"侘寂" Archives

書きたいときに、書きたいモノを書こう

Server

オイラはココとは別にCORESERVER.JPを借りています。
このレンタルサーバには共有SSLがあり、格安ながら割と良いサーバですヾ(゚∀゚)ノ
その代わりサーバによってあたりハズレが大きいですけど・・・それはどこのレンタルサーバ屋でも一緒かな。

で、この共有SSLというのがHTTPと共有なんです。
http://www.hoge.com/
https://ss1.coressl.jp/www.hoge.com/
なので、この上記2サイトは同じように見えます。
しかしログイン画面等に使われているとHTTP接続で見えるのは問題なのでHTTPSのみにしたい所ですが、ところがどっこい一筋縄ではいきません。
HTTPS接続強制で割と有名なのが「SSLRequireSSL」と「mod_rewriteを使用したリダイレクト」です。
ですがSSLRequireSSLはServerErrorが出るので禁止されてるっぽいです。
mod_rewriteを使った方法では「リダイレクト多すぎじゃ(゚Д゚メ)ゴルァ!!」と怒られてしまいます(´・ω・`)

どうも仕様としてss1.coressl.jpを経由してるっぽいですね。
ss1.coressl.jpにアクセス→内部でs**.coreserver.jpにリダイレクト
こんな感じの運用なので、ss1に対するリダイレクトは無限リダイレクトを発生されると。
違うかもですが(゚∀゚;)

という事はss1はリダイレクトのみなので、こっちのグローバルIPアドレスは関係ないという事です。
なら借りてるサーバからのみアクセスできるようにIP制限を行っちゃえ!
Order deny,allow
Deny from all
Allow from 202.172.28

これでオイラは無事にHTTPからの閲覧は禁止されましたヾ(゚∀゚)ノ
この設定だと202.172.28.**からのみ許可しているので、HTTP接続だと自分のグローバルIPアドレスが参照され通信が遮断されます。

因みにSSLRequireSSLは固定IPアドレスを借りると使えるようになるみたいですね。
これ使えるようにしてくれたらかなり楽なのに。
あと借りてるサーバによって駄目かもしれないので、その時はAllowFromを変更して下さい。

うまくいって良かった(゚∀゚)

前回で自作サーバを構築完了したので、今回からServer2008を入れようと思いますヾ(゚∀゚)ノ
Server2008一応サーバなので、RAIDを構築します。
今回は予算の都合上M/Bに乗っかってるICH10RのRAID0を使う事に。
玄人志向のRAIDカード刺しても良かったんですけど、数千円のRAIDカードとICH10RのRAIDをする意味が見当たらなかったのでオンボードで。
確かに保守面ではRAIDチップが壊れた時には代替品が沢山あるのは後者ですけど、あとはチップの性能くらいですかね?
高価なものは別としてオンボードや安価な物はあんまし変わらないような気がしますが、どうなんでしょ?

BIOSでRAIDを使う設定にして、起動画面でCTRL+IでRAIDの設定画面に入ってRAID0で構築。
で、Server2008のCDを入れて起動。
因みに今回メモリを8G積んでるので、64bitを入れます。
M/B限界の16G積みたかったんですがDDR2の4GBはまだまだ高かったので諦めました(´・ω・`)

で、インストール画面を進めていくとHDD認識画面になった段階で
「しまった、RAIDのドライバ用意してないや」
と思いながら進めるとRAIDボリュームを普通に認識して少し感激してしまいました。
流石次世代OSですね!ヾ(゚∀゚)ノ
しかも、仮にドライバなくても後から読み込める仕様なのもGOODですね。
今までのXPとか2003では、RAIDドライバのインストールは最初の段階でF6押した場合のみだったので、F6押し忘れた=インストール最初からヽ(`Д´)ノとかが割と普通にあったので、素晴らしい進歩です。

しかし、何故かパーティションが割れません。

何故(;´Д`)
仕方がないのでフルでCドライブに割り当てて後から割る事にしました。
オイラが見逃してた可能性もありますけど、オプションが全部使用不可だったんですが・・・。
あと、最初テストでATAのHDDで試したんですが認識しませんでした。
これはVistaでも似たような経験があるんですが、同じ構成でXPのインストーラ走らせると認識するんですよね。
ハード的におかしいという訳ではないみたいなんですが、そういう仕様なんですかね?
ここらへんはちょっと困りました。

Windows Server 2008それ以外では順調にインストール完了(・∀・)
ドライバ類をインストールして再起動。
しっかりとメモリも8GB認識しております。

準備も整った所でActiveDirectoryの準備をします。
何とServer2008は日本語ロケールでスキーマ拡張してると2003以前のActiveDirectoryに参加した時にActiveDirectoryを破壊してしまうそうです((;゚Д゚)
それがMSDNでの配布が遅れた原因だったとか何とか。

Windows Server 2008 日本語版 ご利用に際しての注意事項 (重要)
必 読 で す ! !

修正プログラムを入れ忘れた結果、ActiveDirectory壊れちゃった人も実際にいるみたいですし。
Microsoftとしてはどんな状況でもとりあえず入れとけやという方針みたいなので、とりあえず入れときましょう。

そんなに重大なので、今後は修正パッチをインストールDVDに内容含めるのかと思ってたんですが、非常にMicrosoftらしい回答が載っていました。
そのまま伝えるのは味気ないので、分かりやすくしてみました。
※AAはイメージです
                ____
              /maikuso\
            / ―   ― \ Q:パッケージ版、ボリュームライセンス向けの
           /   (●)  (●)  \   メディアキットには修正プログラムは含まれるのでしょうか?
           |     (__人__)      |
           \   mj |⌒´     /
              〈__ノ
             ノ   ノ


                ____   ,
              /maikuso\  -
            / ―   ― \`   ・・・。
           /   (● ) (● )  \
           |     (__人__)      |
           \ .   `⌒´     /
.           mj~i
           〈__ノ
          ノ   ノ


                ____
              /maikuso\
            / ⌒   ⌒ \  含めるわけねーお
           /   (●)  (●)  \  情報弱者が管理してるActiveDirectoryなんか知るかお
         _|__    (__人__)      |
       /   \    `ー'´     /
 /⌒⌒⌒/ ..:::::::::::.. ヽ ピトッ
 |  |  | { .::::::●:::::  }
 |  |  |  \ ::::::::::::::/
 ヽ ヽ ヽ   `ー一'´

さすが天下のマイクロソフトさんだぜ!
因みにServer2008のみで構成される場合は特に問題がないらしいです。
何か非常にアレですよね。
一応、MicrosoftUpdateには乗ってますが重要な更新扱いなので自分でちゃんと選んで更新する必要があります。
緊急ではないという事ですか。
親切なんだか不親切なんだか、ハッキリして頂きたいですね。

さて、大きく脱線してしまいましたが話を戻します。
といっても、このActiveDirectoryに参加後はする事殆ど残ってないんですが。
  • 自動で割り振られるコンピュータ名を修正

  • MicrosoftUpdateをして再起動

  • DHCPを固定IPに設定

  • 最後にActiveDirectoryに参加

基本的な設定はこれくらいで完了ですヾ(゚∀゚)ノ
次はドメインコントローラへの昇格や、ウィルスソフトのインストール、WSUSの設定などですかね。

雑感ですが、色々なメニューの場所はVistaと同じで変わってますが使いにくいとは思いませんでした。
むしろServer2003より管理ツールのインターフェイスが使いやすくなっているので、サーバOSとしてはとても優秀だと思います。
まだVistaベースに不慣れだと最初は戸惑いますけど、そこらへんは慣れですしね。
今後はWindows7もVistaベースだからいつかは慣れないといけませんし、個人的には良い勉強になってますよ(・∀・)


クライアントからの問合せで
「接続時に425 Can't open data connection.ってエラーが出てリスト取得が出来ないお客様と、問題なく出来るお客様がいる。何故なんだぜ?」
という問合せがあったので調べてみました。

リスト取得が出来ないと言う時点で、ほぼ100%Passive関連の問題だと思うんですけどね。
そこで断言しちゃうと、後々違ったら面倒ですしね。
実際にPassiveありだとエラーが出てリスト取得が出来ず、Passiveなしだと問題ありませんでした。

NSJ's Knowledge Base
この現象は、ファイアウォールがコネクションの作成を許していない場合は発生します。
FTP では2つのコネクション (メインコネクションとデータ転送用コネクション) を使用するため、ファイアウォールではこれが問題となります。

BINGOかな?
って事で、Firewallが問題なんですけど、さてどこのFirewallなのかなぁ。
サーバはWindowsサーバでFirewallはかけていないみたいなので、まずはルータから再起動してもらったら、なんとアッサリ直りました。

というわけで、かなり早期に解決できましたヾ(゚∀゚)ノ
こういうトラブルは気持ちがいいですよね。
今回は珍しく「何も触ってないけど勝手におかしくなった」が本当だった稀なケースですね。


今回は、内部ポートと外部ポートで番号が違う場合の設定方法です。
例えば、LAN内では80番だけど、8080番として待ち受けたい場合等に使用出来ます。

割と多く使われている使い方としては、内部では25番、外部では25番と587番で待ち受けるサブミッションポートでしょうか。

普通のルータでも簡単に設定できる項目ですが、RTシリーズが癖があるようなのでメモも兼ねて掲載します。

続きを読む


RT58iも最初に設定してしまえば、後は弄らずでのんびり過ごしていたのですが、関連会社のPPTPサーバへアクセスする必要があったので早速接続してみたら・・・出来ない。
「なんでだろ?相手の設定間違えてるのかな?」
と思いつつも、この段階で相手先に確認すると恥をかく可能性が非常に高い為、確認の為に会社のPPTPサーバにアクセスは成功し、家のPPTPサーバにアクセスすると失敗します。
失敗箇所は決まってID、パスワードの認証画面(´・ω・`)

分かった事はLAN内なら接続出来て、LAN外は確実に失敗するという事。
となると、これはPPTPバススルーの問題かな?
と思って調べてみたらビンゴでした。

続きを読む


先週の書き込み後、代休を取得してGW後初の休みを堪能しましたヾ(゚∀゚)ノ
いやー、めちゃめちゃリフレッシュできました。
衣替えもしましたし、奥さんと買い物に行ったり、のんびり過ごしたり。

そんで、代休取得+土日で4日間も休んだので月曜日は割と行きたくなかったわけなんです。
仕事がメンドクサイという理由ではなく、具体的に書くとメールボックスや付箋を見たくないという感じですね。
そりゃもう、様々な用件が届いていたわけですよ。

で、先週導入したRT58iなんですが、ISDN接続もしたいと思っているのです。
関連会社とのファイルのやり取り等をISDN経由で行っているからで、今はWindowsServerのRRASを使って共有化しています。
それでも問題ないんですが、サーバ落ちたら繋がらなくなるし、何より最近TAが割とよく拗ねるようになってきたので、そろそろ危険な時期なのです。
つーか、ルータといいTAといい壊れすぎじゃーヽ(`Д´)ノ

それもRT58iを買った理由の一つなんですが、その接続がまーったくうまくいきません(;´Д`)
IPルーティングもしてるし、ちゃんと接続は出来るんですがサーバに接続出来ません。
何でだろう・・・?
と色々調べてみたんですが、どうも特定のIPアドレスからの着信しか受け付けていない様子。
しかも、接続先のサーバはIPアドレスを自動で振り分けてくれないというオマケ付き。

なので、コッチで勝手に設定しちゃるわーい!
という事で設定してみました。
ちなみに、簡単設定画面ではISDN接続のIPアドレスは指定できないのでコマンド操作になります。

続きを読む


会社でSSLページを構築して、HPのデータ移したらセキュリティの項目が必ず出る(;´Д`)

というわけで、やたら難解な構成になっているどっかの誰かが作ったデータを解析解析。
そして原因解明(゚∀゚)
GoogleAnalyticsのコードがHTTPになっていたからでした。

原因判明したら後は話が早いもんで、ちょいちょいっとコード変更すれば完了ですヾ(゚∀゚)ノ
<script src="https://ssl.google-analytics.com/urchin.js" type="text/javascript"></script>
<script type="text/javascript">
//<![CDATA[
_uacct = "自分のアカウントID";
urchinTracker();
//]]
</script>

ぶっちゃけurchin.jsのアドレスを変更しただけですが、これで警告出なくなりますよ。
HTTPページにHTTPSページを読み込んでも警告が出ないので、全ページ↑で読み込ませています。
Googleの負荷は、あまり考えない方向で。

てか、移設ってマジで面倒ですよね。
今回の場合、読み込んでる設定ファイルがDBを絶対に必要としているので、特に必要のないDB構築してテーブルまで作ってやっと動くという・・・。
動作に必要ないのでテーブルは空なんですよ。

オイラはPGじゃないので、編集して間違えて誤動作したらヤなので今回は一番楽な方法をとりましたけど、チョットその辺考えて作って欲しかったです。
あー、めんどくさかった。


最近、会社にラックマウントサーバが転がり込んできました。
どうも、違う会社に貸していたのが任務完了によって戻ってきたみたいです。

んで、そのサーバはXeon3.4GHz、メモリ1G、SATA80Gというなかなかの中途半端なサーバなんです。
その使い道を考えていたんですが、サーバ機の癖にメモリが512Mしか積んでない上にRIMMなので増設も出来ないという、ある意味終わってるサーバ2号機の2代目にしようという結論に至りました。
しかし、中途半端なのでRAIDコントローラーは付いていません(;´Д`)
色々考えた結果、500GのHDDを2台買ってきてソフトウェアRAIDで誤魔化そう大作戦を決行する事にしましたヾ(゚∀゚)ノ

というワケで早速SATAのHDDを買ってきたわけなんです。
いやー、500Gってめっちゃ安くなりましたよね。2万出せば1T買えるなんて、凄い時代になったもんです。
20080207_01.jpgとまぁ、与太話は置いといて早速取り付けをしようとしたら。
SATA対応してるのに電源コネクタは旧世代のままでしたΣ(゚Д゚)
なんというか、SATAが出たばっかりの時のマザボを思い出しますが、あれは電源とマザボは別だからこそ起こった現象であって、サーバ機で見るとは思いませんでした。
なんという中途半端。

WDのHDDなら古い電源コネクタも付いてるので、そっちにしとけば良かったです(´・ω・`)
いやー、中身は空けたんですけど、まさか電源コネクタがないとは思ってもみなかったのでチェックしてなかったんですよ。

なので急遽、SATAの電源変換ケーブルを調達してきました。
そんで接続して起動して、もう流石にトラブルはないだろうと思ってたらHDDが130Gまでしか認識されません。
130Gの壁キタ━(゚∀゚)━!!!_| ̄|○
まさか、まさかの130Gの壁です。
当時は遭遇する事はなかったんですが、数年の歳月を経て遭遇する事になるとは思ってもみませんでした。
というわけで、500GのHDDを買ったのに半分以下の容量しか認識されません。
これはBIOSアップデートをすれば何とか回避できるかもしれないので、アップデートを試みるのですが、ウチの会社にはUSBのFDDはありません。
そしてこの中途半端鯖はFDDからのBIOSアップデートしか出来ない仕様になっております。
なんという・・・・(以下略

そこで諦めたら悔しいので、色々調べてUSBメモリブートなる物を発見しました。
そういえば興味があったんですが、試した事はなかったんですよ。
やり方を読んでいると、これでBIOSアップデートが出来るかもしれない!と思ったので早速実行してみる事に。

やり方は上のリンク先を見てもらうとして、簡単でした。
そこからプログラムを起動して、BIOSアップデート開始をオーーーーーーーーーーーン!!!!!
オーーーーーーーーーン、オーーーーーーン、オーん。
・・・・・あれ?
なんかPleaseWaitのまま全く動かなくなってしまったんですが((;゚Д゚)ガクガクブルブル
なんだ、再起動すべきか?
でもヘタに弄ったらマジで起動しなくなっちゃうから、暫く待ってみる事にします。
・・・数十分後、相変わらずPleaseWait((;゚Д゚)ガクガクブルブル
どんだけ待てばいいんでしょうか。てか、もしかして永久に待たないと駄目なケースですか!?
ああ、やばい。失敗してたら、かなり怒られるんやろなぁ・・・と凹みながら再起動してみたら、ちゃんと起動しましたヾ(゚∀゚)ノ

BIOSファイルを読み込む手前で止まってたので、アップデート自体はしてなかったみたいです。
いやー、マジで焦りました。
やっぱ、正規の手順でアップデートしないと駄目ですねぇ。
てことは、FDDがいるんですけど・・・・うーん、家のを持っていくかなぁ・・・。
FDD結構高いんですよねぇ・・・。

ていうか、それだけの為にFDDを買うのもなんかなぁ〜って感じです。
どんだけ手間がかかるんだ、このサーバは(;´Д`)


VpopmailでPop before smtpの構築を試みた今日この頃。
びっくりする位にうまくいきません(;´Д`)

何度Vpopmailを入れなおしてもopen-smtpが作られる気配はなく、最初から作ってやっても書き込まれる気配もなく、ガッツリはまっております。
うううううううううううううううう〜〜〜〜ん。

SendmailとかではQpopper使って簡単に出来るんですけどねぇ。
そういえば、今までの仕事もプライベートも含めてのメル鯖構築はSMTP認証を絶対にしてたんで、そんなに不具合もなく済んでたんですよ。
でもやっぱり、今でもpop before smtpは需要がありますね。

ちなみにサーバ管理者、構築者なら誰でも多分知っている豆知識ですがには認証がありません。
なので、下手なSMTP認証というのは、送信時にIDやパスワードが必要なくて、基本的にメール送受信で認証しているのは受信時のパスワードなんです。
だから、何の対策もされていない貧弱なメールサーバがSPAMメールの踏み台にされて、結果SPAMメールを受け取った人からしたら加害者になってしまう事もあるんです。

そういう貧弱性を回避するためにある技術が
・POP before SMTP
・SMTP認証
メジャーどころではこの2つが有名です。

POP before SMTPでは、まず最初に受信します。
そうするとサーバの中のファイルに、受信した人の情報(主にIPアドレス等)が一定時間サーバに記録されます。
そこで送信をすると、サーバが記録されているかどうかをチェックをして記録されていれば送信が可能となります。

SMTP認証は、読んで字の如く送信時に認証を設けます。
なので、受信時のIDとパスワードを記録するという方法ではなく、送信専用のIDとパスワードを設けるという手法です。といっても、殆どのサービスでは受信と同じですけども。

セキュリティ的に安全なのはSMTP認証ですけど、パソコン殆ど使わない人には難しいんです。
なので、POP before SMTPが今でも需要があるんですね。
そして、今はまっているのはそのPOP before SMTPなんですよ。

くわー!
現実逃避に雑文書いてもサッパリわからねー!
書いてる間は調べてないから当然っちゃー当然なんですけど、ねー!!

もういいや、今日は帰ろう。
明日仕切り直そう・・・。

ああ、全然関係ないですけど朽木白夜さんは強いけど引っ張りすぎですよね。
最初から卍解しとけば山田花太郎が瀕死になる事もなかったのに・・・。てか瞳孔ひらいちゃってるから、死んでるんじゃないんでしょうか・・・?
山田カワイソス(´Д⊂
そしてソウルソサエティ組が誰も助けに行ってないチャドの運命はいかに。
そしてそして、雨竜は内臓潰れてるんですけど治療しなくて大丈夫なんでしょうか。


タイトルは打ち間違えではないですよ(゚∀゚)
皆さんも体験した事があると思うんですけど、mixi.jpを日本語入力のまま入力すると「みぃ。jp」になりますよね。
みぃ。jpのままエンターでmixiにアクセスできるのは、割と知ってる人はいると思いますけど、ちょっと気になる事があったので調べてみました。

まず、みぃ。jpでアクセスできる仕組みですが、「。jp」の部分は自動的に「.jp」に変換されます。
これはブラウザが自動で変換してくれるんだと思います。
で、肝心の「みぃ」の部分ですが、日本語JPドメインというのを使用しています。

日本語JP自体は数年前から始まったサービスで、要するに「山田太郎.jp」という本来ならあり得ない日本語のドメインでもアクセスできるように出来るサービスなんですが、みぃ。jpはそれを利用しています。
といっても、そのまま2バイト文字である日本語をそのまま利用すると、海外では見れなくなる上にDNSサーバでの設定もできなくなるので、実際は見た目日本語でアクセスできているというだけで、実際は1バイトの文字にDNSで変換されています。

日本語JPドメインのPunycode変換・逆変換というサイトがあるのですが、そこで日本語JPドメインが変換可能です。
例えば、上の「山田太郎.jp」は「xn--sss19e964abiz.jp」というドメインに変換されます。
ですので仕組みとしては、
山田太郎.jpでアクセス→DNSサーバ側で「xn--sss19e964abiz.jp」に変換→WEBサーバへリクエスト→ユーザーが「山田太郎.jp」でアクセスしているように見える

という流れになります。
それがブラウザのURL欄では変換後のアドレスが見えない為に、一見日本語ドメインでアクセスできるように見えているんです。

というワケで、日本語JPの仕組み講座でしたヾ(゚∀゚)ノ
・・・・あれ?

違う違う、みぃ。jpでの疑問があるのが本来の記事の目的でした。
ガチで閉じちゃうとこだった。

で、そんな仕組みでみぃ。jpは「xn--m8j8f.jp」というアドレスで変換されていて、xn--m8j8f.jpにアクセスしたらmixi.jpに転送するように設定されているんだと思います。
そこで不思議なのが、mixiとみぃのIPアドレスが違うんですよ。
mixiはちゃんと会社が登録しているんですが、みぃはVALUEDOMAINというレンタルサーバが管理者として登録されています。
しかもIPアドレスも違うどころか、XREAという無料サーバを使用しているんです。

確かmxiって自社でサーバ持ってたハズなんですけど、なんでそんな会社がVALUEDOMAIN?
と思ってしまったわけです。
メリットとしては、VALUEDOMAINの日本語JPドメインは非常に低価格な事や、XREAは無料で使用できるのでサーバ代とIPアドレス代が不要って事になるんですが、それでもmixi運営側からしたらそんなに大きな金額ではありません。
まぁ実際固定IPアドレスは値段が多少張りますけど、mixiみたいな会社がそこをケチるのか?と。
IP一緒にして、バーチャルドメインにしたらIPもサーバもいらないはずなんですけどねー。
転送だけが目的だからお金も払ってないって事なんでしょうかねぇ?

この、みぃ.jpに関しては
1.mixi運営側が取得して転送目的として使用している為、価格も安くサーバ使用料も不要なVALUEDOMAINを使用している
2.有志が勝手に転送してる
どっちかだと思うんですが、有志がするにしてもドメイン料金はいくらかかかるわけで、そこにメリットが全く見出せないのでないと思うんです。
そうなると、mixi運営側が借りてるって事になるんですけど、転送とはいえアクセスが割とあるかもしれないサーバを安いレンタルサーバで済ましてるって事は、もしかしたらそこらへんの経費も削減する程、mixiの運営は危ういのかもしれないのかなー?
と悪い方向に考察が進んでしまうのです。

どちらにせよ、これ以上はオイラには調べる事が出来ないので考察っちゅーか、妄想の域なんですけどね。
なんとなく気になったんですよ。
気になりませんか?オイラだけですかね。

あ、これはオイラの勝手な妄想なんで真に受けないで下さいね(゚∀゚)

↑このページのトップヘ