備忘録 Archive

（題が長い）

うちの会社の鯖で、一部Windows Server 2008を使っているんですが。
その鯖にRDPで接続したら、数秒～1分くらいで、

「データの暗号化のエラーのため、このセッションは終了します。リモートコンピュータに接続し直してください。」

と言われ切断されてしまう。

で、色々調べてみると、ネットワークカードの設定を弄れば直るとのことで。。。

早速手直し。

１．RDP接続先のNICのプロパティ→構成ボタンを押下
２．詳細設定タブを押下
３．IPv4 Large Send Offloadを「Disable」に変更

４．下のOKボタンを押下

以上で完了。

RDPも無事接続が可能になりました。

（ちなみに、鯖にSymantec Endpoint Protectionをインストールしているからなのかもしれない、という情報アリ。）

CentOS5.3をのっけたサーバで、iptables+squidの透過プロキシのゲートウェイ作ったんですけどね、その際に、squidのログをapache形式に指定して吐かせようとしても、squid形式にしかならなかった。

んでもって、google様にお問い合わせした結果、このようなページを発見。

COSS使うためにSquid2.6にしたけどsquid.confでemulate_httpd_log onにしてもaccessLogCommonが使われねー(otsunes SnakeOil)

で、squid-2.6.STABLE7/src/access_log.cのソース読んだら

(中略)

デフォルトは

access_log /usr/local/squid/logs/access.log auto

のほうが正しいよな。

ってことで、
うちのサーバも

access_log /var/log/squid/access.log auto

にしたら直りました。
たしかに、こっちがデフォルトのような気が。。。

（このページを見た方、上記で略された部分も引用元のページから読んでください。）

よくあるエラーなので、記録しておきます。

Windows Server 2003 で警告イベント ID 53258 が記録される(MS-KB)

原因
この警告イベントは、コンピュータをドメイン コントローラに昇格するか、あるいはドメイン コントローラから降格させた後、Windows がMS DTC のセキュリティ設定を既定の設定に戻そうとし、変更に失敗するために記録されます。

解決方法
この警告は安全に無視することができます。

この警告イベントを出力しないように変更するには、セキュリティの構成を更新して対象レジストリ キーへのアクセス権を Windows に設定します。セキュリティの構成を更新するには、次の手順で操作します。

１．[スタート] ボタンをクリックし、[管理ツール] をポイントし、[コンポーネント サービス] をクリックします。

２．左ペインの [コンポーネント サービス] のツリーを展開し、[マイ コンピュータ] を右クリックして [プロパティ] をクリックします。

３．[MSDTC] タブをクリックします。

４．[セキュリティの構成] ボタンをクリックします。

５．[ネットワーク DTC アクセス] のチェック ボックスをオンにします。

６．[OK] をクリックします。

７．次のメッセージが表示されるので、[はい] をクリックします。

MS DTC サービスを停止し、再開します。すべての依存するサービスを停止します。[はい] をクリックして操作を続行してください。

８．再度 [セキュリティの構成] ボタンをクリックし、手順 5 で変更したセキュリティ設定を元に戻します。

最近割り当てられた会社用のPCが12GBなので、64bit版当てるしかないかな？と思ったら、32bitで認識させる方法があった。

Synapticパッケージ・マネージャから「linux-server」をインストールして、再起動すればOK。
（依存関係はまとめてインストールしてくれるはず。）

コマンドラインだったら、

sudo apt-get install linux-server

でいいかな。

64bitだと動かないアプリとかあったりするので、まだ暫くは32bit版でやったほうが良さそう。
（日本語Remixも32bitだけだしね。）

vsftpd.confの適当な所に

force_dot_files=YES

を追加。

本当によく忘れる。

squid.confの適切な場所に

never_direct allow all

を記述する事で、親がキャッシュしたデータを持ってなくても、親にデータを取りにいかせる事が出来る。
（子squidにデータを取りにいかれると困るシチュエーションの時に利用）

前ブログの記事を消すのですが、勿体ないので、再度postします。
—
「ってか、いつの時代だよ、Meセットアップなんて。」って言いたいんですけど、今日そういう仕事したんで、メモ。

Windows Me を再インストールするとき、「モジュール verx.dll に一般保護違反を発生する SUWIN」エラー メッセージ（MS-KB）

1.コンピュータを開始するために、 MS-DOS スタートアップ フロッピー ディスクを使用します。
注意: フロッピー ドライブからのハード・ディスクからコンピュータが起動する場合、コンピュータの CMOS 設定での開始シーケンスを変更する必要があります。

1. Windows Me スタートアップ ディスクを挿入します。
2. 開始をクリックし、 Shutdown を次にクリックします。
3. 再起動をクリックし、 OK を次にクリックします。
4. コンピュータを再起動したら、 Start Computer with CD-ROM support、 Start Computer without CD-ROM support または Minimal Boot を選択します。

2.プロンプトで、次のコマンドを入力し、それぞれ後、 Enter キーを押します。

1.c:
2.cd windows\system
3.ren wmp*.dll *.lld
4.ren wmp.ocx *.xco
5.cd \progra~1
6.ren window~1 wmp9

3.Windows Me スタートアップ フロッピー ディスクを取り出して、通常コンピュータを次に開始します。

4.Windows Me を再インストールします。

5.最新利用可能なバージョンに Windows Media Player をアップグレードします。 これを行うために、 Windows Update Web サイトにアクセスします。 Internet Explorer で ツール メニューで Windows Update をクリックします。

これで、すんなり動きましたさ。
どうでもいいけど、XPに替えて下さいよ、マジで。

前ブログの記事を消すのですが、勿体ないので、再度postします。
—
squid.confに書いてた遮断リストを別ファイルで管理する方法。
適当なファイル名に、以下のようなリストを作成

/etc/squid/hogehoge_list　←ファイル名は参考までに

.youtube.com
.nicovideo.jp
.smilevideo.jp

んでもって、squid.confを以下のように記述

acl hogehoge dstdomain “/etc/squid/hogehoge_list”
http_access deny hogehoge

こんな感じ。

confファイルにいちいち書くよりは、安全で管理は楽かなと。

前ブログの記事を消すのですが、勿体ないので、再度postします。
—
ってことで、「hogehoge.com」ってドメインを持っている事を前提として、「aaa.hogehoge.com」っていうサブドメインでGoogle Appsを運用したいのね。

最初、bindのゾーンファイルをこういう風に書いてた訳ですよ。

MX 10 sss.hogehoge.com.
MX 20 mmm.hogehoge.com.
aaa MX 10 ASPMX.L.GOOGLE.COM.

以下、googleの指示通り

いけるかな?って思ってたんですが、Google Appsのコンパネではエラーで帰ってきた。
Google Appsのヘルプには

必要に応じて、MX レコードのフォーマットに従い、完全修飾ドメイン名の末尾にドット (.) を付けます(例: server.example.com.)。

って記載されているので、こういう風に書き直してやりました。

MX 10 sss.hogehoge.com.
MX 20 mmm.hogehoge.com.
aaa.hogehoge.com. MX 10 ASPMX.L.GOOGLE.COM.

以下、googleの指示通り

そしたら、30分で認識完了。
ドメイン名は完全で書かなきゃダメなのねん。勉強になりました。
（省略して大丈夫だと思ってたんだけどなぁ。）

前ブログの記事を消すのですが、勿体ないので、再度postします。
—
squid.confを、以下のように書く。

acl hogehoge dstdomain mugicho.com #mugicho.comを遮断
acl hogehoge dstdomain .mugicho.com #mugicho.comのサブドメインを含めて遮断

http_access deny hogehoge

denyの部分は、ローカルをallowさせる設定の前に書かないと反映されませんので注意が必要。

youtubeを遮断したい場合は、「.youtube.com」を指定すればいいし、ニコニコ動画を遮断したい場合は、「.nicovideo.jp」「.smilevideo.jp」を指定すればOK。

SonicWallやFortigate等のFW機器でWebフィルタリングしてる場合、tubeplayerを利用されるとすり抜けられる場合もありますが、たとえばFW直前にsquidの透過プロキシを置いて、ソコに遮断する設定を噛ませておけばかなり効果があると思います。

（ウチの場合、FW側の負荷軽減で役に立っているようです。）

まぁ、逆引きされたら話にならないんですけどね。