none
AD証明機関について RRS feed

  • 質問

  • AD環境の証明機関についてお聞きしたいことがあります。

    まず、Actinve Directoryの構成を簡単にご説明します。

    現在、ドメインコントローラを3台設置しており、内2台がwindows server 2016(以下2016DC)、1台がwindows server 2008 R2(以下2008DC)という構成です

    2016のDCにNPSを追加してワイヤレスコントローラのAD認証に使用し、2008のDCには「認証機関」がインストールされております。

    クライアント端末がドメインに参加した際は必ず、2008のDCの証明書が「信頼されたルート~」に入ります。

    また、クライアント端末を無線に接続する際ですが、MAC端末のみAD認証を行った後、2016DCの証明書(発行元は2008DC)をインストールされます。(Windows端末はドメインに参加した上でAD認証のみ

    上記についての質問事項を下記にまとめさせて頂きます。

    ご教示いただけますと幸いです。

    ①クライアント端末に証明書がインストールされる理由はドメイン参加したからでしょうか?

    ②無線接続時にMAC端末のみに証明書がインストールされるのは、NPSでそのような挙動になる設定がされているためでしょうか?または、MACOSの仕様上のものでしょうか?

    ③2008DCはサポート切れを考慮して廃止予定ですが、上記構成の場合、証明機関の移行は必要でしょうか。

    2019年7月18日 7:00

すべての返信

  • チャブーンです。

    この件ですが、端的にお答えすると、したのようになると思います。

    1. はい。それは「証明機関」に関する情報がActive Directoryに登録されて、紐づいているためです。
    2. おそらく、MacOS側の仕様だと思います。Windows証明機関やNPSが勝手に証明書をインストールすることはなく、クライアント側からの要求によって、初めて発行されます。MacOS側で要求しているからだと思います。
    3. 証明機関がインストールされたサーバーを別のOSで使いたい場合、「移行」が必要です。それについては、以下の過去ログをご覧になってください。
      https://social.technet.microsoft.com/Forums/ie/ja-JP/5284b2d6-2f60-474d-9e71-d1f1917e036b/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月19日 9:05
  • ご回答ありがとうございます。

    ①②について追加で質問させていただきますので、ご教示いただけますと幸いです。

    ①についてですが、クライアントに証明書がインストールされるのは「証明機関」による挙動という理解でよろしいでしょうか。

    ②についてですが、2008DCを廃止した場合はMacOSは無線接続はできないと考えられますでしょうか。

    上記質問の意図は現行の証明機関がなくなった際に、影響がないかを知りたく、それによって証明機関の移行をした存じます。

    以上、よろしくお願い致します。

    2019年7月22日 5:01
  • チャブーンです。

    ①についてですが、クライアントに証明書がインストールされるのは「証明機関」による挙動という理解でよろしいでしょうか。

    質問の意味に分からない点がありますが、「証明書を要求」するのは常にクライアントが行うことであり、証明機関側は何もしません。ドメインに参加したクライアントはActive Directoryに登録されている証明機関があれば、それをインストールすることを要求し、証明機関側は要求に従った払い出しを行っている理解です。要求がなければ何もしないでしょう。

    ②についてですが、2008DCを廃止した場合はMacOSは無線接続はできないと考えられますでしょうか。

    証明機関が行うことは、「証明書の定義・発行」と「発行した証明書の有効性情報の提供」の2つです。「新規の」MacOSが今後増えるのであれば、証明書発行が必要なため、証明機関がないと無線接続ができなくなります。すでに接続済みMacOSですが、「発行した証明書の有効性情報」はCRLという証明書で行うのですが、この証明書が正しく管理できないと(証明書の有効性が確認できないため)接続ができなくなります。また無線接続の証明書にも有効期限があり、永く使うには証明書の更新が必要ですので、証明機関がなくなると「大いに困る」ことになるでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月24日 4:53
  • フォーラムにご投稿くださいましてありがとうございます

    後から検索で回答を探しやすくなるため、参考になった回答には [回答としてマーク] をお願いします。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 5:28
    モデレータ