スポンサードリンク

2015年06月11日

iis サイト名によって認証が出たり、出なかったり・・・

7月の Windows Server 2003 のサポート切れまで、あと僅か。
システム管理者の皆様は、きっと忙しい日々を過ごされていると思います。

私も、今回、こんな怪現象に見舞われました。

作業そのものは、単純作業のはずでした。
Windows2003 のiisで動いていたサイトを Windows2012 に移行。
2012側で、iisをインストールし、2003と同等の設定、その後、コンテンツ
等をコピーして、DB等の設定、これで完了と思ったわけです。

2003 Server のコンピュータ名は server00.domain.local
DNSでは、Aレコードで、172.10.10.1 intra.domain.com として登録している。
Windows統合認証を使用

2012 Server のコンピュータ名は server01.domain.local
IPアドレス 172.10.10.2

移行後・・・
http://server01.domain.local でアクセスすると、正常に動作します。
http://172.10.10.2 でも正常に動作します。

DNS に intra2.domain.local A 172.10.10.2 を設定し、
http://intra2.domain.local でも正常に動作します。

続いて、念のため、
クライアント側の、hostsに下の記述をしてテストしました。。
172.10.10.2 intra.domain.com

ところが、http://intra.domain.com でアクセスすると認証を求められ、正しい
情報を入力しても、アクセスできない。

クライアント側のhostsに、intra.domain.com 以外を指定した場合は、正常に動
作します。
172.10.10.2 intra2.domain.com
等なら、正常にアクセスできます。
唯一、intra.domain.com と指定した時だけがアクセス不可。

ここで、頓挫・・・なんで特定の名前だけがダメなのか・・・
色々調べたところSPN(ServicePrincipalName)が関係ありそう。
adsieditでserver00.domain.localを調べてみたところ、
SPNにhttp://intra.domain.com が存在した。これが問題の原因であると思われま
すが、削除してよいのかは判断つきません・・・。

Windows統合認証する際に、これが関係ありそうです。
http://intra.domain.localというSPNはserver00.domain.localが持っているため、server01.domain.localからは使えない・・・という感じのようです。

もしかして、DNSでAレコードなのがイケナイのか?
でも、テスト段階でDNSを書き換えるわけにいかないので、クライアント側の hosts
に以下のように設定してみました。

172.10.10.2 server01.domain.local intra.domain.com

すると、その途端、http://intra.doamin.com で2012サーバーに正常にアクセス可能
となりました。

じゃ、2003サーバーの方はどうかと、hostsに下の記述をしたところ、問題なく、ア
クセス出来ます。

172.10.10.1 server00.domain.local intra.domain.com

現時点では、DNS側の変更はしておらず、hostsでのテストのみですが、上の状態から
判断すると、DNSにCNAMEを書けば、問題なくアクセスできそうです。

Windows統合認証を使ってサイトの移行時は、お気をつけ下さい。


posted by まさ at 12:49| Comment(0) | Windows

2015年06月03日

Cisco AnyConnect Secure Mobility Client

私の会社では、社外に持ち出したPCから、Cisco AnyConnect Secure Mobility Client
で社内LANに接続出来る環境を作っています。

しかし、この Cisco AnyConnect Secure Mobility Client が相当な曲者です。

他のサービスと干渉して、接続できない現象が、結構、発生します。
ネットで調べてみても、大半は「ICSを無効にしなさい」という類の情報しか見つ
かりません。

当社で発見した「干渉するシステム」を記載しておきます。

一見エラーも出ず接続されIPアドレスも取得できているのに、全く通信できない。
⇒ヤマハのVPNソフト(YMS-VPN8)

接続しようとすると、ユーザー名、パスワード入力の後、
"The VPN client driver encountered an error. Please restart your computer or device,then try again."

"AnyConnect was not able to estabilish a connection to the specified secure gateway,Please try connectiong again."
が出て、接続出来ない
⇒HP製ノートPCにインストールされている「HP Protect Toolsデバイスロック/監査」

他にも干渉するものが分かったら、順次、追記します。


posted by まさ at 13:26| Comment(2) | その他
システム管理者日記」の先頭へ