Windows XPでVPNといえばPPTPがもっともメジャーな存在です。
安価なブロードバンドルーターにもPPTPサーバーの機能が備わっている製品もあるため、簡単、低コストでVPNが構築できます。
PPTPの弱点は認証をユーザーアカウントとパスワードのみに頼っているため、もしもアカウントとパスワードが漏れてしまえば、すぐにVPNに侵入されてしまうことです。
実体験から言えば退職者のアカウントが放置されて、退職後もひそかにLANに侵入することができます。
PPTP自体はきちんとした暗号化も備えているため、何もしらない第3者がLANに接続することはまれです。しかし、どのクライアントに接続設定がされているか確認するのは困難ですし、アカウントとパスワードさえ分かっていれば、WindowsXP端末なら簡単に接続を作成できるため、いつ、誰がアクセスしているかをコントロールできずに安全性がきわめて低くなることが予想されます。
PPTPに代わるソリューションで、まず考えられることはFortiGateやNetScreenなどのファイヤーウォール系のソリューションです。
これらのソリューションは堅牢です。しかし、設定すらままならないこともあります。正規のアカウントやパスワードがあっても接続設定自体が不透明で困難です。また、専用のクライアントソフトを必要とすることがほとんどで、新しいOSが登場してもなかなかクライアントソフトは登場せず、端末のリプレースを困難にすることも少なくありません。
RRASはPPTPの他に標準でL2TP/IPSecも対応していますので、こちらの利用を検討します。
ちなみに、ここのところ実装している事前共有キーでのL2TP/IPSecの認証は、アカウント+パスワード+事前共有キーで、結局のところPPTPとあまり変わりません。
事前共有キーは1つしか設定できないため、もしも変更する場合はクライアントすべてを変えなくてはなりません。管理者自身ですべて変更できなければ、通知して変えてもらうしかありませんが、これでは意味がありません。
Windowsのアカウントは有効、無効が管理者で簡単に制御できますし、アカウントロックの機能もポリシーで細かく制御できるため、こちらの方が気が利いています。しかし、Windowsアカウントはパスワードが生年月日になっていたり、部署内でパスワードをお互いに知っていたりすることは普通なことです。これでは、リモートアクセスを許可されている人のアカウントで簡単にLANに侵入されます。
Windows2003ServerはCAとしての機能も備えているため証明書を利用することがベストと思われます。設定については今後確認していきますが、以前設定した際にはかなり簡単だったと記憶しています。証明書であれば、管理者でなくては発行できないため漏洩の可能性はかなり低くなります。また、リモートアクセスが許可されたユーザーであっても証明書がインストールされていなければ接続できないため、自宅のPCに勝手に設定することも防ぐことができます。この時点で管理者はリモート接続のユーザーと端末を管理できます。また、接続を不許可にしたい場合は証明書を失効させることで不許可にできます。
RRASはWindowsServer上のソフトウェアルーターのためスループットは専用ルーターに比べて見劣りするものです。ただし、モバイル端末の運用が一般的になってきた昨今では端末の接続管理のための機能が充実しているため導入の価値があります。
ゲートウェイ製品を利用したアカウント管理は概ね英語のインターフェースか元々英語だったインターフェースを日本語にしただけのものが多く遣いづらいものが少なくありません。WindowsServerはこの点でもアドバンテージがあります。
IPSecは固定IPでなくてはいけないとか、証明書は高価だという過去の知識でIPSecの導入を見送ることはもったいないといえます。
2009年6月26日金曜日
2009年6月25日木曜日
リモートデスクトップ、ターミナルサービスでプリンタがマウントされない
あるユーザーでは2003Serverのターミナルサービスを利用して業務を行っています。ターミナルサービスは遠隔地のサーバーの画面を透過的に見るため、データは一括してサーバーに保管されますし、データの実行環境(このユーザーはMicrosoft Access)もクライアントPCに左右されなくなるのでメリットがあります。遠隔地のサーバーの画面を見ているとはいえ印刷はクライアントのある場所でないと不便になります。もちろんこの点についてはきちんと考えられていて、クライアントのプリンタをサーバー経由でリダイレクトして印刷ができるようになっています。
PCの入れ替えやコピー、印刷機の入れ替えの際は、プリンタがリダイレクトされるように設定する必要がありますが、基本的にはリモートデスクトップ接続を作成するときにプリンタをリダイレクトする項目にチェックを入れるだけでOKになります。
ところが、この設定をしていてもプリンタが表示されない現象にあたるケースが2回ほど続いたため調べたところ、つぎのような情報がありました。
2003ServerにリダイレクトするプリンタのポートがLPT、COM、USBのいずれでもない場合リダイレクトされません。
この情報を鵜呑みにすると、リダイレクトできるプリンタはセントロ、RS-232C、USBでクライアントPCに接続されていなくてはいけないことになります。昨今のプリンタはLANで接続が当たり前なのでこれでは使い物になりません。
もちろん実際にはLAN接続のプリンタも使えるのですが、リモートデスクトップのプリンタのリダイレクトをチェックしてもマウントされない場合はレジストリより設定を変更します。以下のURLを参考に変更することでリダイレクトされるようになります。
http://support.microsoft.com/kb/302361/ja
ユーザーのPCにてレジストリを変更する場合は十分な注意が必要です。
PCの入れ替えやコピー、印刷機の入れ替えの際は、プリンタがリダイレクトされるように設定する必要がありますが、基本的にはリモートデスクトップ接続を作成するときにプリンタをリダイレクトする項目にチェックを入れるだけでOKになります。
ところが、この設定をしていてもプリンタが表示されない現象にあたるケースが2回ほど続いたため調べたところ、つぎのような情報がありました。
2003ServerにリダイレクトするプリンタのポートがLPT、COM、USBのいずれでもない場合リダイレクトされません。
この情報を鵜呑みにすると、リダイレクトできるプリンタはセントロ、RS-232C、USBでクライアントPCに接続されていなくてはいけないことになります。昨今のプリンタはLANで接続が当たり前なのでこれでは使い物になりません。
もちろん実際にはLAN接続のプリンタも使えるのですが、リモートデスクトップのプリンタのリダイレクトをチェックしてもマウントされない場合はレジストリより設定を変更します。以下のURLを参考に変更することでリダイレクトされるようになります。
http://support.microsoft.com/kb/302361/ja
ユーザーのPCにてレジストリを変更する場合は十分な注意が必要です。
2009年6月23日火曜日
Excelで1文字目が勝手に確定する
Excelで文字入力中に1文字目が勝手に確定してしまう症状が発生することがあります。
例えば「佐藤」と入力すべきところが「sあ藤」などとなってしまいます。
特ににExcel2007での報告例が多いようです。
障害復旧の手順としては、Excel.exeを右クリック(ショートカットではない)
Excel2007なら”C:\Program Files\Microsoft Office\Office12”のexcel.exeを右クリックして互換のタブを開いて入力設定の”このプログラムでは詳細なテキストサービスを無効にする”にチェックをすることで回避できるようです。
今のところ実際に確認していません。
また、同様の設定がIMEにもあるらしいのでExcel以外での発生時にはこちらも確認する必要がありそうです。
2009年6月19日金曜日
BackupExecとSQLの照合順序の問題点
Symantec Backup ExecのSQL対応版をインストールする際に発生したトラブルを1つ
SQL Serverは大塚商会のSumileのために稼動しており、これをBackupExecでバックアップするように設定しようとしたところ次のようなトラブルが発生しました。
BackupExecインストール後、同ソフトを起動しようとするとメディアサーバーへの接続が表示されてアカウントとパスワードを入力するように求められます。
アカウントとパスワードを入力すると、「メディアサーバーに接続できませんでした。」とエラーになってしまう状況になります。
BackupExecの動作に必要なサービスがダウンしていて、手動で起動しても起動できない状態です。
「Backup Exec Server サービスが起動されていません。 オブジェクト 11 で内部エラー (-536837662) が発生しました。 」 というようなメッセージもでます。
この原因はBackupExecのインストール時にBackupExecが動作するためにSQLサーバー上にデータベースを作ります。このデータベースはBackupExecのインストール時に既存のインスタンスにデータベースを追加するか、専用にインスタンスを作成するかを選ぶことができますが、既存のインスタンスに間借りする場合、そのインスタンスの照合順序がバイナリになっているとこのようなエラーになるようです。
大塚商会のsmileはまさにこの状態でした。
別インスタンスにしたところ正常に動作するようになりました。
SQL Serverは大塚商会のSumileのために稼動しており、これをBackupExecでバックアップするように設定しようとしたところ次のようなトラブルが発生しました。
BackupExecインストール後、同ソフトを起動しようとするとメディアサーバーへの接続が表示されてアカウントとパスワードを入力するように求められます。
アカウントとパスワードを入力すると、「メディアサーバーに接続できませんでした。」とエラーになってしまう状況になります。
BackupExecの動作に必要なサービスがダウンしていて、手動で起動しても起動できない状態です。
「Backup Exec Server サービスが起動されていません。 オブジェクト 11 で内部エラー (-536837662) が発生しました。 」 というようなメッセージもでます。
この原因はBackupExecのインストール時にBackupExecが動作するためにSQLサーバー上にデータベースを作ります。このデータベースはBackupExecのインストール時に既存のインスタンスにデータベースを追加するか、専用にインスタンスを作成するかを選ぶことができますが、既存のインスタンスに間借りする場合、そのインスタンスの照合順序がバイナリになっているとこのようなエラーになるようです。
大塚商会のsmileはまさにこの状態でした。
別インスタンスにしたところ正常に動作するようになりました。
2009年6月18日木曜日
YAMAHAルーターのconfigの設定、保存
YAMAHAのルーターの設定情報(config)を保存するためにはTFTPを利用します。
取得
tftp [router-ip] get config /[administrator password] config.txt
設定
tftp [router-ip] put config.txt config /[administrator password]
設定、取得をするルータは事前にtftpの使用を許可する必要があります。
tftpのアクセスを許可するためには
#tftp host [許可するip]
#save
とします。
接続を許可するipを限定しない場合は
#tftp host any
#save
としておきます。
取得
tftp [router-ip] get config /[administrator password] config.txt
設定
tftp [router-ip] put config.txt config /[administrator password]
設定、取得をするルータは事前にtftpの使用を許可する必要があります。
tftpのアクセスを許可するためには
#tftp host [許可するip]
#save
とします。
接続を許可するipを限定しない場合は
#tftp host any
#save
としておきます。
2009年6月17日水曜日
SQL Server 2000の注意点
古い奉行やPCAのソフトなどでSQL Server 2000を利用しているケースは多いですが、PC入れ替えなどでの再セットアップ時に注意が必要です。
奉行やPCAのインストーラは自動的にSQL Server 2000をインストールしてくれますが、サービスパックをインストールしてくれません。
ソフトの発売当初はサービスパックがなかった可能性があるので仕方ありませんが、いまはSP4を入れないと問題ありです。
一番問題なのは、ネットワークからアクセスできないことです。
正しいアクセス権が付与されていても、アクセスできないためハマる可能性が高くなります。
SQL Seerver 2000でネットワークアクセスできない場合はSP4があたっているかは必ず確認する必要があります。
注意:サービスパックはインスタンス毎にあたるらしいので注意が必要です。
奉行やPCAのインストーラは自動的にSQL Server 2000をインストールしてくれますが、サービスパックをインストールしてくれません。
ソフトの発売当初はサービスパックがなかった可能性があるので仕方ありませんが、いまはSP4を入れないと問題ありです。
一番問題なのは、ネットワークからアクセスできないことです。
正しいアクセス権が付与されていても、アクセスできないためハマる可能性が高くなります。
SQL Seerver 2000でネットワークアクセスできない場合はSP4があたっているかは必ず確認する必要があります。
注意:サービスパックはインスタンス毎にあたるらしいので注意が必要です。
登録:
投稿 (Atom)