Remove From My Forums

マルチフォレスト、マルチドメインでの証明書展開に関しまして。

質問
0

サインインして投票

いつも参考にさせていただいております。
マルチフォレスト、マルチドメインでの証明書について、
発行方法のご確認となります。

以下の環境と仮定します。
・フォレストAドメインAにADCS有り。
・フォレストBドメインBにクライアント有り。
・フォレストBからフォレストAへ片方向信頼関係有り。

[No.1]
・マルチフォレスト、マルチドメイン環境での証明書展開は、
双方向信頼関係が前提でしょうか。

[No.2](※[No.1]条件クリアの場合)
Enterprise CAの場合、
ドメインBのクライアントへルート証明書やクライアント証明書を、
GPOで展開可能でしょうか。
GPO以外では何か方法があるのでしょうか。
MECM(SCCM)やLanScope等のデバイス管理ソフトウェアの配布機能といったところでしょうか。

[No.3](※[No.1]条件クリアの場合)
Standalone CAの場合、
ドメインBのクライアントへルート証明書やクライアント証明書展開は可能なのでしょうか。

手元に検証環境が無いこともありまして、ご連絡させていただきました。
何卒お力添えいただきたく存じます。

以上、よろしくお願いいたします。

2020年12月16日 7:22

返信

|

引用

回答

0

サインインして投票
チャブーンです。

この件ですが、SCCMの視点ではわからないのですが、一般的なAcitve Directoryレベルでよければ、コメントします。

結論として、双方向の信頼は必要です。したの資料の該当箇所に「アカウントフォレストとリソースフォレストの双方向信頼は必須だが、アカウントフォレスト間(複数のアカウントフォレストがあるケース)の信頼は不要です」とわざわざ書いてあります。

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955845(v=ws.10)?WT.mc_id=EM-MVP-8322

----
Alternatively, a resource forest can be used solely for management of account forests and hosting AD CS for cross-forest enrollment. Two-way trusts between the resource forest and each account forest are required but trust relationships between account forests are not required for cross-forest enrollment.
----

残念ながらスタンドアロンCAの場合、自動的に証明書を配布するしくみはないようです。先に紹介した以下の資料も「Enterprise CA」が必須であり、スタンドアロンCAでは動作しません。

https://social.technet.microsoft.com/Forums/ja-JP/54d576f2-d6ac-4463-b543-aee0d11259c1?WT.mc_id=EM-MVP-8322

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP 2020年12月17日 7:07 内容の修正
- 回答としてマーク aimar10 2020年12月17日 7:45
2020年12月17日 6:53

返信

|

引用

すべての返信

0

サインインして投票
チャブーンです。

この件ですが、SCCMの視点ではわからないのですが、一般的なAcitve Directoryレベルでよければ、コメントします。

結論として、双方向の信頼は必要です。したの資料の該当箇所に「アカウントフォレストとリソースフォレストの双方向信頼は必須だが、アカウントフォレスト間(複数のアカウントフォレストがあるケース)の信頼は不要です」とわざわざ書いてあります。

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955845(v=ws.10)?WT.mc_id=EM-MVP-8322

----
Alternatively, a resource forest can be used solely for management of account forests and hosting AD CS for cross-forest enrollment. Two-way trusts between the resource forest and each account forest are required but trust relationships between account forests are not required for cross-forest enrollment.
----

残念ながらスタンドアロンCAの場合、自動的に証明書を配布するしくみはないようです。先に紹介した以下の資料も「Enterprise CA」が必須であり、スタンドアロンCAでは動作しません。

https://social.technet.microsoft.com/Forums/ja-JP/54d576f2-d6ac-4463-b543-aee0d11259c1?WT.mc_id=EM-MVP-8322

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 編集済みチャブーンMVP 2020年12月17日 7:07 内容の修正
- 回答としてマーク aimar10 2020年12月17日 7:45
2020年12月17日 6:53

返信

|

引用
0

サインインして投票

チャブーン様

ご返答ありがとうございます。
内容に関しまして、承知いたしました。

ご対応ありがとうございました。

2020年12月17日 7:46

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

マルチフォレスト、マルチドメインでの証明書展開に関しまして。

質問

回答

すべての返信