debiananのブログ

Windows11 H22H2 で、ネットワーク設定を変えようとしたら冒頭の「組織によって」が出てしまった。ネット検索をしてみても決定打は無かった。

 

しかも、検索結果を見ながら色々やっているとWin11が起動しない羽目に。。。

 

問題の出たPCはDELL G5000。こいつは、起動時にF12を押してDELL謹製の回復機能を利用できる。一応回復コンソール同様復元機能もある。

 

この機能を使って、まずはシステムを修復。それから、Windows11 の回復コンソールへ移動（できる）。ここで、本来の復元機能を使った。成功。20日ばかり前の環境を復元できた。

 

おまけに、「組織によって」も消えていた。おかげで、Windows Update をかけて最新環境に戻れた。

 

何とも情けない始末だが、DELLの修復機能が無ければ万事窮しただろう。クリーンインストールしかなかった。やれやれ。助かった。

 

それにしても、ネット検索は万能ではないなあ。

 

追記：25H2で同様の事態発生し、以下で解決

コマンドプロンプトで実行

1. 管理者としてコマンドプロンプトを開く

2. 以下を入力：
   RD /S /Q "C:\Windows\System32\GroupPolicy"
   gpupdate /force

えらい苦労させられた。拙宅のPCには Vmware 17 上に

・Ubuntu 22.04

・FreeBSD 13.1

・Openindiana 2022.10

と3種類の UNIX 系OSが乗っている。これを、ホストの Windows11 Pro 22H2 からも、それぞれ相互にもsambaで共有しようとしたのだが、sambaの設定を統一しただけでは当然駄目だった。/etc/hostsファイルの設定も全て共通にしておかなければならなかった。

 

192.168.115.3           Oi.local.domain      Oi
192.168.115.14          ubunts.local.domain  ubuntu22
192.168.115.6           freebsd.local.domain freebsd13
 

のように。3種類まとめて同じにしておく。いつの時代の話しだと思うが、ともあれこれで相互に Share することが出来た。勿論、Windows11からも Share 出来る。

 

3種類のOSは全て samba4.x なので設定も同じ。Shareするディレクトリが各々違うだけ。

 

今はスイスイ繋がっている。DNS誕生以前のようなこと疑っていなかった。まあ、結果良ければ全て良しとしよう。

 

ちなみに、Ubuntu 22.04LTS から FreeBSD 13.1 をshareしているところ。

またまた、エロいが、あくまでテストなので。それにしても、/etc/hosts の設定はきちんとしておかないと（泣）

 

とりあえず、これで ssh や nfs に頼らなくても手早く簡単にファイルのやりとりが出来る。

なかなか Openiniana の新版のリリースが無いので 202110 をインストールして(vmware 17 workstation に)アップデートをかけたら自動的に 202210 リリースになった。

 

今回から簡易NASにWindows共有でアクセスできるように samba を入れた。これが難物で散々手間取った。

 

/etc/samba/smb.conf は FreeBSD13 Ubuntu22.04LTS と共通設定で

[global]
workgroup = xxxx
server string = xxxx
netbios name = xxxx
security = user
passdb backend = tdbsam
#dos charset = CP932
unix charset = UTF-8
wins support = Yes
load printers = No
disable spoolss = Yes
client min protocol = core
hosts allow = 192.168.xxx.0/24 127.
winbind use default domain = Yes
encrypt passwords = Yes
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = Yes
read only = No
inherit acls = Yes
map to guest = bad user
[Share]
comment = Share Folder for All Users
path = /export/home/samba/
browsable = Yes
read only = no
 
と極簡単なもの。samba の固有の設定(パスワードとか)は

ご自分でお調べください。いくらでもネットに転がっていますので。

 

ここいらまでは情報も多いがFirewallともなるときつい。

 

openindiana では ipfilter を使うので、私のサンプルを

 

# ループバックの許可
pass out quick on lo0
pass in quick on lo0

# ICMP
#pass out log quick on e1000g0 proto icmp all
#pass in log quick on e1000g0 proto icmp all

pass out quick on e1000g0 proto tcp/udp from any to any port = 993 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 465 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 587 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 8080 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 9100 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 53 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 80 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 443 keep state
pass out quick on e1000g0 proto tcp/udp from any to any port = 515 keep state



# ICMP
pass out quick on e1000g0 proto icmp from any to any keep state

# Allow [Samba or CIFS(netbios 137-139,445)]
pass out quick on e1000g0 proto udp from any to 192.168.115.15 port = 137 keep state
pass out quick on e1000g0 proto udp from any to 192.168.115.15 port = 138 keep state
pass out quick on e1000g0 proto tcp/udp from any to 192.168.115.0/28 port = 137 keep state
pass out quick on e1000g0 proto tcp/udp from any to 192.168.115.0/28 port = 138 keep state
pass out quick on e1000g0 proto tcp/udp from any to 192.168.115.0/28 port = 139 keep state
pass out quick on e1000g0 proto tcp/udp from any to 192.168.115.0/28 port = 445 keep state


pass out quick on e1000g0 proto tcp/udp from any to any port 32768 >< 65535

# 出力パケット:その他全拒否
block out log quick on e1000g0 proto tcp/udp all
block out log quick on e1000g0 proto icmp all


# ICMP
pass in quick on e1000g0 proto icmp from any to any keep state

# Allow [Samba or CIFS(netbios 137-139,445)]
pass in quick on e1000g0 proto udp from 192.168.115.15 to any port = 137 keep state
pass in quick on e1000g0 proto udp from 192.168.115.15 to any port = 138 keep state
pass in quick on e1000g0 proto tcp/udp from 192.168.115.0/28 to any port = 137 keep state
pass in quick on e1000g0 proto tcp/udp from 192.168.115.0/28 to any port = 138 keep state
pass in quick on e1000g0 proto tcp/udp from 192.168.115.0/28 to any port = 139 keep state
pass in quick on e1000g0 proto tcp/udp from 192.168.115.0/28 to any port = 445 keep state


pass in quick on e1000g0 proto tcp/udp from any to any port 32768 >< 65535

block in log quick on e1000g0 from 0.0.0.0/32 to any
block in log quick on e1000g0 from 127.0.0.0/8 to any
block in log quick on e1000g0 from 10.0.0.0/8 to any
block in log quick on e1000g0 from 169.254.0.0/16 to any
block in log quick on e1000g0 from 172.16.0.0/12 to any
block in log quick on e1000g0 from 192.168.0.0/16 to any


block in log quick on e1000g0 all with opt lsrr
block in log quick on e1000g0 all with opt ssrr
block in log quick from any to any with ipopts
block in log quick on e1000g0 proto tcp all with short

# 全入力出力パケットの拒否
block out log on e1000g0 all
block in log on e1000g0 all

 

 

 

 

 

えらく手こずってしまった。まあ、4T の簡易NASが使えるようになったので良しとする。

有料VPNサービスの NordVPN には専用接続アプリに kill switch という機能がある。これを使うとプラットフォーム（ここでは Windows11）の通信がNordVPNに一本化される。

 

つまり、VPN 以外の通信がブロックされるということだ。ただこの機能、当初は色々不具合が出た。まあ、そろそろ大丈夫かなと思い使ってみた。

 

効果あるんじゃないと言うところ。張り付いて盗聴、クラックしている馬鹿には十分効いたようだ。勿論、Vmware で Bridge してネット接続するのには支障はない。

 

暫く、この状態で運用することとした。Linux 版にも同様の機能がある。結果を見定めて設定することとしよう。

 

Windows11 22H2 にアップデートしてから Vmware が困ったことになっていた。Ubuntu Linux は大丈夫なのだが、FreeBSD,Openindiana(OpenSolaris)が正常起動・動作しなくなってしまった。

 

ネットで調べたり、実験してみたりとしていたら Vmware のコミュニティーに解決方法があった。またぞろ、Windowsをアップした時に勝手に設定を変えてくれていた。

 

In order to turn off ULM/Hyper-V mode, run the following command at the host in windows command-line with Administrator privileges:

bcdedit /set hypervisorlaunchtype off
Reboot the system to activate your changes.

If you want to go back to Hyper-V mode again, then you can enable it like this:

bcdedit /set hypervisorlaunchtype auto
 

で解決。正常に復帰した。要は、

bcdedit /set hypervisorlaunchtype off
Reboot the system to activate your changes.

コマンドを管理者権限で実行して再起動し変更を反映させろというもの。

 

私は元々切っていた。。そして、必要な時にはパラメータを auto に戻せと。トグルして使えということだ。

 

Microsoftめ。毎度毎度要らんことしやがって。