IT x Diary: 12月 2012

2012年12月23日日曜日

ELECOMのUSBシリアル変換ケーブル

ELECOMのUSBシリアル変換ケーブルを使っていますが、Windows 7 ではデバイスドライバーが見つからなかったりします。
ELECOM UC-SGT というシリアルUSB変換ケーブルです。
今までの古いELECOMサイトからダウンロードしたドライバでは認証されたドライバでないのでエラーとなり、インストールできなかったりします。
製品のシリアル番号末尾が「C」より以前だと、違うドライバを使うであるとか注意があります。
そこからダウンロードして、無理矢理インストールしても、動きませんでした。

そこで、自分はここのデバイスドライバを使用しました。

PL2303_Prolific_DriverInstaller_v1.7.0.zip　です。

Prolificのドライバは色々なシリアルドライバへOEM供給されているらしいです。

ちなみに、ドライバをインストールした後も難関があったりします。
TeraTermをインストールして使おうとしても、COMポートに出てこない！！ということがあります。
その場合は、ProgramFiles の TeraTerm フォルダにある TerTerm.ini　ファイルをチェックしてください。

その中の MaxComPort の記載がある行がいくつになっていますか？
4とかになっていると、その数以上のCOMポート数が使えません。
今まで接続しているデバイスはOKだったのに、
なぜかこのUSBシリアルケーブルは使えない・・みたいな。
なので、以下のように値を大きくします。

; Max serial port number
MaxComPort=256

これでデバイスにCOMポートが割り当てられます。

このドライバをインストールしても、署名が無いので有効なドライバとならない場合は、
Windows起動中に「F8」キーを押して、この画面を表示させます。

メニューで「ドライバー署名の強制を無効化する」があるので、それを選択して起動します。

Forticlient へDHCPでアドレス割り当て

FortiClientでのアクセス時にクライアントへDHCPでアドレスを割り振る方法です。

この方法でアクセスすると、Fortigateへの管理者アクセスを、このDHCPアドレスのみに制限することもできるので便利です。

そうすることで管理者がリモートからのアクセスも可能になるので。

DHCPの設定画面を表示し、インターフェースに WAN1 External を指定し、DHCPサーバとして動作させます。
そして、IPSec かレギュラーかの選択で IPSEC を選択します。

ポリシーの設定では、Inbound NAT はかけないで、VPNトンネルを指定します。

VPNトンネルの定義では、phase2 で　DHCP-IPsec にチェックをつけて有効にしておきます。

管理者のアクセス許可IPにDHCPのアドレス範囲が入れます。

VPNClient 側の設定では、詳細設定のところで、仮想IPアドレスを取得にチェックを入れます。
その先の設定では、DHCP Over IPSEC にチェックを入れます。

以上です。

こうすると、外部からのアクセスでは、VPNで接続したものだけがFortigateへアクセス可能になります。

バッファロー無線APログの見方

バッファロー無線APのログの見方

以下のログはWPA2-AESで設定された無線APのものです。クライアント認証はPEAPでやっています。

無線クライアントのMACアドレスはこの端末です。

7C:C5:37:xx:xx:xx

まずはクライアントが以下のように無線ＡＰへ接続してきます。

WIRELESS wl0: 11g : Associated User - 7c:c5:37:xx:xx:xx

認証がOKで無線APへのアクセスが許可されれば、無線APでは以下のようにPMKを登録して、キャッシュしておきます。

AUTH eth1(25891): Register PMK: id xxxxcfb28933d76818f17c3091eexxxx (TTL 3599) - 7C:C5:37:xx:xx:xx
AUTH eth1(25891): Authenticated User - 7C:C5:37:xx:xx:xx
AUTH eth1(25891): Register PMK: id xxxxcfb28933d76818f17c3091eexxxx (TTL 3600) - 7C:C5:37:xx:xx:xx

IEEE802.1X認証にてローミングした際にＰＭＫキャッシュを使用して暗号処理を早くします。

ちなみにＰＭＫとは、Pairwise Master Key です。

データ通信の暗号鍵の元となるキーペアのことです。

そのキーをキャッシュしておくことで、クライアントがローミングにより戻ってきたりした場合に

このキャッシュキーを使用することで、暗号通信を開始する時間を短縮しています。

ＰＭＫキャッシュを使用して再通信する場合は以下のログが出るようですね。

無線クライアントがローミングしてきて、キャッシュを使用して無線APへはいってきています。

WIRELESS: wl0: 11a : ReAssociated User - 7C:C5:37:xx:xx:xx
AUTH: eth1(25891): Found PMK: id=xxxxxxxxfa61362f1943e4376827xxxx, ea=7C:C5:37:xx:xx:xx bbs=00:16:0x:xx:xx:xx
AUTH: eth1(25891): PMK Cache performed(RSN) for 7C:C5:37:xx:xx:xx
AUTH: eth1(25891): Authenticated User - 7C:C5:37:xx:xx:xx

最後に無線AP側でPMKを登録しています。

TTLの値は減っています。

AUTH: eth1(25891): Register PMK: id xxxxxxxxfa61362f1943e4376827xxxx (TTL 2300) - 7c:c5:37:xx:xx:xx

ローミングで移動しているので、元々接続していた無線ＡＰからは以下のログが出ています。

DisAssociate して無線APから外れています。

WIRELESS: wl0: 11a : Deleting roamed station - 7c:c5:37:xx:xx:xx
WIRELESS: wl0: 11a : DisAssociated (rcvd. station leaving..) User - 7c:c5:37:xx:xx:xx

PMKのキャッシュ時間は(TTL 3600)とあるように、3600秒で設定されています。

（無線APのRadius設定のSession-timeout値で変更可能）

この時間が経過すると、以下のように Session-timeout ログが表示されます。

そしてこの後、再認証の処理にはいっています。

再認証が成功すれば、引き続き無線LANへのアクセスが継続されます。

AUTH: eth1(25891): Session-Timeout expired - 7c:c5:37:xx:xx:xx
AUTH: eth1(25891): ReAuthenticating User - 7c:c5:37:xx:xx:xx
AUTH: eth1(25891): Discarded session, User - 7c:c5:37:xx:xx:xx
WIRELESS: wl0: 11a : DeAuthentication (dot11 auth. expired) User - 7c:c5:37:xx:xx:xx
WIRELESS: wl0: 11a : Associated User - 7c:c5:37:xx:xx:xx
AUTH: eth1(25891): Register PMK: id xxxxxxxxa54314f73de38517xxxxxxxx (TTL 3600) -7c:c5:37:xx:xx:xx
AUTH: eth1(25891): Authenticated User - 7c:c5:37:xx:xx:xx
AUTH: eth1(25891): Register PMK: id 83dcba3da54314f73de385176f0b5e06 (TTL 3600) - 7c:c5:37:xx:xx:xx

再認証の処理がうまくいかなかったりすると、以下のようなエラーが出たりします。

PMK作成あとのPTK作成処理のやりとりでエラーになったりします。

また、無線APからは絶えず無線クライアントへ信号を送信していますが、

知らない間に無線クライアントがどこかへいってしまった場合などは、

下にあるように無線クライアントへ問合せのリトライをかけたりします。

こういった認証処理は端末台数が多かったり、

ローミングが頻発するような環境では無線AP自身への負荷が高くなり、

こういった再認証処理に失敗するケースが見られます。

このため、再認証までの時間を長く設定したり、無線APを増やして１台への負荷を低減させるなどの処置が必要となってきます。

WIRELESS wl0: 11g : DeAuthentication (4-Way Handshake timeout) User - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : Attempt to Deauthentication not respond. Retrying remain(3)... - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : DeAuthentication (AP inactivity) User - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : Attempt to Deauthentication not respond. Retrying remain(2)... - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : DeAuthentication (AP inactivity) User - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : Attempt to Deauthentication not respond. Retrying remain(1)... - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : DeAuthentication (AP inactivity) User - 7C:C5:37:xx:xx:xx
WIRELESS wl0: 11g : Attempt to Deauthentication not respond. Abandoned. - 7C:C5:37:xx:xx:xx

以下、キー更新間隔設定についてのマニュアルからの抜粋

過負荷状態にある場合は、更新間隔を長くすることも対応策のひとつ

キー更新間隔

無線の暗号化にWEP(自動配信Key)を選択した場合、

Keyの自動更新を行う間隔を設定します。

TKIPまたはAESを更新した場合は、

この間隔でマルチキャスト・ブロードキャストに用いられる暗号鍵の更新を行います。

指定できる時間は、0～1440(分)です。

0に指定した場合、定期的なKey更新を行いません。初期値は、60分です。

注意

指定時間を短くすると、キー更新による負荷が高くなり、

通信が不安定になる場合があります。

TCP zerowindow part 2

Extending timeout value of Tivoli application solves the problem ,as I mentioned to previous article. This time , I extended timeout value of default 60 seconds to 600 seconds.
Following graph is conclusions.

Receiving side(192.168.1.55) sends TCP ZeroWindow packet.
This indicats the tcp buffer of receiving side is full.

Sending side(192.168.1.10) sends TCP ZeroWindow Probe packet. This indicats the sending side is asking the receiving side to accept packet or not.

The receiving side answers TCP ZeroWindowAck packet. This indicats the receiving side still can't receive packet.

After repeating this communication many times, receiving side(192.168.1.55) sends TCP ZeroWindow Update. This indicates the receiving side tells sending side to send packets from now on!

NO	Time	Source	Dest	TCP
3201	20:19:05	192.168.1.10	192.168.1.55	TCP 1460 byte
3202	20:19:05	192.168.1.55	192.168.1.10	TCP Zerowindow
3203	20:19:06	192.168.1.10	192.168.1.55	TCP ZerowindowProbe
3204	20:19:06	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3205	20:19:07	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 1 second
3206	20:19:07	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3207	20:19:09	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 2.5 seconds
3208	20:19:09	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3209	20:19:14	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 5 seconds
3210	20:19:14	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3211	20:19:24	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 10 seconds
3212	20:19:24	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3232	20:19:43	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 20 seconds
3233	20:19:43	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3269	20:20:21	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 40 seconds
3270	20:20:21	192.168.1.55	192.168.1.10	TCP ZerowindowAck
3282	20:21:38	192.168.1.10	192.168.1.55	TCP ZerowindowProbe	check after 80 seconds
3283	20:21:38	192.168.1.55	192.168.1.10	TCP Zerowindow Update	Now I can receive packets!!

TCP zerowindow Part 1

I checked tcp packet when a session is down.

The following is , 192.168.1.55 is receiving side of backup data packet, 192.168.1.10 is sending side of backup data packet.
Tivoli Storage Manager Server(192.168.1.55),Tivoli Storage Manager Client(192.168.1.10)

After the session is started , 192.168.1.55 send TCP ZeroWindow very soon.
This indicates TSM Server can't receive packet because tcp buffer is full.

After that, 192.168.1.10 send TCP ZeroWindow Probe packet.
This indicates that sending side checks receiveing side to receive packet or not.

192.168.1.55 just answers TCP ZeroWindowAck.
This indicates that receiving side still can't receive packet.

The receiving side and sending side repeat this communication many times.
Sending side send the TCP ZeroWindow Probe packet just 1 second later since communication has started , and 2 seconds later , send again , and next is 4 seconds later ..
A confirmation interval I will extend by a factor of 2.
And finally, receiving side send RST packet to reset communication.

The resolution is , you should extend timeout value of Tivoli application.
Tivoli sends RST packet. If the timeout value is extended , then application will wait for more second to send backup data even if receiving side's tcp buffer is full.

Continue to part 2

NO	Time	Source	Dest	TCP
6087	17:40:51	192.168.1.10	192.168.1.55	ACK 1460Byte
6088	17:40:50	192.168.1.55	192.168.1.10	TCP ZeroWindow
6089	17:40:51	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe
6090	17:40:51	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6091	17:40:52	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	Check after 1 second
6092	17:40:52	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6093	17:40:54	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	check after 2.5 seconds
6094	17:40:54	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6095	17:40:59	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	check after 5 seconds
6096	17:40:59	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6097	17:41:09	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	check after 10 seconds
6098	17:41:09	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6099	17:41:28	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	check after 20 seconds
6100	17:41:28	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6107	17:42:06	192.168.1.10	192.168.1.55	TCP ZeroWindow Probe	check after 40 seconds
6108	17:42:06	192.168.1.55	192.168.1.10	TCP ZeroWindowAck
6157	17:43:22	192.168.1.55	192.168.1.10	reset sessions after 76 seconds

2012年12月22日土曜日

How to enable path mtu discovery on Bluecoat ProxySG

This'll show you how to configure Path MTU Discovery on BlueCoat ProxySG.

It might be good when windows update doesn't work.

1. run enable command.

ProxySG> enable
Enable Password:

2. configure terminal
ProxySG#configure terminal

3.run this command , tcp-ip pmtu-discovery enable
#(config)tcp-ip pmtu-discovery enable

when you see ok , all done!!

check if it's done.

3. run this command , show tcp-ip

Path MTU Discovery: enabled , this shows it's ok.

Blue Coat SG200 Series #show tcp-ip

RFC-1323 support: enabled
TCP Newreno support: disabled
IP forwarding: disabled
ICMP bcast echo response: disabled
ICMP timestamp echo response: disabled
Path MTU Discovery: enabled
PMTU expiration period: 600 seconds
PMTU probe interval: 120 seconds
TCP 2MSL timeout: 120 seconds
TCP window size: 65535 bytes

Blue Coat SG200 Series #

How to check the version of SQL Server.

How to check the SQL server version.
I just checked SQL Server 2000.

Just click Start -> Program -> Microsoft SQL Server -> query analyzer.

Just run the following command by the query analyzer.
select @@version

after that , you can check SQL version like this image.

Chrome error on https session

I got a following error message on chrome browser.

net::ERR_TUNNEL_CONNECTION_FAILED

Accessing through a proxy server to google GMAIL , but the proxy server denying access by category filtering. Your boss tells you "don't use web mail!!"

Proxy server is trying to redirect the session , but browser denyed redirect session when the session is under https session.

This is security issue on the https session.

In this case , you should check proxy block logs, you'll see some block logs.

How to install mSATA disk to lenovo x230

I'll show you how to install mSATA Disk to lenovo x230.

The mSATA model is Crucial CT128M4SSD3.

First, remove 8 screws of the backside of x230.

The screws are here, red circle line of this following image.

After removing screws, open your computer and remove the keyboard.
This image shows trying to slide the keyboard using a driver, little by little.

After open the keyboard , there is a yellow cable.
Because this cable is connected to motherboard , you should take it carefully.

After that , there is a connect plug.
You should check how this cable is connected for you reconnect this cable after.

You should remove the part that is in front of the keyboard.
Please remove by shifting the boundaries of both ends of the notebook PC.

After that you can see the cable that is connected to notebook PC.

You can see the connected cable from the following image.

Check this image for how the cable is connected.

And finally , you can install mSATA disk.

Black cable is taped , remove it slowly.

just install mSATA disk here !

This image shows how the mSATA disk is installed.

Tighten the screw to upper red circle line.
Under red circle line , you can see the hook.

Tighten the screw, paste the tape and cable.

All done!
You should reconnect cable , and tighten the screw.

Chromeでのエラー

Chromeで以下のエラーが表示されることがあります。

[ net::ERR_TUNNEL_CONNECTION_FAILED ]

最近のブラウザのセキュリティ仕様から、HTTPS通信内でのリダイレクト通信を認めていないそうです。

プロキシを経由した通信などでリダイレクト処理をしている場合、

リダイレクト処理された画面表示とならずに上記のエラーコードを出すことがあるようです。

プロキシでサイトをブロックしているときなんかに、「ブロックしました」というメッセージを出したりするんですが、そのメッセージはリダイレクト処理して表示しているので、そのメッセージすら表示できず、何がおきているのか不明のままになってしまうのです。

プロキシサーバのブロックログを見ればサイトへのアクセスをブロックしているログが残っていたりします。

2012年12月20日木曜日

SQL Server のバージョンを調べる

SQLサーバのバージョンを確認する方法です。

SQL Server 2000 のバージョンを調べるので使いました。

プログラムから、Microsoft SQL Server　→　クエリアナライザ　を選択します。

クエリアナライザでコマンドを実行します。

select @@version

を実行すると、画面のようにSQLのバージョンが確認できます。

2012年12月15日土曜日

GIMPをつかって写真にぼかしを入れる

GIMPをつかって画像に”ぼかし”をいれます。

個人が特定されてしまう写真なんかに”ぼかし”を入れる方法にもなります。

サンプルの画像が思いつかなかったので、このGoogleの画像へ”ぼかし”を入れてみましょう。

GIMPを起動して画像を開きます。

ツールバーの一番左上の四角選択ツールを選んでおきます。

Google の文字列部分をツールで選択します。

選択したら、右クリックします。

「フィルタ」⇒「ぼかし」を選択します。

ぼかしの中の「モザイク処理」を選択します。

モザイク処理のメニューでは、ピクセル幅、高を入力できます。

デフォルトでは　１０　が入力されています。

この値を高くすると、もっとわかりにくい画像にできます。

こちらのサンプルでは、ピクセル幅、高を　３０　にしています。

値を選択してから、OKをクリックします。

できました！この画像はピクセル幅、高ともに　１０　にしています。

加工した後に保存するファイル形式を選択するには、「GIMPのファイル形式を変更するには」を確認してください。

GIMPのファイル形式を変更するには

GIMPを使ってファイルを加工すると、保存したときにファイル拡張子が .xcf となります。

これがファイルサイズが非常に大きくて、結構問題です。

そんな時に、GIMPで加工した画像を .gif や .jpeg などファイルサイズの軽いものにしたい場合があります。

その方法をメモっておきます。

画像を加工したら、左上のメニューから「ファイル」⇒「エクスポート」を選択します。

エクスポート画面になったら、保存先のPATHを指定します。

そのあと、画面でも確認できますが、「ファイル形式の選択」という項目が下のほうにあります。

「ファイル形式の選択」の文字の先頭が　＋　プラスマークになっている場合は、そこをクリックします。

ファイル形式の一覧が表示されるので、そこで .gif などを選択して、最後に「エクスポート」ボタンをクリックします！

GIMP2.8.2 をつかって写真に強調枠をつける

オープンソースのソフトであるGIMPを使用して写真を加工します。
リンクはこちら。
GIMP2.8.2 を使って、画像の加工をします。
写真へ赤枠をつけて、協調表示させたいときの方法です。

まず、GIMPを起動するとこのような画面が表示されます。
左にツールボックスが表示されています。

ツールボックスの丸枠作成ツールを選択するのと、枠の色を事前に変えておきます。
この例では赤色にしています。

ツールボックスのアップ画面。

例えば、画面のある部分を丸枠ツールで選択します。
そのあと、枠を右クリックします。

「編集(E)」⇒「選択範囲の境界線を描画(S)」を選択します。

選択画面が表示されますが、デフォルトのまま「描画(S)」ボタンをクリックします。

ご覧のとおり、赤枠が画像内にできました！！

加工した後に保存するファイル形式を選択するには、「GIMPのファイル形式を変更するには」を確認してください。

Lenovo x230へmSATA SSD を装着

lenovo x230へmSATA SSDディスクを取り付けます。
mSATAは Crucial の CT128M4SSD3 です。容量は 128G です。

発売されたのは2012年の夏頃からみたいですね。

mSATAはキーボードの手前あたりに装着します。
まずは、ノートPCの裏側のネジを取り外します。
くれぐれもなくさないようにしてください。

ネジの位置は赤丸で囲っている箇所を取り外しました。

ねじを取り外したら、ノートPCを開けてキーボードを取り外します。
写真ではマイナスドライバを使用して、手前のキーボードの境界線を少しずつずらしてこじ開けます。

キーボードを開けると、このように黄色のケーブルがあらわれます。
ノートPCと接続されているので、ゆっくりと取り外します。

取り外すと、このように接続端子があらわれます。
あとでまた取り付けるので、どのようについていたか確認しておいてください。

今度は、キーボードの手前にある部分を取り外します。
ノートPCの両端の境界線をずらして、ぱかっと取り外してください。
取り外すと、またしてもノートPCと接続されているケーブルがあらわれます。

ゆっくりと確認します。
赤枠で囲っている位置にケーブルが接続されています。

アップで見てみると、このようになっています。
レバーのような接続口でヒラヒラのケーブルを止めているので、上に向けてからヒラヒラのケーブルを取り外します。

ここも、後で取り付けるのでどのように接続されているかしっかり確認しておいてください。

取り外しが完了すると、いよいよmSATAを取り付けるところが見えてきます。
どこだかわかりますか？

写真の赤枠内の箇所に取り付けます。
黒いケーブルがテープで留めてあるので、テープをゆっくりとはがしてケーブルを取り外します。

ケーブルを取り外した後、
差し込み口をアップで確認すると、このようになっています。

差し込み口へ、ななめ方向から差し込みます。

上の赤枠はネジで留めます。
下の赤枠は、フックが出ているので、そこに合わせてmSATAを下へ向けていきます。
最後にちゃんとネジ止めします。

ネジ止めしたら、先程取り外したケーブルをテープと一緒に取り付けます。

さあ、これで取り付け完了です！
あとは、取り外したものを取り付けていってください。
手前のと、キーボードを取り付けて、ネジをしめたらおしまいです！！

登録: 投稿 (Atom)

IT x Diary