パフォーマンスについて。Proxmox Backup Serverはメモリが足りないと、リストア時間に非常に時間がかかる。
4GBでは常時メモリがフル状態。
リストアするVMの実容量は15GB程度。
33%まで5分ほどかかり、それ以降は急速に進んだ。PBSのメモリが足りないため、解凍処理で時間がかかっている可能性がある。
CPUはそれほど使わない様子。PBSはメモリが重要だと分かった。
PBSにはメモリ8GBは必要
コメントを残す
Proxmoxでディスクを再アタッチする
GUIから”Detach”を選ぶことができるが、再アタッチができない。CUIから設定する。
ディスクイメージ番号をメモしておく。
コマンド
qm set <VMID> --scsi1 local-lvm:vm-<VMID>-disk-0,discard=on
将来的に、GUIで設定できるようになる可能性がある。
Server CoreマシンをSysprepする
前回のつづき。Virtioドライバを入れ、更新プログラムを最新にしておく。SConfigからPowerShellに入る。
コマンド
cd C:\Windows\System32\Sysprep
.\sysprep.exe
Server CoreマシンにVirtioドライバをインストールする
エクスプローラーが使えないので、NotepadからGUIを開く。
QEMU Guest Toolsもインストールしておく。
再起動する
shutdown -r -t 0準仮想化のNICが認識されていればOK。本番環境では、SConfigから更新プログラムもインストールしておく。
ProxmoxでユーザをActive Directory認証する
グループとユーザ作成
$password = ConvertTo-SecureString "[email protected]" -AsPlainText -Force
New-ADUser -Name VMAdmin1 -AccountPassword $password -ChangePasswordAtLogon $false -CannotChangePassword $false -PasswordNeverExpires $true -Enabled $true
New-ADGroup -Name VMAdmins -GroupScope Universal -GroupCategory Security
Add-ADGroupMember -Identity VMAdmins -Members VMAdmin1
# ユーザ確認
Get-ADUser -Filter {sAMAccountName -like "VMA*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
# グループ確認
Get-ADGroup -Filter {sAMAccountName -like "VMA*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
ProxmoxのDNSを、ADに変更(任意)
ADの認証レルムを追加
DNSを変更していない場合は、IPで指定する。
BINDユーザとパスワードを入力する。今回はDC管理者を設定。「既定の同期オプション」は、すべて「はい」にしておく。
CN=DCAdmin,CN=Users,DC=sabaya,DC=lan
同期テストと確認
通常運用時は、ユーザのみ同期でいいかもしれない。
UsersとVMAdminsグループが同期されていればOK。
ログイン確認
レルムでADドメインを指定して、ログインする。
Azure Application Proxyの検証
Apache Guacamoleへの接続をテストする。
事前認証をパススルーにすると、AAD認証なしとなる。
動作確認
WAN IPが自分自身のためか、AAD認証でタイムアウトする。モバイルネットワークで接続したところ接続できた。
速度はExcel/Wordであれば問題なし。PowerPointの編集など、画像データが多いとワンテンポ待たされる。
サービス状況確認
AAD Connectorと違い、GUIで確認する方法はなさそう。サービスで確認する。
Get-Service | Where {$_.Name -like "WAP*"}
RDSなしでRDゲートウェイ構築① ~準備編~
RDゲートウェイは、RDSとのセット利用が必須と思っていたが、単体でも使えるとのこと。以下のサイトを参考にして、RDP3389をHTTPS443でカプセル化するための、単機能として使えるかテストする。
ADユーザとグループ作成
$password = ConvertTo-SecureString "[email protected]" -AsPlainText -Force
New-ADUser -Name RDGtestUserA -AccountPassword $password -ChangePasswordAtLogon $false -CannotChangePassword $false -PasswordNeverExpires $true -Enabled $true
New-ADGroup -Name RDGtestGroup -GroupScope Universal -GroupCategory Security
Add-ADGroupMember -Identity RDGtestGroup -Members RDGtestUserA
# ユーザ確認
Get-ADUser -Filter {sAMAccountName -like "RDG*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
# グループ確認
Get-ADGroup -Filter {sAMAccountName -like "RDG*"} -Properties * | select displayName,name,enabled,sAMAccountName,canonicalName | ft
役割インストール
Install-WindowsFeature RDS-Gateway -IncludeManagementTools
# RDゲートウェイマネージャ起動
tsgateway.msc
証明書インポート
前回のエントリで作成した、自己証明書をインポートする。
PowerShellで自己証明書発行
以下のサイトを参考にし、RDGateway用に発行できるかテスト。
コマンド
$hostname = Read-Host "ADのFQDNを入力してください"
$cert = New-SelfSignedCertificate -Subject $hostname -DnsName $hostname -CertStoreLocation "cert:\LocalMachine\My" -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy NonExportable -NotAfter (Get-Date).AddYears(10)
エクスポートとインポート
$cerfile = "$hostname.cer"
Export-Certificate -Cert $cert -FilePath $cerfile
Import-Certificate -FilePath $cerfile -CertStoreLocation "cert:\LocalMachine\Root"
certlm.msc
参考サイト
AzureAD Connectでディレクトリを即時同期する
ADSyncモジュールを使うことで、30分の同期時間を待たずに即時同期ができる。
コマンド
AAD Connectがインストールされていること。
Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose
# スケジュール確認
Get-ADSyncScheduler
# 差分同期
Start-ADSyncSyncCycle -PolicyType Delta
# 完全同期
Start-ADSyncSyncCycle -PolicyType Initial
同期の確認
30秒ほどかかった。ディレクトリ量によって同期時間は増えそう。
Connect-AzureAD
Get-AzureADUser -SearchString "Synctest"
# グリッド表示
Get-AzureADUser -SearchString "Synctest" | Out-GridView -PassThru
その他
しばらくして、AAD同期エラーの通知メールを受信した。サービスの再起動をすべきとの内容。
ADSyncサービスの再起動
Restart-Service -Name "Microsoft Azure AD Sync"
Get-Service "Microsoft Azure AD Sync"
同期ステータスの確認
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector sabaya.lanProxmoxに簡易ファイアウォールを設定する
セキュリティ設定のため、WebGUI(8006)を、SSHポート転送の踏み台サーバからのみ許可してみる。
ポートフォワードサーバのエイリアスを追加
データセンターのFWメニューから追加する。
セキュリティグループの追加
エイリアスを追加していると「ソース」のドロップダウンから選べる。
ノードに適用
各ノードにセキュリティグループを適用すればOK。
