い物にならない」とボヤいて諦めるチャレンジャーさんが大勢います。そういう方は、是非バグ情報を openSUSE の開発者向けコミュニティで元気よくボヤいてください。自らソースコードを弄って改良すれば Leap 版にいずれ反映されるでしょう。初めての openSUSE は openSUSE Leap を選ぶのが定石です。--ちなみに SLE (SUSE Linux Enterprise)については、無料アカウント登録すれば、60日間の評価用サブスクリプションコードとインストール用のメディアを入手できます。SUSE 15 より openSUSE Leap 15 --> SLE15 へのアップデートがサポートされました。ここでは、コンパクトで無料、手軽に利用しやすい、2019/6 現在、最新の openSUSE Leap 15.1 について説明します。
- SUSE の管理は YaST で始まり YaST で終わる -
openSUSE/SLE を特徴づけている機能が YaST(Yet another Setup Tool) です。そもそも openSUSE/SLE のインストーラ自体が YaST の機能の一部です。
ほとんどの Linux の管理を、このツールで行う事ができます。おかげで古本屋で買った時代遅れの Linux/Unix 管理者向けのアンチョコ本とはオサラバできます。 まず、SUSE Linux では、YaST で80%の管理、運用を行えるため、他のディストリビューションの様に、コマンドラインのヘルプや vi エディタと闘う事がありません。ある意味では Linux エンジニアのスキルキラーの様な高度なツールです。 おそらく Windows ユーザが初めて YaST に触れれば、驚くほど、キーボードタイプが少なく、マウス操作だけで多くの作業ができる事に気が付くでしょう。他のディストリビューションから乗り換えてみると、こんなに便利なツールはないのか、と思うはずです。 YaST自体はオープンソースなので、Oracle Linux などでもオプションとして用意されており、互換性がある CentOS の管理者さんが、強引に突っ込んだら「動いた」そうです。海外の Ubuntsu のフォーラムに "Ubuntsu で YaST を動かす方法はないのか" という書き込みも見たことがあります。
SUSE Linux 15 YaSTの基本 (openSUSE Leap, SLE) https://islandcnt.exblog.jp/238758768/
また、GUIが使えない、貧弱なWANのネットワーク越しでも、同じ機能をメニュー形式で使える CUI 版 yast コマンドもあります。ほとんどの操作を TAB, やカーソルキーで操作できる優れものです。 軽量なので、ちょっとした変更をしたい場合によく使います。 Windows は知っているけど、初めてだけど、少しは Linux も知っておきたいという程度からの、入門者には実に便利で「使えるツール」です。
- openSUSE Leap インストール ISO のダウンロード -
openSUSE Leap 15.1
ダウンロードリンクには、DVDの ISO イメージ版と、ネットワークインストール用の二つのメディアがあります。ネットワークインストール版は、最新のパッケージがインストールされる事。ダウンロードサイズが小さい事がメリットですが、インストールがオンラインで行われるので、私の環境の様にインターネット回線が弱い場合、インストールに却って時間がかかったり、途中で止まってしまい、やり直す事も良くあります。ネットワーク版は、私は使ったことがありません。という事もあり、何度も練習するには、DVD版の ISO ファイルを一つ、ダウンロードしておく事をお勧めします。
- Hyper-V にインストール -
手元のノートPCには Windows 10 Pro x64 には Hyper-V が用意されているので、ここでは Hyper-V を使って openSUSE Leap 15.1 をインストールしてみました。SUSE は Novell 傘下の時に、Windows と Linux の相互運用について協力体制を取りました。そのため、多くの Linux ディストリビューションの中で Hyper-V 上での認証された Linux の最初のディストリビューションです。という事で Hyper-V はもちろん、Asure 上で最も最適化されたバリエーションを用意しています。ここでは Hyper-V そのものの詳しい説明は割愛します。Hyper-Vは有効化しておきます。
- インストール -
ここでは、初めてインストールする方に向けてポイントだけを説明します。実際のインストールの流れは、別記事にまとめてあります。そちらをご参考下さい。
openSUSE Leap 15 Install
15.0 > 15.1の差分として参考にしてください。
openSUSE Leap 15.1 インストール
openSUSE 15.1 のインストールの全体の基本的な流れはこちらの動画(音出ます)
Web LAMP を使いたい場合のインストール手順はこちら(音出ます)。 パーティションは分けてみました。
実際、OSのインストールから、Web Server の立ち上げまでのほとんどの作業を、マウスクリックで行える事に気づかれたでしょうか。DVD.iso のフルインストール版(3.7GB)を使ってインストールする場合、私はオンラインのリポジトリは使いません。すごく時間がかかるし途中で止まってしまう場合があります。
※ ファイルコピーの途中で止まってしまう場合があります。単に時間がかかっている場合もありますが2~3分待っても進捗しない場合があります。もう一度やり直せばいいだけなのですが、パーティションをフォーマットするので、本番環境の場合は、大事なデータは事前にバックアップしておきます。
- デスクトップの選択 -
openSUSE Leap のデスクトップは KDE を選ぶ人が多い様です。SUSE Enterprise Linux Server(SLES) は gnome のみです。私は SLES に合わせて使うので openSUSE をインストールする場合も gnome デスクトップを使います。どちらがいいのかは好みの問題です。「サーバー」を選んだ場合はデスクトップ環境がインストールされません。YaST の GUI 版を使うため、初めて SUSE Linux を使う場合も、本格的にサーバー化したい時も、 KDE か gnome デスクトップを選んだ方が良いでしょう。
- ネットワークの設定とホスト名 -
インストールの途中で、ネットワークの設定はできません。デフォルトで DHCP です。また、コンピュータ名はランダムな名前が与えられるため、この二点を最初に修正します。YaST > System > Network Settings の中で、ホスト名、固定IP/DHCPの設定ができます。
※ openSUSE Leap 15.1 よりネットワーク管理が YaST(Wicked) ではなく、モバイル環境を考慮してデフォルトでデスクトップのアプレット(Network Manager)から設定する様に変更されました。もちろん従来の YaST でも設定できます。私はモバイル環境で使うつもりがないので Wicked に変更して使っています。openSUSE Leap 15.1:ネットワークの設定はYaSTではなくアプレットで
openSUSE Leap 15.1 では 15.0 とはネットワーク設定のデフォルトが異なります。(音でます)
YaSTによるネットワーク接続の設定
YaST のネットワーク設定で、 hostname を設定する箇所があるので、ホスト名を任意に変更するには YaST のシステム > ネットワーク設定から変更します。こちらの動画では、一つ古いバージョン、 openSUSE Leap 15 のインストールから、HOSTNAME の設定、ネットワークやNTPの初期設定を説明しています。(うるさい音出ます)後半1/3あたりから、初期インストールの「その後」の作業の様子をキャプチャしました。
- まずは YaST から始めよう -
さて、そうこうしているうちに openSUSE Leap 15.1 がインストールされました。(やっぱり Hyper-V は KVM に比べて遅いなぁ)ここでは gnome デスクトップですが、検索ボックスから "yast" で検索すると、YaST アイコンが出てきます。一般ユーザでログオンした場合は、root パスワードが必要になります。それでは始めましょう。
- Windows からの管理ツール -
今回は 「Hyper-V で使ってみよう」の提案なのですが、実際にはベアメタル環境やコンソールを繋がないサーバー運用もあるでしょう。 Windows 環境から openSUSE/SLE を管理するのに便利なツールを紹介しておきます。
Linux 管理者が持ってると便利な Windows 用ツールとは
個人的には movaXterm と winSCP があれば、おおよその作業は問題ありません。タマに putty と xLaunch を使う程度です。
これらを手元の Windows ノートブックに用意すれば、どこでも困ることは殆どないでしょう。
- VPS での対応は -
レンタルVPSでは、さくらインターネットが openSUSE Leap 15.0 を提供しています。他の ISV ではまだまだです。この点が日本市場での弱さです・
さくらのVPS カスタムOS「openSUSE Leap 15.0」「FreeBSD 12」提供開始のお知らせ
一般的ではないのですが、ビジネス・エンタープライズ向け Microsoft Azure などの海外の ISV では、普通に SUSE Linux Enterprise が対応しているようです。SLES の場合は、専用のバリエーションがあるので、それを使う事になります。もし、openSUSE についてもっと情報が欲しい方は、コメント残してください。今後のネタにしてみます。
最後まで読んでくれてありがとうございます
▲
by islandcenter
| 2019-06-04 14:46
| SUSE
|
Comments(0)
Windows 2019 試用版を入手したので、SUSE(SLE15)+KVM 環境下で、仮想マシンドライバパック、VMDP(Virtual Machine Driver Pack, virtio) と一緒に導入してみました。
SUSE Linux Enterprise Virtual Machine Driver PackFAQに"有効なSUSE Linux Enterprise Serverサブスクリプションをお持ちのお客様には、これらの並行仮想化ドライバの保守およびサポートの使用権が自動的に付与されます。ドライバのサポート契約は、お客様が契約しているSUSE Linux Enterprise Serverサブスクリプションから継承されます。"
とあるので SLE のサブスクリプションに含まれている、と考えていいでしょう。
サブスクリプションの購入はこちら
最新の VMDP 2.5 はこちらから無料登録済み SUSE アカウント でダウンロードができます。
SUSE Linux Enterprise Virtual Machine Driver Pack 2.5
Windows では xen 環境からの移行も簡単です。
SUSE Linux で XEN から KVM へ移行、VMDP はこんなに簡単
全体の流れは動画にまとめました(9分、盛大に音出ます)
Windows Server 2019 on SUSE Linux 15 with VMDP + KVM install (仮想化インストール)
今回は iso 版を仮想マシンにマウントしてインストールしました。
- virt-manager からインストール -
SLE15より virt-manager のアイコンが yast2 の GUI から消えてしまったので、XのGUI 環境からテキストターミナルを開いて
# virt-manager &
をコマンドライン実行して仮想マシンマネージャを起動します。起動したら”not connected” のラインから右ボタンで "connect" します。
左上の Create ボタンを押して、新しいVMを作成します。
インストールソース iso イメージを指定するため、 Browse ボタンを押して、メディアパスを探してセットします。
インストールソースをセットすると、自動的にインストールするVMのOSタイプを認識します。 SLE15 より Windows 2019 の方が後に出たため、ここでは Windows 2016 と認識されています。 他のOSの場合"unknown" などと出てきた場合は "Automatically detect ......." のチェックを外して、最も近いシステムを選択することができます。
> Forward
Windows Server 2016 と認識したため、VM イメージは 40 Gb と認識されました。 Windows でこれより大きな C: システムイメージを作りたい場合は、任意の数字をセットします。
デフォルトでは /var/lib/libvirt/images の下に qcow 形式の仮想イメージを作ります。
今回は、SSD をマウントしたディレクトリに、RAW フォーマットのイメージを作りたいので、"Select or create ......" を選び "Manage" ボタンを押して、任意の場所、任意のファイル名で仮想イメージを作ります。
メモリとCPU数を、デフォルト状態から任意の数値にセットします。
仮想イメージを作成するディレクトリをブラウズして決定し、ファイル名を任意にセットします。ここでは SSD ドライブをマウントした下のディレクトリに"仮想VM名.disk0.raw" としました。
※ なお、ディレクトリはこのダイアログでは作成できないため、事前に# mkdir "仮想VM名"しておくと良いでしょう。
仮想ディスクイメージがセットできたら "Forward"
最後のダイアログです。ここでは必ず決め打ちされた仮想VM名: "Name" のボックスに、運用上の命名規則に則った Name をセットします。
次に、必ず "Customize configuration before install" のチェックを入れて、インストールのサマリダイアログを開くようにしてください。
> "Finish"
"Customize configuration before install" のチェックを入れると、インストールのサマリスクリーンに移動します。
IDE Disk を選んで "Advanced options" ドロップダウンを開くと "Storage format" が qcow2 で決め打ちされています。この欄を "raw" 形式に変更します。
※ qcow2 形式は、指定したディスク容量より小さく、容量を節約できますが、一般に書き込み動作が低速で重い、と言われています。また、データの使い方によっては、それほど、効率が良くないようです。例えば一発デフラグすると、あっという間に容量を使い切ってしまうという事が起こりえます。システムドライブイメージでは初めから容量確保されて安定して高速な "raw" フォーマットの方が良いと思います。データドライブ、パーティションは qcow2 形式を選択する場合もありますが、データドライブは別メディア、例えば iSCSI SAN ストレージを使った方がベターです。
VMDP(Virtual Machine Driver Pack) を使う場合、NIC の形式は "Hypervisor Default" から”virtio” に変更します。
ハイパーバイザーデフォルトを後で変更しても構いませんが、手順がややこしいので、インストール時点で "virtio" にしておくのが良いでしょう。
"Apply" を押して、左上にある "Begin installation" を押すとインストールが開始されます。
インストールが始まります。
二度ほど再起動したら、インストール完了です。(この環境では約10分....)さすが Linux ベースの仮想化は早い!...
- VMDP のインストール -
virtio をNICドライバとして設定したため、NICが見当たらない状態になっています。
仮想コンソールからVMのサマリ編集画面のボタンを押して移動し、 IDE CDROM に認識されているインストールソースを"Disconnect" して、”Connect” ボタンから、 VMDP の ISO ファイルをファイルシステムからブラウズしてマウントします。
仮想コンソールに戻り、VMDP の ISO ファイルがマウントされている事を確認します。
※VMDP はアンインストールしたり再インストールする場合があるので、C: ドライブの任意のフォルダにコピーしておくと良いでしょう。
VMDP の setup.exe を実行します。
EULAに同意
インストールが始まります。(この環境で1分弱)
VMDPのインストールが終わると、再起動が要求されます。でもその前にネットワークが検出されたようです。
再起動後のネットワークのプロパティです。ネットワークが認識されているようです。
イーサネットのプロパティを開くと "SUSE Network Driver for Windows" がインストールされている事が分かります。「構成」ボタンを押してドライバのパラメータを確認します。
「詳細設定」タブにドライバのパラメータが設定されています。VMDP2.5 では、デフォルトで問題ないようですが、一応 "xxxx Offload" 系のパラメータは全て "Disabled" になっている事を確認します。 これらが Disable にセットされて問題になったことはありませんが、Enable で問題になったことは何度もありました。
デバイスマネージャーを開いて、 BUS ドライバや SUSE NIC ドライバがインストールされている事を確認します。
VMのサマリ画面に戻り "Boot Options" にある "Autostart" にチェックを入れ、ハイパーバイザー筐体が起動したときに同時にVMも起動できるようにします。また、Boot Menu が出ないよう、マウントした CDROM のチェックを外しておきます。
How to install samba on SUSE Linux Enterprise 15 (SLES15) インストール
初めての Linux, openSUSE Leap を Hyper-V で動かす
openSUSE Leap 15.1 で始める KVM, 無料のハイパーバイザー
SUSE Linux 15, openSUSE 15, SLES15, KVM, Windows サーバー仮想化、virtio, Linux, 仮想サーバーの最適化, 仮想マシンが重い,
▲
by islandcenter
| 2019-02-24 15:33
| SUSE
|
Comments(0)
2017年 10月 26日
Windows10 手動で ISOファイル から Fall Creators Update にアップデートする
まだ真新しい、Windows Creators Update のPCを Fall Creators にISOファイルから直接バージョンアップしました。回線がそれほど太くないので、ISOをダウンロードして確実にオフラインでもアップデートできれば、回線に関わるコスト(時間)が短縮できるし、台数が多い場合もそれだけ手早くできるので、ISOからのアップデートはお勧めです。
前回のはこちら
ISO を使った Windows 10 のオフラインアップデート
- 準備するもの -
- ヒマでブラウザでSNSなんかしないまた―りとした夜 -> 寝ている間の ISO のダウンロードに必要- 何もすることがない雨の週末の金曜の午後 -> 作業時間は2~3時間、徹夜も覚悟のその間PCは使えない。- Blue Noteの CD 2~3枚 -> アップデートする時のBGMが必要- チャンドラーの短編集2~3冊 -> これくらいは読み終えるくらい時間がかかる- 缶ビール2~3本 -> ま、失敗したら徹夜覚悟ですな。- バーボンのボトルがあれば直良し- アイスクリーム -> あまり腹を冷やすと逆効果- チョコチップス -> バーボンに合う、腹減るからね。なお、C:ドライブの空きはタップリ必要です。
Windows7から10へ移行、C:ドライブの拡張には MiniTool は便利
 |
 |
- ISO の入手先-
Windows 2017 Fall Creators Update ISO ファイル
ダウンロード先
"ツールを今すぐダウンロード"
ダウンロードした MediaCreationTool を起動
なにやらやっている
よーく読んで”同意”するしかない。
"別なPCのインストールメディア ....."を選んで ISO ファイルを手に入れる。
"このPCのお勧めのオプション"のチェックを外す
アーキテクチャ”64”または"32"必要であれば、両方
”プロダクトキーが要るよ”のダイアログを確認
使用するメディアは "ISOファイル"を選択
保存先が指定できるので、C:ドライブの空きを考えて、別ドライブか、ネットワークに保存するのが良いでしょう。
デフォルトファイル名が Windows10.ISO なので HOME 版なのか Pro 版なのか、32ビット版なのか、64ビット版なのかわかるように、ファイル名に名前を付けて保存
一晩寝る。ZZZZzzzzzz.......
この間 Youtube なんかは見ない事。
- いよいよアップデート -
余分なソフトウェア、機能は停止させておくこと。
このPCには Hyper-V が動作していたので、削除しておきました。以前 Anniversary アップグレードした時はこいつが原因で、失敗したことがあります。また、Windows と Linux のデュアルブートしているPCもおかしなことになる可能性があります。Linux の Grub が書き換えられてブートできなくなる場合があります。アンチウィルスは削除しませんでしたが、時折悪さする事が、悪さどころかシステムをクラッシュさせる場合もあるので、削除した方が無難でしょう。他に常駐系のアプリケーションは、削除するなり、サービスを無効にしておくことが、安全にアップデートする秘訣でしょう。どうせ Microsoft 製品ですから、素の状態でしかテストしていない、そんなものです。
ISO ファイルをマウントして
> setup.exe を実行します。
回線の都合を考えて、この時点では更新のダウンロードはしないで、別な機会にしましょう。
「インストールの品質向上に協力」する必要なんてないので、チェックは外します。何を送信するか、判りませんからね。
嫌々ながら「同意する」
何かと、リフレッシュインストールしたがるけれど、個人用ファイルとアプリは引き継ぎます。
インストールしています....... 30 分
勝手にリブートします。ノートブックなので Bios のパスワードを入れないと起動できない。
構成中 ..... 30分
もう一度再起動、また Bios のパスワード
構成中 .... 30 分
またまた再起動、またか。
構成中.... 30 分 起動できた。
プロファイルの再構築 約5分
終わり、> winver でバージョンを確認 Version 1709 Build 16299.15 でした。
その後 Windows Update をします。
- インプレッション -
今回は何のドラマもなくアップデートが終わりました。Windows10 というものの変化を見ていると、Windows10 が如何に未完成で、未熟なものであるのかというのを身に染みて感じます。これから、どんな便利な機能が亡くなってしまったか、どれほど不便になったか、どれだけ先取りして、使えない邪魔な機能が増えたのかをチェックしてみます。
また、せっかく見つけて Disable にした機能が復活している場合があるので、これも要チェックですね。
Windows7 からWindows10 にアップデートしたらまずするべき事。
「Windows10 をエンタープライズ利用する」場合、単に"Windows10" という言い方をしてはいけない状態になります。当然多くのPCの償却期間、4~5年の期間を見越して、どのバージョンを選ぶかが重要になります。 "Windows10 xx update" と "Windows10 yy update" は別物の製品です。今 Internet Explorer 11 が付いてきているようですが、このサポートも、これからの長い "Windows10" 時代に終了するはずです。何しろ "Windows10" は最後の Windows です。 今後何年続くかわからない代物なのです。
ユーザが自分自身でアップデートする可能性は少ないでしょうから、人力でどこかのタイミングで、償却と共に、バージョンアップを検討しなければならないでしょう。そのタイミングを間違えると、エラク不便な事になります。
また、 Windows10 自体のアップデート作業は1台当たり2~3時間はかかる作業です。その間にどれだけユーザの生産性を削ぐかを検討しなければなりません。人海戦術で行っても、一人当たり一日5~6台が限度です。ライセンス費用だけではなく、作業コストと、作業中に生産性を削ぐ時間のコストを考えると、1台当たり、2~3万円程度の費用、あるいは利益機会の損失があります。
パッチを充てる程度の手間と思うと痛い思いをするでしょう。
次の読み物
openSUSE シェルを Windows10 Subsystem for Linux (WSL) で使うOES Linux でフォルダの容量制限付きアーカイブ専用ファイルサーバー:サーバーをゴミ箱にしない工夫ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)クラウド時代のサイバーテポドン Windows Update の回線帯域を確保
Microsoft Windows 10 Home April 2018 Update適用 32bit/64bit 日本語版【最新】|オンラインコード版
新品価格
¥17,926から
(2020/1/16 14:35時点)
- Keyword -
Windows10 Fall Creators Update, Version 1709, 1803, ISO マウント, ISO アップデート, インストール手順, アップデート手順, 作業時間
▲
by islandcenter
| 2017-10-26 15:30
| Windows
|
Comments(0)
2017年 10月 19日
Windows グループポリシーで特定のドライブを非表示に。
Windows10 で、C ドライブを非表示にしたいとか、ネットワークにマップした S: と D: だけ表示させたいとか、リムーバブル USB メモリデバイスに割り当てられる E: とか F: とかを不可視にしたいというケースがあります。
ここでは、既定のグループポリシーに手を加えて、柔軟にドライブの表示/非表示を定義する方法を説明します。
10年前にこんな記事を書いたのですが、未だにご覧になられる方がいらっしゃるようで気になっていました。グループポリシーでドライブを非表示にする。
という事で、 Windows10 でも、エクスプローラからグループポリシーでドライブが非表示にできるかどうかを試してみました。
Windows のドライブは勿論、アルファベットのA~Zまであるのですが、意図的に見せたくないドライブもあります。例えばC:ドライブに勝手にディレクトリを掘って、そこに重要なデータを保管されたりすると、いざ、PCがご臨終になった場合に、データが無くなったとウルサいエンドユーザさんもいるわけですね。できれば、C:とD: は別なパーティションにわけて、D:ドライブは自由に使ってもいいけどC:ドライブは、システムを復旧した時に保証されないよ、という事もあるわけです。ついでに、
ドキュメントフォルダなんかはパーティションを分けて、D:ドライブに割り当ててあげて、タスクスケジューラなんかでD:ドライブだけをNASなどの隠しドライブに Robocopy してあげれば、最低限ユーザのデータのバックアップは為せば成る。
また、USBの外付け記憶装置や外付けHDDなんかをつないだ時に、ドライブレターが、エクスプローラに表示されなければ、簡単にコピーすることもできません。「なぜコピーできないんだ」と言われれば、それは「セキュリティポリシーだから」で済むわけです。そこで、例えばネットワークに割り当てたP:とかS: とか以外は見せたくないという事も考えられるわけです。
という事で、エクスプローラから、見せたくないドライブをグループポリシーで隠してしまおうの Windows10 版です。もっとも、エクスプローラからは見えないだけで、コマンドプロンプトや、保存したり、エクスプローラから、開く時のアドレスバーに直接ドライブ名を入れてしまえば、見えてしまうのですが、おおよそ9割のエンドユーザさんはそんなことお構いなしに「見えないものは無いもの」と考えてくれるわけですから、それなりに便利だともいえます。
- 基本編 -
さて、グループポリシーエディタ gpedit のドライブを隠す設定は
- [ユーザーの構成]、[管理用テンプレート]、[Windows コンポーネント]、[エクスプローラー]
- [指定したドライブを [マイ コンピューター] 内で非表示にする] を開く
- [指定したドライブを [マイ コンピューター] 内で非表示にする] ダイアログ ボックスで [有効]
- ドロップダウン ボックスで該当するオプションをトグルして設定
という手順になるのですが、
ただ、この gpedit のテンプレートでは、決め打ちのドライブを隠す設定だけなので、異なるパーティション D: とネットワークに割り当てた P: と S: だけは見せたいとかのカスタマイズができません。という事で、この「隠しドライブ」のテンプレートをカスタマイズしてみましょう、というのがテーマです。
- 不可視ドライブをカスタマイズする -
C:\Windows\PolicyDefinitions の下に WindowsExplorer.adml というファイルがあります。C:\Windows\PolicyDefinitions が本体で、さらに ..\ja-JP\ に翻訳した内容が記述されています。
C:\Windows\PolicyDefinitions\ja-JP>dir WindowsExplorer.adml
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions\ja-JP のディレクトリ
2016/07/17 07:15 80,922 WindowsExplorer.adml
1 個のファイル 80,922 バイト
0 個のディレクトリ 25,201,598,464 バイトの空き領域
C:\Windows\PolicyDefinitions\ja-JP>
翻訳はメモ帳で開くとこんな設定が書かれています。gpedit に出てくる内容そのまんまですね。
: 略
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"; xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"; revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">;
<displayName>表示名をここに入力する</displayName>
<description>説明をここに入力する</description>
<resources>
<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。
: 略
実体を開くと
C:\Windows\PolicyDefinitions>dir WindowsExplorer.admx
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions のディレクトリ
2016/07/17 07:20 41,886 WindowsExplorer.admx
1 個のファイル 41,886 バイト
0 個のディレクトリ 25,188,646,912 バイトの空き領域
C:\Windows\PolicyDefinitions>
例えば翻訳では 「AB のみを制限する」内容がこのように記述されています。翻訳版の ja-JP の "string id=" の部分を "item displayName=" で定義しています。
: 略
<item displayName="$(string.ABOnly)">
<value>
<decimal value="3" />
</value>
</item>
: 略
ここで問題となるのが "decimal valu=" の部分です。
- 不可視ドライブの値を決定する -
ここで Decimal Value は Z~A をビットに見立てて、0 は見せるドライブ、1 は見せないドライブです。
Dex:3 は 0011b: 0x03 ですから "D:C:B:A: ドライブの B: と A: はビットが立って、制限して見せない"という事になります。
右からZ:Y:X: .... C:B:A: とビットで制限して、内容を10進数で表記しているわけです。実に面倒くさい。
例えば D:E:F:P:S: ドライブだけ見せて、他のドライブをエクスプローラーに表示させたくない場合、次の様なバイナリデータが、7桁の十六進数 0x3FB7FC7 となり、 Decimal 十進数では 66812895 となります。
Novell の ZENworks の Knowledge Database に記事があります。
How to restrict drives on workstations
つまり、D:E:F:P:S だけ見せたいという計算はこういう事です。
**ZW|XWVU|TSRQ|PONM|LKJI|HGFE|DCBA <<-- Drive Letter0011|1111|1011|0111|1111|1100|0111 <<-- Binary 1:Hide, 0:Show0x03|0x0F|0x0B|0x07|0x0F|0x0C|0x07 <<-- Hex66812895 <<-- Decimal
という事で、ドライブの見せ方を決定するには面倒で使えない Windows10 の「電卓アプリ」を使って、二進、十進の計算するわけです。
しかし電卓アプリよりこの面倒な数値を求めるサイトが、まだあるのでご紹介しておきます。とても便利です。
不要なデフォルトの Show Only を Delete して、表示したいドライブレターをチェックします。"New" ボタンを押すと、必要最低限の情報だけを作ってくれます。
Export すると、この様な hidedrive.adm が作成されてダウンロードできるので、参考にすると良いでしょう。 D:E:F:P:S: を表示する値は 66813895 になりました。0 は全部ビットが落ちて "ShowAll" で 67108863 は全部にビットが立って "HideAll" になります。
: 略
CATEGORY !!WindowsComponents
CATEGORY !!WindowsExplorer
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoViewOnDriveDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
END CATEGORY ; WindowsExplorer
END CATEGORY ;; WindowsComponents
: 略
- 実装してみる -
メモ帳などのテキストエディタで、 C:\Windows\PolycyDefinitions の中身を書き換えて追加する隠しドライブのポリシーを追加します。上書きできないのでいったん保存して、ファイルのバックアップを取ってから、ファイルを PolicyDefinicions にコピーして実装します。
C:\Windows\PolicyDefinitions>type WindowsExplorer.admx
: 略
<item displayName="$(string.DEFPSonly)">
<value>
<decimal value="66813895" />
</value>
</item>
: 略
※C:\Windows\PolicyDefinitions\WindowsExplorer.admx は所有者が Administrator でなければ上書きできません。ファイルのセキュリティの詳細から所有者を Administrator グループなどに変更する必要があります。一応バックアップをとってから書き換えることができました。
C:\Windows\PolicyDefinitions\ja-JP>type WindowsExplorer.adml
: 略
<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="DEFPSonly">DEFPSのみ見せる</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。
: 略
この様な感じで、追加したポリシーを書き換えて保存します。
※ このC:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml ファイルはいったん別なディレクトリに保管して管理者として上書きします。
実装前
G: I: が見えています。
"DEFPS のみ見せる"が出てきました。「有効」にポリシーを設定して「適用」します。
グループポリシーを即座に適用します。
C:\WINDOWS\system32>gpupdate.exe
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\WINDOWS\system32>
エクスプローラからC: H: I: ドライブが消えました。
S:にネットワークの共有記憶領域を割り当てます。S:は見えるようです。
--
今回は、単体PCで実施しましたが、 ZENworks Configuration Management では、変更したPCで iManager から設定し、サーバーにアップすれば良いかと思います。 Windows ドメインを使う場合は、たぶんどこぞの隠し共有フォルダにこのファイルがあるので、書き換えて管理できるでしょう。
このグループポリシーのテンプレート自体をカスタマイズする方法は、若干面倒ですが、他で紹介されているように直接レジストリを書き換える方法より安全でしょうし、また、他にいくつかの Hide Drive Policy のテンプレートを追加して作っておけば応用が利きます。
ドメインコントローラや ZENworks ユーザによって、管理者、ヘルプデスク、一般パワーユーザ、一般ユーザ、先生、生徒の様に様々なパターンが二つのファイルのカスタマイズだけでできるのでとても便利です。
※なお、この方法は Windows Update などで、テンプレートが上書きされる場合があるので、必ずテンプレートのバックアップを取っておくのが良い様です。
-Keyword-
Windows, Windows10 特定のドライブ, ドライブが見えない, ドライブを不可視, ドライブを隠す, 特定のドライブを非表示, グループポリシー, How to Hide Drive letter from Explorer,特定のドライブを「コンピューター」や「エクスプローラー」で非表示, 指定したドライブを [マイ コンピューター] 内で非表示にする, カスタマイズ, マイコンピュータから特定ドライブを見せない, マイコンピューターからドライブを消す方法、グループポリシー cドライブのアクセス禁止、windows10 ドライブを不可視、リムーバブル ディスクを表示させない。windows ドライブを制限する。外付け hdd を見え なくする。
▲
by islandcenter
| 2017-10-19 11:14
| ZENworks
|
Comments(0)
2017年 10月 03日
SUSE Linuxと Windows のシャットダウン、リブート操作(仮想サーバーのメンテナンス)
ここでは Linux, Windows のシャットダウン、リブートの方法について説明します。
1) .Linux のシステムを停止、電源遮断する
Linux システムのシャットダウン、再起動コマンドは shutdown コマンドを実行します。- 参考ページ -シャットダウンして、電源遮断(Halt)をするには# shutdown -h 0 または# shutdown -h nowシャットダウンして、再起動(Reboot)をするには# shutdown -r 0 または# shutdown -r now
-h は halt, -r はリブートの意味です。0 は「0分後」つまり今すぐの意味です。
SLES11の場合
SLES11sp4:~ # shutdown --helpshutdown: invalid option -- '-'Usage: shutdown [-akrhHPfnc] [-t secs] time [warning message]-a: use /etc/shutdown.allow-k: don't really shutdown, only warn.-r: reboot after shutdown.-h: halt after shutdown.-P: halt action is to turn off power.-H: halt action is to just halt.-f: do a 'fast' reboot (skip fsck).-F: Force fsck on reboot.-n: do not go through "init" but go down real fast.-c: cancel a running shutdown.-t secs: delay between warning and kill signal.** the "time" argument is mandatory! (try "now") **SLES12 の場合sles12sp3:~ # shutdown --helpshutdown [OPTIONS...] [TIME] [WALL...]Shut down the system.--help Show this help-H --halt Halt the machine-P --poweroff Power-off the machine-r --reboot Reboot the machine-h Equivalent to --poweroff, overridden by --halt-k Don't halt/power-off/reboot, just send warnings--no-wall Don't send wall message before halt/power-off/reboot-c Cancel a pending shutdownsles12sp3:~ #
2). Windows のシステムを停止、電源遮断する(特にリモートデスクトップ)
通常にスタートボタン(田ボタン)からシャットダウン、リブートします。Windows Server 系ならリモートデスクトップでも「田ボタン」から、シャットダウン、再起動のメニューが使えますが、Windowsクライアント系(VDIデスクトップ)の場合、リモートデスクトップから、再起動のメニューが出ません。もしWindows のリモートデスクトップを使ってシャットダウンする場合はDOS プロンプトを開いて> shutdown /s /t 0 (シャットダウン)> shutdown /r /t 0 (再起動)か、必ずフルスクリーンモードで alt+f4 キーでシャットダウンのダイアログが出ます。
Windows2008 系を KVM/XEN で仮想化している場合、「シャットダウンしています...」が60秒以上かかる場合、あるいは、シャットダウンし切れない場合があります。動きがない場合 virt-manager & から Force Off しても構いません。あるいはコマンドラインで# virsh(あるいは xm or xl ) destroy my-vmachine-Name_or_vmID_numで強制終了させます。
仮想マシンマージャから仮想VMを遮断する場合は
# virt-managegr &> "connecct" した後、VMを右ポイントして、Shutdown を行います。
3).仮想化ハイパーバイザホストで fsck する場合がある。
なお、長期連続運用後、再起動させた場合、fsck プロセスが走る場合があります。これは長期間 fsck をしていない場合に必ず行う checkdisk の様な物なので、進捗具合を見ながら放置してください。数分から数十分かかる場合がありますので、慌てて電源を切らない事です。OS起動時のfsckのチェック間隔 (※SLES11の場合)Superblock があるパーティションでsles11sp4:~ # tune2fs -l /dev/sda9 | grep intervalCheck interval: 15552000 (6 months)sles11sp4:~ #sles11sp4:~ # tune2fs -l /dev/sda8 | grep -i mountLast mounted on: <not available>Default mount options: (none)Last mount time: Fri Sep 29 13:39:19 2017Mount count: 44Maximum mount count: -1デフォルトでは6か月以上 fsck をしない ext3 パーティションは強制的に fsck されるようです。マウント回数は -1 なので無限大の様です。強制的に fsck させない場合は shutdown コマンドで-f: do a 'fast' reboot (skip fsck).オプションを使います。※ このケースは SLES11 の ext3 フォーマットでのデフォルトです。SLES12 では BtrFS と XFS をデフォルト使用しませんのでこの限りにあらずです。
計画停電時の対策 SUSE (SLES11, SLES12,15) XEN/KVM 遮断マニュアル
SUSE SLES11, ハイパーバイザーのメンテナンス、Linux, Windows, シャットダウン、再起動
▲
by islandcenter
| 2017-10-03 14:00
| SUSE
|
Comments(0)
2017年 07月 19日
OES Linux ファイルサーバーのファイルアクセス権限の付け替え
- 目的 -
全社、あるいは多くの部署で読み書き可能だったファイルサーバーのフォルダのアクセス権を特定の部署、あるいはグループに特定できるように変更したい。
- OES Linux での操作 -
次の OES ファイルサーバーのフォルダ VOL:test には O=ACE(組織全部)と Yoiko.Uses.Osaka.Ace(グループ)に権限が与えられています。
既に O=ACE に [ RWCEFM ] の権限が与えられているため、全社 O=ACE がこのファイルサーバーのフォルダを読み書きできる状態です。グループオブジェクト Yoiko.Osaka.Ace にもトラスティが与えられていますが、この権限はこの場合は余分です。
したがって、OES ファイルサーバーの VOL:test には グループに関係なくすべてのユーザに権限が与えられています。
これを Users.Tokyo.ACE の OU にのみ解放したい場合 ....
いったんすべてのファイルサーバーの権限を削除して、
特定の部門、グループにだけ権限を与えます。ここでは Users.Tokyo.Ace に権限が与えられ、Osaka.Ace には与えられていません。全社からではなく、一部の部署がファイルサーバーの特定のフォルダにアクセスできるようになります。
※ただし、ログインスクリプトで map f:=VOL: などの記述があると、全くボリュームに権限がないと、マップエラーになります。本来であれば、権限がない時点で map のスクリプトを削除するのがベストですが、何か理由があって、ログインスクリプトに手を加えたくない場合は、dummy ファイルを置いて、[ F ] 権だけを与えたファイルを作っておくと良いでしょう。
試しに VOL:dummy.txt のユーザに [ F ] 権のみ与えてみると、東京では見えるフォルダは見えませんし、F権のみなのでフォルダを見ることはできても中身を確認することができません。
Windows のファイル共有と違って、OES のファイルサーバーのアクセス権(トラスティ)の割り当ては、一か所変えるだけで、メタファイルを一か所変えるだけなので、一瞬で終わります。フォルダの中にどれほどサブフォルダやファイルがあっても、ディレクトリとファイル全体の権限をスキャンして変更しませんので、ファイルサーバーの負荷はほとんど0%です。Windows ファイルサーバーでは数分から数時間かかり、ほとんどその間は、ファイルサーバが利用できない激重状態になります。
次のデモビデオでは、数万ファイルの大量のデータのアクセス権を変える操作を Novell OESでは一瞬、 Windows ファイルサーバーでは30分以上かかり、その間、ほとんどサーバーが使えなくなっている様子を比較したビデオクリップです。
Novell versus Microsoft: Granting Access Rights
また、権限のない不可視のフォルダ共有はエクスプローラにも表示されないため、共有サーバー上に数百、数千の読み書き不可の共有ディレクトリがあっても、ファイルサーバーが返すディレクトリ情報のポケットは「権限のある」ディレクトリだけなので、ネットワークの負荷が少なく高速に表示されます。
- keyword -
ファイルサーバー アクセス権限 変更 共有フォルダを見せない フォルダのアクセス権限を変える 遅い 重い ファイルサーバーの負荷100%
▲
by islandcenter
| 2017-07-19 11:23
| OES Linux
|
Comments(0)
