VMware セキュリティ情報を入手するには?

CJです。

VMware から必要に応じてセキュリティパッチが公開されていること、知っていますか?

そうなんです、当たり前かもしれないですが VMwareさんはきちんと脆弱性が見つかった場合は素早くパッチを提供してくれています。

仮想化環境だからこそ、仮想マシンからハイパーバイザーのコードが実行できたりする脆弱性などについては何より素早く対応したいところです。

今回はその脆弱性情報をいち早くキャッチアップできるように情報入手方法を共有できればと思います。

1.VMware Security Advisories サイトへアクセス

上記の空欄に、脆弱性情報を受け取るメールアドレスを登録するだけです!

2.実際、届いたメールをみてみましょう。

今年に入ってすでに数回情報が出ていますが、以下は3月に出た ESXi 関連情報です。

Serverity (Critical 可否)、Problem Description (内容)、対象となる VMware 製品情報がわかりやすい形でレポートされています。

この情報をベースに脆弱性対応を行うかどうかご自身の環境に合わせて判断してください。

3.対応方法について

基本的な対応としては、VMware さんよりパッチが配布されますので、公開され次第、検証後適用すれば大丈夫です。公開までの間は Workaround が先に公開される場合もありますので、そちらの優先対応も検討いただくのも効果的です。

#パッチも最新バージョンのものから公開されていく傾向があるようです。

#Workaroundの場合は以下のように、VMware さんのKBにて情報が公開されます。(上記脆弱性内容とは異なりますが、参考として。)

以上、VMware さんが提供してくれているセキュリティ情報の入手方法についての共有でした。vSphere 環境をお使いの方で、まだ脆弱性対応運用をどうしていくか迷っている方などに少しお役に立てれば嬉しいです。

 

[参考情報]

http://www.vmware.com/security/advisories.html

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2149816

最新の VMware PowerCLI をインストールには?

CJです。

vSphere環境を運用していると GUIもいいですが、やはりコマンドで操作したいケースもたくさんあります。その際に有効に使えるのが、VMware PowerCLI (以下、PowerCLI)ツールです。

ところで、最近 PowerCLIの入手方法が変わったこと、知ってますか?

今までだと、以下のようにVMwareサイト (myvmware)より、パッケージをダウンロードして、サーバーにインストールすることで該当のPowerCLIが使えました。

しかし、配布方法が、PowerCLI 6.5.1 バージョンより Microsoft PowerShell の配布モデル(PowerShell Gallery からインストールする方法)に合わせられているようです。

今回、PowerCLI 6.5.1 をインストールしたいサーバーは “Windows Server 2012 R2” を想定にしているとします。2012R2 では、デフォルトで WindowsPowerShell version 4 がインストールされていますが、このバージョンでは PowerCLI 6.5.1 をインストールするためのモジュールが入ってない状態です。そのため、まずは WindowsPowerShell バージョンを更新(4→5)し、その後に PowerCLI 6.5.1 をインストールする簡単な流れとなります。

では、早速スクリーンショットをベースで見ていきましょう。

1.まずは現在の Windwos PowerShell バージョン(ver.4) を確認しましょう。

$psversiontable.psversion コマンドにてバージョンが確認可能です。

2. Microsoft サイトより、Windows Management Framework 5.0をダウンロードします。

“Download” ボタンをクリックし、

“Win8.1AndW2K12R2-KB3134758-x64.msu”の Checkbox にCheckinしてファイルをダウンロードしてください。その後、ファイルを実行すると、

このように、”…インストールしますか?” とポップアップされます。

OSバージョンに互換性がないパッケージバージョンの場合は、次へ進めない旨のメッセージがポップアップされます。以降は、規約に同意して次へインストール進めていけばOKです。

3. インストール完了後、バージョンを確認すると ver.5 になっていることが確認できます。

4. これで VMware.PowerCLI がインストール可能な状態となりました。

以下のコマンドで PowerCLI モジュールがサーチできることを確認してください。

Find-Module -Name VMware.PowerCLI

5. VMware.PowerCLI モジュールも確認できましたし、次へローカルシステム上に使用可能な VMware モジュールがあるか確認します。

Get-Module VMware* -ListAvailable

では続いて、以下のコマンドにてモジュールをインストールしましょう。

Install-Module -Name VMware.PowerCLI

“…モジュールをインストールしますか?” と表示されたら “Y” でインストールへ進めてください。これで VMware PowerCLI 6.5.1 インストールが完了しました。

先ほどの 使用可能な VMware モジュールを確認してみると、いくつかのモジュールが表示されることが確認できるかと思います。

6. 最後に、vSAN 関連コマンドが表示されることも確認してみてください。

Get-Command -Name *vsan*

現時点の最新バージョンである PowerCLI 6.5.1 で追加された “Get-VsanView” などが表示されることも確認できます。

最新のPowerCLI (vSAN 関連機能など)を使いたいが、VMwareサイトでは見当たらず、迷っている方に少しでも役に立てればと思います。

 

[参考情報]

Welcome PowerCLI to the PowerShell Gallery – Install Process Updates

https://msdn.microsoft.com/en-us/powershell/scripting/setup/windows-powershell-system-requirements

 

Windows Server 2012 R2 画面共有 (シャドウ)

CJです。

Windows Server のシャドウ機能、知っていますか?

リモートデスクトップ画面を共有・制御できる機能です。もちろん、Windows Server にデフォルトに含まれている機能です。 こんなに便利なシャドウ機能が、Windows Server 2012 でなくなっていましたが、Windows Server 2012 R2で改めて組み込まれているそうです。

本日はその機能の有効化する方法を共有したいと思います。

また、本来は役割ごとにサーバーを分けることをお勧めしますが、テストなので 1台のサーバーですべての役割をインストールします。

・GOAL

Administrator権限を持っていないユーザー同士が、シャドウ機能を使ってRDP画面を共有する。

・手順

  1. Windows Server 2012 R2 サーバー 1台を準備し、Administrator ユーザーでRDP接続してください。(仮想マシンでもOK)
  2. RDP接続後、ユーザーの作成・パスワード変更、パソコン名変更などを行ってください。(こちらのテスト環境では、test01, test02, test03 ユーザーを作成します。)
  3. ここが大事です!現在、サーバーは WORKGROUP属になっていると思いますが、シャドウ機能を使うためには事前にドメインに参加しておく必要があります。そうしないと、後程リモートデスクトップサービス(以下、RDS)で、接続メニューが表示されなかったりします。はまるポイントとなりますので、ぜひこの辺はお役に立ってもらえるとうれしいです。
  4. では、ADドメインコントローラーの役割をインストールしてください。具体的なADの役割インストール方法については割愛します。途中、ドメインを指定するところがありますので、そちらはきちんとドメイン情報を入力してください。(こちらの環境では、cjtest.inernal というドメインにします。)
  5. ドメイン(cjtest.internal)に属している状態かと思います。そうすると、次はいよいよ 役割から RDSをインストールしてください。最初、標準か、RDSかという 2選択の画面が表示されると思いますが、RDSのところを選択して次へ進んください。そうすると、クリックスタート、セッションベースで順次進めていただければ特に問題なく、1台のサーバーに必要な役割がインストールされます。
  6. インストールが完了したら、ADユーザー管理のところより、シャドウ機能を使わせる予定のユーザーグループを作成し、ユーザーをグループに追加してください。(こちらの環境では、shadow というグループを作成し、test01, test02 ユーザーをメンバーとして登録します。)
  7. 実はこの時点でもう “シャドウ” 機能は使えるようになっています。test01 ユーザーでRDP接続し、Administratorユーザーで別のRDP接続を行っている状態とします。Administratorユーザーの ”サーバーマネージャ > RDS > コレクション > 接続”をみると現在接続中のユーザー一覧が確認できます。test01 のセッションを選択し、右クリックをすると、なんと “シャドウ” メニューが出てきます。
  8. ところが、今回のゴールはAdministrator権限を持っていないユーザー同士間でシャドウを使うことです。そのため、若干工夫する必要があります。管理者コマンドプロンプトを開いて、次のコマンドを入力してください。[入力コマンド:wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=”RDP-Tcp”) CALL AddAccount “cjtest.internal\shadow”,2]
  9. これでユーザー同士のシャドウも可能となりました。実際接続を試してください。test01ユーザー側でコマンドプロンプトを開き、”query session” を入力すると、現在セッションがつながっている一覧が表示されます。そこでシャドウしたいユーザーのIDを確認してください。(こちらの環境では、test01から test02をシャドウします。)
  10. 次のコマンドでシャドウを実施してください。 “mstsc /shadow:3 /control” すると、制御リクエストが test02 ユーザーに表示されて、承諾すると以降は画面共有が始まります。

こんな感じで、画面共有ができるようになりました!

TIP

必要に応じてグループポリシーも変更するとより自分に適切な環境を作成できます。

[参考情報]

RDS 2012 R2 – User Support via Shadowing

https://community.spiceworks.com/topic/597125-server-2012-r2-remote-desktop-shadow

vSAN 6.6 がリリースされました。

おはようございます、CJです。

日本時間で今朝、VMware vSAN (以下、vSAN) のメジャーバージョンである 6.6 が、リリースされました。

まず、追加された機能一覧はこちらです。

・Native HCI Encryption

・Stretched Cluster with Local Site Protection

・vSAN Cloud Analytics

・Unicast Networking

・vSAN Management Pack for vRealize Operations

・Always-On Protection with Enhanced Availability

・Intelligent Operations and Lifecycle Management

・Up to 50% Higher All-Flash Performance

・Support of Next-Generation Workloads

・Day 1 Support of New Hardware Technologies

・Certified File Services and Data Protection Solutions

 

ついに、ネイティブ暗号化対応 (データストア単位)と、既存のマルチキャスト制限がなくなったのは何よりです。

その他、パフォーマンスの改善・UI 改善・VCSA関連も興味深いところです。

6.6へのアップグレードは “パッチ” 形式での更新となるようです。

 

取り急ぎ、リリース情報共有まで~

 

参考情報

http://www.vmware.com/products/whats-new-virtual-san.html

What’s new for vSAN 6.6?