サーバー仮想化 其之弐

とりあえず物理サーバーのスペック

・DELL PowerEdge R410

　CPU：Xeon5550 ×1　（8コアなので1CPUでおなかいっぱい）

　メモリ：4G （足りない、8Gに増設予定）

　HDD：SATA250G×2（Raid0仕様）

　NIC：BroadcomGigaE×2

　OS：WindowsServer2008 64bit

となっております。

一見HDDが足りないように見えますが、仮想HDDはIP-SANに作っているので問題なし。

それよりもメモリがまったく足りてない。

CPUはXeon3300やP4を移すので1サーバー1コア、負荷のかかるサーバーでも2コアあれば十分です。

とにかくXeon5550速すぎ！

サーバー仮想化 其之壱

しばらく間が空きました。

この間なにをしていたかというと「サーバーの仮想化」に取り組んでおりました。

仮想化前、社内には7台のサーバーがあり、しかも3台はデスクトップタイプ

しかもデスクトップ3台のうち2台はＸＰが走っているデスクトップというわけのわからん状態で、ＵＰＳも2台あるけども容量がいっぱいという極限状況。

さらに一番古いＮＥＣのサーバーにいたってはシングルコアのＰ4という･･･もうカオス、まさにカオス状態でした。

最初はまったく仮想化などは考えていなかったわけですが、ひょんなことからＸｅｏｎ5500のサーバーとWindowsＳｅｒｖｅｒ2008 64bitを入手し、さらにHyper-VというServer2008に標準搭載されている仮想化アプリの存在を知ることとなり、しかも最近追加したサーバー3台ともServer2008を2003R2にダウンインストールしており、Server2008の仮想化シリアルが三台もあるという、まさしく「神の御信託」とも言えるタイミングのよさで仮想化環境が整っておりました。

そこで、まずはデスクトップで動いていたグループウェアと、Xeon3300+1GB RAMで「遅い」と評判のファイルサーバーを仮想化することにした。

GPOでセカンダリのDNSを設定する

と・・・モバイルがあらゆる場所でつながらなくなりました　orz

モバイルとはいえADのメンバーですから当然GPOの影響を受けます。

ってことは、DNSが社内のDNSサーバーのアドレスに固定されてしまいます。

こうなると、ホテルなどあらゆるところでLANが使えなくなります。

まぁ、DNSですからIPアドレス直打ちなら大丈夫なはず。

うん、大丈夫なところもあるんですが、だめなところの方が多いようです。

さらにEmobileもつながらなくなるようです。

docomoは大丈夫なのに、Emobileだけだめ。

社内でのdocomoの圧勝はしばらく続きそうです。

GPOでセカンダリのDNSを設定する方法2

先日「GPOでセカンダリのDNSを設定する方法」で紹介したGPOによるDNSサーバーの設定。

うまくいかないと書いたのですが･･･なんと動いてました。

このGPOで設定したDNSはローカル設定のDNS、すなわちTCP/IPのプロパティーやDHCPで設定されたDNSより優先されるんですね。

しかもそれはipconfigを見てもわからないという困ったちゃんｗ

じゃぁなんで発覚したかというと、GPOを適応したMobilePcでdocomoのFOMAカードを使ってインターネットへつないでもまったくブラウズできない、でもSSL-VPNで社内LANに参加すればブラウズ可能という怪現象が発生。

ブラウズできないPCでnslookupを掛けると、docomoからDHCPで割り当てられているDNSでは無く社内のDNSを見に行っていることが判明。

そこで試しに社内のPCでTCP/IPプロパティーのDNSにでたらめな数値を入れてみると･･･おぉ！普通にブラウズできるｗｗｗ

ん～GPO恐るべし。

ちなみにGPOでセカンダリDNSを設定する場合は、プライマリDNSのアドレスの後にスペースを入れてセカンダリのアドレスを入れるだけでOKです。

追記：モバイル環境下で不具合が出る事があります。
　　　　詳しくは こちらの記事 を。

GPOでセカンダリのDNSを設定する方法

DNSサーバーを二重化したわけだが、各端末のTCP/IP設定にセカンダリのDNSを設定しなければ意味が無い。

しかし、全ての事務所や工場の端末を一台一台設定して回るわけにもいかない（たとえリモートであっても）ので、GPOでDNSの設定を変えようと思ったんだが･･･

GPOエディターでみると

コンピューターの構成→管理用テンプレート→ネットワーク→DNSクライアント→DNSサーバー

に設定項目がある

とりあえずプライマリとセカンダリを設定してみるもクライアント側には適応されない。

ICP/IPのプロパティーでもipconfigでも確認できなかった。

そこでnetshコマンドを使ってDNSを設定するbatをつくり、GPOで配信することにした。

とりあえず週末に仕込んで月曜の朝、起動時に適応させる事にする。

あとは運用管理ソフトでdnsの設定を見て、効果を確認するだけ。

おまけ[batの中身]

netsh interface ip delete dns name="ローカル エリア接続" all

netsh interface ip set dns name="ローカル エリア接続" source=static addr=192.168.31.3 register=PRIMARY

netsh interface ip add dns name="ローカル エリア接続" addr=192.168.31.2 index=1

まず今あるDNSの設定を一行目で消し

二行目で最終セカンダリになるDNSのアドレスをプライマリとして設定

三行目で本当のプライマリDNSのアドレスを押し込んで二行目で設定したアドレスをセカンダリに蹴落として終了。

VPN、ルータ越えでADのGPOを適応する方法

VPN、またはセグメントを分けたLANでADを構築している場合、VPNやルーターを越えた先にあるクライアントにグループポリシーが届かないという現象がある。

クライアント側のアプリケーションＬｏｇに

---------------------------------------------------------------

イベントＩＤ：1054

コンピュータネットワークのためのドメインコントローラ名を取得できません。

(指定されたドメインがないか、またはアクセスできません。)

グループポリシーの処理は中止されました。

---------------------------------------------------------------

というログがLogIn時からだいたい5分毎に記録される。

原因はWindowsのデフォルトでのICPMのバッファがでかすぎる事。

クライアントがDCからGPOを取得する場合次のようなステップを踏む。

1.GPOを適応する際には、クライアントはまず0バイトでpingをDCに飛ばす。

2.DCがReplｙする

3.ドメインコントローラに対して、2048バイトpingを打つ(MFフラグ付）

ここでDCからReplyがあればGPOを複製して適応となるんだけど、この2048バイトのpingが曲者。

WindowsのデフォルトではICMPは2048という最大長で発信される。

これはTCP/IPのMAX値なので、ベタに同一セグメント内にDCがある場合は、pingはDCは届きDCからReplyが来てなんの問題も無くGPOが適応させる。

しかしVPN等でルーターを超える場合、ほとんどのルーターは2048バイトというICMPを通過させれない。

ましてやインターネットを介してIP-sec等でVPNを構築している場合、インターネットの最大バッファは1500、VPNなら暗号化を掛けているので1300～1400程度がMAXのはず。

そりゃ2048なんてでかいバッファのICMPが通るわけがない。

で、DCからのReplyが無いって事で上記エラーを記録することになる。

解決策はレジストリでICMPの最大値を区切ってやること。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

に新規DWORDを作り名前を「PingBufferSize」にする。

値を10進で500以上で自分のネットワーク環境に合わせた値（ルーターの許可最大値なりVPNの最大値）を入れるだけ。

うちは1024で統一した。

テストをする場合はVPNまたはルーター越しの端末にレジストリーを設定し

gpupdateコマンドを実行する。

あとはポリシーの確認をするだけ。

もしGPOが適応されないならPingBufferSizeの値を調整してリトライ

この値はあくまでICMPの最大値なので数値の大小でネットワークの速度に影響が無いので、最小値500を最初から設定しておくもの有りかもしれない。

テストがうまくいったら設定変更をbatファイルにして配布して終了。

ただし配布をGPOで行っても意味が無いので注意

おまけ[batの中身]

(

@echo Windows Registry Editor Version 5.00

@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

@echo "PingBufferSize"=dword:00000400

) > startup.reg

@regedit /s .\startup.reg

@del startup.reg

ファイルを右クリックでフォルダ移動する方法

XPの場合

レジストリ

HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\Move To

値

{C2FBB631-2971-11D1-A18C-00C04FD75D13}

とする。

Move To はデフォルトにはないのでキーの作成で新規作成する



【追記】

Wim7の場合

レジストリ

HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\Move To

内に　『新規文字列値』　を追加

・名前　：　MoveTo

・値　　 ：　{C2FBB631-2971-11D1-A18C-00C04FD75D13}

とする。

苦悩

ネットワーク管理者の仕事なんざろくなもんじゃない。

ときどき真剣にそう思ってしまう時がある。

先日、うちの経営者に呼ばれた。

「インターネットの有害サイトをブロックする」という部課長会議の議事録を見てのお呼びだった。

要約すると「なぜブロックが必要なのか」ということだった。

このブロック、UTMのカテゴライズにしたがってアダルト、ギャンブル、ゲーム、WebMail、チャットといった業務に無関係だったり情報漏えいあるいは悪意のあるプログラムをDLしかねないサイトへのアクセスを規制する為に行っている。

ネットワーク管理者としては社内システムの保護とトラフィックの適正化、システム管理者としては機密保持と社内規律の為にやってるれっきとした業務なわけだ。

経営者いわく「うちの会社にそんなもの見てる奴は居ないはずだ」

良くも悪くも創業者であり社員を家族のようにおもっている人の発言だ。

しかし、こちらも自分の行っている業務を無駄という評価をみすみす受けるわけにも行かないので、アクセス集計をした資料を提出した。

当然、頻繁に競馬情報サイトにアクセスしている奴が浮き彫りになっており、直後にそいつは上司と共に呼ばれて何らかの処分を受けることとなった。

そいつにしてみりゃ「なんで俺だけ？！」という感じなんだろうが、それは自分のやったことの報いとして受けてもらっとくしかないのだが、周囲への波紋は大きい。

挙句に経営者の名前で「今後一切、私用でのインターネット禁止。違反者には懲戒免職を含めた毅然とした処分で臨む」なんておふれが出たもんだから、もう大変。

一部では俺が違反者を内定してチクってるんじゃないか、とか、あいつが趣味でやってる的な噂もある。

別に社内の人気者になる為に仕事してるわけじゃないが、やっぱりそういうのはこたえる。

そんな時には「ネットワーク管理者の仕事なんざろくなもんじゃない」と思ってしまうのだ。

HUB交換

ネットワークの原因不明ダウン問題でDCを移行したわけだが・・・

やっぱり落ちる。

ネットワークダウン時にDCに対してpingが飛ばなくなるのでDCの問題だとおもっていたのだが違うようだ

しかもPDCとBDC体制にしたのにやはりネットワークが落ちる。

DNSもプライマリ、セカンダリともあかんくなる。

原因は別にあるらしい。

これが簡易ながらうちのネットワーク図

で、ルーターのLogはサーバー群にあるLogServerで取ってる。

前回ネットワークが落ちたときのLogを見ようとLogServerにアクセスすると、落ちてる6分間のLogがすっぽりない！

当然その前にネットワークダウン時のLogもない。

もちろん前後に怪しいLogはない。

RooterとLogServerはIPアドレス直でやり取りしているのでDCやDNS鯖のトラブルの影響は受けないはず。

ってことは、RooterとLogServerの間の通信が物理的に切れてるって事だ。

てことは、当然業務のセグメントからサーバーセグメントも通信できてないわけだ。

こりゃサーバーセグメントのHubが原因で決まりだな。

うん。

で、メーカーに電話。

すると、送り返してくれたら点検・交換はするが代替機を出すには有償サポートに入れとかののたまうので、販社から仕入れ→メーカーと圧力を掛けさして新品交換品ゲットン

ｔｋ、状況証拠とはいえどう見てもHubが原因で、しかも購入からまだ一月ってこたぁ、普通初期不良で交換のはず。

まぁ、安い機材なんだからしょうがない面もあるんだろうけどねぇ･･･

そんなこんなで土曜日に小一時間ネットワークを止めてHub入替作業完了

とりあえず様子見かな

デスクトップ

こんな感じ。

19インチワイドをデュアルで使ってます。

左はネットワークの管理画面、UTMやFirewall、VPNなどの状態を5秒毎で表示しています。

いろいろ情報があるのでモザイクだらけですいません・・・

右が通常のワークスペース

こんなかんじです。

DCの移行 【2000→2003R2】

7月頭にVPNを含めたネットワークの改修を行いました。

ところが、それ以来大体週一のペースでネットワークがダウンするのです。

原因は不明。

とりあえず原因を考えるとあやしいとこだらけ。目に付くところからやっつけようということで、2000serverで構築されているDCを2003R2に移行することに。

この2000server、DNSも兼ねているのにDC、DNSともにセカンダリが存在しないというおそろしいネットワーク構成

しかも5年間ハード、ソフト共にノーメンテ！

もちろんノードキュメントです。

とりま2003R2をグループサーバーとしてドメインに参加させ、adprep実行し2003R2にADをインストールするだけ・・・が、インスコできない　orz

なぜか2003R2にADをインストールしようとしてもエラーで止まってまう。

いろいろやってみるもののどーしてもできない。

どうも2003R2がドメインのレプリケーションを受けれてない感じ。

と、ふとみるとプリンタサーバーの2003はレプリケーションをうけているぞ？！

ならとりあえずこいつをDCにしてしまおう！

とういうことで2003にADをインスコすると見事成功！

しかしGCにならない、LogをみるとKCCエラーとか言うのがでまくり。

で、よくよくエラー内容をみてみると、なぜか見たこともない名前のサーバーを探してエラーになっている感じ。

どうやら昔のシス管がわけもわからずDCにしたサーバーを降格せずにネットワークから撤去したらしい。

そこで2000のDCのごみを掃除したら、あらすんなりGCになりました。

とりあえずFSMOとスキーマを2003に移行し、2003R2にADをインストールするとあっさり成功

そのままGCにしてさらにFSMOとスキーマ移行し、無事2003R2がDCになりました。

で、2000は降格後ネットワークから撤去。

紆余曲折ありましたが、なんとか移行に成功

DC、DNS共に2003R2と2003でプライマリ、セカンダリ体制にしドメインとフォレストの機能レベルを上げて移行完了～

ほんとこの「昔のシス管」にはやられまくっている

なんか最後は会社と喧嘩別れしたらしく、全ての資料を捨ててやめたらしい･･･

Give Me Paper！

FileMakerServer10とActiveDirectryの連動

現在、まったくといっていい程システム化されていない弊社。

とりま生産管理システムを構築すべくFMを購入。

全社員400名、そのうちPCを使って仕事する営業課員とバックオフィス合わせて200人ちょい、

静岡を中心に工場合わせて8拠点

年商100億

この規模であればOracleとかいらないし。FMで十分。

なにより図体がでかくなってからシステム化するので要件定義すらままならない弊社の場合、作って・動かして・直せて・増築できるFMがちょうどいい感じ。

で、いざシステム構築となるとやっぱり出てくるのが「アクセス権」

誰にはここを見せて誰には見せないとか・・・うるさいよね（＾＾；

けど、そこは盛りこまにゃならんのだがFMの全てのファイルにいちいち200のアクセス権を設定なんかしてられない。

そこでFMサーバー10とADを連携させることにした。

まずFMサーバーのコンソールで外部認証を許可する

で、AD側にはEveryOneとAnyMouse（匿名）のLogInを許可しておく

あとはサーバーで公開したFMファイルを開いて、アカウント追加→認証方法を外部認証にしてADで作っているグループ名を入れ、最後にアクセス権を設定する

ここで大事なのは「拡張アクセス権セット」で「ファイルメーカーネットワークによるアクセス」を必ずいれておくこと。

あとはフルアクセスできるFM側のアカウントをAD側と重複させないこと（AdministraotrとかFMとAD両方にあるようなのはダメ）

これでOK