令和になったことだしクラウドへ移行する – 9 – t2.micro激重の原因とKUSNAGIのキャッシュの本気、CloudFlare+Incapsulaの多段化

ども、こんにちは。

前回の記事でt2.microのCPUクレジットを使い切って激重になった話を書かせていただきました。

んで、まぁ適当にKUSANAGIのnginxのログを解析していると・・・・

[[email protected] nginx]# zcat access.log-20190508 | awk ‘{ print $NF,$2,$3,$12,$10,$15,$16 }’ | sort | uniq -c | sort -rn | head -n 10
18840 “138.68.229.65” – – 200 /blog//xmlrpc.php “Mozilla/5.0 (Windows
(1位以下はすでに桁が全く違うので割愛)

どうもbot臭いのです。

「xmlrpc.php」へのアクセスを時間帯別に解析してみると、まぁ激重時間と大体一緒ですかね。

また、CdloufFlareがキャッシュしていなかったのも納得です。

[[email protected] nginx]# zcat access.log-20190508.gz |grep /blog//xmlrpc.php | awk ‘{ print $7 }’ | cut -b 2-15 | sort | uniq -c | sort -rn | head -n 10
4345 07/May/2019:17
4317 07/May/2019:16
4021 07/May/2019:18
3707 07/May/2019:15
541 07/May/2019:20
538 07/May/2019:19
519 07/May/2019:21
508 07/May/2019:22
345 07/May/2019:23
7 07/May/2019:12

ということで、CloudFlareで bot対策をしようと思ったのですが、無償だとGoogleなどのbotも止めてしまいそうです。

Before getting started

Cloudflare Firewall Rules can affect how traffic from known bots is handled. For details, see this FAQ.

ふむ。よろしい。ならばここに関しては無償のIncapsulaのほうが向いてるな。ということで、いつか失敗した多段に再挑戦します。

が、その前に、ちょっとKUSANAGIのbcacheとfcacheを設定してみます。

参考:詳解!KUSANAGIキャッシュ講座

で、うちの場合は、サブディレクトリにWordPressをおいていますので、まずはKUSANAGIのシェルを修正します。

まぁこの辺みながら雰囲気で。fcacheは早い話、nginxのリバースプロキシ機能でのキャッシュ、bcacheは動的に生成されるページを一定期間HTMLとして静的に保存する。両方組み合わせれば、bcacheで静的に生成されたHTMLをリバプロがキャッシュして返してくれると。

参考:KUSANAGIでサブディレクトリにWordPressを複数インストールする

で、onにします。

さて、実際効果はあるのかというところをちょっとテストしてみます。

WebPageTestで測ってみました。
※Tokyo, Japan – EC2 – Chromeで。

  • 旧オンプレサイト(CentOS Cpu 4コア/Mem:3GB)
    • https://www.webpagetest.org/result/190508_47_351c4d9104d0ca884007a289d9065993/
    • First Bytes 1.958s Fully Load 20.796s
  • 新サイト(AWS t2.micro) CloudFlareなし
    • https://www.webpagetest.org/result/190508_T5_c5f0471c39b6ab87f8c1434dd7518f10/
    • First Bytes 2.817s Fully Load 20.163s
    • 流石にCPU性能、メモリ性能では旧オンプレ環境に負けてるので遅いですね。
  • 新サイト(AWS t2.micro) + CloudFlare
    • https://www.webpagetest.org/result/190508_AR_24e95db4462d767499f2b0859ef05bed/
    • First Bytes 2.065s Fully Load 17.114s
    • お、早くなりました。これを基準にbcacheとfcacheを試していきます。
  • 新サイト(AWS t2.micro) + CloudFlare + KUSANAGI fcache
    • https://www.webpagetest.org/result/190508_4J_7b0928d6f924e8d4698b6753caeed8d1/
    • First Bytes 0.845s Fully Load 15.867s
    • おおー。確実に早くなりました。以下のようにF-CACHEにHITしたことがわかります。
  • 新サイト(AWS t2.micro) + CloudFlareなし + KUSANAGI fcache
    • https://www.webpagetest.org/result/190508_5W_8e0f63161b11d9fd14497d9f13b5a3b9/
    • First Bytes 0.588s Fully Load 18.046s
    • おー、CloudFlareなしfcacheオンリーだと、初速はめちゃめちゃ早いですね。
  • 新サイト(AWS t2.micro) + CloudFlare + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190508_97_66422e4c559c1d51847abac508e88ba8/
    • First Bytes 0.892s Fully Load 15.231s
    • 初速は落ちましたね。けど、やっぱり他の静的コンテンツがCloudFlareのキャッシュから帰ってくるので、全体的なスピードはアップした、という感じでしょうか。
  • 新サイト(AWS t2.micro) + CloudFlareなし + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190508_BD_ea283a342e16f40954704f80b313cff8/
    • First Bytes 0.614s Fully Load 18.451s
    • やはり初速は早いけど、全体的にはCloudFlareのCDNのほうが強いですね。
  • 新サイト(AWS t2.micro) + Incapsula(Static+Dynamicモード) + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190511_A0_cda343e19da80c01960fe5d7d3c34170/
    • First Bytes 1.165s Fully Load 17.531s
    •  初速遅いけど判定は、Cですね。。
  • 新サイト(AWS t2.micro) + Incapsula(Static+Dynamicモード+Dynamic Content Acceleration(※)) + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190511_R9_f82b1950e6e8f1b3d46e4dc9f0443109/
    • First Bytes 1.036s Fully Load 17.636s
    • Dynamic Content Acceleration機能です。今回はAWSのVPCがus-eastなので、アシュバーン?が最寄りでした。てか応答速っ。
  • 新サイト(AWS t2.micro) + CloudFlare + Incapsula(Static+Dynamicモード+Dynamic Content Acceleration(※)) + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190512_KK_01657d85a38a8e24a91fbc0cc160285c/
    • First Bytes 1.033s Fully Load 13.971s
    • 初速ともにまぁまぁですね。一応両方ちゃんと通ってます。
      ※X-Iinfo: がNNNなので、Incapsulaのキャッシュはまだ効いてませんでした・・・けど、CloudFlareがHITしているので、結局AWSまでは取りには行ってないはず。
  • 新サイト(AWS t2.micro) + CloudFlare + Incapsula(Staticモード+Dynamic Content Acceleration(※)) + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190512_M8_c66631c02506ebbda0a56be2d30fbda1/
    • First Bytes 1.312s Fully Load 14.404s
    • 一つ上とまぁ誤差ですね。
  • 新サイト(AWS t2.micro) + CloudFlare + Incapsula(キャッシュ無効+Dynamic Content Acceleration(※)) + KUSANAGI fcache + KUSANAGI bcache
    • https://www.webpagetest.org/result/190512_7E_1393ad66c4ae2ed3eb8490e5876edda1/
    • First Bytes 1.382s Fully Load 14.749s
    • 今これです。

ということで、初速は、CloudFlareなしで、KUSANAGIのfcacheが一番速い。
トータルは CloudFlare + Incapsula(Static+Dynamicモード+Dynamic Content Acceleration(※)) + KUSANAGI fcache + KUSANAGI bcacheが一番速いようです。

が、まぁ今回IncapsulaはBot制御目的ですし、2箇所でキャッシュ持つとややこしいので、キャッシュはCloudFlareだけにしました。

■CloudFlareとIncapsulaの多段構成について

多段構成のポイント?ですが、

Incapsulaを手前にすることは(おそらく無償版では)不可。
無償版IncapsulaはOriginにCNAMEが使えずIPアドレスしか使えない。

CloudFlareを前にする場合のポイント。(多分合ってると思う)

・CloudFlareに別のドメインを作ってそっちをIncapsulaに登録する
→同じ名前をCloudFlareとIncapsulaに存在すると以下のようなエラーになる。
※IncapsulaのProxyが名前解決したときに自分じゃない名前解決結果が来るから?と思われる。

CNAME reuseの機能を活用して、CloudFlareの本丸ドメインをCNAMEでIncapsulaに向ける。
→Incapsulaにはxxx.hits-net.comで登録してるけど、そこで払い出されたCNAMEをwww.hits-net.comに向けてさらにCloudFlareのCDNとDNSをオンにして、多段にしました。

 

■リダイレクトの初速を上げる

いま「/blog」へのリダイレクトは、cloudflareがやってる・・・と思う。

 

【2019/5/12追記】

何故かIncapsulaが時折古いオリジン(旧オンプレ)に転送してしまう謎現象が発生したので切り戻しました。
今はCloudFlareオンリーです。

このX.X.X.100っていまいま設定上どこにもないんですよねー。

同じドメインを何度か消したり入れたりしてるから一部のPoPにゴミ情報のこったかなぁ。

まいったなぁ。てかよく見たらCNAME Reuseって

Note: Available for Enterprise plan customers only.

あちゃー。

 

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 8 – t2.microが激重になる

ども。こんばんは。

mariaDB問題は解決して、ようやく落ち着いたかと思ったら、今日はなぜかブログが激重になりました。。。

で、調べてみると、st(steal)が上昇していました。

今まで意識したことがなかったのですが、st値は、

【EC2】CPU使用率のsteal項目とは

馴染みがない項目だったのでで詳細を調べてみると、仮想サーバにおいて
「ゲストOSに処理を要求をしても、CPUリソースを割り当てられなかった時間の割合」
を意味するとのことです。

らしいです。で実際こんな感じでstが80%消費されており、実質20%しかCPUが使えない?状態のようです。

そりゃ重いわな。

AWSコンソールで、CPUクレジットを見ていると、クレジット使い切っちゃったみたいですね。

t2.microのCPUクレジットは144です。
※t3.microはほぼ値段一緒なのにCPUクレジットが多いんですよねー。やっぱt3にしたいなぁ。

バースト可能パフォーマンスインスタンスの CPU クレジットおよびベースラインパフォーマンス

とりあえず、インスタンスを再起動するとリセットされるようなのでその場しのぎですが再起動しました。

うーん。なかなかクラウドならではですねぇ。

これKUSANAGIのbcacheとか効かせたら処理減って軽くなるのかなぁ。とりあえず明日一日様子見ですね。

確かにちょっとアクセスおおかったのかなぁ。。。

 

【バックナンバー】

ではでは。またの機会に。

 

Leave a Comment

2019年 GWの振り返り

ども。こんばんは。

毎年恒例ですかね。

いろいろしましたが意外とグダグダでした。

  • 1日目(04/27):練習へ、ちょっと仕事した。
  • 2日目(04/28):寝てた。夕方仕事した。
  • 3日目(04/29):ゲームしてた。夜飲みに行った。(薬はちょっと控えてね)
  • 4日目(04/30):寝てた
  • 5日目(05/01):Office365移行
  • 6日目(05/02):練習へ
  • 7日目(05/03):寝てた
  • 8日目(05/04):Office365移行の続き
  • 9日目(05/05):ブログのAWS移行、図書館戦争見た
  • 10日目(05/06):AWS環境のトラブルシューティングした。図書館戦争の劇場版みた

今年は、連休前にちょっと仕事でトラブルががあって、そっちも気になってあんまり外出できませんでした。
※という言い訳。

ふと思い立って過去のGWを集めてみました。

今年は2012年以来の大規模インフラ更改だったかも

 

皆さんの10連休はいかがでしたか。

今日はお風呂にでもゆっくり浸かって。また明日から頑張って仕事しよ。

ではでは。またの機会に。

 

設定変えたの写真のアップロードテスト。

 

Leave a Comment

令和になったことだしクラウドへ移行する – 7 – t2.microでmariaDBが落ちる

ども。こんばんは。

昨日以降したAWS環境ですが早速トラブルです。

というかまぁ起きそうだなぁとは思ってましたが、メモリが足りずmariaDBが落ちてました。

[[email protected] blog]# more /var/log/mysql/mysqld.log

2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Using mutexes to ref count buffer pool pages
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: The InnoDB memory heap is disabled
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Mutexes and rw_locks use GCC atomic builtins
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: GCC builtin __atomic_thread_fence() is used for memory barrier
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Compressed tables use zlib 1.2.7
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Using Linux native AIO
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Using SSE crc32 instructions
2019-05-06 10:23:26 140552243030272 [Note] InnoDB: Initializing buffer pool, size = 384.0M
InnoDB: mmap(421724160 bytes) failed; errno 12
2019-05-06 10:23:26 140552243030272 [ERROR] InnoDB: Cannot allocate memory for the buffer pool
2019-05-06 10:23:26 140552243030272 [ERROR] Plugin ‘InnoDB’ init function returned error.
2019-05-06 10:23:26 140552243030272 [ERROR] Plugin ‘InnoDB’ registration as a STORAGE ENGINE failed.
2019-05-06 10:23:26 140552243030272 [Note] Plugin ‘FEEDBACK’ is disabled.
2019-05-06 10:23:26 140552243030272 [ERROR] Unknown/unsupported storage engine: InnoDB
2019-05-06 10:23:26 140552243030272 [ERROR] Aborting

確かにちょいとメモリが足りないしswapがないんですよねー。

[[email protected] blog]# free -m

              total        used        free      shared  buff/cache   available
Mem:            989         678          73          76         237          81
Swap:             0           0           0

にいろんな方も同じ状況みたいで、swapを作る方法がありました。
t2.microでもssdだし、swap作っても大丈夫?かな。

参考:AWSのMySQLがよく落ちるのを解決 「Failed to start MariaDB」「InnoDB: Cannot allocate memory for the buffer pool」

手順は上記の参考サイトの通りですが、最後にfstabにも書きます(そうしないと起動時にswapがマウントされないので)

 

[[email protected] blog]# sudo dd if=/dev/zero of=/swapfile bs=1M count=1024

1024+0 レコード入力
1024+0 レコード出力
1073741824 バイト (1.1 GB) コピーされました、 35.3172 秒、 30.4 MB/秒

[[email protected] blog]# sudo mkswap /swapfile
スワップ空間バージョン1を設定します、サイズ = 1048572 KiB
ラベルはありません, UUID=81d4b5f0-bf32-4ea1-a3f5-3c4eaf7926a4
[[email protected] blog]# sudo swapon /swapfile
swapon: /swapfile: 安全でない権限 0644 を持ちます。 0600 がお勧めです。
[[email protected] blog]# sudo chmod 600 /swapfile
[[email protected] blog]# free -m

              total        used        free      shared  buff/cache   available

Mem:            989         670          83          76         235          92
Swap:          1023           0        1023

SWAPでけたー。仕上げにfstabに書いて、rebootしてswapできてたからokかな。

/swapfile swap swap defaults 0 0

さぁ、これで様子見ですね。

【追記】

また落ちました・・・。
2019年 GWの振り返り」の公開後、多分クローラーからのアクセスとかで落ちたっぽいです。
ロードアベレージが偉いことになってたのと、swapも結構浸かってしまってました。
参ったな。

以下ぱっと見た時のリソース。

こっからガッとswapへりました。多分mariaDB落ちたと思う。
※この手前でもしかしたらswap食い尽くしてたかも。

[[email protected] blog]# free -m

              total        used        free      shared  buff/cache   available
Mem:            989         857          66          10          65          12
Swap:          1023         620         403

top

top – 18:33:51 up  2:23,  1 user,  load average: 24.80, 14.64, 5.86
Tasks: 103 total,   1 running, 101 sleeping,   0 stopped,   1 zombie
%Cpu(s):  0.0 us,  0.0 sy,  0.0 ni,100.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  1013192 total,   842544 free,    56472 used,   114176 buff/cache
KiB Swap:  1048572 total,   996736 free,    51836 used.   814284 avail Mem

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND  
9125 root      20   0  559436  23724  18016 S  0.0  2.3   0:00.04 php-fpm  
9130 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9131 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9132 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9133 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9134 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9135 httpd     20   0  559436   6812   1104 S  0.0  0.7   0:00.00 php-fpm  
9126 httpd     20   0  559436   6808   1100 S  0.0  0.7   0:00.00 php-fpm  
9127 httpd     20   0  559436   6808   1100 S  0.0  0.7   0:00.00 php-fpm  
9128 httpd     20   0  559436   6808   1100 S  0.0  0.7   0:00.00 php-fpm  
9129 httpd     20   0  559436   6808   1100 S  0.0  0.7   0:00.00 php-fpm  
9106 httpd     20   0  126160   5240    908 S  0.0  0.5   0:00.00 nginx    
9107 httpd     20   0  124956   3680    856 S  0.0  0.4   0:00.00 nginx    
9108 httpd     20   0  124956   3680    856 S  0.0  0.4   0:00.00 nginx    
9105 root      20   0  124952   3004    392 S  0.0  0.3   0:00.00 nginx       
    1 root      20   0  191120   2496   1516 S  0.0  0.2   0:03.30 systemd  
9145 root      20   0  161880   2204   1564 R  0.0  0.2   0:00.00 top

ちょっと参ったな。swap2GBに増やしてみたので、これで様子見ですかねー。

 

 

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 6 – ブログがAWSになりました。

ども。こんばんは。

件名のとおりです。

いろいろありつつ、半日でなんとか終わりました。

多分見れてるはず。です。

もちろんCloudFlare越しですが。

awsは12ヶ月無料枠のt2.microでKUSANAGIを入れました。
※KUSANAGIの推奨はメモリ4GB以上ですが、まぁこのくらいの規模なら全然余裕ですね。きっと。

ただ、KUSANAGIの全力は出てないと思いますが、前よりはキャッシュはCloudFlareのキャッシュも効いているはず。

疲れた。

途中経過は概ねログと画面キャプチャがあるのですが、もうありふれた話ばかりなので今回はポイントだけを自分用にメモです。

  • AWS
    • 普通にセットアップ、管理者のMFAを有効にしたくらい
    • あと一応請求が$10超えたらメール来るようにしてみた。
    • VPC
      • リージョンは最安で米国東部(バージニア)
        • どうせCloudFlare通すしきっといい感じになる。。。とおもう。
      • アベイラビリティゾーンはus-east-1f
    • EC2
      • インスタンスはt2.micro
        • 本当はt3にしたかったが、AMIのKUSANAGIが対応していなかった
      • Elastic IP一つ取得
    • KUSGANAGI
      • とりあえずyumで諸々アップデートしてから設定
      • php7だとうちの古めかしいvistaテーマが動かない&諸々エラーが出たのでphp5.6に戻した(kusanagi initやりなおし)。
      • サブディレクトリにWordPressを展開しているので多分効いてないKUSANAGIの機能がある気がする。
      • bcacheを効かせるには、多分以下の設定いれればいけるかも?
      • てか、KUSANAGIってそれ用のWordPressプラグインあるっぽいけどそのへんよくわかんない
      • あと、サブディレクトリに入れた関係か多分Let’s Encryptちゃんと動いてないと思う。
    • 引っ越しの仕方
      • BackWPupプラグインでファイルもDBの抜こうとしたが、旧環境だとPHPが2GB以上のファイルをP扱えなくてエラー(PHPバージョンで扱えない大きさのアーカイブになります。)でアーカイブがコケまくったので諦めた。
        • 一応古いPHPで2GB以上のファイルが扱えないことはないが再コンパイルなんて今さらやってられないのでスルー。
      • wp-contents配下をtgzで固めてscpでゴリゴリコピーした。
      • KUSANAGIのデフォルトのドキュメントルートをまるまる「/blog」にコピーしてwp-contentsだけ上書き。
      • DBはBackWPupで抜いたものをmysqlコマンドでどーん。
    • 心残りというか明日以降確認
      • KUSANAGIのサブディレクトリ化もう少し見直す
      • SSL化する?(Cloudflareの機能でもいいかも)
      • キャッシュのテスト
      • メールでDBのバックアップ飛ばしてるけど、多分動かないだろうなぁ。
      • ちと、ポートスキャンとか外部からのアクセス確認をば。セキュリティグループはしっかり作ったはず。
      • Google Analyticsとか大丈夫だと思うけど、明日確認
    • いずれやりたい
      • せっかくAWSのアカウント作ったし、BackWPupはS3にバックアップ取れるので、バックアップの方式を検討する

そんなところかな。

【追記】

やっぱりへんだなぁーと思ってたらやりがちなことをやってしまっていた。
参考:KUSANAGIに移設する際の5つの手順をまとめてみた

ここでの注意点は移設先のwp-content内にあるmu-pluginsを削除してしまわない事。
よくあるのがwp-contentをリネームしてまるっと置き換える方法。これやっちゃうとKUSANAGI用のオリジナルプラグインがなくなっちゃいますので、リネームしたディレクトリから移しておきましょう。

KUSANAGI用のオリジナルプラグインはWordPressの高速化の一端を担っています。
多言語に対応したWordPressが日本語で表示できるのは当たり前ですが、この翻訳が管理画面なども遅くする原因にもなっています。ですので、翻訳ファイルをキャッシュしてしまうことでWordPressの高速化を図っています。

なせ、オリジナルプラグインなのか。それはWordPressのコアを修正したりしないためです。
良く勘違いされるのがKUSANAGIで導入されたWordPressはチューニング(改造)されていると言う間違いですね。これやっちゃうとバージョンアップできなくなるので絶対やりません。

 

これで、Azure、Office365、AWSとGCPもちょっとだけ(AIY Voice Kitで)やったので、主要なクラウドには手が広げられたかなぁ。

以下画像アップロードテスト。

連休中に、メールとWebのクラウド化が無事完了したε-(´∀`*)ホッ

これで、なんと我が家のFWでは外部→内部を処理するルールがなくなってしまう&監視するものがなくなってしまう。。

それはそれで少しさみしいですね。
とはいえ、まだオンプレでもいろいろやりたいことはあるかなー。

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 5 – Exchange Server 2010 to Office 365(4)

ども。こんばんは。

気づけばもう連休もあと1日半です・・・。

昨日はずっと寝てたのと、今日も夕方まで寝てしまったので、さっさと続きをやります。

とりあえず、前回の残タスクの通り、ライセンス節約のため個人メールボックスを共有メールボックスに変換します。

やり方はこんな感じ。

ユーザー メールボックスを共有メールボックスに変換する

  • 変換するユーザーメールボックスには、共有メールボックスに変換する前に割り当てられたライセンスが必要です。 そうでない場合、変換オプションがメールボックスに表示されません。ライセンスを削除した場合、メールボックスを変換するために再度それを戻す必要があります。 ライセンスは、メールボックスを共有に変換した後に、ユーザー アカウントから削除できます。
  • 共有メールボックスは、ライセンスなしで、最大 50 GB のデータを保持することができます。 これ以上のデータを保持するには、ライセンスを割り当てる必要があります。 ライセンスを削除するには、(添付ファイルがあるものなど) 大きなメールを多数削除してサイズを小さくする必要があります。
  • 古いユーザー アカウントは削除しないでください。 それは共有メールボックスの固定に必要です。 ユーザー アカウントを既に削除している場合、「削除済みユーザーのメールボックスを変換する」 (削除されたユーザーのメールボックスを変換する) を参照してください。

ポイントとしては、上記の3点ですね。特に3つ目。読んでなかったら確実に消してたわ。

【追記:やらかした】
やかしました。多分大丈夫ですが、上記のサイトの下の方にこんなことが書いてあります。
もしかしたら、またユーザメールボックスに戻される・・・のかも???うーん・・・。まぁいっか。
強くお勧めするならもっと上に書いておいてほしかったです。。。

ハイブリッド環境でユーザーのメールボックスを変換する

この共有メールボックスがハイブリッド環境にある場合は、ユーザーのメールボックスをオンプレミスに戻して、ユーザーのメールボックスを共有メールボックスに変換してから、共有メールボックスをクラウドに戻すことを強くお勧めします。

その理由は次のとおりです。クラウド内のメールボックスを変換すると、そのメールボックスは変換されますが、新しい現実はオンプレミスに同期されないため、オンプレミスではメールボックスがユーザーのメールボックスであると見なされます。

通常、これは問題ではありませんが、オンプレミスの属性 (メールボックスがユーザーのメールボックスであると考えられる) が新しいクラウドバージョンの属性を上書きする可能性があるため、その結果、メールボックスの変換が行われる場合があります。 ユーザーメールボックスがライセンスを必要とするか、30日後に削除された場合は、この問題が発生します。

これが発生する理由のほとんどが解決されましたが、これはまだ発生する可能性があります。 安全にして、メールボックスをオンプレミスに戻すことをお勧めします。

あと、やっぱりいきなり契約せず評価ライセンスではじめてほんとに良かった。移行するにしてもライセンスが最初は必要になるんですね。

ちなみに、ちゃんと ハイブリッド構成にしたおかげて?権限も移行できてるので、ちゃんとメインで使う予定のユーザは他のメールボックスを開くことはできます。(フルアクセセスを与えており、ちゃんと引き継がれた。さすがハイブリッド!)

でもやりたいのはこうじゃないし、それぞれのボックスの所有者でログインしたり、それぞれの予定表を作る予定もなく、あくまで、システム通知やSNS系のメールの受け用のボックスがほしいのです。

参考:オンプレExchange時代の運用

で、後悔しないように改めてこちらの記事も読んでみました。うん、今回はやっぱり共有メールボックスが正しい・・はず!

参考:Office365「共有メールボックス」とは

■ユーザメールボックスを共有メールボックスに変換する

早速やってみます。

Exchange管理センターから該当メールボックスをポチッと。

はいはい。

即効でおわります。数秒。

この時点では、ライセンスを停止してない?ので、まだ元のメールボックスの所有者でログインしてOWAでメールが見えるっぽいですね。

もう一つ変換対象があるので、そっちも同様の手順でやります。(10GBくらいあるボックスだったのですが、2分くらいで終わりました。)

無事共有に変換できました。

とりあえず、OWA上で追加してみる。

メインのアカウント上で自分の名前を右クリックして「共有フォルダーの追加」をクリックします。

あとは選ぶだけ。(「他のメールボックスを開く…」と要領は同じですね。)

最終的にこんな感じになりました。

とりあえず、送受信テストしてみます。

あれ、差出人が共有メールボックスにできないですねー。

うーん。フルコントロールなんだけどなー。

一応権限つけてみました。

だめですねー。候補に出てこない。

念の為、「他のメールボックスを開く…」でやってみたところ・・・・

このメールボックスからメッセージを送信するためのアクセス許可がありません。

えー。うそんフルコンやし、ちゃんと送信する権限もつけたけどなー。反映に時間かかるのかなー。

まぁいいわ。別に。そのうちなんとかなるでしょう。「メールボックス所有者として送信する」の権限は必須ぽいので。

ちょっと先に進めます。

■ライセンスを剥奪して、サインインも禁止する!

これで、共有メールボックス化が無事できたので、旧ユーザからはライセンスを剥奪します。
あと、サインアップ時に作った「.onmicrosoft.com」もライセンス剥奪してみます。

また、ADから引っ越してきたユーザはパスワードがボロい可能性も大いにあるので、サインインも禁止します。

さらばライセンス。

ちなみにいいかどうか知りませんが、onmicrosoftのアカウントもライセンス剥奪しました。

これで、ライセンスを持っているのは1人のみになりました。

ちなみにライセンスを剥奪したユーザでログインしてみました。

おー、空っぽですね。

で、一応今回ADと同期してはいますが、余計なユーザはOffice365にサインインできないようにしてみます。
※onmicrosoft,comのユーザは念の為、ライセンスは剥奪しましたが、サインインは可能にしてあります。もちろん別で全体管理者は設定済み&サインアップ時の連絡先は、ライセンス付与済みユーザにしています。

 


【2019/05/05 追記】

勢い余って、Azure AD Connectに必要な同期用ユーザまでサインイン禁止にしてしまったみたいです。

なので、「Sync_[サーバ名]_[ランダム?]@hitsnetcom.onmicrosoft.com」はサインインを有効にしてあげたら治りました。

これでsyncしたら、ブロックしたユーザまたサインイン許可に戻ってしまった・・・

うーん。やっぱりAD側でログイン無効化して同期させるのが正しいんだろうけど、やだなーこれ。課題ですね。

 


 

 

で、サインイン禁止したユーザで入ってみたところ。
※てかID・PWの確認はできてしまう気がする。。。。。。

↑これは反映中だったみたいです。しばらくするとこうなります。

とはいえ、アカウントの存在とパスワードが正しいことはバレちゃいますねこれ。まぁいいか。。

Azureも一緒にかわるっぽい?(←もともとこのユーザサインインできてたか未確認です)

さぁ、だいたいできた。

■正規のライセンスを買って割り当てる

まだ評価期間は残っていますが、このっている今だからこそ正規版を買います。
※そしたら、何かあっても、最悪評価版に割り当て直して調査できる猶予がある!はず・・・。

いきなり1年契約でかいます。

住所とかを入れます。

年間¥6,998です。

何故かシークレットモードのブラウザだと手順3にいけませんでしたのでやり直し。。。

支払い方法を入れます。

かいましたー。

無事追加。

ライセンスを割り当て直します。

試用版をoffにして購入した方をonにします。

個別の機能でのon/offもできるんですね。

できましたー。

ちゃんとライセンス数が更新されていますね。

一応請求書などのメール連絡先も確認します。
予定通り、追加しておいた全体管理者が有効になっており、onmicrosoftの方の連絡先メールアドレスもライセンスのあるユーザになっています。
これならonmicrosoftにはライセンスなくても大丈夫・・・だと思います。

おまけ。ライセンス変更前後のサインイン後の画面。
ちょっとへりました。

■仕上げ:DNSレコードの変更(外部向け)

さて、ここまででもう準備は終わったのでいよいよDNSレコードの向き先を変えます。

とりあえず、CSVでエクスポートもしていたのですが、MXとCNAMEをいれます。

途中の画面を取り忘れましたが、チェックする機能があります。
終わったら確認を押すと以下のようにOKになります。

管理のドメインから状況が確認できます。
おっと、一つカスタムドメインのDNS設定が漏れていましたね。困りはしないのですが一応いれます。

使うサービスを選びます。(これによって向け先に出てくるレコードが変わるみたいですね。Exchangeなら基本MXとautodiscover用のCNAMEとSPFだけとか。)

Exchangeだけえんだので、3つだけです。
※ただし、見切れてますがこの画面上にあるエクスポート機能でエクスポートすると全サービス分のレコードがCSVででてきます。

はい。おわりました!

ちなみに今回SPFレコードは、Office365に加え、自宅の固定IPアドレスも残しています。
それでもチェック結果はOKだったので問題ないと思われます。

■仕上げ:DNSレコード+Postfixのtransportの変更(内部向け)

ここからは内部向けの話なので、関係ない人はここまでで晴れてOffice365ユーザとして利用可能になります!

さて、うちの場合は、

内部DNSサーバのMXレコード修正と、内部用メールをtransportでオンプレExchangeに向けている部分を修正します。

ありふれた手順なので省略します。reloadとかpostmapとか忘れないでね。

ということで、経路がこうなりました。
(この辺ももうリプレースしないとですね。)

内部サーバ->オンプレExchange->ハイブリッド構成->o365

内部サーバ->o365
※ここはTLSにしたいところだけど、面倒くさいのでやめました。

ちなみに、これは主に内部サーバのシステム通知系なので、自ドメイン以外には送信しません。
※内部ですけど、外から来るメールと同じ扱いにしました。

【メモ】
Zabbixの通知先に携帯キャリアメールが入っている。今はオンプレPostfixにSMTPを向けているがこれをo365に変更するときは、うちでも設定が必要。
各種サーバは全体的にSmartRelayでo365にむけないとなぁ。

なので、o365用のMXレコード宛に送りつけるだけです。自ドメイン以外の外部に送る場合は、認証がいるはずです。

この辺を参考にしてみてください。

Office 365 を使用してメールを送信するように多機能デバイスまたはアプリケーションをセット アップする方法

※昔は性的なグローバルIPアドレスを認証条件にできたけど、いつからかTLSで証明書入れるの必須にならなかったけ。

さて、あとはインターネットからメールサーバ宛の25/tcpを閉じれば終わりですね。

TTLも300だしもうとっくに伝播したと思いますが、一応旧メールサーバのmaillogを流しながら、全アドレスにテストメールを送信して、旧サーバに回っていないことを確認しました。

というかこの時点でもまだ、差出人が共有メールボックスにできないです。この記事を書いている間に数時間経過したのですが・・・。まぁそれは別の課題で。。。

ということで、一旦終わりです。

あとは細かなタスクとして・・・

  • macOSのメールアプリで共有メールボックスにアクセスする
  • 古いサーバのメールの向き先変更(snmptrapのメール変換とかもそろそろやめたい・・・)
  • Zabbixの通知メールサーバ変更(宛先にキャリアメールが入っているので注意)
  • 各種アプライアンスのメール通知先とか見直し

そんなところかな。あーWebサーバの移行できるかなぁ。

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 4 – Exchange Server 2010 to Office 365(3)

ども。こんにちは。

続きです。

改めて、今回の移行方法ってどれなんだろうと探してましたが、これっぽいですかね。

最低限のハイブリッドを使用して Exchange メールボックスを Office 365 に移行する

 

■メールボックス移行完了

昼間は練習に行ってたので、更新できませんでしたが、とりあえず朝の段階でメールボックスの移行は終わっていました。

移行すると、オンプレExchange側では、「切断されたメールボックス」になり、さらに移行済みユーザはリモートユーザメールボックスというのが作られるっぽいですね。

状態の「完了」と「クラウド内」は何が違うんだろう・・・。

とりあえず、OWAで見れてるからいいよね・・・。

 

それでは続きを。

■早速やらかす

メインで使うつもりのユーザ(ADから同期したもの)のUPN(UserPrincipalName)を変えてしまいました。

というか、変更できるのおかしくないか・・?

たまたま同期の完了前だった・・・?

後述しますが、これ基本あとから変えようと思うと、PowerShellなんですよね。。。

で、なんでOffice365のUPNを変えたかったかというと、特に何も考えてませんでした。

単純にAzure AD Connectから同期したときには全員「ユーザ名@ADドメイン名.ドメイン」だったのです。
もちろんエイリアス(proxyAddresses属性)で「ユーザ名@ドメイン」は追加されているしもともとオンプレExchangeでも承認済みドメインだったので、メールボックスは「ユーザ名@ドメイン」がプライマリメールアドレスになっています。

なんかADドメイン名邪魔なとか、単にそんな理由。

変更したらですね。別で作っているMicrosoftカウントとoutlook.comともろバッティングしました。

もう大変です。すべてごちゃごちゃになりました。

重複問題:#AzureAD と Microsoft アカウントの重複問題に対する取り組み

これひどい話ですよねー。そのうちもっと良くなればいいですけど。

しかも今日気づいた新事実ですが、outlook.comも最近outlook.office365.comにサーバが統合されているっぽいのです。

だから、IMAPでoutlook.comに個人的なメールを取りに行ってたんですが、Office365に置き換わりましたorz
まぁサインインの画面でた時点で気づけって話ですよね。

以下、macOS標準のメールで途中で出てきました。

ちなみに旧来の「imap-mail.outlook.com」ですが、ガッツリCNAMEでoutlook.office365.comに向いてます。

> imap-mail.outlook.com

imap-mail.outlook.com canonical name = outlook.office365.com.
(以下略)

確かに、改めてOutlook.comを見ると、IMAPの取得先がoutlook.office365.comに変わっている。。。

で、これについては、とりあえず、outlook.comで他のメールアドレスも持っていたので、そっちでログインして一旦回避。あとで、UPNももとに戻しました。苦労しましたけど。これは後述しますね。

■サインアップ時のユーザ以外にも全体管理者を設定

しました。目論見どおりに行けばサインアップ時のユーザにはOffice365のライセンスは与えないつもりです。
※連絡先メールアドレスは、別のユーザ(課金予定)にしています。し、これも後述しますが、zure Active Directory ID 同期ツールのエラーとかはちゃんとそっちのアドレスに届いています。

で、とりあえず全体管理者つけました。

そしたらAzure AD側も勝手にグローバル管理者になってました。
※むしろAzure AD側を変えた?のかな。まぁユーザ管理する以上そうなるか。

■SPFレコードの設定(MX切り替えはまだ)

とりあえずもう事実上切り替わっているので、送信はOffice365になります。
なので、SPFレコードにOffice365も追加しました。

■ID 同期のエラー レポートに対処する

Azure AD Connectで同期し始めたから30分に一通エラーが届いていました。

この問題は、Azure Active Directory ID 同期ツールがインストールされているサーバーでID 同期トラブルシューティング ツールを実行することによって、トラブルシューティングできます。

だそうな。

SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c}とやらが同期できないと。

なんかこれもよくあるトラブルっぽいですね。

Office 365 のユーザー アカウントを同期する際、Azure Active Directory 同期ツールを使用できない

mailNickNameが抜けているのでmailに併せて入れろと。

ただ、家の環境だとmailNickNameもmailも空っぽなんですが・・・。

しょうがないんで、他に併せて雰囲気で入れました。

ということで、エラーメールは来なくなりましたので解決?です。

 

■Azure AD Connectでのディレクトリ同期環境におけるOffice365ユーザ名(UPN)の変更

冒頭のやらかしへの対応です。

まぁもう一度戻せばいいやくらいに思ってましたが、ホームのユーザの編集からは変更できない。。
※ちなみにAzure AD上でも編集不可でした。

このユーザーはローカルの Active Directory と同期されています。一部の詳細は、ローカルの Active Directory でのみ編集できます。

んー、昨日触れたやん!

今度は、「アクティブなユーザ」からやってみる。

お、いける?

はいだめー。

The operation on mailbox “ユーザ名” failed because it’s out of the current user’s write scope. The action ‘Set-Mailbox’, ‘EmailAddresses’, can’t be performed on the object ‘ユーザ名’ because the object is being synchronized from your on-premises organization. This action should be performed on the object in your on-premises organization.

※これ、一回やったら戻せないだけかも。再現できちゃったよ。一回は変更できるけどもとに戻せないのかな。不思議だなぁ。

で、直し方ですが、すでにナレッジがあります。Office365はナレッジが多くて助りますね。Exchange 2010も枯れてるし、移行した企業も多そうで、いろいろナレッジが溜まっていてやりやすいです。

ディレクトリ同期環境でオンプレミス AD の UPN を変更しても Office 365 に反映されない

PowerShellで頑張ってくださいってことです。ちなみに上記サイトのサンプルコマンド間違ってるので気をつけてください。

Set-MsolUserPrincipalName -NewUserPrincipalName <変更後の UsePrincipalName> -UsePrincipalName <現在登録されているUsePrincipalName>

↓r抜けてます。

Set-MsolUserPrincipalName -NewUserPrincipalName <変更後の UserPrincipalName> -UsePrincipalName <現在登録されているUsePrincipalName>

まぁ上記サイト通り、「Windows PowerShell 用 Windows Azure Active Directory モジュール」で変更します。
Windows PowerShell 用 Windows Azure Active Directory モジュールのインストール方法は以下のサイトにまとまっています。

Azure Active Directory の PowerShell モジュール

うちの2008 R2は古いので、PowerShellをバージョンアップする必要がありました。

あと、上記のUPN変更だけならモジュールは「MSOnline」だけ入れればOKでした。

 

■残タスク

残タスクは、オンプレミスのExchangeから移行したユーザメールボックスの共有メールボックス化と、そのアクセス方法の検証かなー。それが終われば、MXバチッと切り替えますか。
※内部のサーバとかも結構向け替えないと駄目だからちょっといろいろ昔の設定を調べ直しorz

うまく行けば、試用版からOffice 365 Business Essentiialsの購入ですね。

最悪メインじゃないメールボックスは、¥430の「Exchange Online プラン 1」でもいい気がしてきた。

このIMAPで共有メールボックス読む方法も試してみないと。

APPLE MAILでOFFICE365の共有メールボックスの設定

今だと共有メールボックスよりもグループ?なのかなぁ。

Office365「共有メールボックス」とは

ちなみに、今の所移行は順調ですが、ADいつまでも必要じゃないかな・・・。
一回だけ同期する的なオプションを前回選んだ気がしますが、30分おきに同期してるっぽいんですよね。
同期をちゃんと終了して、もうなくしていいのかな。。。。。。

オンプレExchangeやめ時も難しそう。。。Azure AD Connectもいつまで必要なんや。ちゃんと同期止めたりしないとごちゃごちゃしそうだし。。。
おいらもオンプレのADもExchangeもサポート切れなんや・・・。
※NPSだけなんとかしないと・・・無線ももう無理してEAP使うのやめよかなぁ。
macOSもAD参加させてるしこれの移行も面倒だなorz

ハイブリッド展開でオンプレミスの Exchange サーバーを使用停止にする方法とそのタイミング

うーん。この記事だとカットオーバー移行だったら、スパッとやめられるっぽいことが書いてますね。
環境小さいから、ハイブリッドにしたのやっぱりしくったなぁ。
でもこの記事も同期は1回って書いてるようなぁ。

Exchange 2010 のサポート終了ロードマップ

うちは以下のサイトで言うところの②ですね。

【やまなか日記】第2回Office 365のクラウドID管理

あと、Azure Active Directoryに切り替えてやろうかと思いましたが、ちょっとイマイチなのかなー。
まだまだ情報収集中です。

Active DirectoryのPaaS版、Azure Active Directory Domain Servicesとは?

Active Directory?Azure Active Directory?混乱ポイントを整理!

今日は練習もいって疲れたので残りはまた明日。

予定してるWebサーバのAWS移行は連休中に間に合うかなー。

 

【バックナンバー】

Leave a Comment

令和になったことだしクラウドへ移行する – 3 – Exchange Server 2010 to Office 365(2)

ども。こんにちは。

前回の続きです。途中インターネット通信の問題が発覚して、溜まっていたWindows Updateなどをやったため、ちょっと時間をロスしました。(一応最新のExchange Server 2010のロールアップを当てておきたかったのでここは飛ばさす)

引き続きオンプレミスのExchange Server 2010からOffice 365(Exchange Online)へ移行します。

ここからはメールボックスの移行のため、ハイブリッド構成ウィザード(HCW)を実行します。

環境:
Windows 2008 Server R2 Datacenter
Exchange Server 2010 Service Pack 3(SP3) Roll Up 27です。

なんやかんや2時間半くらいロスしましたが再開します。

改めてインストール。即効でおわります。

なんかアイコン出てきた&なんか勝手に起動した。

次へ。いい感じで検出してくれます。

Administratorも勝手に検出ってか、ログインユーザか。

続いてOffice365側の資格情報なのですが、ちょっと参ったことに、今回サインアップしたメールアドレスってOutlook.comやマイクロソフトアカウントや、Azureにも使ってるっていうとんでもないアカウントだった・・・。

あと多分まだ、アカウントにライセンスを割り当ててないと思うので、今回はおとなしくonmicrosoft.comで行きます。

はい。とおりましたー。

1分くらい?で情報収集完了。

これはやや悩むなぁ。

デフォで行くかぁ。こだわりもないし。

ハイブリッド > ハイブリッド構成ウィザード > 組織のポリシー

[組織構成の転送] を選択すると、ハイブリッド構成ウィザードにより、組織全体のポリシーがオンプレミスの組織から Office 365 にコピーされます。ウィザードでは、アイテム保持ポリシー、アイテム保持ポリシー タグ、OWA メールボックス ポリシー、モバイル デバイス メールボックス ポリシーをコピーできます。

うん、このまま行こう!

お、また資格情報か。Administratorで良いのだろうか・・・。

行けたっぽい?

はい。更新しまーす!

2〜3分で終わりました。

おー。ここでAzure AD Connectがでてくるのかー。

推奨を信じます。

簡単設定とやらで。

んーーーー

Azureはすでにサブスクリプション持ってるのでそっちにしたかったけどうまく行かず・・
というかOffice 365サインアップした時点でAzure ADできてたっぽいので、またこっちもonmicrosoftで。

こんどはローカルADの情報を入れます。

お、ADのドメイン名と、サインアップ時にしてしたドメイン名がずれてた・・。

「Azure AD へのサインインにオンプレミスの資格情報を使用するには、UPN サフィックスが Azure AD の検証済みカスタム ドメインのいずれかと一致している必要があります。次の表には、オンプレミスの環境で定義されている UPN サフィックスと、一致する Azure のカスタム ドメインが記載されています。」だそうな。

とりあえずAzure AD上にカスタムドメインを作ってみる。

更新ボタンおしたら行けた。

ここもデフォルトを信じる!

おうおう。SQLServerとか入んのかよ。

AD Connect無事完了。

完了しましたを押してあげる。

同期始まった。

うわぁ。わらわらアカウント上がってきた。

どうでもいいテストアカウントとか、無線でMACアドレス認証やろうとしてた名残とか上がってきた・・・。
これ課金されないよね・・・?

グループにも配布フループとかきたっぽい。

はい。移行エンドポイントの作成に失敗します。

これよくあるトラブルらしいですが、クソほどハマりました。ので、あとで詳しく書きます。
※このときはオレオレ(自己署名)証明書が蹴られたかーくらいの甘い気持ちでした。

 

一応終わったぽい。あとはExchange管理コンソールでって感じですね。

よっしゃ移行の続きやるでー!!とおもったら、うーん。やっぱりライセンス割当いるのかー。
これ3人分契約しないと駄目かな・・・。あとで共有メールボックスに変更できるのかな・・・・。

じゃぁまぁとりあえず必要なやつにライセンス当てましょう。
※試用版ではじめておいてよかった・・・。

改めてここから行ってみます。

3つ割り当てます。

ユーザへの通知は一旦後回しにします。自分ひとりだし。

いや、まだ一個も移行してないけど、とりあえず終わったことにします。

 

まだDNSは切り替えないので後回しで。

とりあえずExchangeだけ開始。

ここではとりあえずレコード情報をCSVで抜いておきます。

よし、やっと移行に進めるぞ!!!!

はい。「移行エンドポイントが見つかりません。」

さーて、ここから相当ハマりました。

よくあるトラブルらしく以下のガイドがあります。

(英語だけど詳しい)

Troubleshooting issues where the hybrid migration endpoint cannot be created

(さらっとしている)

オンプレミスの Exchange Server から Exchange Online へメールボックスを移動しようとすると、”The remote server returned an error: (403) Forbidden.” エラーが表示される

うちの場合は以下にどハマりしました。

  • 正規に署名された証明書をOutlook Anyehere(OWA?)に適用していなかった
    • 急いでGeoTrustの30日のトライアル証明書を取得
      これ結構海外でもハマってる人いました。
    • その後、発行された証明書をExchangeコンソールから、IISに適用
  • MRSProxyはEnableだったが、認証方式にBasicがなかった
    • オンプレExchange側の管理シェルで以下のコマンドを実行
    • Set-WebServicesVirtualDirectory “EWS (Default Web Site)” -BasicAuthentication $true
    • iisresetもしておく。
  • MRSProxyのExternalURLが実際に外部(Office365)からアクセス際のURLとずれていた
    • 上記同様に以下のコマンドをExchangeの管理シェルから実行して修正
    • Set-WebServicesVirtualDirectory “EWS (Default Web Site)”  -ExternalUrl https://hogehoge.com/ews/exchange.asmx
    • iisresetもしておく
  • 何故かOffice365側で「ドメイン¥」を入れないと通った
    • 謎。これだけで良かったかも。。。。

以下、上記トラブルシューティングのドキュメントにもあるけど、使えるコマンド。

太字部分は要注意。

 

Get-WebServicesVirtualDirectory|fl ExternalAuthenticationMethods,Externalurl,MRSproxyEnabled,Server

ExternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity}
ExternalUrl : https://hogehoge.com/ews/exchange.asmx
MRSProxyEnabled : True
Server : hoge

 

Set-WebServicesVirtualDirectory “EWS (Default Web Site)” -BasicAuthentication $true

ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
ExternalUrl : https://hogehoge.com/ews/exchange.asmx
MRSProxyEnabled : True
Server : hoge

あと、MRSHeathも実行してみるといいかも。

[PS] C:\Windows\system32>Test-MRSHealth

(省略)全部isValid Trueなら多分OK

さて、ここまでいろいろ切り分けして・・・

結局ユーザ名にはドメイン名は入れずに・・・

どーん!

はい。無事一つ移行が終わりました。

され、これ同期状態になったわけでですが、新しいメールはDNS切り替えまでこないから多少メールロストするかなぁと思ってたら・・・

新しいメールは、オンプレExchangeを通ってOffice365側に送られているみたいで、逆にオンプレのメールボックスには入りません。
※Office 365がクライアントになってメールをかっさらっていくイメージです。

ほうほう。それでハイブリッドなわけですね。

じゃぁ安心して重たいメールも移行していきますかー。

 

・・・。これ2−3メールボックスならPSTインポートしたほうが早くね・・・。

 

とりあえず、まだMXレコードは切り替えません&ログインのドメインが想定外になってたり、あと、結局ライセンスのシート数の数え方もわからないので。。。ってあれ、もうオンプレには新しいメール来ないのか。。。

まぁ考えます。結局間にExchangeサーバのWindows Updateが走ったりを除くと、ここまで8時間ほどかかりました。うへぇー。

 

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 2 – Exchange Server 2010 to Office 365(1)

ども。こんにちは。

早速行きましょう。

まずはオンプレExchange Server 2010をOffice 365 Business Essentialsへ移行します。

まずは、試用版のあるOffice 365 Business Premiumに登録します。

■サインイン

 

ええええーー。出鼻くじかれた。

お?イケてる?

んー。待てばいいのか?

30分ほど待ちましたが、なんにも起きず管理センターもこの状態・・・。

さて、どうしたものか。。。

しょうがないので改めてトライアルを追加してみる。

間にまたSMSでの認証がはいります。(省略)

即効ででてきた笑

とりあえずここまででサインインは完了かな?

この時点で「onmicrosoft.com」ではすでにメールが受信できました。

 

■Exchange Onlineの設定

設定を進めていきます。

今は試用版なのでアプリがでてるっぽいですが、迷わずExchange側の設定に進みます。
※購入するのはあくまでOffice 365 Business Essentialsなので。

この辺はサクッと

今回はDNSにTXTレコードを書く方法でやります。

以下CloudFlareの例です。

まぁサクッと終わりますね。

ここでは一旦ユーザ追加はしません。

お、移行の話になってきましたね。

もちろんExchangeで!

ハイブリッド構成ウィザードなるものを入れろと。

exeが降ってきたのでオンプレExchangeサーバにいれましょう。

・・・お?

話がそれますが、ここに来てうちの古いCentos 5がwindows.comとかマイクロソフト系の名前解決に軒並み失敗していることに気づいてしまいます。
(うちは大昔からの名残で、ActiveDirectory兼ExchangeサーバもBINDをDNSサーバとして向けています。愚の骨頂です。)

ただ、CentOS6のDNSサーバは問題なさそうでなので急遽AD兼ExchangeサーバのセカンダリDNSサーバにCentOS 6を設定。※ちなみにCentOS 5.11はbind-9.3.6-25.P1.el5_11.12でした。古!!!!

今更ながらKSKロールオーバーの影響じゃね?という気がしてきた。。。
今までも失敗してたけど、CentOS6側に問い合わせが流れて行ってたみたい。

FortiGateばっかり疑ってたわー。

2018年9月24日くらいからWindows Updateこけっぱなしで変だなぁとは思ってたけど。。。。

 

話がそれましたが、ちょっとWindowsUpateなので休憩。

次は移行から。

【バックナンバー】

ではでは。またの機会に。

Leave a Comment

令和になったことだしクラウドへ移行する – 1 – 全体方針

ども。こんんばんは。

今日から新元号「令和」となりましたね。

ということで、いい加減に我が家の老朽化したシステムたちを10連休後半で移行していきたいと思います。

  • 方針
    • クラウド移行対象
      • メール
        • 既存のExchange Server 2010をOffice365に移行する
      • ブログ
        • AWS EC2へ移行する
    • クラウド移行対象外
      • 監視サーバ(Zabbix)
      • ActiveDiretory
      • PBX(FreePBX)
      • ファイルサーバ
    • その他: NASもそろそろいい加減にリプレース
      • NASをリプレースし、移行しないオンプレシステムは原則コンテナで構築しなおし
        ADだけは、無線の802.1xなどもあるので、そのへんを鑑みて、AzureADで対応できるか今後調査。
        最悪FreeRADIUSとかをコンテナで・・。
      • ファイルサーバも廃止しNASのネイティブなSMB、CIFSなどに統合する
    • クラウド移行済み
      • 外部向けDNSサーバ
        • CloudFlareに移行済み

さて、それぞれですが、以下の理由により選定しました。

  • Office365:既存のExchangeからリプレースしやすそう。メールボックスはEACから移行できるっぽい。
  • AWS
    • 最初はAzure App ServiceもしくはAzureのVMを検討、ただAzureはまぁなんやかんや仕事でも使うので、あんまり触っていないAWSに挑戦してみることにする。
      すでにAzure上にはSentinelやVMが動いてるし。。
    • AWSだとLightsailがお得だと思うが、それならさくらとかのVPSとかと変わらない・・・と思うので、ちゃんとEC2を立ててみることにする。
    • GCPのAlways Freeも検討しましたが、割とチューニングしないと重くて動かなそうです。
    • その他wpXとか、mixhostとかも良さそうなんだけど、今回は勉強も兼ねてAWSですね。

ただ、ちょっと問題が早速ありそうで、macOSの標準メールだと、Exchange上の共有メールボックスがおそらく開けないと思われます。(IMAPなら行けるという記事も:APPLE MAILでOFFICE365の共有メールボックスの設定)
※WindowsのOutlookなら、それぞれのメールボックスに権限を付けるだけで勝手に見えるようになります。

過去、同じ問題に対処していますが、結局オンプレExchangeなのでボックスごとにユーザを割り当てて、複数アカウントを管理する形で逃げています

ところが今度はクラウドなのでそのやり方をすると、おそらくユーザが複数になるかと

参考:Macネタ – 2 –Macネタ – 4 –

Office 365 E1(¥870/ユーザ、アプリなし)か、Office 365 Business Premium(¥1,360/ユーザ、アプリあり)か悩みますね。

もちろんExhchage目当てにE1にするくらいなら、Buisiness Eessential(同じくExchangeくらい)で、もっと費用を落とす手もありますねぇ。

BusinessとEnterpriseうーん・・・

比較参照情報

うーーーーん。やっぱりデスクトップ版のoutlook必要かー?まぁメインのメールボックスさえ開ければあとはOWAでもいいかなぁ。

macOS標準メールでも行けそうなきがするなぁ

Adding Office 365 Shared Mailbox in Mac Mail

んーーー!!!

訴訟ホールドとかいらんし、300人超えることもありえなし、Buisines Essentialsでいいかな!

駄目だったらプラン変更すればいいし!どうせE3は変えないんだからビジネスでいいや!

ということで、次からメールの移行を始めたいと思います。

ではでは。またの機会に。

 

 

Leave a Comment

サックス練習 – 30 –

ども。こんばんは。

10連休ですね。

久々に動画を上げてみました。

Dave Koz風に今井美樹のPEACE OF MY WISHです。

先日購入したGottsuのMetal HL 2018 #7、リードはWoodStoneの3 1/2です。

タイトルに一個Aが多いのはご愛嬌。

 

 

本物はこちら。

こんなふうに吹けたら気持ちいいだろうなぁ。

 

 

音源とスコアはこちらをお借りしました。

 

 

Leave a Comment

CISMに挑戦してみる – 6 –

ども。こんばんは。

無事CISMに認定されました。

が、メールはまだ来ていません。。

気になって定期的にmy ISACAを見てたら認定されてました。

んで、バッジ?とやらを受け取ってみました。
※Acclaimのアカウント会社で作ってた気がする・・・けど改めて作りました。

一時間後くらい?にBadge AcceptedがYESに変わっていました。

で、私のCPEですが、来年(2020年から)みたいですね。

継続専門教育(CPE)方針によると・・・

年次および 3 年間の報告期間

年次の報告期間は、毎年 1 月 1 日から始まります。3 年間の認定期間は人によって様々であり、その期間は、年次請求書と認定要件の年次 確認書に記載しています。 新規に認定された CISM の方々については、年次および 3 年間の認定期間は、認定された翌年の 1 月 1 日から始まります。認定された年 度中は、一定時間、CPE を受けることは必要とされていません。ただし、認定の日からその同じ年の 12 月 31 日までに受けた教育の時間数は、 最初の報告期間に受けたものとして報告することができます。

ということで、今年(2019年)に溜め込んでおいて、2020年一発目にガバっと登録できる・・・?のかな。

で、来年の更新時にはCPEのメンテナンス費用がかかると・・・。

ちなみにすでにアンケートやらサーベイで2CPEあるのでが、試しに登録してみても反映されませんでした・・・。

 

最後に、受験から合格〜認定までのタイムラインです。
※すべて日本時間です。ISACA本部はCDTっぽいので、JST-14時間ってところですかね。
現地23時が日本の翌朝9時。

ということで、受験から認定までなんやかんや1ヶ月近くかかりました。

さぁこれからはCPE方針に従って維持活動をがんばりますか。

※認定完了のメールはいつ届くんだろう・・・。

【2019/04/23追記】
無事、認定部門からメールも届きました。
2週間〜8週間でピンと証書が郵便で届くそうです。
※PDF版は、4/20の段階でダウンロードできるようになっていました。

そして本日の4月月例会から月例会デビューしました!

 

 

【バックナンバー】
参考にならないと思いますが、勉強方法などは3に記載しています。

ではでは。またの機会に。

Leave a Comment

【雑記】書きたかったこと。出来事。買ったものとか(2019年4月前半)

ども。こんばんは。

最近はちょこちょこ更新してますので小物周りのことを書きます。

■USB Type-Cケーブルを買う(2019/04/08)

先日買ったmagedokのディスプレイですが、付属のUSB Type-Cケーブルが不良だったようで、Type-C 1本で接続するととても不安定(数秒おきに画面が暗転する)だったのでケーブルを買い変えました。

エレコム USB-Cケーブル C-C 1m USB3.1Gen2 認証品 PD対応 5A出力 ブラック USB3-CC5P10NBK
¥1,366なり。

5A出力できてPower Delivery(PD)対応で最大100W(20V/5A)まで出力できます。
USB-IF認証済みでまともそうなケーブルとしては結構安いかなと思います。

ただ、ちょっと端子が大きいです。
※ケーブル自体は結構柔らかくて取り回しがいいです。

奥が今回買ったエレコム、手前が以前買ったAnker PowerLine II USB-C & USB-C 2.0 ケーブルです。

ちょっと変な力が加わるとPC側の端子を痛めそう・・・。

ちなみに気に入ったので後日もう一本買いました!

■PMBOK 第6版を買ってPMPの勉強を始める(2019/04/10)

A Guide to the Project Management Body of Knowledge (PMBOK® Guide)–Sixth Edition (JAPANESE) Kindle版
¥11,061なり。高い。

買ったからには勉強しよう。。。

ちなみに、Amazonギフト券やポイントをKindle本購入時にどうやって使うんだろうと調べていたところ、どうやらKindleでの購入時には、勝手にアカウントに登録済みのギフト券やポイントが使われるそうです。
買ったあとに、登録してたギフト券がなくなってましたorz

■ケーブル巻くやつを買う(2019/04/12)

PurEyes ケーブル結束バンド 毛足が短いすっきりマジックテープタイプ コードまとめ 収納に 20cm 50本入り
¥400なり。

安い。

まぁ普通ですね。ちょっと長いかな?

とりあえず手近なケーブルは巻いていきました。
黒ばっかりで良かったのにとあとで後悔。緑とかあんま使わないし。。。

■PD対応充電器を買う(2019/04/16)

ずっと欲しかったAnkerの窒化ガリウムとやらが採用されている「Anker PowerPort Atom PD 1」です。
¥3,499なり。結構高い・・・。

PDで60Wまで対応するPowerPort PD 60と悩んだのですが、とりあえず30Wで今の所困ってないしそれよりも小さいのがほしい!ということで、Atomにしました。
※本当はFinsixのDARTのType-C版であるDart-Cの日本販売を待ってたのですが全然出ませんでしたね。
RAVPOWER含め窒化ガリウムが次のトレンドなのかなー。

在庫切れが続いていましたが、昨日なんとなくAmazonを見ていたら在庫復活してたのでポチりました。
明日(04/18)到着予定と書いてたのに、当日届きました。珍しいパターンですね。
というか、朝注文して夜届くパターン久しぶりな気がします。

箱自体すでに小さい。

過去に購入した、Anker PowerPort ll PD – 1 PD and 1 PowerIQ 2.0の箱との比較です。

おおーー!小さい!

ちゃんと20V/1.5A出力できると説明書と本体に明記されています。

予想以上に小さいですね。

普通のタバコより小さいHOPEの箱と比べてもこの大きさです。

PowerPort ll PD – 1 PD and 1 PowerIQ 2.0との比較。

Type-C 1つしかないとはいえ、この大きさの違いはなかなです。
※PowerPort ll PD – 1 PD and 1 PowerIQ 2.0も決してそこまで大きくはないです。
むしろ大きさの割に、PD(30W)とType-Aもついてて結構重宝するんですよね。

若干Atomのほうが厚みがありますね。

ちなみにAtomは、コンセント部分を折りたたむことができません。
それでも大きさ的には満足です。

充電中の感じ。特にLEDとかはないっぽいですね。

小さので周りともあまり干渉しません。これもなかなかGoodポイントではないでしょうか。

 

以前購入したバッグインバッグにいろいろ詰め込んでますが、入れ替えると結構スッキリしました。

 

■パニック障害の経過(2)

だいぶ落ち着いてきました。
今日からは、仕事以外ではなるべく頓服のソランックスを減らしていく方針になりました。

最終的に今この薬に落ち着いています。

赤色が前回からの追加分。

  • 朝  :ソラナックス 0.4mg x1   /ガナトン50mg x1/イミドール 25mg x1/イミドール10mg x2
  • 昼  :ソラナックス 0.4m x0.5  /ガナトン50mg x1/イミドール 25mg x1/イミドール10mg x1
  • 夜  :ソラナックス 0.4m x0.5  /ガナトン50mg x1/イミドール 25mg x1/イミドール10mg x1
  • 就寝前:ソラナックス 0.4m x0.5  /イミドール10mg x1

 

 

■その他書きたいと思っているけどかけてないこと

結構書きたいことが溜まってます・・・。

備忘録にサマリーだけ。

  • うちのFortiGate(FortiOS 6.0.4)がどうやらアプリケーション識別が全く動いてないらしい
    →InspectionモードはFlow-basedで、NGFWモードはPolicy-based。
    おそらくSSL/SSH Inspectionが悪さをしていると思う。(ちなみにカスタムのCertificate-inspectionを当てても駄目だった。一回FactoryResetしたほうがいいかも。。。)
  • 同じく家のFortiGateがSSL-VPN越しにSSHが通らない。
    →これは、IPS/AVを外す(=SSL/SSH Inspectionが外れる)で回避。糞だな本当に。
  • 最近はMicrosoft Azureをよく触っているのでAzureの主にセキュリティ周りの話を本腰入れて書きたい。
    • Azure Security Centerのこと
    • Azure Sentinel にオンプレミスのFortiGateのログを食わせてる話
      • もう結構な期間食わせてる。
    • Azure Firewallを立てたら、1パケットも流れてないのに1日¥3,000も請求された話
      ※悪いのは私ですけどね。
  • CloudFlareのキャッシュの話
    • ちょっといろいろテスト中なので書きたい。
  • いい加減NASをリプレースしたい話
  • いい加減サーバをクラウド化したい話
  • TV録画用PCが壊れっぱなしな話
  • スマートウォッチの電源が最近持たないので、常時点灯をオフにした話
  • Amazon Fire TVでTVerが利用できるようになって結構便利な話
  • HTC U11(HTV33)が毎週土曜に画面点滅現象が起きる話
    • 5ch情報だとAmazon Musicの通知が原因じゃないかという話だが、まだうちの端末では切り分けできていないorz

あとなんかあったっけな・・・。

ではでは。またの機会に。

Leave a Comment

CISMに挑戦してみる – 5 –

ども。こんばんは。

無事試験に合格し、2019/04/08の日本時間の正午ごろにApplication Formを提出しました。

申請書はこのあたり。私は「Applications for CISM Exam Passers 2017 and Later」の日本語版で申請しました。

http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Apply-for-certification/Pages/default.aspx

私の経歴では、現職がギリギリ5年に満たないので、セクションAが2社記載する複数社の形式になります。
前職の上司にサインもらわないとだめかなぁと思っていたら、一応現職の上司に過去の経歴含めて証明してもらえば大丈夫という情報を頂いたので、その方式で提出しました。

本日(2019/04/15) 日本時間23時頃、無事レビューが終わったので3〜4営業日で正式な認定のメールが出るよ!という返事がISACAからきました。

【2019/04/17追記】
myCertificationsのページも変わっていました。

もともと申請から認定まで2週間程度かかると聞いていましたが、とりあえず申請OKだったみたいで一安心です。

で、次ですが、勢いに乗ってPMPWを受けてみることにしました。

とりあえずKindle版のPMBOK 第6版を通勤時間にちょっとずつ読んでます。

夏くらいにPMPとりたいなぁ。

【バックナンバー】
参考にならないと思いますが、勉強方法などは3に記載しています。

ではでは。またの機会に。

Leave a Comment

【FortiGate】うっかり忘れたPhase-1のPre-Shared keyを見つける方法【6.0確認済み】

ども。こんばんは。

小ネタです。

誰かの役に立てば。

  1. 普通にFortiGateのGUIにログインする
  2. VDOM環境の場合は、該当のVDOMに切り替える(GUIで)
  3. 同じブラウザで以下のURLにアクセスする
    https://[FortiGateのIPアドレス:ポート]/api/v2/cmdb/vpn.ipsec/phase1-interface?plain-text-password=1
  4. JSONで結果が帰ってくるので該当のP1の「psksecret」を探す
  5. 以上!

ね。簡単でしょ?

ちなみにミソは「plain-text-password=1」です。これをつけないと「 “ENC XXXX”」になってしまいます。
リファレンスには「plain-text-password=1」のってないっぽいんですよね。

参考:Pre-shared Key | Fortinet Technical Discussion Forums

 

普通にリストアする分には困らないけど、FortiGateから別の機器にリプレースするときとかに使えるかな。
※たまーにありますね。「すいませんPre-Shared Keyなんでしたっけ・・・」って、そんなこと客に聞けるかよ!っていう状況。

ちなみに、2019年4月10日現在でFortiOS 6.0.4でも確認済みです。
未確認ですが、FortiOS 5.2.3以降くらいなら使えると思います。

FortiGateのAPIってあんまり意識してなかったなぁ。これを機になんか作ってみようかなぁ。

↑と思って、ドキュメントライブラリ(https://docs.fortinet.com/)探してたら・・・

随分画面変わってる!、し、FortiOS 6.2出とるやないかい!

うちに来てないぞ―

ん?

【リリースノート】
https://docs.fortinet.com/document/fortigate/6.2.0/fortios-release-notes/760203/introduction-and-supported-models

FortiOS 6.2.0 supports the following models.

FortiGate FG-30E, FG-30E_3G4G_INTL, FG-30E_3G4G_NAM, FG-50E, FG‑51E, FG-52E, FG-60E, FG-60E-POE, FG-61E, FG‑80D, FG-80E, FG-80E-POE, FG-81E, FG-81E-POE, FG-90E, FG-92D, FG-100D, FG-100E, FG-100EF, FG-101E, FG-140D, FG-140D-POE, FG-140E, FG-140E-POE, FG-200E, FG-201E, FG‑300D, FG-300E, FG-301E, FG‑400D, FG‑400E, FG‑401E, FG‑500D, FG‑500E, FG-501E, FG-600D, FG-600E, FG-601E, FG-800D, FG‑900D, FG-1000D, FG‑1200D, FG-1500D, FG-1500DT, FG-2000E, FG-2500E, FG-3000D, FG-3100D, FG‑3200D, FG-3700D, FG-3800D, FG‑3810D, FG-3815D, FG-5001D, FG-3960E, FG‑3980E, FG-5001E, FG-5001E1

 

あちゃー。60D、90D、200Dあたり外れたか・・・。
100Dはまだ行けるのね。さすが100D。

そして新機能が・・・・。Split-Task VDOMってなんだそれ・・・。

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/519101/expanding-fabric-family

まだライセンス残ってるけど、6.2入らないのはやだなぁ。
もったいないけどさっさとEシリーズにリプレースしますかねえ。

ではでは。またの機会に。

検索:FortiGate pre-shared key recovery p1 pshase1 ipsec vpn psk forget secret 

Leave a Comment

サックス練習 – 29 – 新しいマウスピース!

ども。こんばんは。

CISMの合格祝いというわけではないですが、前から欲しかったGottsuのMetal HL(2018年モデル)を購入しました!

実は先月(2018/03/01)にも、一度買おうと思って、練習(最近はオトレンさんを利用しています。)のついでに大久保周辺を回っていました。
大久保界隈からオトレンさんまで歩くと、30分くらいかかるんですよね。。でも移動手段が徒歩くらいしかない。。

で、そのタイミングでは欲しかった#7がなく・・・。

#7への強いこだわりはないのですが、今使っているヤナギサワのメタルが#7でオープニングは2.05mmです。
吹きなれているのとリードの硬さとの兼ね合いで、なるべく近いものをということで、オープニングが2.0mmの#7にがいいなぁと思っていました。(#6だと1.9mm、#8だと2.1mm)

ところが・・・

クロサワ楽器さん:#7のみ在庫切れ、そのうち入るとのこと
山野楽器さん:Gottsuは購入前提で取り寄せになるとのこと
DACさん:旧モデルの#7は在庫あり・・・が、新モデルなし

という状況。やはり#6、#7あたりが人気の模様ですね。

とりあえずDACさんで、旧Metal HL #7と2018年モデルのMetal HL #6を試奏させてもらいましたが、どちらもしっくりこず・・・。

ただ、試奏させてもらってハイバッフルってパワフルでいいな!というのは実感できましたので、いずれ買おうとは決めていました。

それから、一ヶ月、CISMの受験も終わり、無事合格通知が届いた4/6に、オトレンさんでの練習再開も兼ねてもう一度クロサワ楽器さんへ行ってきました。

#7入荷してた!

ので、早速試奏させていただきました。

うん。いい感じです。すごいパワー。YAMAHA 4Cのラバーから、今のヤナギサワメタルに変えた時よりも衝撃的な音の違いでした。

もう購入決定!と思っていましたが、気になっていたDukoffのD7も吹かせてもらいました。

Dukoffの方は私の腕だとちょっと吹きづらくうまくコントロールできなさそうだったのと、
今のネックのコルクに対して少しゆるいみたいでちゃんと使うならコルクのまきなおしになりそうでした。

ということで、Gottsu Metal HL 2018買いました!

価格は税込みで、¥29,160でした。ネットとかで買うより随分安いです。

で、早速オトレンさんで練習開始前に開封です。

 

2018年モデルは、旧モデルに比べリガチャーとキャップがついています。

おおー。改めて見ると全然違うなぁ。

オープニングはこんな感じ。

リガチャの止める場所がいまいちわからない。。。けどこの辺かな。もっとネックよりな気もします。

2時間ほど練習してみましたが、今までのヤナギサワのメタル#7より少し難しい感じはありますが、なんとか練習すればいい感じになりそうです。

だんだん自分の求めている音色に近づいてきた気がします。

あと、はじめてのメタルにヤナギサワを選んだのは正解だったかも。

2017年7月から約1 年8ヶ月、基本的にヤナギサワのメタルで練習をしています。

これ、YAMAHA 4CからいきなりGottsuだと全然音出せなかったかも・・・?

ちなみにこの日リード5号がおなくなりになりました(;_;)

さて、ここからは自宅に戻って、ヤナギサワのメタルと比較してみました。

中が全然違いますね。左がヤナギサワ、右がGottsuです。

ちなみに、Gottsu Metal HLの新旧比較はこちらが参考になります。

【参考】

ゴッツのメタルマウスピース「HLモデル」がモデルチェンジ!

 

さあ来週も練習しよ!

ではでは。またの機会に。

Leave a Comment

CISMに挑戦してみる – 4 –

ども。こんばんは。

2019/03/26に受験したCISMですが、今日ようやく試験結果のメールがきました。

10日ほどかかるとは聞いていましたが、11日(9営業日)かかりました。
日本時間で夜中に来ると思いこんでましたが、本日(4/6(土))の13時頃に届きました!

メールは来るけど、myCertificationには更に数日かかるという情報もありましたが、同じタイミングで反映されたようです。

結果は無事合格!
※ちなみにメールは、office365の機能で暗号化されてました。

以下メールより抜粋

We are pleased to inform you that you successfully PASSED the exam with a total scaled score of 574. For your information, your exam results by area are provided below. 

SCALED SCORES BY CONTENT AREA: 

Information Security Governance 481
Information Risk Management and Compliance 668
Information Security Program Development and Management 567
Information Security Incident Management 559
   

以下myISACAのmyCertifications

574/800なので、71%ってところですかね。

やっぱり情報セキュリティがガバナンスはむずい。。。

それでも当日の試験後の感触よりは随分いいです。落ちてるかもとすら思っていたので。

まだ認定を受けるための書類とかを申請してませんが、とりあえず無事合格!

CPEを稼いでちゃんと維持しないとなぁ。

【バックナンバー】
参考にならないと思いますが、勉強方法などは3に記載しています。

CISSPとかも挑戦してみようかなぁ。それよりも先にCISA受けてみようかなー。

ではでは。またの機会に。

Leave a Comment

CISMに挑戦してみる – 3 –

ども。こんばんは。

前回の記事から随分と時が流れました。
そしていきなりですが、今日(2019/03/26)受けてきました。

受験記というか体験記というか。書いてみたいと思います。

#パニック障害の治療中のコンディションでよく受けに行ったもんだなぁと思いますが。。。
#もちろん、薬は事前に飲んで臨んでいます。。

【過去記事】

えーと、結果的には、どうやら受かったぽい?です。

CISMの試験は、その場で仮判定が出て10営業日以内に正式なスコアがメールで届きます。

正直、超トイレに行きたくて最後の画面、ちゃんと見てないのですが、

おそらく
「CISMに合格となりました」
と出てた・・・はず。です。。。
「CISMに合格となりました」
だったような気がしないでもないです。。。

正直落ちたと思ってますので、あんまり見てなかったです。
それよりもトイレに行きたくて。

一応今回の私なりの勉強法です。
以下全然参考にならない可能性があります。。。多分落ちてるし。受かってたとしても運が良かっただけです。きっと。
受験を考える方は、ちゃんとレビューマニュアル読んで体系的に学んだり、事前のISACAのレビューコースに参加したほうがいいと思います。
#正直それでも受かるのか?という気がします。本番に近いサンプル問題集がほしいです。。。

私は手元に「Japanese: CISM サンプル試験問題解答解説第9版」を持っていまして、これは2017年6月に購入したものです。

当時は日本語のレビューマニュアルを見つけられませんでしたが、今はあるみたいです。
※いまISACA Book Storeを見てると「Japanese: CISMレビューマニュアル 第15版 」がありました。

サンプル問題集は2019年3 月現在未だ9版のままみたいです。

で、この問題集ですが、1ドメイン〜4ドメイン全部で1000問ほどあるみたいですが、3週しました。

  • 1週目:普通に解く。間違えた問題をマーク。
  • 2週目:もう一度普通にときながら、前回マーキングした問題をクリアできればマークを外す。
  • 3週目:2週目でマークが取れなかったものを中心にやり直し+自分なりに重要っぽいところに絞ってやり直し

これを実質2週間くらい、通勤時間と土日でやりました。
#問題集買ってからずいぶん時間があきました&年会費も無駄に3年分払いました・・・。
2周目は1日でやりましたが、問題集1周するのに8時間くらいかかったと思います。

そして問題集を逆コンパイル?(国語のテストでよくある「作者の気持ちを答えなさい」的な)をしながら、

目標、戦略、ポリシー、GRC・・・、事業目標とのセキュリティの整合、データ所有者、管理者の責任の違い、運営委員会と取締役〜、RTO/RPO/AIW・・・とか、頻出のキーワードやポイントを自分なりに理解していったつもりです。

そもそも問題の日本語の意味がわからないやつが多すぎるorz

ちなみに実務でもインシデント対応とかしているのでドメイン4は比較的理解しやすかったです。

で、試験前日(昨日)、問題集の巻末のサンプル試験(150問)をやったところ、

所要時間:40分+見直し11分
正答数 :138/150

でした。
※サンプル試験は最後にやろうと思ってたので手を付けてませんでしたが、問題は今までやってきたものが出題されているだけだけでした。

正答率90%超えてます。。しかも計算すると1問平均の解答時間が16秒・・・。
うーん。ほぼ問題暗記しちゃってますね。。。

問題見なくても選択肢の組み合わせを見たら、どれが正解か分かってしまうくらいになってしまっていました。。。
これ、問題と答えを覚えただけじゃね?っていう。。。良くない勉強法ですよね。。

で、今日(2019/3/26)本番です。

秋葉原で受けてきました。余談ですが身分証明書に社員証は使えず、マイナンバーカード+クレジットカードでOKでした。ちなみに、同時間帯でISACAの試験は私だけだったっぽいですね。周りは皆さんAWSっぽかった。うーむ人気だなぁ。

で、試験始まりまして・・・

問題集で見た事ある問題なんて1問か2問でしたorz

最初の数問で諦めかけてましたが、自分なりに問題集から逆コンパイルした内容を当てはめてなんとか解きました。

所要時間はたっぷり2時間30分を使って(最大は4時間)。150問をきっちり2周しました。
フラグ立てた問題だけ見直すとかじゃなくてガチで2周です。
10問くらい2周目に選択肢を変えています。

最後に仮結果が出るのですが、冒頭の通り、多分合格だった・・・と思いますが自信は全くありません。
むしろ不合格の方に自信があるくらいです。

結果が出たら、どのドメインがどうだったかメールで来るみたいので、正式な合否と併せて書きたいと思います。

【2019/04/06追記】
無事合格のメールが届きました

ではでは。またの機会に。

Leave a Comment

パニック障害の経過

ども。こんばんは。

2018年末に発症?(診断された?)したパニック障害ですが、

パニック障害になった話

12/14日から薬物療法をはじめて約2ヶ月半が経過しました。

現在は、以下の薬

  • 朝:ソラナックス 0.4mg x1/ガナトン50mg x1/イミドール 25mg x1
  • 昼:ソラナックス 0.4m x0.5/ガナトン50mg x1/イミドール 25mg x1
  • 夕方:イミドール10mgx1
  • 夜:ソラナックス 0.4m x0.5/ガナトン50mg x1/イミドール 25mg x1
  • 就寝前:ソラナックス 0.4m x0.5

を服用しながら、外出前には必要に応じてソラナックス 0.4mgを1錠頓服するという生活を続けています。

夕方のイミドールは、帰りの満員電車で気分が悪くなることが多く医師と相談して途中で追加しました。
就寝前のソラナックスは特に朝方に症状が出やすいので、これも途中で医師と相談して追加したものです。

頓服の方も上手に使って、今の所通勤前の嘔吐もなくなり、客先移動中での吐き気もずいぶん収まりました。
とはいえまだ完治とは言えず、時折呑空や、喉元の違和感、吐き気が起こっている状況です。(当初に比べればずいぶんマシです。)

そろそろお酒が飲みたいのですが、まだちょっと先になりそうでね。。。

イミドールには眠くなる成分があるようで、仕事中は問題ないのですが、たまに気を抜くと寝落ちします。
#先日新宿から東京に行くつもりで各駅(御茶ノ水あたりで乗り換えるつもり)にのったら、寝落ちして小岩まで行ってしまいました。。。総武線怖い。

そういえば、最近テレビでパニック障害について取り上げられ、芸能人でも発症したことを明かしている方がいますね。

パニック障害 – 授業復習 | 世界一受けたい授業

ここで死ぬ…そんな恐怖と闘ったアイドル|ザ!世界仰天ニュース

おいらの場合はこういう激しい発作はなく、地味な吐き気、呑気、喉の違和感、唾液がうまく飲み込めないとか、そんな症状ですが。

今の所、治療開始後も仕事は特に制限せず、これまで通り客先にもでています。
流石に朝一の初訪問のお客様とかだと、結構きついですが、上記の通り薬もうまく使って今の所なんとかなっています。
テレビでもやってましたが、周りの理解を得ることは治療には大事なことかもしれませんね。
変に気を使われて、社内業務中心とかになってしまうと、なかなか成功体験が作れず予期不安の助長に繋がりそうです。

その点、私は職場環境や上司、同僚に恵まれているので、治療しながらも今まで通りの仕事量、内容を続けています。
毎週1回通院で早退しているので、若干心苦しいところもありますが。。。

成功体験の積み重ねで予期不安を減らして、薬も徐々に減らして…
今年のゴールデンウィークまでには完治させて、また熱海にでも行きたいなぁ。

ではでは。またの機会に。

 

Leave a Comment

俺はVGAを少し甘く見ていたのかもしれない ― 小型モバイルディスプレイ購入

ども。こんばんは。

小型で持ち運びできるモバイルディスプレイを買いました。

サーバのメンテナンスとかにも使えるかなというのと、ちょっとだけ仕事でも必要だったので。

以下長い話になりますが結論を先に。

VGAが必要なら素直に最初からVGA付きを買うべし。

もう一度言おう。

VGAが必要なら素直に最初からVGA付きを買うべし。

 

ここから本編。小型のディスプレイ(小型モニター)がほしいなと。

今も昔も小さいガジェットには憧れますよね。特に持ち運びとかポータブルなんていうキーワードは大好きです。

今回購入にあたっての条件としては・・・

  • 価格は1万円〜1万5千円くらい
  • 10インチ程度(7インチ、8インチ、10.1インチとかそのへん)
  • 比較的軽い。1Kg以下
  • インターフェースはHDMI
  • USBバスパワーで動く(USB給電可) ※安い価格帯のものなので、ACアダプタとかはちょっと怖いかなという意味合いで。
  • できれば、Type-CでPD給電でなやつで、DisplayPort Alternate Modeで出力できるとなおよし。
    Type-C 1本でPCとつないで完結するなら、セカンドスクリーンとしても利用できそう。
  • 解像度はFullHD(FHD、1920×1080)出てほしい

な、感じです。

で、上記の条件でAmazonを探してみるとゴロゴロ中華製が出てきます。

今回候補にあげたのは

Eleduino 10.8 インチHDR IPSフルHD1080P携帯型ゲームモニター ディスプレイ,Nintendo Switch PS4 Pro, Xbox One, Xbox One X, PCのラップトップ対応,USB Type-C/HDMI/スピーカ内蔵/保護ケース

→¥15,886(5%引きクーポンあり)。重さが1Kg以下、保護ケース付きという感じ。ちょっと高いが前提条件を満たす。

cocopar ®11.6インチ 16:9/4:3 HDMI/VGA/3.5mmイヤホン端子 解像度1920*1080PS3/PS4/xbox360/…

→¥12,800。重さは1.1Kgほど。VGAがついている。ちょっとゴツい感じ。USB給電はできない。ACアダプタ付属。

METIS モニター 7インチ ディスプレイ VGA/AV/HDMIケーブル付き 内蔵スピーカー Raspberry Pi対応 1080p液晶 HDM…

→¥4,960。車載用ディスプレイっぽい。小さめ。VGA付きで軽そう。USB給電はできないっぽい。

その他ユーラック(実はUPERFECT?サポートのメールアドレスがユーラックもuperfectになってる・・・。しかもhotmailって)や、Gechicのon-lapシリーズ、おなじみセンチュリー、ASUSなど検討しましたが、価格が高かったり、怪しさ満点だったりで総合評価で、今回はEleduinoを買いました。(まぁeleduinoも十分怪しい。。。)

正直本当はセンチュリーのLCD-8000VH2Bあたりがいいなーとは思ってましたが、販売終了の上に2万円オーバーと結構高い。

編注:後々買ったものを合計すると余裕でセンチュリーのディスプレイが買えます。

 

ということで、Eleduinoとやらのディスプレイを購入。

どうやらEleduinoというのは中国?かどっかのラズパイのアクセサリーショップ?らしい?くて、ディスプレイの製造元はmagedokという会社らしいです。

あえて、mageokにリンクを貼っていません。

公式ページであると思われる

hxxp://www[.]magedok[.]com/

ですが、(まぁ私のURLの表記を見ていただいたら分かる通り)アクセスはおすすめしません。。。

もしかしたら、magedokの偽サイトなのかも?一瞬疑ってしまいますが、本物のようです。

なんと、初回アクセス時以下のような糞な広告にリダイレクトされます。

この時点でだいぶ購入したことを後悔し始めますが、Amazon発送だし、まりあえず届いたし、いいかな。。。と。

では早速開封を。

 

中華らしいきれいな化粧箱に入っています。

付属品は、Type-Aの給電ケーブル、Type-Cケーブル(3.0 Gen2らしい。なぜかType-Aは裸なのにこっちは袋入)、mini-HDMI->HDMIケーブル。VESA用ネジ。マニュアル、おー!なかなか豪華ではないですか。

次に本体のお目見え。ケースに入っています。見た感じはいい感じ!

なかなか綺麗です。

あ、ケースは両面テープでくっつけるわけですね。。。

端子類。ケーブルが付属なので大丈夫ですが、mini-HDMIなので注意。Type-Cは給電用と映像用と別れています。後でマニュアルの接続方法のページを載せます。

ボタン類。まぁ普通かな。

 

裏面。スピーカーがあります。ケースにもちゃんとスピーカー用の穴が空いています。

magedokのロゴ。。。とURL、アクセスはオススメしない。型番はM108Aらしい。

両面でくっつけたところ。立ちますが、油断するすぐコケます

とりあえず手元にあったauのType-C共通ACアダプタ(非PD)で給電しながらラズパイにつないでみた様子。
意外と画質も悪くない。いい感じだ。

OSD。これも普通のモニターと同じかな?ただ、これ、No Signalな状態だと出すとこができませんので注意です。
Type-CないしHDMI信号が来てないと出ない。。。

]

言語は日本語も選択可能。

以下接続方法。PD対応ならこのモニターを通じでPCにも給電できます。実際できました。(写真はないです。。)

携帯(HTC U11)ともUSB Type-C 1本で映像出力できました。
※HTC U11はDP Alt Modeに対応しています。

 

ところで、マニュアルにはギフトとやらが入ってると書かれていましたが、何もなかった気がします。。。

以下、仕様的なページ。

【2019/04/17追記】
付属のUSB Type-Cケーブルが不良だったようで、Type-C 1本のみでPCとつなぐと数秒に一回暗転?(一回消える。flickeringってやつ?ちらつくというより、瞬きしてるような感じ)するのに困っていました。
電源供給+HDMIだと全く問題なかったのですが。。。。
その後、ケーブルを変えたら普通に使えるようになりました。

現在は職場でフリースペースとかの打ち合わせで活用しています。

 

さて、ここまでは意外と良かったのです。

んじゃま、手元のHP ML110にでもつないでみますかーと。

ここで気づく。今手元にあるのはHDMI to VGA。いわゆるデジアナ変換。んー。じゃぁMini-HDMIをHDMIに変換して更にVGAのオスメスを変換すれば・・・と思ったけど、そうじゃない。

今回はアナデジ変換が必要になるやないかい。

じゃぁ買えばいいかとということで以下を購入。

VGA to HDMI 変換ケーブル、 GANA 金メッキVGA→HDMI 出力 ビデオ変換アダプタ USB給電 1080P対応 (給電用USBケーブ…

→¥1,380。まぁこんなもんか。アナデジ変換は電力がいるんだなぁなんて思ってたり。

編注:ここで、Amazonのレビューに書いてある重大なことを見落としています。

翌日到着。早速開封。

まぁこんなもんかという感じ。
給電用のMicroUSBもちゃんとついてますが、実際は給電なくても大丈夫なケースが多いみたいです。

早速HP ML110のVGAポートへ接続。
※ML110->VGA->VGA to HDMI->HDMI to mini-HDMI->ディスプレイ。給電なし。

おー久々に見るESXiの画面。なかなかよいではないか。

 

次の日、ちょっと会社のラボルームへ持っていってとあるアプライアンスのVGAへつないでみると。。

No Signal

え?(つд⊂)ゴシゴシ

ん?あれ?別のサーバだと映るのに、このアプライアンスだけ?あれ?

そしてAmazonのレビューを見直すと・・・・。

おっふ。

マザーボードのBIOS設置画面で使用する解像度 720X400 70Hzはサポートされてませんでした。
ですのでこの解像度のまま表示を行うシステムでは表示が出ません。
システムの解像度を設定できれば表示されます。

通常のPCでは1024×768 60/70/75/85Hzはどれか設定できるので可能と思います。
現在は1024×768 60Hzに設定し使用してます。

サポートされる解像度は面倒なので全部は書きませんが、640×480、1280×960が有るのでモニタが対応していれば可能と思います。

マニュアルには対応解像度書いてありますが、Amazonの商品ページにも載せておいてほしいです。

慌てて、ラボルームに転がっていた適当なディスプレイにつないでみると、

720×400 70Hz

٩(๑´0`๑)۶

このアプライアンス、BIOSどころか起動後のコンソールも720×400 70Hzやないかーい!

ESXiは起動後に1024×768 60Hzに上がるみたいです。だから映ってたのか・・・・。

てか、720×400 70Hzってなにそれ?と思って調べてみると、以下WikipediaのVGAより。

テキストモード[編集]

  • 80字×25行、9×16ドットフォント、有効解像度は720×400ドット、16色またはモノクロ。後者は旧来のMDAベースのアプリケーションと互換性がある。
  • 40字×25行、同じフォントサイズを持ち、有効解像度は360×400ドット。
  • 80字×43行、80字×50行(8×8ドットフォント)16色、有効解像度は640×344(EGA互換)または640×400ドット。

この他にも画面解像度や画面モードをカスタマイズすることで様々な表示モードの画面信号を生成できる。

なるほど。VGA(Video Graphics Array)の規格として超ベースな部分として持っているグラフィックモード(いわゆる640×480とか)と並ぶモードなのか!

よかろう。話は簡単だ。VGA to HDMIのアナデジ変換で720×400 70Hzい対応しているものを買えばいいわけだ。

編注:↑まちがい。

以外と公式に720×400 70Hz対応と記載のあるVGA to HDMI変換が少なく、以下を購入。

PCのVGA画像とステレオオーディオをデジタルのHDMIに変換【ezVGA+a-HDMI】 アイシル

¥3,980。くっ・・・結構高い。。。けど背に腹は変えられん!ということで購入。

翌日届きます。デリバリプロバイダさん毎日ごめんなさいm(_ _)m

早速開封。さすが日本製、いい箱に入ってます。

中身はこんな感じ。VGAのオス->メスな延長がついてて親切。
こいつはminiUSBで給電みたいですね。久々に見たわ。miniUSB
※慌てて写真撮ったので見切れています。。。。

でもなんか新品?なのに傷が多い・・・気がする。。。

 

早速、またラボルームに持ち込む。

No Signal

あれれ、別のサーバだとやっぱり映る。
※ちなみに、ezVGA+a-HDMIは給電必須の模様です。

・・・ということは、ディスプレイ側が720×400の解像度、もしくは70Hzの入力に対応していない・・・?
普通のWindows PCにつないで70Hz付近で出力してみるもNo Signal。

・。
・・。
・・・。

(T_T)

はぁ…

もうこうなったら、意地でも720×400 70Hzで出力してやる!と、言うことで、そもそもVGAがついてればきっとテキストモードにも対応しているはずだろうということで次にこれを購入。

Eyoyo 5インチモニター ミニ 800×480 TFT LCD スクリン ディスプレイ BNC/VGA/AV/HDMI機能付き スピーカー内蔵 E…

→¥6,999。5インチなので結構小さい。が、USB(microUSB)で給電できるし、HDMIも、そして何よりVGAがついている。

今朝方到着。デリバリプロバイダさん本当にこの一週間毎日のようにすいませんでした。

早速開封。

箱はでかい。

左が本体で右がアクセサリ。

結構いろいろついてる。HDMIケーブル、給電用microUSB、マウンタ、マウンタ用の両面テープ?、ACアダプタ、VGAケーブル。

本体登場。お、なかなか綺麗。右上の黄色いテープ?は保護シートを外すためのもの。勢いよく剥がしました。

マニュアルによると型番は「S501H」らしい。

背面。あれ、DC入力の端子・・・曲がってね?まぁいいさ、USBがある。

とりあえず、手元のauのMicroUSB共通アダプターをつないで見る。
無事ロゴが出た。

こいつはNo Signalな状態でもOSDが使えたり、入力切り替えができる。なかなか優秀。

とりあえず、付属のHDMIケーブルでラズパイをつなぐ。
映るけど字がちっちゃい・・・。まぁこれは想定内。いいんだよ。俺はどうせこのディスプレイでは720×400 70HZ以外の出力なしねーんだから!

さて、一応付属のVGAケーブルと、microUSBケーブルのテストを兼ねてML 110のVGAにつなぐ。
今回はVGA-VGA。まぁ当たり前だが映る。

そして、720×400 70Hzのテスト・・・だが、家にある機器でそんな解像度出せるのか?と思いつつ、NAS(QNAP)をRebootしてみる・・・。

あれ、POSTの画面はVGA(640×480 60Hz)なのか・・・

お?お?

キタ━━━━(゚∀゚)━━━━!!
720×400 70Hz キタ━━━━(゚∀゚)━━━━!!

オイラももう思い残すこたぁねーだよ。

やったよ。映ったよ。。。

ということでここまで買ったものたち。

No かったもの 値段 備考
1 magedokのディスプレイ ¥15,886 最初に購入。
2 GANAのVGA to HDMI変換 ¥1,380 720×400 70Hz未対応。
3 アイシルのezVGA+a-HDMI ¥3,980 magedok側が720×400 70Hzに未対応だった模様で役に立たず
4 Eyoyoの5インチVGA付きディスプレイ ¥6,999 720×400 70Hzの出力OK

合計

¥28,245 これ余裕で最初からセンチュリー買えたじゃね?
※センチュリーが720×400 70Hz対応かは未確認ですが、多分VGA搭載なら大丈夫かと。あと、センチュリーでは、製品ページに一部BIOSが映らないのでメインディスプレイには使えないと書いてる製品もありました。

 

はあ。何やってんでしょうね。

いろいろモバイルディスプレイを見てると、BIOSが出ないからメインディスプレイには使えないという記載が結構ありますね。

最近はHDMIで、EFIなんかだと解像度も高いし、こういうレガシー?なVGAとか意識しなくなってきましたが、まだまだこういうケースが有るということですね。

ゆくゆくはHDMIもType-Cに置き換わっていくのかな。

週明け会社のラボで、例のアプライアンスともう一度勝負だ!

ではでは。またの機会に。

Leave a Comment