ブログトップ 記事一覧 ログイン 無料ブログ開設

仮想化でプリセールスしてるSEの一日 このページをアンテナに追加 RSSフィード Twitter

2015年08月10日

vSphere 6.0 の覚え書き - Web Client の右クリックメニューが邪魔される件

f:id:ogawad:20100717202036g:image:right

ちょうど半月以上前に私の検証用の VMware 環境がおかしくなりました。言葉で説明するよりも、画面をご覧になった方が早いかもしれません。


f:id:ogawad:20150809231314p:image


vSphere 6.0 における Web Client の機能強化の一つに「右クリックメニュー」があります。これが私の環境で動かなくなったというか、Adobe Flash の右クリックメニューが同時に働いてしまい、隠れてしまうといった問題です。

Twitter で色々とコメントをいただきながら治らず、あきらめて別の端末から操作していたのですが、今週からついに全端末で発生しだしたので vCenter Server を再構築したり色々と切り分けていました。

先週末にようやく、、、原因を掴めましたので、
被害者を増やさないように共有しておきたいと思います。


原因は Windows Update

結論から言うと、原因はコレのようです。

f:id:ogawad:20150810020534p:image


2015/7/15 頃から Windows Update で配布されている Flash Player の更新 KB3079777 を適用してしまうと、現象が発生する様子。*1

マイクロソフト セキュリティ アドバイザリ: Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム (2015 年 7 月 15 日)
https://support.microsoft.com/ja-jp/kb/3079777


困ったことに、この KB3079777 は少し話題になった ゼロデイ脆弱性 の対策バージョン (v18.0.0.209) ですので、オプションではなく 重要 レベル。

重要レベルのパッチは Windows Update では既定でインストール対象にチェックされているため、何も考えないと勝手に適用されてしまいます。

f:id:ogawad:20150810085137p:image



修復方法

脆弱性を気にしないのであれば、誤ってインストールしてしまっても「プログラムと機能」からアンインストールできますのでロールバック可能です。

f:id:ogawad:20150810033113p:image

※ 7/8〜7/15 に一般配布されていた KB3065823 (v18.0.0.203) を適用していた場合は、こちらもアンインストールしなければダメそうです。


これで私の環境はほぼ全部修復できたのですが、
メインの端末だけは上手く治らず、今日もこんな感じで頑張ってます。。

f:id:ogawad:20150810033535p:image


Google Chrome は Windows 標準 Flash Player を使わないので大丈夫ですが、Web Client に限っては IE の方がサクサク動くのでどうにかして欲しいところ。

早く HTML5 にしてくれないかなぁ。。。



2015.08.17 追記)

別途ご質問いただいたバージョンのご質問の件、とりあえず下記は大丈夫です。なかなかピンポイントなバージョンに合わせづらいですが、、、

f:id:ogawad:20150817073613p:image

*1:Windows 8 / Windows Server 2012 より、IE 用 Flash Player は Windows OS に統合された関係で、Windows Update で更新されるようになっています。

2015年08月09日

vSphere 6.0 の覚え書き - Windows 認証で Cannot get user info エラー

f:id:ogawad:20100717202036g:image:right

ご存じのとおり、VMware vCenter Server のユーザー認証には「Windows セッション認証」機能が備わっています。

MS 系の管理ツールに多いのですが、アクセス元 端末に現在ログインしている Windows アカウント情報を送ることで、ユーザー名やパスワードをいちいち入力しなくてよい、シングルサインオン (SSO) の一種です。

VMware もかなり昔から vSphere Client (C#) などでこの機能を備えており、新しい Web Client でもこの機能は使えます。


f:id:ogawad:20150809235509p:image



Cannot get user info でログインエラー

しかしながら、私の環境の中で VCSA 6.0 で動いている vCenter Server へは次のエラーで C# Client からの SSO ができなくなってしまいました。*1

一般的なシステム エラーが発生しました: Cannot get user info
A General System error occurred: Cannot get user info


f:id:ogawad:20150810000038p:image

   ↓

f:id:ogawad:20150810000037p:image


本問題は、検索すると対処方法が見つかります。

下記を参考に、VCSA 6.0 に SSH 経由でログインして /etc/nsswitch.conf を少し弄ってデーモン再起動するだけです。



Web Client で右クリックが邪魔される問題

上記と違い、ここ半月以上悩まされている問題があります。


f:id:ogawad:20150809231314p:image


ようやく原因を見つけましたので、近いうちにご報告したいと思います。

(2015.8.10 追記)こちら に書きました。

*1:Web Client での SSO や、C# Client でもユーザー名・パスワードを手動入力して場合は OK。

2015年07月31日

ガートナー社による仮想化製品の格付け 「Magic Quadrant」 2015年版

f:id:ogawad:20121001003300p:image:right

毎年恒例 Gartner Magic Quadrant

例年通り、今年も夏の初めに
x86 仮想化製品の新版が公開されました。


2011 年版の記事は こちら
2012 年版の記事は こちら
2013 年版の記事は こちら
2014 年版の記事は こちら


2015 年の格付け結果は...

Magic Quadrant for x86 Server Virtualization Infrastructure (July 2015)
http://www.gartner.com/technology/reprints.do?id=1-2JFZ1KP&ct=150715


f:id:ogawad:20150801131613p:image

Source: Gartner (July 2015), Magic Quadrant for x86 Server Virtualization Infrastructure



昨年までの遷移はこちらです。*1

f:id:ogawad:20150801133243j:image:w450


Gartner でいう「安定期」に入っているだけあり、さすがにもう硬直状態です。

これまで Microsoft が本気を出すと先行メーカーは速攻で駆逐されてきましたが、ある程度大きな市場にもかかわらず「時代は クラウドファースト だし!」と Microsoft はオンプレよりパブリックに傾いていますので、1位が入れ替わることは当分来ないでしょう。

テクノロジーもありますが、VMware 社は何より営業担当者のモチベーションを高め・維持させるセールスストラテジーに長けていると感じます。


なお、そのクラウドファースト市場はこんな感じです。

f:id:ogawad:20150801135717p:image

Source: Gartner (May 2015), Magic Quadrant for Cloud Infrastructure as a Service, Worldwide



データセンターインフラ製品の格付け

例年どおり、データセンターインフラ (Server, Storage, Networking) の最新 MQ を載せておきます。

サーバー

f:id:ogawad:20150801223901p:image

Source: Gartner (May 2015), Magic Quadrant for Modular Servers


ガートナーはこれまで、HP / IBM / Cisco で三強だった Blade Server のみ調査していましたが、下記のような様々なサーバーが登場していることから、「Modular Servers」としてリニューアルされ、順位が少し入れ替わりました。

  • "bricks" server ... Density-Optimized、Multi-node、Hyper-Converged など
  • "cartridges" server ... HP Moonshot など


ストレージ

f:id:ogawad:20150801223642p:image

Source: Gartner (November 2014), Magic Quadrant for General-Purpose Disk Arrays*2


最近、ストレージは SSD の低価格化による All Flash が流行りです。Gartner も昨年より「Magic Quadrant for Solid-State Arrays」をリリースしています。

f:id:ogawad:20150801225948p:image

Source: Gartner (June 2015), Magic Quadrant for Solid-State Arrays



ネットワーク

f:id:ogawad:20150801222214p:image

Source: Gartner (May 2015), Magic Quadrant for Data Center Networking


毎年のことながら、DC ネットワークはかなり日本とのギャップを感じます。

*1https://twitter.com/rspruijt/status/519867925709484032/ より

*2:reprint の公開が無いため HDS による再頒布版

2015年06月03日

vSphere 6.0 の覚え書き - vCenter Server 中間 CA 環境でホスト追加できない

f:id:ogawad:20100717202036g:image:right

一昨日、vCenter Server 6.0 の CA 機能(VMCA)をオレオレから正規 CA で署名する手順を紹介しましたが、少し考慮点があるようです。

海外のエンジニアも早々に 言及 していますが、

  • VMCA を中間認証局に設定してから 24 時間は正規 SSL 証明書を発行できない
  • この間は、vCenter 管理下に ESXi ホストを追加できない

とのこと。
私もハマりましたので、こちらも残しておきます。


vCenter 6.0 環境でホストの追加します。

f:id:ogawad:20150603212921p:image


途中、下記のようにホストの SSL 証明書の置き換えが伝えられます。

f:id:ogawad:20150603164330p:image


しかしながら、VMCA を中間認証局に設定してから 24 時間以内の場合は、
次のエラーでホストの追加に失敗してしまいます。

一般的なシステムエラーが発生しました:

Unable to get signed certificate for host: hostname.fqdn.
Error: Start Time Error (70034).

f:id:ogawad:20150603212920p:image


f:id:ogawad:20150603212919p:image
クリックすると拡大します。


24 時間経過後に実行すると、今度は問題なく成功します。

f:id:ogawad:20150603212918p:image
クリックすると拡大します。


マニュアルにもあるとおり、
vCenter の SSL 証明書を置き換えはホストを追加する前に実施した方が良い
のですが、この不具合により作業後 24 時間は次のステップに進めません。

いずれ修正されると思いますが、
それまでは構築作業が一日ストップしかねないのでご注意ください。

2015年05月31日

vSphere 6.0 の覚え書き - vCenter Server の SSL 証明書を正規版に差し替える

f:id:ogawad:20100717202036g:image:right

以前より何回か紹介した vCenter オレオレ証明書 の差し替え手順が、vSphere 6.0 でまた大幅に方法が変わったようです。
備忘録を兼ねて残しておきます。


f:id:ogawad:20150809175229p:image


vSphere 5.5 はアプライアンス版であれば驚くほど簡単になったと喜んでいたのですが、vSphere 6.0 ではオレオレ証明書というか、vCenter Server 自体に「VMCA」という認証局機能が搭載されています。

つまり、オレオレCA に格上げされてしまいました。

したがって、vSphere 6.0 では単なる SSL サーバー証明書の署名というより、vCenter VMCA を中間認証局として署名する作業となります。


f:id:ogawad:20150601223917p:image
http://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.security.doc/...


なお、CA になったことからも推察できるとおり、vCenter Server の管理下になった ESXi ホストは SSL 証明書が自動で置き換えられるそうです。

ですので、社内 CA など正規の SSL 証明書を使う予定の場合は vCenter Server インストール後速やかに作業する ことを強くお勧めします。

※ vCenter はアプライアンス版(VCSA)を想定しています。
※ 所要時間は 20 分弱です(証明書関連に明るい場合)。



CSR の生成

vCenter Server 6.0 は、アプライアンス版・Windows 版共に CSR を自動生成してくれる「vSphere 6.0 Certificate Manager」が付属しています。


1. ssh で VCSA に接続します。ユーザーは administrator@vsphere.local ではなく、必ず root でログインしてください。

2. 表示される画面のとおりに bash シェルを有効にします。

f:id:ogawad:20150601230932p:image


3. 警告が表示された後 [vcserver:~ #] のプロンプトに変われば OK です。。

4. /usr/lib/vmware-vmca/bin/certificate-manager を実行します

f:id:ogawad:20150601233012p:image


5. 2. Replace VMCA Root Cert... を選択します。

6. SSO のパスワードを入力し、1 Generate Certificate Sign... を選択します。

7. /tmp などの適当な場所に出力し、一旦ツールを終了します。

8. 出力された CSR をダウンロードします。

※ WinSCP を利用する場合は KB2107727 の方法でログインシェルを一時的に変える必要がありますが、ファイルの中身はテキストですのでターミナル上でクリップボードコピーしても構いません。



CSR による署名

私の環境(Windows Server 2012 R2 ADCS)の場合、
KB2112009 にあるような専用のテンプレートを用意しなくても、既定の「下位の証明機関」テンプレートで要件を満たしていました。


f:id:ogawad:20150602025238p:image


署名されたファイルは単体ではなく、チェーン (*.p7b) でダウンロードします。DER と BASE64 はどちらでも構いません。



PEM ファイルの生成

上から「VMCA」「上位CA」「ルート証明書」と BASE64 文字列が並ぶ PEM 証明書を生成します。

1. 先ほどダウンロードした *.p7b ファイルをダブルクリックで開きます。

2. スナップインにて、2つの証明書それぞれを X.509 BASE64 で出力します。

3. 以前の記事 を参考にしつつ、CA 証明書チェーン certnew.p7b をダウンロードし、こちらも X.509 BASE64 で出力します。

4.  「2 で出力した CA」→「2 で出力したもう片方」 → 「3 で出力した CA 証明書チェーン」 の順で 単一のテキストファイル に統合します (concat) 。



PEM ファイルのアップロード

1. SCP やクリップボードを通じて PEM ファイルを転送します。

2. 再び certificate-manager を実行し、22 の順に選択します。

3. PEM ファイルと KEY ファイルの場所を指定します。KEY ファイルは CSR を出力したディレクトリにあるはずです。

4. 証明書の発行先情報を埋めると、証明書の置き替えが開始され、vCenter サービスが再起動します。


f:id:ogawad:20150602022635p:image


上記のメッセージが出たら、置き換え正常終了です。

ブラウザを開いて証明書エラーが出ないことを確認してください。


f:id:ogawad:20150602022629p:image


f:id:ogawad:20150602075811p:image:left






階層構造は左のようになるはずです。



なお、執筆時点の vCenter 6.0 では、vCenter Server を中間 CA にしてから 24 時間は ESXi ホストを追加できない不具合があるようです。詳しくは こちら で。



中間 CA の証明書入手と登録(2015.8.9 追記)

利用中の PKI 構造によっては、上記手順を完了してもまだ証明書エラーになることあります。この場合は当該 PC に中間 CA 証明書のインポートが必要です。

中間 CA 証明書は https://vCenterサーバーのFQDN/「信頼されたルート CA 証明書をダウンロード」のリンクからダウンロード可能です。


f:id:ogawad:20150809203029j:image


ダウンロードファイル名は「download」と拡張子は付いていませんが、zip ファイルですので、.zip を付けて解凍すると、複数のファイルが格納されています。拡張子が「0」のファイルが CA 証明書ファイル、「r0, r1, ...」のファイルの CRL 失効リストです。

MMC 証明書スナップインを起動し、最も新しい「0」ファイルとそれに対応する CRL リストをコンピュータアカウントの証明書ストア 中間証明機関 に登録してください。



参考情報: