投稿日:

XserverVPS+Ubuntu+Docker Samba-DC

Samba DC

まだ検証途中

今回はテスト目的で、通常はグローバルで運用はNG。

●●●=利用環境のグローバルIPアドレス

・ufw

ufw allow from ●●● to any port 9922,3306,53,88,135,139,389,445,464,636,3268,3269,49152:49252 proto tcp
ufw allow from ●●● to any port 53,88,123,137:138,389,464 proto udp

・フォルダ作成

cd /home
mkdir samba
cd samba
mkdir data
mkdir config

chmod 700 data
chmod 700 config

Docker

vim docker-compose.yml

・もし再実行で既にコンテナがあるようだったら

docker ps -a
docker compose down
※カレントディレクトリにdocker-compose.ymlがある状態で実行

・通常終了しない場合
docker ps -a
docker rm -f コンテナID

・バインドボリューム削除
rm -rf ./data/* && rm -rf ./config/*

※再起動の場合
docker restart samba-dc

※一時停止の場合
docker pause samba-dc
docker unpause samba-dc

・起動

docker compose up -d
※カレントディレクトリにdocker-compose.ymlがある状態で実行
※dはバックグランド実行

・停止
※もし自動で再起動を繰り返している場合止める
docker stop samba-dc

・初回のみエラー

53ポートが使用中とのことでエラー。

lsof -i :53

vim /etc/systemd/resolved.conf
DNSStubListener
>no
に変更する。
systemctl restart systemd-resolved

SambaRPCポート変更

※直接変更する方法
docker exec -it samba-dc vi /etc/samba/smb.conf

rpc server dynamic port range = 49152-49172

rpc server dynamic port range = 49152-49252
に変更。

docker exec -it samba-dc supervisorctl restart samba

※ポートが多すぎるコンテナ生成で失敗する。(タイムアウトしてしまう)
ポートが少なすぎるとADの同期で問題が発生する。

コンテナエラー確認

journalctl -u docker

・ログ確認
docker logs –tail 100 samba-dc

・Samba内のログ

一覧
docker exec -it samba-dc bash -c “cd /var/log/samba && ls -l”

開く
docker exec -it samba-dc bash -c “vi /var/log/samba/log.smbd”

NTP変更

docker logs samba-dc | grep ntp
でntp系のエラー確認

・ntpサーバー確認
docker exec -it samba-dc ntpq -p
現在のntpサーバー(*)を確認しping
docker exec -it samba-dc sntp xxx.xxx.xxx.xxx

/etc/ntp.conf or /etc/ntpd.conf
使用されている方の調べ方(ps aux | grep ntpd)
を編集する。

docker exec -it samba-dc vi /etc/ntpd.conf

server ntp.nict.jp iburst prefer
を追加し、
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/

ntpsigndsocket /var/lib/samba/ntp_signd/
に変更する

docker exec -it samba-dc supervisorctl restart ntpd

・一応確認

アクセス権限
cd /var/lib/ && ls -la
chown ntp:ntp /var/lib/ntp
chmod 755 /var/lib/ntp
になっていればOK。

ntpユーザがいるかどうか
id ntp

SambaTool(DNS逆引き)

VPSアドレス[AAA.BBB.CCC.DDD]
から
samba-dc.xxx.local
を取得する方法

docker exec -it samba-dc samba-tool dns zonecreate localhost CCC.BBB.AAA.in-addr.arpa –username=administrator –password=xxx

docker exec -it samba-dc samba-tool dns add localhost CCC.BBB.AAA.in-addr.arpa DDD PTR samba-dc.xxx.local –username=administrator –password=xxx

docker exec -it samba-dc supervisorctl restart samba

Windowクライアント設定

ncpa.cpl
利用しているNICのDNSをVPSのIPアドレスにする。

sysdm.cpl
コンピュータ名タブ>変更
ドメインを選択しドメイン名を入力する。

ユーザーはadministrator
パスワードはdocker-compose
で指定したパスワードを入力する。

再起動したらログイン画面で
ドメイン名\administrator
のように入力しログインできる。初回ログイン時はかなり時間がかかる。

※アカウントもADに参加しないと以下コマンドは使えないが、このタイミングでローカルorMSアカウントを入力して、端末だけAD参加という状態も可能。

・Windows RSAT 有効化(ユーザー参加必須)

システム>オプション機能>機能表示>使用可能な機能を表示する
RSAT: ActiveDirectoryDomainServices およびライトウェイトディレクトリサービスツール
をチェックし追加すると、
Active Directory サイトとサービス
Active Directory ドメインと信頼関係
Active Directory ユーザーとコンピュータ
Active Directory 管理センター(Samba-DCでは利用不可)
が有効化される。

RSAT: グループポリシー管理ツール
をチェックし追加すると、
gpmc.msc
が有効化される。

・DNSが問題ないか確認する。

nslookup ドメイン
これでVPSのIPアドレスが返ってくればOK。

nslookup VPSのIPアドレス
これでドメイン名が返ってくればOK。

・接続状況(信頼関係)確認※管理者

nltest /sc_verify:ドメイン名
nltest /dsgetdc:ドメイン名

・時刻関係※管理者

w32tm /config /syncfromflags:domhier /update
※DCから取得に変更

w32tm /query /status
ソースを確認

w32tm /resync
同期実行

・gpupdate

エラーが発生した場合
eventvwr>アプリケーションとサービスログ>Microsoft>Windows>GroupPolicy
で確認する。

・\\xxx.local\sysvolアクセス時、このファイルは他のコンピュータから取得したものです。とついてしまう場合。

Win+R>inetcpl.cpl>セキュリティ>信頼済みサイト

\\xxx.local
を登録する。

メモ:コンテナエントリポイントを調べて
スクリプトを追加する方法

※この方法だとinit.sh後の処理ができないので不採用。

・エントリポイントのスクリプトを調べる
docker exec -it samba-dc bash
cat /proc/1/cmdline

・作成

vim setup.sh

#!/bin/sh
sed -i ‘s|xxx|xxx|’ /etc/samba/smb.conf
sed -i ‘s|xxx|xxx|’ /etc/ntpd.conf

docker-composeで呼び出す。

volumes:
– ./setup.sh:/setup.sh
command: sh -c “/setup.sh && exec /init.sh”

メモ:シンボリックリンク

バインドしているexternalに保存
上記と同じように、エントリスクリプト内でcpできないエラーになる。

#!/bin/sh
ln -sf /etc/samba/external/smb.conf /etc/samba/smb.conf
ln -sf /etc/samba/external/ntpd.conf /etc/ntpd.conf

※lnコマンド
ln -sf [実体] [リンク]

ls -laの見え方
ntpd.conf(リンク) -> /etc/samba/external/my_ntpd.conf(実体)

メモ:Docker Network

docker network ls

・基本
xxx bridge bridge local
xxx host host local
xxx none null local

・削除方法
docker network rm samba_default

・種類
bridge
host:portsの設定は意味ない
macvlan:VPSだと難しい

メモ:SambaTool(DNSレコード)

・DBチェック
docker exec -it samba-dc samba-tool dbcheck –cross-ncs –fix –username=administrator –password=xxx

・ADに登録されている端末取得
docker exec -it samba-dc samba-tool computer list
docker exec -it samba-dc samba-tool computer show xxx

・ADに登録されているユーザー/PCリスト取得
docker exec -it samba-dc samba-tool user list
docker exec -it samba-dc samba-tool computer list

・PC追加

docker exec -it samba-dc samba-tool computer create PCNAME –user=administrator –password=xxx

・ゾーン一覧取得
docker exec -it samba-dc samba-tool dns zonelist localhost –username=administrator –password=xxx

xxx.localと_msdcs.xxxlocalが返ってくる。

・xxx.localのレコード一覧取得
docker exec -it samba-dc samba-tool dns query localhost xxx.local @ ALL –username=administrator –password=xxx

・_msdcs.xxx.localのレコード一覧取得
docker exec -it samba-dc samba-tool dns query localhost _msdcs.xxx.local @ ALL –username=administrator –password=xxx

・下位レコード取得
docker exec -it samba-dc samba-tool dns query localhost _msdcs.xxx.local gc ALL –username=administrator –password=xxx

・Aレコード削除
docker exec samba-dc samba-tool dns delete localhost xxx.local samba-dc A 172.19.0.2 -UAdministrator%xxx

・Aレコード登録
docker exec samba-dc samba-tool dns add localhost xxx.local samba-dc A サーバーIPアドレス -UAdministrator%xxx

メモ:アクセス制御リスト(ACL)

docker exec -it samba-dc samba-tool ntacl sysvolreset –username=administrator –password=xxx

docker exec -it samba-dc samba-tool ntacl sysvolcheck –username=administrator –password=xxx

docker exec -it samba-dc supervisorctl restart samba

投稿日:

GoogleWorkspace SPF/DKIM/DMARC

●SPF
ドメイン所有者がドメインからメールを送信することを許可するIPアドレスを
DNSのSPFレコードとして登録する。

タイプ:TXT
ホスト名:@
値:v=spf1 include:_spf.google.com ~all

●DKIM
送信サーバーが秘密鍵の電子署名を付与、
受信サーバーは送信元ドメインのDNSに公開鍵を問い合わせて署名を検証する。

管理コンソール>アプリ>Google Workspace>Gmail>メールの認証(DKIM)
新しいレコードを生成

タイプ:TXT
ホスト名:google._domainkey
値:v=DKIM1; k=rsa; p=●●●

●DMARC
ドメイン所有者がDMARCレコードをDNSに設定し、
認証に失敗したメールの扱いをポリシーとして指定する。

タイプ:TXT
ホスト名:_dmarc
値:v=DMARC1; p=none; rua=mailto:●●●

投稿日:

VPSで稼働しているサービス整理

安価なプランのIndigoVPSで色々なOSS運用していたが、1つにまとめることにした。今回はXserverVPS。すでにOSSは稼働状態なので、新しい環境と並行稼働してから切り替えることにした。

ssh

sudo vim /etc/ssh/sshd_config
Port
>9922

PasswordAuthentication
ChallengeResponseAuthentication
GSSAPIAuthentication
>no

sudo service ssh restart

ufw

※Xserverにもパケットフィルタがあるので要設定。

sudo vim /etc/default/ufw
>IPV6=no

sudo ufw allow from ●●●.●●●.●●●.●●● to any port 9922 proto tcp

sudo ufw enable
sudo ufw status

・メモ

削除
sudo ufw status numbered
sudo ufw delete [番号]

Docker

sudo apt update
sudo apt install -y ca-certificates curl gnupg
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg –dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg
echo \
“deb [arch=$(dpkg –print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
$(. /etc/os-release && echo “$VERSION_CODENAME”) stable” | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

MySQL

このMySQLは外部接続用で単独で使用。
今までは直接インストールしていたが今回はDocker。

sudo mkdir project_management
cd project_management

sudo mkdir data
sudo chown -R 999:999 ./data
sudo chmod 700 ./data

sudo mkdir conf.d
sudo chown -R 999:999 ./conf.d
sudo chmod 700 ./conf.d

sudo vim docker-compose.yml

sudo docker compose up d

cd conf.d
sudo touch external.cnf
sudo chown 999:999 external.cnf
sudo chmod 644 external.cnf

sudo vim external.cnf
[mysqld]
bind-address = 0.0.0.0
require_secure_transport = ON

sudo docker restart production_management

sudo ufw allow from ●●●.●●●.●●●.●●● to any port 3306 proto tcp
※Xserverのパケットフィルタも要設定。

dataフォルダの
client-cert.pem
client-key.pem
ca.pem
をダウンロード。

・pfx作成

pass=$(head /dev/urandom | tr -dc a-km-np-z1-9 | head -c 13);openssl pkcs12 -export -inkey client-key.pem -in client-cert.pem -out client.pfx -passout pass:${pass};echo $pass;

メモ

コンテナ一覧
sudo docker ps

コンテナに入る
docker exec -it production_management bash

コンテナ再起動
sudo docker restart production_management

コンテナ削除
sudo docker rm -f production_management

MySQL設定ファイル
/etc/my.cnf

MySQL Workbench

Standard TCP/IPを選択。

・Parametersタブ
Hostname:IPアドレス
Port:3306
Username:DBユーザー
パスワード:DBパスワード

・SSLタブ
Use SSL:Require and Verify CA
SSL Key File:client-key.pem
SSL CERT File:client-cert.pem
SSL CA File:ca.pem
ダウンロードしたファイルを選択。登録後ファイルの移動はできない。

これでVPS上のDockerのMySQLに外部から接続することが可能。

MySQLバックアップ

cd /home/project_management
sudo mkdir backup
sudo chmod 700 backup

sudo vim backup.sh

weekday=date +%w
f=/home/project_management/backup/dump_${weekday}.sql
docker exec production_management mysqldump –single-transaction -u root -p●●● project_management > $f

sudo chmod 700 backup.sh

・cron

cd /etc/cron.d
sudo vim /etc/cron.d/mysql_backup

0 2 * * * root /home/project_management/backup.sh

sudo chmod 600 mysql_backup

sudo systemctl status cron

VPS+Docker Samba-DC

投稿日:

VLANスイッチメモ

・スイッチの種類

VLAN対応(マネージドハブ) > VLAN非対応(MACアドレス制御など) > リピーターハブ

通常スイッチは同じネットワークに属するがVLANで論理グループ分けでき、
それによりブロードキャストを分けトラフィックを抑えたりできる。

・ポート

スイッチの物理ポートに、Trunk/Taggedポート、Access/Untaggedポートなどの役割を与える。
Trunk/Taggedポートは複数VLANのタグ付き通信、Access/Untaggedポートは単一VLANのタグなし通信。

・トランクグループ/ポートチャンネル/LAGは
ほぼ同一の意味

Trunk Group
└trk1
└物理ポート1

VLAN
└xxx_seg
└Tagged:なし(ここに所属されるとタグが付与される)
└Untagged:trk1(ここに所属されるとタグが付与されない)

・考えかた

VLAN対応スイッチでは全ての物理ポートが何らかのVLANに必ず所属する。

VLANにIPアドレスを指定しそのVLANに物理ポートを所属させる。
所属方法がTrunk(Tagged)かAccess(Untagged)という感じ。

 

投稿日:

iPhone移行(同一AppleID)

●転送電話

設定>アプリ>電話>自動電話転送

●ウォレット

設定>ウォレットとApplePay>カードを追加
以前ご利用のカードから追加
※交通系は複数端末不可

●LINE

・LINE>設定>トークのバックアップ
バックアップ用のPINを設定

・設定>名前>iCloud>iCloud Drive
・設定>名前>iCloud>LINE
をオン

・LINE>設定>トークのバックアップ>今すぐバクアップ

・LINE>設定>簡単引き継ぎQRコード
を表示させ、新しい端末で読み取る。

※旧端末では使えなくなる。

●PayPay

yahooでログインし、旧端末に表示されるQRコードをスキャンする。

●Authenticator

旧端末

・設定>名前>iCloud>Authenticator
をオン

・Authenticator>このデバイスのバックアップ

新端末

※新しくインストールした状態のみ復元可能
バックアップから復元を選択

ワンタイムパスワードの生成は引き継げる。
MS365はQRコードが必要になる。

●セブン銀行

旧端末

メニュー>アプリの設定>引継設定
をオンにする

新端末

引継設定がお済みの方を選択し設定する。

※旧端末では使えなくなる。

投稿日:

Windows Live Mailエクスポート

古い環境で利用されていたWindows Live Mailのメールデータを、Outlookから閲覧できるようにする。

プロファイル(pstファイル)を準備しないで進めると、既存のプロファイル(pstファイル)にデータを追加してしまうので注意。

control>Mail>プロファイル作成
メールの設定は不要。プロファイルだけあればOK。

Windows Live Mail>ファイル>電子メールのエクスポート>電子メールメッセージ
形式はMicrosoft Exchange、対象は全てのフォルダー、
上記で作成したプロファイル(pstファイル)を選択してエクスポート。

control>Mail
Outlook>ファイル>オプション>アカウント設定>プロファイル管理
上記どちらかで設定画面を開き、データファイル>追加で、作成したプロファイル(pstファイル)を追加する。

エクスポートが失敗する場合

全てのフォルダを対象としても特定のフォルダがエクスポートされないことがあった。破損したファイルが原因のようで、一度エクスポート、インポートをすると直った。

・Liveメール形式でエクスポート

ファイル>電子メールのエクスポート>電子メールメッセージ>Microsoft Windows Live メール

・エクスポート先のフォルダで不要な空フォルダなど削除

・Liveメール形式でインポート

ファイル>メッセージのインポート>Windows Live メール

・受信トレイ、送信済みアイテムなどのアイテムを全て削除し、保存フォルダー内のインポートされたフォルダから、受信トレイ、送信済みアイテムへコピーする。

 

投稿日:

AutoHotkey モニター情報取得

モニターの情報取得

 

投稿日:

仕事上の決断基準メモ

仕事していると決断に迷う場面が多いので、そういうときの基準をメモ。

1)常に売先、仕入先を広げる方向
・永遠に続く関係はない。
・大きな組織ほど強い。
・関係は突然終わる。依存度が高いとダメージが大きい。
・仕入先が自分たちの限界になることもある。

2)常に変化を求める。革新を求める
・ライバルは常に変化しているので、動かなければ遅れる。
・効果がでないことも多いし、小さい変化での乗り遅れの影響は小さい。ただし、変化を止めると革新が起きたときに負けてしまう。

3)常に安くなるように
・常に自分たちより安く提供するライバルは現れる。
・小さな業務改善を継続する。

4)常に早くなるように
・常に自分たちより早く提供するライバルは現れる。
・小さな業務改善を継続する。

5)小さなことにこだわらない
・視座を高め必要な結果はなにか、そのためにどうすればいいかだけ考える。多くの人は目的には関係ない作業手順などにこだわりがあるので、そこで意見がぶつからないよう好きなようにさせる。

・多様性&選択と集中
多様性は環境変化に強くなるけど、競争力強化には選択と集中が必要という矛盾する部分もある。
1-4の行動を進めていく段階では色々なことに挑戦することで多様性を確保しながら、定期的に選択と集中で洗練させる。(売先・仕入先の見直し、古い環境を捨てるなど)

・業務改善、技術革新
3-4業務改善で小さな改善を繰り返しても、それだけでは2大きな技術革新には勝てない。ただ技術革新が起きる間の期間は業務改善の戦いなのでどちらも重要。