none
Active Directory証明機関サービスについて RRS feed

  • 質問

  • 無線認証(EAP-TLS)のため、ルート証明書とクライアント証明書を配布したいです。
    そのため、次の構成を組んでいます。
    ・WindowsServer2019を3台
    ・ドメインコントローラを導入
    ・証明機関サービスを導入
     エンタープライズCAを起動

    証明機関サービスでは次の作業をしています。
     証明機関サービスの証明書テンプレートから「管理」を選択
     表示されたテンプレート表示名から「コンピューター」を右クリック
      「テンプレートの複製」を選択
     サブジェクト名タブ
      「ActiveDirectoryの情報から構築」を選択
      「DNS名」を選択
     セキュリティタブ
      「Domain Computers」を選択後、
      アクセス許可で
       「読み取り=許可」「自動登録=許可」
    これにグループポリシは次は次の作業をしています。
     配布用のOUを作成し配布するコンピュータのDNS名を登録
     コンピュータの構成
       ポリシー
         Windowsの設定
           セキュリティの設定
             公開キーのポリシー
               証明書サービスクライアント - 自動登録
                 構成モデル=有効
                 有効期限が切れた~=チェック
                 証明書テンプレート~=チェック

    検証をするにあたり、本サイトを検索させていたところ、次の記事を見ました。

    件名: Active Directory証明書サービスについて
    https://social.technet.microsoft.com/Forums/ja-JP/ae519665-c9ab-4c0e-b992-4f22ba2e6769/active?forum=activedirectoryja

    この記事によると、
     ドメインコントローラにインストールは推奨しない
    と、ありました。
    これは、WindowsServer2019でも同様の話しなのでしょうか。

    同様だとした場合、
    ドメインコントローラではないサーバーでどのよにGPOを適用できるのでしょうか。


    よろしくお願いいたします。
    2022年8月15日 8:10

回答

  • はじめまして。
    ご質問下部にある "ドメインコントローラと証明機関" の同居に絞って記載します。

    >この記事によると、ドメインコントローラにインストールは推奨しないと、ありました。これは、WindowsServer2019でも同様の話しなのでしょうか。
    同様です。
    1つめの複数機能(ドメインコントローラと証明機関)の1サーバ同居による保守複雑化については、OSに依存しないサーバ保守を行う上での一般論となります。なお、検証用サーバであればコスト削減観点で、複数機能を1サーバに同居させるケースは多々あります。 

    2つめのドメインコントローラがメンバサーバへの降格ができない点も、Win2019も同様です。私で試してみたところ、以下画像のとおりAD CSがインストールされた状態では降格不可でした。


    >同様だとした場合、ドメインコントローラではないサーバーでどのよにGPOを適用できるのでしょうか
    こちらはドメインコントローラと証明機関の同居とは関係せず、GPOはドメインコントローラからのみ設定可能です。GPOの適用方法についてはWeb上に複数情報がありますため(以下例)、それらをもとに実施いただければと思います。
    グループポリシーの仕組み、理解できていますか?

    • 編集済み Zaamasu 2022年8月18日 3:15
    • 回答としてマーク ミナトン 2022年8月29日 1:27
    2022年8月18日 3:14
  • チャブーンです。

    この件ですが、本来私が答えるべきでしたでしょうか?Zaamasuさんの方から、解釈をいただいており、基本的にその通りとなります。AD CSはWindows Server 2008 R2以降は基本的に変わっていませんので、Server 2019でも同じです。

    念のためですが、

     コンピュータの構成
       ポリシー
         Windowsの設定
           セキュリティの設定
             公開キーのポリシー
               証明書サービスクライアント - 自動登録
                 構成モデル=有効
                 有効期限が切れた~=チェック
                 証明書テンプレート~=チェック

    これは、以下のサイトの内容を参考にされたのでしょうか?

    ASCII.jp:Windows Server証明書サービスを設定しよう (3/3)

    この設定はドメインコントローラー自体でやるのですが、この設定操作を行う場合に「証明書サービスがインストールされたドメインコントローラー」である必要はありません。証明書サービスが入っていないドメインコントローラーで設定することができます。このポリシーがどこに適用されるのかというと、

    配布用のOUを作成し配布するコンピュータのDNS名を登録

    「うえのOUに入っているコンピュータアカウント」への配布ということになる理解です。(正確に言うと配布するコンピュータのDNS名を登録ではなく、コンピュータアカウントの移動かドメイン参加前の設定を意味しているのだと思いますが)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ミナトン 2022年8月29日 1:27
    2022年8月19日 11:32

すべての返信

  • はじめまして。
    ご質問下部にある "ドメインコントローラと証明機関" の同居に絞って記載します。

    >この記事によると、ドメインコントローラにインストールは推奨しないと、ありました。これは、WindowsServer2019でも同様の話しなのでしょうか。
    同様です。
    1つめの複数機能(ドメインコントローラと証明機関)の1サーバ同居による保守複雑化については、OSに依存しないサーバ保守を行う上での一般論となります。なお、検証用サーバであればコスト削減観点で、複数機能を1サーバに同居させるケースは多々あります。 

    2つめのドメインコントローラがメンバサーバへの降格ができない点も、Win2019も同様です。私で試してみたところ、以下画像のとおりAD CSがインストールされた状態では降格不可でした。


    >同様だとした場合、ドメインコントローラではないサーバーでどのよにGPOを適用できるのでしょうか
    こちらはドメインコントローラと証明機関の同居とは関係せず、GPOはドメインコントローラからのみ設定可能です。GPOの適用方法についてはWeb上に複数情報がありますため(以下例)、それらをもとに実施いただければと思います。
    グループポリシーの仕組み、理解できていますか?

    • 編集済み Zaamasu 2022年8月18日 3:15
    • 回答としてマーク ミナトン 2022年8月29日 1:27
    2022年8月18日 3:14
  • チャブーンです。

    この件ですが、本来私が答えるべきでしたでしょうか?Zaamasuさんの方から、解釈をいただいており、基本的にその通りとなります。AD CSはWindows Server 2008 R2以降は基本的に変わっていませんので、Server 2019でも同じです。

    念のためですが、

     コンピュータの構成
       ポリシー
         Windowsの設定
           セキュリティの設定
             公開キーのポリシー
               証明書サービスクライアント - 自動登録
                 構成モデル=有効
                 有効期限が切れた~=チェック
                 証明書テンプレート~=チェック

    これは、以下のサイトの内容を参考にされたのでしょうか?

    ASCII.jp:Windows Server証明書サービスを設定しよう (3/3)

    この設定はドメインコントローラー自体でやるのですが、この設定操作を行う場合に「証明書サービスがインストールされたドメインコントローラー」である必要はありません。証明書サービスが入っていないドメインコントローラーで設定することができます。このポリシーがどこに適用されるのかというと、

    配布用のOUを作成し配布するコンピュータのDNS名を登録

    「うえのOUに入っているコンピュータアカウント」への配布ということになる理解です。(正確に言うと配布するコンピュータのDNS名を登録ではなく、コンピュータアカウントの移動かドメイン参加前の設定を意味しているのだと思いますが)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク ミナトン 2022年8月29日 1:27
    2022年8月19日 11:32
  • Zaamasuさん
    コメントありがとうございます。
    1.WindowsServer 2019でも同様であること認識しました。
    2.パソコンはドメインコントローラにログオンすることでGPOが適応されるのは認識しております。
      ドメインコントローラではないサーバに証明機関サービスを入れると、
      GPO適応時にこの証明機関用のサーバとどのように連携されて証明書がコンピュータに配布されるのか
      このあたりが理解できておりません。
      証明機関サービスサーバをドメインに参加させるのかWorkGroupサーバにするのか
      このあたりも含め、検証機構築して勉強します。

    2022年8月24日 7:49
  • チャプーンさん

    コメントありがとうございます。

    Zaamasuさんのコメントへの返信にも記載させて頂いたのですが、
      ドメインコントローラではないサーバに証明機関サービスを入れると、
      GPO適応時にこの証明機関用のサーバとどのように連携されて証明書がコンピュータに配布されるのか
      このあたりが理解できておりません。
      証明機関サービスサーバをドメインに参加させるのかWorkGroupサーバにするのか

    ドメインコントローラに証明機関サービスを導入してクライアント証明書の自動配布はできました。
    これからドメインコントローラ以外にサーバをたててクライアント証明書の自動配布ができるか否かの検証を行っていきます。


    2022年8月24日 7:55