『FlexMy売管』を作るぞ！ (2) --- MySQL データベースを作ってみる

(FileMaker Pro 10/11、MySQL 5.1、ODBC 5.1.6 の環境であれば、→ここ(開発日記) とか ここ(日記番外) の方が参考になるかも。　2010/10/21追記 )

1.　取り合えず、リモートのMySQL Administrator で接続していみる
大分前にインストールしたMySQLの管理ツール MySQL Administrator と、今回インストールした MySQL 5.1 は異なるサーバ上にあるが、MySQL Administrator を起動して MySQL 5.1 に管理者権限でアクセスしようとすると、以下のエラーが出る。

　　　　Could not connect to the specified instance.
　　　　MySQL Error 1045.

MySQL 側に移動して、grant all priviledges on *.* to untara@"%" identified by "kantara" を実行し、ここで指定したユーザ名とパスワードとにより、リモートの MySQL Admin からアクセスできるようになる。　

2.　Migrationツールはスキップ

MS SQL-Serverで作成した『FlexSql売管』のデータベースがあるので、本当ならこれを MySQL Migration Toolkit という奴で MySQLのデータベースに変換（マイグレーション）できるといいのだが、以前失敗してるので、今回はやめておく。

3. SQL-ServerでCreate文を生成し、MySQLでそのCreate文ファイル実行

まずは、create database flexmy うんたらとやって、データベースを作成。　

次に各テーブルは『FlexSql売管』の　SQL-Server　のデータベースから create table 文を生成して、MySQL側で実行しようと画策。　SQL-Server Management Studio Express を起動し、取引先テーブルを指定してcreate 文を作ると、こんな感じになる。

USE [neko] 　//『FlexSql売管』のデータベース名
GO
/****** オブジェクト: Table [dbo].[取引先] スクリプト日付: 01/07/2009 13:35:41 ******/
SET ANSI_NULLS ONGOSET QUOTED_IDENTIFIER ONGOSET ANSI_PADDING ON
GO
CREATE TABLE [dbo].[取引先](
　 [〒] [varchar](8) COLLATE Japanese_CI_AS NULL,
　 [Fax] [varchar](50) COLLATE Japanese_CI_AS NULL,
　 [Tel] [varchar](50) COLLATE Japanese_CI_AS NULL,
　～～～～～～～～～～　中略　～～～～～～～～～～
) ON [PRIMARY]
GO
SET ANSI_PADDING OFF

この文章をtorihikisaki.sqlとして保存し、プロンプトの画面で、

　　$ mysql flexmy < torihikisaki.sql

を実行するも、SQL-Serverの吐いたSQL文をそのまま実行できるはずも無く、紆余曲折の末、以下のように変更して上記コマンドを実行すると旨く行った。

CREATE TABLE 取引先(
　 〒 varchar(8) NULL,
　 Fax varchar(50) NULL,
　 Tel varchar(50) NULL,
　 ～～～～～～～～～～　中略　～～～～～～～～～～
PRIMARY KEY (id) );

以上でSQL-Serverのテーブル等は比較的簡単にMySQLに移植できそうなことが解かった。ところがこの後に思わぬ悲劇が待っていた。

以上

Wi-Fi Skypeフォンは時期尚早

Wi-Fi Skypeフォン：　PC無し、単体でSkypeが実行できるWi-Fi 対応の携帯電話機

どのメーカーもやる気がないようで、後継版も無く発売停止になるか、評判は概して芳しくない。

・Logitec Skype専用 無線LAN携帯　---　悪評有、2008年以降ファームのアップ無、でも販売継続中
・Belkin Skype 専用 Wi-Fi® フォン　---　速攻で発売終了、後継機無し
・Buffalo WSKP2-G/BK --- 速攻で発売終了、後継機無し
・Panasonic KX-WP800 --- 比較的評判良し、2008年発売、高い、市場モニタ製品？　松下はやる気あんの？

Wi-Fiじゃ無く有線
Webt@lker5000 --- よさげ

【SonicWALL障害メモ】 IKE Responder: IPSec proposal does not match (Phase 2)

朝、メーラーを起動してみると、SonicWALL の警告の山。

IKE Responder: IPSec proposal does not match (Phase 2) -  221.189.***.***, ***.****.ne.jp -  219.163.***.**** -  192.168.0.66/32 -> 192.168.0.0/24

IKE Responder: No match for proposed remote network address - 221.189.***.***, ***.****.ne.jp - 219.163.***.*** - 192.168.0.66/32←なに、これ？　大体、66なんてアドレスは無いし…

こんなのが1時間に何通も届く。　2ヶ月位前にも同様の現象で、同じ警告メッセージが一杯届いているので、なんとか解決したような気がするけど、思い出せない。　年には勝てないので、ちゃんとメモしよう。

参考サイト
Stange errors on TZ170 with unknown LAN subnet
RE: Problem: Site-to-Site VPN ISA2004 and Sonicwall


◇現象解消 --- 08/12/19追記
あっさり解消した。　ネットワークはSite-to-Siteで、

　　こっちのTZ180（小社）　⇔　あっちのTZ180（客先）

となってて、「こっちのTZ-180」から上記のエラーログが送られてきてたので、こっちに障害があると思い込んだのがそもそも大間違い。　ただ、「あっちの」は客先の奴なので、滅多にいじることも無いわけで、原因となるのは「こっちの」だろうと、例によって思い込んだ。

結論としては、犯人は Panda MOP。　12月初め位からPandaが「アップデートしたのでPC(サーバを含む)を再起動しろ」とメッセージを表示していたが、うちは兎も角、客先のサーバをそう簡単に再起動できるわけもなくしばし放置。結局、この Panda のアップデートがSonicのエラーメッセージの原因だった。　12月某日12時(昼休)、客先に出向き2台のサーバを再起動。　12：00以降、あの警告メールがピッタリとまった。

クッソォ～、おぼえてろよぉ～、　パンダぁ！　ヽ(｀Д´)ﾉ ウワァァァン


◇メモ見つかる --- 08/12/19追記
上に「2ヶ月位前にも同様の現象で」と書いたが、メモが見つかった。それも堂々とテスクトップに置いてあった。　以下、そのメモ。

VPNの設定/詳細設定がこちらとあちらで全く同じことを確認する

• 0.254と1.252のSAをOFFにし、エラー継続を確認（0.1と1.253と競合していないことを確認）
• 0.1と1.253で、SonicOS Standard 3.8.0.3-36s.jpn の一致を確認
• 0.1と1.253で、MTUの一致確認

ネットワーク＞ルーティング　の誤ったルート設定が原因か？　削除したらエラー解消の模様（08/9/17）

◇今回12月のエラーログ発生時のメモ-- 08/12/19追記
12/13、170/180の2台と客先の180×２台が通信するときに、上記のエラーログを多数受信（但し、客先2台からはこのエラーログを受信していない) 。　亀がNPTの設定を弄ったとうので、4台のNTP設定を一致させるが、現象解消せず。


◇さらに-- 08/12/19追記
上記の英語サイトにもあるように、このエラーはさまざまな要因で起こるようで、発生前後で何か特別な事象が発生していないか、冷静に思い出すことが重要。


（終）

『FlexMy売管』を作るぞ！ (1) --- MySQL 5.1 のインストールでコケる

(FileMaker Pro 10/11、MySQL 5.1、ODBC 5.1.6 の環境であれば、→ここ(開発日記) とか ここ(日記番外) の方が参考になるかも。　2010/10/21追記 )

FileMaker Pro と MS SQL-Server を使用した外注・加工業向け売上・原価管理システム --- 『FlexSql売管』 をリリースしたのは2008年3月。　 これを MySQL に移植しようというかねての計画を実行することにする。
まずは MySQL 5.1 （Windows x64版）をダウンロードしてきて、Dell Power Edge T105 (Windows Server 2008 x64)のEドライブにインストール→普通に成功。　ところが、「それは（Eドライブ）は Hyper-V 用のボリュームだから使わないで下さい！　ヽ(`Д´)ﾉ」と怒られたので、仕方なく一旦抜いて他のドライブに再インストールすることに。 ところが、MySQL Server Instance Config Wizard　の最後のところで、

　　　Error Nr. 2003 : Can't connect to MySQL server on 'localhost' (10061)

とか出てくれる。　あぁ、やっぱりインスコで躓いた。　いろいろググってウン時間も費やしたところで、「C:\mysql を削除せよ 」という神の啓示を発見。　レジストリ内の「MySQL」を検索して、かかってきた登録を取捨選択して削除した後に、アンインストールして C:\mysql を手動により削除、さらに再インストール…　　あっさり成功、　ありがとう神様。

参考サイト
インストール --- DBOnline

　

Windows 2003 に FileMaker Web Server Connector をインストールする...が失敗

Windows Server 2003 に Web Server Connector をインストールしようとしたら、こんなメッセージが出たことはないでしょうか？



A SCRIPTS virtual directory was not found. You must configure a SCRIPTS virtual directory before FileMaker WSC 5 - IIS can be installed.

FileMaker Unlimited 5.5 に付属の Web Server Connector は Windows Server 2003 での動作保証をしていなのですが、手動設定を取り入れながら FileMaker Web Server Connector をインストールしてみることにしました。試行錯誤の結果、やはり動作はしないようだ、という結論には達したのですが、もし今までに Windows 2003 に Web Server Connector をインストールした成功例があるいう方がいらっしゃったら、助言いただけると非常にありがたいです。

今回試してみた Windows Server 2003 環境への FileMaker Web Server Connector インストールは次のとおりです。

1. IIS 6.0 をインストール。
コントロールパネルの「アプリケーションの追加と削除」より、「Windows コンポーネントの追加と削除」を選択し、表示されるコンポーネントの中からインターネットインフォメーションサービス(IIS)をインストールします。

2. FileMaker Pro 5.5 Unlimited をインストール。
3. IIS 管理ウィンドウを開き、「規定のWebサイト」を選択して、右ペインに scripts という名前の仮想ディレクトリを作成。実行アクセス許可は、下図のように、「スクリプトおよび実行可能ファイル」にしておく。

4. レジストリ値を追加。
Windows Server 2003 のデスクトップに戻り、「スタート」→ 「ファイル名を指定して実行」の順に選択し、regedit と入力してレジストリエディタを起動する。

下図のように、\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters に Virtual Roots というキー値を追加し、そこに文字列値 /Scripts を新規追加する。値のデータは、c:\inetpub\scripts,,204 とする（この値は WSC で運用中の Windows 2000 Server 環境のレジストリ値を参照）。



5. FileMaker Web Server Connector をインストールする。
インストールが終わるとマシンを再起動するようメッセージが表示されるので、マシンを再起動する。

この時点で、以下のメッセージが表示される。



というわけで、手動で IIS フィルタを設定する必要があるということで、いろいろ探し回ったのですがとうとう解決策が見つかりませんでした。

Hyper-V にゲスト OS をインストール（覚え書き）

Windows Server 2008 の便利な機能の一つに Hyper-V があります。
これは、仮想的にディスクを用意することによって、別の OS を同居させて運用するというものです。

たとえば、Windows Server 2008 上で Windows Server 2000、Windows XP、Linux などを運用できます。

詳細は以下のサイトを参照していただくとして、ここではゲスト OS のインストールのヒントを簡単にまとめたいと思います。

第14回 Windows OSに標準搭載された仮想化機能「Hyper-V」

●仮想ハードディスクについて

仮想ハードディスク（VHDファイル）形式 -- ディスクドライブの領域をゲスト OS 用に確保して使用。スナップショットを撮ることができ、必要に応じてスナップショットを撮った時点の状態に復旧することが可能。

パス・スルー形式 --- ディスクドライブを丸ごと使用。動作速度は VHD 形式に比べると高速だが、スナップショットを撮ることができないので要注意。

●ゲスト OS として Windows 2003 をインストールするときの注意点
Windows 2003 は SP2 以降でないとインストール中にブルースクリーンが表示されてしまうので注意が必要。

ゲスト OS をインストールする際は、以下のページを参考にするとよいでしょう。

Hyper-V におけるゲスト オペレーティング システムのサポート

Windows 2008 で FileMaker Server 9 の Instant Web Publishing は動作しない模様...

さて、先日 Windows Server 2008 環境に FileMaker Server 9 Advanced を入れてからというもの、ぼちぼち動作を検証していますが、いろいろ試した結果、 Instant Web Publishing はどうやら動作しない模様です。

FMForums の方でも「恐らく動かないだろう」と言っている人がいるように、動く機能があるかもしれないし、動作的に微妙なものもあるだろうという感じなのでしょうか。
とにかく Instant Web Publishing の方は当方の調査では無理、という結論に達しました。

参考:
[Windows] FMSA9,0 on Windows Server 8
Windows Server 2008 上で FileMaker Pro Server 9 は動作するか？

あと、FileMaker Server 9 のアップデータが出ていたので、以下のページより V2 をダウンロードしてインストールしようとしたのですが、Windows Server 2008 環境でこの Setup.exe を実行させるとエラーメッセージが出てしまい、続行できませんでした。

FileMaker Server 9v2 & FileMaker Server 9v2 Advanced Windows 版 アップデータ




やはり、対応を謳っていない環境でのインストールは無理、ということなのかもしれませんが、この件については引き続き調査中です。

64 ビット版 Windows Server 2008 の IIS7 で php が動くようにする

64 ビット版の Windows Server 2008 に 32 ビット版のみ提供されている php5 をインストールするのには、ちょっとコツがいることがわかりました。

従来の方法ではまず動かない

従来どおりにインストールを行い、phpinfo() を表示させようとすると、エラー 503 が表示されました。ISAPI フィルタもハンドラマッピングも php 向けに指定したにもかかわらずエラーが表示されるので、ネットで調べてみると、DefaultApplicationPool の「32ビットアプリケーションの有効化」を[True]にすると良いとあったので、True にしてみたところ、程なくして DefaultApplicationPool が停止してしまいました。

そのときに報告されたものがこのイベントエラーです。

イベントID:2280
モジュール DLL C:\Windows\system32\RpcProxy\RpcProxy.dll を読み込めませんでした。このデータはエラーです。

暫く試行錯誤を繰り返していたのですが、この環境では ISAPI フィルタによる設定は無理そうだということがわかってきたので、途中で FastCGI を使う方法に切り替えました。

FastCGI で PHP を動かす
IIS 7 のインストールオプションで、CGI を選択して IIS7 をインストールすることによって、php-cgi.exe を呼び出して実行させることが可能です。

手順を説明します。
1. php5 の最新版をダウンロードして、適当なところに配置する（例：c:\php）。
php5 はここからダウンロードできます。
2. php.ini-recommended　ファイルをコピーして php.ini というファイルに名称変更し、これをメモ帳などで開いて次に該当する行を修正して保存する。
(先頭のセミコロンを外して修正。該当するものがない場合は行を追加。)

fastcgi.impersonate = 1
cgi.fix_pathinfo=1
cgi.force_redirect = 0
open_basedir ="c:\inetpub\wwwroot"
extension_dir = "./ext"

3. コントロールパネルより「システム」をダブルクリックして、左ペインのメニューから「システムの詳細設定」をクリック。“環境変数”ボタンをクリックして システム環境変数の一覧に表示される path 変数に php へのパスを追加。
(c:\php; を追加すれば良いです。)

4. インターネット インフォメーション サービス(IIS) マネージャーを開き、ハンドラマッピングから「モジュールマップの追加」を選択し、以下の情報を追加。

要求パス：*.php
モジュール: FastCgiModule
実行可能ファイル（オプション）:　C:\php\php-cgi.exe
名前：PHP

OK を押して保存します。

5. IIS を再起動して、php テストページを表示させる。
以下のファイルを作って phpinfo(); を入れた php ファイルを作成してブラウザで表示確認。

php の情報ページが表示されれば成功です。

今回は以下のサイトを参考にしました。
Using FastCGI to Host PHP Applications on IIS 7.0

Windows Server 2008 の認証でつまずく

Windows Server 2008 を導入してから Windows ライセンス認証をするのを忘れていたのですが、残りが 31 日となっていたので、今のうちにライセンス認証をしておくことにしました。

ところが、認証手続きをしようとすると、次のようなエラーが発生。



ネットワークカードの TCP/IP 設定にも DNS サーバの IP アドレスがきちんと設定されていたため、ネット検索で以下の情報を見つけました。

Windows Vista のライセンス認証の手続きを行うとエラー メッセージ "エラーが発生しました" が表示される

要は、「プロダクトキーの変更」を選択して、プロダクトキーを入力することによって解決するということのようです。
プロダクトキーを入力しなおさなければならないのは、不正ユーザ対策のようですが、気づかないとこれで時間を取られてしまうので（私を含め）、ちょっと人騒がせな仕様だと思いました。

Windows Server 2008 上で FileMaker Pro Server 9 は動作するか？

FileMaker社はこの構成をサポートしていないし、する予定もないらしい。

実際はどうなのか？　「Windows server 2008」「FileMaker Pro Server 9」をキーワードにググってみると、案の定、日本語ではほとんど情報がない。　やっぱり頼りになるのは英語サイト。


http://www.fmforums.com/forum/showtopic.php?tid/195407/



とりあえず動くらしい（「動かん」という人もいる）ということで、小社でもインストール。
どうやら動く。　上のサイトによると、動いているところでは、半年以上、問題なく動いているらしい。

とうことで、FileMaker社の保証はないけど、FileMaker Pro 5.5 に加え、FileMaker Pro Server 9 も Windows Server 2008 で動く（こともある）。

注：ファイアウォールでポート5003を開けるのを忘れずに。

【Windows障害メモ】サーバの時刻が狂う

　ドメインコントローラのイベントビューアで NTP サーバのエラーが出ていました。
　イベント ID 11 NTP サーバー から応答がありませんでした

　NTP サーバの同期ミスということで、以下のコマンドを打って調べてみることにしました。

　NET TIME /querysntp

　結果は「このコンピュータは現在、特定の SNTP サーバーを使用するよう構成されていません。」だったため、外部の NTP サーバを登録して同期させることにしました。
　以下のサイトより、米国 NASA および東京大学の NTP サーバを指定してみました。

NTP サーバ一覧

　以下のコマンドで NTP サーバを指定することができます。この例では NASA の NTP サーバを指定しています。

　NET TIME /SETSNTP:198.123.30.132

　また、NTP サーバを複数指定したい時は、以下のように列記した NTP サーバ名（またはIPアドレス）を二重引用符で囲みます。この例では NASA の NTP サーバと東京大学の NTP サーバを一緒に指定しています。

　NET TIME /SETSNTP:"198.123.30.132 130.69.251.23"
　
　同期は 8 時間ごとに行われるということですが、レジストリキー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters の Period 値を修正することで、同期の頻度を変更できます。


0 = 毎日 1 回。
65535, "BiDaily" = 2 日に 1 回。

65534, "Tridaily" = 3 日に 1 回。

65533, "Weekly" = 毎週 (7 日に) 1 回。

65532, "SpecialSkew" = 3 回正常に同期されるまでの間、45 分ごとに 1 回。その後、8 時間ごとに 1 回 (1 日に 3 回)。[デフォルト]

65531, "DailySpecialSkew" = 1 回正常に同期されるまでの間、45 分ごとに 1 回。その後、毎日 1 回。

freq= 1 日に freq 回同期する。


一応は NTP サーバーを設定して同期することは確認できましたが、例のイベント ID がまた出ていたので、ひょっとすると二つ指定したどちらかの NTP サーバとの同期に失敗したのかもしれません。

参考ページ：
W32Time サービスのレジストリ エントリ

【Windows障害メモ】 リモートディスクにアクセスできない

◇現象
アクセスできていたリモートディスクに、いつのまにかアクセスできなくなる
（NICを交換が原因か？）

発生イベント
イベントの種類: 警告
イベント ソース: LSASRV
イベント カテゴリ: SPNEGO (Negotiator)
イベント ID: 40960
日付: 2008/11/17
時刻: 11:29:53
ユーザー: N/A
コンピュータ: SC420
説明:
サーバー cifs/192.168.X.X の認証エラーを検出しました。 認証プロトコル Kerberos からのエラー コードは "指定されたユーザーは存在しません。
(0xc0000064)" でした。


◇解決策
http://www.eventid.net/display.asp?eventid=14&eventno=4189&source=Kerberos&phase=1

There were password errors using the Credential Manager. To remedy launch the Stored User Names and Passwords control panel applet （註：コンパネの「ユーザ名およびパスワードの保存」のこと）and reenter the password for the credential .

試してみて駄目だった（ような気がした）ので、エントリそのものを削除、さらに再アクセスしてアカウントとパスワードを再入力したらうまくいった。　尚、上記の「ユーザ名およびパスワードの保存」にこのときした入力したそれらは記録されず、どのような状況下でここに登録または誤登録されるのかは不明（調べていない）。

以上

【Windows障害メモ】ActiveDirectory へのログイン失敗

　最近、ネットワークコンピュータのうち一台がドメインに参加できなくなるという現象が発生しました。
　そのコンピュータに関しては、一ヶ月ほど前にネットワークカードを交換してからというもの、他のネットワークコンピュータからディスクドライブの参照ができなくなってしまいました。
　そしてつい先日、ActiveDirectory のドメインコントローラになっているサーバ機の Kerberos 認証サーバのリセット作業を行った後は、そのコンピュータはまったくログインできない状態となりました。

　ActiveDirectory サーバ機にはイベント NETLOGON ID 5722、クライアント機には NETLOGON ID 3210 が記録されたので、原因を調べてみると、ドメインコントローラでの認証エラーのようだったのですが、ネット検索により、以下の解決方法に辿りつきました。

Windows NT/2000/XP/2003 ドメインにログオンできない（その2）
ドメインに参加できない：コンピュータ・アカウントを登録し直す

　これらの情報に従って、一度そのコンピュータをドメインから外してワークグループにしてから、再度ドメインに参加させることによって、何とか解決することができました。
　単純なようで、意外とこれは裏技的な対応方法ではないかと思います。今回は上記サイトに助けられました。

Panda MOP のファイアウォール設定方法

さて、前回は Panda MOP (Managed Office Protection) インストールのトラブルについて書いたのですが、うまくインストールできた MOP の設定もぼちぼち始めています。WebAdmin と比較すると、アンチウィルス機能にファイアウォール機能が追加になっているところが大幅なアップグレードなのではないかと思います。

　アンチウィルスとファイアウォールのどちらをインストールするかは、Web 管理画面（https://managedprotection.pandasecurity.com/console/）のプロファイルで設定します。
　最初は DEFAULT プロファイルしかありませんが、新しいプロファイルを追加していくことによって、アンチウィルスとファイアウォール機能のインストールおよび設定条件を細かく指定していくことができます。

　
　ファイアウォールの設定は、プロファイルページの左に表示される「ファイアウォール」をクリックします。同じプロファイルを持つコンピュータに対し、まとめてファイアウォールを適用することも、クライアント側で個別にファイアウォールを適用することができるのも特長です。管理するコンピュータ台数が多い場合は、サーバ側で一括管理するのが楽かもしれません。

　デフォルトで Panda ルールが適用されるので、基本的なファイアウォール設定は自動的に行われますが、管理者が個別にルールを追加することもできます。使用する通信系プログラムがわかっている場合は「プログラム」、ポート別に管理する場合は「システム」を選択して設定項目を入力します。

　この設定はリアルタイムに反映されるわけではないので、設定後に次回自動更新のタイミングまで待つか、クライアント側で個別にアップデートを実行します。
　

Panda Managed Office Protection に泣かされる

　Panda WebAdmin AntiVirus （以下Webadmin）の後継版として Panda Managed Office Protection （以下 MOP）がリリースされました。これにより、WebAdmin の提供は今年一杯になるそうです...。
　ということは、WebAdmin を適用済みのすべてのコンピュータに於いて今年中に MOP への移行が必要になるというわけです。

　WebAdmin の提供が近々終了になるだろうということはある程度予想していたため、英語ベータ版としてリリースされていた MOP を 8 月中旬あたりから少しずつテストインストールしてきたのですが、インストールなんて簡単という予想に反し、トラブルが続出してしまったため、ベータ版の段階から MOP に対する不安が一気に募ってしまいました。

　当方で発生したトラブルはこのような感じです。

1. Vista に MOP をインストールした後に Panda アイコンをマウスで右クリックして表示される Update メニューで定義ファイルの更新を行おうとすると、以下のメッセージが出てプログラムがクラッシュする。

Panda Interface Manager Application [Local and Mail Alerts] は動作を停止しました。

2. 弊社の Windows XP 機においては、MOP インストール途中に再起動を促すメッセージが表示され、その指示に従って再起動を行うと、また同じ再起動メッセージが表示され、延々と再起動のループから抜けられなくなる。

3. Windows Server 2008 で MOP をインストール中に、「Downloading signature file」でエラーが発生してしまい、先に進めなくなる。
　　この現象については、SonicWall のセキュリティ設定を修正したところ、無事インストールが続行できるようになりました。


　一応その他の Windows Server 2000, 2003, Windows XP マシンには MOP のインストールに成功したのでホッとしておりますが、上記 1.、2. については未決のまま....。まだ泣かされております。

　現在、WebAdmin お使いで MOP について御存じない方は、この機会に以下の情報をご覧になることを強くお勧めしたいと思います。
　Panda WebAdmin Antivirus製品の販売及びサポート終了(END OF LIFE)
　および後継製品Panda Managed Office Protectionへのマイグレーションのご案内

拠点間VPNネットワークの構築 (2) --- 回線の冗長化

近年、インターネット回線やルータなどのネットワーク機器はかなり安定してきているようですが、回線かルータのいずれかが落ちると拠点間の通信は一切できなくなるので、冗長化する --- 回線とルータを複数用意する--- ことが重要です。　

【回線とルータの冗長化イメージ図】

上図のように、重要な拠点間の回線とルータは二重化または多重化しておきます。　回線は異なるキャリアのものを使用し、一つのキャリアの回線（例：NTT Bflets）が落ちても、生きている他のキャリア（KDDI）に切り替えて運用を継続します。　回線の切替は自動的に実行される（SonicWALLによる冗長化の例）が理想ですが、そのようなネットワーク構成は通常、高額になります。　よって、規模の大きくない拠点においては、障害発生時は手動によりTCP/IPプロパティのデフォルトゲートウェイを切り替えれば良いでしょう。　また、回線にかかる負荷を分散させるために、拠点にあるPCの何台かを1つの回線へ、残りのPCをもう一つの回線へと、通信をゲートウェイの指定により割り振るのも良いと思います。


デフォルト ゲートウェイの冗長化に関するメモ
TCP/IPプロパティのデフォルトゲートウェイに複数のルータのIPアドレスを指定して冗長化すれば、ルータの障害発生時に自動的にゲートウェイを切り替えてくれる筈だが、冗長設定を行うと、通信が不安定になる（断続的に切断される）ので要注意。


回線メモ
◇KDDI
インターネットゲートウェイ　
イーサシェア　光ファイバー、100Mベストエフォート型、￥184,800/月～（関東）　*1
Business-ADSL　下り最大12Mbps/上り最大1Mbps、ベストエフォート型、￥27,000/月～　*2

1. 田舎は使用できないところが多そう。
2. 微妙に（一部）NTTの電話網を使っているようで、NTTが落ちた場合、影響を受ける可能性有。

◇Usen
光ビジネスアクセス　　光ファイバー、100Mベストエフォート型、￥52,500/月～

• 田舎では使用できない。

拠点間VPNネットワークの構築 (1)

一昔前であれば、膨大な初期費用とランニングコストを要した拠点間の高速ネットワーク。　近年の光回線等のブロードバンドと、各種ネットワーク関連機器の普及と低価格化により、従来に比し非常に低価格で実現できるようになりました。 今回は最近、小社で手がけた小規模な支店間VPNネットワークの構築について紹介します。


要件定義（お客様、ご要望）

1. 4拠点間+α　VPNネットワーク構築
2. 回線冗長性（ルータや回線障害時に回線を切り替え、業務を継続できること）
3. 主なアプリはFileMaker Pro 5.5
4. Windows Server 2008 と Terminal Service を導入、支店でも社内LAN並みのパフォーマンスを出すこと
5. 堅牢なセキュリティ環境と集中監視・管理
6. システム管理者が拠点のネットワークを遠隔保守
7. 初期コストを最小化する
8. 社内システム管理者の負担を最小化
9. 拠点間の通信コスト限りなく０に、そしてスムーズな意思疎通

と、テンコ盛りの要件、しかも低予算...

1.　4拠点間+αのVPNネットワークを構築する

本社、工場、支店、土屋企画、出先ノートPC(緊急対応用)間のVPNネットワークを構築。 　このうち、本社、工場、土屋企画間はSite-to-Site VPN（SonicWALL TZ180同士で暗号化）、支店と出先ノートPCはVPNクライアントにGVP(SonicWALL Global VPN Client)を使用。

4.　回線冗長性

万が一の回線やルータ障害の時にも、工場で生産や配送の指図書や送状が照会・印刷できますように。　大分前ですけど、OCNが大規模回線障害で何時間も不通になってる、って、NHKの夜のニュースでやってもやってましたね。　はい、うちも被害者です。

3.　主なアプリはFileMaker Pro 5.5

少しはクライアント/サーバっぽいFileMaker 8.5とか9を使うと、クライアント⇔サーバ間のパフォーマンスもよくなると思うんですけどね…　　お客様の暗黙の（しかも強力な）要請により、既存のFileMaker Pro 5.5/FileMaker Pro Server 5.5によるシステムを継続利用。　既存システムのできる限りの延命も重要なミッションでございます。

4.　Windows Server 2008 と Terminal Service を導入

「2008でFileMaker Pro 5.5が動くん？」　---　Ans：はい、立派に動いてますね。　しかもTerminal Server 上で。　

「印刷は？　ローカルディスク利用は？」　--- Ans：お客さんの環境では、問題なく動作しておりますです。　

「で、Vistaは？」　---　Ans:動くかも…

5.　堅牢なセキュリティ環境と集中監視・管理

SonicWALL　と Panda で、統合的、集中的な管理。企業の社会的信用にかかわるセキュリティ関連リスクの低減に、万全を期しましょう。

6.　システム管理者が拠点のクライアントPCを含むデバイスを保守

遠隔地よりシステム管理者（≒小社）が、サーバ、クライアントPC、ルータ(SonicWALL)、プリンタ等を管理・保守できるようにしています。　請け賜っているのは SonicWALLの保守と各PCのセキュリティ管理だけなのですが、「これ、セキュリティの問題ではありませんね」って言えるまでの調査過程で、大体は原因が判明してしまうんですけどね。

7.　初期コストを最小化する

• Dell PowerEdge R300 (RAID 1)
• Windows　Server　2008　+　Terminal Service Client ラインセンス
• SonicWALL TotalSecure TZ-180 ×　4台
• Panda WebAdmin クライアントライセンス（追加ユーザ分）

合計60万位。　既成のハード/ソフトだけでこれだけはどうしてもかかってしまいます（クライアントPCやプリンタは既存のモノで新規導入無し）。　ホントに大変なのは、これらの機器やソフト、PC、プリンタを最適に設定して、テスト、テスト、そしてテスト。この部分は小社の営業努力で ･ﾟ･(ﾉД`)･ﾟ･

8. 社内システム管理者の負担を最小化する

経営者　　「システム、特にセキュリティなんかじゃ飯は食えんのよ」

小社　「ごもっともでございます（トホホ...）」

9.　拠点間の通信コストを抑える

IP電話より、Skypeとか、AOL IMの方が、使い勝手も、生産性が高いですね。

(続く)

SonicWALL を使った Site-to-Site VPN の構築

　VPN ルータ同士を接続して常時 VPN 接続を確立することを Site-to-Site VPN と言いますが、最近弊社では SonicWALL 同士の Site-to-Site VPN 接続の設定テストを行っています。

　VPN ルータが各終点に一つずつの場合は、比較的設定は容易です。
　基本的には VPN のポリシー設定で「主格 IPSec ゲートウェイ名またはアドレス」に対岸のルータアドレス（ゲートウェイアドレス）を入力し、「事前共有鍵」に任意の共有鍵コード（両方のルータに同じ共有鍵を設定）を指定し、そして「対象先のネットワーク」に対岸 LAN のネットワーク（たとえば 192.168.3.0）とサブネットマスクを指定するだけです。

　しかし、ネットワークが落ちたりすると業務に支障が出るような環境では、回線を複数用意しているところもあります。そのようなときに、現用回線と予備回線の両方に対して VPN トンネルを張っておき、現用回線がダウンしたときに予備回線の VPN トンネルを使うことがあります。これを冗長 VPN ゲートウェイと呼んでいるそうですが、この設定は、理屈では「主格 IPSec ゲートウェイ名またはアドレス」に現用回線のルータアドレス、「副格 IPSec ゲートウェイ名またはアドレス」に予備回線のルータアドレスを指定すれば動くということになっているのですが、何故か副格ゲートウェイの方だけが採用されている状態となりました。主格の方が無視されている状態なので、現在この原因について調査中です。

Windows Server 2008 の TS EasyPrint について

　前回の投稿に引き続き、今回は Windows Server 2008 の TS EasyPrint の動作を検証してみました。
　TS EasyPrint とは、リモートセッションが確立されている場合に、クライアント側のローカルプリンタを使って印刷が可能となるものです。従来は、サーバ側にもクライアントのドライバをインストールしておき、プリンタポートマッピング設定をしておく必要があったのですが、TS EasyPrint ではユーザによるプリンタポートマッピングが不要となるため、ドライバをサーバ側に入れなくても良い、というシナリオになるのでしょう。TS クライアントは Windows Vista SP1 であることが最低条件のようですが。

　上記に従って、VPN 経由で TS 接続を行い、プリンタ情報を見てみると、最初のうちはクライアント側プリンタ 2 台のうち 1 台（Canon BJ 895PD）が「リダイレクトされた」という表現でサーバ側に表示されていることを確認できました。このプリンタを使ってテストページ印刷には成功しました。
　しかし、もう一台のプリンタ（Dell All-in-one Printer 810）は表示されることがなく、ポート設定をいろいろ弄ってやってみたのですが、努力空しくこちらの EasyPrint は実現しませんでした。

　そうこうしているうちに、Canon BJ 895PD も出てこなくなり、TS EasyPrint の不安定感が募ってきました。ひょっとすると VPN 経由だと不安定になる可能性が高くなるのかもしれません。

　この辺はもうすこし研究課題にしたいと思います。

参考：
Windows Server 2008 のターミナル サービス

Windows Server 2008 のインストールと Terminal Service 設定

　Windows Server 2008 を弊社にもインストールしてみました。対象サーバ機は Dell PowerEdge SC440 です。
　インストール自体はものの 30 分もあればできたのですが、最初の Administrator パスワード指定でちょっと手こずりました。Windows Server 2008 では、ローカルセキュリティポリシーの「パスワードは複雑さの要件を満たす必要がある」が有効に設定されているため、以下の条件を満たすようにパスワードを決定する必要があります。そしてようやくログインに成功。

　ユーザーのアカウント名またはフルネームに含まれる 3 文字以上連続する文字列を使用しない。
　長さは 6 文字以上にする。
　以下の 4 つのうち 3 つの条件を満たす必要あり。
　　　英大文字(A ～ Z)
　　　英小文字(a ～ z)
　　　10進数の数字(0～9)
　　　アルファベット以外の文字(!、$、#、%など）


　次にリモートデスクトップ接続を有効にするための機能を設定しました。ターミナルサーバーのインストールですが、サーバマネージャの「役割」というメニュー項目から追加します。

　今回はターミナルサーバー、TS ライセンス、TS Web アクセスをインストールしました。
　
　さて設定ですが、ちょっと勉強が必要になってしまいました。
　RDP --- Terminal Service もしくはリモートデスクトップ接続を従来のように使えるようにするが、セキュリティレベルは落ちる。
　ネゴシエート --- クライアント側で SSL が有効になっている場合は SSL を使って接続するが、有効になっていない場合には RDP を使う。
　SSL(TLS 1.0) --- 常に SSL を使って接続する。

　ネゴシエートにしておけば、従来の TS/リモートデスクトップ接続と Windows Server 2008/Vista 対応の TS/リモートデスクトップ共有を混在させることができる模様です。ただ、SSL に特化すればおそらくセキュリティが一番高くなるのでこれができることに越したことはないと思います。

　SSL を使えるようにするには、TS/リモートデスクトップ接続のクライアント側がリモートデスクトッププロトコル 6.1 をサポートしている必要があります。この条件を満たすクライアントは次のとおりです。

　Windows Server 2008
　Windows Vista with Service Pack 1
　Windows XP with Service Pack 3
　
　ただし、XP with Service Pack 3 の場合は、ネットワークレベル認証がサポートされていないため、ターミナルサーバ構成で「ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する」のチェックを外しておく必要があります。