CO-CONV サポート

文章番号18-015

CO-Store + ReadCache 連携で更新したバージョンで ReadCache リビジョンが + 付きになってしまうことがある

公開
2018年11月13日
対象製品
  • ReadCache 4.5, 4.6
  • CO-Store 3.0, 3.1
  • PVS 7.12~

概要

PVS 7.12 から導入された「キャッシュされたシークレットのクリーンアップ (自動削除)」機能の影響により、 CO-Store + ReadCache 連携でディスクを更新すると、最新バージョンにおいて ReadCache の リビジョンが + 付き (変更あり) 状態になってしまい、結果として、ReadCache のキャシュ利用効率が 低下してしまったり、CO-Booster (BIOS Stage 1 Cache 機構) の利用ができなくなるといった 影響が生じてしまいます。

この問題の回避機能が入る CO-Store の次期バージョン (5.0 予定) へのアップデートまでは、 「キャッシュされたシークレットのクリーンアップ」を無効にして運用していただくよう お願いいたします。

詳細

PVS の「キャッシュされたシークレットのクリーンアップ (自動削除)」機能について

現在のところ、Citrix PVS 7.12 のドキュメントにおける「New in this release」内の 「Enhanced security」にある記述が唯一の解説です。下記 URL から英語版の PDF が取得できます。

https://docs.citrix.com/en-us/provisioning/7-12.html

まずは、Citrix の文書をご確認ください。 (ちなみに日本語版 pdf は壊れているのか内容を確認できない状態となっています。)

ごく簡単にまとめると、「Windows の機能で過去のログオン情報をレジストリ上にキャッシュする機能が 存在し、これがディスクイメージ上に保存されてしまっていたが、セキュリティ向上のため、PVS 側で その情報を消去する機能が追加された。」というものです。

ReadCache リビジョンに + が付いてしまう現象について

CO-Store + ReadCache 連携での「書き換え終了」処理では、ReadCache update コマンドにより ReadCache のリビジョンを更新した上で、PVS 側に最新バージョンのアクセスを保守モードから実稼働モードに 変更するリクエストを出すという手順で処理しています。

PVS 7.11 までの PVS における最新バージョンのアクセスを変更する処理では、DB 上の情報の変更と .pvp ファイルの更新のみを行い、.(a)vhd(x) ファイルの更新は行っていませんでした。

しかし、PVS 7.12 から導入された「キャッシュされたシークレットのクリーンアップ」機能が有効な場合、 アクセスモードの変更と同時にディスクのマウントとレジストリ操作を行うようになりました。

結果として、ReadCache がリビジョンを更新した後からディスクに変更が加えられた状態になってしまい、 ReadCache のリビジョン番号に + が付いた状態となってしまい、ReadCache のキャッシュ利用効率が 低下してしまうなどの影響が出るようになってしまいました。

対策

「キャッシュされたシークレットのクリーンアップ」をオフにすると同時に、 ディスクイメージに過去のログオン情報がキャッシュされないように設定するという 対処をお勧めします。

「キャッシュされたシークレットのクリーンアップ」をオフにする

ReadCache を利用しているディスクすべてにおいて実施してください。

  1. PVS コンソールを起動する

  2. ディスクを選択し、右クリック > [プロパティ] を選択する

  3. 「キャッシュされたシークレットのクリーンアップが無効です」のチェックボックスをオンにする

    ※ PVS 1808 では「キャッシュされたシークレットの自動削除が無効です」という表記になっています。

  4. [OK] を押す

    ※ 「この vDisk で標準モードへの切り替えが無効な場合、キャッシュされたシークレットを自動削除します。続行しますか?」 と問われるので、「はい」を押して設定を完了してください。

過去のログオン情報がキャッシュされないようにする

キャッシュされる過去のログオン情報についての Microsoft のドキュメントをご確認ください。

https://technet.microsoft.com/ja-jp/library/mt629048%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

上記ドキュメントの「ベストプラクティス」にもあるように、グループポリシーの設定により、 対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合) を 0 に設定してください。