Oba-Q.COM

J6480というHP（ヒューレットパッカード）の複合機です。
 


 
インクジェットではありますが、カラーコピー・FAX（カラー可）プリンター・スキャナの機能があり、
ネットワークプリンタでもOK。無線LANにも対応しているというすぐれものです。
以前から予備に1台あったらと思っていた機種でした。
もちろんただでいただけるわけですからまともなものではありません。
セットして電源を入れたところ、まず液晶ディスプレーが表示しません。。。
設定はUSBかネットワーク上でパソコンからできるので、気を取り直して、とりあえずUSB接続用ドライバと
ユーティリティを、物理的にたまたま一番近くにあったVistaのーぱそ君にインストールしてみました。
まずはテスト印刷。なんだかおかしい。。。黒がでていません。
モノクロでコピーを取ってみると、いちばんきれいに出る超遅でやっと出てくる程度。
標準のスピードではコピーはできず、当然プリントアウトもNG。
これじゃぁFAXを受信しても紙印刷は無理で、パソコン上でしか見れませんねぇ。。。
もちろんすべてをカラーでやれば、ちょっと紫っぽいけど黒もでますけどね。
 
黒インクが残り少なく、補充インクセットが付いていたので、注入してみました。
ところがカートリッジの噴出口ににじみ出てきません。
熱湯で温めてみたり、アルコールで拭き取ってみたりと、一応の努力はしましたが、残念ながら
その努力は実らず、結局カートリッジ自体に不具合があると判断せざるを得ないということが分かりました。
 
努力の証。。！？
 


 
手術用の手袋があったのに。。
後悔先に立たず・槍持ちは先に立たず・提灯持ち後に立たず。。。ですね。＾＾；；
 
HPのインクはカートリッジにヘッドが付いていて、長期間放ったらかしで強烈な目詰まりをさせてしまっても、
他メーカと違い、カートリッジ交換すればなんとかなるのが長所ですが、当然高いんですね。
 
さて、どれだけお金と手間をかければ機嫌よく稼働してくれますでしょうか。
どうしてもダメで、処分しようとしてもお金がかかる時代です。
タダより高いものはない。。。というパターンだけにはなりませんように。

今日は雨＆強風。気温も低く最悪でした。
 
連れ合いがサイトをリニューアルしたのに刺激を受けて、
見かけだけ変更してみました。
見つけたテーマをダウンロードして導入、ちょっとだけ
手直ししただけですが。
 
２～３日前に時間のないところでやったので確認もしなくて
気づかなかったのですが、今日見たらエラーがでてました。＾＾；；
エラー内容はiepingfix.htcが何チャラってやつです。
今回のテーマは透過PNGを使用しているのですが、透過PNGに対応しているのは
IE7からで、IE６で透過PNGを実現しようとするときに必要なファイルですね。
CSSのビヘイビアでの在り場所を指定してやります。
HTCって拡張子はあまり見ないかもしれませんが、HTML Componentのことです。
 
で、iepingfix.htcの中身を覗いてもおかしなところはなさそうなので、
ビヘイビアのところを見ると、iepingfix.htcのURL指定に誤記がありました。
いつものことながらのドジぶりであります。
 
 

IE6だから出るエラー、IEの7や8だから出るエラー。
 ま、PHPのバージョンによるトラブルよりはよりはましかな。

SambaはLAN内（イントラネット）だけだし、WebDAVは
外界（インターネット）からアクセスできるけど、
専用の共用フォルダだけだし。。。
インターネットからでも自由にLAN内を動き回りたい。
そんな要望を満たしてくれるのがバーチャル・プライベート・
ネットワーク（VPN)ですね。
 
基本的にオープンなインターネット網に、LAN内を曝け出すわけには
いかないので、トンネリングを使って閉鎖的なプライベート回線
（擬似専用線？）を作っちゃいます。
これを使って物理的に離れた、異なるネットワークからも、LANに
安全にアクセスできるということです。
バーチャルプライベートネットワーク。名前の通りですね。（笑
 
 
以前は外界から危険が及ばない回線というと専用線でした。
こいつが帯域もないのに高い。
帯域を確保しようとすると、ものすごく高い。
インターネットがブロードバンド化し安定してきたので、専用線に
とって代わる技術が出現したのは必然でしょうね。
 
VPNには欠点もあります。
まず専用線ほど安定はしていません。
単独での回線仕様でないため、帯域も保障されません。
VPNを構築するためには、VPNを使用しない通信より、余分な
ヘッダや暗号化の手順が必要なため、1度に送れるデータ情報量が
少なくなり、データ伝送速度が遅くなります。
 
とはいえ、最近のインターネット事情を考えると、私目あたりの
使用状況では、ベストエフォートでも常時必要な帯域は十分すぎるほど
確保できていますし、128Kでも高価な専用線と比較すると、転送速度も
文句のつけようはありません。
回線が途切れることもほとんどないと言えるでしょう。
 
 
VPNは拠点間通信とサーバー・クライアント型（と呼べるかな？）に
大別されると考えます。
拠点間通信とは、本社と支社のように物理的に異なるLAN同士を
あたかも一つのネットワークのように行き来できるものです。
私目あたりが使用するVPNはサーバー・クライアント型で、
VPNサーバーにぶら下がっているLANに、インターネット上からアクセスする
だけでよいのです。
拠点間通信を行うVPNは、両方にIPsecなどのVPNに対応したシステムが必要で、
出先から持参したノートパソコンでLANにアクセス・・というわけにはいきません。
私目の使うOpenVPNというサーバー・クライアント型のものは、それができます。
まだやったことはありませんが、拠点間の双方にサーバー・クライアント型を
構築することで、IPsecのような拠点間通信型と同等に動作します。
（やってる方に確認済み。）
何といってもOpenVPNはオープンソース（無償）ですしね。
 
 
OpenVPNもルーティングとブリッジという方式が2種類あります。
それはサーバー下のLANのネットワークと、クライアントが同一か否かの違いで
方式を決定するのですが、同一の場合はブリッジ方式、そうでない場合は
ルーティング方式を使用します。
 
ブリッジ方式の場合は、サーバー下のネットワークを拡張した格好となり、
たとえばサーバー下のLANが192.168.0.***/24でクライアント側が
192.168.0.xxxのときは、VPNで結ぶと同一ネットワークとしてみなされます。
サーバー下のLANに接続されたマシーンとクライアントは、直接通信することができます。
 
サーバー側が192.168.0.***/24なのにクライアントが192.168.1.***という
異なるネットワークの場合は、サーバーに適切なルーティングを書いてやります。
つまり直接の通信はできず、必ずサーバーを介すことになります。
 
 
私目の設定はルーティング方式です。
出先のネットワークが同一であることはほとんどありません。
ブリッジ方式をとると、同一でない限り、出先のネットワークを
変更しなくてはいけません。
また、双方にOpenVPNサーバーを構築し、拠点間通信を実現した際、
片側に使用したIPアドレスは、他方でも使用できないため、
管理が煩雑になります。
 
 
 
さて、いかにセキュアな通信経路やサーバースペースを用意しても、利用する
人間様のIDとパスワード管理が悪ければ、何の役にも立ちません。
修理を依頼されたパソコンに、ID/パスワードが書かれた紙が張り付けてあったとか、
書き記したテキストがデスクトップに置かれていたという話は聞きますし、
私目自身も経験があります。言語道断ですよね。ｗ

古いノーパソ君の時刻表示がすぐ狂います。
WindowsXPのので、日付と時刻のプロパティで
タイムサーバーに同期をとる設定をしていますが、
ディフォルトだと同期させる周期が1週間。
その間にかなり（5分とか）狂ってしまうので、
周期を1日に変更しました。

レジストリエディタで
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
\W32Time\TimeProviders\NtpClient\SpecialPollInterval（1行）
へ行き、値を10進法で86400(sec.)にするだけです。

実は同期は結構サーバーに負担がかかるので、自鯖でタイムサーバーを
稼働させ、それに同期をとるようにしています。
あまり短時間で同期をとるのはマナー違反ですので、気をつけましょう。

ちなみにコンピュータの時刻はXtal（水晶）による発信周波数を利用していますので、
時計で言えばクォーツなのですが、あまり正確でないのは、内部で発生する
ノイズが大きな原因になっています。

デスクトップマシーン

左からWindowsXP・Windows7（64)・Ubuntu9.10
もちろんそれぞれがマルチブート可能ですが、
ディフォルトでは上記OSが起動します。

ONU・無線LAN用ルータ・実験予備用ルータ等

後ろの配線が多いので、結構煩雑になってしまいますが、
ホームセンタで仕入れた380円なりのブックスタンドに
立ててみました。
カテゴリケーブルは余長の出ない長さに切って作ったので、かなりすっきりしました。

稼働中サーバー

予備を抜かすと、現在常時3台が稼働中です。
白い1台と黒い2台は別セッションで、白いのは
固定IPアドレスが1個なので、PPPoeでグローバルIPを
持ってきた後プライベートIPにして、XPマシーンのゲートウェイで動いています。
黒いほうはIP16個なので、1台がPPPoeアンナンバードでグローバルなまま出してやり、
もう1台に供給し、変換されたプライベートIPアドレスが、７やUbuntu等のディフォルト
ウェイとなります。
IPアドレスは全部使っているわけではないので、最大残っている数だけはサーバーを
新設できるのですが、以前8台まで増設した時の電気代のことを思うと、とても
そんな気にはなれません。。。

真ん中のでかいやつがプライマリDNS・後の2台がセカンダリです。
ユーザーが一番多いのは右のやつで、100人ぐらいです。
このように回線を別にして見に行かないと、不具合があってもLAN内では正常に
見えてしまうことがありますので、最低でも2セッション使用は必須です。
またDNSも異なるネットワークに置いてあるほうが、信頼性が上がるでしょう。

サーバーはメンテナンス等はほとんど遠隔で操作するので、普段はマウス・キーボードは
接続されていませんが、コンソールからの操作時に、必要な時だけUSBのものを接続します。
モニタは切り替えて使っていますが、遠隔だけなら電源コードとカテゴリケーブルだけ
つながっていればOKなんですよね。

ちなみにもう1つのデスクには、WindowsVistaとUbuntuのノーパソ君が置いてあります。

DVDでI.ROBOTを観ながらソファでそのまま寝てしまいました。
目が覚めたのは5時前。DVDは繰り返し再生されていて、すでに観たシーンが.^^;;
究極の利便性を求めて造られたロボットも、悪意をもったプログラミングで
人間にとって最も危険な存在になる。。。コンピュータの世界ど同じですねぇ。

いくら人間の脳に近付いてきたとはいえ、スペックの違いはあるにせよ、
コンピュータには人間のように個性や、その日の気分などという不確定要素を
持つことは難しいでしょう。

たとえばコンピュータでその是非を管理した場合、パターンを記憶させ
ケースに応じたフラッグを立てるわけですが、根っこの部分は○か×かだけです。
それに応じた行動を人間様が強要されるとなると、ここに悪意のあるプログラミングが
施されると、まったく映画通りのストーリーが生み出されてしまいます。

悪意のあるプログラミングといえば、ウィルスやワーム・スパイウェア。。。
横に表示してあるウィルス情報をみると、1位がWin32/Zafi.B wormですって！？
亜種かもしれないけど、たしか５～６年前に出現し、感染するとバックドアとして
ポート６６５に穴をあけ、悪意のある実行ファイルを流し込み、特定サイトに
DoS(サービス拒否)攻撃を仕掛けるってやつですよね。
こんなのが未だに蔓延しているって、いったいどういうことなんでしょう。
メールの添付ファイルをセキュリティのチェックなしで開いた（解凍した）
ということなのでしょうねぇ。

セキュリティのチェックにおいても問題が多々あります。
プロバイダにオプションのメールチェックを申し込んであるから大丈夫。
ウィルス検出・駆除ソフトを導入しているから大丈夫。
よくそんな話を聞きますが、おかしいので調べてほしいというパソコンの
多くは、検出・駆除ソフトを導入を導入しているにも関わらず、ウィルスや
ワーム・スパイウェアに食い荒らされていて、調子が悪くなったものです。

検出・駆除ソフトが契約切れで、パターンファイルの更新がなされていないものは
論外として、中にはインストール時から一切のアップデートを行っていない
Windowsマシーンとか、ブロードバンドルータなどを導入せずに、ADSLなどのモデムに
直接つなぎこみ、自身を外界に曝け出しているとか、安物の検出率が極悪な
セキュリティソフトを導入しているとか、食い荒らされているパソコンには
それなりの理由があります。
とどのつまりはユーザーのセキュリティ意識の低さに他なりません。

パソコン＝パーソナルコンピュータなのですから、最終的にはセキュリティも
自分の責任で管理しなくてはならず、人任せではいけませんよね。
とは言ってもそう難しいことではなく、
■ネットワークに繋ぐときはブロードバンドルータなどで、
　プライベートIPアドレスに変換し、外界から身を隠すこと。
■検出率の高いウィルス検出・駆除ソフトを導入すること。
■OS（Windows等）のアップデートは必ず行い、セキュリティパッチを当てておくこと。
■メールはHTML形式をやめること。
■いくらタダでもOEのようなセキュリティの低いメールソフトはやめること。
■添付ファイルを無条件で開かない。（チェック後にあける。）
■サーバースペースが使えるならメール添付はやめて、アップロードしたアドレスのみ
　メールで知らせる。（中級かも。。。）
■メールだけでなく、フリーなどのダウンロードソフト、本のおまけ、外からメディアで　
　持ち込んだファイルなど、実行前にセキュリティチェック。
■怪しげなサイトを閲覧しない。（特に外国Ｈ系）
　
　等々。

セキュリティは単独のアイテムでＯＫということではなく、合わせ技一本ってやつです。
検出率の高いウィルスチェッカーを導入していても、怪しげなサイトへ行って、何でも
かんでもダウンロードしてきたりすると、まずやられちゃいます。
対策が万全でであるとよほどの自信がなければ、WinyやShare等の（P2Pファイル流通）
に手を染めてはいけません。

I.ROBOTからウィルス・・・相変わらずとっ散らかってます。。。
ウィルスと言えばブールースウィルスのサロゲートも観なくちゃ。（笑

PHPのバージョンが5.3*にアップしてから、いろいろ不具合が発生して
大変でしたが、自分の分だけはなんとか修正をして落ち着きました。

さて、頼まれごとでSAMBAを構築することになりました。
自分のところではアクセス権を厳しく管理しなくてはいけないような
イントラネットを構築するような環境ではなく、最近ではインターネットからも
安全にアクセスできるように、WebDAVを使っていました。
共有するときは、アクセス可能なように共有相手にIDとPWを渡すだけです。
また最近は安価なネットワークアタッチトストレージ（ファイルサーバー）が
出回ってますから、SAMBAって名前自体しばらく聞いてなかった気もします。

で、以前構築した経験からそう面倒ではなかろうと悠長に構えてました。
それでも念のため、一応自分のところで事前訓練（？）をやってみようとインストール。
SWATでWeb上から設定するまでもないと思い、system-config-sambaをインストール。
で、起動しようとしたらクラッシュしてお逝きなさってしまいます。。。
仕方ないのですべてをコマンドでやってみたのですがやはりだめで、Windowｓから
ネットワーク上でサーバー側のワークグループ名・サーバー名まではたどり着くものの、
そこから先はアクセス権がないだの、パスが見つからないだの。。。さっぱりなんです。
うまくいったのはどうやらSAMBAユーザーとパスワードの作成のみみたい。＾＾；；

ここまでは稼働中のサーバーで実験していたので、腰を据えてやるために予備マシーンを起動。
このマシーンには初期段階でSAMBAがインストールしてあり、早速設定してみると、なんと
一発で成功するではありませんか。
smb.confやファイヤーウォールの設定は同じなのに、成功したこのマシーンと、
失敗したマシーンの違いとはいったい・・・としばらく悩んで出た結論とは？

失敗したのはターミナルからyumコマンドでsambaとsystem-config-sambaインストール。
成功したのは、初期インストール時に最初っからsambaを選択してたこと。
きっとyumではすべての依存性を解決できていないのではないかと思い、
GUIのAdd/Remove Sofewareからインストールしてみました。
予想が当たったのか、今度はsystem-config-sambaもお逝きなさることもなく、順調に設定できました。
で、現時点では何事もなかったように稼働しています。
直接現場へ行って四苦八苦する羽目にならないで、本当によかったぁ！

Windows以外でGUIからのインストール＆設定って何年ぶりでしょ。

しかし、yumコマンドとAdd/Remove Sofewareで違うものがインストールされるって
考えにくいんだけどなぁ。原因分からず結果オーライってやつですね。

新しくサーバーを組みました。
新しいと言っても、ケースや部品はWindowsマシーンからのお下がりで、
HDDは、更新して休眠しているサーバーの中から、比較的新しいものを
流用しました。たいした事をやるわけではないので、ロースペックです。

書くまでもないのですが一応・・・
CPU 　Celeron2.4GHz(256KB)
メモリPC-3200 2GB
HDD 300GBx2 RAID1

このサーバーは友人のところへお嫁入りします。
独自ドメインによる会社のホームページと電子メールを、レンタルサーバーで
運用している友人は、メールアカウントやDNSをいじる自由度をほしがっており、
ネットワーク負荷分散を目論む私目の思惑と合致したわけです。
つまり、ハード＋設定&メンテ（勿論メールやホームページのスペースも）を
供給する代わりに、ネットワーク（＋電気代）を使わせていただくのです。

友人の独自ドメインのセカンダリDNSはこちらで引き受け、お嫁入りマシーンは
異なるネットワークで、こちらのセカンダリとしても稼動してもらうことにより、
ネットワーク断による名前解決の不具合解消にも役立ってもらいます。

とりあえずこちらのネットワークで一つのドメインとIPアドレスで設定し、
Webやメールサーバーの基本的な動作はうまくいっていますので、後は
お嫁入りした後に、あちらのIPアドレスをNICに設定しなおしたり、
ドメインをネームサーバーに登録したりするだけで稼動してくれるでしょう。
友人の使用ドメインをアドミンとして使うなら、作業量が増加しますけど。。。

こんなサーバーを物理的に離れた位置にいくつか置かせてもらえば、
負荷分散により、データセンターとは比較にならないとはいえ、快適な
ネットワークとなるのではないでしょうか。

4月1日。今日から年度変わりです。
なんだか早起きしてしまい、寝ぼけ眼で書いてますので、
ミスってたらご勘弁を。

電池が心もとなくなるくらい、携帯電話でこのへんの話をやりあっってたら、
そばで聞いてたビギナーの方にいろいろ質問を受けたので、極力簡単に説明。
まとめ的にここに残しておきます。

ICMP(Internet Control Message Protcol)

＠ビギナー向け

これを説明するにはTCP/IPから始めなくてはいけないが、
端折って簡単にいくことにします。
TCPはコネクションを確立しデータを転送するのですが、
TCPはエラーの通知や通信の制御など、管理が行き届いてます。
データ転送の機能しか持たないIPの欠点を補います。

葉書を出すときに例えると、IPは郵便屋さんでTCPが葉書？

大量のデータは1枚の葉書に書ききれないため、分散して書きます。
葉書の先頭には順番に番号を振っておきます。
複数の葉書を受け取った相手は、番号順に並べることにより、
送ったデータを復元することができます。
番号が抜けている場合、抜けているぞと通知し送りなおしてもらいます。
強いて言うならTCPは配達証明ってところでしょうか。

さて、これはあくまで一部でも届いた場合です。
たとえば悪天候で郵送経路に使う飛行機が飛ばないとかで、
まったく相手に届かなかった場合、相手は葉書が送られたことすら
知らないので、エラー通知のしようもありませんよね。
相手に行きつかない以上配達証明もされません。

つまりTCPの利点が発揮されるのは、IPによる転送が一部でも
機能した場合ということになります。
IPの転送が全滅した場合には、まったく機能しないのです。

で、このIPの致命的ともいえる欠点を補完するのがICMPです。
パケットの伝達経路の途中で時間がかかりすぎたり不達だった場合、
事故の起きたルータなどから送信元に対し、エラーが起きたぞと
メッセージを発するのがICMPなのです。

もうちょっとだけ。

＠中級者向け

従来プロトコル上でエラー通知や制御は、IPのネットワーク層より上位の
層であるトランスポート層（TCPが属する）やアプリケーション層
（HTTPやFTPなど）では有する機能でありますが、ネットワーク層でもある程度の信頼性を
確保しようというのがICMPであると言えます。

非効率な経路を利用しようとしているときは、ルーティングテーブルを更新する際に
利用されたりもします。

なお、お互いにエラー通知をエンドレスに吐きまくる無限ループに陥ることのないよう、
ICMP自体のエラーは通知しません。

@上級者向け

私目のスキルでは上級者向けは書けない。＾＾；；

この話は、複数のグローバルIPアドレスを利用するためのunnumberedなPPPoE構築の際、
ネットワークインタフェイスにIPアドレスを割り振らなかったり、疑似IPアドレスを
割り振ったりすると、ICMPを返さないがどうしたらよい？
という話題から盛り上がってゆきました。
ちなみにこちらのほうの回答は、ネットワークアドレス、またはセグメント内
（ISPによってはネットワークアドレスの次のやつ）のIPアドレスを割り振ることと
答えておきましたが正解ですよね。（笑
つまり恣意的ではなく意図的に割り振るということです。

さて、今日は昼からのお出かけです。
あと3時間余り、なにして遊びましょ・・（仕事しろ！）