2006年6月アーカイブ

※参照　
http://www.balabit.com/products/syslog_ng/reference-1.6/syslog-ng.html/index.html#id2524536

FACILITY
The name of the facility from where the message originates.

PRIORITY or LEVEL
The priority of the message.

TAG
The priority and facility encoded as a 2 digit hexadecimal number.

PRI
The priority and facility encoded as a 2 or 3 digit decimal number as it is present in syslog messages.

DATE
Date of the message using the BSD-syslog style timestamp format (month/day/hour/minute/second, each expressed in two digits).

FULLDATE
Date of the message using the same format as DATE, but including the year as well.

ISODATE
Date of the message in the ISO standard timestamp format (yy-mm-ddThh:mm:ss+-ZONE). If possible, it is recommended to use ISODATE for timestamping.

YEAR
The year the message was sent. Time expansion macros can either use the time specified in the log message, e.g.: the time the log message is sent, or the time the message was received by the log server. This is controlled by the use_time_recvd() option (see the section called “Options reference”).

MONTH
The month the message was sent.

DAY
The day of month the message was sent.

WEEKDAY
The 3-letter name of the day of week the message was sent, e.g.: 'Thu'.

HOUR
The hour of day the message was sent.

MIN
The minute the message was sent.

SEC
The second the message was sent.

TZOFFSET
The time-zone as hour offset from GMT; e.g.: '-0700'.

TZ
The time zone or name or abbreviation; e.g.: 'PDT'.

HOST
The name of the source host where the message originates from. If the message traverses several hosts and the chain_hostnames() option is on (see the section called “Options reference”), the first host in the chain is used.

FULLHOST
The full FQDN of the host name chain, including the domain name.

HOST_FROM
Name of the host that sent the message to syslog-ng. If the message traverses several hosts, this is the last host in the chain.

FULLHOST_FROM
FQDN of the host that sent the message to syslog-ng. If the message traverses several hosts, this is the last host in the chain.

SOURCEIP IP
address of the host that sent the message to syslog-ng. (I.e. the IP address of the host in the FULLHOST_FROM macro.)

PROGRAM
The name of the program sending the message.

MSG or MESSAGE
Message contents including the program name and pid.

MSGONLY
Message contents without the program name.

■ログを吐く側の設定

○/etc/syslog.conf

*.*     @loghost

これだけ。 @の後ろには必ず名前解決できるログホストを記述する必要がある。

■ログホストの設定

○/etc/syslog-ng/syslog-ng.conf

#
# Remote logging
#
source s_remote {
        tcp(ip(0.0.0.0) port(514));
        udp(ip(0.0.0.0) port(514));
};


destination d_separatedbyhosts {
        file("/var/log/syslog-ng/$HOST/$FACILITY-$YEAR$MONTH$DAY.log");
};

log { source(s_remote); destination(d_separatedbyhosts); };

こちらを参考にしました。
krfilter - deny accesses from .kr

"KRFILTER"というChainをつくり、

# iptables -N KRFILTER

そのルールに当てはまると、"KRFILTERD"というChainを適用するしくみです。

# iptables -N KRFILTERED
# iptables -A KRFILTER -s xxx.xxx.xxx.xxx/xx -j KRFILTERED

それで、"KRFILTERD"は"Drop"とか"REJECT"とか、 ログをとってRejectするように作ったChainである"LOG_REJECT"を適用させます。

# iptables -A KRFILTERED -j LOG_REJECT

で、この"KRFILTER"を"RH-Firewall-1-INPUT"のここらへんに足しておけば良いでしょう。 ○/etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -j KRFILTER
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

※参考
https://rhn.redhat.com/rhn/help/reference/rhn370/ja/s1-up2date-config.jsp#S2-UP2DATE-CONFIG-TEXT

Red Hat Update Agent 設定ツールのコマンドラインバージョンを実行するには、次のコマンドを使用します:

# up2date --nox --configure 

■rpmの格納される場所
あえて up2date --get したものでないと、rpmは格納されませんが、
/var/spool/up2date に格納されます。

OSを再起動する

というのが手っ取り早いのですが、そうも行かない場合は

rpm、up2dateのプロセスを #kill -KILL pidで落とし、

下記のようにします。

# rm -f /var/lib/rpm/__db*
# rpm -vv --rebuilddb
（ここ長いです）

※参考
http://rpm.redhat.com/hintskinks/repairdb/

悲しいことに、電源をいれてみたらIOSが起動しませんでした。

System Bootstrap, Version 12.3(8r)YH8, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
C1800 platform with 131072 Kbytes of main memory with parity disabled


Upgrade ROMMON initialized
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
open(): Open Error = -47
loadprog: error - on file open
boot: cannot load "flash:"

System Bootstrap, Version 12.3(8r)YH8, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
C1800 platform with 131072 Kbytes of main memory with parity disabled

Upgrade ROMMON initialized
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
open(): Open Error = -47
loadprog: error - on file open
boot: cannot load "flash:"

System Bootstrap, Version 12.3(8r)YH8, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
C1800 platform with 131072 Kbytes of main memory with parity disabled

Upgrade ROMMON initialized
rommon 1 >

■ROMモニターからIOSを起動させてみる

rommon 23 > boot
program load complete, entry point: 0x80012000, size: 0xc0c0


Initializing ATA monitor library.......
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
open(): Open Error = -47
loadprog: error - on file open
boot: cannot load "flash:"

やっぱだめだ。。。

■ROMモニターからflashの中を見る

rommon 4 > dir flash:
program load complete, entry point: 0x80012000, size: 0xc0c0


Initializing ATA monitor library.......
Directory of flash:

2      16882452  -rw-     c181x-advipservicesk9-mz.124-6.T.bin
4124    2202      -rw-     sdmconfig-1811-1812.cfg
4125    4052480   -rw-     sdm.tar
5115    812032    -rw-     es.tar
5314    1007616   -rw-     common.tar
5560    1038      -rw-     home.shtml
5561    113152    -rw-     home.tar
5589    511939    -rw-     128MB.sdf

一応、IOSのファイルはあるので、イメージが壊れちゃったのかもしれない。

運よく他の正常に起動する1812JのIOSイメージをtftpサーバーに保存しておいたので、それをflashに書き込むことにする。

■メモリを確認する

rommon 30 > meminfo
Main memory size: 128 MB.
Available main memory starts at 0x80012000, size 0x1ffb8 KB
IO (packet) memory size: 10 percent of main memory.
NVRAM size: 192 KB

IOSのイメージは17MBくらいだからだいじょうぶかな？ ■環境変数（っていうのかな？）を確認する

rommon 31 > set
PS1=rommon ! >
RET_2_RTS=14:40:45 UTC Wed May 10 2006
WARM_REBOOT=FALSE
BSI=0
RET_2_RCALTS=
RANDOM_NUM=1663698727
?=0

■tftpを使えるように環境変数をセットする

rommon 42 > IP_ADDRESS=10.0.16.36
rommon 44 > IP_SUBNET_MASK=255.255.255.0
rommon 45 > DEFAULT_GATEWAY=10.0.16.254
rommon 46 > TFTP_SERVER=10.0.16.11
rommon 47 > TFTP_FILE=c181x-advipservicesk9-mz.124-6.T.bin
rommon 49 > TFTP_VERBOSE=2

■tftpdnldコマンドのHELP

rommon 37 > tftpdnld -h


Missing or illegal ip address for variable IP_ADDRESS
Illegal IP address.

usage: tftpdnld [-hr]
  Use this command for disaster recovery only to recover an image via TFTP.
  Monitor variables are used to set up parameters for the transfer.
  (Syntax: "VARIABLE_NAME=value" and use "set" to show current variables.)
  "ctrl-c" or "break" stops the transfer before flash erase begins.

  The following variables are REQUIRED to be set for tftpdnld:
            IP_ADDRESS: The IP address for this unit
        IP_SUBNET_MASK: The subnet mask for this unit
       DEFAULT_GATEWAY: The default gateway for this unit
           TFTP_SERVER: The IP address of the server to fetch from
             TFTP_FILE: The filename to fetch

  The following variables are OPTIONAL:
          TFTP_VERBOSE: Print setting. 0=quiet, 1=progress(default), 2=verbose
      TFTP_RETRY_COUNT: Retry count for ARP and TFTP (default=18)
          TFTP_TIMEOUT: Overall timeout of operation in seconds (default=7200)
         TFTP_CHECKSUM: Perform checksum test on image, 0=no, 1=yes (default=1)
               FE_PORT: 0(default), 1
         FE_SPEED_MODE: 0=10/hdx, 1=10/fdx, 2=100/hdx, 3=100/fdx,
                        4=Auto (default)

  Command line options:
   -h: this help screen
   -r: do not write flash, load to DRAM only and launch image

■TFTPでIOSイメージをflashに書き込んでみる ※EtherケーブルはFE0に挿す

rommon 50 > tftpdnld


          IP_ADDRESS: 10.0.16.36
      IP_SUBNET_MASK: 255.255.255.0
     DEFAULT_GATEWAY: 10.0.16.254
         TFTP_SERVER: 10.0.16.11
           TFTP_FILE: c181x-advipservicesk9-mz.124-6.T.bin
        TFTP_MACADDR: 00:17:e0:b9:b0:6e
        TFTP_VERBOSE: Verbose
    TFTP_RETRY_COUNT: 18
        TFTP_TIMEOUT: 7200
       TFTP_CHECKSUM: Yes
             FE_PORT: 0
       FE_SPEED_MODE: Auto Detect

Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!
Do you wish to continue? y/n:  [n]:  y

Performing tftpdnld over Fast Enet.
Initializing interface.
ARPing for 10.0.16.11
ARP reply for 10.0.16.11 received.  MAC address 00:03:ff:b9:b1:46
Receiving c181x-advipservicesk9-mz.124-6.T.bin from 10.0.16.11 !!!!!!!!!!!!!!!!!
(省略)
File reception completed.
Validating checksum.
Copying file c181x-advipservicesk9-mz.124-6.T.bin to flash.
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......

Format: Drive communication & 1st Sector Write OK...
Writing Monlib sectors.
................................................................................
......................
Monlib write complete

Format: All system sectors written. OK...
Format: Operation completed successfully.

Format of flash: complete
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......

rommon 54 > dir flash:
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......
Directory of flash:

2      16882452  -rw-     c181x-advipservicesk9-mz.124-6.T.bin

■再びflushからIOSを起動してみる

rommon 55 > b
program load complete, entry point: 0x80012000, size: 0xc0c0


Initializing ATA monitor library.......
program load complete, entry point: 0x80012000, size: 0xc0c0

Initializing ATA monitor library.......

program load complete, entry point: 0x80012000, size: 0x101999c
Stack pointer       : 0x08000000
monstack            : 0x8000549C
monra               : 0x00000000
edata : 0x800167D0
magic : 0xFEEDFACE
memsize             : 0x08000000
uncomp_size         : 0x03299C54
comp_size           : 0x010151B6
STACK_BYTES         : 0x00008000
COPY_CODE_BUF       : 0x00000800
_end                : 0x8003F044
comp_checksum       : 0x10E5B470
comp_checksum       : 0x10E5B470
uncomp_checksum     : 0x253667B2
Self decompressing the image : #################################################
################################################################################
################################################################################
################################################################################
############################### [OK]
Source elf_hdr->e_shnum = 0x00000009
Setting up to copy ELF section 0x00000001
 to image_info section 0x00000000
 sh_name = 0x0000000B
 sh_type = 0x00000001
 sh_flags = 0x00000007
 sh_addr = 0x80012000
 sh_offset = 0x00000060
 sh_size = 0x01F0ACEC
 sh_link = 0x00000000
 sh_info = 0x00000000
 sh_addralign = 0x00000020
 sh_entsize = 0x00000000
Setting up to copy ELF section 0x00000002
 to image_info section 0x00000001
 sh_name = 0x00000011
 sh_type = 0x00000001
 sh_flags = 0x00000002
 sh_addr = 0x81F1CCEC
 sh_offset = 0x01F0AD4C
 sh_size = 0x01054F9C
 sh_link = 0x00000000
 sh_info = 0x00000000
 sh_addralign = 0x00000008
 sh_entsize = 0x00000000
Setting up to copy ELF section 0x00000004
 to image_info section 0x00000002
 sh_name = 0x00000021
 sh_type = 0x00000001
 sh_flags = 0x00000003
 sh_addr = 0x82F71C88
 sh_offset = 0x02F5FCE8
 sh_size = 0x00339B98
 sh_link = 0x00000000
 sh_info = 0x00000000
 sh_addralign = 0x00000008
 sh_entsize = 0x00000000
Setting up to copy ELF section 0x00000005
 to image_info section 0x00000003
 sh_name = 0x00000027
 sh_type = 0x00000001
 sh_flags = 0x00000003
 sh_addr = 0x832AB820
 sh_offset = 0x03299880
 sh_size = 0x00000230
 sh_link = 0x00000000
 sh_info = 0x00000000
 sh_addralign = 0x00000004
 sh_entsize = 0x00000000
cpu type                   : 0x00000013
uncomp_size                : 0x03299C54
monstack                   : 0x8000549C

image_info.entry_point   = 0x80012000
image_info.section_count = 0x00000004
image_info.monstack      = 0x8000549C
image_info.monra         = 0x00000000
image_info.param0        = 0x00000002
image_info.param1        = 0x00000000
image_info.param2        = 0x00000000
image_info.param3        = 0x00000000
Section Index = 0x00000000
    source    = 0x8003F1A4
    dest      = 0x80012000
    bytes     = 0x01F0ACEC
Section Index = 0x00000001
    source    = 0x81F49E90
    dest      = 0x81F1CCEC
    bytes     = 0x01054F9C
Section Index = 0x00000002
    source    = 0x82F9EE2C
    dest      = 0x82F71C88
    bytes     = 0x00339B98
Section Index = 0x00000003
    source    = 0x832D89C4
    dest      = 0x832AB820
    bytes     = 0x00000230

              Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

           cisco Systems, Inc.
           170 West Tasman Drive
           San Jose, California 95134-1706



Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T,
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Feb-06 21:22 by ccai
Image text-base: 0x80012124, data-base: 0x81F1CCEC


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Installed image archive
Cisco 1812-J (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of m
emory.
Processor board ID FHK1019226G, with hardware revision 0000

10 FastEthernet interfaces
1 ISDN Basic Rate interface
31360K bytes of ATA CompactFlash (Read/Write)


         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no


Press RETURN to get started!

Router>

やったー！

■しかし、flashの中のファイルはIOSのイメージしかなくなってしまったので、他のも移し変える必要があると思う。

Router>enalbe
Router#show flash
-#- --length-- -----date/time------ path
1     16882452 May 29 1905 09:26:48 +00:00 c181x-advipservicesk9-mz.124-6.T.bin


15048704 bytes available (16883712 bytes used)

Router#

■移し変えました。

Router#show flash
-#- --length-- -----date/time------ path
1     16882452 May 29 1905 09:26:48 +00:00 c181x-advipservicesk9-mz.124-6.T.bin
2      1007616 Jun 15 2006 12:06:16 +00:00 common.tar
3       511939 Jun 15 2006 12:06:42 +00:00 128MB.sdf
4      4052480 Jun 15 2006 12:07:10 +00:00 sdm.tar
5         2202 Jun 15 2006 12:09:38 +00:00 sdmconfig-1811-1812.cfg
6       812032 Jun 15 2006 12:09:58 +00:00 es.tar
7         1038 Jun 15 2006 12:10:18 +00:00 home.shtml
8       113152 Jun 15 2006 12:11:26 +00:00 home.tar


8536064 bytes available (23396352 bytes used)

■コンフィグレーションレジスタが0xA102になっているので、0x2102に書き換えてリブートします

Router#conf t
Router(config)#config-register 0x2102
Router(config)#^Z
Router#
Router#reload


System configuration has been modified. Save? [yes/no]: yes
Building configuration...
[OK]
Proceed with reload? [confirm]

*Jun 15 12:18:44.927: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
 Reload Command.

これのことである。

■Exchange 受信者更新サービスの使用方法
http://support.microsoft.com/kb/319065/ja

　役割としては、ユーザーのメールボックスを作成すると、SMTPアドレスなどのプロキシ アドレス（太字の代表メールアドレス）が受信者更新サービスによって自動的に生成される。

※受信者更新サービスを常時実行するよう設定している場合であっても、新規の電子メール アドレスが生成されるまでには多少の待ち時間が発生する。

つまり、ユーザーアカウントを作ると勝手にメールアドレスが出来上がるあの仕組みである。

■なんで突然こんなことをいいだすのかというと、
受信者更新サーバスサーバをフロントエンドサーバーにしようとすると
こんな風なエラーがでるからである。

なので、フロントエンドのサーバーにするExchangeは受信者更新サービスの役割からおろしておきましょう。

あまりないことですが。

普通、ドメイン内のExchange Serverを削除するときは、
サーバーからExchange Serverをアンインストールしてから削除しますが、
そんなの忘れてサーバーを物理的に撤去してしまった場合の話です。

コンピュータオブジェクトも消してしまい、
久しぶりにExchangeシステムマネージャを開いてみたら
こんな風にExchangeの亡霊が存在していて削除できません。

というときは、ADSI Editの「Configuration」から強制的に削除してしまいます。

関係ある部分はすべて消してしまいます。

ちょっと心配な方法ですが、
システムマネージャを開きなおしてみると
一応、削除されているので大丈夫なのでしょう。（たぶん）

■AcceptのChainをつくる

# iptables -N LOG_ACCEPT
# iptables -A LOG_ACCEPT -j LOG --log-prefix "accepted " --log-level 3
# iptables -A LOG_ACCEPT -j ACCEPT

■RejectのChainをつくる

# iptables -N LOG_REJECT
# iptables -A LOG_REJECT -j LOG --log-prefix "rejected " --log-level 3
# iptables -A LOG_REJECT -j REJECT --reject-with icmp-host-prohibited

■フィルタのChainに適用させる

-A RH -p tcp -m state --state NEW -m tcp --dport 80 -j LOG_ACCEPT
-A RH -p tcp -m state --state NEW -m tcp --dport 443 -j LOG_ACCEPT
-A RH -j LOG_REJECT

■ログはfacility "kern"に出力される。
--log-levelは最近のものだと文字列でも指定できる。

○/etc/syslog.confに以下の行を足し、syslogdを再起動する

# iptables
kern.warning　　/var/log/iptables

○/etc/logrotate.d/syslogの１行目に、/var/log/iptablesを足す。

$ command 2>&1

■ファイルに出力する場合

$ command > file 2>&1

■ゴミ箱にすてちゃう場合

$ command > /dev/null 2>&1

■-m tcp (-p tcp との併用)

--sport
--source-port [!] port[:port] ともかける


--dport
--destination-port [!] port[:port] ともかける

--tcp-flags [!] mask comp
指定できるフラグは SYN ACK FIN RST URG PSH ALL NONE。
', '区切りで羅列できる。
例：
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
SYN フラグが設定され ACK, FIN, RST フラグが設定されていないパケットにのみマッチする。

--syn
このようなパケットは TCP 接続の開始要求に使われる。
これは --tcp-flags  SYN,RST,ACK SYN と等しい。 

[!] --syn
"--syn" の前に "!" フラグを置くと、 SYN ビットがクリアされ 
ACK と RST ビットが設定されているTCP パケッ トにのみマッチする。

--tcp-option [!] number
TCP オプションが設定されている場合にマッチする。

--mss value[:value]
指定された MSS 値 (の範囲) を持つTCPのSYN または SYN/ACK パケットにマッチする。 

# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT

-m [モジュール] であり、
"state"や"tcp"はモジュールである

■-m state

--state [STATE名]で指定する


INVALID: 
このパケットは既知の接続と関係 していない。

ESTABLISHED:
このパケットは、過去双方向にパケットがやり取りされた接続に属するパケット

NEW: 
新しい接続を開始したか、
双方向にはパケットがやり取りされていない接続に属するパケット 

RELATED: 
このパケットが新しい接続を開始しているが、 
FTP データ転送やICMP エラーのように、既存の接続に関係している。

# iptables -L -n --line-number

いつもこれをうつのが面倒な場合、 /root/.bashrcなどに

alias iptables-config='iptables -L -n --line-number'

と書いてしまう。

# iptables -E RH-Firewall-1-INPUT RH
# iptable-save > /etc/sysconfig/iptables

１．バーチャルマシンの上で動いているOSをシャットダウンする。

２．Virtual Server 管理Webサイトから、バーチャルマシンをオフにする。

３．ExplorerからD:\Virtualフォルダ（例）を作成し、そのなかに
　　C:\Documents and Settings\All Users\Documents\Shared Virtual Machines\
　　C:\Documents and Settings\All Users\Documents\Shared Virtual Networks\
　　を移動させる。

４．左のメニューの「サーバーのプロパティ」->「検索のパス」で
　　「既定のバーチャル マシン構成フォルダ」を
　　C:\Documents and Settings\All Users\Documents\Shared Virtual Machines\
　　から、D:\Virtual\Shared Virtual Machines\ に変更する。
　　
　　また、「検索パス」に
　　D:\Virtual\Shared Virtual Networks\
　　を追加して「OK」を押す。

５．ここで一旦、Virtual Server管理Webサイトを閉じる。

６．C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Machines
　　の中にショートカットのファイルがあるので、それのリンク先を先ほどフォルダを移動させた場所のvmcファイルに書き換える。
　　"D:\Virtual\Shared Virtual Machines\xxx\xxx.vmc"
　　
　　C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Networks
　　の中のショートカットのファイルについても同様に移動先のvncファイルにリンクする。

７．D:\Virtual\Shared Virtual Machines\xxx\xxx.vmcはxmlファイルなのでメモ帳で開ける。
　　メモ帳で開いたら<ide_adapter>のあたりで、vhdファイルのパスが書かれている場所を探す。

　　

【絶対パス】
　　<absolute type="string">C:\Documents and Settings\All Users\Documents\Shared Virtual Machines\xxx\xxx.vhd</absolute>
　　【相対パス】
　　<relative type="string">.\xxx.vhd</relative>

これらの箇所を移動先のパスに修正し、上書き保存する。

　　

【絶対パス】
　　<absolute type="string">D:\Virtual\Shared Virtual Machines\xxx\xxx.vhd</absolute>
　　【相対パス】
　　<relative type="string">.\xxx.vhd</relative>

８．スタートメニューの「管理ツール」から「サービス」を開き、 　　「Virtual Machine Helper」サービスを再起動する。 　　目的は「Virtual Server」サービスの再起動なので、これで一緒に再起動される。 　　 ９．再びVirtual Server 管理Webサイトを開く。 　　ちゃんとバーチャルマシン上が表示されていれば移動成功。 　　左のメニューの「バーチャルマシン」->「構成」->「xxx」を開き、「全般のプロパティ」に進む。 　　画面下のほうに、 　　

“xxx” と関連付けられているファイル  
 
　　構成ファイル: D:\Virtual\Shared Virtual Machines\xxx\xxx.vmc 
　　バーチャル ハード ディスク 1: D:\Virtual\Shared Virtual Machines\xxx\xxx.vhd 
　　接続されたバーチャル ネットワーク: D:\Virtual\Shared Virtual Networks\外部ネットワーク.vnc

　　と確認できる。

Virtual Server 2005をインストールするときに、たくさん容量のあるDドライブを選んだつもりなのに、DドライブにはVirtual Serverのプログラムや管理Webコンテンツしか入ってない。

それじゃ、どこに仮想マシンの定義や仮想DISKがインストールされるかというと。。。

C:\Documents and Settings\All Users\Documents\Shared Virtual Machines\

ここだった。もうびっくりですよ。
Cドライブがパンパンになりました。

とりあえずCentOS4.3はLVMボリュームの上でちゃんと動いてますよ。

※容量可変の拡張バーチャルハード ディスクのため、今のところは2.5GBくらいしか使っていません。
　が、引越しをするしかないでしょう。