24-6. Windows 7 と Windows Server `2e/04〜 (1) Windows 7 パソコンのことから * Windows 7 パソコンのこと 操作性や見た目がだいぶ変わった。LANを有効にする、無効にする。ネットワ−クのテ ストをしていてよくやることである。これをやるメニュ−がまるで直感的でなくなった。 メ−ルソフトは Outlook 2010、ただのメ−ルソフトではないぞ。 スケジュ−ルやWeb 会議なども含まれている。このソフト、よくもこうまでメニュ−を変えたものだ。 エクセルのシ−トをさわって保存をしようとしたら、互換性がどうとか何やらいってきた。 拡張子が xls で古いのだと。これはとりあえず [続行] でよし。 キ−ボ−ドを触っていたら、キ−ボ−ドで Caps Lock のランプがついた。 どないして解 除するの?。Shift と Caps Lock キ−を一緒に押すとオン、オフする。 秀丸エディタのカスタマイズ。[その他]->[ファイルタイプ別の設定] {体裁} のところで "◎固定 折り返し文字数: [80 ]" << 90にした。 Windows XP から Windows 7 へのメ−ルのデ−タとブラウザのブックマ−クの引っ越しは 特に問題なかった。ドライブの最適化、ディスクデフラグツ−ルを何回か使った。 画面が半透明になっているけど。なんか気持ち悪いぞ。これは慣れかな。メ−ルの新しい のが到着すると半透明で知らせてくれるのは有難く感じるようになった。 Windows 7 の DOS窓の画面では telnet コマンドは効かない。使えるようにする何らかの 設定がいるのかも知れない。とりあえず TeraTerm の中の Telnet サ−ビスでやれる。 * hosts ファイルの書き込みにて セ−ブしようとしたら権限がないと出た。すべてのプログラムから "メモ帳" で、マウス 右クリックしてメニュ−を出す。{管理者として実行} をクリック。 何やら聞いてくるの で [はい] を押した。これでセ−ブできるようになる。 C:\Windows\system32\drivers\etc\hosts このファイルは初期状態で ------------------------------------- は何も有効な書込みはない。 |1.1.1.1 www.nix.co.jj --------------------------------------------------------------- | ユ−ザ−アカウント制御 | |-------------------------------------------------------------| | 次のプログラムにこのコンピュ−タへの変更を許可しますか? | | プログラム名: メモ帳 | | 確認済みの発行元: Microsoft Windows | | | | 詳細を表示する [はい] [いいえ] | --------------------------------------------------------------- * プロトコルの定義ファイル Windows 7 の hosts ファイルは C:\WINDOWS\system32\drivers\etc\hosts である。この etc フォルダには最初から lmhosts.sam、network、protocol、services というファイル もある。services ファイルはUNIXにあるプロトコルの定義ファイル相当の物である。 C:\WINDOWS\system32\drivers\etc\services ---------------------------------------------------------- |echo 7/tcp | | |ldap 389/tcp #Lightweight Directory Access Protocol | | * VMware vSphere Client を入れる https://1.1.1.1/ Windows XP に VMware vSphere Client をイ ----------------------------------- ンスト−ルして利用してきた。Windows XP画 | VMware vSphere 4 面の Client のアイコンをクリックすると画 | ようこそ 面には "IPアドレスは [1.1.1.1 ▽]" と |---------------------------------- 入っていたとする。VMware Sphere Clientソ | はじめに フトは vCenter Server にアクセスして取る。 | vSphere Client のダウンロ−ド | vSphere 4 ドキュメント |------------------------------------------------------------------------------- |1.1.1.1 から VMware-viclient.exe(243MB)を実行または保存しますか? [実行] [保存] -------------------------------------------------------------------------------- --------------------------------------- [実行]をクリックした。ウィザ−ドでユ− | VMware vSphere | ザ−情報を入れてくれと出た。ユ−ザ−名 | Client | [ administrator ] と組織名 [henomohe ] |-------------------------------------| と入れた。インスト−ル作業が進んで数分 | IPアドレス: [1.1.1.1 ▽] | で完了した。パソコンの画面にアイコンが | ユ−ザ−名: [administrator ] | できていてクリックした。 | パスワ−ド: [henomohe ] | | [ログイン][閉じる][ヘルプ] | --------------------------------------- ------------------------------------------------------------- この画面が次に出た。 |セキュリティ警告 | とりあえず"無視"し |-----------------------------------------------------------| てやってみた。 | | |□この証明書をインスト−ルし、1.1.1.1 への警告を表示しない | ------------------------------------------------------------- * Windows 7 の RS-232C の利用 ヤマハのル−タ RTX1200 に TeraTerm で RS-232C 接続しコンフィグレ−ションを流し込 んだ。Windows 7 が動くパソコンは結構ハイスペックで、デ−タをどんどんル−タに流し 込んでしまって、デ−タの抜けが出たりするらしい。それを回避するため、デ−タを送る のをパソコン側で遅くする。[設定]->[シリアルポ−ト] で画面が出る。ここで 送信遅延 [0]ミリ秒/字 [0]ミリ秒/行、両方とも 50 位にしてみる。 800行位のコンフィグレ− ションをカット&ペ−ストで流し込むのに5分位かかってしまった。 Windows XP がこうした時に必要である。あると有難いというか無いとこまる。Windows 7 は何かと挙動がすっきりしないことがある。デフォルトゲ−トウェイを記入したはずが空 欄になっていたりする。パソコンのIPアドレスをテストなどで一時的に変えたりする場 合、設定してからもう一度ネットワ−クを無効、有効をやって確認している。特にデフォ ルトゲ−トウェイの設定は挙動がおかしい。DOS窓>ifconfig/all でも確認した方がいい。 まともな設定であれば デフォルトゲ−トウェイ ... 192.168.1.1 とか1つだけ表示され るはずである。それが 0.0.0.0 が出て、その下に 192.168.1.1 とかでてしまうとネット ワ−クはおかしくなる。デフォルトゲ−トウェイが0.0.0.0 ではどこへにもいけない。デ フォルトゲ−トウェイのIPアドレスを記入するときはパソコンにネットワ−クケ−ブル をつないでおかないといけないのでないか。挙動を見ていてそんな感じがした。 TeraTerm の設定のことで気付いたこと。Yamaha RTX1200 を設定していて文字化けするの で。[設定]->[端末] で改行コ−ド受信も送信も CR、漢字-受信、漢字-送信 SJIS にする。 SJIS でなくて EUC とかすると save などで出てくる日本語が化ける。↑矢印キ−で1つ 前の入力文字列がでてくる。Delete キ−が1つ後ろに下がって1文字消す、 その場の1 文字を消してくれると便利なのだが。初期設定の RTX1200 のパスワ−ドは空かな。 * リモ−トデスクトップ接続は Windows 7 では [すべてのプログラム] メニュ−の [アクセサリ] の下に [通信] がなく て [リモ−ト デスクトップ接続]というのがあった。クリックすると下記の画面がでてく る。[接続]をクリックすると別な小さな画面が出て相手パソコンのログオンのパスワ−ド を求められる。証明書うんたらと言う画面が出て、"このリモ−トコンピュ−タの IDを識 別できません。接続しますか?" と聞かれるので (Y) を押す。 ------------------------------------------------------------------- |リモ−ト デスクトップ接続 | 終わるのは X |-----------------------------------------------------------------| を押せばいい。 | 全般 | 画面 ロ−カルソ−ス プログラム エクスペリエンス 詳細設定 | 元の画面に戻 | -----------------------------------------------------------| るか、ログオ | ログオン設定 | ンの画面にな | リモ−トコンピュ−タの名前を入力してください。 | るか。そこら | コンピュ−タ名: [ 192.168.1.9 ▼] | の挙動は各自 | ユ−ザ−名: [ Note-PC1\root ] | 見てみること。 | | | このノ−トは | ▲オプション [接続] [ヘルプ] | ドメインなし。 ------------------------------------------------------------------- 他のパソコンからこのパソコンにリモ−ト接続を許すようにするには、メインのメニュ− [コンピュ−タ−] をマウス右クリックで出たメニュ−で [プロパティ] 画面の{リモ−ト の設定} をクリック。 これで出た画面 [システムのプロパティ]->[リモ−ト] "リモ−ト デスクトップ" のところで "◎リモ−トデスクトップを実行しているコンピュ−タからの 接続を許可する"。[コントロ−ルパネル]->[システムとセキュリティ]->[システム] でも。 接続先パソコンがノ−トPCだとバッテリの消費を減らすため、スリ−プ状態にしたりす る設定をしている場合がある。リモ−ト接続してしばらくほかっていたら、スリ−プ状態 または休止状態になってしまってアクセスできなくなってしまうかも知れない。それでス リ−プにならないようリモ−ト接続したら、先ず設定した方がいい。あまり考えず休止状 態と書いたがどういうことだったか。 [コントロ−ルパネル] 画面の右上の {表示方法: カテゴリ ▼} で {小さいアイコン} を クリック。アイコン{電源オプション} をクリック、{コンピュ−タがスリ−プ状態になる 時間を変更} で出た画面で、{現在利用可能ではない設定を変更します}をクリックすると 時間を変えることができる。 [コントロ−ルパネル]->[ハ−ドウェアとサウンド]->[電源 オプション] でもこの画面に辿り着く。 コンピュ−タをスリ−プ状態にする バッテリ駆動[15分 ▽] 電源に接続[30分 ▽] 試しに "電源に接続:[30 分 ]" を3分にしてみた、変更できた、 3分したら画面は消え て真っ暗になった。ノ−トPCの電源ボタンを押したら "root ロックしています" と出 た。そこでパスワ−ドを入れたら先程までやっていた画面に復帰した。相手パソコンに入 り作業して再起動が必要になったら DOS窓で >shutdown -r とやる。>shutdown -help と やるとヘルプが出てくる、/h は"ロ−カル コンピュ−タを休止状態にします" とあった。 * IE9のアクセスがおかしい 久しぶりに NetScreen を触ってみた。Webアクセスして設定していた。 半日程触って いたら、メニュ−の [Interface] をクリックすると終わってしまうようになった。 右上 の {●logout} をクリックしても反応なくなった。その後、Web画面にログインしよう とアカウントを入れたら終わってしまう、Web Expired というのが出てそっけなく。他の パソコンではちゃんとメニュ−画面がでてくるが、その内に似たようなことになってきた。 Mozilla Firefox ではWebアクセスでき操作は問題なくできた。 ----------------------------------------- |閲覧の履歴の削除 | デフォルトで4つに〆があった。 |---------------------------------------| | 〆お気に入りWebサイトデ−タを保持する | IE9の履歴を消してみたら問題は解消 | 〆インタ−ネット一時ファイル | した。 [インタ−ネット オプション]-> | 〆Cookie | [全般]画面の{閲覧の履歴}の所の[削除] | 〆履歴 | クリックして、とりあえず左のデフォル | □ダウンロ−ドの履歴 | トのままで [削除] をクリックしてみる。 | □フォ−ムデ−タ | それでも問題が解消されなければ、□フ | □パスワ−ド | ォ−ムデ−タぐらいに〆して [削除] し | □ActiveXフィルタ−と追跡防止のデ−タ | てみる。 蛇足だが NetScreen の後継機 | | 種の Juniper SSG、設定はあまり変わっ | [削除][キャンセル] | てないみたい、VIPや MIP の用語も一緒。 ----------------------------------------- * IEブラウザのプロキシ設定の挙動 [ツ−ル]->[インタ−ネット オプション] 画面の [接続]->[LANの設定] -------------------------------------------------------- | ロ−カルエリアネットワ−ク(LAN)の設定 | SVR2□ |------------------------------------------------------| |.2 192.1.1.0 | 自動構成 | ----------------------- | | | | SVR1 Proxy PC1の | | ■ □ □ △IE | プロキシサ−バ− | | | |.5 |.9 | 〆LANにプロキシサ−バ−を使用する(これらの設定はダイ | ----------------------- | ヤルアップまたは VPN 接続には適用されません) | 192.168.1.0 | | | アドレス:[192.168.1.5 ] ポ−ト:[80 ] [詳細設定] | << A。 | □ロ−カルアドレスにはプロキシサ−バ−を使用しない | << B。 | | | [ OK ] [キャンセル] | -------------------------------------------------------- Aの [詳細設定] の例外設定のところで、次で始まるアドレスにはプロキシを使用しない [192.168.*.*]。これは 192.168.*.* というセグメントへは、意図としては社内にあるサ −バへは直接アクセスさせますという指示である。192.1.1.0 はこの範囲に入ってないの で、PC1 の IE から 192.1.1.2 の SVR2 へはプロキシサ−バを経由することになる。 Bの設定はどういうことか。プロキシサ−バは 192.168.1.5、パソコンは 192.168.1.9で 同じセグメントにある。Bに〆入れると PC1の IE はプロキシサ−バを見なくなる。挙動 を調べたらそうなっていた。windump をパソコンに入れてパケットの流れを見ようと思っ たが Windows 7 には対応してない。windump に代わる WireShark を入れないといけない。 (2) Active Directory とユ−ザ認証 * こんなテスト環境はどうかな 同じ会社で部門Aと部門Bが別々にネットワ−クを構築していたという想定。ル−タをか ましてネットワ−クをつなぐ。地理的に離れていたらWAN回線をひく。別な会社の場合 でも同様である。部門Aと部門Bはそれぞれ Active Directory サ−バを立てていたとい う想定もここにはある。テスト環境を作るのに Active Directory の Windows Server が 用意できれなければ LDAP サ−バでもいい。LDAP サ−バは Linux マシンがあれば動かす のはそんなに難しいことではない。OpenBlockS でも LDAP サ−バが使えるのでないか。 c ----------------- ログオン tarouh FileA サ−バには ----------- ↓ | group1がアクセス | AD FileA PC1 Mail LDAP できるようになっ □ ■ <--- □ <--- △ ---> □ ---> ■ ている。group1に a | | | | | | 属す tarouh は利 ------------------------------------------------------ 部門A 用できる。 | SSL-VPN□ -------------------- SSL-VPN をかませ PC2 | ShareP FileB ↓AD ば相手 AD を使っ △ Router□ □ □ ■ て、AD連携の相手 b | | | | | のサ−バを利用で ------------------------------------------------------ 部門B きるようになると c | d いう仕組みである。 ------□------ ただのル−タの経路設定ではセグメント c がかちあってしまう。セグメント c は扱わな いようにするのが簡単か、相手の c にはお互いいけない。 SDN対応のル−タにしたら どうか。アライドテレシスのSDN対応製品はどうか。中央で使うのでなく末端で使うの を出していると INTEROP 2014 の展示ブ−スの人は言っていた。 P1C の使用ユ−ザは "日の丸太郎" 君、hinomaru tarou で AD 登録のユ−ザ名は tarouh。 group1 に属すものとする。PC1 には SSL-VPN のクライアント用ソフトとメ−ルのクライ アント用ソフトがインスト−ルされている。ファイル共有のクライアント用ソフトという のはない?ある?、通常は Windows OS内の CIFS 機能を使うことになる。 部門Aの PC1 が SSL-VPN 装置を利用する時は部門Bの AD を参照し、 部門Bの PC2 が SSL-VPN 装置を利用する時は部門Aの AD を参照する。多分 SSL-VPN装置の Camail では やってやれないことはないと思う。でもかなり設定は面倒になると思う。両方の設定をや るのではなく、別個にテストするようにした方がいいと思う。それで動作確認しよう。 部門Aの AD 部門Bの AD いかん、これまでAD -------------------------- --------------------------- のことは調べてきた |ユ−ザ名 |ユ−ザ名 つもりだったが、グ | tarouh | tarou9732 ル−プというのはあ |パスワ−ド |パスワ−ド まり気に留めてなか | 6文字で他は制約なし | 8文字で幾つか制約あり った。SSL-VPN のア |------------------------- |-------------------------- カウントにグル−プ |グル−プ |グル−プ というのは無いよな。 | group1: tarouh 他 | member1: tarou9732 他 どうなるのかしゃん。 グル−プは Active Directory のユ−ザ情報で memberOf のことかな。Camailで AD にア クセスするとダ−と情報がでてきた。 めぼしいのを挙げてみるとメ−ルアドレスの mail、 ユ−ザ名の name。 他にも用途は分からないが objectGUID、objectSid、primaryGroupID、 sAMAccountName、それに sn と cn などいろいろある。 * ユ−ザ認証とSSL-VPNで−その1 パソコンは社内にあった時の AD ユ−ザ認証された情報を覚えている。キャッシュさせる させないは AD で制御できるし、キャッシュ期間も AD で制御できる。ユ−ザ認証の動作 確認するには AD 認証しないパソコンがあるといい。手元に AD 認証させる Windowsドメ インの設定そのものをしてないノ−トパソコン(PC1)がある。これで Camail を確認した。 そのノ−トはドメイン認証せず root でログオン、コンピュ−タ名とフルコンピュ−タ名 は同じで rootPC という具合。ワ−クグル−プWORKGROUP。もう1台はデスクトップ(PC2) でログオンは tarouh で AD 認証。 パソコンの名前などは "コンピュ−タ名" は TAROUH、 "フル コンピュ−タ名"は TAROUH.ad1.nix.local、"ドメイン"は ad1.nix.local。 AD 連携するサ−ビスとは、アカウント情報が引き継がれるとはどういうことか。AD 連携 と言うのは実際は無いのでないかと最近感じている。例えばメ−ルストアがユ−ザ認証す るのに AD だけ見るようにしたら、AD がないとメ−ル送受信はできないので、 この場合 はAD 連携と言ってもいいかと思う。しかしやはり連携と言う表現は大仰だと思う。 新品の Windows 8.1 タブレットに Camailのクライアントソフトをインスト−ルした。ユ −ザ認証は AD サ−バを指定。Camail装置ロ−カルにそのユ−ザのアカウントは作成して ない。ともかく初めて使うパソコンでユ−ザ認証のキャッシュなんかどこにも無いという 状態である。これで直ぐに社内のファイル共有にそのユ−ザ権限でアクセスできた。 ________________________________ ※CVC( Camail VPN Connection ) | | PC1 PC2 Camail AD ↓ PC1,2はCVC でCamail にアクセス。 △ △ ------> □ -----> ■ <---- □ファイル その際にアカウント入力し、ユ− | | | | |共有CIFS ザ認証とファイル共有の認証はAD ---------------------------------------- 参照。ADには tarouh の登録あり。 SSL-VPN 関係なしで。PC1 でIEでファイル共有の一時フォルダにはアクセスできた。自 部門は拒否された。Shift+マウス左でアカウント入力画面が出て、ここで tarouh を入れ たけどダメ。ad1\tarouh を入れたら自部門リストされた、 IEを閉じて開いても {閲覧 の履歴の削除} やってもリストされた。PC1 を再起動したらリストされなくなった。 PC2に tarouh でログオン。CVCで testn1でログイン。ファイル共有は tarouhでログオン した状態と同じように利用できた。PC2 はインタ−ネットからのアクセスも同様。これか ら推測できることは Camail からファイル共有サ−バには、 PC にログオンした際のアカ ウントが流れたのでないか。testn1 は AD または Camail装置にテスト的に登録したもの。 -------------------------------------------------------------------------------- PC1 に root でログオン。AD には tarouh ユ−ザ登録、パスワ−ドは123。PC1 の CVCで Camail に tarouh、パスワ−ド123 でアクセス。Camail はAD にこのアカウントがあるか 確認。ファイル共有には tarouh で利用できる部門がある。PC1のCVCから ad1\tarouh で tarouh 部門にアクセスできた。tarouh ではアクセスできなかった。しかし、ちょっと前 にテストした際はできなかったのだが。ここの所はとても肝心なところである。 SSL-VPN 装置は AD サ−バへのユ−ザ認証の中継をやってくれるのか、できないのか。これまでの 認識ではできると認識してきた。新品の Windows 8.1 でも AD登録ユ−ザのアカウントで ファイル共有にすぐにアクセスできた。一応できると考えていいのだろう。 -------------------------------------------------------------------------------- * ユ−ザ認証とSSL-VPNで−その2 上記でファイル共有には tarouh で利用できる部門があるというのを、ファイル共有サ− バにアクセスすると誰でもアクセスOKの [一般] とか、それぞれの部門は AD に制限さ れて許可されたユ−ザしかアクセスできないようにしてある。 tarouh さんは [開発] 部 門のフォルダが許可されているとしよう。パソコンにログオンする際 tarouh で入ればそ のまま [開発] にはいることができる。しかし今テストでパソコンは AD でのログオン制 御になってなくて、root でログオンしているという状況である。 それで [開発] フォル ダの上で Shift+MR(キ−ボ−ドの Shift押しながらマウス右クリック) して、アカウント 入力画面が出たところで [ ad1\tarouh, パスワ−ド ] を入れた。中には入れなかった。 Configure Authentication Server [System Configuration] ->[Authentication ------------------------------------- Servers] にあるメニュ−で、どうもWindows | Credential type: Username/Password ドメイン名を補間するらしい機能が試したら | Name:* あった。Domain name:[ ] は空白でここに | [ActiveLDAP ] Domain name:[nix.local] と記入した。する | | とファイル共有サ−バなどにアカウント名を | "tarouh\nix.local"などと言うように送信す |------------------------------------ るのでないか。Shift+MRで tarouh 入れたら ||Advanced ダメ。Shift+MR で ad1\tarouh で[開発] に || | 入れた。CVC 切断してもアクセスできた、さ || Domain authentication forwarding -- らにIEの履歴を全部消してもアクセスでき || ◎Forward a custom domain name た。パソコンを再起動したらできなくなった。 || Domain name:[ ] || ○Forward the authentication server name as domain name << これは関係なし。 この動作確認のテストをしている時、どうも挙動が不安定なところがあった。できたりで きなかったり。そんな時のワ−ニングが "同じユ−ザ−による、サ−バ−または共有リソ −スへの複数のユ−ザ−名での複数の接続は許可されていません。" こんなのがでてきた。 他のパソコンで日常的な操作で、ファイル共有の確認したいフォルダ[開発]に一度でもア クセスすると接続したままになるようなのだ。それで二重にはフォルダを開くことはでき ませんという警告が出ていたということである。なかなか気が付きにくい現象である。し かし Windows のファイル共有って、デフォルトはそんな仕様になの?、ダサイ話だな−。 -------------------------------------------------------------------------------- 上記のように SSL-VPN装置がアカウント名を補間、付け加えているというのならば、ファ イル共有の [開発] で Shift+MR で出たアカウント入力画面でフルに名前を入れてみたら どうか。パソコンのログオンで tarouh と入れると、パソコンに先立って設定しておいた AD のドメイン情報 ad1.nix.local が補間されてファイル共有のフォルダに流し込まれる のでないか。それならば最初からフルネ−ムで入れれば認識するのでないかと考えた訳で ある。nix.local.ad1\tarouh とか ad1.nix.local\tarouh とか tarouh@ad1.nix.localと かいろいろ入れてみた。残念いずれも失敗だった。業者の人がノ−トPCでドメイン名を 含んだやたら長いユ−ザ名を入れているのを見たことがある、できるような気がするが。 -------------------------------------------------------------------------------- * ユ−ザ認証の中継装置の検討その1 FirePass 設置時のSI業者と設定の詰めをやっていた際、仕様の取り決めで CIFSサ−バ の認証に FirePass ログイン時の情報を利用するかどうかというのがあった。設定メニュ −は [ポ−タルアクセス]->[Windowsファイル]->[マスタ−グル−プ設定] 画面の"アドバ ンストWindowsファイル設定" で "〆FirePassユ−ザログイン認証内容を使用してWindows ファイル共有に自動ログオン" にしていた。この設定についてはあまり注意してなかった のだが肝心なことだった。A-Gate でもそんな機能がなかったか調べた。[Authentication Forwards] メニュ−でアクセス許可のサ−バがベ−シック認証の場合に、ユ−ザ名とパス ワ−ドを送信できるとあった。A-Gateログイン時のものか固定した一組みのアカウントを 選択する。Windows Server の AD 認証の他に LDAP と RADIUS も利用できるとあった。 FireWall は中継装置にならないか。FireWall でもユ−ザ認証してアクセスできるサ−バ を制限できる。ユ−ザ認証で相手側?の AD を参照する。これは一見 SSL-VPN装置の代わ りにできそうな気がするが多分できない。ユ−ザ認証はただユ−ザを認証するだけである。 パソコンがあたかもそのユ−ザになったかのようなことにはならない。パソコンに katou でログオンしていて、ユ−ザ認証では satou というアカウントを入れたとする。 パソコ ンは satou でログオンしていることにはならない。 SSL-VPN 装置の他にユ−ザ認証を中 継できる装置はないか。多分UTMはだめ。SoftEther はどうか、2X ApplicationServer はどうか。SSL-VPN ソフトのオ−プンソ−スの OpenVPN は可能性はあるかもしれない。 * ユ−ザ認証の中継装置の検討その2 プロキシサ−バの記事が「Software Design」2014/03号にあり見ていたら、聞き慣れない NGINX なるソフトウェアの記事が目に止まった。あまり気に留めてなかったが、リバ−ス プロキシで人気という文言が頭に残っていた。ひょっとして2社のネットワ−ク間の情報 のやりとりのため SSL-VPN 装置を設置する案で、相手会社のAD を使うというのをこれで できるのでないかとふと思った。説明書を続ける。リバ−スプロキシ型シングルサインオ ン、リバ−スプロキシがクライアントとのやりとりを代行する。商用版の NGINX Plus と いうのもある。ユ−ザ認証をパスしないと配下のサ−バを利用できない、 Cookie にト− クンを記録するという、P.81 の図10 にて。よく分からないが、SSL-VPN 装置を2台設置 し、これで負荷分散できそうな気がすると自身でいつの間にかメモ書きしていた。 http://nginx.org/jp/ エンジンエックスと言う。HTTP とリバ−スプロキシサ−バで、メ −ルプロキシサ−バでもありますと記述。SMTP が扱えるのであれば、 プロトコルは何で も扱えるのでないか。"NIGINX LDAP" で検索したら GeekFactory という所で、"nginx で LDAP認証を使う" というのがあった。.htpasswd による認証とは異なりユ−ザIDとパス ワ−ドはWebサ−バでは管理せず、LDAPサ−バのリポジトリで管理する。LDAPサ−バが 利用できるということは Active Directoryも利用できると思っていい。LDAP サ−バを利 用するには nginx-auth-ldap モジュ−ルを組込む。別なサイトの記事では Basic 認証に LDAP を使うには nginx-auth-ldap モジュ−ルを追加で組込む、 Active Directory の場 合は uid ではなく sAMAcountName になると書かれてあった。 * Active Directory のこといろいろ [ クラウドと Active Directory ] ここのところ、ちゃんと把握しておかないと。クラウドのサ−ビスを利用しますと言って も、本当に使えるのか判断できない。地上の AD サ−バとクラウドの AD サ−バを連携さ せるには ADFS サ−バの設置がいる。ADFS サ−バは6台ぐらい Windows サ−バを必要と するらしい。単純なアカウント情報のコピ−ではない。それにしても大がかりな話だ。AD サ−バを連携しなくて、手動でアカウント情報を適宜コピ−する手もあるのでないか。 [ AD のデジタルIDの発行機能 ] デジタルIDを管理するソフトないし装置はとても高かった。500万円なら安いという 感じだった、2千万円ぐらいしたのでないか。何と AD にクライアント用のデジタルID を発行する機能がある。だいぶ前から、そう10年位前からは機能としてあるのでないか。 Windows 2003 Server とかからとか。ずっと簡易的なものだと思っていた。それが1万人 を超す企業で利用していると知った、いや全員でなく SSL-VPN 利用のユ−ザだけだった。 [ Aventail のシングルサインオン ] Aventail のだいぶ前のパンフレットで。A4見開きのA3一枚。 捨てずに取ってあった。 掲載モデルは EX-1500 と EX-750、機能仕様でシングルサインオンのところを以下抜粋す る。Netigrity SiteMinder、RSA Clear Trust、ファ−ム認証フォワ−ディング、HTTP ベ −シック認証フォワ−ディング、Windowsドメイン認証(Connectのみ)、Microsoft IIS サ −バNTLM認証。ディレクトリ対応は Microsoft Active Directory、LDAP、Radius。 [ GINA( Graphical Identification and Authentication ) ] Windows ログオンの統合、GINA 統合という。AD と連携して機能するらしい。FirePassの バ−ジョン 6.0 で GINA 対応。この説明によると、これまでは Windows のログオン、次 に FirePass ヘログオン、それからかくアプリケ−ションへの接続という手順だった。そ れが Windows に一度ログオン認証するだけで利用できるようになるとのこと。 出版が終 わったLinux と AD 連携させるノウハウが満載された本に GINA というのが載っていた。 * Windows Server のDNSについて Windows Server 2012 のことで、DNS参照のフォワ−ドのフォワ−ド指定ができる。フ ォワ−ド指定のメニュ−画面で、ル−トヒントを見るか見ないかのチェックがある。デフ ォルトは見るようになっていたみたい。ル−トヒントファイルを開いて、ル−トDNSの IPアドレスを見たら、幾つかもう無効になっているIPアドレスだった。いつのル−ト ファイルが入っているのだ。 Windows Server のOSのアップデ−トはIEブラウザ経由 でやる。その時にDNSを見るぐらい。どうも Windows Server OSのアップデ−トは自 動にはしないのが通常の運用スタイルらしい。だからDNSが問題になることがないのだ。 * 参考 「日経NETWORK」2014/08, P.80〜85, "スマホで接続! 無料で作るリモ−トアクセ > スVPN、OpenVPN で SSL-VPN を実現する"。証明書を使ったクライアントの認証をす る。ト−クンに証明書を入れる二要素認証もできる。認証局を設置・管理するためのツ −ル EasyRSA を入れる。OpenVPN のVPNサ−バを Linux に入れる。 「Software Design」2014/03, P.65〜89, "第2特集: ネットワ−クエンジニアのためのプ > ロキシサ−バの教科書"。リバ−スプロキシとして最近よく使われるのがVarnish Cache。 Webサ−バとリバ−スプロキシで人気の NGINX、メ−ルのリバ−スプロキシとしても 使えるという。 「Software Design」2012/12, P.57〜81, "第2特集:高速・高機能HTTPサ−バ Nginx 構築 > ・設定マニュアル。(株)ハ−トビ−ツの人。P.70 の "まずは超定番の、 Nginx をリバ −スプロキシとして利用する構成です"。Nginx なしでも Unicorn のみで動作、 Nginx の利用を Refinety でやる記事。さらっと聞いたことのないソフトがでてきた。 「Software Design」2014/07, P.17〜62, "第1特集:多機能・高速処理・高負荷対策 そろ > そろ Nginx 移行を考えているあなたへ"。リバ−スプロキシサ−バとしての利用はバッ クエンドで Apache を使う例を記載していた、41 と 42ペ−ジ。 (3) Windows 7 〜のメ−ルソフトは * メ−ルの既読と未読の動作確認 Windows XP の Outlook Express と Windows 7 の Outlook 2010 で確認した。 両方のメ −ルソフトを開けていて。どちらかでメ−ルを開くかプレビュ−ウィンドウで表示すると、 そのメ−ルソフトで既読になり、もう一方のメ−ルソフトでも数秒して既読になる。プレ ビュ−ウィンドウは Outlook Express でやってみた。 "開封" したのを "未開封にする" と、もう一方のメ−ルソフトでも "未開封" になった。 POP3 では メ−ルソフトAでメ−ルを見た、既読になる。 メ−ルソフトBでメ−ルを見た、未読のまま。 IMAP では メ−ルソフトAでメ−ルを見た、既読になる。 メ−ルソフトBでメ−ルを見た、既読になる。 * メ−ルソフトの暗号化について メ−ルソフトには暗号化通信するかと設定メニュ−があるが。個人用のデジタルIDがい るのか。昔は必要だったはず。今はどんな方式があるのか。簡単にできるのか。 メ−ルの POP3 のアカウントはプレ−ンテキストで流れるが、暗号化できる訳?。それに POP3S というので暗号化できるはず。IMAP4 もそういうのがある。 * メ−ルの添付ファイルが開けない Office 2000, 2003, 2007 では問題はなかった。Office 2010 のセキュリティ設定の不具 合のようである、RTF( Ritch Text Format )の問題。ネットでもよく取り上げられている。 [ファイル]->[オプション]->[セキュリティセンタ−] の画面で[セキュリティセンタ−の 設定]->[保護されたビュ−] ここにある3つのチェックを外せばいい。 Outlook Express は winmail.dat を解読できない。 添付ファイルも本文も winmail.dat というファイルにしてしまう。 Outlook 2010 から Outlook Express で受ける場合に添付ファイルが開けない。 "3つの チェックを外す" のはやっているとのこと、また別の問題があるもよう。 メ−ルの添付ファイルで他にもトラブルがあった。いかん、どういうことだったか忘れた。 Google 検索で [ メ−ルボックス 詰まる ] で一杯でてきた。Outlook は問題が一杯だ!。 * メ−ルボックスのデ−タ形式 メ−ルボックスと言うのはメ−ルのデ−タ形式の1つである。1つのファイルに全部のメ −ルのデ−タが入っている。Outlook Express4 まではメ−ルボックスで xxx.mbx である。 IMAP4 形式は個々のメ−ルはそれぞれのファイルになっている。 dbx: Outlook Express メ−ルボックス形式 eml: Outlook Express メ−ル形式。 mbx: UNIXの mbox メ−ルボックス形式 pst: Outlook メ−ルボックス形式。 msg: Outlook メ−ル形式。 * メ−ルデ−タのバックアップ 「NETWORK MAGAZINE」2006/03, P.136〜143, "便利な実例で基礎からわかる! スクリプト で Windows を管理しよう"。 Windows XP には Windows Script という実行環境が標準で 用意されている。スクリプト言語の名前ではないらしい。VBScript と JScript に対応す る。JScript は Java Script 互換である。 P.140 は VBScript を使ってバックアップを しよう、各自のパソコンにあるメ−ルのデ−タをコピ−するスクリプトを書いてみよう。 * Windows 7 のメ−ルソフト Outlook Outlook 2010 のアイコンがあってクリックして、ウィザ−ドで設定してみた。 SMS とい うのがあった、テキストメッセ−ジングとあるが、これはショ−トメッセ−ジメ−ルのこ とのはず。Office 365 を多分設定するのが "Microsoft Exchange または互換性のあるサ −ビス" だろう。とりあえず普通の電子メ−ルを使うということで設定をしていった。最 後にライセンス認証に失敗しましたと出た。{Microsoft Office 認証ウィザ−ド} という 小さな画面が出た。とりあえずキャンセルした。試しにメ−ルを送受信したら一応できた。 とりあえずウィザ−ドで設定された Outlook 2010 は、メ−ルの形式は HTML、 メ−ルは サ−バに残すことになっていた。これらはテキスト形式、メ−ルは残さないように変更し たい。 [ファイル]->[情報]->[アカウント設定]->[電子メ−ル] で出てきたメ−ルアドレ スをクリックすると基本的なメ−ル設定の画面がでる。詳細設定を見ていくと "サ−バ− にメッセ−ジのコピ−を置く" があるのでここで変更する。HTML形式の変更は[ファイル] ->[オプション]->[メ−ル] 画面で "次の形式でメッセ−ジを作成する" で変更する。 メ−ルをサ−バに残す設定だと {すべてのフォルダ−を送受信} が時間がかかる。メ−ル が一杯溜っているからかと思ったが違うみたい。 メ−ルストアを FortiMail に変えてメ −ルをサ−バに残すようにしていると、どうなるかちょっと調べてみようと思い、そうし ていた。30秒位かかるかな。 前のメ−ルストアの Sun のマシンを一時利用で動かして みることになった。 /var/mail/ 以下を全部消去して、まっさらな状態にして動作をみた。 数通しか溜めてない状態でも {すべてのフォルダ−を送受信} は同様に時間がかかった。 メ−ルをサ−バに残す設定にしていて、途中で残さない設定にしたらどうなるか。これま で溜まっていたメ−ル /var/mail/henomohe ファイルはサイズ 0 になる。無くなります。 Windows XP の Outlook のメニュ−と全然違っている。やたら一杯細かなメニュ−がでて いる。並べ替え:日付 日付の新しいアイテム。これって受信なのかどうかはっきりしない。 フォルダに {迷惑メ−ル} というがある。機能しているぞ。GMOとくとく通信がひっか かった。迷惑メ−ルの処理レベル − 低 になっている。これを自動処理なし にすること。 Windows XP の Outlook からメ−ルデ−タを移動した。インポ−トしたらそれで出きてい た。アドレス帳の内容も移っていた。以下は "Outlook 2010" の設定。 -------------------------------------------------------------------------------- | Microsoft Outlook テストメッセ−ジ - メッセ−ジ (HTML 形式) - Unicode (UTF-8) |------------------------------------------------------------------------------- | この電子メ−ル メッセ−ジは、アカウントの設定のテスト中に、 | Microsoft Outlook から自動送信されたものです。 * Outlook の [削除済みアイテム] 受信トレイのフォルダ一覧の [削除済みアイテム] をマウス右クリックでメニュ−画面が でる、[プロパティ] をクリックすると下記の画面がでてくる。 ------------------------------------------------------ 因み[受信トレイ]では何も |削除済みアイテム プロパティ | チェックされていなかった。 |----------------------------------------------------| | 全般 ホ−ムペ−ジ | 古いアイテムの整理 | | 半年前位のメ−ルまでしか | -------------------- ---------- | ないぞ。残しておく期間が | |〆古いアイテムを整理する [12 ] [か月前 ▽] | | 確か設定されていた。それ | | ○古いアイテムを移動する | | を過ぎると勝手に削除され | | [ ][ ] << 灰色。 | | てしまう。そんな無制限に | | ◎古いアイテムを削除する | | しないと。どうやって設定 | -------------------------------------------------- | するんだったかな。あれ? | | この話は Windows XP での | [ OK ][キャンセル][ 適用 ] | Outlook でのことだった。 ------------------------------------------------------ * Windows 7 の Outlook でオカシナコト ちょっと気になることがパソコンのメ−ルソフトで毎日ある。 Windows 7 の Outlook で のこと、出社して最初に Outlook を操作すると、えらく時間がかかるのだ。 まあ普通に 操作するということで、{すべてのフォルダ−を送受信} をクリック。 メ−ルを Outlook から送り出して、メ−ルサ−バからメ−ルを受信する。どうもメ−ル受信で時間がかかっ ている感じがする。画面としては一緒くたになっているので、はっきりとは分からないの だ。朝一で起きたら、あとは帰宅するまで別にスカスカ送受信する。でも何かすると時間 がかかることもある。何で毎度、こんなことが起こるのか。FortiMail にメ−ルを残す設 定にとりあえずテスト的にしてある。メ−ルが溜まり過ぎていることはない。Sun マシン のメ−ルストアでもメ−ルを溜めているが故に遅くなるなんてことはなかった。 Windows XP の時に Outlook では、メ−ルの送信と受信のメニュ−は別々にあった。この Windows 7 の Outlook でらしいメニュ−を探してみたが別々のメニュ−が見当たらない。 受信、送信どちらで時間がかかる場合があるのか特定したいのだが。何かこの Outlookは メニュ−がよく分からない、直感的でなくし頗る分かりずらい。 ・メ−ルを送るだけは [送受信]->[すべて送信] でできる。 ・メ−ルを受けるだけは、これで出来るかも知れない。 [送受信]->[送受信グル−プ] 受信トレイをクリック。でも何かすると ------------------------------------- 送信もやっている。どうも分からない。 | |1 "すべてのアカウント グル−プ" | -------------------------------------- | |2 "tarou@nix.co.jj" のみ > | |受信トレイ | |#|送受信グル−プの定義 | |受信トレイ内のヘッダ−をダウンロ−ド| | |予定された送受信を無効にする | |マ−クしたネッダ−の処理 | ------------------------------------- -------------------------------------- (4) Windows 7 ?のおかしな FTP `2e/11/M * おかしな ftp アクセスがあった [a] IEブラウザではプロキシの指定あり。ファイアウォ−ルでこのパソコンのIPアド レスから外へ ftp を許可。 IEブラウザで ftp://ftp.abc.con/ とやる。特にアカウントを聞かれることもなくアク セスできた。IEのどこかデフォルトの設定でもあって anonymous でログインしたのか。 --------------------------------------- | ○○ | ftp://ftp.abc.con/ FTP サイトにアクセスできた、これはブ |-------------------------------------- ラウザのプロキシ指定をしているためで | ファイル 編集 表示 お気に入り ツ−ル ある。プロキシ設定をなしにしたら、こ |-------------------------------------- のアクセスはできなくなる。 | FTP Server ftp.abc.con | Current Directory is / | | :中身がだ−っとリスティングされた。 | 07-05-14 08:15AM