blog.akimasa.jp

前提としてMicrosoft 365 テナントのEntraでは条件付きアクセスで準拠したデバイス[デバイスは準拠としてマーク済みである必要があります]を要求している。

1年前にセットアップしたデバイスでは上記の条件付きアクセスが有効でも問題なく認証が通った。一方で最近セットアップしたデバイスではサインインのエラーコードが530003になってしまい、認証が通らない。TeamsやOutlookでは認証が通るが、SafariでOutlook on the webを開いたり、kintoneのようなEntra IDでSSOを行うアプリでは530003となってしまう。ユーザーにはIntuneポータルサイトアプリを開いてコンプライアンス状態を確認するように指示される。が、ポータルアプリでは「会社のリソースにアクセスできます」と表示されて特に問題はなさそうに見える。

さらに詳しく調査したところ、iOSの「設定」＞「一般」＞「VPNとデバイス管理」＞「Management Profile」を開くと1年前にセットアップした正常なデバイスではSCEPデバイスID証明書(2)と表示される。問題のある最近セットアップしたデバイスでは(2)がなく、証明書が1つしか登録されていない。正常なデバイスではSCEP Profile -が先頭にありUUIDが続く証明書が構成プロファイルに入っていた。発行者名はMS-Organization-Access.windows.netとなっていた。正常なデバイスではこのクライアント証明書で準拠したデバイスとして認証されているのではないかと思われる。最近セットアップしたデバイスにはこの証明書が存在しなかった。

IntuneでMicrosoft Enterprise SSO plug-inを有効にした構成プロファイルを配信した上で、SSOを行いたいアプリもこのプラグインの対象としたところ、正常に認証が行えるようになった。

https://learn.microsoft.com/en-us/intune/intune-service/configuration/use-enterprise-sso-plug-in-ios-ipados-with-intune?tabs=prereq-intune%2Ccreate-profile-intune

新しく登録したデバイスではSSOを行えなくなった変更が行われた時期は不明だが、今後利用する上では上記の設定を有効にする必要があるようだ。

所属先で新卒の採用活動を行っている。一次面接を担当していて、優秀な学生が多く来るものの力を発揮できずに残念ながらお断りとなる事例が多い。もったいないと思い、記事を書いてみた。

緊張して話せない

落とされ続けてやられているのか、非常に緊張していて話せない学生がいた。自分の中では採用面接はお互いに自分の求めている条件を満たしているか確認する場だと思っている。条件が合わないので断るのは仕方がないことではあるが、条件を確認できずにお断りとなるのはもったいない。もう少し自信をもって自分の素を出してもよいので話せると良いと思う。条件が合わなくて落ちるときは落ちるので正直に話したほうが後々のためでもある。

幅広い業界に応募している

学生の時、同じ授業を受けている人で面接受けた会社のほぼすべてに通っていた人がいた。その人はこれと全く逆の戦略をとっていて、バイト経験のある家電量販店に絞って応募していた。採用面接をするまで、これがいかに有利になるのか理解できていなかったが、面接を行うことでいかに効果が高いのかよく分かった。採用する側としては入社してきた新卒が会社に定着するか、仕事を楽しんで行ってもらえ続けるのか割と重視している。少なくとも自社の事業に対して興味を持っている。できれば、自社の事業のようなバイトをやっていたことがあり、楽しく続けられたことをアピールしてくれると、その辺は大丈夫だろうと通す理由をつけやすくなる。幅広く応募していると、当社の仕事に向いているアピールが薄くなりがちに思える。

ざっと思いつくのはこれくらいだが、記事にしてみた。

自分に向いていない仕事に就いてあまり実力を発揮できずに低空飛行してしまうのは会社にとっても自分にとってもお互いにお金と時間を無駄にしてしまう。是非とも就職の面接でしっかり話して自分の求める条件だったり、自分のやりたいことのできる会社に就職してほしい。とはいえ、完璧に自分の理想的な会社を見つけることは困難で妥協することもあり、ある程度はミスマッチが生じて転職することになるのはやむを得ないかもしれない。やってみないとわからない部分も多い。新卒採用は会社にとっても新卒にとっても結構博打なところがあるように思える今日この頃であった。

自分の所属先の場合、囲い込みのためか会社説明会の直後に一次面接を行っている。このようにすると、確かに面接に来る率は非常に高いものの、会社説明会を受けて「あ、自分の思っていたのと違う」と感じて面接を辞退する人が皆無だった。ミスマッチを感じても迷わず辞退を行えないのもお互いに時間を無駄にしている感が否めない。採用はお互いに条件を確認する場であって対等なので学生側も何か違うと思ったら遠慮せずに断ってもらえるように学校で指導してほしい。

フレッツ光クロスを引いて1年以上経った。ひかり電話の提供が始まったので、HGWであるXG-100NEを設置している。訳があってGREトンネルを使った通信を行ってみたのだが、tcpdumpでキャプチャしても全くパケットが来ない。対向ルーターの受信パケットカウンタも全くカウントが上がらず、こちら側も全く受信できていない事象が発生していた。

調べたところXG-100NEの技術情報に重要なことが書いてあった。

＊1 TCP、UDP、IP in IP（IPv4 over IPv6）のみハードウェア転送（⾼速転送）対象です。その他のプロトコルはソフトウェア転
送（通常転送）となります。

＊2 フレッツ光クロス網内・SNI・VNE 通信、下部装置からの IPv4 over IPv6、下部 VPN ルータからの通信を含みます。ただし、
GRE パケットは通過しません。

https://www.ntt-west.co.jp/kiki/download/flets/xg100ne/XG-100NEseries_ADPman_202311.pdf#page=15

なんと、GREパケットを透過してくれない仕様になっている。これは通信できなくて当然だ。

仕方がないのでGREトンネルではなくIPIPトンネルを使うことで回避した。以前はEtherIPで通信して速度があまり出なかったが、IPIPトンネルを使ったためHGWでハードウェア転送が行われているためか速度が向上している気がする。

電源を入れたら突如「問題が発生しました。サポート担当者に問い合わせてください。」とのメッセージが表示されてログインできず、何もできなくなってしまった。できることと言ったら、電源長押しでシャットダウンさせるくらい。これでは使い物にならないので回復を使って再インストールを行った。

再インストールの手順はMicrosoftのサイトに用意されている。今回はWindows 10 Teamsに回復したが16GBのUSBメモリで足りた。Windows 11に回復する場合は32GB必要そうだった。

https://learn.microsoft.com/ja-jp/surface-hub/surface-hub-recover-reset

回復の際はBitLocker回復キーが必要になる。幸い、デバイスはActive Directoryの管理下にあったため、ユーザーとコンピューターのコンピューターアカウントのプロパティから回復キーを見つけて入力した。入力の際は画面下部にテンキーが表示されるが、反応が悪くタッチしても入力されないことがしばしばあった。何度かタップを繰り返しつつ回復キーを入力し、回復を進めていった。

回復が無事完了したらログインできた。ただし、Windows Updateが当たっていないためまずはWindows Updateを実行する。その後、設定のアプリからMicrosoft Storeを開いて最新のTeamsに更新した。これで、使える状態になった。

今年度の初めに作成し、自分の独自ドメインに紐づけしたMS365テナントがあったのだが、無料試用期間の終了後に放置していた。MFAはMicrosoft Authenticatorで電話番号を登録していなかったのが敗因だった。iPhoneを故障で買い替えてしまい、Authenticatorの再設定が必要になり、そのまま放置していた。どうせ使わないテナントなので消えても良いと思って放置していたのだが、お金を払っていなかったり使っていないからと言ってテナントは消滅せずにその場に残り続けるようだ。新たにテナントを作って元のドメインを紐づけしようとしたら見事に使用中とのことで登録できず。

仕方が無いので新しいテナントでサポートに投げたら電話で古いテナントからサービスリクエストをあげてほしいと言われた。受付で確認の上、専門部署から連絡が来た。本人確認のために登録時の住所など確認された。登録時に普通の住所で登録しておいたのが正解だった。本人確認まで終えることが出来た。本人確認ができない最悪の場合でもTXTレコードを設定してドメインの所有確認を行えば紐づけは外せるとのことだった。今回はおそらくMFAの解除を行ってもらい、ログインできるようになる見込みだ。

友人と東京九州フェリーに乗ったのだが、その際にStarlinkの利用を試みた。
結論から書くと、沖合では利用できず、陸地の近くで利用可能な場合があった。

フェリー乗り場までは小倉駅発の連絡バスがあり、それに乗って向かった。
22時発なので時間つぶしに困った。
店がほとんど閉まっており、結局サイゼリヤで時間を潰していた。
間違い探しを全部見つけることが出来た。

バルコニー付の部屋を取っており、乗船してすぐに試した。
部屋にはアース付きのコンセントがあるので、Starlinkの電源アダプターでも普通にさせる。万が一に備えて2ピンアダプタやアース無しのケーブルを持ってきていたが…
結局、出番はなかった。
港ではなんてことなく、普通に使えていた。速度も100Mbps以上は出ていた。
ちなみに、陸上では300Mbpsを叩き出していた。
ポータビリティでも田舎だと利用者が少なくて速度が出やすいのかもしれない。

台風が来るとか来ないとか言われており、前日の便は欠航になっていたくらいだったため、デッキが閉鎖されるんじゃないかと心配していたものの解放されており自由に出ることが出来た。デッキだと空がよく見えるので、途切れなく通信できる。

沖合に出てから起動してみたところ、Searchingのままで全く使えず。

陸地が近いと、そこそこ使える。速度も100Mbps以上は出た。

せっかくの衛星通信だが、現段階では海上はサービスエリア外という結果だった。
携帯電話のアンテナピクトがすべて立つくらい陸地に近づくとStarlinkも通信できる。
現時点のStarlink海上エリアは携帯電話と変わらないか劣る程度のようだ。
ただし、利用者が皆無なので速度は圧倒的に速く、空が見えれば安定している。
docomo、au回線を使うと10Mbps程度しか出ないがStarlinkでは100Mbps以上を出してくれた。

海上エリアが広がったら試したいところだが、初期の丸型アンテナは携帯用ではないので、これ以上運ぶのは勘弁だ。それに移動中の利用は保証外だし。

会社でNURO Bizが導入され、品質がそこそこ良かったため、自宅(戸建て)でもNURO光を導入してみた。が、個人向けは安価な分、品質も劣るかバラツキがある印象を受けた。契約から開通まで2か月以上かかり、初期契約解除が使えないのは悪質だと思う。もっとも、品質が低下したのは契約から3か月経った今なので初期契約解除も3か月無料解約特典プランも使い物にならない。
調子のいい時に速度測定を行ったときの結果は以下の通り。上りが400Mbps程度しか出ないが、限界の様だ。NUROの調子が悪いときはフレッツのPPPoEの方がRTT、速度共に良いことがある。スピードテストでは差が出ないが、Webサイトの閲覧では差が出ることもある。タスクマネージャー読みでスループットが出ていない様だ。フレッツに戻すと速くなるので多分NUROのバックボーンが細い。

NUROは下り941Mbps、上り419Mbpsほどだった。

フレッツ回線(PPPoE)の場合、 下り247Mbps、上り594Mbpsだった。今は解約してしまったが、excite.BBのIPoEの場合だと下りの速度はもっと出ていた。

NUROを引いて得られたメリットは以下の通り

• RTT低下（IPoEは10ms程度あった）
• 会社へVPN(IPSec NAT-T)接続したときの安定性向上（IPoEは何故か1Mbpsしか速度が出ず、PPPoEにしたとしても頻繁に切断された）
• IPoEと異なり、サーバー公開できる

会社のNURO Bizは上り下りともに800Mbpsくらい出ることがあって快適だったが、個人向けNUROではフレッツより上りが遅いという結果になった。また、顧客とTeams会議を行った際に相手の音声が途切れ途切れで何言っているかわからない人がいたが、後で話を聞いたらその人も戸建てでNUROだった。地域によっては品質が低く、特に上り速度に大きな制限がある場合がある様だ。

追記: 今だと最新の累積更新プログラムを適用すると解決する様だ

Linuxネタが多かったが働き始めるようになってからなかなか趣味で触っている暇が無くて書けていない。仕事で遭遇した日本語情報が無い共有できそうなネタが出てきたので書いてみる。自分の書いた記事を改めて読み返すと…。仕事の関係者が読んだら個人が特定できそうだな。

Windows Updateが当たったらログイン後にExplorerが瞬時に落ちては再起動が繰り返すようになってしまった。デスクトップは一瞬だけ表示されては真っ暗になりを繰り返す状況で全く使い物にならない。

とりあえずは最新のパッチのKB5006667を消したら解決した。が、すぐに自動適用されて元通りになってしまうし、適用しないとセキュリティ的にもよろしくない。

Explorer.exe keeps crashing every 3 seconds in Windows 10

上記のサイトにKB5006667を消すよりはマシな回避策があった。

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Feeds\
上記のパスにある次の ShellFeedsTaskbarViewMode キーを2に書き換える。
そうすると、ニュースと関心事項が無効化されてExplorerが瞬時に落ちる現象が起こらなくなる。

早速実行したが、自分の遭遇した問題が起こっている環境ではregeditがドメインユーザーで封じられていた。仕方がないのでwhoami /allコマンドでユーザーのSIDを取得。ローカル管理者にアクセスすることはできるので、runas /user:PC名\ローカル管理者 cmdでとりあえずローカル管理者のコマンドプロンプトを起動。regedit起動したらローカル管理者の管理者権限に昇格したレジストリエディタが起動する。ドメインユーザーのHKEY_CURRENT_USER\はHKEY_USERS\先ほど調べたSID\と同じなので、HKUからドメインユーザーのHKCUにアクセスして書き換えを行った。

無事に瞬時のExplorer強制終了と再起動は起こらなくなった。

そのPCのメインユーザーは問題なく使えるが、別ユーザーが使った際にExplorerが瞬時に起こる現象が再発するので、これはなんとかしたい…

タイトル通りの現象が起こっていた。
結論から言うと、MTUやMSSの設定が不適切のためだった。

FortiClientでFortigateにVPN接続を行ったところ、最初は問題無いのだがしばらくすると、HTTPSでアクセスしていたページを読み込まなくなり、真っ白になるか、ERR_EMPTY_RESPONSEのエラーが出る。ググったらESETが原因の疑いがあるとのことなので切ってみたが、変わらずだった。

更に調べたところ、FortigateのKnowledge Baseに情報があった。
FortiGateのWeb設定画面でもしばらくすると正しく表示されない現象が起きていたので、これの原因を潰していけばもしかしたらと思った。
https://kb.fortinet.com/kb/documentLink.do?externalID=FD34688

これによれば原因としてはいくつかあるらしい。

インターフェースでHTTP/HTTPSアクセスを許可しているかについては、最初はアクセスできているので関係ない。
trusted hostは設定していないので今回は該当しない。
HTTPSのポート設定も変えていないし、サーバ証明書も関係なかった。VIPも違った

3) MTU along the pathが今回の原因だった。

VPN接続を待ち受けているインターフェースのMTUを

set mtu-override enable
set mtu 1454

とフレッツに合わせてデフォルトの1500から縮小した。
その後は問題無く使えるようになった。

ポリシーでMSSを下げても同じようにうまく動くらしいが、自分の環境ではダメだった。

自宅の回線がフレッツで、FortiClientがうまいこと認識してくれなかったため、会社のインターネット回線のMTU 1500で送られてきてロスでも起きたようだ。

IPSecだとMTUが大きすぎても勝手に分割とかしてくれないんだろうか。よくわからぬ。

同じ問題に遭遇している人がいたようだ。
https://www.linkedin.com/pulse/fortigate-mtu-tcp-mss-troubleshooting-guy-greenshtein

WSUS配下にPCを入れたのは良いがWindows Updateが行われなくて丸1日がつぶれてしまった。

結論から言うと、DisableDualScanキーをレジストリに追加すると直った。

0x8024002E WU_E_WU_DISABLED 非管理サーバーへのアクセスは許可されていません。

エラーリファレンスによれば上記のような説明だったが、いまいち意味がよくわからなかった。

エラーが出ているPCで次のコマンドを実行すると、下記のような結果が出てくる。(PowerShellで実行する）

(New-Object -ComObject “Microsoft.Update.ServiceManager”).Services |select Name, IsManaged,IsDefaultAUService

Name                      IsManaged IsDefaultAUService
----                      --------- ------------------
DCat Flighting Prod           False              False
Windows Store (DCat Prod)     False              False
Windows Server Update Service      True              False
Windows Update                False               True

何かがおかしい。別の正常にアップデートが行えるPCではWindows Server Update Service True Trueだった。

Win10 machines can’t talk to WSUS after May update from sysadmin

上記のURLを参考にして HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate に DisableDualScan=dword:00000001というキーを追加すると問題なくアップデートできるようになった。このキーを追加して前述のコマンドを実行すると Windows Server Update Service True True になるようだ。ちなみに、グループポリシーでも同じレジストリを追加することが可能らしいが、検証は行っていない。「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」というグループポリシーが同じレジストリキーに該当する様だ。