[Azure][Active Directory] Azure AD Connectの暗号化プロトコルをTLS1.2へ強制する

こんなメールがやってきた

ある日のAzureからの通知メール

入院中の時だったのですが、こんなメールが来ました。

You’re receiving this email because you use Azure Active Directory.


[Microsoft Azure]
Update your machines to use TLS 1.2 for Azure AD Connect Agents
You’re receiving this email because you use Azure Active Directory.
We’re continually updating our services to ensure enhanced security and the best-in-class encryption. As a result, starting on October 31, 2019, Azure Active Directory (Azure AD) Connect agents such as the Pass-through Authentication agent and Provisioning agent will only accept TLS 1.2, and we will retire support for TLS 1.0 and 1.1 on this date.
Our records indicate that your organization has installed one of these agents and has servers connecting to Azure AD services using pre-TLS 1.2 protocols. To prepare for this change, make sure that all servers are updated to use TLS 1.2 to maintain connection to the Azure AD service.

Required action
For servers with Azure AD agents installed, use the following steps to ensure TLS 1.2 is enabled by October 31, 2019:
Set these registry keys to enable TLS 1.2 on your Windows Server 2012 R2 or later:

・・・・・・・(中略)・・・・・・

See TLS 1.2 in Office 365
https://support.microsoft.com/help/4057306/preparing-for-tls-1-2-in-office-365 for references and resources

For complete information see:
Azure AD Connect Pass-through Authentication Agent
https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-pta-quick-start
Azure AD Connect Provisioning Agent
https://docs.microsoft.com/azure/active-directory/saas-apps/workday-inbound-tutorial#planning-deployment-of-azure-ad-connect-provisioning-agent
If you have questions, please contact usaadapfeedback@microsoft.com.

どうやら、2019年10月いっぱいでTLS1.2以外のAzure AD Connectの接続は行えなくなるようです。我が家のドメインコントローラはWindows Server 2008 R2を、Azure AD ConnectサーバにはWindows Server 2012 R2を使用していますが、システム上Windows Server 2012 R2はTLS1.1以前を使用してAzure ADとの同期をとっているように見受けられます。そこでMicrosoftから上記のようなメールがきたっぽいですね。
というわけで、この記載に従いTLS1.2を有効にし、これでAzure ADとの同期が行えるようレジストリ設定を変更することにしました。備忘録として手順をまとめます。

Read more

[MG][Health] 入院二回目、無事退院

免疫グロブリン投与、今回はコンプリート!

10/8(火)から入院しておりましたが、無事に退院することが出来ました。予定通り、10/22(火)に退院しています。前回は1日を残して薬疹が発生したために全ての投与ができなかったのですが、今回は見事5日間全ての免疫グロブリン投与が完了出来ました。よかった。

Read more

[Active Directory][Windows] FRSベースのSYSVOL同期方式をDFS-R方式に変更

Windows Server 2019を既存ドメインコントローラに昇格すると・・

我が家の環境ですが、実はWindows 2000 Serverから順次バージョンアップしながら動いてきました。そんな中、勢い余って先日Azure VM B2s Reserved Instanceを購入してしまいまして、2vCPU・4GB RAMを搭載したWindows Server 2019なVMを爆誕させました。

やっぱりそれに与えたい役割としてはActive Directoryでして・・・で、3台目のドメインコントローラとして追加しようとしたとき、見事にトラブりました。どうやら「レプリカの検証に失敗した」とのこと。

Read more

[MG][Daily] 一時帰宅しました

色々検査しました

10/8(火)に入院し、今週いっぱいは検査三昧となりました。いきなり点滴になるのかなーと思ったら予想外だったなーと。

  • 一日目は問診、MG-ADL/QMGの計測を実施
  • 二日目は頸部MRI検査と採血
  • 三日目から四日目にかけてリハビリを通じた筋力測定

と言う具合です。免疫グロブリン投与は15日(火)~19日(土)となりそうです。

Read more

[Security] [Python]mod_securityの検出状態を可視化する

意外とない可視化ツール

現在、自宅環境内の統合リバースプロキシはNginx + Mod_Security + LDAP連携を用いて動かしているのですが、Mod_Securityの検出状況が捉えづらく、これを何とか可視化できないか?と思って探すものの、なかなか良い物が見つからず。

  • AuditConsole
    Mod_Securityのログ変換が対応できてない(OWASP2.9ならいけそう)
  • WAF-FLE
    どうしてもmlog形式で出力したログが、WAF-FLE上のControllerに展開できない

と言うかそもそも、こうした可視化ツールが大分昔に開発が停滞しているのか、そもそもやる気を失ったのかというところで、WAF-FLEも0.6.4が最後で、2015年頃を最後に更新が止まっているようです。

Read more

PAGE TOP