概要
IBM CloudでのWindows Serverの起動トラブルを、特定のファイル削除で解決する手順を紹介します。
特に、CrowdStrikeの障害を発端とするWindowsホストの障害に対処する方法を例に説明します。
本記事では、IBM Cloud Virtual Server for VPCのWindows Serverにおける復旧手順についての内容です。
前提
・VPCが作成されていて、OriginalなWindows Serverが作成されている
・そのWindows Server上に削除したいファイルがある
復旧の方針
- インスタンスのブート・ボリュームのスナップショットを作成する
- 同じAvailability Zoneでスナップショットから新しいボリュームを作成する
- 同じAvailability Zoneで新しいWindowsインスタンスを作成する
- 新しいボリュームをデータ・ボリュームとして新しいインスタンスにアタッチする
- 作成したWindowsインスタンスにログインする
- アタッチされたボリュームの X:\Windows\System32\drivers\CrowdStrike\ ディレクトリに移動し、C-00000291*.sysを削除する
※この例では、X: は影響を受けるインスタンスのセカンダリボリュームに割り当てられたドライブ文字である。利用する環境では異なる文字である可能性がある。 - 新しいインスタンスからボリュームを切り離す
- 切り離したデータボリュームをブートボリュームとしてWindows Serverを作成する
復旧の手順
1. インスタンスのブート・ボリュームのスナップショットを作成する
IBM Cloud ポータルで、対象のVirtual Server for VPCを選択し、ストレージ・ボリュームセクションからブート・ボリュームを見つけます。そのボリュームのスナップショットを作成します。
IBM Cloud Docs:Block Storage for VPC スナップショットの作成
2. 同じAvailability Zoneでスナップショットから新しいボリュームを作成する
作成したスナップショットから新しいボリュームを同じAvailability Zoneで作成します。
作成したスナップショットを選択し、アクションメニューからボリュームの作成に進み、スナップショットからボリュームを作成します。
3. 同じAvailability Zoneで新しいWindows インスタンスを作成する
同じAvailability Zoneで新しいWindows インスタンスを作成します。IBM Cloud ポータルから、新規VSIを作成します。ロケーション 名前 イメージ プロファイル ネットワーキング 等を適切に設定します。
仮想サーバー・インスタンスの作成
浮動IPを利用してWindows Serverにログインする場合には、必要に応じて浮動IPを付与しておきます。
浮動 IP アドレスを使用したネットワーク・インターフェースの作成
4. 新しいボリュームをデータ・ボリュームとして新しいインスタンスにアタッチする
新しいボリュームを新しいWindowsインスタンスにデータ・ボリュームとしてアタッチします。
新しい仮想サーバー・インスタンスの概要タブの下部にあるストレージ・ボリュームセクションへ移動します。接続から2で作成した新しいボリュームを選択して保存します。
新しいボリュームがデータ・ボリュームとしてインスタンスにアタッチされていることを確認します。
5. 作成したWindowsインスタンスにログインする
今回は、Virtual Serverに浮動IPを付与して、Microsoft Remote DesktopでWindows インスタンスにログインしています。
IBM Cloud: VPCのWindows仮想サーバーへのログイン方法
6. アタッチされたボリュームの X:\Windows\System32\drivers\CrowdStrike\ ディレクトリに移動し、C-00000291*.sysを削除する
スタートメニューを右クリックし、Disk Managementを選択し、アタッチされたボリュームを確認します。必要に応じてボリュームの初期化、New Simple Volumeを作成し、ボリュームをマウントします。
X:\Windows\System32\drivers\CrowdStrike\ フォルダに移動し、CrowdStrikeフォルダ内の.sysファイルを見つけて削除します。
本検証環境ではCrowdStrikeは利用していないので、Original Serverにtest fileを置いて検証しています。マウントしたボリュームからtest fileを削除できることを確認しています。
7. 新しいインスタンスからボリュームを切り離す
新しい仮想サーバー・インスタンスの概要タブの下部にあるストレージ・ボリュームセクションへ移動し、データ・ボリューム切り離します。
1番右側の切り離しマークから操作ができます。
仮想サーバー・インスタンスからの Block Storage for VPC ボリュームの切り離し
8. 切り離したデータボリュームをブートボリュームとしてWindows Serverを作成する
VPC用のブロック・ストレージ・ボリュームのリストからインスタンスから切り離したボリュームを選択し、ボリュームの詳細を確認します。接続済み仮想インスタンスセクションで、接続されている仮想インスタンスはないことを確認します。
接続 → サーバーの作成 →ブート・ボリュームとして接続を選択し、復旧版となるWindows Serverを作成します。
さいごに
ご紹介した手順ではOriginal Serverとは別のIPアドレスに変わってしまいます。IPアドレスが変わらないようにするためには、一度Original Serverを削除した上で、復旧版ServerのIPアドレスを予約済みIPから設定することで解決できます。
Original Server削除時に、boot volumeが一緒に削除されないように、Auto release(自動削除)の設定を無効にしておくと安心です。