読者です 読者をやめる 読者になる 読者になる

Active DirectoryをWindows Server 2012 R2へ移行する際の注意点3つ

Windows Updateを面倒臭がって、Active Directory移行作業しようとする人が居たので、備忘録を兼ねて書き込み。

Windows Updateを行わずにWindows Server 2003からActive Directoryを移行すると、特定の条件でログオンができなくなります。

blogs.technet.microsoft.com

上記は2014年に発覚したものです。メーカー製サーバのプリインストールOSではパッチが当たった状態で出荷されていることが多いですが、いちからインストールした場合、同様のケースに陥るケースがあります。

Windows Updateはセキュリティパッチだけでなく、バグ修正も沢山あるので、Windows Updateは必ず行ってから作業するようにしてください。

他の原則は以下の通り。

1.ドメインコントローラの構築、移行はWindows Updateを行ってから実施してください。

最低でもドメインコントローラのサービスパックは合わせてください。Windows Server 2012 R2 ”Update”まで合わせることを強く推奨します。

 

2.ADサーバのFSMOは、必ず物理サーバにしてください。

www.atmarkit.co.jp

d.hatena.ne.jp

上記記事ではFSMOとは書いていませんが、FSMOを物理サーバにしたほうが懸命です。時刻がおかしくなると認証情報に不整合が発生することになり、AD全体の障害に発展します。FSMOにタスクマネージャを設定し、NTPサーバに時刻の矯正を頻繁に行っているケースをたまに見ますが、それはNTPとネットワークが正常であることが大前提の実装で、例えばNTPサーバやネットワークを計画停止して復旧したらADにログオンできなくなった、というトラブルが発生します。

 

3.ドメインコントローラに別のサーバをインストールしない。

blogs.technet.microsoft.com

esupport.trendmicro.com

d.hatena.ne.jp

同じマイクロソフトのサーバ内の機能でもWSUS、RemoteAppのRD接続ブローカーは共存が推奨されません。インストール自体は可能ですが、あくまで検証環境用と考えてください。ドメインコントローラに他のサーバをインストールすること自体が非推奨です。

 

上記原則を無視して本番環境を構築した場合、1、2を無視してトラブルが発生すると「正常なバックアップデータ」が無いと復旧不可能です。最悪の展開では、ADを再構築して、PC1台ごとにドメイン参加とローカルデータ移行をやりなおすことになります。

3を無視した場合、ドメインコントローラのアップグレードと他のサーバのアップグレードを同時に行わなければならないリスクを抱えて運用することになります。トラブル発生はドメインコントローラと、他のサーバ機能が同時に利用不可になります。仮想化全盛の昨今では、1サーバ1機能を徹底しているお客様が多く、SEにとってはありがたいのですが、仮想化が進んでいないお客様では機器費用削減のために3を強行することがあります。認証サーバに他の機能を持たせること自体が危険と考えて頂ければ幸いです。

 

最後に、本記事と重複しますが去年1月に書いた記事をリンクしておきます。こちらも合わせて見て頂ければありがたいです。

cabvm.hateblo.jp

ランサムウェア CryptowallのWindows10感染について、実際に感染して挙動を確認しました

上記記事のはてなコメントに「Windows 10ではランサムウェア対策されているので感染しないのでは?」というコメントが有りましたので、実際に検証してみました。検証日は2015/12/6夜から12/7未明にかけてです。

まずは、検証した環境を説明します。Windows 10 Pro x64エディションです。なおVMware Workstation上に構築しています。

f:id:cabvm:20151207020517p:plain

Windows Updateの実行状況。全て最新が当たっています。

f:id:cabvm:20151207020711j:plain

Windows Defenderは標準状態で、設定を触っていません。エンジンもウイルス定義ファイルも2015/12/7時点の最新です。

f:id:cabvm:20151207020812j:plain

f:id:cabvm:20151207020821j:plain

このWindows10環境に、下記のマルウェアをパスワード付き圧縮ファイルから解凍して、実際に駆除が行われるか確認しました。なお、ウイルス名はESETのつけている名前を表示しています。括弧内は実際のファイル名です。

  1. Win32/Bayrob.AE(julyan.exe)・・・Windows Defenderで駆除成功
  2. Win32/Dridex.Y(454sd.exe)・・・Windows Defenderで駆除成功
  3. Win32/Dridex.Y(seed.exe)・・・Windows Defenderで駆除成功
  4. Win32/Kryptik.EHDW(73.exe)・・・Windows Defenderで駆除成功
  5. Win32/Filecoder.EM(hvgfpxj.exe)・・・Windows Defenderで駆除成功
  6. Win32/PSW.Fareit.A(krt21.exe)・・・Windows Defenderで駆除成功
  7. Win32/PSW.Agent.NTM(st10.exe)・・・Windows Defenderで駆除成功
  8. Win32/TrojanDropper.Binder.NBH(ICryptex V3 Cracked.exe)・・・Windows Defenderで駆除成功
  9. Generik.LYPIDOL(1.exe)・・・Windows Defenderで検知せず。
  10. Suspicious Object(73.exe)・・・Windows Defenderで検知せず。

最後の2つだけ、Windows Defenderは反応しませんでした。最後の1つについては、ESETも「不審なファイル」と表示されるだけで、マルウェアの名前は表示されなかったため、新しいウイルスの可能性が高いです。

 

1.(9)の1.exeを実行してみる。

Windows10にログオンしてから、普通にダブルクリックして実行しました。.Net Framework 3.5のダウンロードが始まり、インストール後何らかの挙動があるかと期待しましたが、「1.exeは実行を中断されました」と表示されて、何も起きませんでした。パケットキャプチャや怪しいプロセスも無し。結果を見る限り、Windows10での動作は想定されていないようでした。

 

2.(10)の73.exeを実行してみる。

1.と同様にダブルクリックして実行しました。なお管理者として実行はしていません。結論から先に言うと、この実行ファイルはランサムウェアでした。Zip、Docx、Jpegファイルが、拡張子が「*.vvv」になりました。念のためBMP画像ファイルも置いていましたが、BMPファイルは噂通り暗号化されませんでした。Windows Defenderは何も言ってきません。また、ボリュームシャドーコピー(VSS)領域を触ろうとしてUACの許可画面が何度か出たので、復元ポイントを削除している可能性があります。

f:id:cabvm:20151207023025j:plain

下記のように、RSA-2048で暗号化したとの文章が表示されます。

f:id:cabvm:20151207023334j:plain

デスクトップにも、同じ内容が画像ファイルでありました。

f:id:cabvm:20151207023721j:plain

OS起動時に、しつこく案内ページが出て、料金(このランサムウェアの場合はBitcoin)を払うように要求してきます。なおユーザ作成フォルダの下にテキストファイルとHTMLファイルが保存される場合がありますが、これはESETではウイルス扱いされますので、開かないことをお勧めします。実際にこうなったらテキストファイルどころではないと思いますが念のため。

この感染で、「Windows 10でも感染します」「Windows Defenderがあるからといって、安心できない」ということがわかりました。セキュリティについては、世の中の噂はあまり当てにならないので、十分注意してください。

なおランサムウェアはデータを身代金にして金を取ろうとする犯罪です。犯罪者にはお金を渡さないようにしましょう。検索ページではランサムウェア買得業者なるものが出てきますが、こちらも、ランサムウェア仕掛けた側とどう繋がっているが不明なため、料金を払うのはやめておいたほうが良いです。

復旧方法は、バックアップからの復元以外では難しいです。お金を払って早期解決したい気持ちはわかりますが、犯罪者にお金を払うと、気を良くして更にランサムウェアをばら撒く悪循環に繋がるため、データをあきらめるしかないと考えてください。

ランサムウェアの感染経路に関してですが、広告サイトからの感染を確認しています。他にもスパムやメールによる標的型攻撃として利用されています。いずれにしろ怪しいファイル、特に実行ファイルはむやみに開かないようにしてください。

予防策は、まずは仕事に利用しているPCなら、必ず有料のウイルス対策ソフトを導入することです。学生さんは年額支払いが嫌だとは思いますが、ヒューリスティックスキャン機能があれば、無料のウイルス対策ソフトでもかまいませんので、導入を推奨します。ウイルス対策ソフトとWindows Defenderの差はヒューリスティックスキャンと更新頻度であり、この機能の有無で天地の差があると考えてください。決して、Windows Defenderだけでウイルス対策が行われているとは思わないでください。

また、最初のブログでも言及されていますが、Windows7、8.1からWindows10にバージョンアップした場合、ウイルス対策ソフトは必ず再インストールしてください。再インストールしないと、ウイルス対策Windows Defenderだけになる可能性があり、大変危険です。

最後に、Windows10に感染した「73,exe」のSHA1ハッシュを置いておきます。ファイル名が違っていても、同じSHA1のファイルがあった場合は絶対に開かないよう、お願いします。

<deleted>

※12/7 12:05追記

ランサムウェア拡散の悪影響を考慮して、ハッシュ値を削除しました。

※12/7 19:50

文章の乱れを修正しました。

 

 

 

 

wc4~wc7、APEX 2800有無の比較まとめ

最後にAPEXの有無を比較した結果を出します。

 

Windowsエクスペリエンスインデックス

f:id:cabvm:20150816200839p:plain

APEXの有無ではエクスペリエンス・インデックスに変化はありませんでした。

CrystalDiskMark

f:id:cabvm:20150816200903p:plain

APEX有りのほうが全体的なHDD性能は低下しました。特に4GBでは性能低下が顕著に出ています。

Super pi

f:id:cabvm:20150816201229p:plain

CPUでも、APEX無しのほうが性能が若干低下しています。


CrystalMark 2004R3

f:id:cabvm:20150816201318p:plain

CrystalMarkでは、APEX有りのほうが性能が向上しています。特にOGLの性能向上が見えます。


iometer

f:id:cabvm:20150816201540p:plain

iometerでは、APEX有りのほうが性能低下が見られます。


iperf[Mbps]

f:id:cabvm:20150816201620p:plain

ネットワークはAPEXの有無に関係なく、性能向上した仮想PCがあれば、低下した仮想PCも有りでした。APEXの有無はネットワークに影響は与えないようです。


PCMark7

f:id:cabvm:20150816201726p:plain

wc4(ソフトウェア3DGPU)wc6(GRID K1 vDGA)では若干の性能向上が見えますが、wc5(GRID K1 vSGA)wc7(GRID K520 vDGA)では性能は若干低下しました。


Peacekeeper

f:id:cabvm:20150816201945p:plain

Webブラウザのベンチマークでは、wc5(GRID K1 vSGA)wc6(GRID K1 vDGA)で性能向上、wc4(ソフトウェア3DGPU)wc7(GRID K520 vDGA)で性能低下しました。GRID K1とAPEXの相性が良いのかな?という印象です。


FFXI bench

f:id:cabvm:20150816202313p:plain

ゲームのベンチマークではAPEXの性能向上がはっきり出ています。


DQX bench

f:id:cabvm:20150816202343p:plain

DQXでは、性能は更に向上。wc6(GRID K1 vDGA)wc7(GRID K520 vDGA)では「普通」と、ネットワーク越しのシンクライアントでも普通にゲームが遊べる結果が出ました。

 

最後にwc6、wc7のSPECviewperf11を比較します。


SPECviewperf11

f:id:cabvm:20150816202501p:plain

全てのベンチマーク結果で、APEX有りのほうが性能向上していました。APEXカードがGPUの負担を下げ、PCoIPのアクセラレーションを行うというのは真実です。

全体の結果として、APEXカードはCPU、HDD性能が下がる代わりに、GPU周りの性能を上げるボードという結果が出ました。ただし、相性もあるようで、GRID K520とはあまり相性が良くないようです。

今年1月から長く続いたVMwareベンチマークは、これで一区切りです。このテスト中に発売されたVMware Horizon 6.1の検証を行いたいのですが、VMware View、GRID GPU、APEXカードを個人で買ってしまったため、VMware Horizonを買う余裕は2015年8月現在ではありません。ただVMware製品は60日間は試用できるため、60日間集中してベンチマークを取れるようなら、今の環境でベンチマークを取りたいと考えています。

また、時間があれば、現行でFishbowlやUWSC、VMMarkを利用したベンチマークも取ってみたいです。いずれにしても、長い間見て頂いてありがとうございます。

長文失礼いたしました。

WC4(ソフトウェア3DGPU 512MB)、WC5(GRID K1 vSGA 512MB)、WC6(GRID K1 vDGA 4GB)、WC7(GRID K520 vDGA 4GB)全て APEX 2800有り 比較まとめ

以下の比較をまとめます。Windows8.1 Update x64 1コア、2GBメモリ、32GB HDD(iSCSI)VMXNET3が共通です。GPU周りの違いは以下です。

WC4(ソフトウェア3DGPU 512MB)+APEX 2800

WC5(GRID K1 vSGA 512MB)+APEX 2800

WC6(GRID K1 vDGA 4GB)+APEX 2800

WC7(GRID K520 vDGA 4GB)+APEX 2800

 

Windowsエクスペリエンスインデックス

f:id:cabvm:20150816194907p:plain

APEXの有無ではエクスペリエンス・インデックスに変化はありませんでした。

CrystalDiskMark

f:id:cabvm:20150816194946p:plain

傾向に違いはありませんでした。

Super pi

f:id:cabvm:20150816194937p:plain

APEX無しと同様、物理GPU利用のほうが遅い結果が出ました。


CrystalMark 2004R3

f:id:cabvm:20150816195002p:plain

CrystalMarkでは、GRID K1が総合スコアとOGLで圧勝。他は横並びでした。APEX無しと同じです。


iometer

f:id:cabvm:20150816195019p:plain

iometerでは、GRID K520が一番上と出ましたが、大きな違いはありませんでした。


iperf[Mbps]

f:id:cabvm:20150816195026p:plain

ネットワークはAPEX無しの頃はソフトウェア3Dが最速でしたが、APEX有りではvSGA利用のwc5が一番速かったです。前回と同じく、誤差の範囲と考えられます。


PCMark7

f:id:cabvm:20150816195036p:plain

APEX無しと同じく、GRID K520 vDGAが一番速く、GRID K1 vDGA、GRID K1 sVGAの順で性能が素直に出ています。


Peacekeeper

f:id:cabvm:20150816195043p:plain

APEX無しではvDGA利用のほうが少しだけ遅い結果でしたが、APEX有りではvSGAが最速になりました。APEXによってソフトウェア3DGPUの負担が減ったのと関連があるのかもしれません。


FFXI bench

f:id:cabvm:20150816195052p:plain

APEX無しと同じく、GRID K1 vDGAでは計測できず。nView(仮想マルチディスプレイ)を外せば動いたのかもしれません。


DQX bench

f:id:cabvm:20150816195059p:plain

APEX無しと同じく、wc5(GRID K1 vSGA)はキャラクタが表示されなかったため、参考値です。GRID K520 vDGAが一番良いスコアとなっています。APEX有りのK1 vDGA、K520 vDGAの結果は「普通」で、やっとDQXが普通に遊べる状況になりました。

 

WC6(GRID K1 vDGA)とWC7(GRID K520 vDGA)はGPUベンチマークであるSPECviewperf11が動作したので比較します。


SPECviewperf11

f:id:cabvm:20150816195107p:plain

こ のベンチマークは、APEX無しと同じく別のOSをインストールしたりして、何度も測りなおしたのですが、大きな揺らぎはありませんでした。結果として、GRID K520はOpenGLに特化してGRID K1の3倍のスコアを出しましたが、それ以外はGRID K1に惨敗。GRID K520はAndroid等の端末にゲーム画面を転送してゲーム環境を与えるというコンセプトだったと思うのですが、実際にはOpenGLに最適化された GPUでした。

体感ですが、APEX有りではwc4~wc7のどれも、APEX無しよりスムーズに表示されました。

最後に、APEX有無の比較結果を掲載します。

WC7(新ESXi、VMXNET3、SSD有、GRID K520 vDGA)+APEX 2800のベンチマーク結果

次は、wc7(GRID K520 vDGA)+APEX 2800です。最初に「WC4(新ESXi、VMXNET3、SSD有、ソフトウェア3DGPU)+APEX 2800のベンチマーク結果 」をご参照ください。

Windowsエクスペリエンスインデックス。

f:id:cabvm:20150816192741j:plain

dxdiagでは以下の表示が出ます。vDGAのため、NViDIAネイティブドライバをインストールしています。

f:id:cabvm:20150816192802j:plain

 

super pi

f:id:cabvm:20150816192826j:plain


iometer

f:id:cabvm:20150816193148j:plain


CrystalDiskMark

f:id:cabvm:20150816192854j:plain

f:id:cabvm:20150816192902j:plain

f:id:cabvm:20150816192909j:plain


CrystalMark

f:id:cabvm:20150816192931j:plain


iperf

[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec   835 MBytes   700 Mbits/sec


PCMark7

f:id:cabvm:20150816193016j:plain


Peacekeeper

f:id:cabvm:20150816193035j:plain


FFXI benchは7234(high)。
DQX bench。

f:id:cabvm:20150816193114j:plain

vDGAのため、Specviewperf11が計測可能。

f:id:cabvm:20150816193122j:plain

 

APEX有無の比較は後でまとめて行う予定です。

WC6(新ESXi、VMXNET3、SSD有、GRID K1 vDGA)+APEX 2800のベンチマーク結果

次は、wc6(GRID K1 vDGA)+APEX 2800です。最初に「WC4(新ESXi、VMXNET3、SSD有、ソフトウェア3DGPU)+APEX 2800のベンチマーク結果 」をご参照ください。

Windowsエクスペリエンスインデックス。

f:id:cabvm:20150816191643j:plain

dxdiagでは以下の表示が出ます。vDGAのため、NViDIAネイティブドライバをインストールしています。

f:id:cabvm:20150816191702j:plain

 

super pi

f:id:cabvm:20150816191833p:plain


iometer

f:id:cabvm:20150816191855j:plain


CrystalDiskMark

f:id:cabvm:20150816192057p:plain

f:id:cabvm:20150816192111j:plain

f:id:cabvm:20150816192118j:plain


CrystalMark

f:id:cabvm:20150816192139j:plain


iperf

[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec   908 MBytes   761 Mbits/sec


PCMark7

f:id:cabvm:20150816192235j:plain


Peacekeeper

f:id:cabvm:20150816192249j:plain


FFXI benchはエラー表示のため無し。
DQX bench。

f:id:cabvm:20150816192325j:plain

vDGAのため、Specviewperf11が計測可能。

f:id:cabvm:20150816192414j:plain

 

APEX有無の比較は後でまとめて行う予定です。

WC5(新ESXi、VMXNET3、SSD有、GRID K1 vSGA)+APEX 2800のベンチマーク結果

次は、wc5(GRID K1 vSGA)+APEX 2800です。最初に「WC4(新ESXi、VMXNET3、SSD有、ソフトウェア3DGPU)+APEX 2800のベンチマーク結果 」をご参照ください。

Windowsエクスペリエンスインデックス。

f:id:cabvm:20150816190755j:plain

dxdiagでは以下の表示が出ます。vSGAでもVMwareの3Dドライバです。

f:id:cabvm:20150816190821j:plain

super pi

f:id:cabvm:20150816191044p:plain


iometer

f:id:cabvm:20150816191106j:plain


CrystalDiskMark

f:id:cabvm:20150816191131j:plain

f:id:cabvm:20150816191149j:plain

f:id:cabvm:20150816191158j:plain


CrystalMark

f:id:cabvm:20150816191211j:plain


iperf

[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec   917 MBytes   769 Mbits/sec

PCMark7

f:id:cabvm:20150816191253j:plain


Peacekeeper

f:id:cabvm:20150816191304j:plain


FFXI benchは3927(High)
DQX bench。ただしキャラクターが表示されなかったため、参考値です。

f:id:cabvm:20150816191333j:plain

APEX有無の比較は後でまとめて行う予定です。