tag:blogger.com,1999:blog-19991409040356039492024-03-21T09:51:00.968+09:00AOZAIインフラ系SEの備忘録SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.comBlogger143125tag:blogger.com,1999:blog-1999140904035603949.post-80266679625834510492022-05-15T22:53:00.002+09:002022-05-15T23:01:39.685+09:00SES Python2.7でも動くSMTP用の認証情報変換スクリプト<p>SESのSMTPインターフェースを使用するためには認証情報の生成が必要です。</p><p>認証情報はユーザー名にあたる部分はアクセスキーそのままですが、パスワードにあたる部分はシークレットアクセスキーそのままではありません。</p><p>SESのコンソールから認証情報を生成することができますが、それだと発行するたびに新しいIAMユーザーが作られてしまうので、それが嫌だというケースはよくあると思います。</p><p>既存のIAMユーザーのシークレットアクセスキーからSMTP用のパスワードにコンバートするサンプルスクリプトが以下に掲載されていますが、Python3.6以上でないと動きません。</p><p>https://docs.aws.amazon.com/ja_jp/ses/latest/dg/smtp-credentials.html#smtp-credentials-convert</p><p>メジャーなLinuxにデフォルトで入っているPythonはまだ2.7だったりして、Python3を導入できない(したくない)という環境はまだまだあると思います。ので、Python2.7でも3でも動くように手を加えたものが以下になります。</p>
<pre class="brush:python">
#!/usr/bin/python
import hmac
import hashlib
import base64
import argparse
SMTP_REGIONS = [
'us-east-2', # US East (Ohio)
'us-east-1', # US East (N. Virginia)
'us-west-2', # US West (Oregon)
'ap-south-1', # Asia Pacific (Mumbai)
'ap-northeast-2', # Asia Pacific (Seoul)
'ap-southeast-1', # Asia Pacific (Singapore)
'ap-southeast-2', # Asia Pacific (Sydney)
'ap-northeast-1', # Asia Pacific (Tokyo)
'ca-central-1', # Canada (Central)
'eu-central-1', # Europe (Frankfurt)
'eu-west-1', # Europe (Ireland)
'eu-west-2', # Europe (London)
'sa-east-1', # South America (Sao Paulo)
'us-gov-west-1', # AWS GovCloud (US)
]
# These values are required to calculate the signature. Do not change them.
DATE = "11111111"
SERVICE = "ses"
MESSAGE = "SendRawEmail"
TERMINAL = "aws4_request"
VERSION = b'\x04'
def sign(key, msg):
return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()
def calculate_key(secret_access_key, region):
if region not in SMTP_REGIONS:
raise ValueError("The region doesn't have an SMTP endpoint.")
signature = sign(("AWS4" + secret_access_key).encode('utf-8'), DATE)
signature = sign(signature, region)
signature = sign(signature, SERVICE)
signature = sign(signature, TERMINAL)
signature = sign(signature, MESSAGE)
signature_and_version = VERSION + signature
smtp_password = base64.b64encode(signature_and_version)
return smtp_password.decode('utf-8')
def main():
parser = argparse.ArgumentParser(
description='Convert a Secret Access Key for an IAM user to an SMTP password.')
parser.add_argument(
'secret', help='The Secret Access Key to convert.')
parser.add_argument(
'region',
help='The AWS Region where the SMTP password will be used.',
choices=SMTP_REGIONS)
args = parser.parse_args()
print(calculate_key(args.secret, args.region))
if __name__ == '__main__':
main()
</pre>
<p>39行目で使用されているf文字列についてはマニュアルでも指摘されている通り。ここは単純に削りました。</p>
<p>キモは、30行目のVERSIONをb'\x04'にし、46行目のsignature_and_version = bytes([VERSION]) + signatureをsignature_and_version = VERSION + signatureに変えたところです。bytes()の挙動が2系と3系では大きく異なっており、オリジナルのスクリプトのbytes([VERSION])の結果が2系と3系では異なって、結果生成されるパスワードが違ってしまいます。46行目でbytes()を使用せずに、VERSION変数の値を最初からb'\x04'にしておくことで挙動の差を吸収することができます。</p>
<p>使い方はオリジナルと同じです。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-22630407041735917162021-02-23T22:43:00.002+09:002021-03-01T23:03:21.365+09:00AWS::IncludeについてのTIPS<p>CloudFormationテンプレートの一部を外出ししてAWS::Includeで取り込むことができ、最上位から特定の属性部分まで色んなところで使うことができますが、Value部分にだけ使うことはできません。<p>
<p>例えば↓はOKだけど</p>
<pre class="brush:text" title="">
Resources:
sample1:
Type: 'AWS::SSM::MaintenanceWindow'
Properties:
Name: hogemw
Fn::Transform:
Name: AWS::Include
Parameters:
Location: sample.yml
</pre>
<p>↓はNGです。</p>
<pre class="brush:text" title="">
Resources:
sample1:
Type: 'AWS::SSM::MaintenanceWindow'
Properties:
Name: hogemw
Schedule: Fn::Transform:
Name: AWS::Include
Parameters:
Location: sample.yml
</pre>
<p>また、LocationにはSubが使えます。以下の書き方はOKです。</p>
<pre class="brush:text" title="">
Location: !Sub "s3://${S3BucketName}/${S3BucketKeyPrefix}sample.yml"
</pre>
<p>ただ、公式な情報は無く、そのうち利用できるようになるとは思いますが、記事執筆時点ではIfは使えません。以下の書き方はNGです。</p>
<pre class="brush:text" title="">
Location: !If
- conditionhoge
- Sub "s3://${S3BucketName}/${S3BucketKeyPrefix}sample1.yml"
- Sub "s3://${S3BucketName}/${S3BucketKeyPrefix}sample2.yml"
</pre>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-75689745374113122142021-02-22T22:27:00.001+09:002021-02-22T22:27:00.407+09:00CloudFormationでまだできないこと<p>記事作成時点でCloudFormationでまだできないこと。(特に明記していないものはカスタムリソースとしてLambdaでは作れる。)</p>
<ul>
<li>ACMに証明書をインポートすること。</li>
<li>IAMのパスワードポリシー設定。</li>
<li>IDプロバイダーの作成。(<a href="https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/projects/1" target="_blank">ロードマップ</a>でCommingSoonになってるからすぐできるようになるかも)</li>
<li>TrustedAdvisor のメール通知の設定。これはLambdaでもできない。awscliでもSDKでもできず、管理コンソール上でしかできない。</li>
</ul>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-13194262565835602872021-02-21T22:12:00.001+09:002021-03-01T23:04:03.742+09:00CloudFormationで一部のタグをコンディションによって付けたり付けなかったり<p>ConditionがAAAの場合にhogeタグを付け、そうでなかったらタグを付けたくないという場合の書き方。</p>
<pre class="brush:text" title="">
Tags:
- Key: Name
Value: !Ref sample
- !If
- AAA
- Key: hoge
Value: true
- !Ref AWS::NoValue
</pre>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-56432277878703446322018-02-19T22:31:00.001+09:002021-03-01T23:20:19.260+09:00MajordomoをCentOS7/RHEL7で動かす<p>CentOS と RHEL の 7.4 で動作確認済み。SELINUX は無効、firewalld は普通にメール送受信に必要なポート開けた状態で確認してます。
インストール時のパッケージ選択は「最小限」を選択した状態からのスタート。
MTA は postfix と sendmail で試してます。
MTA は普通にメール送受信できる設定まではしてある前提ですのでまだの方は
<a href="https://ao-zai.blogspot.com/2018/02/postfix.html">postfix 設定</a>
や
<a href="https://ao-zai.blogspot.com/2018/02/sendmail.html">sendmail 設定</a>
を参考に設定&普通にメール送受信できることを確認しておいてください。</p>
<p>まず必要なパッケージやらライブラリやらを入れていきます。</p>
<pre class="brush:bash" title="">
# yum install wget cpan mailx
※wget と mailx は Majordomo の動作に必須ではないです。
# yum groupinstall 'Development tools'
# cd /tmp
# wget http://www.cc.rim.or.jp/~ikuta/mime_pls/mime_pls202.tgz
# mkdir mime_pls
# cd mime_pls
# tar vxzf ../mime_pls202.tgz
# mv mime?.pl /usr/lib64/perl5/
# cpan
色々聞かれるが全部デフォルト回答(Enter押すだけ)でOK
cpan> exit
# source ~/.bashrc
# cpan install Perl4::CoreLibs
# mv /root/perl5/lib/perl5/IPC/Cmd.pm /usr/lib64/perl5/IPC/
# rm -rf /root/perl5/lib/perl5/IPC
# mv /root/perl5/lib/perl5/* /usr/lib64/perl5/
</pre>
<p>Majordomo 用のアカウントとグループを作成しておきます。
UID と GID は何でも良いですがここでは 2000 として作成しています。</p>
<pre class="brush:bash" title="">
# groupadd -g 2000 majordomo
# useradd -M -s /sbin/nologin -g 2000 -u 2000 majordomo
</pre>
<p>ではいよいよ Majordomo を入れていきます。</p>
<pre class="brush:bash" title="">
# cd /usr/local/src/
# wget http://www.greatcircle.com/majordomo/1.94.5/majordomo-1.94.5.tar.gz
# tar vxzf majordomo-1.94.5.tar.gz
# cd /usr/local
# mkdir majordomo-1.94.5
# chown majordomo.majordomo majordomo-1.94.5
# ln -s majordomo-1.94.5 majordomo
# ll
# cd /usr/local/src/majordomo-1.94.5
# vi Makefile
以下の項目だけ書き換えます。
W_USER と W_GROUP は上で作成したアカウントとグループの UID, GID です。
CC = gcc
W_HOME = /usr/local/majordomo-1.94.5
W_USER = 2000
W_GROUP = 2000
# cp sample.cf majordomo.cf
# vi majordomo.cf
以下の項目だけ書き換えます。
example.com は実際はメールの @ の後ろにくるドメインに置き換えてください。
$whereami = "example.com";
$homedir = "/usr/local/majordomo";
$digest_work_dir = "$homedir/digest";
# make wrapper
# make install
# make install-wrapper
# cd /usr/local/majordomo
# chown -R majordomo.majordomo *
# cp -ip Tools/sequencer ./
</pre>
<p>ここで<a href="https://sites.google.com/site/aozai1234567890/files/sequencer_cf_majordomopl.patch">このパッチ</a>をあてます。
scp でホームディレクトリに置いてある前提です。
ちなみにパッチで行われる改変の中には必須でないものもあるのですが個々には説明しませんので気になる方は解読してください。
必須なものもあるので、全く何も当てない状態ではうまくいきません。</p>
<pre class="brush:bash" title="">
# patch --ignore-whitespace < ~/sequencer_cf_majordomopl.patch
# ./wrapper config-test
テストがうまくいくと最後に登録するか質問されますがNOで答えるのが無難かと思います。
</pre>
<p>これで Majordomo のインストール自体は終わりですが、
/etc/aliases でパイプかまして wrapper に渡すにあたって、MTA それぞれで追加設定しないとデフォ設定のままでは配送してくれません。<p>
<p>postfix の場合、main.cf の中の default_privs に設定されているアカウントで wrapper が動作することになります。
デフォルトでは nobody なので、リストディレクトリの中のシーケンスファイルとかに書き込めないわけですね。</p>
<pre class="brush:bash" title="">
# vi /etc/postfix/main.cf
#default_privs = nobody
となっている部分を↓に書き換えます。追記でも勿論OK
default_privs = majordomo
# systemctl restart postfix
</pre>
<p>sendmail の場合は wrapper が root 権限で動作するようにしてやることと、
リストディレクトリのパーミッション変更が必要です。
リストディレクトリは Majordomo をインストールしたときにデフォルトでパーミッション 770 で作られていますが、
グループに書き込み権限があると sendmail がエラー吐いて配送してくれません。</p>
<pre class="brush:bash" title="">
# cd /usr/local/majordomo
# chown root wrapper
# chmod 4755 wrapper
# chmod 755 lists
</pre>
<p>もしかしたら sendmail の場合、smrsh を無効にしないと動かないかもしれません。
試した環境では元々無効にしていて、有効の場合どうなるか確認できていないので、
もしテストしてみてエラー吐くようであれば無効にしてみてください。</p>
<pre class="brush:bash" title="">
# cd /etc/mail
# vi sendmail.mc
FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
となっている部分を↓に書き換えます。
dnl FEATURE(`smrsh', `/usr/sbin/smrsh')dnl
# m4 sendmail.mc > sendmail.cf
# systemctl restart sendmail
</pre>
<p>これでOKです。テストしてみましょう。
user1 と user2 というアカウントが既に存在すると仮定します。適当に読み替えてください。</p>
<pre class="brush:bash" title="">
# cd /usr/local/majordomo/lists
# echo user1@example.com > testml
# echo user2@example.com >> testml
# echo 00001 > testml.seq
# chown majordomo.majordomo testml*
# vi /etc/aliases
majordomo: "|/usr/local/majordomo/wrapper majordomo"
owner-majordomo:root
majordomo-owner:root
testml:"|/usr/local/majordomo/wrapper sequencer -l testml -n -h example.com testml-list"
testml-list::include:/usr/local/majordomo/lists/testml
testml-request:owner-testml
testml-owner:owner-testml
testml-approval:owner-testml
owner-testml:root
# newaliases
# mailx testml@example.com
</pre>
<p>user1 と user2 にメール届きましたかね。
メールを1通出すとリストディレクトリ内に testml.config ができるので、
シーケンサーの動作確認したい場合はそのファイル内の subject_prefix を編集してもう一度メールを出してみてください。</p>
<pre class="brush:bash" title="">
# vi testml.config
subject_prefix = [testml $SEQNUM]
# mailx testml@example.com
</pre>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-46930367442295216602018-02-18T18:20:00.001+09:002021-03-01T23:11:16.051+09:00sendmail 設定<p>難しいことせずただ単に 25/tcp で素の SMTP サーバとして動作する設定。<br/>
CentOS 7.4 の sendmail 8.14.7 で動作確認。<br/>
デフォルトの MTA は postfix なので、sendmail を使用する場合は yum install する必要がある。</p>
<pre class="brush:bash" title="">
# yum install sendmail sendmail-cf
</pre>
<p>インストールすると勝手に postfix が disabled になって sendmail が enabled になる。
使わないパッケージがあっても良いことは無いので postfix は消しておこう。</p>
<pre class="brush:bash" title="">
# yum erase postfix
</pre>
<p>設定の前提
<ul>
<li>ホスト名は mail.examle.com</li>
<li>example.com ドメインのメールを受け取る</li>
<li>192.168.1.0/24 からのリレーを許可</li>
</ul>
</p>
<pre class="brush:bash" title="">
# cd /etc/mail
# vi sendmail.mc
DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl
の頭に dnl を付けて
dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl
に変更して保存
# vi local-host-names
※デフォは空です
mail.example.com
example.com
# vi relay-domains
※デフォは空です
example.com
# vi access
デフォルトに加えて
Connect:192.168.1 RELAY
# makemap hash access < access
# m4 sendmail.mc > sendmail.cf
# systemctl restart sendmail
</pre>
<p>MX 配送ではなくてスマートリレーサーバ指定したい場合は sendmail.mc に以下の記述を。
例えば mail.example.org にスマートリレーしたければ</p>
<pre class="brush:bash" title="">
define(`SMART_HOST', `[mail.example.org]')dnl
</pre>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-81056216586762808142018-02-17T15:59:00.001+09:002021-03-01T23:13:11.732+09:00postfix 設定<p>難しいことせずただ単に 25/tcp で素の SMTP サーバとして動作する設定。<br/>
CentOS 7.4 の postfx 2.10 で動作確認。<br/>
postfix は「最小限」のインストールだけで追加パッケージなしで動く。
サービスもデフォで enable になっている。
デフォ設定でできるのはローカルからの MX 配送だけ。</p>
<p>設定の前提
<ul>
<li>ホスト名は mail.examle.com</li>
<li>example.com ドメインのメールを受け取る</li>
<li>192.168.1.0/24 からのリレーを許可</li>
</ul>
</p>
<pre class="brush:bash" title="">
# vi /etc/postfix/main.cf
※書き換える箇所のみ記載
myhostname = mail.example.com
mydomain = example.com
inet_interfaces = ipv4
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworks_style = subnet
mynetworks = 192.168.1.0/24
# systemctl restart postfix
</pre>
<p>MX 配送ではなくてスマートリレーサーバ指定したい場合は relayhost に書く。
例えば mail.example.org にスマートリレーしたければ</p>
<pre class="brush:bash" title="">
relayhost = [mail.example.org]
</pre>
<p>また、デフォルトでは /var/spool/mail/ユーザ名 の単一ファイルにメールが溜まっていく Mailbox 形式なので、
各ホームディレクトリに個別ファイルで溜めていく Maildir 方式にしたい場合は</p>
<pre class="brush:bash" title="">
home_mailbox = Maildir/
</pre>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-657101181483208452018-01-26T23:21:00.000+09:002018-01-26T23:21:12.187+09:00mod_rewrite によるリダイレクトが効かない<p>Apache で久々にドハマりしました。<br/>
mod_rewrite の設定は VirtualHost には継承されない仕様だそうで、それが原因でした。
複数の VirtualHost を定義している環境で、全ての VirtualHost に共通の設定だったので(http→httpsリダイレクト)、グローバルエリアに mod_rewrite の設定を書いてテストしたのですが、全然リダイレクトされず。切り分けに無駄に時間使った・・・。全ての VirtualHost に共通の設定なので、結局外部ファイルに書き出してそれを各 VirtualHost から Include することにしました。以上。</p>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-41147497087604971272016-08-30T23:07:00.000+09:002016-09-04T09:44:55.381+09:00Windows Server の NTP クライアントをちゃんと設定する<p>Windows Server の NTP クライアントの設定方法について、ここにまとめておきます。</p>
<p>一部の設定は w32tm コマンドでも設定可能ですが、レジストリを直接いじらないと変えられない設定値もあるので、
全部レジストリをいじる前提で記載します。
なお、変更を反映するには Windows Time サービスの再起動が必要です。</p>
<p>対象 OS のバージョンは 2012 R2 です。それ以外のバージョンでは挙動やデフォルト値が異なる可能性がありますので注意してください。</p>
<p>前提</p>
<ul>
<li>組織内またはキャリアやプロバイダの NTP サーバを上位 NTP サーバとして参照する設計とします。
自分自身が最上位の NTP サーバとなったり、Windows 以外の OS から NTP サーバとして参照される想定ではありません。</li>
<li>外部(上位) NTP サーバの FQDN を ntp1.example.net, ntp2.example.net として記載します。</li>
<li>シングルフォレスト、シングルドメイン想定です。</li>
<li>ドメインコントローラに余計なミドルウェアやアプリケーションは乗せていない前提です。</li>
<li>PDC エミュレータの FSMO を持つドメインコントローラは固定されている前提です。
頻繁に FSMO の移動を行うことが想定されている場合や、PDC の障害時に FSMO を移動して、復旧後も元に戻さない運用を想定している場合は、
ドメインコントローラ全てを「PDC 以外のドメインコントローラ」と考えて本文を読んでください。</li>
<li>本文中の「必須」は文字通り必須の設定で、設定しないとまともに動作しません。<br/>
「推奨」は私個人の推奨であり、私の所属する組織や、Microsoft や、その他の組織の推奨という意味ではありません。
また、設定しなくても最低限の時刻同期は行えます。
責任は持ちませんのでご了承ください。</li>
<li>本文中に記載している数値のうち、0x 付きの数値は16進数、付いていないものは10進数です。</li>
<li>ある程度のスキルレベルを持った技術者向けに記載しています。
AD や NTP に関する基礎的な知識がない方や、
レジストリの編集方法やそのリスクをわかっていないとか16進数がわからないレベルの方は誤読により誤った設定になってしまう可能性があるので他サイトをあたってください。</li>
</ul>
<p>まず、クライアントの種類を以下の通り分類します。それぞれで設定が異なります。</p>
<ol>
<li>ドメインコントローラ(PDCエミュレータ(以下単にPDCと記載))<br/>
PDC エミュレータの FSMO を持つドメインコントローラです。管理ドメイン下の全ての Windows マシンのマスターソースになります。</li>
<li>ドメインコントローラ(PDC以外)<BR/>
PDC 以外のドメインコントローラは、PDC から時刻を取得します。そして、メンバーサーバへ時刻を提供します。
デフォルト設定では PDC がダウンしたら終わりなので、この記事では PDC がダウンしている場合には外部 NTP サーバから時刻同期するよう設定します。</li>
<li>ドメインのメンバーサーバ<br/>
メンバーサーバはログイン時に使用したドメインコントローラ(PDCとは限らない)から時刻を取得します。</li>
<li>ワークグループのサーバ<br/>
ワークグループのサーバのデフォルト設定ははっきり言って使い物にならないのでメンバーサーバと同等の設定にします。</li>
</ol>
<p>次に、設定項目について説明します。
説明はいいから結論を!という方は<a href="#matome">まとめ</a>へどうぞ。</p>
<h2>参照先 NTP サーバの設定</h2>
<p>参照先サーバを決定するレジストリ項目は2つ。両方ともキーの場所は HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters です。</p>
<p>まず、Type エントリ。このエントリの設定次第では、次の NtpServer エントリの設定は何の意味も持ちません。
クライアント種別ごとのデフォルト値と推奨値は以下の通り。</p>
<p><table border=1><caption>Type</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>NT5DS</td><td>NTP(必須)</td></tr>
<tr><td>2. DC</td><td>NT5DS</td><td>AllSync(推奨)</td></tr>
<tr><td>3. メンバーサーバ</td><td>NT5DS</td><td>NT5DS(推奨)</td></tr>
<tr><td>4. ワークグループ</td><td>NTP</td><td>NTP(必須)</td></tr>
</table></p>
<p>NT5DS はドメインの階層構造に従ってドメインコントローラから時刻を取得する設定です。この設定値になっている場合、次で説明する NtpServer の値は無視されます。
メンバーサーバは、例えドメインコントローラの時刻がずれていたとしてもドメインコントローラ以外と時刻同期するべきではありません。
ドメインコントローラとの時刻差が 5 分以上になると認証に問題が発生する可能性があるためです。
よって NT5DS のままにしておくことを強く推奨します。</p>
<P>NTP は次で説明する NtpServer に設定されているサーバから時刻を取得します。上位にドメインコントローラがいない、PDC とワークグループのサーバではこの値にすることが必須です。</p>
<p>AllSync は、ドメインコントローラと NtpServer に設定されたサーバの両方と時刻同期をする設定です。
PDC 以外のドメインコントローラは、平常時は PDC のドメインコントローラと時刻同期を行い、PDC と同期できない場合に外部 NTP サーバを参照するようこの値に設定します。</p>
<p>Type が NTP または AllSync の場合に参照されるのが NtpServer エントリです。</p>
<p><table border=1><caption>NtpServer</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td rowspan=4>time.windows.com,0x9</td><td>ntp1.example.net,0x8 ntp2.example.net,0x8</td></tr>
<tr><td>2. DC</td><td>ntp1.example.net,0xa ntp2.example.net,0xa</td></tr>
<tr><td>3. メンバーサーバ</td><td>設定不要</td></tr>
<tr><td>4. ワークグループ</td><td>PDCのFQDN,0x8 ntp1.example.net,0xa<br/>
ntp2.example.net,0xa<br/>※スペースの都合で改行していますが実際には1行です</td></tr>
</table></p>
<p>NTP サーバを、複数の場合はスペースで区切って記載します。サーバの FQDN の末尾に , に続いて記載されている 16 進数の数値は動作モードを決定するフラグです。
優先的に使用するサーバには 0x8 を付与し、0x8 のサーバに接続できない場合にだけ使用するサーバに 0xa を付けます。</p>
<p>PDC の場合、上位 NTP サーバは今回の例だとどちらでも良いので両方に 0x8 を付けています。</p>
<p>PDC 以外の DC の場合は、PDC がダウンしている場合のみ外部 NTP サーバを利用するので両方に 0xa を付けています。
Type を AllSync にしていれば PDC には勝手に同期するのでこのエントリに PDC の FQDN を記載する必要はありません。</p>
<p>メンバーサーバは、前述した通り Type が NT5DS であればこのレジストリに何が設定されていても参照されないので、設定不要です。</p>
<p>ワークグループのサーバは、PDC を優先的に参照 (0x8) し、PDC がダウンしている場合には外部 NTP サーバを参照 (0xa) する設定です。
こちらは明示的に PDC の FQDN を記載してあげる必要があります。
ただ、PDC を参照することは必須ではないので、PDC と同期したくない(またはできない)場合は PDC 部分は消して、他サーバのフラグを 0x8 にしても全く問題ありません。</p>
<p>なお、フラグ部分を奇数にすると、等間隔での時刻同期を行うモードになります。
デフォルトに使われているのも 0x9 ですし、ワークグループ環境で GUI で参照先 NTP サーバを設定した場合にも自動的に 0x9 が付くし、
いろんなサイトでも 0x9 を付けるよう書いてあったりするしで、つい 0x9 にしてしまいたくなる人もいると思いますが、そこはぐっとこらえて 0x8 にしてください。
理由は次項で説明します。
0x8 でも等間隔で同期したければできますのでご安心を。</p>
<h2>同期間隔の設定</h2>
<p>前項の NtpServer の設定でフラグを 0x1 または 0x9 に<strong>しなかった</strong>場合(Type が NT5DS の場合も含む)、
同期間隔は MinPollInterval エントリ~ MaxPollInterval エントリの間になります。
キーのパスは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config です。
初回は MinPollInterval エントリの間隔で同期を行い、安定していくにつれて MaxPollInterval エントリの間隔に収束していきます。
一定間隔で同期をしたければ、MinPollInterval エントリと MaxPollInterval エントリを同じ数値にすれば良いです。
数値は 2 のべき乗の数値(指数)で指定します。例えば 5 だったら 2 の 5 乗で 32 秒ということになります。
クライアント種別ごとのデフォルト値と推奨値は以下の通り。括弧内の数値はべき乗計算結果です。</p>
<p><table border=1><caption>MinPollInterval</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>0x6 (64s)</td><td>0x4 (16s)</td></tr>
<tr><td>2. DC</td><td>0x6 (64s)</td><td>0x4 (16s)</td></tr>
<tr><td>3. メンバーサーバ</td><td>0xa (1024s=約17分)</td><td>0x6 (64s)</td></tr>
<tr><td>4. ワークグループ</td><td>0xa (1024s=約17分)</td><td>0x6 (64s)</td></tr>
</table></p>
<p><table border=1><caption>MaxPollInterval</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>0xa (1024s=約17分)</td><td>0x8 (256s=約4.2分)</td></tr>
<tr><td>2. DC</td><td>0xa (1024s=約17分)</td><td>0x8 (256s=約4.2分)</td></tr>
<tr><td>3. メンバーサーバ</td><td>0xf (32768s=約9.1時間)</td><td>0xa (1024s=約17分)</td></tr>
<tr><td>4. ワークグループ</td><td>0xf (32768s=約9.1時間)</td><td>0xa (1024s=約17分)</td></tr>
</table></p>
<p>推奨値は、ドメインコントローラの2種に関しては、Min は設定可能な下限が 4 なので 4 にしました。
Max は、nict の FAQ に、1 時間に 20 回を超えるポーリングをしたいなら事前連絡が必須と書かれていたので、
事前連絡不要な範囲での最小値である 8 にしました(7 だと 2 分強間隔なので 20 回を超える)。
メンバーサーバとワークグループのサーバの推奨値は、Linux の ntpd のデフォルトの Min, Max に合わせました。
推奨といっても以上のような根拠なので、お好みで変えてください。
経験上、物理サーバーやオーバーコミットしていない仮想環境(負荷も低い)では、推奨値どころかデフォルト値のままでも問題になったことはありません(保証はしませんよ)。
逆にオーバーコミットしまくりの仮想環境では、推奨値ぐらいの設定にすることは必須かと思います。
場合によってはもっと間隔を狭めてもいいかもしれません。</p>
<p>個人的に非推奨ですが、NtpServer で奇数のフラグを使った場合は、上記の MinPollInterval ~ MaxPollInterval の間隔ではなく、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient キーの SpecialPollInterval エントリに設定された間隔で同期されます。
この設定値は 2 のべき乗ではなく普通に秒数です。
デフォルト値は、ドメイン環境では DC かどうかに関わらず 3600(1時間)、ワークグループ環境では 604800(7日)です。<br/>
なぜ非推奨かというと、SPIKE 状態から復旧できないという不具合があるからです。
不具合の詳細については以下の公式情報を参照してください。<br/>
<a href="https://support.microsoft.com/en-us/kb/2638243">KB2638243</a><br/>
この記事の推奨通り、フラグに奇数を使わなければ SpecialPollInterval は使わないので不具合には該当しません。<br/>
また、時刻同期が行えているのかの確認で w32tm /query /status コマンドを実行すると思いますが、このとき表示される「ポーリング間隔」に、
SpecialPollInterval は反映されません。
NtpServer でフラグに 0x9 を指定して、SpecialPollInterval を 60 に設定した場合、1分ごとに w32tm /query /status コマンドを打てば、
ちゃんと1分間隔で時刻同期されていることが「最終正常同期時刻」を見ればわかりますが、「ポーリング間隔」は 60s ではなく
MinPollInterval ~ MaxPollInterval の設定値が表示されます。
もちろんこれは試験時や運用時に混乱の元になります。これも奇数フラグと SpecialPollInterval が非推奨である理由の1つです。
</P>
<h2>step/slew の設定</h2>
<p>以下の2つの条件式を両方とも満たす場合、slew で時刻同期され、どちらか片方だけでも満たさないと step で時刻同期されます。
英語の部分がレジストリで設定する値です。</p>
<ol>
<li>時刻差 < MaxAllowedPhaseOffset</li>
<li>時刻差 < システムクロックレート ÷ 2 × PhaseCorrectRate × UpdateInterval</li>
</ol>
<p>まず最初の条件式に出てくる MaxAllowedPhaseOffset について説明します。
キーのパスは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config です。
値に設定する数値は秒数です。</p>
<p><table border=1><caption>MaxAllowedPhaseOffset</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>300</td><td>2</td></tr>
<tr><td>2. DC</td><td>300</td><td>2</td></tr>
<tr><td>3. メンバーサーバ</td><td>300</td><td>変更不要</td></tr>
<tr><td>4. ワークグループ</td><td>1</td><td>300</td></tr>
</table></p>
<p>DC は、自身が NTP サーバとなる存在なので、slew で同期することよりも信頼性の高い時刻を提供することが第一です。
デフォルト値の 300 秒のままでも、条件式2によって、マルチプロセッサで約 5.25 秒、シングルプロセッサで約 3.5 秒で step に切り替わりますが、
より短く 2 秒に設定することを推奨します。
2 秒の根拠は、うるう秒挿入で必ず発生する 1.α秒のずれ(0.α秒は通常発生する分のずれ)は slew で同期するほうがいろんなものへの影響が少ないと思うからです。</p>
<p>メンバーサーバとワークグループのサーバは、精度の高い時刻を維持することより、上に乗っているアプリに影響を出さないほうが重要なので、
できるだけ slew で時刻を合わせるほうが良いでしょう。
ただ、メンバーサーバは DC との時刻差が 5 分を超えると認証に問題が発生するので、300 秒を上限とします。
ワークグループもそれに合わせます。
300 秒を超えようとなんだろうと、絶対に step は NG!というアプリ要件があれば、slew で同期可能な時刻を増やすのではなく(無限にはできませんから)、閾値を超えたら時刻同期を行わない設定をします(後述)。</p>
<p>次に、条件式2についての説明です。</p>
<p>まずシステムクロックレートですが、これは正確には w32tm /query /status /verbose コマンドをうち、
表示される「クロック レート」を確認する必要があります。
マルチプロセッサでは約 15ms、シングルプロセッサでは約 10ms です。</p>
<p>PhaseCorrectRate エントリと UpdateInterval エントリのキーのパスはともに
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config です。</p>
<p><table border=1><caption>PhaseCorrectRate</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>7</td><td>変更不要</td></tr>
<tr><td>2. DC</td><td>7</td><td>変更不要</td></tr>
<tr><td>3. メンバーサーバ</td><td>1</td><td>2</td></tr>
<tr><td>4. ワークグループ</td><td>1</td><td>2</td></tr>
</table></p>
<p><table border=1><caption>UpdateInterval</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>100</td><td>変更不要</td></tr>
<tr><td>2. DC</td><td>100</td><td>変更不要</td></tr>
<tr><td>3. メンバーサーバ</td><td>30000</td><td>20000(マルチプロセッサ)<br/>30000(シングルプロセッサ)</td></tr>
<tr><td>4. ワークグループ</td><td>360000</td><td>20000(マルチプロセッサ)<br/>30000(シングルプロセッサ)</td></tr>
</table></p>
<p>DC の場合、条件式1のほうでより短い閾値にしているのでこちらは変更不要です。</p>
<p>メンバーサーバは、デフォルト値だとマルチプロセッサの場合で約225秒、シングルプロセッサの場合で約150秒が閾値になります。
上記の推奨値のように変更すると約300秒になります。
実際のシステムクロックレートは 15ms や 10ms ジャストではないので誤差は出ます(300 より大きくなる)が、
MaxAllowedPhaseOffset で 300 に抑えているので 300 秒が step への切り替わり閾値になります。</p>
<p>ワークグループの場合は、デフォルト値だとマルチプロセッサの場合で約45分、シングルプロセッサの場合で約30分が閾値になります。
300秒を超えているので変更しなくても良いのですが、UpdateInterval が長すぎて時刻同期に時間がかかりそうなのでメンバーサーバと合わせています。</p>
<h2>時刻同期をしない閾値の設定</h2>
<p>時刻差がどれだけあろうとも絶対に step では同期させたくないという要件がある場合、前項で説明した slew で同期される範囲内の時間に、
「これ以上時刻差がある場合、同期自体を行わない」という閾値を設ける必要があります。
キーのパスは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config です。</p>
<p><table border=1><caption>MaxPosPhaseCorrection</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>0x0002a300(48時間)</td><td>変更不要</td></tr>
<tr><td>2. DC</td><td>0x0002a300(48時間)</td><td>変更不要</td></tr>
<tr><td>3. メンバーサーバ</td><td>0xffffffff(無期限)</td><td>変更不要</td></tr>
<tr><td>4. ワークグループ</td><td>0xd2f0(15時間)</td><td>変更不要</td></tr>
</table></p>
<p><table border=1><caption>MaxNegPhaseCorrection</caption>
<tr><th>クライアント種別</th><th>デフォルト値</th><th>推奨値</th></tr>
<tr><td>1. PDC</td><td>0x0002a300(48時間)</td><td>変更不要</td></tr>
<tr><td>2. DC</td><td>0x0002a300(48時間)</td><td>変更不要</td></tr>
<tr><td>3. メンバーサーバ</td><td>0xffffffff(無期限)</td><td>要件により 0x12c(300) 以下に設定</td></tr>
<tr><td>4. ワークグループ</td><td>0xd2f0(15時間)</td><td>要件により 0x12c(300) 以下に設定</td></tr>
</table></p>
<p>MaxPosPhaseCorrection は、進めることのできる時間の閾値です。
通常、時刻が進む分には step でも問題は発生しないので変更不要と考えます。</p>
<p>MaxNegPhaseCorrection は、遅らせることができる時間の閾値です。
slew 設定の範囲内でないと、step で同期される、つまり時間の遡りが発生する可能性があるので注意してください。</p>
<p>なお、この項目は特殊な要件がある場合にのみ使用するのでまとめのほうには記載していません。</p>
<h2>Windows Time サービスの自動起動の設定</h2>
<p>Windows Time サービスにはデフォルトでトリガーが設定されていて、
ワークグループ環境では常時起動されません。
トリガーを削除し、スタートアップの種類を「自動」に設定する必要があります。
コマンドで実行する方法もありますが、ここでは他と合わせてレジストリで説明します。</p>
<p>まずトリガーを削除するには、以下のサブキーをキーごと削除します。<br/>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TriggerInfo</p>
<p>スタートアップの種類を「自動」にするには、以下のキーの「Start」の値を「0x3」から「0x2」に変更します。<br/>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time</p>
<p>なお、ドメイン環境ではトリガーで自動起動するので特に設定する必要はありません。</p>
<h2><a name="matome">まとめ</a></h2>
<p>推奨設定をまとめておきます。なお、どんな環境でも必須なものに◎、強く推奨するものに○を付けていますので参考にどうぞ。</p>
<h3>1. ドメインコントローラ(PDC)</h3>
<ul>
<li>上位 NTP サーバとして ntp1.example.net と ntp2.example.net を同じ優先度で参照</li>
<li>時刻同期間隔は 16s ~ 256s</li>
<li>NTP サーバとの時刻差が 2s 以上ある場合 step モードで同期</li>
</ul>
<dl>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td>◎</td><td>Type</td><td>NTP</td></tr>
<tr><td>◎</td><td>NtpServer</td><td>ntp1.example.net,0x8 ntp2.example.net,0x8</td></tr>
</table></p></dd>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td> </td><td>MinPollInterval</td><td>0x4</td></tr>
<tr><td> </td><td>MaxPollInterval</td><td>0x8</td></tr>
<tr><td> </td><td>MaxAllowedPhaseOffset</td><td>0x2</td></tr>
<tr><td> </td><td>PhaseCorrectRate</td><td>0x7 ※デフォルト</td></tr>
<tr><td> </td><td>UpdateInterval</td><td>0x64 (100) ※デフォルト</td></tr>
</table></p></dd>
</dl>
<h3>2. ドメインコントローラ(PDC以外)</h3>
<ul>
<li>PDC との同期ができない場合に限り ntp1.example.net と ntp2.example.net を同じ優先度で参照</li>
<li>時刻同期間隔は 16s ~ 256s</li>
<li>NTP サーバとの時刻差が 2s 以上ある場合 step モードで同期</li>
</ul>
<dl>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td>○</td><td>Type</td><td>AllSync</td></tr>
<tr><td>○</td><td>NtpServer</td><td>ntp1.example.net,0xa ntp2.example.net,0xa</td></tr>
</table></p></dd>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td> </td><td>MinPollInterval</td><td>0x4</td></tr>
<tr><td> </td><td>MaxPollInterval</td><td>0x8</td></tr>
<tr><td> </td><td>MaxAllowedPhaseOffset</td><td>0x2</td></tr>
<tr><td> </td><td>PhaseCorrectRate</td><td>0x7 ※デフォルト</td></tr>
<tr><td> </td><td>UpdateInterval</td><td>0x64 (100) ※デフォルト</td></tr>
</table></p></dd>
</dl>
<h3>3. ドメインのメンバーサーバ</h3>
<ul>
<li>参照 NTP サーバはデフォルト設定</li>
<li>時刻同期間隔は 64s ~ 1024s</li>
<li>NTP サーバとの時刻差が 300s 以上ある場合 step モードで同期</li>
</ul>
<dl>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td>○</td><td>Type</td><td>NT5DS ※デフォルト</td></tr>
<tr><td> </td><td>NtpServer</td><td>time.windows.com,0x9 ※デフォルト</td></tr>
</table></p></dd>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td> </td><td>MinPollInterval</td><td>0x6</td></tr>
<tr><td> </td><td>MaxPollInterval</td><td>0xa</td></tr>
<tr><td> </td><td>MaxAllowedPhaseOffset</td><td>0x12c(300) ※デフォルト</td></tr>
<tr><td> </td><td>PhaseCorrectRate</td><td>0x2</td></tr>
<tr><td> </td><td>UpdateInterval</td><td>20000(マルチプロセッサ)<br/>30000(シングルプロセッサ) ※デフォルト</td></tr>
</table></p></dd>
</dl>
<h2>4. ワークグループのサーバ</h2>
<ul>
<li>Windows Time サービスを自動起動するように設定</li>
<li>上位 NTP サーバとして PDC を優先的に参照、次点で ntp1.example.net と ntp2.example.net を同じ優先度で参照</li>
<li>時刻同期間隔は 64s ~ 1024s</li>
<li>NTP サーバとの時刻差が 300s 以上ある場合 step モードで同期</li>
</ul>
<dl>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td>◎</td><td>Start</td><td>0x2</td></tr>
</table></p></dd>
<dt><p>・HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TriggerInfo キーを削除</p></dt>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td>◎</td><td>Type</td><td>NTP</td></tr>
<tr><td>◎</td><td>NtpServer</td><td>PDCのFQDN,0x8 ntp1.example.net,0xa ntp2.example.net,0xa</td></tr>
</table></p></dd>
<dt>キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config</dt>
<dd><p><table border=1>
<tr><th>-</th><th>値</th><th>データ</th></tr>
<tr><td> </td><td>MinPollInterval</td><td>0x6</td></tr>
<tr><td> </td><td>MaxPollInterval</td><td>0xa</td></tr>
<tr><td>○</td><td>MaxAllowedPhaseOffset</td><td>0x12c(300)</td></tr>
<tr><td> </td><td>PhaseCorrectRate</td><td>0x2</td></tr>
<tr><td> </td><td>UpdateInterval</td><td>20000(マルチプロセッサ)<br/>30000(シングルプロセッサ)</td></tr>
</table></p></dd>
</dl>
<h2>その他の注意事項</h2>
<ul>
<li>NTP の設定がどうであろうと、OS 起動時は BIOS から時刻が取得されますので、
BIOS の時刻を正しい状態に維持しておくことは非常に重要です(電池切れ注意)。<br/>
仮想環境の場合は、ESXi ホストから時刻を取得するので、ESXi ホストの時刻もきちんと NTP 設定して正確に維持しておくこと。</li>
<li>仮想環境の場合。VMware Tools による定期的な時刻同期はデフォルトで無効になっており、あえて有効にしない限りは時刻同期されませんが、
実はその設定を有効にしていなくても、vMotion 実行時やスナップショット作成・削除時などのイベント時に勝手に時刻同期されてしまいます。
ESXi ホストの NTP も OS の NTP もきちんと設定されていて正確な時刻を維持できているなら特に問題は発生しないはずですが、
そういったイベント時でも同期されないよう設定しておいたほうが無難かもしれません。設定方法は以下の VMware の KB を参照してください。<br/>
<a href="https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2076744">時刻同期の無効化 (2076744) | VMware KB</a></li>
</ul>
<h2>他のサイトの説明との食い違いについての覚書</h2>
<p>非難する目的ではなく、自分用に、惑わされないように記録を残しておきたいという意図で記載しています。</p>
<ul>
<li>ドメイン環境での時刻同期間隔がデフォルトで1時間であるという情報が多々ありますが、
SpecialPollInterval のデフォルト値が1時間であることから誤解が広まっているものと思われます。
実際にはデフォルトでは MinPollInterval ~ MaxPollInterval で、詳細は本文参照ですが少なくとも1時間ではありません。</li>
<li>ドメイン環境での step 閾値がデフォルトで5分であると書いてあるサイトがありますが、
条件式1のことしか認識していないものと思われます。</li>
<li>ドメイン環境の MinPollInterval と MaxPollInterval のデフォルト値を 6, 10 と書いてあるサイトがありますが、
実際には DC とメンバーサーバでは異なっていて、DC が 6, 10 で、メンバーサーバはワークグループと同じ 10, 15 です。</li>
<li>NtpServer に付けるフラグで、0x8 は 2008 から無くなったと書いているサイトがありますが、
公式情報としては見つけられず、公式以外の情報もそのサイト以外には見つかりませんでした。
使ってもエラーにならないし、デフォルトで設定されている NtpServer の値も time.windows.com,0x9 のままだし、
GUI で設定した場合も自動的に 0x9 が付与されるので、気にせず使ってよいと考えています。
(0x9 は 0x1 + 0x8 という意味なので、0x8 が廃止されたのであれば 0x9 が設定されるのはおかしい)</li>
</ul>
<h2>おまけ1:設定用スクリプト</h2>
<p>この記事のおすすめ設定を適用する PowerShell スクリプトです。
ファイルを開いて、先頭付近の設定項目を編集(最低限参照先 NTP サーバを記載)して実行してください。
メンバーサーバとワークグループサーバでは自動的にシステムクロックレートを取得して最適な UpdateInterval にしてくれます。
あんまりがっつり試験してないのでご利用はくれぐれも自己責任で。改変自由。ただし再配布は基本禁止で。
使ってみて何かバグを見つけたらフィードバックもらえると嬉しいです。</p>
<p><a href="https://sites.google.com/site/aozai1234567890/files/win2012r2_setntp_scripts_1.0.zip">win2012r2_setntp_scripts_1.0.zip</a></p>
<h2>おまけ2:確認用 w32tm コマンド</h2>
<dl>
<dt>時刻同期できているか確認する</dt>
<dd>w32tm /query /status</dd>
<dt>クロックレートなどより詳細を表示したい場合</dt>
<dd>w32tm /query /status /verbose</dd>
<dt>NtpServer に設定されている全ての NTP サーバとの通信状況を確認する</dt>
<dd>w32tm /query /peers</dd>
<dt>設定を確認する</dt>
<dd>w32tm /query /configuration</dd>
</dl>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com1tag:blogger.com,1999:blog-1999140904035603949.post-36127394716558161522016-08-14T11:48:00.000+09:002016-08-14T11:49:16.447+09:00GAIT<p>GAIT受験しました。<br />
<a href="https://www.gait.org/">https://www.gait.org/</a></p>
<p>どんな試験かは上記の公式ページを見てください。
今後受ける方のために差しさわりのない程度にアドバイス的なものを書いてみます。</p>
<p>まずは問題に対する対策です。<br/>
公式問題集が出ていますが、現在は絶版のようです。
古書で手に入れることは可能かと思いますが、Amazonのレビューを見ても、実際受けてみた感じからしても、わざわざ買う価値があるのかは非常に疑問です。
公式ページにサンプル問題があるので、参考程度ならそれで充分。
基本的に、広く浅く聞かれます。
汎用的な問題は、ITパスポートレベルの簡単なものがほとんどという印象。
製品知識やプログラミングの知識についても、各ベンダ試験の一番簡単なレベルの試験で聞かれるような内容が多くて、一部マニアックな問題も出るといった感じ。
ただ、それが非常に幅広いジャンルについて出題されるので、多分どんなに勉強しても満点は絶対取れない。<br/>本来は、この試験のスコアを伸ばすための勉強っていうのはする必要なくて、日々の業務とか、他の物のための勉強とかを通してどれぐらい成長したかをスコアで示すような使い方をする試験だと思います。<br/>
でも会社で評価に使われる場合とか、ちょっとでも点を上げたいのであれば、勉強方法としては以下のようなものが有効なんじゃないかと思います。</p>
<ul>
<li>公式のサンプル問題の中でわからないものがあれば、答え丸暗記ではなく選択肢全ての意味や周辺知識までしっかり学習する。</li>
<li>経済産業省の情報処理技術者試験(以下IPA試験と記載)の午前問題を大量に解く。時間がかかる計算問題は飛ばしてOK。マネジメント、ストラテジー系も不要。</Li>
<li>それぞれのカテゴリの代表製品の入門資格をとる。</li></ul>
<p>2つ目に書いた点からも類推できると思いますが、IPA試験を定期的にコツコツ受けているような人は有利です。勉強しなくてもそれなりの点がとれます。
受けていない人で、GAITのスコア伸ばしたい人は、基本情報あたりから受けてみることをおすすめします。そのための勉強がGAITのスコアアップにも繋がって一石二鳥です。</p>
<p>その他のコツ的なものとしては、とにかく時間が足りないので、数秒以内に解けないと思ったらすぐどれかに適当にチェックを入れ、マーキングして次に行くこと。
そして、マーキング自体も、わからないもの全てではなくて、見直せば、もしくは時間をかければわかりそうなものに限ること。
わからないもの全てにチェックを入れていくと、多分大量にマーキングすることになるので、折角時間が余っても見直しに時間がかかり、全てのマーキング問題を見直す前に時間が切れます。</p>
<p>ここからは単に感想的なものですが。合否ではなくTOEICのようにスコアでスキルを測るというのは面白い考えだと思います。<br/>
もちろん、スコアが低いからと言って、仕事ができないとは全然言えないと思います。
ある特定の分野で尖ったスキルを持つスペシャリストでも、他の、ある意味仕事的にはどうでもいい分野の知識が無ければハイスコアを取ることはできないからです。
ただ、この試験で問われる知識は、前述した通りそんなに深いものではありません。
なので、本職のジャンル以外の分野についても、この試験で問われるぐらいの知識を持っておくことは全然無駄じゃないし、理想としては持っておくべき、つまりトータルとしてのハイスコアを目指すべきだと思います。
例えば本職がDBAで、DBのスペシャリストだとします。DBのことには詳しいが、他はさっぱり、というSEと、DBのことに詳しいうえに、そのDBを利用するアプリ開発や、DBが乗るサーバやストレージ、仮想化技術、ネットワークのこともある程度理解していてそれらのスペシャリストとの意思疎通がスムーズにできるSE、どちらが理想的か、言うまでもありませんよね。<br/>
GAITは990点満点。7分野だそうですから、きれいに割り切れないですが1分野は約140点です。専門分野で130点、残りの6分野で半分の70点ずつ取れば550点。これぐらいの点は30代以上のエンジニアなら最低限取ってもらいたいと思うんですけど、アセスメントサマリーでは年齢までは分からないので実際どうなのか・・・。コンサルの平均点が飛び抜けて高いのはさすがですね。<br/>
というわけで、ハイスコアなSEが優秀なSEである可能性は高いと思います。一部のベンダ試験のようなものとは違って、一夜漬けのような勉強では高得点を取ることは不可能であることもその信頼性を高めています。逆にロースコアなSE(尖ったところすらないSE)は未熟なSEである可能性が高いと言えます。<br/>
中間ぐらいのスコアは評価が難しいですね。同じスコアでも仕事上の実力はピンキリなので、人事評価に使う場合は注意が必要かと思われます。まぁGAITのスコアだけで全ての評価が決まるなんて会社はないでしょうからどうでもいいか。<br/>
他の試験は通常分野別に分かれてしまっているので、評価に使う場合はそれぞれの試験の難易度というのを考慮に入れる必要があり、その難易度を正しく評価することの難易度が高いという問題がありますが、GAITであれば単一の試験で全SEのトータルスキルを測れるので、いろんなSEを抱えている一般的なIT企業にはそれなりに良い指針になりうるのではないかと思います。</p>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-46062528044751937142016-08-10T23:30:00.001+09:002016-08-10T23:30:23.944+09:00グループポリシーでIEのホームページを設定する3つの方法<p>グループポリシーでIE(11)のホームページを設定する方法は以下3つあります。(もっとあるかもしれないけど知らない)</p>
<ol>
<li>[ユーザーの構成]-[基本設定]-[コントロールパネルの設定]-[インターネット設定]</li>
<li>[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]-[ホームページの設定の変更を許可しない]</li>
<li>[ユーザーの構成]-[基本設定]-[Windowsの設定]-[レジストリ]</li>
</ol>
<p>それぞれ挙動は以下のようになります。</p>
<ol>
<li>[ユーザーの構成]-[基本設定]-[コントロールパネルの設定]-[インターネット設定]<br/>
これで設定した場合、ユーザーがインターネットオプションを開いた際のホームページの設定部分は編集可能な状態です。
ただし、デフォルトではグループポリシーが適用されるたびにグループポリシーで設定した内容に上書きされます。
なので、ユーザーからしてみると、「あれ?設定したはずなのにいつの間にか元に戻ってる!」ということになります。
[共通]タブの[1度だけ適用し、再適用しない]にチェックを入れれば、初回のみホームページ設定が入り、二度と上書きされないので、ユーザーによる変更が維持されます。
「追加のホームページを設定するのは自由だけれども、トップのホームページだけは変更させたくない」という要件にはこの項目は使えません。</li>
<li>[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]-[ホームページの設定の変更を許可しない]<br/>
IE10以降のGPOでの設定といえば[基本設定]というイメージですが、この[Windowsコンポーネント]-[Internet Explorer]にも設定項目がいくつかあります。
この[ホームページの設定の変更を許可しない]でホームページを設定することができます。そして、文字通りユーザーが変更することはできなくなります。
インターネットオプションのホームページの設定欄がグレーアウトされて操作できない状態となります。
同じ階層に[セカンダリホームページ設定の変更を無効にする]という項目があり、未構成の状態では[いいえ]なのですが、そのままでも、明示的に[無効]にしても、少なくともインターネットオプションではホームページを追加することはできません。レジストリをいじれば追加できるのかもしれませんが、そこまでして追加のホームページを設定しようとするユーザーはいないでしょうから、実質的にはこの設定で「ホームページは特定のページに固定する。ユーザーによる変更は許可しない。」という要件を、ユーザーを混乱させずに実装できます。逆に、ホームページは固定しつつ追加のページ設定を許可したい場合には使えません。</li>
<li>[ユーザーの構成]-[基本設定]-[Windowsの設定]-[レジストリ]<br/>
この項目自体はIEと直接関係なく、単に任意のレジストリを設定する項目です。この項目で、IEのホームページ設定を行うレジストリを指定します。
キーのパスが[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]、値の名前が[Start Page]の項目の、値のデータにURLを設定すればホームページに設定することができます。インターネットオプションのホームページの設定欄は1と同様に編集可能状態になります。[共通]タブの[1度だけ適用し、再適用しない]のチェック有無による挙動は、ここにチェックを入れた場合は1と同じですが、入れなかった場合は、ここで設定したホームページだけは維持されるけれども、ユーザーが追加で設定したホームページについては上書きされないという挙動になります。</li>
</ol>
<p>つまりホームページの設定自体はどの方法でもできますが、ユーザーによる変更をどう扱うかの要件によって使用すべきポリシーがおのずと決まってきます。</p>
<dl>
<dt>要件:一旦ホームページ設定を配布するが、変更は自由に行って良い。</dt>
<dd>[ユーザーの構成]-[基本設定]-[コントロールパネルの設定]-[インターネット設定]でホームページを設定し、[共通]タブで[1度だけ適用し、再適用しない]にチェックを入れる。</dd>
<dt>要件:ホームページ設定を配布し、変更は許可しない。</dt>
<dd>[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]-[ホームページの設定の変更を許可しない]でホームページを設定する。</dd>
<dt>要件:ホームページ設定を配布し、配布した設定は維持させるが、追加のホームページ設定は許可する。</dt>
<dd>[ユーザーの構成]-[基本設定]-[Windowsの設定]-[レジストリ]で[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]の[Start Page]にホームページを設定し、[共通]タブの[1度だけ適用し、再適用しない]にはチェックを入れない。</dd>
</dl>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com1tag:blogger.com,1999:blog-1999140904035603949.post-11929977204962395392016-08-08T16:53:00.001+09:002016-08-08T16:54:22.668+09:00クライアントでグループポリシーの結果セットを見るクライアント側で、自分に適用されているグループポリシーの結果セットをGUIで確認する方法。<br/>
ファイル名を指定して実行で、rsop.msc<br/>
超便利!
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-66569612314177202332016-03-28T23:21:00.000+09:002016-03-28T23:21:03.262+09:00Fess 10.0 ポート変更<p>公式にはポートの変更方法が無かったので書いておきます。
バージョン 10.0.2 で動作確認しています。
バージョンが異なると方法も異なる可能性があるので注意してください。</p>
<p>Fess の zip を展開してできたフォルダ内にある「bin」フォルダの中にあるファイルの中にある 8080 という数字を変更したいポートに書き換えます。
単発起動(Windows)の場合は fess.bat、サービスの場合は service.bat、Linux の場合 fess.in.sh です。
他には特に編集すべきものはありません。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-49394561972462988592016-03-27T23:18:00.000+09:002016-03-28T23:12:43.791+09:00Fess 10.0 導入メモ<p>オープンソース全文検索サーバーFessの設定メモ。公式はこちら。<br/>
<a href="http://fess.codelibs.org/ja/">http://fess.codelibs.org/ja/</a><br/>
一応ドキュメントあるのですが、古いバージョンの記載のままで間違っていたりするので辛い。
導入してみましたので記録をば。</p>
<p>Fessのバージョンは10.0.2、Windows Server 2012 R2で動かしました。Javaのバージョンは8u77。<br/>
想定したのは、部内ファイルサーバーの全文検索システムを構築するという状況。
ファイルシステムクロールです。Webクロールは他のサイトでも紹介しているところが結構あると思うのでそちらを参照してください。
部内ファイルサーバーは以下の4つの共有フォルダがあるとします。
<dl>
<dt>全員用</dt><dd>部員全員が閲覧可能な場所。</dd>
<dt>偉い人用</dt><dd>偉い人だけが閲覧可能な場所。</dd>
<dt>1課</dt><dd>1課のメンバーと偉い人だけが閲覧可能な場所。</dd>
<dt>2課</dt><dd>2課のメンバーと偉い人だけが閲覧可能な場所。</dd>
</dl>
本当はActiveDirectoryと連携したかったのだけれども、現状の公式のドキュメントではその方法がわからなかったので、Fessに登録したアカウントとロールで権限を制御します。</p>
<p>まずインストール。Java8のJDKをインストールします。JREではないので注意。現時点での最新、8u77 をインストールしました。<br/>
その後、システムの環境変数の設定をします。環境変数の設定画面は、「コントロールパネル」→「システム」→「システムの詳細設定」→「環境変数」ボタンで出てきます。
「システム環境変数」→「新規」で「変数名」に「JAVA_HOME」、「変数値」に「C:\Program Files\Java\jdk1.8.0_77」を設定。Javaのバージョンが違う場合は勿論その部分は合わせてください。
次に、既に登録されている「Path」という環境変数をダブルクリックして、「変数値」の末尾に「;%JAVA_HOME%\bin」を追加します。<br/>
FESSを公式からダウンロードします。zip形式のもの。それを展開して、適当な場所に配置します。とりあえず起動してみるだけであればどこでもいいですが、運用するつもりであれば専用のパーティションを切ってその中に置いたたほうがいいと思います。<br/>
インストールはこれで完了。</p>
<p>単発で起動するなら、FESSのzipを展開してできたフォルダ内の「bin」フォルダ内の「fess.bat」をダブルクリックすればOKです。コマンドプロンプトが自動的に起動します。このコマンドプロンプトを閉じるとFESSも終了します。正常に起動していれば、ブラウザで http://IPアドレス:8080/ にアクセスするとFESSの画面が表示されます。ちなみに他のマシンからアクセスする場合、Windowsファイアウォールがデフォルト設定だとブロックしてしまうので除外設定する必要があります。<br/>
サービスとして登録したい場合は、コマンドプロンプトを起動して、同じ「bin」フォルダ内の「service.bat」を「install」引数付きで実行すると、表示名「Fess 10.0.0-SNAPSHOT (fess-service-x64)」で登録されます。登録したては手動起動になっているので、自動起動したい場合はプロパティで変更してください。</p>
<p>無事起動したら設定をしていきます。管理画面のURLは http://IPアドレス:8080/admin です。管理者アカウントは admin、初期パスワードも admin です。ちなみに IE だとダッシュボードの表示が崩れます。他の画面は大丈夫そうでした。<br/>
最初にロールを作成します。左のメニューから「ユーザー」→「ロール」でロールを作成します。ロール名は英字で。
今回は、1ka, 2ka, erai, zenin という4つのロールを作成しました。ロールを作成したら、一覧に表示されたそれぞれのロール名をクリックして、「新しいクローラ用ロールの作成」で、それぞれ同名のクローラ用ロールも作成しておきます。<br/>
次に左メニューの「ユーザー」→「ユーザー」でユーザーを作成します。今回は、1kauser, 2kauser, erai の3ユーザーを作成しました(各権限ごとの共有アカウントとして利用する想定)。1kauser には 1ka と zenin のロールを割当て、2kauser には 2ka と zenin のロールを割り当て、erai には erai と zenin のロールを割り当てます。ロールの複数割り当ては、コントロールキーを押しながらクリックすることで可能です。<br/>
次にラベルを作成します。これは必須ではないですが、偉い人は何もかも見えてしまうので、範囲を絞りたいこともあるかなと思って作成しています。左メニューの「クローラ」→「ラベル」をクリックし、「新規作成」ボタンをクリックします。「名前」はユーザーに見えるラベルになるので、わかりやすい名前にしましょう。日本語OKです。「値」はユーザーには見えない内部的なものです。英字にしてください。「対象とするパス」「除外するパス」は空欄でOK。「ロール」はそのラベルを表示させる対象のロールを選択します(コントロールキー押下で複数選択可)。「表示順序」はラベルの表示順序です。今回はデフォルトのままとしました。
<table border="1">
<tr><th>名前</th><th>値</th><th>ロール</th></tr>
<tr><td>1課</td><td>1ka</td><td>1ka, erai</td></tr>
<tr><td>2課</td><td>2ka</td><td>2ka, erai</td></tr>
<tr><td>偉い</td><td>erai</td><td>erai</td></tr>
<tr><td>全員</td><td>zenin</td><td>zenin</td></tr>
</table>
次にクロールの設定です。左メニューの「クローラ」→「ファイルシステム」をクリック、「新規作成」ボタンをクリックします。
「名前」は日本語OK、わかりやすいものに。「パス」にクロール対象とする共有フォルダのパスを以下の形式で記載します。<br/>
smb://サーバー/パス/</br>
パスの部分、日本語であってもURLエンコードせずにそのまま記載してOKです。最後の / が非常に重要です。
これがないとクロールしてくれません。
「ロール」で検索させたいロールを選択(コントロールキー押下で複数選択可)し、「ラベル」で付けたいラベルを選択(コントロールキー押下で複数選択可)します。
他のオプションはデフォルトのままとしました。
<table border="1">
<tr><th>名前</th><th>パス</th><th>ロール</th><th>ラベル</th></tr>
<tr><td>1課</td><td>smb://xxx.xxx.xxx.xxx/1課/</td><td>1ka, erai</td><td>1課</td></tr>
<tr><td>2課</td><td>smb://xxx.xxx.xxx.xxx/2課/</td><td>2ka, erai</td><td>2課</td></tr>
<tr><td>偉い人用</td><td>smb://xxx.xxx.xxx.xxx/偉い人用/</td><td>erai</td><td>偉い</td></tr>
<tr><td>全員用</td><td>smb://xxx.xxx.xxx.xxx/全員用/</td><td>zenin</td><td>全員</td></tr>
</table>
次に認証の設定です。左メニューの「クローラ」→「ファイル認証」をクリック、「新規作成」ボタンをクリックします。
「ホスト名」を、クローラのパスに設定した smb:// の後ろに記載した通り(上記の例だと xxx.xxx.xxx.xxx)に記載します。
「ポート」「スキーム」「パラメータ」はデフォルトのままでOKです。
「ユーザー名」はドメイン環境であれば「ドメイン名\アカウント名」と記載します。
「ファイルクロール設定」でクロール設定を選びます。ここは1つしか選べないので、認証情報が共通であってもクロール設定数分作成する必要があります。面倒ですが頑張って作りましょう。<br/>
これでやっと準備が整いました。左メニューから「システム」→「スケジューラ」をクリックし、表示された一覧の中から
「Default Crawler」をクリック、「今すぐ開始」ボタンをクリックするとクロールが始まります。
負荷がかかりますので、「今すぐ開始」できない場合はジョブ実行されるのを待ちましょう。
デフォルトでは毎日0時に実行されるようになっています。変更したい場合は「編集」で「スケジュール」欄をいじる。<br/>
結果は左メニューの「システム情報」→「ジョブログ」で確認できます。
ただ、この画面では、設定ミスによるエラーについてはジョブのエラーとは見なされないので結果OKになっています。
「システム情報」→「クロール情報」でより詳細な情報を確認可能です。
「セッションID」をクリックすると、そのクロールセッションで収集対象となった文書の情報が見れます。
ここで「一致する情報は見つかりませんでした。」と出る場合は、クロールパスの設定か認証の設定かを間違っている可能性大です。
左メニューの「システム情報」→「ログファイル」で「fess-crawler.log」を見てみると何かエラーが出ているはず。</p>
<p>ここまでうまくいったら、後は検索してみるだけなのですが、その前に「システム」→「全般」で「ログインが必要」にチェックを入れて「更新」しておきましょう。そうしないとデフォルトでは認証なしの Guest ロールでの検索になるので、今回の設定では何も検索結果に出てきません。<br/>
検索画面は http://IPアドレス:8080/ です。管理画面を開いているのと同じブラウザで開くと admin でログインした状態なので、いったんブラウザを落とすか、ページ上部のアカウント名が表示されている部分をクリックしてログアウトしてください。
1kauser, 2kauser, erai それぞれでログインして検索してみて、意図した通りの出しわけになっていることを確認して完了です。</p>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-46471180440855973232016-02-14T10:57:00.004+09:002016-02-14T10:57:30.243+09:00CentOS7 に vSphere SDK for Perl をインストール<p>CentOS7 に vSphere SDK for Perl をインストールしようとしたらマニュアル通りの方法ではインストールできなかったのでメモ。
CentOS のバージョンは 7.2-1511、Minimal。vSphere SDK for Perl は 6.0。</p>
<pre class="brush: bash;">
# yum install perl
# yum install open-vm-tools
# yum install e2fsprogs-devel libuuid-devel
# yum install glibc.i686
# yum install perl-XML-LibXML
# yum install openssl-devel
# yum install perl-CPAN
# yum install perl-YAML perl-Devel-CheckLib libxml2-devel
# yum install gcc
# cpan -i JSON::PP
# cpan -i Fatal
# cpan -i Env
# cpan -i Class::MethodMaker
</pre>
<p>open-vm-tools は VMware Tools なので既に導入済みであれば無視してください。<br />
後は vSphere SDK for Perl をダウンロードしてきて解凍し、./vmware-install.pl を実行。
ライセンスに同意し、RHEL用のパッケージを入れるか聞かれるのでそれには<b> NO </b>と返答。
CPAN がエラーっぽいものを吐いて続けるかどうか聞いてきますがそれには<b> YES </b>と返答。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-37895580246796574222015-11-22T12:54:00.000+09:002015-11-22T12:54:03.232+09:00仮想マシンが起動しない<p>vR Ops のレポートで過剰ストレスの仮想マシンをでっちあげるためにずっと高負荷状態で運用していたのが悪かったのか、いつのまにか vCenter から仮想マシンの起動・停止操作ができない状態になっていました。</p>
<p><strong>症状:</strong></p>
<ul>
<li>vCenter Server から仮想マシンの起動やシャットダウンができない。</li>
<li>vSphere Web Client では何もエラーは表示されず、ただ無視されるような状態。</li>
<li>vSphere Client で見ると「一般的なシステムエラーが発生しました:Connection refused」というエラーが出ている。</li>
<li>vSphere Client で ESXi に接続して操作すれば、起動・停止共に可能。</li>
<li>ESXi Shell での起動・停止も勿論可能。</li>
</ul>
<p><strong>解決方法:</strong></p>
<p>ESXi Shell で、<br/><tt># /etc/init.d/vpxa restart</tt></p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-30139914826490879432015-11-21T19:43:00.000+09:002015-11-21T19:43:03.924+09:00vRealize Operations Manager 6.1 感想<p>別にこれで vR Ops ネタ終了というわけでないのですが、とりあえずこれまで使ってみた感想を。<br/>
vR Opsは非常に高機能なツールだと思います。使いこなせれば値段分の価値は充分あると思います。<br/>
ただ、じゃあ誰でも簡単に使いこなせるかというと、個人的にはとても難しいと思います。直感的に操作できるなどと謳われていますが、私は全く直感的には扱えませんでした。まず、設定が非常に難しいです。本番環境なのか検証環境なのかや、負荷の発生の仕方によって適切にポリシーを設定すべきとされているのですが、その「ポリシーを適切に設定する」ことが、まず素人には難しすぎます。どういうポリシーが適切なのか、抽象的な表現はあれど、具体的な設定について教えてくれる資料も人も存在しません。ググってもそういう情報は無いです。稀にあっても古くて使えなかったり・・・。購入前であれば VMware 社の SE が協力して多少は教えてくれるかもしれませんが、売れてしまえば終わりでしょう。サポートとやり取りして理解するには酷すぎるレベルですし、サポートは顧客の環境に適したポリシーのアドバイスなどしてくれはしないでしょう。無償のハンズオントレーニングなどに参加しても、インストールしてちょっと触ってみる程度で、使いこなすレベルまではいきません。<br/>
データの見方も難しいです。技術者向けの資料なんかには、vR Ops が出してくるデータの計算方法を理解しろ、そうしないと正しい評価はできないとか書いてあるんですよ。そんなの vR Ops 専門にやってるような技術者じゃないと無理でしょ・・・。用語も非常にとっつきにくい。「シンプトム」とか「アノマリ」とか言われてすぐピンとくる人ってどれだけいるんですかね。<br/>
なので、vR Ops を導入するなら、入れておしまいではなく、環境に合わせた適切なポリシーを設定し、初回のレポーティングをするところまでを導入業者の責任範囲として指定して、教育もしてもらうのがベストだと思います。そうじゃないと、入れただけ、無駄にリソース食ってるだけで使ってない、という存在になってしまう可能性が高いと思います。無料版を使うならまぁそれでもいいかもしれないですけど。有料版を入れるなら。勿論その分のコストは請求されることになるので、ライセンス費用+その分のコストまで含めた金額で、要・不要を判断するのがいいかと。</p>
<p>以上を踏まえたうえでも、やっぱりそもそもの性質として向いてると思う環境と、向いていないと思う環境があるので条件を書いてみます。</p>
<p><strong>向いてると思う環境の条件</strong><br/>1個でもあてはまれば。</p>
<ul>
<li>vR Ops のライセンス費用や消費リソースなど誤差の範囲だ。フハハハ。</li>
<li>中~大規模(目安として100仮想マシン以上)な環境。</li>
<li>クラウド事業者、もしくは(半)自動運用されているプライベートクラウド提供基盤。</li>
<li>仮想マシンの増減が激しい。</li>
<li>パフォーマンス問題がそれなりの頻度で発生している。</li>
<li>定期的にリソース増強を行っている。</li>
<li>現状より統合率を高めたい。</li>
<li>平常時からオーバーコミット状態で運用している。</li>
<li>vCenter のパフォーマンスグラフに常々不満を抱いている。</li>
<li>IT技術者で構成される運用チームが存在する。</li>
<li>VMware もしくは SIer の営業やSEをいつでも呼びつけられるお得意様である。</li>
<li>新しいもの好き、分析好き、凝り性、マニアック、積極的、チャレンジ精神旺盛、自己解決、難しいことにわくわくする、といったキーワードにあてはまる。</li>
</ul>
<p><strong>向いていないと思う環境の条件</strong></p>
<ul>
<li>小規模環境。</li>
<li>仮想マシンの増減がほとんどない。</li>
<li>1度構築したらハードウェアの EOSL を迎えてリプレースになるまでそのまま運用する可能性が高い。</li>
<li>パフォーマンスが問題になることがめったにない。あってもすぐに解決できる。</li>
<li>統合率を向上する必要性を感じていない。</li>
<li>vCenter もしくは他の既存ツールのパフォーマンスグラフで得られる情報で満足している。</li>
<li>運用チームが無い、もしくは一般職員で構成される運用チーム。</li>
<li>製品サポート以外にサポートを受けられそうにない。</li>
<li>難しいことや複雑なことが嫌いである。</li>
<li>買っておいて使いこなせなかったら問題になる/責任を問われる。</li>
</ul>
<p>買う前に既存の環境に評価版を入れてみるのが一番いいと思います。
自力で入れて設定できるような運用部隊をお持ちの場合は全く問題なし。
そうでない場合は、買うときの候補となる SIer に頼めば導入から評価まで手伝ってくれるでしょう。手伝ってくれないような SIer からは買わないほうがいいです。ただ、完全に SIer にお任せにしてしまうと、結局買った後に使いこなせないので、買った後の運用を意識して、うまく SIer を使いつつナレッジを得られるように頑張りましょう。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-37670711120265797282015-11-17T21:27:00.000+09:002015-11-17T21:27:36.188+09:00vRealize Operations Manager 6.1 カスタムレポート<p>デフォルトのレポートのままだと1レポート1ビューなので、見たい情報をまとめたカスタムレポートを作成してみます。</p>
<ol>
<li>レポート対象にしたい環境を表示した状態で、右ペインで[レポート]タブを開き、[レポートテンプレート]ボタンをクリックして[+]のアイコンをクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1pBMrASuQTGgaxpBA6ni_3CCrLbQtEWUDax7CWr3d0N5JBb9T-lmpOOJDmexSG7y7jKpHblsCvZbOHs3MKt8iFUMO2BdBdG_CI5YPxNj3BTYchtTWvRHrFXfSSBBIAZjZoq_a1yIBQ-A/s1600/01.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1pBMrASuQTGgaxpBA6ni_3CCrLbQtEWUDax7CWr3d0N5JBb9T-lmpOOJDmexSG7y7jKpHblsCvZbOHs3MKt8iFUMO2BdBdG_CI5YPxNj3BTYchtTWvRHrFXfSSBBIAZjZoq_a1yIBQ-A/s320/01.png" /></a></div></li>
<li>[名前]にレポート名を入力して[2.ビューとダッシュボード]をクリック。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKx8uyOeaJodmbwTUYjNmZeIWBFqgsLe5WQpW8nVOa5Vk2sM0ALhOlFcFDncxGeXypJnGWLLYvcCPEPc-IV8JiovplVQ7xBgj0sNCRJ9u5-URWkoubtKLtGytKKlcDkWKsPVeAPm4SdaM/s1600/02.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKx8uyOeaJodmbwTUYjNmZeIWBFqgsLe5WQpW8nVOa5Vk2sM0ALhOlFcFDncxGeXypJnGWLLYvcCPEPc-IV8JiovplVQ7xBgj0sNCRJ9u5-URWkoubtKLtGytKKlcDkWKsPVeAPm4SdaM/s320/02.png" /></a></div></li>
<li>レポートに出力したいビューを左ペインから右ペインにドラッグ&ドロップで配置する。右ペインに配置した際に、実際に出力される情報のプレビューも表示される。右ペイン内で項目をドラッグ&ドロップして並び順も変えられる。ビューを配置し終わったら[3.形式]をクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8cRoYUO0tYQk-moOmqnk60F5EZDsV9Be9YtA9ET9DasY4CoM3R81t-rgekuTlfiFF0TMC2YNpeR8C6_d6HLk-rCC17hvMCGo6mXy0lBBEAC3Memqma35h0hcjTgAWPTIWWgX7-WJBXz4/s1600/03.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg8cRoYUO0tYQk-moOmqnk60F5EZDsV9Be9YtA9ET9DasY4CoM3R81t-rgekuTlfiFF0TMC2YNpeR8C6_d6HLk-rCC17hvMCGo6mXy0lBBEAC3Memqma35h0hcjTgAWPTIWWgX7-WJBXz4/s320/03.png" /></a></div></li>
<li>ファイル形式が選べるが特に変更する必要がなければ[4.レイアウトオプション]をクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjE4Mc1fsg_yuDZwiO9D4i20cHF5EaTV6H80w2QvUiPmo7KoT3gotOz-JjEdHtb5lXO5FvCgxdIgUMfIB-UdX1KffoVhzWZueF-WLRxOMZFae1YmvRAamKpaWAA1cyQ_t74ZqYGMXleGWk/s1600/04.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjE4Mc1fsg_yuDZwiO9D4i20cHF5EaTV6H80w2QvUiPmo7KoT3gotOz-JjEdHtb5lXO5FvCgxdIgUMfIB-UdX1KffoVhzWZueF-WLRxOMZFae1YmvRAamKpaWAA1cyQ_t74ZqYGMXleGWk/s320/04.png" /></a></div></li>
<li>[表紙][目次][フッター]にチェックを入れる。表紙の画像を差し替えたい場合は[参照]ボタンを押して画像ファイルを指定する(画像を変える場合は下の詳細も参考にしてください)。終わったら[保存]ボタンをクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFun4k_1iWnThPsi6CKxIs9t2VoTsnv1QYV8E7kziwQfii72mBkZgfAi7ylhPSqyvBbo8loWBTNp_g7DjhXgNQke6G0bt1wz3MHibNMmVMuAfm9UEokOrCu0L6GdWUMKDQs7fwJMbX0R8/s1600/05.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFun4k_1iWnThPsi6CKxIs9t2VoTsnv1QYV8E7kziwQfii72mBkZgfAi7ylhPSqyvBbo8loWBTNp_g7DjhXgNQke6G0bt1wz3MHibNMmVMuAfm9UEokOrCu0L6GdWUMKDQs7fwJMbX0R8/s320/05.png" /></a></div></li>
<li>作成したテンプレートを選択した状態で、[テンプレートの実行]ボタンをクリックしてレポート作成。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPFEPaOU8f0E8nJ3xZIuQFUGn-ALxfjJcXv7WFrZ0As4VXJOtX3Qcysm4QCMn-kMTEOcYrSaUW1bIBFQOiFkOQe7oy_7Lknl7irkJJxrmzdUBHwtAmliS4UWu9rGX9pXH4-OHiqP4MF0w/s1600/06.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPFEPaOU8f0E8nJ3xZIuQFUGn-ALxfjJcXv7WFrZ0As4VXJOtX3Qcysm4QCMn-kMTEOcYrSaUW1bIBFQOiFkOQe7oy_7Lknl7irkJJxrmzdUBHwtAmliS4UWu9rGX9pXH4-OHiqP4MF0w/s320/06.png" /></a></div></li>
</ol>
<p>オリジナルレポートのサンプルを2つのっけておきます。表紙の写真は<a href="https://www.pakutaso.com/">フリー写真素材ぱくたそ</a>さんからもらってきました。</p>
<ul>
<li><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-16 オリジナルレポート1 vSphere World.pdf">オリジナルレポート1(vSphere World対象)</a></li>
<li><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-16 オリジナルレポート2 win2012r2-1.pdf">オリジナルレポート2(特定の仮想マシン対象)</a></li>
</ul>
<p>表紙の画像差し替えについての詳細。差し替えられる画像は1つだけ。サイズは 5MB までで、対応フォーマットは png, gif, jpg, bmp で、画像のサイズは 8.5 インチ× 11 インチ。サイズがあっていない場合は勝手にリサイズされ、上のサンプルレポートを見てわかる通り、横幅は一杯、縦は上から下 5 分の 4 ぐらいまでの背景にされます。レポート名は白字、レポート対象や生成日時などの情報は黒字固定なので、コントラストを考慮した背景にしないと見にくいです。レポートテンプレート編集時のプレビュー画面は実際に生成されるものとは画像の位置も文字色も合っていないので、実際にレポート生成して確かめる必要があります。以下は、横は 0.5 インチ単位、縦は 1 インチ単位でグリッドを引いた、8.5 インチ× 11 インチ画像を使ったレポートです。</p>
<ul>
<li><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-17 オリジナルレポート1-grid.pdf">オリジナルレポート1(グリッド背景)</a></li>
</ul>
<p>上から 6 インチ~ 7 インチがレポート名、7 インチ~ 9 インチが生成情報部分ですね。というわけで、以下のサンプルのように、6 インチ~ 7 インチの部分に暗い背景が、7 インチ~ 9 インチの部分に明るい背景が来るようにデザインを調整するといいです。</p>
<ul>
<li><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-17 オリジナルレポート1-tune.pdf">オリジナルレポート1(背景調整)</a></li>
</ul>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-5809798422088243222015-11-15T22:14:00.001+09:002015-11-15T22:15:51.711+09:00vRealize Operations Manager 6.1 のレポートのサンプル<p>vR Ops 6.1 のデフォルトのレポートテンプレート53個のレポートを生成してみました。複数の対象範囲を指定できるレポートは、一番広い範囲を対象にしています。
タイトルをクリックするとサンプルのレポートPDFをダウンロードできます。</p>
<p><strong>▼対象:vSphere World</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 VMware Tools のステータスのサマリ vSphere World.pdf">VMware Tools のステータスのサマリ</a></dt>
<dd>仮想マシンの一覧。仮想マシン名、電源状態、VMware Toolsの状態、ゲストOSの種類、IP、所属クラスタ、所属vCenter。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 アイドル中の仮想マシン レポート vSphere World.pdf">アイドル中の仮想マシン レポート</a></dt>
<dd>電源が入っているもののアイドル状態の仮想マシンの一覧。仮想マシン名、CPUのアイドル時間(%)、ネットワークIOのアイドル時間(%)、ディスクIOのアイドル時間(%)、ディスク領域の使用可能なキャパシティ(GB)、消費メモリ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 クラスタのキャパシティ リスク予測レポート vSphere World.pdf">クラスタのキャパシティ リスク予測レポート</a></dt>
<dd>クラスタ名、電源ONの仮想マシンの数、実行中のESXiホストの数、残りキャパシティ(30日/60日/90日の予測%)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 クラスタ構成のサマリ vSphere World.pdf">クラスタ構成のサマリ</a></dt>
<dd>クラスタの構成情報。クラスタ名、CPUリソース、メモリリソース、HA/DRSの設定、ESXiホスト数、仮想マシン数、データストア数、所属DC、所属vCenter。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストア インベントリ - IO レポート vSphere World.pdf">データストア インベントリ - IO レポート</a></dt>
<dd>データストアのIOに関する統計情報。データストア名、最大/平均IOPS、最大/平均読み書き速度。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストア インベントリ - ディスク領域レポート vSphere World.pdf">データストア インベントリ - ディスク領域レポート</a></dt>
<dd>データストアの使用量に関する情報。データストア名、総容量、使用量、プロビジョニング済み容量、オーバーヘッド、キャパシティ競合(%)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストアのキャパシティ リスク予測レポート vSphere World.pdf">データストアのキャパシティ リスク予測レポート</a></dt>
<dd>仮想マシン数の増加予測。30日/60日/90日での予測仮想マシン数。仮想マシンの追加が頻繁にある環境でないと意味ないレポート。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストアの最小最大平均 IOPS 30 日リスト ビュー レポート vSphere World.pdf">データストアの最小最大平均 IOPS 30 日リスト ビュー レポート</a></dt>
<dd>データストアごとのdevices:Aggregate of all instances|commandsAveraged_average(Max/Min/AVG)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストアの使用領域()の分布レポート vSphere World.pdf">データストアの使用領域(%)の分布レポート</a></dt>
<dd>何なのかよくわからない棒グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 データストアの浪費リスト ビュー レポート vSphere World.pdf">データストアの浪費リスト ビュー レポート</a></dt>
<dd>データストア単位で、アイドル・パワーオフ・過剰サイズの仮想メモリ領域のサイズ、テンプレート領域のサイズ、スナップショット領域のサイズを表示。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 ホスト ステータスのサマリ vSphere World.pdf">ホスト ステータスのサマリ</a></dt>
<dd>ESXiホストの一覧。名前、接続状態、メンテナンスモードかどうか、ESXiのバージョン、所属クラスタ、所属vCenter。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 ホスト ハードウェアのサマリ vSphere World.pdf">ホスト ハードウェアのサマリ</a></dt>
<dd>ESXiホストのCPU、電力管理技術、メモリ、NIC、BIOSバージョンの一覧。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 ホストの CPU デマンド()の分布レポート vSphere World.pdf">ホストの CPU デマンド(%)の分布レポート</a></dt>
<dd>何なのかよくわからない棒グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 ホストのメモリ使用量()の分布レポート vSphere World.pdf">ホストのメモリ使用量(%)の分布レポート</a></dt>
<dd>何なのかよくわからない棒グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 ホストの重要なサービスのサマリ vSphere World.pdf">ホストの重要なサービスのサマリ</a></dt>
<dd>ESXiホストごとに、SSH/NTP/ESXiシェル/ダイレクトコンソールUIが実行中かどうかを表示。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシン インベントリ - CPU レポート vSphere World.pdf">仮想マシン インベントリ - CPU レポート</a></dt>
<dd>仮想マシンごとにCPUの競合(%)、デマンド(%)、使用量(%)、残り時間(日)、残りキャパシティ(%)を表示。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシン インベントリ - ディスク領域レポート vSphere World.pdf">仮想マシン インベントリ - ディスク領域レポート</a></dt>
<dd>仮想マシンごとのディスクの割当サイズ(GB)と使用量(%)と節約可能な領域(スナップショット領域)のサイズ(GB)。パワーオン状態の仮想マシンしか表示されない。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシン インベントリ - データストア IO レポート vSphere World.pdf">仮想マシン インベントリ - データストア IO レポート</a></dt>
<dd>仮想マシンごとのIOに関する統計情報。最大/平均IOPS、最大/平均読み書き速度(Bps)、読み書き遅延(ms)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシン インベントリ - メモリ レポート vSphere World.pdf">仮想マシン インベントリ - メモリ レポート</a></dt>
<dd>仮想マシンごとにメモリの競合(%)、使用量(%)、残り時間(日)、残りキャパシティ(%)を表示。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシン ハードウェアのサマリ vSphere World.pdf">仮想マシン ハードウェアのサマリ</a></dt>
<dd>仮想マシンの構成情報一覧。仮想マシン名、パワー状態、ゲストOSの種類、vCPU・メモリ・ディスク・NICの割当て、IP、所属クラスタ、所属vCenter。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンによって構成された OS とゲスト内 OSの比較 vSphere World.pdf">仮想マシンによって構成された OS とゲスト内 OSの比較</a></dt>
<dd>仮想マシン作成時に指定したゲストOSの種類と実際にインストールされているゲストOSの種類の比較。実際のほうはVMware Toolsから情報を取ってくるようで電源OFFのマシンについては - になる。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンの CPU 使用量()の分布レポート vSphere World.pdf">仮想マシンの CPU 使用量(%)の分布レポート</a></dt>
<dd>仮想マシンのCPU使用量(%)を横軸に、仮想マシンの個数を縦軸にとった棒グラフ。目盛りが切りのいい数字じゃないしなんか微妙。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンの IOPS の分布レポート vSphere World.pdf">仮想マシンの IOPS の分布レポート</a></dt>
<dd>仮想ディスク:Aggregate of all instance|1秒あたりのコマンド数の円グラフ。なんだかよくわからないうえに分類の数値も微妙。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンのメモリ使用量()の分布レポート vSphere World.pdf">仮想マシンのメモリ使用量(%)の分布レポート</a></dt>
<dd>仮想マシンのメモリ使用量(%)を横軸に、仮想マシンの個数を縦軸にとった棒グラフ。目盛りが切りのいい数字じゃないしなんか微妙。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンの最小最大平均 IOPS 30 日リスト ビュー レポート vSphere World.pdf">仮想マシンの最小最大平均 IOPS 30 日リスト ビュー レポート</a></dt>
<dd>仮想マシンごとのvirtualDisk:Aggregate of all instances|commandsAveraged_average(Max/Min/AVG)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンの最小最大平均ネットワーク使用量(KBps) 30 日リスト ビュー レポート vSphere World.pdf">仮想マシンの最小最大平均ネットワーク使用量(KBps) 30 日リスト ビュー レポート</a></dt>
<dd>仮想マシンごとの Network I/O|Usage Rate(KBps)(Max/Min/AVG)。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 仮想マシンの構成サマリ リスト ビュー レポート vSphere World.pdf">仮想マシンの構成サマリ リスト ビュー レポート</a></dt>
<dd>仮想マシンの構成情報一覧(簡易版)。仮想マシン名、パワー状態、vCPU・メモリ・ディスク・NIC数の割当て。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 過剰サイズ仮想マシン レポート vSphere World.pdf">過剰サイズ仮想マシン レポート</a></dt>
<dd>仮想マシンごとのCPU・メモリ・ディスクの現在の割当てと節約可能リソースの表示。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 過剰ストレスの仮想マシン レポート vSphere World.pdf">過剰ストレスの仮想マシン レポート</a></dt>
<dd>仮想マシンごとのCPU・メモリ・ディスクの現在の割当てと推奨値の表示。こちらは割当が不足している仮想マシンが表示される。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-07 長時間パワーオフ状態の仮想マシンの節約可能なディスク領域レポート vSphere World.pdf">長時間パワーオフ状態の仮想マシンの節約可能なディスク領域レポート</a></dt>
<dd>ディスク領域という名称になっているが、実際の中身はパワーオフ状態の仮想マシンのCPU(MHz)とメモリ(KB)の表示。</dd>
</dl>
<p><strong>▼対象:vCeter Server</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 vCenter ホストの成長トレンド ビュー レポート vCenterTest.pdf">vCenter ホストの成長トレンド ビュー レポート</a></dt>
<dd>vCenter Server 数の増加予測。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 vCenter 仮想マシンの成長トレンド ビュー レポート vCenterTest.pdf">vCenter 仮想マシンの成長トレンド ビュー レポート</a></dt>
<dd>レポート対象の vCenter Server 配下の仮想マシン数の増加予測。</dd>
</dl>
<p><strong>▼対象:データセンター</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データセンター ホストの成長トレンド ビュー レポート dc1.pdf">データセンター ホストの成長トレンド ビュー レポート</a></dt>
<dd>データセンター数の増加予測。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データセンター仮想マシンの成長トレンド ビュー レポート dc1.pdf">データセンター仮想マシンの成長トレンド ビュー レポート</a></dt>
<dd>レポート対象のデータセンター配下の仮想マシン数の増加予測。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データセンターの CPU 使用量(MHz)トレンド ビュー レポート dc1.pdf">データセンターの CPU 使用量(MHz)トレンド ビュー レポート</a></dt>
<dd>レポート対象のデータセンターのCPU使用量と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データセンターのネットワーク使用量(KBps)トレンド ビュー レポート dc1.pdf">データセンターのネットワーク使用量(KBps)トレンド ビュー レポート</a></dt>
<dd>レポート対象のデータセンターのネットワーク使用量(KBps)と予測の線グラフ。</dd>
</dl>
<p><strong>▼対象:クラスタ</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタの CPU デマンド()トレンド ビュー レポート cluster1.pdf">クラスタの CPU デマンド(%)トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタのCPUデマンドと予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタの IOPS トレンド ビュー レポート cluster1.pdf">クラスタの IOPS トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタのIOPS(ディスク|1 秒あたりのコマンド数)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタのネットワーク使用量(KBps)トレンド ビュー レポート cluster1.pdf">クラスタのネットワーク使用量(KBps)トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタのネットワーク使用量(KBps)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタのメモリ使用量とデマンド()トレンド ビュー レポート cluster1.pdf">クラスタのメモリ使用量とデマンド(%)トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタのメモリ使用量、ストレスなしのデマンド、デマンド、と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタの仮想マシン成長トレンド ビュー レポート cluster1.pdf">クラスタの仮想マシン成長トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタ配下の仮想マシン数の増加予測。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 クラスタの平均遅延(ms)トレンド ビュー レポート cluster1.pdf">クラスタの平均遅延(ms)トレンド ビュー レポート</a></dt>
<dd>レポート対象のクラスタの平均遅延(ms)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 ホストのメモリ使用量とデマンド()トレンド ビュー レポート cluster1.pdf">ホストのメモリ使用量とデマンド(%)トレンド ビュー レポート</a></dt>
<dd>バグなのか?クラスタを対象に出力できるのでしたが、そうするとタイトルは「ホストの」だが、ホスト単位に出力されるわけではなく、「クラスタのメモリ使用量とデマンド(%)トレンド ビュー レポート」と全く同じになる。多分本来はホストを対象に出力する想定のレポート。</dd>
</dl>
<p><strong>▼対象:ホスト</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 ホストの CPU デマンドおよび使用量 () トレンド ビュー レポート 192.168.1.100.pdf">ホストの CPU デマンドおよび使用量 (%) トレンド ビュー レポート</a></dt>
<dd>レポート対象のホストのCPUデマンドと使用量と、予測の線グラフ。</dd>
</dl>
<p><strong>▼対象:リソースプール</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 リソース プールの CPU デマンド(MHz)トレンド ビュー レポート pool1.pdf">リソース プールの CPU デマンド(MHz)トレンド ビュー レポート</a></dt>
<dd>レポート対象のリソース プールのCPUデマンドと予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 リソース プールのメモリ使用量()の予測トレンド レポート pool1.pdf">リソース プールのメモリ使用量(%)の予測トレンド レポート</a></dt>
<dd>レポート対象のリソース プールのメモリ使用量(%)と予測の線グラフ。</dd>
</dl>
<p><strong>▼対象:データストア</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データストア IOPS トレンド ビュー レポート datastore1.pdf">データストア IOPS トレンド ビュー レポート</a></dt>
<dd>レポート対象のデータストアのIOPS(デバイス:Aggregate of all instances|1 秒あたりのコマンド数)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 データストアの平均遅延(ms)トレンド ビュー レポート datastore1.pdf">データストアの平均遅延(ms)トレンド ビュー レポート</a></dt>
<dd>レポート対象のデータストアの平均遅延(ms)と予測の線グラフ。</dd>
</dl>
<p><strong>▼対象:仮想マシン</strong></p>
<dl>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 仮想マシンの CPU デマンド()トレンド ビュー レポート win2012r2-1.pdf">仮想マシンの CPU デマンド(%)トレンド ビュー レポート</a></dt>
<dd>レポート対象の仮想マシンの CPU デマンド(%)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 仮想マシンの IOPS トレンド ビュー レポート win2012r2-1.pdf">仮想マシンの IOPS トレンド ビュー レポート</a></dt>
<dd>レポート対象の仮想マシンのIOPS(デバイス:Aggregate of all instances|1 秒あたりのコマンド数)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 仮想マシンのネットワーク使用量(KBps)トレンド ビュー レポート win2012r2-1.pdf">仮想マシンのネットワーク使用量(KBps)トレンド ビュー レポート</a></dt>
<dd>レポート対象の仮想マシンのネットワーク使用量(KBps)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 仮想マシンのメモリ使用量()トレンド ビュー レポート win2012r2-1.pdf">仮想マシンのメモリ使用量(%)トレンド ビュー レポート</a></dt>
<dd>レポート対象の仮想マシンのメモリ使用量(%)と予測の線グラフ。</dd>
<dt><a href="https://sites.google.com/site/aozai1234567890/vrops61report/15-11-13 仮想マシンの平均遅延(ms)トレンド ビュー レポート win2012r2-1.pdf">仮想マシンの平均遅延(ms)トレンド ビュー レポート</a></dt>
<dd>レポート対象の仮想マシンの仮想ディスク:Aggregate of all instancesの平均遅延(ms)と予測の線グラフ。</dd>
</dl>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-37403340462094474562015-11-14T22:13:00.000+09:002015-11-14T22:13:50.713+09:00vRealize Operations Manager 6.1 ポリシー設定編<p>インストールが完了したらポリシーを設定します。本来は、常時アクセスがある系の本番仮想マシン、バッチ処理系の本番仮想マシン、検証用の仮想マシン、てな具合に複数ポリシーを作成するのがベストプラクティスらしいのですが、よくわからないのでとりあえず取れる情報は全部取る!ポリシーを1つだけ作ります。本番環境では真似しないでください。</p>
<ol>
<li>https://vROpsのIPアドレス/ui/ の管理画面にログインして、左ペインで[管理]-[ポリシー]をクリックします。</li>
<li>右ペインに[アクティブなポリシー]タブが表示されていて、[vSphere Solution のデフォルト ポリシー (インストールした日時)]というポリシーがぽつんと表示されているはずです。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNy9FdEumfDsIiBU03s2Jf9SQST_6gWmvQBtkJ2NQjtC08sqRVjFNoik_5a9DF0rwxmMc5B6Uoka64gmoFSByXwqMAsBPT2Q47Mpw1lHLZGUPaFaxn-iGsMWt5d9E880Yk1WGbMerncR0/s1600/pol01.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNy9FdEumfDsIiBU03s2Jf9SQST_6gWmvQBtkJ2NQjtC08sqRVjFNoik_5a9DF0rwxmMc5B6Uoka64gmoFSByXwqMAsBPT2Q47Mpw1lHLZGUPaFaxn-iGsMWt5d9E880Yk1WGbMerncR0/s320/pol01.png" /></a></div></li>
<li>右ペインで[ポリシーライブラリ]タブをクリックし、[アクティブなポリシー]に表示されていたポリシー名をクリックして選択し、鉛筆アイコンをクリックします。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCSLpuDcPbDRdyQAjlOYtuhgn5_-3zV9ErQrr04hRGCYYZjeEGasQeNyzsB_sFUkmOsCsMs2TU7cHMks0Cmevl9Fpp7t2vCEpg34R9Q5ibbfCjdWCoy-RhC6rBfkpXzL1J3sBqjT9b2Gc/s1600/pol02.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCSLpuDcPbDRdyQAjlOYtuhgn5_-3zV9ErQrr04hRGCYYZjeEGasQeNyzsB_sFUkmOsCsMs2TU7cHMks0Cmevl9Fpp7t2vCEpg34R9Q5ibbfCjdWCoy-RhC6rBfkpXzL1J3sBqjT9b2Gc/s320/pol02.png" /></a></div></li>
<li>左ペインのドロップダウンリストで、[vCenter アダプタ]で始まっているものを選択しては横のロートに+のマークが付いているアイコンをクリックしていきます。使用していない機能のものは選択しなくていいです。以下の画像は、分散スイッチは使用していないので選択していません。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-AohJrekkcTfnu_di1b5bVjt2Cp-Bd61uz2gGMb3iIHY-5ji7DnJ1aGIKMqadALat5TLzIoHxueOfwdMeysjuF-ypzHIzsaOlLLWr8jNxcQ_e-gqbjrWYq0AP-DUbi4rSePneAHiq9aI/s1600/pol03.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-AohJrekkcTfnu_di1b5bVjt2Cp-Bd61uz2gGMb3iIHY-5ji7DnJ1aGIKMqadALat5TLzIoHxueOfwdMeysjuF-ypzHIzsaOlLLWr8jNxcQ_e-gqbjrWYq0AP-DUbi4rSePneAHiq9aI/s320/pol03.png" /></a></div></li>
<li>こんな感じにアダプタが並んだはずです。(一番上のアダプタ設定が開いている状態だと思いますが、以下の画像では複数アダプタあることがわかりやすいように閉じています。)<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqdyK9Hbi25dtG-oXjoBmGamCtP0vObCTpoHAAWrDLJZa3cODxRrDWW8r-EGaiKx7zWMYoVHjKdhPYJ3VkNNoi1Ry-hSGDV-NYTKjfE5q3EU7wQdLTxi3qDUv3oDkDDOAJmytZfOA4Jkc/s1600/pol04.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqdyK9Hbi25dtG-oXjoBmGamCtP0vObCTpoHAAWrDLJZa3cODxRrDWW8r-EGaiKx7zWMYoVHjKdhPYJ3VkNNoi1Ry-hSGDV-NYTKjfE5q3EU7wQdLTxi3qDUv3oDkDDOAJmytZfOA4Jkc/s320/pol04.png" /></a></div></li>
<li>小見出しの左側に展開できそうなマークがある項目の横の鍵アイコンをクリックします。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwRoDAHtkDTs4lYYgMt3yPKCen3CZG2q-Js6RlQkIoW89fxIDapoWegcoi4UOOSN3trjuDmQTh3IBJZDwPAu7c5Mu7nIqMqmeeRQMZqzcwBIIe2MLzKN23jRD08W0l1pJVbrl4UTgc8fI/s1600/pol05.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwRoDAHtkDTs4lYYgMt3yPKCen3CZG2q-Js6RlQkIoW89fxIDapoWegcoi4UOOSN3trjuDmQTh3IBJZDwPAu7c5Mu7nIqMqmeeRQMZqzcwBIIe2MLzKN23jRD08W0l1pJVbrl4UTgc8fI/s320/pol05.png" /></a></div></li>
<li>チェックが入っていない項目に片っ端からチェックを入れていきます。これを、全部のアダプタの全部の項目に対して行います。<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi82I7H7Ar2SWiYQ94Uoz80og931X21OfVeIbwOg1dmrmKZ45_RLJnufU8qiH71u2sgyhbaPmag8iLORx9mwE7SdoW5jlOrmiB141a7FXP5iqz9bA4B4hFqLnBvapJmIw_mQ2ugJRlBWXI/s1600/pol06.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi82I7H7Ar2SWiYQ94Uoz80og931X21OfVeIbwOg1dmrmKZ45_RLJnufU8qiH71u2sgyhbaPmag8iLORx9mwE7SdoW5jlOrmiB141a7FXP5iqz9bA4B4hFqLnBvapJmIw_mQ2ugJRlBWXI/s320/pol06.png" /></a></div></li>
<li>終わったら右下の[保存]ボタンをクリックして編集画面を閉じます。</li>
</ol>
<p>後は放置してデータを貯めるだけです。</p>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-62899449631981754972015-11-13T22:56:00.000+09:002015-11-13T22:56:01.680+09:00vRealize Operations Manager 6.1 インストール編<p>OVFをデプロイするところまでは省略。コンソール画面を開いて電源を入れ、起動が完了するまで待ちます。起動が完了すると、ESXiやvCenter Server ApplianceやData Protectionの起動後画面と同じような画面になります。コンソールを閉じる。</p>
<p>管理画面のURLは https://IPアドレス。ウイザード形式でマスターノードの名前やadminパスワードやNTPサーバについて聞かれるので適当に答える。</p>
<p>その後管理画面からログインしたらまずはマスターノードを起動する。スペックにもよると思うがかなり時間がかかるので気長に待つ。飯でも食いに行ったほうがよいと思われる。</p>
<p>その後が問題で、起動しきった後の続きの設定をするには <strong>https://IPアドレス/ui/</strong> にアクセスする必要がある。vROpsの管理画面は2種類あって、最初にアクセスした /admin/ と普段利用する /ui/ がある。マニュアルには、初期セットアップまでは https://IPアドレス にアクセスすると /admin/ が表示され、終われば /ui/ にリダイレクトされるようになり、/admin/ にアクセスするためには /admin/ を付けなければいけないと書いてあるが、これは嘘。初期セットアップが終わってもパスなしでアクセスすると /admin/ に飛ばされる。</p>
<p>https://IPアドレス/ui/ のほうの管理画面にログインして設定の続き。ウイザード形式でEULA同意、ライセンスキーの入力、VMwareに統計情報を送信するかを選択して完了するとダッシュボード画面になる。左ペインの[ソリューション]を選択して、右ペインの上の段で[VMware vSphere]を選択して歯車アイコンを押す。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhn9J0UVGIw4tCY36fJknpcc8tom534m_73itVElOBNSqZxaAtEE3KITqTMG8zhb8T_ho_LVovkBfrszf8E5TLSq_eXpUTQ3oFH6RaLucdL4P9QDVSgYLbefL3pzfzzKgxT5B00RVrTQZU/s1600/01.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhn9J0UVGIw4tCY36fJknpcc8tom534m_73itVElOBNSqZxaAtEE3KITqTMG8zhb8T_ho_LVovkBfrszf8E5TLSq_eXpUTQ3oFH6RaLucdL4P9QDVSgYLbefL3pzfzzKgxT5B00RVrTQZU/s320/01.png" /></a></div>
アダプタタイプで[vCenterアダプタ]を選択し、適当に情報を入力する。注意点としては、[表示名]に vCenter とだけ入れると予約語なのかエラーになって登録できないので別の名前にすること。[接続をテスト]ボタンは必ず押すこと(そのとき証明書を受け入れる処理が入る)。[次へ]を押す前に[設定の保存]ボタンを押すこと。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgx7HVarvBJDzKz6PFIZrYmOs7RmyLX9VoEbwd86Qys5sPHUbkB7oGXvFHIG6RO-HkKtxc6IE0i08acvD-Yl3qkd7RLqDBK56YsiDQnJ26-3jnczn4uKA57hAhJTI35CCNrIPlo9OQXK-s/s1600/03.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgx7HVarvBJDzKz6PFIZrYmOs7RmyLX9VoEbwd86Qys5sPHUbkB7oGXvFHIG6RO-HkKtxc6IE0i08acvD-Yl3qkd7RLqDBK56YsiDQnJ26-3jnczn4uKA57hAhJTI35CCNrIPlo9OQXK-s/s320/03.png" /></a></div>
次の画面はお好みに応じて変更するのだと思いますが、よくわからないのでデフォルトのまま[次へ]。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtKZD6F-3G8cl-5zy0TuIaBt18vcGQnvzlVdx7rEm2_MsPj9pS3uyrMlDumNWy0_Df4OgDf8DuyjtOC6DboToanBc_6eJZP-zBuPWjTA73iHqK7BBfL7_lkciGDqqO9VSGCvdUl93a8i8/s1600/04.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtKZD6F-3G8cl-5zy0TuIaBt18vcGQnvzlVdx7rEm2_MsPj9pS3uyrMlDumNWy0_Df4OgDf8DuyjtOC6DboToanBc_6eJZP-zBuPWjTA73iHqK7BBfL7_lkciGDqqO9VSGCvdUl93a8i8/s320/04.png" /></a></div>
その次の画面では[完了]を押すだけです。<br/>
もう1度[VMware vSphere]を選択して歯車アイコンを押す。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOUv3FJ5wzC5yCJKIn_AYgyOFDy51Hg9oObCMkY0mYR4S1XuTU7_0IDpB63TRMwbUF29TCRSHStkWmQqo3yKynUS_NRUNPYvdMylv4EPdvFAzxlOU_tnQJLXO_mljrSStsBhI3W6kTyDc/s1600/05.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOUv3FJ5wzC5yCJKIn_AYgyOFDy51Hg9oObCMkY0mYR4S1XuTU7_0IDpB63TRMwbUF29TCRSHStkWmQqo3yKynUS_NRUNPYvdMylv4EPdvFAzxlOU_tnQJLXO_mljrSStsBhI3W6kTyDc/s320/05.png" /></a></div>
今度はアダプタタイプで[vCenter Python Actionsアダプタ]を選択して適当に情報を入力。注意事項は[vCenterアダプタ]のときと同じ。こっちのアダプタは次の画面は無くてこの画面だけで[閉じる]ボタン。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUfIUE6G8psqgnH0HJjQBPXOQVhIjrvE7SnDx2-Qpje2sN_5g-TJ71a_HNCBXcNEtwZ9BS0j1mN8Pn-4wm8kwatK5WTUyZ4fAGdQGrPN-2A2rvo_Kpea_Mp5OIDVMFxwFq3WoS5w51w1M/s1600/06.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUfIUE6G8psqgnH0HJjQBPXOQVhIjrvE7SnDx2-Qpje2sN_5g-TJ71a_HNCBXcNEtwZ9BS0j1mN8Pn-4wm8kwatK5WTUyZ4fAGdQGrPN-2A2rvo_Kpea_Mp5OIDVMFxwFq3WoS5w51w1M/s320/06.png" /></a></div>
閉じた後の画面。2つのアダプタが動き始めているのがわかる。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcEBVRXinenNxAXg89uSh2kp40RR52drruiyCtJ3W3nlCjxLnEwbq0GWcBbw1zduL4P7FRp7ayEppTDXiCYm3JyhMUUpkbyH0aq2MIOMeKN7trLJ06pT60hJq-ZeP-9dj7Q-woWHvIGvo/s1600/07.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcEBVRXinenNxAXg89uSh2kp40RR52drruiyCtJ3W3nlCjxLnEwbq0GWcBbw1zduL4P7FRp7ayEppTDXiCYm3JyhMUUpkbyH0aq2MIOMeKN7trLJ06pT60hJq-ZeP-9dj7Q-woWHvIGvo/s320/07.png" /></a></div>
続いてポリシーを設定します。待て次回。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-39874311979237969732015-11-10T23:29:00.000+09:002015-11-10T23:29:00.406+09:00NetApp 監査ログ設定 (7-mode) (2/2)<p>前回の続き。NetApp 側の設定は完了しているので今回は Windows 側で監査対象フォルダの設定をする。これは別にファイルサーバが NetApp でなくとも共通の手順。例えば Windows Server をファイルサーバとして使用している場合、ファイルサーバとして動いている Windows Server の設定(AD兼務でなければローカルポリシー)で、オブジェクト監査を有効にする必要があるが、それが前回の NetApp の設定にあたる。その後、監査対象としたいフォルダに監査設定をするのが今回の手順で、ファイルサーバが NetApp であってもWindows Server であっても同じである。以下の手順は Windows Server 2012 R2 で設定した際のものだが基本的には古いバージョンのOSでも設定方法は同じ。</p>
<ol>
<li>監査対象にしたいフォルダのプロパティを開き、[セキュリティ]タブの[詳細設定]ボタンをクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKWq5n4jv18sWPtEG7mgB7JaYYetJjKW5uvHyhyphenhyphenW9Le5S3XraUxwwVliKOFpRblCdaTOgQ6O8h7vMynjQMD5j0qHpFmCm9qOMeTteAaRObVUgW3EoWHvd1vGqgj2IYm_jFz9U6pK22Cl4/s1600/audit01.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKWq5n4jv18sWPtEG7mgB7JaYYetJjKW5uvHyhyphenhyphenW9Le5S3XraUxwwVliKOFpRblCdaTOgQ6O8h7vMynjQMD5j0qHpFmCm9qOMeTteAaRObVUgW3EoWHvd1vGqgj2IYm_jFz9U6pK22Cl4/s320/audit01.png" /></a></div></li>
<li>[監査]タブで[追加]ボタンをクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEib4dvf9OsvSlIz9e0rDjiOV-ZxmGYPinGWAJQfXDUcqBi81lkEspo8OkQyn29lk1YzT1uiC7oWgNeqfO11p87DcJMEYmD4AcyNN4QWVyZfVdkQqa8rZoN6r1P0Ldb3LuqeqmQaCia7vkM/s1600/audit02.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEib4dvf9OsvSlIz9e0rDjiOV-ZxmGYPinGWAJQfXDUcqBi81lkEspo8OkQyn29lk1YzT1uiC7oWgNeqfO11p87DcJMEYmD4AcyNN4QWVyZfVdkQqa8rZoN6r1P0Ldb3LuqeqmQaCia7vkM/s320/audit02.png" /></a></div></li>
<li>[プリンシパルの選択]をクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPTcp2Ssm16V5Q9s3XMl3QoIxVZKnsn1_widLeTgKZ_jwyZBt-L6b4F5AycF0NsoBYizc4ou9sq-PhRUdXXBnG62qbwWnLn5SOP94FYAZJADR21l_Y1TW7v1oCdthjwmkxVyggz-RlenI/s1600/audit03.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPTcp2Ssm16V5Q9s3XMl3QoIxVZKnsn1_widLeTgKZ_jwyZBt-L6b4F5AycF0NsoBYizc4ou9sq-PhRUdXXBnG62qbwWnLn5SOP94FYAZJADR21l_Y1TW7v1oCdthjwmkxVyggz-RlenI/s320/audit03.png" /></a></div></li>
<li>監査対象にしたいアカウントやグループを入力して[OK]をクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbRAHwpYQNH0UdG4vHZXhSaCYRD_9cRVVsyI80wTQQZADI9YFTkRXVkGo2sxnPL64LGW9LNfElYyqp5huH18ZtxRzjkSNYjBDt-jXCWhUBknvXt7yua6XUHgdusQrIUjh0L6Q7Yjh-j6c/s1600/audit04.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbRAHwpYQNH0UdG4vHZXhSaCYRD_9cRVVsyI80wTQQZADI9YFTkRXVkGo2sxnPL64LGW9LNfElYyqp5huH18ZtxRzjkSNYjBDt-jXCWhUBknvXt7yua6XUHgdusQrIUjh0L6Q7Yjh-j6c/s320/audit04.png" /></a></div></li>
<li>[種類]と[適用先]を選択。監査なので[種類]は「成功」または「すべて」にするのが一般的。[適用先]はそのままで良い。監査したい処理を[基本のアクセス許可]で選択。これは「フルコントロール」にチェックを入れておけば良い。[OK]をクリック。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijvX01pClVBEzt4ajKKM0ZEWbi4r9AxiE-iErXDsptZM_jhMnCjd877LmLfKD7ZJONQp3pu9N747bA4vHewtzr2lf7wPrwR5aRcqv8JN9OKNRjUSOqwcQYOmXKuADJ0kGRnvkjIFuFDV0/s1600/audit05.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijvX01pClVBEzt4ajKKM0ZEWbi4r9AxiE-iErXDsptZM_jhMnCjd877LmLfKD7ZJONQp3pu9N747bA4vHewtzr2lf7wPrwR5aRcqv8JN9OKNRjUSOqwcQYOmXKuADJ0kGRnvkjIFuFDV0/s320/audit05.png" /></a></div></li>
<li>[監査]タブに追加したエントリが表示されていることを確認して[OK]をクリック。プロパティも[OK]をクリックして閉じる。これで設定完了。<br/>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjX7PdE7AOBi9RklEMEwNYZTWrur2-uI_Zchpu9r9tFWd3HKBU1ERcJxPWc1D9yHR1_hpwQLe24hgQKgUN5aNqci8vUSzqTlOl6EdGaeijdr1r6ftdedg7lBfiPG9nxfm97FjO9uMhjGj4/s1600/audit06.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjX7PdE7AOBi9RklEMEwNYZTWrur2-uI_Zchpu9r9tFWd3HKBU1ERcJxPWc1D9yHR1_hpwQLe24hgQKgUN5aNqci8vUSzqTlOl6EdGaeijdr1r6ftdedg7lBfiPG9nxfm97FjO9uMhjGj4/s320/audit06.png" /></a></div></li>
</ol>
<p>ちなみに、ファイルサーバのウイルスフルスキャンを行っている場合や、robocopy のようなファイルレベルのバックアップなどを行っている場合は、それらの実行ユーザーを監査の対象から外さないとエライことになる。ファイルサーバが Windows Server 2012 以降の場合は、先程の手順 5 の画面の下のほうにある、[条件の追加] で細かい制御が可能。それ以外の場合は、手順 4 のところで、Everyone ではなく、除外ユーザーを除いたグループを指定してやる必要がある。</p>
<p>これで監査ログが出力されるようになったはずだが、出力されたログを人力で解読するのはかなりしんどい。普通はツールを使うことになるが、その話はまたいずれ。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-68526437811700542162015-11-09T23:27:00.001+09:002015-11-09T23:27:41.235+09:00NetApp 監査ログ設定 (7-mode) (1/2)<p>ONTAP 8.2 7-mode で監査ログ設定。多分 8.X なら挙動は同じ。7.X は異なる可能性がある。</p>
<p>監査ログを取るためには、NetApp 側での設定と、Windows での設定の両方を行う必要がある。まずは NetApp 側の設定から。
デフォルトの監査関連の設定は以下のようになっている。</p>
<pre class="brush: bash;">
> options cifs.audit
cifs.audit.account_mgmt_events.enable off
cifs.audit.autosave.file.extension
cifs.audit.autosave.file.limit 0
cifs.audit.autosave.onsize.enable off
cifs.audit.autosave.onsize.threshold 75%
cifs.audit.autosave.ontime.enable off
cifs.audit.autosave.ontime.interval 1d
cifs.audit.enable off
cifs.audit.file_access_events.enable on
cifs.audit.liveview.allowed_users
cifs.audit.liveview.enable off
cifs.audit.logon_events.enable on
cifs.audit.logsize 1048576
cifs.audit.nfs.enable off
cifs.audit.nfs.filter.filename
cifs.audit.saveas /etc/log/adtlog.evt
</pre>
<p>GUI(OnCommand System Manager)でも有効/無効とファイル名ぐらいは設定できるが、ローテートに関する部分は設定できないので、全部まとめてコマンドラインで設定したほうが早い。</p>
<dl>
<dt>監査ログの種類</dt>
<dd><dl>
<dt>options cifs.audit.account_mgmt_events.enable on</dt><dd>アカウント操作に関するログ</dd>
<dt>options cifs.audit.file_access_events.enable on</dt><dd>ファイルアクセスに関するログ</dd>
<dt>options cifs.audit.logon_events.enable on</dt><dd>ログオンイベントに関するログ</dd>
</dl></dd>
<dt>監査ログをリアルタイムに見る必要がある場合</dt>
<dd><dl>
<dt>options cifs.audit.liveview.enable on</dt>
<dd>これを on にすると、他の Windows マシンの Event Viewer から直接 ONTAP に接続してリアルタイム(実際は 1 分ごとの flush)に監査ログを確認できるが、ファイル出力ができなくなる。そのため普通は有効にしない。</dd>
<dt>options cifs.audit.liveview.allowed_users ユーザ名</dt>
<dd>liveview を有効にした場合にイベントログへのアクセスを許可するユーザ名を指定。指定しなくても ONTAP の管理者権限があるアカウントは表示できる。</dd>
</dl></dd>
<dt>監査ログの保存設定</dt>
<dd><dl>
<dt>options cifs.audit.saveas ログファイルのフルパス</dt>
<dd>ログファイルの保存場所とベースとなるファイル名を定義する。保存場所はデフォルトではルートボリュームになっていて、万が一溢れると危険なので専用のボリュームを作ったほうが良い。設定する前に予めボリュームを作って share して格納フォルダを作っておく必要がある。ファイル名は任意だが拡張子の .evt は変更しないこと。</dd>
<dt>options cifs.audit.logsize ログファイルの最大サイズをバイト単位で</dt>
<dd>デフォルトは 1048576(1MB)。設定可能な最小値は 524288(512KB)、最大値は 68719476736(64GB)。</dd>
</dl></dd>
<dt>監査ログの自動保存設定</dt>
<dd>自動保存設定はサイズをトリガーにする方式と時間をトリガーにする方式の2種類ある。自動保存設定をしない場合は、cifs audit save コマンドを実行したタイミングでファイル出力される。<dl>
<dt>options cifs.audit.autosave.onsize.enable on<br/>options cifs.audit.autosave.onsize.threshold N%</dt>
<dd>cifs.audit.autosave.onsize.enable を on にすると、イベントログのサイズが、cifs.audit.logsize で指定したサイズの cifs.audit.autosave.onsize.threshold で指定した % 分のサイズになったらファイル出力される。</dd>
<dt>options cifs.audit.autosave.ontime.enable on<br/>options cifs.audit.autosave.ontime.interval 期間</dt>
<dd>cifs.audit.autosave.ontime.enable を on にすると、cifs.audit.autosave.ontime.interval で指定した期間ごとにファイル出力される。期間の指定は、分単位が m、時間単位が h、日単位が d のサフィックスを付ける。設定が有効になった時間からの間隔になるため、日単位にした場合でも綺麗に 0 時から 23時59分までのログが 1 ファイルになるわけではない。</dd>
</dl></dd>
<dt>監査ログのローテート設定</dt>
<dd><dl>
<dt>options cifs.audit.autosave.file.extension timestamp|counter</dt>
<dd>ファイルが出力される際に、ファイル名にタイムスタンプを付与する場合は timestamp、連番を付与する場合は counter を設定する。デフォルト値は空欄になっているが timestamp である。timestamp の形式は年月日時分秒(YYYYMMDDhhmmss)。拡張子の前に付く。例えば cifs.audit.saveas が /etc/log/adtlog.evt の場合、実際に出力されるファイル名は /etc/log/adtlog.YYYYMMDDhhmmss.evt になる。</dd>
<dt>options cifs.audit.autosave.file.limit 保存ファイル数</dt>
<dd>指定の場所に保存するファイル数。超えた場合は古いものから上書きされる。0 を指定した場合は無制限となる。最大値は 999。</dd>
</dl></dd>
<dt>監査を有効にする設定</dt>
<dd><dl>
<dt>options cifs.audit.enable on</dt>
<dd>これを打つと監査が始まるので他の設定を済ませてから最後に打つこと。</dd>
</dl></dd>
</dl>
<p>例として、アカウント操作のログは取らない、ファイルアクセスとログオンのログは取る、ログサイズは 100MB で 80% のサイズトリガーでファイル出力、/vol/vol1/log フォルダに audit.YYYYMMDDhhmmss.evt というファイル名で 999 個まで出力、という設定にするコマンドは以下になる。なお、デフォルト値そのままのものはコマンド入力する必要は無いので記載していない。</p>
<pre class="brush: bash;">
> options cifs.audit.saveas /vol/vol1/log/audit.evt
> options cifs.audit.autosave.file.extension timestamp
> options cifs.audit.autosave.file.limit 999
> options cifs.audit.logsize 104857600
> options cifs.audit.autosave.onsize.enable on
> options cifs.audit.autosave.onsize.threshold 80%
> options cifs.audit.enable on
</pre>
<p>これで NetApp 側の設定は OK。次は Windows から監査対象フォルダの設定をする。</p>
<p>おまけ:監査ログ関連のコマンド</p>
<dl>
<dt>cifs audit start</dt>
<dd>監査サービスの開始コマンド。</dd>
<dt>cifs audit stop</dt>
<dd>監査サービスの停止コマンド。</dd>
<dt>cifs audit save</dt>
<dd>監査ログをファイル出力させるコマンド。</dd>
<dt>cifs audit clear</dt>
<dd>監査ログをクリア(消去)するコマンド。</dd>
</dl>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-47340466846430516332015-11-08T16:26:00.000+09:002015-11-08T16:26:20.191+09:00wbadmin をタスクスケジューラで動かすときの注意<p>wbadmin コマンドをタスクスケジューラに登録するときは『最上位の特権で実行する』にチェックを入れないと動きません。</p>SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0tag:blogger.com,1999:blog-1999140904035603949.post-90074353426517929022015-11-07T16:45:00.000+09:002015-11-07T16:45:45.422+09:00Linuxのパスワードポリシーの設定<p>Red Hat Enterprise Linux 6.7 で確認。</p>
<p>以下の文中の『login.defs』のフルパスは『/etc/login.defs』です。
『system-auth』のフルパスは『/etc/pam.d/system-auth』ですがこれはシンボリックリンクになっていて実体は『/etc/pam.d/system-auth-ac』というファイルです。</p>
<dl>
<dt>パスワードの長さ</dt>
<dd>login.defs の PASS_MIN_LEN パラメータと system-auth の pam_cracklib.so モジュールの minlen パラメータで設定。minlen のほうが優先。PASS_MIN_LEN パラメータのデフォルト値は 5。minlen のデフォルト値はないが、pam_cracklib に先んじてパスワードチェックを行う crack ライブラリが強制的にパスワード長 6 未満を拒否するため、実質的に下限は 6。minlen パラメータの設定可能範囲は 5 から 2^31 -1(2147483647) まで。ただし 5 にしても前述した通り 6 未満は受け付けられない。</dd>
<dt>パスワード変更禁止期間</dt>
<dd>login.defs の PASS_MIN_DAYS パラメータ。設定可能範囲は -2147483648 から 2147483647。ただし、0 以下の値は 0 と同様に禁止期間を無効化(すぐに変更可能)する。</dd>
<dt>パスワードの有効期間</dt>
<dd>login.defs の PASS_MAX_DAYS パラメータ。設定可能範囲は -2147483648 から 2147483647。ただし、-1 および 10000 以上の値は無期限を意味する。</dd>
<dt>パスワードの履歴を記録する回数</dt>
<dd>system-auth の pam_unix.so モジュールの remember パラメータ。設定可能範囲は 0 から 400 まで。</dd>
<dt>パスワードの複雑さ</dt>
<dd>system-auth の pam_cracklib.so モジュールの ucredit(英大文字の数), lcredit(英小文字の数), dcredit(数字の数), ocredit(記号の数), minclass(最小限含まなければならない文字種の数), difok(変更前のパスワードと異なる文字の数) パラメータ(他にもあるがよく使うものだけ記載。残りは man を見てくださいな)。xcredit で文字種を指定するときに含まなければいけない数は負の整数で書く。例えば数字2文字以上なら dcredit=-2。含める文字種を指定するときに、複数のパラメータを並べることになるが、条件は論理積(&&)になる。論理和(||)の設定はできない。例えば、『英大文字または英小文字から最低1文字と、数字または記号から最低1文字』といったルールは『または』が入っているので設定できない。minclass と併用することで、『英大文字または英小文字から最低1文字と、数字を最低1文字と、記号を最低1文字』なら設定できる(minclass=3 dcredit=-1 ocredit=-1)。</dd>
<dt>アカウントがロックされるまでの失敗回数</dt>
<dd>system-auth の pam_tally2.so モジュールの deny パラメータ。設定可能範囲は 0 ~ 65535 まで。</dd>
<dt>アカウントロックが解除されるまでの秒数</dt>
<dd>system-auth の pam_tally2.so モジュールの unlock_time パラメータ。設定可能範囲は -2147483648 から 2147483647。0 以下の値にすると、アカウントロックされなくなる。</dd>
</dl>
<p>パスワード長8文字、変更禁止期間0日、有効期間180日、履歴記録回数1回、アカウントロックまでの失敗回数5回、ロック10分、複雑さの要件は、各文字種を最低1文字、前回のパスワードと最低2文字異なる、という条件だと以下のようになります。</p>
<p>/etc/login.defs ※関連箇所のみ抜粋</p>
<pre class="brush: bash;">
PASS_MAX_DAYS 180
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
</pre>
<p>/etc/pam.d/system-auth-ac</p>
<pre class="brush: bash;">
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
auth required pam_tally2.so deny=5 unlock_time=600
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
account required pam_tally2.so
password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=2
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=3
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
</pre>
SEマンタhttp://www.blogger.com/profile/13267752918172358685noreply@blogger.com0