そもそも苦労したのには理由があって、その辺を書いていこうかと。先に答えだけ言うと、家では普段は暗号化などしていないのですが、依頼主から暗号化必須と言い渡されており、それに伴う設定に四苦八苦してしまったのが主原因でした。。。(他にも落とし穴のフルコース感ある問題がありましたが。。。)
また、念のため書きますが、Bitlockerは、Windows10 Proじゃないと使えないので注意です。
■構成
SSD1:512GB (M.2 NVMe SSD)
SSD2:256GB(SATA SSD)
インストール用USBメモリ
■当初の目標
1. 上記SSDが2台ある構成のマシンのうち、SSD1だけに、WinとMintをインストールして、デュアルブートで起動させる。
2. 両方共、暗号化ドライブとしてセキュリティの担保をしたい。
※Windows10はBitlocker(TPM2.0)、LinuxMintは、LVM暗号化ドライブ
■最終結果
1. SSD1にWin、SSD2にMintをインストール。(デュアルブートは、起動時のbios boot時に、F11でドライブを指定する感じ)
2. 両方共、暗号化ドライブとしてセキュリティの担保をしたい。
※Windows10はBitlocker(TPM無し、セキュアブート無し)、LinuxMintは、LVM暗号化ドライブ
# 苦戦した内容をつらつらと書きます
---
- USBメモリ作るのに苦戦
- Windows版作成の際に、長い間待たせた挙句、securityソフトがガードして失敗する
- rufus-2.12.exeで、LinuxMintのUSBメモリが作れなかった。(LinuxMintに対応したインストーラでないと、USBメモリを作れない?)(Universal-USB-Installer-1.9.7.2.exe使用)
- windows10は、ISOダウンロードしておけば、rufus-2.12.exeとか使ってUSBにインストールできる。(セキュリティソフトをオフにすることさえ出来れば、WindowsのMediaCreationToolで一気に作成までできます。)
- 時間は掛るが、rufus-2.12.exeを使えばUSBメモリのエラーチェックや上書き消去も出来る。
- ダウンロードしたLinuxMintのISOファイルがぶっ壊れていた。。。(Wifi辞めて有線で落とした。あと、sha256sum.exeでチェックサムした。改ざんチェックというよりは破損チェックとして、大きなファイルは出来るだけチェックサムしよう。。。)
- SSD1に対してのLinuxMintのインストールで、Windowsが暗号化モードで入っている状態だとたぶんできない。(暗号化領域などの追加のせいで、プライマリパーティション領域が4つになるため?)
- Windowsインストール後、TPMの設定してセキュアブートしようとしたら、起動しなくなる(後述のリンクを参考にすると当たり前の話だった。。。)
- windowsのインストール時に、LinuxMintをインストールした別ドライブ(ここではSSD2)が存在すると、インストールエラーとなる。(結局、線を外してSSD1しか認識しない状態でインストールした。)(エラーメッセージ:「新しいパーティションを作成できなかったか、既にあるパーティションが見つかりませんでした。詳細については、セットアップログファイルを確認してください」と出た。後述するリンクに原因が書いてあります。)
- インストール対象のPCの電源を抜いて入れ直すと、他のPCがなぜか起動する。(過電流?)(他のPCの線を抜いて対応)
- Realtecのドライバー入れて再起動したら、またドライバが起動して、何回かループした。(一回でインストールできているみたい。2回目以降はフェイクです。)
- 結局、Windows10は4回位インストールした。。。
- LinuxMintは、2回かな。(失敗が6回くらい)
- 途中、ごちゃごちゃになってMBRがぶっ壊れた。(LinuxMintのLiveモード時にgparted(GUI)が使えたので綺麗にできた。そもそも、windows10イントールでも、shift + F10でコマンドプロンプトでdiskpartで消せるみたい。やってみたけどCUIがダルかった。。。)
- UEFIのTPMとセキュアブートの意味を理解せず、体当たりした(簡単じゃなかった。。。詳しくは下記の「[Windows 7編]ドライブを丸ごと暗号化してはいけない」参照のこと)
- 1つのドライブにデュアルブートは難しくなっているのかも?(暗号化しなければそうでもないかも。)
結局、成功した手順は下記です。インストール用のPCでの作業と、別のPCでの作業を分けます。
LinuxMintからインストール
---
おそらく、どちらからでも大丈夫だと思いますが、結果成功した手順ということで載せます。
■インストール用PC
- UEFI上のTPMとセキュアブートをオフにする。
- UEFI上のファンの回転設定が通常モードだとうるさかったので、サイレントモードに変更(やらなくても良い)
■別のPC(Windows10)
- LinuxMint18.1をダウンロードする。
- ダウンロード後、sha256sum.exeで、hash値を確認する(重要)
- Universal-USB-Installer-1.9.7.2.exeを使用して、Mintのインストール用USBメモリを作成する。
■インストール用PC
- F11で、USBメモリを起動時に選んで、LiveモードでLinuxMintを起動。
- デスクトップのインストールアイコンから、SSD2に暗号化モードでインストールする。
- 再起動後、暗号化解除のパスワードを入力して、ログイン出来ることを確認する。
---
Windows10インストール
■別のPC
- Microsoftが配っているMediaCreationToolで、Windows10のインストール用USBメモリを作成する。
- 各種Windows10用のドライバ(マザーやGPUドライバ)をダウンロードしておく(USBメモリにコピーしておく)
■インストール用PC
- SSD2を外す
- USBメモリを起動時に選んで、Windows10をSSD1にインストールする。
- インストール後、マザーやグラフィックドライバなど各種ドライバ類をインストールする。
- 再起動後、左下のメニューにあるボックスに、gpedit.mscと打って、グループポリシーエディタの起動
- 下のリンク「第16回 データを保護するBitLocker暗号化 (2/2)」を元に、ポリシー設定。
- BitlockerのTPM無しモードでドライブを暗号化する(今回はクリーンインストール後なので、追加分のみ暗号化にした)
- 再起動後、Bitlokerの暗号化解除画面が出るのでパスワードを入力して、ログイン出来ることを確認する。
- 最後に、外していたSSD2を接続して、F11でドライブを選んでデュアルブート出来ることを確認する。
---
いかがでしたでしょうか?アホみたいにハマって、土日はほとんどこれやってました。特にセキュアブートあたりは、起動用のUSBメモリが悪いのか?設定が悪いのか?わからなくなって、ちゃんと調べてからやればよかったかなぁという印象です。(体当たりしないと火事場のバカぢからが発揮できないタイプなので、結局この方法しか選択肢が無かったかもですが。。。)
また、家にディスプレイが1台しかなく、暇つぶししながら作業とかやりづらかったので、そのへんも反省かなぁと思います(簡単に終わると思っていたので、特に対策無しだっただけですが。。。)(NotePCはあったので、別マシンはほとんどNotePCでした。Wifiでクソな感じになりましたが。。。)
あと、初心者の人は、MBRとかGPTとか仕組みを理解しておくと、どうすれば元に戻せるか?分かるので、やっておいたほうが良いかもです。
ざっくり説明すると、HDDとかSSDとかUSBメモリとかの記憶媒体の記憶領域の先頭部分は、ブート専用の記憶領域となっており、起動時はそこを見に行ってブートドライブを決定します。ファイルがどこにあるか?とかの位置情報なども先頭のほうに格納されています。なので、クイックフォーマットは先頭だけ削除する感じで、速く消せます。だけど、昔のビデオテープのようにデータは残っているので、上書きしない限り、復元できたりします。そんな感じです。
// sha256sum.exe
https://docs.fedoraproject.org/ja-JP/Fedora/14/html/Burning_ISO_images_to_disc/sect-Burning_ISO_images_to_disc-Validating_the_Files-Validating_at_the_Windows_Command_Prompt.html
// 「新しいパーティションを作成できなかったか、...」エラーをどのように解決しますか?
http://www.disk-partition.com/jp/articles/we-cannot-create-a-new-partition.html
// [Windows 7編]ドライブを丸ごと暗号化してはいけない
http://itpro.nikkeibp.co.jp/article/COLUMN/20100824/351405/?rt=nocnt
// 第16回 データを保護するBitLocker暗号化 (2/2)
http://www.atmarkit.co.jp/ait/articles/1302/28/news114_2.html
// 「プライマリパーティション」と「拡張パーティション」の違い,あと「論理ドライブ」も
https://pctrouble.net/storage/difference_partition.html
0 件のコメント:
コメントを投稿