none
RADIUSサーバとActive Directory証明書サービスを別サーバで構成する方法 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在2003サーバーの移行テストを行うため色々とテストをしているのですが、

    現在のサーバー構成ですとRADIUSサーバとActive Directory証明書サービスが別サーバーで稼働しているのですが

    同じ構成をつくろうといろいろ設定しているのですが、認証方法で「EAP(PEAP)」を選ぶと「この拡張認プロトコルで使用できる証明書が見つかりませんでした。」

    と表示されてしまいます。

    現在稼働中の環境は 両サーバともに WindowsServer 2003 Standard SP2

    新しい環境は 両サーバともに WindowsServer 2012 

    ネット上にある情報だと大体同じサーバーに証明書サービスを置いていたり、そのあたりの記述が簡素なため解決できませんでした。

    RADIUSサーバとActive Directory証明書サービスを別サーバで構成する方法はあるようなのですが、方法については記述がなかっため

    ご存知の情報がございましたらご教授ください。

    よろしくお願い致します。

    2014年3月18日 10:26
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    いろいろとありがとうございます。

    解決しましたのでご報告させて頂きます。 

    簡単にいうとNPSサーバーに証明書がインポートされてなかったためでした

    CiscoのHPの「証明書のインストール」という項目の手順で証明書を要求したところ NPSの「認証方法の構成」を設定できるようになりました。

    http://www.cisco.com/cisco/web/support/JP/111/1119/1119742_115988-nps-wlc-config-000-j.html

    証明書サービスとNPSサーバーが同じサーバーだとしなくて良い手順なので、ほとんどのサイトで書かれてなかったようです。

    ご教授ありがとうございました

    • 回答としてマーク 佐伯玲 2014年3月20日 8:20
    2014年3月20日 6:20
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、したのページの情報を「読み替え」することで、手順はわかると思います。(これ以上わかりやすい情報はみつけられませんでした)

    http://d.hatena.ne.jp/thinkAmi/20100926/1285511910

    うえのページの各作業番号を、したのように読み替えます。直接関連するところ以外は割愛してあります。

    • 1,3,4→証明書サービスをインストールしたサーバ
    • 2,6,7→NPSをインストールしたサーバ
    • 5,9→ドメインコントローラ

    この資料は1台のサーバに全部盛りですが、やっていることは複数展開のパターンと同じです。RADIUS用のサーバ証明書をテンプレートから作成してグループポリシーで発行した場合、(ここでは)「RAS and IAS Servers」グループのコンピュータのみに証明書がインストールされます。(資料では)「RAS and IAS Servers」がドメインコントローラなのでこれが対象になっていますが、別マシンにNPSをインストールした場合そのマシンが対象となるはずです。実際のGUI画面については、したのページが参考になると思います。(ユーザ証明書用なのでここは読み替える必要があります)

    http://ascii.jp/elem/000/000/535/535540/index-2.html

    • 回答の候補に設定 佐伯玲 2014年3月20日 0:34
    2014年3月19日 1:59
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご返信ありがとうございます!

    ご紹介頂いたサイトを拝見しました。

    旧と同じ環境でその作業をすると、証明書サービスをインストールしたサーバーが Windows2003 SP2 Standard Editionのため

    該当の証明書のテンプレートが追加できません・・・

    しかしStandard Editionだとしても、証明書の自動配布ができないだけで、クライアントに手作業で証明書をインストールすれば

    稼働するように思えますので、問題はそこではないようなので スルーして

    一つずつ見て設定はしてるのですが、 やはりNPSの「認証方法の構成」時にエラーが出て来ます。

    となると証明書サービスが見えない状態なのかもしれません・・その観点でちょっと調べたいと思います。

    結果が分かり次第再度報告させていただきます。

    ありがとうございました。

    2014年3月19日 3:40
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    PEAPのサーバ証明書には以下の仕様が必要です。これにあっているテンプレートを選んでいただく必要があるでしょう。

    http://technet.microsoft.com/ja-jp/library/cc731363.aspx

    また、サーバ証明書が配布されたかどうか現物を確認したい場合、証明書スナップインの「ローカルコンピュータ」の「個人」ストアを見ていただくといいのではないでしょうか。

    ところでWindows Server 2003での証明書サービスは「スタンドアロン」なのでしょうか?スタンドアロンの場合サーバも含めて「証明書の自動配布」は確かにできませんが、2012ではStandardも「エンタープライズ」で証明書サービスは構成できますので、もし可能であれば試していただくとよいと思います。

    • 回答の候補に設定 佐伯玲 2014年3月20日 0:34
    2014年3月19日 4:33
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    いろいろとありがとうございます。

    解決しましたのでご報告させて頂きます。 

    簡単にいうとNPSサーバーに証明書がインポートされてなかったためでした

    CiscoのHPの「証明書のインストール」という項目の手順で証明書を要求したところ NPSの「認証方法の構成」を設定できるようになりました。

    http://www.cisco.com/cisco/web/support/JP/111/1119/1119742_115988-nps-wlc-config-000-j.html

    証明書サービスとNPSサーバーが同じサーバーだとしなくて良い手順なので、ほとんどのサイトで書かれてなかったようです。

    ご教授ありがとうございました

    • 回答としてマーク 佐伯玲 2014年3月20日 8:20
    2014年3月20日 6:20
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    解決したのなら、よかったです。余計なお世話とは思いますが、一つだけ注意点を。

    CiscoのHPの「証明書のインストール」という項目の手順で証明書を要求したところ NPSの「認証方法の構成」を設定できるようになりました。 http://www.cisco.com/cisco/web/support/JP/111/1119/1119742_115988-nps-wlc-config-000-j.html

    この資料には「10.[Domain Controller] を選択し、[Enroll] をクリックします。」とあって、「ドメインコントローラ証明書」を使うように指示していますが、厳密にいうとセキュリティ的には問題があります。「ドメインコントローラ証明書」はドメインコントローラが正しくソレである、ことを証明するもので、それ以外のサーバに流用した場合、証明書として嘘をついていることになります。ドメインコントローラでないものをドメインコントローラと証明するというのはセキュリティ的によろしくないですし、万一クラックされて証明書を持ちだされた場合、(通常のサーバ証明書より可能な認証役割がたくさんついているので)問題が大きくなります。

    CISCOの例は手順を最小化すること+Windows Server 2008ではエディションによって証明書テンプレートが管理できないものがあること等を念頭に作られたものなのかなぁ、と思っています。Windows Server 2012の場合であれば、この方法がベストなものでは必ずしもない、ということは心に留めておいていただいてもいいのかなと、と個人的には思っています。

    追記:紹介した手順では「インポートできていなかった」というところで、もしやと思い再確認したところ、手順5の条件(NPSサーバが「RAS and ISA Servers」に入る)を満たすためには[ネットワークポリシーサーバー]スナップインの[NPS(ローカル)]を右クリックして"Active Dirctoryにサーバーを登録"を行う必要がありますね。これ(このグループのメンバーであること)を満たすとグループポリシーによる自動配布も問題なく行えるようになるはずです。

    2014年3月20日 9:54
    |
    モデレータ