none
管理ポイント(MP)のhttp/https共存に関しまして RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    いつも参考にさせていただいております。
    管理ポイント(MP)のhttp/https共存に関しまして、ご質問させていただきます。

    以下のクライアントがあるとします。
    どちらも正常ステータス、動作確認済みです。
    ・http構成時にエージェン手動トインストールしたクライアントA
    ・https構成時にエージェントプッシュインストールしたクライアントB

    https構成のSCCM環境において、一時的にhttpも含めたい場合、
    以下の設定が必要かと思います。

    「管理」-「概要」-「サイトの構成」-「サイト」-「プロパティ」
    ●HTTPSまたはHTTP

    「管理」-「概要」-「サイトの構成」-「サーバーとサイトシステムの役割」-「対象サーバー」-「管理ポイント」-「プロパティ」
    ●HTTP

    この場合、クライアントAのConfiguration Managerを確認しますと、
    クライアント証明書が無いのでMPが割り当てられませんでした。

    これはサイトのプロパティにて、
    「使用可能な場合はPKIクライアント証明書を使用する」にチェックが入っているからでしょうか。
    クライアントAにもクライアント証明書は必要なのでしょうか。

    また、MPのプロパティで[HTTP]に変えた場合、
    今度はクライアントBが通信取れなくなるのではないでしょうか。
    結果として、MPという観点においてはhttp/httpsの共存は出来ないのでしょうか。

    何卒お力添えいただきたく存じます。
    ご協力お願いいたします。

    以上、よろしくお願いいたします。
    2019年6月19日 2:28
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    基本的に記載頂いた以下の設定であれば、クライアント証明書の有無 (仰ってるhttp/https構成のクライアント) に関わらず http で通信可能となる認識です。

     

    「管理」-「概要」-「サイトの構成」-「サイト」-「プロパティ」

    ●HTTPSまたはHTTP

     

    「管理」-「概要」-「サイトの構成」-「サーバーとサイトシステムの役割」-「対象サーバー」-「管理ポイント」-「プロパティ」

    ●HTTP

     

    また、「使用可能な場合はPKIクライアント証明書を使用する」については、文字通り使用可能であれば PKIクライアント証明書 (ADCS 等から発行されている証明書) を使う事を意味する設定ですので、PKI クライアント証明書が無ければ自己署名証明書を使用します。そもそも、PKIクライアント証明書を使用して接続に失敗した場合は、自己署名入り証明書を用いて http 接続を試みるのが通常の動作です。

     

    PKI クライアント証明書の選択の計画

    https://docs.microsoft.com/ja-jp/sccm/core/plan-design/security/plan-for-security#BKMK_PlanningForClientCertificateSelection

    ==================以下抜粋====================

    クライアントの動作は、失敗した接続が HTTPS 経由または HTTP 経由のいずれであるのかによって異なります。

    • 失敗した接続が HTTPS 経由の場合:クライアントは、クライアントの自己署名入り証明書を使用して HTTP 経由で接続を試みます。
    • 失敗した接続が HTTP 経由の場合:クライアントは、自己署名入り証明書を使用して HTTP 経由で接続を再度試みます。

    ============================================

     

     

    検証時、クライアントA に管理ポイントが割り当てられなかったとの事ですが、それらはどのログやステータスで確認されたのでしょうか?

    また、管理ポイントの割り当ては OS起動時(ccmexec起動時)、ネットワーク構成の変更時、25時間毎などのタイミングでのみ行われますので、検証する際はサーバー側の構成変更後しばらくしてからクライアントを再起動し、LocationServices.log あたりを確認して管理ポイントが割り当てられているか確認するのが確実かと思います。

    • 回答としてマーク aimar10 2019年6月20日 1:24
    2019年6月19日 12:56
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    基本的に記載頂いた以下の設定であれば、クライアント証明書の有無 (仰ってるhttp/https構成のクライアント) に関わらず http で通信可能となる認識です。

     

    「管理」-「概要」-「サイトの構成」-「サイト」-「プロパティ」

    ●HTTPSまたはHTTP

     

    「管理」-「概要」-「サイトの構成」-「サーバーとサイトシステムの役割」-「対象サーバー」-「管理ポイント」-「プロパティ」

    ●HTTP

     

    また、「使用可能な場合はPKIクライアント証明書を使用する」については、文字通り使用可能であれば PKIクライアント証明書 (ADCS 等から発行されている証明書) を使う事を意味する設定ですので、PKI クライアント証明書が無ければ自己署名証明書を使用します。そもそも、PKIクライアント証明書を使用して接続に失敗した場合は、自己署名入り証明書を用いて http 接続を試みるのが通常の動作です。

     

    PKI クライアント証明書の選択の計画

    https://docs.microsoft.com/ja-jp/sccm/core/plan-design/security/plan-for-security#BKMK_PlanningForClientCertificateSelection

    ==================以下抜粋====================

    クライアントの動作は、失敗した接続が HTTPS 経由または HTTP 経由のいずれであるのかによって異なります。

    • 失敗した接続が HTTPS 経由の場合:クライアントは、クライアントの自己署名入り証明書を使用して HTTP 経由で接続を試みます。
    • 失敗した接続が HTTP 経由の場合:クライアントは、自己署名入り証明書を使用して HTTP 経由で接続を再度試みます。

    ============================================

     

     

    検証時、クライアントA に管理ポイントが割り当てられなかったとの事ですが、それらはどのログやステータスで確認されたのでしょうか?

    また、管理ポイントの割り当ては OS起動時(ccmexec起動時)、ネットワーク構成の変更時、25時間毎などのタイミングでのみ行われますので、検証する際はサーバー側の構成変更後しばらくしてからクライアントを再起動し、LocationServices.log あたりを確認して管理ポイントが割り当てられているか確認するのが確実かと思います。

    • 回答としてマーク aimar10 2019年6月20日 1:24
    2019年6月19日 12:56
    |
  • Question
    サインインして投票
    0
    サインインして投票
    Lapivy 様

    ご返答ありがとうございます。
    内容に関しまして、了解いたしました。

    >検証時、クライアントに管理ポイントが割り当てられなかったとの事ですが、それらはどのログやステータスで確認されたのでしょうか?
    ログでは確認しておらず、Configuration Managerのプロパティの全般タブにて、
    「クライアント証明書」が「なし」、
    「割り当て済み管理ポイント」が「その項目自体が無し」からの判断でした。
    また、25時間常時接続はしておりません。
    未確認で恐縮ですが、おそらく一般的な営業時間内(10時~20時の間で起動)かと思われます。

    ご教示いただきましたログ等を次の機会にでも確認いたします。
    改めて、ありがとうございました。
    2019年6月20日 1:24
    |