none
ADCSのデータ同期可否について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    本番環境と災対環境の2環境あります。
    それぞれの環境にADサーバを構築して、それぞれにADCSの機能を追加して、
    プライベート認証局とします。

    本番環境側のADサーバがFSMOを持ち、
    災対環境側のADサーバは追加のドメコンとなります。
    (本番、災対環境でワンドメイン)

    この環境において、プライベート認証局間で、
    データの同期を行うようなことは可能でしょうか?

    やりたいこととしては、
    各環境にプライベート認証局を構築するが、
    本番環境側のプライベート認証局をマスタにして、
    災対環境側のプライベート認証局はマスタのコピーとしたいです。

    そうすることで、クライアント証明書などを本番環境側だけで
    発行、管理することができると考えています。


    今回の要件としてクライアント端末を紛失した際に、
    該当するクライアント証明書を失効させて、
    アクセス不可とさせる必要があります。

    ADCSのデータ同期が不可の場合は、
    証明書失効操作をそれぞれの環境の認証局で実施する必要があると思います。

    データ同期できれば本番環境側だけで証明書失効操作をすればよいと考えています。

    このようなことが技術的に可能かどうかご教授いただけないでしょうか。
    宜しくお願いします。

    2016年5月10日 5:53
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、結果的に答えは「以前の回答」でお示ししている、状況という認識です。

    https://social.technet.microsoft.com/Forums/ja-JP/40a11bd1-01a6-4182-bf67-93ace0253f08/

    結論として、ADCSの冗長化は次のように行うようになります。

    • WSFCの機能により「仮想サーバ名(クラスタ名)」を用意する
    • WSFCの仮想サーバ名を使ってアクティブ側のサーバを構成する。その際「証明書データベース」は共有ディスクに展開するようにする
    • WSFCの仮想サーバ名を使ってパッシブ側のサーバを構成する。その際「証明書データベース」は共有ディスクのものを(マウント付け替えにより)共用するようにする

    発行した証明書の管理はすべて「証明書データベース」で行っていますが、これはオンラインのデータベースなので、コピーによるオンデマンド複製はできません。したがって共有ディスク上に展開して、必要時に切り替えるしかないのです。

    過去のご質問の経緯から「余計なサーバを追加構成したくない」「2台のドメインコントローラ上でムリにでも完結させたい」という意図をお持ちと認識していますが、冗長性を担保したいなら残念ながらムリです。うえにお示しした(英語の)資料をきちんとお読みいただければ、おそらくご理解いただけるという認識です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年5月12日 3:45
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、結果的に答えは「以前の回答」でお示ししている、状況という認識です。

    https://social.technet.microsoft.com/Forums/ja-JP/40a11bd1-01a6-4182-bf67-93ace0253f08/

    結論として、ADCSの冗長化は次のように行うようになります。

    • WSFCの機能により「仮想サーバ名(クラスタ名)」を用意する
    • WSFCの仮想サーバ名を使ってアクティブ側のサーバを構成する。その際「証明書データベース」は共有ディスクに展開するようにする
    • WSFCの仮想サーバ名を使ってパッシブ側のサーバを構成する。その際「証明書データベース」は共有ディスクのものを(マウント付け替えにより)共用するようにする

    発行した証明書の管理はすべて「証明書データベース」で行っていますが、これはオンラインのデータベースなので、コピーによるオンデマンド複製はできません。したがって共有ディスク上に展開して、必要時に切り替えるしかないのです。

    過去のご質問の経緯から「余計なサーバを追加構成したくない」「2台のドメインコントローラ上でムリにでも完結させたい」という意図をお持ちと認識していますが、冗長性を担保したいなら残念ながらムリです。うえにお示しした(英語の)資料をきちんとお読みいただければ、おそらくご理解いただけるという認識です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年5月12日 3:45
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、me.ma さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからのアドバイスはご覧頂けておりますでしょうか?
    ご参考になるアドバイスが寄せられていると思いますので「回答としてマーク」とさせて頂きました。
    ご確認頂けましたらご返信くださいませ。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年5月25日 7:18
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。

    ご案内頂いたURLを熟読いたします。

    2016年6月10日 3:40
    |