2016年12月15日木曜日

社内の複数拠点からMicrosoft AzureにVPN接続する

Microsoft Azureで「社内の複数の拠点からVPNを張ってAzureのリソースを使いたい」と言われることがあります。

image

従来は、簡単な作業でなかったのですが、リソースマネージャーモデルであれば、以下のようにGUIだけで構成できます。リソースマネージャーでもVPNゲートウェイは1台しか作れませんが、複数の接続を簡単に追加できるからです。

まず拠点単位でローカルネットワークゲートウェイを構成します。ローカルネットワークゲートウェイは、オンプレミスのVPNルーターの情報を保存したものです。

次に、ローカルネットワークゲートウェイを使って、接続を追加します。

image

ここまでで、Azureと拠点A、Aureと拠点Bの接続が完了します。

マイクロソフトが提供するオンプレミス側VPNゲートウェイの構成スクリプトは、Azureの仮想ネットワークとローカルネットワークの範囲しかルーティングしないため、拠点Aと拠点Bの接続は構成されません。

これは、既存のルーティング情報に影響を与えないためです。そのため、Azureとの接続前から拠点Aと拠点Bが接続できている場合はそのまま使い続けることが可能です。

ただし、AzureのVPNゲートウェイ自体はローカルネットワークゲートウェイの情報を使ったルーティングが可能なので、オンプレミス側VPNゲートウェイで必要なルーティング情報を与えてやれば、拠点Aと拠点Bの接続が可能です。

以上の内容を図にしました。

image

同様に、ローカルネットワークゲートウェイのネットワーク範囲を追加すれば、オンプレミス側のネットワークも拡張できます。

なお、インターネット回線を通るため、拠点Aと拠点Bの通信にはそこそこ大きな遅延が発生します。

実際に、東京のトレーニングセンター内で仮想的に2つの拠点を作り、東日本のデータセンターにVPNゲートウェイを作って、拠点Aから拠点Bにpingを飛ばしたところ、10ミリ秒から25ミリ秒の遅延が発生しました(オンプレミスのルーターはWindows Server 2012 R2仮想マシン)。

連続して通信を行っても、遅延にはかなりばらつきがありました。決して品質が高いとはいえないのですが、インターネットにさえつながればどこからでも接続できるので、便利な状況もあるでしょう。

image

2016年12月13日火曜日

MCP資格と技術者バッジ

cclaimという会社がマイクロソフト認定技術者試験の認定結果を表示するサービスをはじめています。

スクリプトを利用して、改ざん防止をしているようです。

試しに付けてみました。見えるでしょうか。

2016年11月3日木曜日

BitLockerドライブ暗号化の修復

Windowsにはドライブ全体を暗号化する「BitLockerドライブ暗号化(BDE)」機能が備わっています。

TPMのない状態でBitLockerを有効にする

このBitLocker、現在はPCのハードウェアとしてTPM(Trusted Platform Module)が必要です。TPMが存在しない、あるいは無効になっている場合はBitLockerは使えません。それどころか、管理ツールすら表示されません。

TPMは、ハードウェア的なセキュリティ機能を持っており、安全な暗号化キー管理には必須の機能です。しかし、TPMがない場合でも、(セキュリティレベルの低下は承知で)パスワードなどを使った暗号化をしたい場合があります。

グループポリシーを有効にすることで、ソフトウェアベースの暗号化が可能になります。

BitLockerの制御は、以下のグループポリシーにまとめられています。

[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]

OSのドライブ(通常はCドライブ)およびデータ用ドライブに対して、ソフトウェアベースの暗号化(TPMを使わない暗号化)を有効にするのは、それぞれ以下の項目を[有効]に設定し、[ハードウェアの暗号化を使用できない場合はBitLockerのソフトウェアベースの暗号化を使用する]を許可します。

  • [オペレーティングシステムのドライブ]
    -[オペレーティングシステムドライブに対するハードウェアベースの暗号化の使用を構成する]
  • [オペレーティングシステムのドライブ]
    -[スタートアップ時に追加の認証を要求する]
  • [固定データドライブ]
    -[固定データドライブに対するハードウェアベースの暗号化の使用を構成する]

GP-SYSTEM

設定を有効にするには再起動が必要でした。

以上の操作をすることで、BitLockerの管理ツールが有効になります(Windows Serverの場合はBitLockerの機能を追加する必要があります)。

仮想マシンにはTPMが存在しませんので、BitLockerを使うには、この操作を行う必要があります。ただし、Windows Server 2016およびWindows 10 EnterpriseのHyper-Vでは第2世代の仮想マシンで「仮想TPM」が利用できます。

 

暗号化キーが失われた場合の回復

BitLockerでは、以下の方法で暗号化キーを保存します。通常はTPMが必須、その他の方法はオプションです。

  • TPM
  • 起動時パスワード
  • USBメモリ(起動時に読み取り)

TPMはマザーボードに実装されているため、ディスク装置を別のサーバーに移動した場合は暗号化データを読むことができません。そこで、緊急用に、あらかじめ「回復キー」を保存しておきます。

回復キーは、BitLocker構成時に保存するように促されます。

  1. 1. [コントロールパネル]-[システムとセキュリティ]からBitLockerの管理ツールを起動
    BDE-START-0
  2. 暗号化したいドライブで[BitLockerを有効にする]をクリック
    (ここではデータドライブを選択します)
    BDE-START-1
  3. 通常の復号(暗号化データ読み取り)方法を選択
    (「自動的に解除する」がTMPを使う方法です)
    BDE-START-2
  4. 緊急時の回復方法を選択(キーの内容はどれも同じです)
    BDE-START-3
  5. このあと、確認を行って完了
  6. 暗号化したあとでも[回復キーをバックアップ]で、回復キーを取得可能BDE-START-4

回復キーはドライブごとに生成されるため、システムドライブとデータドライブでは別々に設定されます。必ず両方保存してください。

データディスクの回復手順

システムディスクに損傷があった場合、OSが起動できなくなります。この場合は、以下の手順で回復します。

  • データディスクを別のサーバーに接続
  • そのサーバーにBitLocker機能を追加
  • データディスクにアクセスし、回復キーを指定
    unlock-2

 

【参考】回復キーのバックアップで生成されるファイルは以下の通りです。

BitLocker ドライブ暗号化の回復キー

これが適切な回復キーであることを確認するには、次の ID の先頭と、PC に表示されている ID 値とを比較してください。

ID:

    5519409C-7AA4-435E-B336-F96BF5B4585C

上記の ID が PC に表示されている ID と一致する場合は、次のキーを使用してドライブのロックを解除します。

回復キー:

    627583-570284-183139-308693-097614-128656-683397-249128

上記の ID が PC に表示されている ID と一致しない場合、ドライブのロックを解除するための適切なキーではありません。
別の回復キーを試してみるか、http://go.microsoft.com/fwlink/?LinkID=260589 で詳細を確認してください。

2016年10月24日月曜日

Hyper-V仮想マシンからAzureへのフェールオーバーとフェールバック

Microsoft Azureは、オンプレミスのサーバーをAzureに複製(レプリケーション)し、必要に応じてフェールオーバー(障害時の切り替え)ができます。ただしHyper-VホストはWindows Server 2012 R2が必要です。

Windows Server 2012 R2のHyper-Vホストは以下の仮想マシンをサポートします。

  • 第1世代(BIOS)および第2世代(UEFI)の仮想マシン
  • VHD形式およびVHDX形式の仮想ディスク

一方、Microsoft Azureがサポートする仮想マシンは以下の通りです。

  • 第1世代(BIOS)
  • VHD形式の仮想ディスク

そのため、Hyper-Vの第2世代は第1世代に変換され、VHDX形式はVHD形式に変換されます。この処理は自動的に行われるため、特に作業は必要ありません。

一方、フェールバック(Azureで起動した仮想マシンをオンプレミスに戻す)時は注意が必要です。

大規模災害などで、データセンタが破損したあと、システムが復旧したとします。この場合、Azureから「フェールバック」を行うことで、元のシステムを復元できます(操作メニューは「フェールオーバー」を使います)。

オンプレミスの仮想マシン存在しなくても「オンプレミスにVMを作成する」オプションを指定すれば、自動的に復元します。

計画フェールオーバー2

この時、Azureから戻ってきた仮想ディスクはVHD形式に変換されたままですが、容量可変ディスクに戻ります。以前の状態を覚えているのでしょうね。

ただし、フェールバック(Azureから戻す)で、Azureの(変換された)第1世代PCを(元の)第2世代に戻すことはできません。しかし、どうもAzureは第2世代に戻そうとするようです。こちらも以前の状態を覚えているようですね。

もちろんこの作業は失敗するため、第2世代の仮想マシンを戻す(フェールバックする)ことはできません)。図のエラーはそれを示しています。

本記事の内容は「Microsoft Azureによる災害復旧手法 ~Azure バックアップとAzure Site Recoveryでの仮想マシン保護~」で扱っています。

2016年8月23日火曜日

NFC0202G

特徴的なクラウド事例やインタビュー記事を集めてきました。

【クラウドの基礎】

 

【クラウド利用事例】その1

 

【クラウド利用事例】その2

 

【クラウド利用事例】その他

  その他にもこんなものがあります。

 

【開発と運用のアーキテクチャ】

DevOpsなど、開発と運用についてのインタビュー記事です。

【その他資料】

Amazon Web Services編

 

Microsoft Azure編

2016年8月16日火曜日

Microsoft Azureの演習中に起きたトラブル

最後の演習中、Microsoft Azureの管理ポータル(クラシックポータル)が不具合を起こしました。終了時刻が近付いていたので不本意ながら中断して、口頭での解説だけを行いました。

あとで見たら、エラー報告が上がってました。

最後の、一番大事な演習だったので残念でした。受講者の皆様には、サポートサービス「グローバルスクエア」の質問回数制限を緩和させていただきます。

ご迷惑をおかけしました。

通知ログ

2016年6月5日日曜日

Azure仮想マシンのMACアドレス

先の記事「Azure仮想マシンの一時ディスク: サイトリカバリの場合」もあわせてお読みください。

Microsoft Azureの仮想マシンは、必ずDHCPクライアントとして構成します。ただし、IPアドレスが変化するのは何かと不便なので、多くの場合は静的なIPアドレスを割り当てます。

これは、DHCPの「予約」に近いもので、PowerShellまたは新管理ポータルを操作することで構成できます。

DHCPクライアントとして構成するのは、物理マシンを移動するとき、仮想マシンが再作成され、NICが新規に割り当てられるためとされています。

そうすると、当然MACアドレスも変化することになりますね。

マイクロソフトのドキュメント「Virtual Network FAQ」にも、はっきりと書かれています(2016年3月15日付)。

  • VMに静的なMACアドレスを構成できますか。
  • いいえ。MACアドレスを静的に構成することはできません。

ただし、以下の記述もありました。

  • MACアドレスは、一度作成されると、VMで同じものとして残りますか。
  • いいえ、ただし変化するのは停止済み(割り当て解除済み)状態になった場合だけです。ユーザーがVMのサイズを変更したり再起動した場合、またはサービス復旧やホスト サーバーの計画的なメンテナンスの場合は、MACアドレスは維持されます。

すみません。ホストの計画的なメンテナンスでも変化するものだと思っていましたが、これは変わらないそうです。

Hyper-Vの仮想マシン構成ファイルにはMACアドレスを記述できるので、それを使っているのでしょうか。

なお、静的なMACアドレスを使う計画はあるようです。Azureの要望リストに「Static MAC address」というのがあり、こんな回答が出ていました(2016年5月3日付)。

The deployment of static MAC address has been started. You will see that MAC addresses for VMs will be static through resize and maintenance operations currently. The work to maintain a static MAC address through a stop (deallocated) and restart operation is rolling out currently.

静的MACアドレスの展開のサポートをはじめます。現在でも、仮想マシンのMACアドレスはサイズ変更やメンテナンスがあっても変更されません。しかし、仮想マシンを「停止(割り当て解除)」してから再起動すると変化します。

DSC00409S
写真は本文とは関係ありません

2016年6月4日土曜日

Azure仮想マシンの一時ディスク: サイトリカバリの場合

Microsoft Azureには「Site Recovery」という機能があり、オンプレミスの仮想マシンまたは物理マシンをAzure上に複製できます。もちろん、システムディスクだけではなく、データディスクも複製できます。

ただし、Azureの仮想マシンにはいくつかの制約があり、完全に同じ構成にはなりません。Azure上の仮想マシンはMicrosoft Azureの制約を受けるためです。

まず、サイズはAzureで決められたものになります。既定では、オリジナルの仮想マシンに最も近いものが選ばれるようですが、選択できる範囲で変更もできます。なお、接続可能なデータディスクの台数はサイズに依存するので注意してください。

次に、Azureの仮想マシンには揮発性の一時ディスクが追加されます。Azureの仮想ディスクが配置されるBLOBはあまり高速ではないため、ページファイルを高速な一時ディスクに配置することで全体の速度を稼ぎます。

一時ディスクは、仮想マシンを配置した物理マシンに接続されており、仮想マシンが別の物理マシンに配置された場合は新しく作り直されてしまいます(図)。

この時、ネットワークカードも新たに作成されます。Azureの仮想マシンがDHCPクライアントなのはこれが理由です。

Azure-4
図「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築」より

通常、一時ディスクはDドライブが割り当てられますが、「利用可能なディスクの内、最後のドライブ文字」を使うのが基本です。ドライブ文字の変更は、Azureチームのブログ記事「Windows 仮想マシンのデータ ドライブとしての D ドライブの使用」等を参照してください。

Site Recoveryを使う場合で、オリジナルの仮想マシンに複数のドライブが接続されている場合は、以下のようになります。

  • システムディスクを管理者が指定
  • 一時ディスクは最後のドライブ文字を使って追加

Site Recoveryをを構成すると、管理ポータルでは「どのVHDファイルがシステムディスクを指定しろ」と言ってきました。表示されるのはVHDのファイル名です(システムパーティションとブートパーティションが異なるドライブだった場合、どちらを指定するででしょうね? システムパーティションでしょうか)。

Azure上の仮想マシンにある一時ディスクは、データディスクの次のドライブ文字を使っていました。たとえばCがシステムディスク、Dがデータディスクの場合、Eが一時ディスクになります。

さて、この一時ディスク「ページファイル以外の使い途がありますか?」とよく聞かれます。さあ、なんでしょうね。

主記憶が小さく、仮想記憶もなかった時代は、ファイルの中身をソートするために一時ファイルを作ることがありました。また、MS-DOSのパイプは、コマンドの実行結果を環境変数TEMPの示すフォルダーにいったん保存していました。たとえば、以下のコマンド

DIR |  SORT /+30

DIR > %TEMP%\1234567.tmp

SORT /+30 < %TEMP%\1234567.tmp

と同じ意味でした。

一時ディスクは、このような計算の途中結果を保存するのに適していますが、今はあまり使うことはないと思います。

2016年4月8日金曜日

Microsoft MVP受賞しました(Enterprise Mobility)

おかげさまで、今年もMicrosoft MVPを受賞しました。Enterprise Mobilityという分野です。Enterprise Mobilityには以下の分野が含まれます。

  • System Center Configuration Manager & Microsoft InTune
  • Identity and Access
  • Information Protection
  • Remote Desktop Services & Azure RemoteApp

私は2012年のみVirtual Machines(要するにHyper-V)で、他はDirectory Services(要するにActive Directory)だったんですが、昨年からいくつかの分野が統合・整理されています。

もともとMicrosoft MVPは、米国CompuServe(パソコン通信)のフォーラムで、マイクロソフトの技術情報を積極的に提供している人に対して感謝の意を表明したいというところからスタートしたそうです。

ちなみに私は、日本のパソコン通信Nifty Serveのマイクロソフト系フォーラムで積極的に書いていたところ、フォーラム管理者から連絡があり、アクセス料金が免除されていました。通称「フリーフラグ」というやつです。

日本のMVPは、パソコン通信ではなく、コミュニティ活動の評価からスタートしたため、初期メンバーはユーザー会の幹事が多かったようです。この時にMVPになっていれば、ビル・ゲイツを交えた少人数のミーティングにも参加できたのに残念です。

Microsoft MVPの選出基準は、専門分野ごとに多少の違いがあります。Microsoft MVPは個人に与えられるアワードなので「仕事として行っている場合は評価対象としない」という話も聞きました。でも、開発ツールならともかく、ディレクトリサービスやCRMを個人で使う人なんて、まずいません。不特定多数を対象にしている場合は評価対象になるのではないかと思います。

共通の評価基準は「どれだけ多くの人に情報を届けたか」です。明確な基準はありませんが、公募型のトレーニングを担当している場合は評価項目に含めることができるようです。

Microsoft MVPを取得すると、盾と賞状、それにピンバッジとネームカードがもらえます。盾は毎年新調されていたんですが「邪魔になる」という声があったのか、経費削減の姓なのか数年前から切り欠きの入ったリングを重ねていく形になっています。

このリングの加工精度が悪く、積み上げてもがたがたです。もうちょっと何とかならないものでしょうか。

さて、今回「Enterprise Mobility」ということで、Active Directory回りが評価されたようです。実はAzure ADなど、最新情報にはあまり詳しくありませんが、「この機会に勉強しない際」ということだと思うので、これから勉強して、みなさまに分かりやすい情報をお届けしたいと思います。

2016年3月11日金曜日

Microsoft Azureの仮想マシンへの接続遅延

Microsoft Azureの研修を実施中、仮想マシンへの接続遅延について質問されました。

パブリッククラウドの場合、接続遅延はインターネットサービス(ISP)の影響が大きいため、一般的な値を示すことはできません。

とは言え、実際に使っての値を知りたい気持ちは分かります。そこで、実測してみました。

接続環境は、教育コース「Microsoft Azureによるサイト間ネットワークの構築」をそのまま使いました。これは、Hyper-V上のWindows Server 2012 R2仮想マシンのRRAS(Routing and Remote Access)を使ってVPNサーバーを構成したものです。

接続先は西日本のデータセンターで、接続元はグローバルナレッジの東京教育センターです。

ping

確か、以前試したときは30ミリ秒くらいあったように思うのですが、ご覧の通り13ミリ秒程度です。

ところが、東日本のデータセンターと比較するの忘れてしまったので、もう一度仮想マシンを作りました。

残念ながら、ネットワーク設定もすべて削除したあとだったので、VPN接続も消えています。改めて作るのも面倒なので別の方法を使うことにします。

仮想マシンの構築は簡単にできます(クラウドのいいところです)。しかし、pingで使っているICMPを通すのは結構面倒です。そこで、SysInternalsのツール「PsPing」を使いました。これは任意のTCPまたはUDPポート番号を指定して接続テストを行うツールです。

結果

▼西日本
ping-osaka
VPNサーバーを経由していないせいでしょうか10ミリ秒程度になりました。3ミリ秒ほど高速になっています。

▼東日本
ping-tokyo
なんと3ミリ秒程度です。

こんなに早いとは思いませんでした。また、西日本とこれほど差があるとも思いませんでした。

「西日本と東日本は、そんなに差がないし、仮想マシンが少し安い西日本がいいですよ」と聞いていたんですが、これだけ遅延が小さいと考えますね。

ついでに、あまり迷惑にならない範囲でめぼしいサーバーにアクセスして見たところ、軒並み高速になっており、見たことのない小さな数字が並びました。

どうも、会社で契約しているインターネット接続回線の品質が上がっていたようです。インターネット接続回線の速度測定は、本当に当てになりません。

 

【追記】自宅から試しました

自宅から試したら、以下のような結果になりました。

  • 西日本…16ミリ秒程度(ただしパケットサイズが小さいときは一時的に25ミリ秒ほどになりました)
  • 東日本…8ミリ秒程度

ブロードバンドルーターのオーバヘッドが5ミリ秒くらいあるのでしょうか。

2016年1月26日火曜日

スーツとシャツとネクタイ

ブログ移行時に掲載し損ねた記事で、かなり昔に書いたものに若干の加筆をしたものです。


同僚で先輩の田中淳子さんが、服装と言えばという記事を書いているのを見て思い出しました。

昔、といっても10年ほど前、真面目に聞かれたことがあります。その時の会話。

「ビジネススーツに白いソックスって駄目なんですか」
「駄目です」
「それって、マナーブックの類に書いてありますか」
「書いてあります」

私は流行に疎いので分かりませんが、少し前に、スーツに白い綿ソックスが一部で流行したようです。

今なら、お客様先に出ないのならいいのかも知れません。
(お客様先に行くのは避けた方が無難です)

そういえば、シャツの裾をズボンに入れる「シャツイン」もすっかり市民権を得ました。
以前読んだ「オタクのためのおしゃれガイド」みたいな本には「最初にすべきことはシャツの裾を出す」と書いてあったくらいです。

ただし、ビジネススーツでは絶対出しては駄目です。
大事なことなので繰り返します。ビジネススーツでは絶対シャツはズボンの中に入れます。
去年の春、スーツなのにシャツを出している新入社員風の男性を会社の近くで見かけたので注意しようかと思ったくらいです。

ところで、私はスーツでなくてもシャツは必ずズボンの中です。
同年代でもシャツを出している人はいるので、年齢のせいではないようです。
ピンクのジャケットなんかも来ますので、服装に対してそれほど保守的でもないと思うのですが、シャツを出すのには抵抗があります。
伊勢丹のカリスマバイヤーと呼ばれた藤巻幸夫さんもシャツはズボンの中だそうです。

それからもうひとつ。ビジネスに欠かせないのがネクタイ。

かつての同僚は、一見水玉、近くで見るとウルトラマンという素晴らしいネクタイをして教育コースを実施していました。
そして、クラスには同じネクタイをしたお客様もいらっしゃったそうです。
ほんとにびっくりします。

私は、(受けるかなと思って)マイクロソフトにペンギン柄のネクタイをしていったこともありますが、誰にも気付かれませんでした。
そんな細かいことなど注意していないようです。

ちなみに、マイクロソフトのCEO(当時)、スティーブ・バルマー氏はいつも赤いネクタイです。同じネクタイしか持っていないのかと思うくらい。

ブッシュ前米大統領も、クリントン元米大統領も赤でした。

何でも真っ赤なネクタイは「パワータイ」と呼ばれ、勝負ネクタイの定番なんだそうです。

ただし、肌の色の問題か、オバマ大統領は紺が圧倒的に多く見られます。
就任したあとの一般教書演説は赤いネクタイだったようですが。

現在のマイクロソフトCEOのサティア・ナデラさんはどうかなと思って調べたらネクタイの写真が見つかりませんでした。ネクタイはしないようです。

一度注意して見てみてください。

2016年1月22日金曜日

Windows Server「RemoteApp」のインストール先は統一してください

マイクロソフトデスクトップ仮想化ソリューション(リモートデスクトップとVDI)」では、リモートデスクトップサービス(ターミナルサービス)とVDIについて扱っています。

このコース、セキュリティ強化の流れを受け、最近人気が上がってきています。

特に、アプリケーションウィンドウだけを表示する「RemoteApp」に興味を持つ方が多いようです。インターネット接続を行うアプリケーションを隔離することでセキュリティレベルを上げ、アプリケーションウィンドウだけを表示することで操作性を損なわない環境を実現できます。

負荷分散と高可用性を実現するため、RemoteAppを提供するアプリケーションサーバーは複数台設定できます。どのサーバーが選択されるかは、リモートデスクトップ接続ブローカーが決定するため、厳密な予測はできません。そのため、選択される可能性のあるすべてのサーバー(同一コレクション内のサーバーすべて)にアプリケーションをインストールしておく必要があります。

RemoteAppを設定する場合は、以下の手順で構成します。仮にSH1、SH2、SH3の3台で構成するとします。

  1. 準備: 同一コレクション内のすべてのサーバー(SH1、SH2、SH3)にアプリケーションをインストール
    この時、インストール先は完全に同じパスにしてください
  2. RemoteAppの構成: コレクションに最初に追加されたサーバー(ここではSH1とする)からアプリケーションリストを入手
    SH1が停止している場合は、一覧表が作れないためエラーが表示されます。
  3. RemoteAppの利用: リモートデスクトップWebアクセスからRemoteAppにアクセス
    適当なサーバーが選択され、アプリケーションが起動します。この時、アプリケーション登録時のパス(ここではSH1のパス)が利用されます。

もし、アプリケーションのインストール先がSH3だけ違う場合は、以下のようになります。

  1. SH1に接続された場合→正常
  2. SH2に接続された場合→正常
  3. SH3に接続された場合→アプリケーション起動エラー

パスの情報が保存されているようですね。

KONICA MINOLTA DIGITAL CAMERA
▲動物の写真はページビューが上がるそうなので入れてみました。
ちなみに、外出先から電話して妹に操作してもらうことを「いもーとデスクトップ」と言うそうです。