kirara(397)の日記: WindowsドメインNWで不具合発生中 2
日記 by
kirara(397)
コンピュータのロック(Win+L)から復帰する際にユーザー名が表示されない。グループポリシー「対話型ログオン: 最後のユーザー名を表示しない」は無効。原因不明。
kirara(397)さんのトモダチの日記、みんなの日記も見てね。 アナウンス:スラドとOSDNは受け入れ先を募集中です。
kirara(397)の日記: [admin] Subversion 1.4.6 -> 1.6.0 upgrade (Windows) 1
日記 by
kirara(397)
Subversion(Windows版)を久しぶりにアップグレードした。最新版の1.6.0。
昔はsubversion.tigris.orgにsetup.exeが置いてあったはずだけど、最近はCollabNetにユーザー登録しないと落とせなくなってる。なんかヤなのでsvn-win32-1.6.0.zipを落とす。以下作業手順メモ。
- Subversion 1.4.6をアンインストール
- Apache 2.2.8をアンインストール(conf等は残る)
- Apache 2.2.11を落としてきてインストール
- svn-win32-1.6.0.zipを解凍して適当な場所に設置(例. C:\Program Files\Subversion)
- 設置したPathを環境変数に追加
- Subversion付属の.soファイル2つをApacheのmodulesフォルダにコピー
- サーバー再起動(重要)
これで今まで通りRedmineとも連携OK。再起動しないと色々うまくいかなかった。
kirara(397)の日記: [admin] 子ドメイン情報が親ドメインから削除できない [解決]
日記 by
kirara(397)
前回の続き。結論から言うと綺麗に削除できた。
まず、”select operation target: select domain” でググってEZ-NET: Active Directory に登録されているドメインコントローラを削除するを見つける。ほうほう。エラーっぽいメッセージは無視して続ければ良かったのか。というわけでコマンドを連発して、子ドメインのサーバー情報を削除することに成功する。ひゃっほう。
しかし「ドメインと信頼関係」を見てみると、親子ドメイン間の信頼関係が解けていない。というか、子ドメイン情報が残ってる感じだ。そこで[HOW TO] 孤立したドメインを Active Directory から削除する方法を参考にドメイン情報の削除を試みたが、
DsRemoveDsDomainW エラー 0x2015(ディレクトリ サービスは、要求された操作をリーフ
オブジェクト上でのみ実行できます。)
ときた。諦めず、"DsRemoveDsDomainW エラー 0x2015" でググる。Ntdsutil を使用してが Windows Server 2003 で、ネットワークから削除するドメイン コントローラのメタデータを削除しようとすると、"DsRemoveDsDomainW error 0x2015"エラー メッセージという記事が出るが、機械翻訳のためコマンドがイミフだったので、原文"DsRemoveDsDomainW error 0x2015" error message when you use Ntdsutil to try to remove metadata for a domain controller that was removed from your network in Windows Server 2003を参考にコマンドを入力。見事子ドメイン情報が削除できた。うひょー。
解決に至ったコマンドをメモしておく。
#1.子ドメインサーバ情報を削除
>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server hoge
hoge に結合しています...
ローカルでログオンしているユーザーの資格情報を使って hoge に接続しました。
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
2 個のドメインを検出しました
0 - DC=domain,DC=local
1 - DC=sub,DC=domain,DC=local
select operation target: select domain 1
現在のサイトがありません
ドメイン - DC=sub,DC=domain,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list sites
2 個のサイトを検出しました
0 - CN=Tokyo,CN=Sites,CN=Configuration,DC=domain,DC=local
1 - CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select site 1
サイト - CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
ドメイン - DC=sub,DC=domain,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list servers in site
1 個のサーバーを検出しました
0 - CN=fuga,CN=Servers,CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select server 0
サイト - CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
ドメイン - DC=sub,DC=domain,DC=local
サーバー - CN=fuga,CN=Servers,CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
DSA オブジェクト - CN=NTDS Settings,CN=fuga,CN=Servers,CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local
DNS ホスト名 - fuga.sub.domain.local
コンピュータ オブジェクト - CN=fuga,OU=Domain Controllers,DC=sub,DC=domain,DC=local
現在の名前付けコンテキストがありません
select operation target: quit
metadata cleanup: remove selected server
選択されたサーバーから FSMO 役割を転送/強制処理しています。
役割 PDC の FRS 所有者を決定できません。
役割 Rid Master の FRS 所有者を決定できません。
役割 Infrastructure Master の FRS 所有者を決定できません。
"CN=fuga,CN=Servers,CN=Osaka,CN=Sites,CN=Configuration,DC=domain,DC=local"
をサーバー "svrmain"から削除しました
metadata cleanup: quit
ntdsutil:quit
hoge から切断しています...
#2.子ドメイン情報を削除
>ntdsutil
ntdsutil: domain management
domain management: connect
ローカルでログオンしているユーザーの資格情報を使って hoge に接続しました。
server connections: quit
domain management: list
注意: 国際的な文字または Unicode 文字を含むディレクトリ パーティション名は、適切
なフォントおよび言語サポートが読み込まれている場合のみ正しく表示されます
7 個の名前付けコンテキストが検出されました
0 - CN=Configuration,DC=domain,DC=local
1 - DC=domain,DC=local
2 - CN=Schema,CN=Configuration,DC=domain,DC=local
3 - DC=DomainDnsZones,DC=domain,DC=local
4 - DC=ForestDnsZones,DC=domain,DC=local
5 - DC=sub,DC=domain,DC=local
6 - DC=DomainDnsZones,DC=sub,DC=domain,DC=local
domain management: delete nc dc=domaindnszones,dc=sub,dc=domain,dc=local
操作は成功しました。パーティションはエンタープライズから削除されるようにマークが
付けられています。これはバックグラウンドである期間にわたり削除されます。
注意: このパーティションを保持しているサーバーでこれを削除する機会があるまで、同
じ名前の別のパーティションを作成しないでください。これはこのパーティションの削除
の知識がフォレストをとおしてレプリケートされ、パーティションを保持しているサーバ
ーがそのパーティション内のオブジェクトをすべて削除したときに発生します。各サーバ
ーの Directory イベント ログを参照すると、パーティションが完全に削除されたかどう
かを確認できます。
domain management: delete nc dc=sub,dc=domain,dc=local
操作は成功しました。パーティションはエンタープライズから削除されるようにマークが
付けられています。これはバックグラウンドである期間にわたり削除されます。
注意: このパーティションを保持しているサーバーでこれを削除する機会があるまで、同
じ名前の別のパーティションを作成しないでください。これはこのパーティションの削除
の知識がフォレストをとおしてレプリケートされ、パーティションを保持しているサーバ
ーがそのパーティション内のオブジェクトをすべて削除したときに発生します。各サーバ
ーの Directory イベント ログを参照すると、パーティションが完全に削除されたかどう
かを確認できます。
domain management: list
注意: 国際的な文字または Unicode 文字を含むディレクトリ パーティション名は、適切
なフォントおよび言語サポートが読み込まれている場合のみ正しく表示されます
5 個の名前付けコンテキストが検出されました
0 - CN=Configuration,DC=domain,DC=local
1 - DC=domain,DC=local
2 - CN=Schema,CN=Configuration,DC=domain,DC=local
3 - DC=DomainDnsZones,DC=domain,DC=local
4 - DC=ForestDnsZones,DC=domain,DC=local
domain management: quit
ntdsutil: quit
hoge から切断しています...
いじょ。疲れた。
kirara(397)の日記: [admin] 子ドメイン情報が親ドメインから削除できない
日記 by
kirara(397)
子会社のドメインを親会社(ウチ)ドメインの子ドメインにしておいたのだが、色々あって両者はまったく同期されていない(VPNで接続されるはずだったのだが)。メリットよりデメリットの方が大きくなってきたので、子会社のドメインコントローラを再インストールして、独立させる予定。
で、先んじてウチのドメインから子ドメインの情報を削除しようと思ったらうまくいかない。子ドメインだけ削除したいだけなのでdcpromoは使えない(よね?)。代わりに
- ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
- ドメインコントローラがクラッシュした時のアクティブディレクトリ削除方法 - Windows関連 - 自宅サーバーでやってみよう!!
あたりを参考に、ntdsutilで削除しようとしたけど、この方法って削除対象のドメインコントローラがネットワーク上に存在していることが前提っぽいのよね。ウチの場合子ドメインサーバが物理的に遠くにあるので「対象サーバが見つからねぇよボケ」と返される。
select operation target: select domain 1
現在のサイトがありません
ドメイン - DC=sub,DC=domain,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
うーむ、どうすりゃいいのだ。
kirara(397)の日記: [admin] L3スイッチ(L2+)の試用品を返した【5台目】 2
日記 by
kirara(397)
kirara(397)の日記: [Security]○ymantecで検出されないウィルスを発見、対処 2
日記 by
kirara(397)
数日前、社内のあるPCが変な通信を外部に発しようとしているのが検知された。変なモン食ったかと思ってアンチウィルスソフトを開こうとしたが、立ち上がらない。ヒヤリとしたが、セーフモードで起動したら立ち上がったので、フルスキャンをかました。
結果は「Downloader」および「Trojan Horse」の検出。サクッと対処して完了した。
しかし変な通信が止まない。その頃子会社から「○ymantecで検出されないウイルスが発見され、対処した」との情報が入った。他社のオンラインスキャンで発見したらしい。もしやと思って入手した情報を頼りに問題のPCを調べると…いた。
問題のファイル名は「SCtri.exe」。Windowsシステムフォルダの system32\drivers に隠しシステムファイルとして存在する。しかしこいつは「Service controler Installer」というサービス名で稼動している。そのままでは停止できないので、セーフモードで再起動。サービスが止まっているのを確認してSCTri.exeを削除する。さらにレジストリエディタで "SCtri" を検索し、片っ端から削除。続いて "Service controler Installer" も検索して削除(いくつか削除できないのがあったが…)して完了。イヤな汗をかいた。
追加情報を入手した。ソフォスがこのウィルスを「W32/Autorun-WR (Viruses and Spyware)」と認定。
Protection available since 5 February 2009 01:24:29 (GMT)
という最新型だ。こんなの初めてだ。
SCtri.exeに関してはPrevx(初めて知った)の方が詳しい情報がある。これによればかなり色々やらかしてくれるようだが、特に
Creates c:\z8g5q3d3n2s9.exe
というのが厄介。こいつはまた別種のウイルス (Malicious Software) らしい。まだソフォスにも情報がない。こいつもそこそこやんちゃしてくれるらしい。幸いこちらはまだ生成されていなかったようだ。
久々に凶暴なウィルスに出会った。強敵と書いて「とも」と…読みたくない。これからS○mantecに検体を送ろうと思う。
kirara(397)の日記: 棚卸し2009年1月
日記 by
kirara(397)
2009年1月現在の技術的ステータス。
- [XHTML+CSS]
- 錆び付いてる。磨き直す。
- [PHP]
- 放置中。
- [Active Directory]
- 不本意ながら社内のエキスパート。
- [Redmine]
- Tracに代わり活用中。年末に0.8.0が出たので試してみる。
- [FileMaker]
- 引き続きCRMツールとして活用中。しかし先は長くないかも...
2009年1月現在の常用ツール。
- はてなブックマーク
- 昨年末のバージョンアップ以来不安定。...乗り換えるかも?
- Googleリーダー
- iGoogle+はてなRSSでフィードを消化してきたが、取りこぼしが多いので乗り換え。まぁまぁ。
- check*pad
- 使いやすいけど機能不足。
- Remember The Milk
- 使いにくいけど機能豊富。
2009年1月現在の個人プロジェクト。
- [個人サイト構築]
- 拠点を自鯖からレン鯖へ変更。ベースをNucleusからMTOSへ変更。まだ先は長い。
- [自宅サーバ構築]
- Mac miniベース。私用Webサービス向け。
- [VPSサーバ構築]
- 勢いで借りてしまった。なにか実験したい。
- [フレッシュリーダー構築]
- 自宅サーバ上で構築したい。Googleリーダーと比較。
- [Redmine構築]
- 自宅サーバ上で構築したい。個人タスク統合管理用。
- [NVDA日本語化プロジェクト]
- 年末から関わり始めました。
とりあえずこんな感じ。
kirara(397)の日記: [admin] L3スイッチ(L2+)の試用品を返した【4台目】 1
日記 by
kirara(397)
FreeRADIUSどころか、IASでの動作検証もままならないまま時間切れ。そもそもMAC認証VLANの設定自体分からずじまいだった。だめじゃん。
残りは某社のアレだけだ。電話しようっと。
kirara(397)の日記: [タレコミ] SSH通信において(低確率ながら)一部データが漏えいする可能性 23
日記 by
kirara(397)
JVNの記事によれば、暗号通信プロトコル「SSH」で使用される通信方式の一部に対する攻撃方法が報告されたらしい。低確率ながら、この攻撃が成立した場合、ひとつの暗号化ブロックから 32ビットの平文を取り出すことが可能とのこと。
対策として、CBC(Cipher Block Chaining)モードではなく CTR(CounTR)モードを使用することが挙げられている。
また、セキュリティホール memoの記事によれば、
- 少なくとも OpenSSH 4.7p1 に欠陥
- 2-18 という極めて低い確率ではあるが、任意の暗号化ブロックから 32bit の平文を取り出すことができる
- この手法の変形版を使用すると、2-14 の確率で 14bit の平文を取り出すことができる
- 他の SSH 実装での状況は不明 (だが同様か?!)
- OpenSSH の場合、OpenSSH 3.7 以降で CTR モード (aes128-ctr, aes192-ctr, aes256-ctr) を利用できる
- OpenSSL 0.9.8e と共に使用すると不具合が発生するため、OpenSSH 4.6p1 以降 + OpenSSL 0.9.8e の場合には aes256-ctr および aes192-ctr は利用できない
- PuTTY の場合はデフォルトで CTR モードが優先されるようだ
といった情報が掲載されている。
比較的信頼性の高いと思われていたSSHでこのような報告が上がるとドキッとしてしまう。皆様の環境においては影響あるだろうか?
kirara(397)の日記: [admin]RADIUS調査中 (2)
日記 by
kirara(397)
超勘違いしてた。
Windows Server 2003 Std. のRADIUS(IAS)は意外としょぼくなかった。
- Standard Editionでは、RADIUS クライアントの最大数は 50
- MACアドレス認証はできない
良かったあぁぁ。これならOKだ。しかし某2社の営業に相談した時にどっちも突っ込んでくれなかったのは何故なんだぜ?
と思ったら、大きな罠が!
はじめての802.1x認証: (クイズ)MAC認証で、意外に忘れがちなことって何?(解答編)
Windowsドメインにおいて、
MACアドレスを使ったMAC認証を
導入することは、
MACアドレスユーザーアカウントを
作らねばならない
ということです。
これは、例のクライアントライセンスが
関係してきます。
CALのことです。
つまり1つ作成するたびに
1クライアントライセンス必要
と、いうことです。
それは辛い…やはりLinuxでRADIUSサーバやるしかないのか…。