ささの備忘録

ITインフラSEの備忘録です。ITインフラを中心にしつつ、猫、DIY、バイク、バレーの話をします

2018年11月

FortiGateのSSLインスペクションで『deep-inspection』を使う

自宅で使っている、Fortigate 60dで、『deep-inspection』を試してみました

導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です

・『certificate-inspection』
 SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
 SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。

やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきです

しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する


自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました

試してみましたので、以下に手順を記載します

・Fortigateより証明書をダウンロードする

Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
deep1


・ダウンロードされた「証明書」をインストール

ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
deep2

証明書ファイルが開きますので、「証明書のインストール」をクリックします
deep3

証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
deppe4


「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
deep5

「完了」をクリックし、証明書をインストールします
deep6

deep7

以上で証明書のインストールが完了しました

以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります

Windows Server 2016の『Windows Update』

先日、Windows Server 2016をさわっていて、気になる事がありました

それは、Windows Server 2016の『Windows Update』です

気になる点が2点あります

気になる点
・『Windows Update』を止められるか?
・詳細オプションにある『機能更新を延期する』を有効にした時どうなる?

です

それぞれ調べてみまみました

1.『Windows Update』を止められるか?

⇒止められるようです。
詳しくは、以下、「Technet」に記載がありました
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

具体的には、グループポリシーで止めます。

手順1.「ファイル名を指定して実行」を選択して、「gpedit.msc」と入力
update11

手順2.[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Update]-[自動更新を構成するを ”無効”
update12

update13

update13


2.詳細オプション『機能更新を延期する』を有効にした時どうなるか?

⇒Windows Server 2016では機能更新が提供されないので、オプションは機能しない

こちらに「Technetフォーラム」に記載がありました
https://social.technet.microsoft.com/Forums/ja-JP/58d00955-886d-4507-8661-692e4bd559ed/windows?forum=winserver10TP

Windows10では、普通に提供されている「機能更新」ですが、ServerOSでは提供されてないですね

なるほど、言われて、あらためて気づきました。
勉強になります


『Windows Server バックアップ』(標準バックアップ)の使い方②

前回、「Windows Serverバックアップ」で、バックアップをとりました

今回は、データリストアは特に難しくもないので、ベアメタルでのリストアしてみたいと思います

1.「Windows Server バックアップ」でリストアする

ベアメタルでのリストアを行う為には、「Windows Server 2016」のメディアが必要です。「Windows Server バックアップ」を使うのであれば、なくさないように保管しておきましょう

サーバーを再起動して、「Windows Server 2016」メディアから起動します
OSインストール画面になりますので、そのまま「次へ」で進めます
backup31


「今すぐインストール」の画面になったら、左下の「コンピューターを修復する」をクリックします
backup32

オプション選択画面になるので、「トラブルシューティング」をクリックします
backup33

詳細オプション画面になったら、「イメージでシステムを回復」をクリックします
backup34

イメージでシステムを回復の画面になったら、「Windows Server 2016」をクリックします
backup35

リストアするイメージを選択します
最新のものを使用でも良いのですが、今回は「システムイメージを選択」をクリックします
backup37

バックアップ場所を選択します、バックアップ先を選択して、「次へ」をクリックします
backup38

バックアップイメージが表示されますので、リストアしたいメージを選択して、「次へ」をクリックします
backup39

復元方法の選択画面です。
今回、仮想サーバーでテストをしてしまったので、ディスクのパーティション等はそのままで、リストアをおこないました。ですので、「ディスクを~再分割する」のチェックは入れませんでした。
但し、ディスク交換等行った場合は、チェックをいれてください
また、リストアしたいので、Cドライブのみで、「データ領域のDドライブはそのまま」といった場合は、「ディスクの除外」を実施してください

backup40

リストアの確認画面が開きますので、「完了」をクリックすると、リストアが開始されます
backup41

リストアにより、データ置換が発生する警告が表示されますので、「はい」をクリックします
backup42

リストアが開始されます
backup43

リストアが完了すると、自動で再起動し、OSが起動します
backup44


以上で、リストアが完了しました

『Windows Server バックアップ』(標準バックアップ)の使い方①

今まで、ネットワークの仕事が多かったのですが、ここのところ、サーバーを触る機会が多く、
先日も、Windows Server 2016を設定していたところ、バックアップの設定を行う事になりました・・

「バックアップソフト」といえば、ArcserveかBackupExecかと思っていたら、「Windows Serverバックアップ」を使用する事になり、いわゆる「標準バックアップ」です

標準バックアップで大丈夫なのか?と思いつつ、試していたところ
これがなかなか、「普通に使える」と思いました
ですので、設定した内容を書いてみたいと思います

1.「Windows Server バックアップ」をインストールする

デフォルトでは、Windows Server 2106には、「Windows Server バックアップ」はインストールされていません。ですので、まずは、「Windows Server バックアップ」をインストールします

「サーバーマネージャ」ー「役割と機能の追加」をクリックすると、ウィザードが起動します
backup1

次へで進んでいき、機能の追加で「Windows Server バックアップ」にチェックを入れます
backup2

インストールが完了しました
backup3


2.単発バックアップを行う

ひとまず、1回だけフルバックアップをとってみようと思います

「サーバーマネージャ」ー「Windows Server バックアップ」をクリックします
backup5

Windows Server バックアップ管理画面が開いたら、「ローカルバックアップ」を右クリック-「単発バックアップ」をクリックします
backup6

バックアップオプションで、スケジュールバックアップは作成していないので、「別のオプション」を選択して、次へをクリック
backup7

バックアップ元の選択が表示されますので、今回は「サーバー全体」を選択して、次へをクリック
backup8

次にバックアップ先種類の選択ですが、ローカルドライブはつまらないので、「リモート共有フォルダー」を選択して、次へをクリック
backup9

事前にLANの別サーバー(192.168.1.2)に、バックアップフォルダーを作っておいたので、場所を指定します。
アクセス出来るのは、バックアップ先サーバーの管理者のみにしていたので、「アクセス制御」を「継承しない」にして、個別にユーザー認証のポップアップが出るようにします。次へ
backup11

バックアップ先の共有フォルダーへアクセスする為の、「資格情報」入れるポップアップ表示
アカウント・パスワードを入力し、OKします
※administratorを使用するのであれば、パスワードはバックアップ元と先を同じにしておく、必要があります
backup12

認証が問題なければ、「確認」画面が表示されますので、「バックアップ」をクリック
backup13

状態が完了しました。と表示されれば、バックアップは完了です
backup14


3.スケジュールバックアップを行う

先程、「単発バックアップ」では、「リモート共有フォルダ」に実施しました。

しかし、「リモート共有フォルダ」へのバックアップには制限があります
世代を残す事ができません⇒バックアップ実施つど、「リモート共有フォルダ」が初期化される為です

この制限は、ちょっといただけないです。リモートにバックアップするケースは結構多いですし、保存先としては、違う筐体や場所の方が、安全ですし

ですので、今回はローカルドライブへバックアップ(複数世代可)してみたいと思います


バックアップ管理画面から、「バックアップスケジュール」をクリックします
backup15

次へで進めると、バックアップ時間の指定が出来ますので、今回は「1日1回15:00」としました
※ここで、曜日等指定ができれば、良いですね。曜日毎ジョブを分ければ、共有フォルダへのバックアップでも、世代管理が出来ます。残念
backup16

次に、バックアップ先ですが、試しに「共有フォルダ」を選ぶと、以下注意が表示されます
backup17

なので、今回は「ローカルドライブ」を選択します
すると、「保存先ディスク」を選択する画面が表示されます
backup18

「保存先ディスク(バックアップ先ディスク)」を選択します
backup19

ここで、おっと、ちゃんと教えてくれました
「バックアップ先が、バックアップ元に含まれている」という事を警告してくれてます
さらに、バックアップ元から削除してくれます。OKをクリックします
backup20

これも、「Windows Server バックアップ」の特徴ですが、バックアップ専用ディスクとして使用をする事ができます。専用にすると、ドライブがエクスプローラーから見えなくなります
今回は、専用ディスクとするため、「はい」をクリック
backup21

バックアップの「確認」が表示されますので、「完了」を押しと、ディスクがフォーマットされ、バックアップがスケジュールされます
backup22


backup23


長くなりましたので、「リストア」は次回実施してみたいと思います

『October 2018 Update』の適用を延期する方法

11月の14日、配信停止になっていた『October 2018 update』が、ついに再配信されました
ずっと配信されない事を願っていましたが、やはりそうもいきませんでした。

Windows10で提供される、年2回の機能アップデートの配信は、3月と9月です。

配信されるたび、大騒ぎになりますが、今回の配信は、最初10月3日にされたのですが、「ユーザーデータが消える」不具合が発覚し、すぐに配信が停止されました。とりわけ、大騒ぎでした

データ消失の原因は「データ消失はKnown Folder Redirection (KFR)の使用に関連したもの」のようです。詳しくはググってみてください。

再配信と書きましたが、現在手動でのアップデートはこちら↓から可能です
https://www.microsoft.com/ja-jp/software-download/windows10

update1


ただし、私の環境では、まだ、自動での適用はされません。
現在「April 2018 Update(1803)」なので、あたってもいいと思うのですが、
何度、"更新プログラムのチェック"をクリックしても、「October 2018 Update(1809)」をひろってきません
update2


いろいろ調べたところ、自動アップデートはすぐには、実行されないみたいです
「AIを使用して、安定してアップデート出来るデバイスから順次提供を拡大していく」とのこと、私の環境も、まだもう少し平気みたいです

今のうちに勝手にアップデートされないように、windows10の大型アップデート『october 2018 update』を止めたいですが、正確には止める事はサポート上良くないので、延期します

「October 2018 Update」を延期する方法
今回は、私のPCが「Windows 10 Pro 1803」なので、この構成を前提とします

<手順1>
「スタート」ー「設定ボタン(ギヤ)」をクリックします
enki1

<手順2>
「Windowsの設定」画面が開いたら、「更新とセキュリティ」をクリックします
enki2

<手順3>
Windows Update画面が開いたら、「詳細オプション」をクリックします
enki3

<手順4>
詳細オプション画面で、更新プログラムをいつインストールするか選択します

 ・半期チャネル(対象指定)※デフォルト値
     ↓
 ・半期チャネル

へ変更します。これで、更新プログラムの適用が4ヶ月延期出来ます
少し前のバージョンだと、
  ・半期チャネル(対象指定)⇒Current Branch(CB)
  ・半期チャネル⇒Current Branch for Business(CBB)

enki4

4ヶ月延期出来る仕組みですが、今回の「October 2018 Update」で考えてみると・・

11月14日「October 2018 Update」リリース⇒半期チャネル(対象指定)用イメージがリリース
             ↓
             ↓ 4ヶ月後
             ↓
3月14日頃 半期チャネル用「October 2018 Update」がリリース

こんなイメージです。日にちなどは、未確認ですので、「間違うと困る!」という方は、ご確認してください。

<手順5>
4ヶ月より、さらに延期したい場合、機能亢進プラグラムの延期日数を選択します
最大365日延期可能です※サポート期間を気にして設定してください
enki6

以上で設定完了です。

設定自体は簡単なのですが、言葉が理解しづらいですよね


スポンサードリンク
プロフィール

ささ

名前:ささ
千葉在住、転職の末、現在は事務機器系ITインフラを提供する会社にお世話になる、A型の強いAB型
最近、さくらももこさんがお亡くなりになった事が何よりショックでした。猫に相手にされるよう気を使い、嫁と娘たちにも気を使うこの頃。