【ActiveDirectory】グループの種類

グループは「セキュリティ」「配布」の2種類があり、既定の管理者用グループアカウントは、すべてセキュリティグループになっている。

●セキュリティグループ
ファイル、フォルダ、プリンタなどのリソースアクセス許可を設定できるタイプのグループアカウント。
Exchange Serverが構築された環境であれば、電子メールアドレス属性を設定することにより、メール一斉送信ができるメーリングリストとしても使用できる。

●配布グループ
Exhange Serverが構築されている環境での、メーリングリストとしてのみ使用可能。
配布グループを利用しての共有フォルダなどのリソースへのアクセス許可設定はできない。

【Linux】while read lineでsshコマンドを実行するとループしない

5行のファイルを読み込んでecho出してみると普通にいける

ssh経由でechoしてみると5行読み込んでいるはずが、1行だけ読み込んで抜けてしまっている

対処法其の一 「for line in cat readfile」でよみこむ

対処法其の二 「ssh -n」オプション(バックグラウンド実行)を使う

どうやら、sshコマンド実行時に標準入力が切り替わり、ローカルホストからの標準入力を停止し、リモートホストからの標準入力を受け付けるみたい。
while read line実行時は、ループ処理開始前にファイルを読み込み、その中でsshコマンドを実行、その後再びreadコマンドを実行する際にファイルが既に閉じられているからループを抜けてしまうみたい。

参考
http://www.m-bsys.com/error/whileread-ssh

【ActiveDirectory】グローバルカタログサーバ

グローバルカタログサーバは、フォレストに存在する全オブジェクトのサマリ情報を保持しているドメインコントローラ―。
規定では、フォレスト内の最初のドメインコントローラ―がグローバルカタログサーバとなる。
ユーザアカウントなどの情報はドメインを超えたレプリケートはされないため、フォレスト全体での検索が必要な場合、グローバーるカタログサーバが情報を提供する。
必要に応じて何台でも設置可能であり、各サイトに1台ずつ配置などすると、トラフィックを最適化できる。

「サイトとサービス」の「NTDS Settingsのプロパティ」から確認できる

【Linux】curlで天気予報をゲット

面白コマンド

ヘルプでいろいろいじれそう

【Linux】firewalldにて独自サービスを定義する

といっても、今回はsshのポートを変えたので22から変更したい。
独自サービスを定義するときは、「/usr/lib/firewalld/services/」配下に大量にxmlがあるからそれをコピーしてprotocol、portを変えてあげればいい。

【ActiveDirectory】Protected Users グループ

Protected Users グループは、Windows Server 2012R2からサポートされた既定のグループ。
このグループのメンバーになったユーザは、認証時に以下の保護が適用される。
ユーザーに対して、より安全な認証を提供するために使う。
・認証にAES暗号化によるKerberos認証が使用される
・NTLM認証、ダイジェスト認証、CredSSP認証などは使用できない
・Kerberos認証の制約付き委任、制約なしの委任で、ユーザーのアカウント委任ができない
・Kerberosチケット保証チケット(TGT)の規定の有効期限が4時間になる
・Windwdows8.1以上のコンピュータでは、パスワードがローカルにキャッシュされない

【ActiveDirectory】ドメインの機能レベルとフォレストの機能レベル

機能レベルは、ドメインコントローラ―が実行するWindowsServerのバージョンによって選択できる機能レベル分け定義のこと。
設定する機能レベルによって、ドメイン内やフォレスト内で実現できる機能が異なる。
古いバージョンのドメインコントローラがある場合、それに合わせて機能レベルを設定せざるを得なくなる。
アップデートすることでデメリットはないから、最新にしとくにこしたことはない。
といっても、必須機能じゃないからいいっちゃいいかも。

ドメインの機能レベル

機能レベル 有効な機能
Windows Server 2008 規定のAD機能に以下が追加
・SYSVOLのDFSR
・Kerberos認証におけるAES128、AES256
・詳細設定が可能なパスワードポリシー(PSO)
Windows Server 2008 R2 ・Kerberos認証におけるメカニズム認証
Windows Server 2012 ・ダイナミックアクセス制御とKerberos防御機能
Windows Server 2012 R2 ・Protected Usersに対するドメインコントローラ―側の保護
・特定アカウントタイプに対して適用する認証ポリシー
・特権アカウントをコンテナにまとめることができる認証ポリシー
Windows Server 2016 ・ユーザーのNTLMシークレットのロールバック
・ユーザーが特定のドメイン参加デバイスに使用を制限されている場合、ネットワークNTLMの許可
・PKInit Freshness Extensionのサポート

フォレストの機能レベル

機能レベル 有効な機能
Windows Server 2008 規定のAD機能
Windows Server 2008 R2 ・ゴミ箱
Windows Server 2012 追加機能なし
Windows Server 2012 R2 追加機能なし
Windows Server 2016 ・Microsoft Identitiy Managerを使用した特権アクセス管理

【MySQL】スロークエリログを有効化

スロークエリログはSQLの実行に時間がかかったクエリをログ出力できるよ。
ログを出力するということはI/Oが増加するが、細かなデバッグがしやすくなるよ。
わりと構築中はONにしておいて、トラブルシュートし、それが解消したらOFFにするのが王道らしい。

my.cnfか、my.cnf.d内のファイルに記載する
以下は0.5秒以上SQLの実行に時間を要した場合出力される

DBにログインし、見てみる

【Linux】それぞれ隔離された環境で直接ssh接続できるようにする

最近、現場にポートフォワーディング駆使しまくっている人がいて色々勉強させてもらってます
タイトル文だけ見ると意味不明かなと思うので図をみてね
以下のような環境の場合
・作業PCから開発環境、本番環境へアクセスできるけど、開発環境→本番環境、その逆はできない
・開発環境のサーバA、本番環境のサーバBへアクセスするためには、踏み台サーバからアクセスする必要がある
・作業PCにはWindows Subsystem on LinuxやCygwinなどのLinuxエミュレートアプリをインストールしている(または、そもそも作業PCがLinux)

こういった環境だと、ファイルをscpしたいのにってなったときとか、一旦作業PCにコピーしてきて、それを送るとかだったり。
直接つながってれば、便利なことっていろいろあると思うね。

作業PCの.ssh/configを以下のように書く

sshコマンドでそれぞれの環境へ接続
fNオプションはバックグラウンド実行

本番環境サーバサーバBから開発環境サーバAにsshしてみるといけるはず

【Linux】ポートフォワードを使って会社PCへリモートデスクトップ

会社だったりのPCからは基本的にインターネットへ出ることはできるけど、たいてい逆方向はできないことが多いと思う。
そんなときに便利なのがポートフォワード。
Windows Subsystem on Linuxを入れているけど、sshクライアントが使えればなんでもいいからCygwinとかでもいける。
VPSじゃなくても、自宅サーバのポート開けてそこにつないでもいいし。要は中継ポイントが一つあればいいのかなと。

【登場人物】
自宅PC:Windows10(Windows Subsystem on Linux)
VPS:Linuxサーバ
会社PC:Windows10(Windows Subsystem on Linux)

①会社PCからリモートポートフォワード

②自宅PCからローカルポートフォワード

③リモートデスクトップで「localhost:13389」へ接続

なので、3389ポートを一旦VPSサーバにPush、それをローカルへPullといった感じなのかな。