作成者別アーカイブ: hijikata

HYPER-Vのレプリケーション設定について

タグ: , , | 投稿日: 投稿者:

前回HYPER-Vのレプリケーション設定を行うにあたって下準備を下記URLに記載しました。

http://dev.blog.fairway.ne.jp/hyper-v%e3%81%ae%e3%83%ac%e3%83%97%e3%83%aa%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3%e8%a8%ad%e5%ae%9a%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%ef%bc%88%e4%b8%8b%e6%ba%96%e5%82%99%ef%bc%89/

 

今回はレプリケーション設定を行います。

1.HYPER-Vマネージャーを開きます。

2.対象仮想サーバを右クリックします。

3.レプリケーションを有効にするをクリックします。

4.レプリカサーバのホスト名を要求されましたらセカンダリサーバのホスト名を入力します。

5.※IPアドレスでは出来ないため、hostsファイルにセカンダリサーバのホスト名とIPアドレスを記入してください。

6.証明書の選択をクリックし、前回作成した証明書を選択します。

7.証明書ベース認証を使用するを選択します。

8.そのまま次へをクリックし続けます。

9.完了をクリックします。

完了をクリックしましたら以下設定でセカンダリサーバとレプリケーションが行われます。

 ・すぐにレプリケーションを開始

 ・レプリケーション同期間隔:5分

 ・ネットワーク経由でセカンダリサーバにコピー

  ※上記パラメータの調整については8の部分で行います。

これでセカンダリサーバに仮想サーバがコピーされます。

使用している回線、マシンの性能、仮想サーバが既に使用している容量次第でコピー時間は変わっていきます。

以上です。

下準備が本当に苦労しました。

 


HYPER-Vのレプリケーション設定について(下準備)

タグ: , , | 投稿日: 投稿者:

今回は証明書(自己証明書)でレプリケーションを行います。

※使用するサーバはプライマリ、セカンダリ共にWindowsServer2012R2です。

□自己証明書の作成

プライマリサーバでの作業内容

1.makecertを入手します。

※入手方法につきましてはmakecertで検索すれば出てきます。

2.コマンドプロンプトを起動します。

3.makecertが配置されているディレクトリに移動します。

例:cd C:\Users\tanaka\Desktop

4.makecert.exe -pe -n "CN=ルート証明書名" -ss root -sr LocalMachine -sky signature -r "ファイル名.cer"と入力します。

例:makecert.exe -pe -n "CN=test1" -ss root -sr LocalMachine -sky signature -r "hyper-vtest1.cer"

5.makecert.exe -pe -n "CN=FQDN(コンピュータ名)" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "上記で設定したルート証明書名" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "[ファイル名.cer]"と入力します。

例:makecert.exe -pe -n "CN=TESTPC1" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "test1" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "hyper-vtest2.cer"

これでプライマリサーバのmakecert.exeが保存されているディレクトリにルート証明書(hyper-vtest1.cer)とクライアント証明書(hyper-vtest2.cer)が作成されました。

 

セカンダリサーバでの作業内容

1.makecertを入手します。

※入手方法につきましてはmakecertで検索すれば出てきます。

2.コマンドプロンプトを起動します。

3.makecertが配置されているディレクトリに移動します。

例:cd C:\Users\tanaka\Desktop

4.makecert.exe -pe -n "CN=ルート証明書名" -ss root -sr LocalMachine -sky signature -r "ファイル名.cer"と入力します。

例:makecert.exe -pe -n "CN=test10" -ss root -sr LocalMachine -sky signature -r "hyper-vtest10.cer"

5.makecert.exe -pe -n "CN=FQDN(コンピュータ名)" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "上記で設定したルート証明書名" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "[ファイル名.cer]"と入力します。

例:makecert.exe -pe -n "CN=TESTPC10" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "TEST10" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "hyper-vtest20.cer"

※プライマリ4、5で作成したファイル名とも別々にしてください

※CN=ルート証明書名についてはプライマリ、セカンダリそれぞれ違う名前にしてください。

これでセカンダリサーバのmakecert.exeが保存されているディレクトリにルート証明書(hyper-vtest10.cer)とクライアント証明書(hyper-vtest20.cer)が作成されました。

 

 

□作成した自己証明書のインポート

1.対向サーバのルート証明書、クライアント証明書をコピーし入手します。

2.プログラムとファイルの検索でmmcと検索します。

3.ファイル→スナップインの追加と削除の順に選択します。

4.証明書を選択し追加します。

5.コンピュータアカウント、ローカルコンピュータを選択し追加します。

6.信頼されたルート証明機関→証明書の順に選択します。

7.操作→すべてのタスク→インポートの順に選択します。

8.プライマリ、セカンダリそれぞれのルート、クライアント証明書をインポートします。

9.コマンドプロンプトを開き以下を入力します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

※HYPER-Vでレプリケーション設定する際注意されるので注意されないようにする設定です。  

1~9の作業をプライマリ、セカンダリそれぞれ実施します。

 

□hostsファイルの編集

Hyper-Vのレプリケーション設定の際、対向サーバとの通信にIPアドレスではなくホスト名で要求されます。

そのためプライマリ、セカンダリそれぞれのhostsファイルに対向IPアドレス、ホスト名を入力し、ホスト名で通信できるようにします。

これでレプリケーション設定の下準備は終わりです。

Hyper-Vのレプリケーション設定は次回になります。

 

 


Hyper-Vネットワークドライバの再インストールについて

タグ: , , | 投稿日: 投稿者:

今回はHyper-VゲストOSのネットワークアダプタ(仮想スイッチ)を削除したはいいけれどその後の復旧に時間が掛かったため忘れないためにも書いていきます。

経緯

別の対応でネットワークアダプタをレガシーネットワークアダプタに変えてどうなるか様子見します。

そのため一旦ネットワークアダプタを削除します。

結果的に改善しなかったため、元に戻しましたがゲストOSのネットワークがダウンしておりネットワークアダプダのドライバが認識していない事が分かりました。

対応

1.統合サービスのアンインストール

検索したところ統合サービスをアンインストールして、再度インストールすればいいような記事がありました。しかし使用しているOSがWindows2012ServerR2では通用せずアンインストールが出来ませんでした。

2.ドライバの再インストール

デバイスマネージャーを確認すると不明なデバイスとして認識はしているもののドライバの更新を行うと必要なファイルが無いとエラーが表示されます。

同OSで別の仮想マシンからドライバをコピーします。

再度デバイスマネージャーからドライバの更新を行ったところ「サードパーティのINFにデジタル署名情報が含まれていません」とエラーが表示されます。

デジタル署名を無効にするため一旦再起動しF8キーを連打しセーフモード選択画面に移動しデジタル署名を無効にするを選択し起動します。

再度デバイスマネージャーからドライバの更新を行い成功しました。

※ドライバのコピーにはDoubleDriverというツールを使用しました。

解決するのに2.5時間程掛かりました。統合サービスのアンインストールばかりに気が向いてましたが同じようなマシンがある事に気づいてからは30分程で解決出来ました。

消して再度作成すれば自動でドライバ認識するだろうと思って実行しましたが読みが甘かったです。

 


FortiWifi ソフトウェアスイッチについて

タグ: , | 投稿日: 投稿者:

FortiWifiでWifiとLANを同じセグメントに設定するためにはソフトウェアスイッチで統合する必要があります。

というわけで統合しましたがしばらくしたある日、LAN間の通信がやけに重かったため、FortiWifiのCPU負荷を見てみたら50%、60%という状況でした。

色々試行錯誤した結果、LAN間の通信もソフトウェアスイッチを使用しており、ハードウェアで処理せず、ソフトウェアで処理しているため

CPUを使用し、高負荷になっているのかと疑問に思い、調査しました。

ソフトウェアスイッチの設定を行ったFortiWifi(A)と同じローカルセグメントのIPを持つNAS、パソコンをFortiWifi(A)に接続し、

パソコンからNASに対し、アップロード、ダウンロードを繰り返し行い負荷が上がるか確認したところFortiWifi(A)は高負荷になりました。

以下は図になります。

 

続けて、同様の設定を行ったFortiWifi(B)を新たに用意し、FortiWifi(A)FortiWifi(B)はお互いのWANインタフェースを利用し、ネットワーク接続します。

NASはFortiWifi(A)からFortiWifi(B)へ接続し、同様にパソコンからNASに対し、アップロード、ダウンロードを繰り返し行い負荷が上がるか確認したところ

FortiWifi(A)(B)は特に高負荷になることなくテストが終わりました。

以下は図になります。

LANからWANへ抜けハードウェアの処理になるため負荷が上がらず通信できたのかと思います。

もうあまり使いたくないので今後WifiとLANは別セグメントにして設定していこうと思います。

 

 

 

 


PowerConnect6224でのルーティング設定

タグ: , , | 投稿日: 投稿者:

こんにちは、hijikataです。

今回はPowerConnect6224でのルーティング設定について躓いたので忘れないよう書いていきます。

以下の図にてパソコンBはインターネットへ通信出来ればOKのように設定します。

<インターネット>⇔<ルータ>⇔<VLAN1>⇔<VLAN10>⇔<パソコンB>

※PowerConnect6224にVLAN1とVLAN10を設定します。

※パソコンBはVLAN10をデフォルトゲートウェイにします。

※なお、PowerConnectの設定についてはWEBブラウザ上で設定していきます。

まずはswitching→VLANmenbershipを開きVLAN10を作成します。

次にVLAN1は初期設定のままですとマネージメントVLANにされており

マネージメントVLANですとルーティングできないためマネージメントVLANを別のVLANに変更します。

system→IP addressing→management interface

適当なIPと適当なVLANに値を変更します。

次にデフォルトルートを指定します。

Routing→router→routing entry configuration

Addrouteをクリックした後、Route TypeをDefaultに指定しnext hop addressについてはルータのローカルIPアドレスを入力してください。

最後にrouting機能を有効にします。

Routing→IP→configuration

Routing ModeをEnableにすれば設定完了です。

マネージメントVLANに設定されているVLANはルーティング出来ないと気づくまでが長かったですね。

 


HYPER-Vの起動について

タグ: , | 投稿日: 投稿者:

こんにちは、hijikataです。

今回はWindowsで使用されている仮想化システムHYPER-Vの起動について書いていきます。

HYPER-Vを使えるようにするまでが一番躓き、逆にその後の仮想サーバ構築等はすぐに分かりましたので忘れないために書いていきます。

※今回使用する筐体はDELL PowerEdgeR410(OS:WindowsServer2012 R2)になります。

物理サーバにOSをインストールし、HYPER-Vをインストールし、仮想サーバを建てて、仮想サーバにOSインストール→エラーで起動できず…..

色々と調べた結果物理サーバのBIOS設定で解決できる事が分かりましたので設定していくことに

物理サーバ起動後F2キーを押してBIOSへ移動し以下の項目を変更します。

・Virtualization Technology→有効にします。

・Execute Disable→有効にします。

・I/OAT DMA Engine→無効にします。

・SR-IOV Global Enable→有効にします。

※影響あるか分かりませんが念のためBIOSをアップデートしました。

変更した後、物理サーバOSを起動し、HYPER-Vを起動し、仮想サーバにOSインストールを実行→仮想サーバのOSインストール画面が表示されました。

仮想サーバのOSインストール作業よりHYPER-Vで仮想サーバにOSインストール出来る状態にするまでの方が5倍ぐらい時間掛かりました……


FreeNASにてOPENVPNを同時起動

タグ: , | 投稿日: 投稿者:

こんにちは、hijikataです。

今回はFreeNASにてOPENVPNサーバを稼働した状態で別VPNのクライアントも稼働させる方法を書いていきます。

VPNサーバのみ稼働させるのはインターネットで検索すればすぐ見つかりましたがVPNサーバを稼働した状態で他のVPNサーバのクライアントとして接続させる方法はなかなか見つからなかったため(自分自身が忘れないためにも)そちらを書いていきます。

※前提としましては下記になります。

FreeNASのバージョンにつきましては8.3.1です。
VPNサーバとしての設定が終わっています。
VPNサーバの設定時、openvpnの設定ファイル等は下記ディレクトリに保存しています。 /conf/base/etc/local/openvpn

まずは/conf内に書きこめるようmount -uw /を実行します。
/conf/base/etc/local/openvpnに別VPNクライアント用の設定ファイル、中間証明書、証明書、鍵ファイルを配置します。

その後/conf/base/etc/rc.confにopenvpn_configfile="/conf/base/etc/local/openvpn/(読み込ませたい設定ファイル)を新たに追記しても起動時にOPENVPNインタフェースは1つしか立ち上がってこないためVPNサーバを稼働しつつ別VPNのクライアントとして接続できません。

そのため/conf/base/etc/rc.localに下記コマンドを記入していきます。

/usr/local/sbin/openvpn –script-security 2 –writepid /var/run/openvpn-server2.pid –config /usr/local/etc/openvpn/(読み込ませたい設定ファイル) 

これでFreeNAS起動時に上記コマンドが実行されVPNサーバを稼働させつつ別VPNのクライアントとしても接続できます。

rc.localに記載しないままFreeNASを起動した際、VPNサーバだけ稼働しますがrc.localに記載して反映するのに再起動する必要がございます。
再起動できない場合上記コマンドを実行すれば再起動せずに別VPNのクライアントも接続できます。

 


PowerConnect5548でのMACアドレス制御

こんにちは、hijikataです。

今回は最近行ったスイッチでのMACアドレス制御について書きます。

3ヶ月経過したら忘れそうなので書きます。

目的として特定のMACアドレスを持つ端末以外はインターネットに接続できないようスイッチに設定します。

図面としましてはこのような感じになります。

 今回ノードAはインターネット接続出来ないようにし、ノードBは接続できるようにします。

スイッチの初期設定が終わり、ローカルIPアドレスも設定し、ルータと結線します。

その後ノードA,ノードBをスイッチに結線します。

結線が終わりましたら、ノードA、BそれぞれのMACアドレスを調べます。

Windowsの場合ですとコマンドプロンプトを開いて、ipconfig /allを実行します。

使用しているNICの物理アドレスがMACアドレスです。

※画像に表示されている物理アドレスは修正しております。

このようにしてノードのMACアドレスが分かりましたらスイッチに設定を加えます。

設定方法についてはGUIから設定していきます。

WEBブラウザでスイッチのIPアドレスを入力後ID、パスワードを入力しスイッチにログインします。

ログインしましたらswitching→network security→MAC Based ACLの順番にクリックしていきます。

クリック後以下の画面が表示されAdd ACLをクリックします。

testというACLを追加しました。

次にMAC based ACE→Add ACEの順番にクリックしていきます。

クリック後以下の画面が表示されます。

先ほど作成しましたACLに対しどのようなルールを追加していくか設定していきます。

今回の目的ですと以下のようになります。

※MACアドレス84:84:84:84:84:84を持つノードは通信を許可します。

これで84:84:84:84:84:84の持つノードは通信を許可されますが、それ以外のノードは通信を拒否する設定になりました。

次にルールを適用します。

MAC Based ACEの近くにACL Bindingがありますのでクリックし、クリック後Editをクリックします。

クリック後下記画面が表示されます。先ほど作成したACL「test」をどのポートに適用するか指定できます。

※上記の画面ですとポート1にACLルール「test」を適用します。

※ルータと接続しているポートにこのルールを適用してしまうと許可したノードもインターネット接続出来なくなるため適用しないようにしましょう。

ルータと接続しているポート以外のポート全てに適用しましたら作業完了です。

これでスイッチ配下に接続されたノードは許可された端末以外通信が出来なくなるようになります。

組み合わせ次第では色々できそうで試してはないですがIPV4,IPV6でも同様な事が出来そうな感じですね。

※今回書いた事は他のPowerConnectスイッチで実現できるかは試しておりません。


openstackの勉強会に行ってきました

タグ: | 投稿日: 投稿者:

こんにちは。土方です。

学生時代はinteropぐらいでしか聞かなかったクラウドコンピューティングですが

最近ネット上でもいろいろと見かけるようになり、需要が日々増しているように感じられ

オープンソースで動くopenstackの勉強会に参加してきました。

※詳細についてはhttp://openstack.jp/news/20140120.htmlに記載されております。

(写真に写ってますけどもう少し前に座ればよかったなぁと改めて思います。。)

勉強会の概要に書いてあった通り、openstackで出来る事を紹介されましたが

openstackのGUI上で仮想ネットワーク、仮想ルータを設置し仮想サーバをインターネット接続できるようにするというのが一番分かりやすく、便利そうだなぁと思いました。

導入方法について一切触れられなかったので調べてみたら以下のURLでopenstack及び各コンポーネントのインストール手順が記載されているようです。

http://www.server-world.info/query?os=CentOS_6&p=openstack_havana&f=1

休日の空いた時間に自宅PCの中に仮想マシンを仕込んで用意し試してみようかなぁと思います。