30代後半で転職したSEのブログ

転職の経験談、IT技術情報など紹介していきます。

移転しました。

自動的にリダイレクトします。

Kerberos認証 SPN

Azure App Proxyを使用する際、App Proxyと内部のWebアプリとはKerberos認証で認証が行われるため、
内部のWebアプリがKerberos認証できるよう設定が必要になります。

Kerberos認証について調べたので、メモしておきます。

Kerberos認証設定の注意事項
  • IISをLocal SystemやNetwork Serviceユーザで起動する場合は自動的にSPNが登録されるようですが、別ユーザで起動する場合には個別にSPNを登録する必要がある
Kerberos認証の特徴

NTLMと比較するとADおよび対象のWebサーバに負荷をかけない

Azure Managed Disk節約

Managed Disk デフォルトではPremium SSD
これが地味に高い
VMを停止してても容量分課金される。
VMを停止しているときはStandard HDDにしておいたほうがお得のはず。
そこで、指定したリソースグループ内のManaged DiskをすべてStandard HDDに変更するScriptを考えてみた。

前提はPowershell6.1、Az Module

#Connect to Azure with a browser sign in token
#Connect-AzAccount

# resource group that contains the managed disk
$rgName = "resourcegroup Name"

$disks = Get-AzDisk -ResourceGroupName $rgName

foreach ($disk in $disks) {
    # Choose between Standard_LRS and StandardSSD_LRS based on your scenario
    $storageType = 'Standard_LRS'


    # Get parent VM resource
    $vmResource = Get-AzResource -ResourceId $disk.ManagedBy

    # Stop and deallocate the VM before changing the storage type
    # Stop-AzVM -ResourceGroupName $vmResource.ResourceGroupName -Name $vmResource.Name -Force

    # Update the storage type
    $diskUpdateConfig = New-AzDiskUpdateConfig -AccountType $storageType -DiskSizeGB $disk.DiskSizeGB
    Update-AzDisk -DiskUpdate $diskUpdateConfig -ResourceGroupName $rgName -DiskName $disk.Name
        
}

Premium SSD と HDD価格は約3倍ほど違う。

Kerberos認証の実験 その2

今回はLB(ロードバランサー)経由でIISに接続する際のKerberos認証について実験。

LBはAzureのLBを使用

f:id:windows2020:20190306060243p:plain
ロードバランサー作成

フロントエンドのIP(クライアントPCから接続する際のIP)は以下のようになっている

f:id:windows2020:20190306060216p:plain
フロントエンド

ここでフロントエンドのIPは固定にしておく。

f:id:windows2020:20190306061044p:plain
IP固定

LBから分散されるIPアドレス群はバックエンドプールで設定する。
今回は分散先として一台だけIISサーバのNICを指定する。

f:id:windows2020:20190306060739p:plain
バックエンド

追加で正常性確認(Probe)の設定も必要みたい。

f:id:windows2020:20190306061308p:plain
Probe

最後に上記3つの設定を束ねるルールを作成してLBの設定完了
名前以外はデフォルトのまま

f:id:windows2020:20190306062502p:plain
ルール

ここまででLBの設定は完了。ブラウザからLBのフロントエンド(10.0.0.10)にアクセスするとNTLM認証でアクセスしている。

IPのままだと、Kerberos認証が使えないので、AD上のDNSにAレコードを追加する。

LBのFQDNでブラウザからアクセスしてもまだNTLMのまま。

最後にSPNを登録することでLB経由でもKerberos認証ができた。
setspn -a HTTP/

Kerberos認証の実験 その1

IISでWebサーバを構築する際、Basic認証や匿名認証などいろいろな方式があるが、
NTLM認証と比較してKerberos認証の方がパフォーマンスがいいということで、
Kerberos認証について調べてみた。

NTLM認証はユーザ名とパスワードを認証のたびにADに送りつけるので、ADに負荷をかける。
Kerberos認証は一度認証が通るとチケットの有効期間内はADへの問い合わせはしない(はず)。

まずはドメインに参加したWindows Server 2016にIISをインストールし、
IIS上で、匿名認証を無効化し、統合Windows認証のみ有効化した。
通常Kerberos認証を使用する際はSPN(Service Principal Name)を登録するが、
IISの場合は個別の登録は必要ないようだ。
クライアントPCでklistコマンドを実行すると、下記のサービスに対するチケットを取得していることが
確認できる。
HTTP/

次回はロードバランサー経由でのKerberos認証について調べる。

IntuneでiPhoneへのダウンロード禁止 その2

以前、AzureのApp Proxy Serviceを使用して、iPhoneからオンプレのシステムへのアクセスについて書きました。
http://windows2020.hatenablog.com/entry/2018/12/20/033548windows2020.hatenablog.com
そのときにIntune Managed BrowserやEdgeでないとダウンロードの制限がかけられないため、
どのように接続元のブラウザをコントロールするか調査していました。

またまたAzureの機能ですが、条件付きアクセスという機能があります。

こちらの機能を使用すると、
Azure ADに登録したアプリケーションに対して
接続元の端末やブラウザの条件を指定することができます。

f:id:windows2020:20190131225805p:plain
条件付きアクセス

行橋市 ふるさと納税 返礼品 届かない → 届いた

昨年末にふるさと納税デビューをしたのですが、
まだ返礼品が届きません。
領収書は届いたのですが。。
届くまでに1か月から2か月かかるとのことなので、
もう少し待ってみようと思います。
今ちょうど申し込んでから1か月くらいです。

追記:
ついに届きました。申し込んでから2ヶ月とちょっとでした。
返礼品に追加されるはずのアプリは自分でインストールする必要があるようです。

リモートデスクトップ プロキシ越え その2

windows2020.hatenablog.com
以前、紹介したリモートデスクトップのプロキシ越えでは、
mstscがプロキシを経由せず、自端末からクラウドグローバルIPと直接通信しようとして、
エラーとなっていました。

今回、ようやくmstscがプロキシを経由する設定が見つかりました。

それは以下の環境変数

  • http_proxy="xxx.domain.local:8080"
  • https_proxy="xxx.domain.local:8080"

こちらを設定すると、mstscがプロキシを経由して、
無事プロキシを超えてhttpsプロトコル
リモートデスクトップ接続ができました。

[rakuten:milano2:10001035:detail]