Windows – ページ 9 – OSAKANA TAROのメモ帳

2021年10月7日2021年10月7日

NetAppでファイルのアクセス監査ログを取る

ファイルサーバで、誰かがエクスプローラーの誤操作で変なところにファイルを移動させてしまうことがある。

その時に、アクセス監査ログから誰が移動(削除)操作を行ったかなどを特定できないか、ということで、NetAppのStorage VMに対するアクセス監査の設定を行った。

CIFSアクセスとNFS v4アクセスで利用できる。

公式ドキュメント:SVMでのNASイベントの監査

まずは監査ログの出力先ディレクトリを作成する。これは設定するStorage VM配下のボリュームのどこかに作成する。

今回はvolume:testvolの中に「audit」というディレクトリを作成した。

Storage VMへの監査有効化は「vserver audit create -vserver SVM名 -destination /出力先ディレクトリ」で行う。

1ontap98::> vserver audit show
2This table is currently empty.
3 
4ontap98::> vserver audit create -vserver share225 -destination /testvol/audit
5 
6ontap98::>

設定されたことを確認する。

1ontap98::> vserver audit show
2Vserver     State  Event Types        Log Format Target Directory
3----------- ------ ------------------ ---------- ----------------------------
4share225    false  file-ops,          evtx       /testvol/audit
5                   cifs-logon-logoff,
6                   audit-policy-
7                   change
8 
9ontap98::> vserver audit show -ins
10 
11                           Vserver: share225
12                    Auditing State: false
13              Log Destination Path: /testvol/audit
14     Categories of Events to Audit: file-ops, cifs-logon-logoff,
15                                    audit-policy-change
16                        Log Format: evtx
17               Log File Size Limit: 100MB
18      Log Rotation Schedule: Month: -
19Log Rotation Schedule: Day of Week: -
20        Log Rotation Schedule: Day: -
21       Log Rotation Schedule: Hour: -
22     Log Rotation Schedule: Minute: -
23                Rotation Schedules: -
24          Log Files Rotation Limit: 0
25            Log Retention Duration: 0s
26 
27ontap98::>

次にディレクトリに監査を設定する。

CIFSの場合

volume:testvolの中にある「test1」というディレクトリに設定を行うため、プロパティから「詳細設定」を選択

「監査」タブで設定を行う

今回はファイルやディレクトリの削除について記録したいので、「プリンシパル」を「Everyone」と指定し、「高度なアクセス許可」で「サブフォルダーとファイルの削除」と「削除」で設定します。

下記のような表示になります。

これで設定は完了です。

該当するファイルアクセスを行うと、指定したディレクトリ内に「audit_<vserver名>_last.evtx」というファイルにログが出力されていきます。

上記は毎日2:00にファイルをローテートする設定を追加しているので複数のファイルが存在しています。

ちなみに設定は下記の様に行いました。(-rotate-limit 3で設定しているのでファイルが日時入りのファイルが３つある)

1ontap98::> vserver audit modify -vserver share225 -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 2 -rotate-schedule-minute 0 -rotate-limit 3 -rotate-size 1M
2 
3ontap98::> vserver audit show -ins
4 
5                           Vserver: share225
6                    Auditing State: true
7              Log Destination Path: /testvol/audit
8     Categories of Events to Audit: file-ops
9                        Log Format: evtx
10               Log File Size Limit: 1MB
11      Log Rotation Schedule: Month: January-December
12Log Rotation Schedule: Day of Week: Sunday-Saturday
13        Log Rotation Schedule: Day: -
14       Log Rotation Schedule: Hour: 2
15     Log Rotation Schedule: Minute: 0
16                Rotation Schedules: @2:00
17          Log Files Rotation Limit: 3
18            Log Retention Duration: 0s
19 
20ontap98::>

(1回設定した値を消すには「-rotate-schedule-dayofweek -」などを行う)

で、どんなログが出るか、というあたりですが、ファイルを削除した場合には、イベントID:4656とイベントID:9999が出力されました。

イベントIDの詳細については「監査できるSMBイベント」を参照のこと…ただ、載ってないのもあるんですよね…

NFSv4の場合

NFS v4の場合はLinux上から nfs4_getfacl, nfs4_setfaclコマンドを使って設定する。

NFS v4でマウントして、「test3」というディレクトリのACLを確認

1[root@linux mnt]# nfs4_getfacl test3/
2 
3# file: test3/
4A::OWNER@:rwaDxtTnNcCy
5A:g:GROUP@:rxtncy
6A::EVERYONE@:rxtncy
7[root@linux mnt]#

上記には「U:」で始まるものがありません。

ファイルとディレクトリに関して成功した操作→「fdS」
対象は全ユーザ→「EVERYONE@」
ACLの変更と削除に関して記録→「Cd」

ということを行いたい場合は「nfs4_setfacl -R -a U:fdS:EVERYONE@:Cd 対象ディレクトリ」と実行します。

1[root@linux mnt]# nfs4_setfacl -R -a U:fdS:EVERYONE@:Cd test3
2[root@linux mnt]# nfs4_getfacl test3/
3 
4# file: test3/
5A::OWNER@:rwaDxtTnNcCy
6A:g:GROUP@:rxtncy
7A::EVERYONE@:rxtncy
8U:fdS:EVERYONE@:dC
9[root@linux mnt]#

で、ファイルを削除した場合、イベントID:4663 とイベントID:4658 が記録されました。

NFSで監査できるイベントについては「監査できるNFSファイルおよびディレクトリのアクセスイベント」に記載があるのですが、evtx出力した時にどういうイベントIDになるのか、という対応表はないようです。

また、どちらの場合でも、下記の様なエラーっぽいものが表示されています。この説明が見つかりませんは仕様で回避方法は無いようです。

1ソース "NetApp-Security-Auditing" からのイベント ID 4658 の説明が見つかりません。このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが壊れています。ローカル コンピューターにコンポーネントをインストールするか、コンポーネントを修復してください。
2 
3イベントが別のコンピューターから発生している場合、イベントと共に表示情報を保存する必要があります。
4 
5イベントには次の情報が含まれています: 
6 
7172.17.44.87
8EV_RenderedValue_2.00
9false
10Not Present
11Not Present
12Security
13File
1400000000000406;00;0000064f;046d016e
15(nfsshare);/test3/test2.txt
16 
17メッセージ リソースは存在しますが、メッセージがメッセージ テーブルに見つかりませんでした。

1The description for Event ID 4658 from source NetApp-Security-Auditing cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
2 
3If the event originated on another computer, the display information had to be saved with the event.
4 
5The following information was included with the event: 
6 
7172.17.44.87
8EV_RenderedValue_2.00
9false
10Not Present
11Not Present
12Security
13File
1400000000000406;00;0000064f;046d016e
15(nfsshare);/test3/test2.txt

日本語メッセージリソースがないことが原因なのかと考え、英語UIに替えてみても表示は同じでした。

NetApp KB「The description for Event ID cannot be found in the EVTX logs generated by clustered Data ONTAP」があるので解決できるのかと思ったのですが、無理そうです。

2021年10月6日2024年1月23日

単体ESXi環境でWindows 11仮想マシンを作る

Windows 11ではTPMが必須要件となる。

TPM無い場合、下記の様に表示されインストールが行えない。

vSphere 6.7 / vSphere 7.0環境では「仮想 Trusted Platform Module を使用する仮想マシンの保護」(vsphere8ドキュメント)にあるようにvCenterの管轄下に置くことでESXiサーバ間での暗号化情報をやりとりできるようにした上でvTPMの設定を行うことができる。

しかし、ESXi単体の場合、vTPMの設定を行うことができない。

これを回避するためには、TPMがなくてもWindows 11をインストールできるように細工する必要がある。

ただMicrosoft的には推奨では無いということを考慮した上で実施すること。(Microsoftの公式見解最小システム要件を満たしていないデバイスに Windows 11 をインストールする/Installing Windows 11 on devices that don’t meet minimum system requirements)

このTPM回避の設定を行う場合、Windows 11のインストールISO/USBを修正する必要なく、普通にISO/USBから起動してから回避方法を実行することができる。

上記の画面やエディション選択などに来たら、Shiftキーを押しながらF10キーを押す(Shift+F10)、とコマンドプロンプトが開く。

コマンドプロンプトで「regedit」と入力し、レジストリエディッタを開く

「HKEY_LOCAL_MACHINE\SYSTEM\Setup」に、新規キー「LabConfig」を作成

その中に新規DWORD「BypassTPMCheck」を作成し、値を「1」とします。

また、SecureBoot非対応環境の場合は「BypassSecureBootCheck」を「1」、メモリの最低容量チェックを飛ばす場合は「BypassRAMCheck」を「1」とします。

設定後はレジストリエディッタを閉じて、あとは普通にインストールします。

ローカルアカウントでセットアップを行う手順

また、マイクロソフトアカウントではなく、ローカルアカウントで設定したい場合、Homeエディションの場合は非常に面倒です。

使うWindows 11のインストーラがいつ作成されたもの（どのバージョン）であるかによって変わります。

Windows 11 22H2以降のHomeエディション

Windows 11 22H2といった新しいHomeエディションではMicrosoftアカウントとして「no@thankyou.com」を指定して、パスワードは適当に入力してエラーを出します。

(上記ではno@thankyou.comを指定しているが、これはログインエラーを出すのが目的のメールアドレス指定であるため、Microsoft Accountとして登録していない自分が所有しているメールアドレスを使っても良い)

エラーを出した状態で次に進むとローカルユーザの作成ができます。

参考:tom’s hardware「How to Install Windows 11 Without a Microsoft Account」

Windows 11 22H2より前のHomeエディション

しばらく前までの「Homeエディション」の場合は、ネットワーク接続をしない状態で設定する必要があります。

上記の状態まで来たら、ネットワークケーブルを外してから、「←」で戻ると、下記のローカルユーザ名入力画面となります。

なお、パスワードは未入力で進めると、電源ON後、パスワード入力無しでデスクトップ画面が表示されます。

Windows 11 Proエディション

「Proエディション」の場合は、下記で「職場または学校用に設定する」を選択

「サインインオプション」を選択

「代わりにドメインに参加する」を選択

これで下記のローカルユーザ名入力画面となります。

Proでもパスワードは未入力で進めると、電源ON後、パスワード入力無しでデスクトップ画面が表示されます。

インストールアシスタントを使ってWindows10からWindows11にアップグレードする場合

こちらについてはMicrosoftからの公式手順「Ways to install Windows 11」内の「Other ways to install Windows 11 (not recommended unless instructed by support)」から記載があります。

レジストリエディッタで「HKEY_LOCAL_MACHINE\SYSTEM\Setup」に新規キー「MoSetup」を作成
そこに新規DWORD「AllowUpgradesWithUnsupportedTPMOrCPU」を値「1」で作成してから、インストールアシスタントを実行するとのこと。

ただ、これはインストールアシスタントでの制約解除なようで、Windows11 ISOメディアから起動する場合には有効ではありませんでした。

2024/01/11追記

vSphere環境でvTPMを使う場合の資料

vTPMを使う場合、まずはvCenter上でキープロバイダの設定を行う必要がある。(標準では設定されていない)

vSphere Native Key Provider の構成と管理にある手順に従い設定すること。

なお、設定した場合は、損壊時の復旧に備えて vSphere Native Key Provider のバックアップを行い、そのデータを別の場所に保存しておくこと。

vTPM有効にして仮想マシンを作成しようとした場合の情報

Windows 11 guest operating system option is not available during virtual machine creation (85665) (仮想マシン作成時のOS選択にWin11が登場するのはHW ver19以降。それ以前で設定した場合は手動でvTPMハードウェアを追加する)

Failed to create a new Virtual Machine with virtual Trusted Platform Module (vTPM) device (85974) (vTPMハードウェア追加しようとした時にエラーとなる場合はvTPMが設定されていない)

2024/01/23追記

Nutanix でvTPM有効で Windows 11

Broadcomのせいでvsphereがアレなことになちゃってるので、Nutanixという話が出てるのでメモ書き追加

公式資料:Windows 11 on Nutanix AHV
Understanding UEFI, Secure Boot, and TPM in the Virtualized Environment
vTPM (Virtual Trusted Platform Module) support on AHV
Securing AHV VMs with Virtual Trusted Platform Module

vTPM環境を有効にするには基本的にはPrism Centralが必要(Prism Central上からvTPM有効にする)

AHV vTPMとしてハイパーバイザー側でvTPMを有効にする手法もあるが仮想マシンごとにコマンド操作での設定が必要?

単体Nutanix環境で仮想マシン作成すると標準で作成されるCD-ROMはIDE接続だが、それではSecure Boot有効にできない、というので、SATA接続のCD-ROMとして設定しなおすとSecure Bootが有効に設定はできる。

ただ、これで起動したところ以下のTianoCore画面で停止したままとなった。

おそらくvTPMについて設定していないからと想定している

インフラ屋とアプリ屋のあいだに「AHVのUEFIの対応と注意点」をみると、TianoCore画面は表示されてるのでSecure Bootにはなってる模様？

とりあえずsshでCVMにログインして「acli」で「vm.list」を実行し、仮想マシンUUIDを取得してから情報をとってみる

1&lt;acropolis> vm.get 5468cc7a-f8d0-4f81-b487-9879a9034f07
2win11vm {
3  can_clear_removed_from_host_uuid: True
4  config {
5    agent_vm: False
6    allow_live_migrate: True
7    boot {
8      firmware_config {
9        nvram_disk_spec {
10          create {
11            container_id: 791
12            size: 540672
13          }
14        }
15        nvram_disk_uuid: "4dbf9ca7-fcc9-4ccb-bb09-68e6efc5e7e3"
16        nvram_storage_vdisk_uuid: "7789ad26-5dd6-4449-94be-91d7826e5b1b"
17      }
18      secure_boot: True
19      uefi_boot: True
20      windows_credential_guard: False
21    }
22    cpu_passthrough: False
23    disable_branding: False
24    disk_list {
25      addr {
26        bus: "scsi"
27        index: 0
28      }
29      container_id: 4
30      container_uuid: "382d3533-a361-494d-a7a0-34a31189194d"
31      device_uuid: "b1d3b8c7-55ca-4b54-bbb5-dc420af3c64f"
32      naa_id: "naa.6506b8d861d47d56721f107382b7a77b"
33      storage_vdisk_uuid: "4c7f99cb-9033-44d6-944c-d336c2e038ea"
34      vmdisk_size: 42949672960
35      vmdisk_uuid: "59b58d21-b5ae-46df-ac37-c13a09343eb6"
36    }
37    disk_list {
38      addr {
39        bus: "sata"
40        index: 0
41      }
42      cdrom: True
43      container_id: 4
44      container_uuid: "382d3533-a361-494d-a7a0-34a31189194d"
45      device_uuid: "286dd080-7c53-4591-a393-ccdfec69d4ba"
46      naa_id: "naa.6506b8dad9fd1ba7c387201df7854712"
47      source_vmdisk_uuid: "1632fefd-66b0-42aa-a25b-9eec7b545cb2"
48      storage_vdisk_uuid: "eae8b9ee-c441-4e65-89ad-a247781fc2d0"
49      vmdisk_size: 6549825536
50      vmdisk_uuid: "becf4569-795f-4970-ab6b-8505f0f7f210"
51    }
52    flash_mode: False
53    hwclock_timezone: "Asia/Tokyo"
54    machine_type: "q35"
55    memory_mb: 4096
56    name: "win11vm"
57    nic_list {
58      connected: True
59      mac_addr: "50:6b:8d:bb:57:0a"
60      network_name: "VM Network"
61      network_type: "kNativeNetwork"
62      network_uuid: "803e5bea-e486-41f0-90d8-bbf1819393bb"
63      type: "kNormalNic"
64      uuid: "677e67ac-46c9-4359-be9f-e74f710240fd"
65      vlan_mode: "kAccess"
66    }
67    num_cores_per_vcpu: 1
68    num_threads_per_core: 1
69    num_vcpus: 2
70    num_vnuma_nodes: 0
71    vga_console: True
72    vm_type: "kGuestVM"
73    vtpm_config {
74      is_enabled: True
75      model: "kCRB"
76      version: "2.0"
77      vtpm_disk_spec {
78        create {
79          container_id: 791
80          size: 68157440
81        }
82      }
83      vtpm_disk_uuid: "538c10f4-4d63-40bb-9941-75ef33fb5114"
84      vtpm_storage_vdisk_uuid: "821c7765-91e2-4ab1-9962-bdad70758e90"
85    }
86  }
87  is_rf1_vm: False
88  logical_timestamp: 8
89  state: "kOff"
90  uuid: "5468cc7a-f8d0-4f81-b487-9879a9034f07"
91}
92&lt;acropolis>

「secure_boot: True」と「machine_type: “q35″」があるので有効にはなっている模様(「Creating a VM with Secure Boot Enabled」)

「vtpm_config」が「is_enabled: True」ということはvTPMが有効になっていてもよさそう？

「New Feature: Secure Boot for VM’s in AOS 5.16」ではさらに「nvram_container=NutanixManagementShare名」と設定している。

AHV Administration Guide の「UEFI Support for VM」を見てみるがPrism CentralなしでvTPMが使えるようになるやりようが見つからない・・・ないのかな？

「Securing AHV VMs with Virtual Trusted Platform Module」

2021年9月27日

Windows Serverでドメインの所属しているはずなのにドメインユーザでログインできない

Windows Server でドメインに所属しているはずなのにドメインユーザでログインできない場合は、まずはローカル管理者でログイン

PowerShellを起動して「Test-ComputerSecureChannel」を実行

ここで「False」と出る場合、修正する必要があります。

「Test-ComputerSecureChannel -Repair」を実行します。

結果が「True」と出れば、修正が完了しました。

再度、「Test-ComputerSecureChannel」を実行して、今度は「True」という結果になっていることを確認します

2021年7月29日2022年7月20日

ASUS VivoBook E203NAにWindows10とChromeOSを入れた

秋葉原のMLcomputerにいったら整理中の箱の中にASUSの薄いノートが入っていた。

電源ボタンおしてみたけど、電源は入らない、という状態だったけど、「これいくら？」と聞いて見た。

すると、「ASUS E203MA(あとで調べたらCPUがN4000とちょっとスペックが上)でキーボードが使えないジャンク品を3千円としている」ということだったので、３千円で購入した。

裏面みるとネジが１つなく、１つがセロテープで無理矢理とめられていた。

んー、と思いつつ電源ON

F2キーでBIOS/UEFI画面に入ることができた。

スペックを確認するとASUS VivoBook E203NA の下位モデルでCPU N3350、RAM 2GB、eMMC 32GBというものだった。

メインストレージが64GB未満なのは現状Windows10で使うにはキツイものでした。

Windows 10 21H1をインストールして一通りWindows Updateをかけるとデバイスは全て正常に認識しましたが、問題が・・・

そう、OSだけでほぼ全て使ってしまうのです。

あと、注意点として、Windows 10インストール直後のQualcomm Atheros QCA9377ドライバだとバッファローWSR-1800AX4の802.11ax Wi-Fi EasyMesh対応版に接続出来ないという不具合が・・・

Windows Updateを行って下記のv12.0.0.919にアップデートすると接続出来るようになります。

このほかWebブラウザでサイトを見たりしていたら空き容量が2GBを切っているという・・・

裏面のネジがおかしいのもあるので中を確認

増設の余地は全くない構造でした。

基板がどうなっているかは下記の動画をみてもらうと良さそうです。

なお、ネジがちゃんとついていなかったのは、ネジの長さが２種類あって、２本だけ長いものがあるんですが、その２本の使いどころを誤っていたせいでした。

正しくは下記の画像の赤丸の２箇所なんですが、分解した人は下側左右両サイドに使っていました。

さて、ストレージ増設なんてことはできそうにないので、ChromeOS+brunchで起動してみます。

まずはBIOSでSecurebootをdisableにかえてから、Boot ManagerからUSBメモリを選択して起動します。(電源ON後にいきなりBoot Managerを出す手法は分からなかった)

ChromeOSリカバリイメージはrammus、grubで設定するoptionsは「options=enable_updates,pwa」だけでいけるというなかなか素直な状態でした。

Ctrl+Alt+Tからshellを開いて「sudo chromeos-install -dst /dev/mmcblk0」で内蔵ストレージにChromeOSを書き込んで、本体のみでのChromeOS起動を確認しました。

興味深かったのは、いままでbrunchでrammusイメージを元にしてChrome OSで起動したノートパソコンでGoogleアカウントログインを行うと「お使いの Chome OSで～」というメールが来てたのですが、ASUS VivoBook E203NAにChromeOSを入れたやつでは「お使いの ASUS Chromebook Flip C434で～」と、機種名が書かれたメールになっていた。

ベースとしているrammusは「ASUS Chromebook C425, ASUS Chromebook Flip C433, ASUS Chromebook Flip C434」向けイメージなので、わからなくもないんですが

ASUS Chromebook Flip C434 はCore m3-8100Y/RAM 4GB/ストレージ 32GB/14.0インチ1920*1080/タッチパネルあり、とだいぶスペックが違うのになぁ・・・といった感じです。

2022/05/06追記

Google純正となった「Chrome OS Flex」をASUS VivoBook E203NA上で試したところ、特に問題なく動作しました。

2022/07/20追記

ChromeOS Flexの正式版を入れてみましたが、引き続き特に問題無く動作しました。

入れ替え前は５月にインストールしたベータ版時代のものでしたが、そのときは「104.0.5087.0 (Official Build) dev (64ビット)」という状態で、チャンネルが固定となっており、devからstableへの移行ができませんでした。

正式版に入れ直したところ103.0.5060.114 とdev無しのバージョンとなりました。

2021年7月16日2022年12月19日

古いONTAPがActive Directoryに参加できない

古いONTAP、具体的にはONTAP 8.3.2環境の移行案件があったので、検証のためにONTAP simulatorのONTAP 8.3.2版を仮想環境上に作成して、Active Directoryに参加しようとしたところ下記のエラーとなった。（なお、接続先Active Direcrotyはsamba 4.14.5で構成している)

1ontap832::> vserver cifs create -cifs-server share226 -domain adosakana.local -vserver share226
2 
3In order to create an Active Directory machine account for the CIFS server, you
4must supply the name and password of a Windows account with sufficient
5privileges to add computers to the "CN=Computers" container within the
6ADOSAKANA.LOCAL domain.
7 
8Enter the user name: administrator
9 
10Enter the password:
11 
12Error: Machine account creation procedure failed
13  [ 12154] Loaded the preliminary configuration.
14  [ 12332] Created a machine account in the domain
15  [ 12339] Successfully connected to 172.17.44.49:445 using TCP
16  [ 12351] Unable to connect to LSA service on
17           samba.adosakana.local (Error:
18           RESULT_ERROR_GENERAL_FAILURE)
19  [ 14357] TCP connection to 172.17.44.141:445 via interface
20           172.17.44.236 failed: (Operation timed out).
21  [ 14357] Could not open a socket to 'samba.adosakana.local'
22  [ 14357] Unable to connect to LSA service on
23           samba.adosakana.local (Error:
24           RESULT_ERROR_SPINCLIENT_UNABLE_TO_RESOLVE_SERVER)
25  [ 14357] No servers available for MS_LSA, vserver: 2, domain:
26           adosakana.local.
27**[ 14357] FAILURE: Unable to make a connection (LSA:adosakana.local),
28**         result: 6940
29  [ 14357] Could not find Windows SID
30           'S-1-5-21-937304154-1581684492-536532533-512'
31  [ 14381] Deleted existing account
32           'CN=SHARE226,CN=Computers,DC=adosakana,DC=local'
33 
34Error: command failed: Failed to create the Active Directory machine account
35       "SHARE226". Reason: SecD Error: no server available.
36 
37ontap832::>

これは暗号化の問題なので「vserver cifs security show」で設定項目を確認する。

1ontap832::> vserver cifs security show -vserver share226
2 
3Vserver: share226
4 
5                    Kerberos Clock Skew:                   - minutes
6                    Kerberos Ticket Age:                   - hours
7                   Kerberos Renewal Age:                   - days
8                   Kerberos KDC Timeout:                   - seconds
9                    Is Signing Required:                   -
10        Is Password Complexity Required:                   -
11   Use start_tls For AD LDAP connection:               false
12              Is AES Encryption Enabled:               false
13                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
14             Is SMB Encryption Required:                   -
15 
16ontap832::>

ONTAP 8.3.2無印では関連するオプション「SMB2 Enabled for DC Connections」を設定する項目が無い

1ontap832::> version -node *
2 
3ontap832-01:
4NetApp Release 8.3.2: Tue Feb 23 23:35:06 UTC 2016
5 
6 
7ontap832::>

アップデータを探したところ、832P12_q_image.tgz(リンク先はNetAppサポートサイトにログインを済ませてからアクセス) があったので、「ONTAP 9.7シミュレータをアップデートする手法」と同じ手法でアップデートを行った。

1ontap832::> version -node *
2 
3ontap832-01:
4NetApp Release 8.3.2P12: Mon Aug 14 02:57:01 UTC 2017
5 
6 
7ontap832::>

ONTAP 8.3.2P12であれば、「SMB2 Enabled for DC Connections」が存在していた。

1ontap832::> vserver cifs security show -vserver share226
2 
3Vserver: share226
4 
5                    Kerberos Clock Skew:                   - minutes
6                    Kerberos Ticket Age:                   - hours
7                   Kerberos Renewal Age:                   - days
8                   Kerberos KDC Timeout:                   - seconds
9                    Is Signing Required:                   -
10        Is Password Complexity Required:                   -
11   Use start_tls For AD LDAP connection:               false
12              Is AES Encryption Enabled:               false
13                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
14             Is SMB Encryption Required:                   -
15        SMB1 Enabled for DC Connections:                   -
16        SMB2 Enabled for DC Connections:                   -
17 
18ontap832::>

設定を変更

1ontap832::> vserver cifs security modify -vserver share226 -smb1-enabled-for-dc-connections false -smb2-enabled-for-dc-connections true
2 
3ontap832::> vserver cifs security show -vserver share226
4 
5Vserver: share226
6 
7                    Kerberos Clock Skew:                   - minutes
8                    Kerberos Ticket Age:                   - hours
9                   Kerberos Renewal Age:                   - days
10                   Kerberos KDC Timeout:                   - seconds
11                    Is Signing Required:                   -
12        Is Password Complexity Required:                   -
13   Use start_tls For AD LDAP connection:               false
14              Is AES Encryption Enabled:               false
15                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
16             Is SMB Encryption Required:                   -
17        SMB1 Enabled for DC Connections:               false
18        SMB2 Enabled for DC Connections:                true
19 
20ontap832::>

そして、Active Directoryへの参加

1ontap832::> vserver cifs create -cifs-server share226 -domain adosakana.local -vserver share226
2 
3In order to create an Active Directory machine account for the CIFS server, you
4must supply the name and password of a Windows account with sufficient
5privileges to add computers to the "CN=Computers" container within the
6ADOSAKANA.LOCAL domain.
7 
8Enter the user name: administrator
9 
10Enter the password:
11 
12Warning: An account by this name already exists in Active Directory at
13         CN=SHARE226,CN=Computers,DC=adosakana,DC=local
14         Ok to reuse this account? {y|n}: y
15 
16ontap832::>

今度は成功した。