ドメイン ユーザー アカウントを使用するようにネットワーク デバイス登録サービスを構成する

ユーザー アカウントを指定するように NDES を構成することをお勧めします。これには追加の手順が必要です。 組み込みのアプリケーション プール ID を選択した場合、追加の構成は必要ありません。

この記事では、指定されたサービス アカウントとして動作するようにネットワーク デバイス登録サービス (NDES) を構成する方法について説明します。

NDES を使用すると、ドメイン資格情報なしで実行されているルーターやその他のネットワーク デバイス上のソフトウェアで Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できるようになります。

SCEP は既存の証明機関 (CA) を使用してネットワーク デバイスに対するセキュリティで保護されたスケーラブルな証明書発行をサポートするために開発されました。 このプロトコルでは、CA および登録機関の公開キーの配布、登録、証明書失効のクエリがサポートされています。

NDES の詳細と、簡易証明書登録プロトコルを使用した証明書の使用方法の詳細については、「証明書サービスのネットワーク デバイス登録サービスActive Directoryを参照してください。

Prerequisites

Active Directory Certificate Services (AD CS) の NDES ロール サービスをインストールした後、次の前提条件を満たしていることを確認します。

  • ドメイン ユーザー アカウントである。

  • ローカル IIS_IUSRS グループのメンバーになる。

  • 構成された証明機関 (CA) に対する要求権限を持つ。

  • 自動的に構成される NDES 証明書テンプレートに対する読み取りと登録の権限を持つ。

  • CNAME または負荷分散されたネットワーク名を使用している場合は、Active Directory Domain Servicesでサービス プリンシパル名 (SPN) を構成します。

NDES サービス アカウントとして動作するドメイン ユーザー アカウントを作成する

次に、ドメイン ユーザー アカウントを NDES サービス アカウントとして作成する必要があります。

  1. Active Directory Domain Servicesリモート サーバー管理ツールがインストールされているドメイン コントローラーまたは管理コンピューターにサインインします。 ドメインにユーザーを追加するアクセス許可を持つアカウントを使用して>Active Directory ユーザーとコンピューター

  2. コンソール ツリーで、ユーザー アカウントを作成するコンテナーが表示されるまで構造を展開します。 たとえば、一部の組織にはサービス OU または類似のアカウントがあります。 コンテナーを右クリックし、[ 新規] を選択し、[ ユーザー] を選択します。

  3. [New Object - User] (新しいオブジェクト - ユーザー) テキスト ボックスのすべてのフィールドに、ユーザー アカウントを作成していることが明確にわかるような適切な名前を入力します。 サービス アカウントの作成に関する組織のポリシーがある場合は、必ず従います。 たとえば、次のように入力し、[ 次へ] を選択します。

    • : Ndes

    • : サービス

    • ユーザー ログオン名: NdesService

  4. アカウントに複雑なパスワードを設定し、パスワードを確定します。 サービス アカウントに関する組織のセキュリティ ポリシーに対応するパスワード オプションを構成します。 有効期限のあるパスワードを構成する場合、必要な間隔でパスワードがリセットされるプロセスが用意されます。

  5. [ 次へ] を選択し、[ 完了] を選択します。

Tip

  • New-ADUser Windows PowerShell コマンドを使用して、ドメイン ユーザー アカウントを追加することもできます。

  • Active Directory ドメイン サービス (AD DS) の構成によっては、NDES のマネージド サービス アカウントまたはグループ管理サービス アカウントを実装できる場合があります。 管理されたサービス アカウントの詳細については、「 管理されたサービス アカウント」を参照してください。 グループの管理されたサービス アカウントの詳細については、「 グループの管理されたサービス アカウントの概要」を参照してください。

ローカル IIS_IUSRS グループに NDES サービス アカウントを追加する

ドメイン ユーザー アカウントを NDES サービス アカウントとして正常に作成したら、この NDES サービス アカウントをローカル IIS_IUSRS グループに追加する必要があります。

  1. NDES サービスをホストしているサーバーで、 コンピューター管理 (compmgmt.msc) を開きます。

  2. [コンピューター管理] コンソール ツリーの [ システム ツール] で、[ ローカル ユーザーとグループ] を展開します。 [グループ] を選択します

  3. 詳細ウィンドウで、 IIS_IUSRSを選択します。

  4. [ 全般 ] タブで、[ 追加] を選択します。

  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ボックスに、サービス アカウントとして構成するアカウントのユーザー サインイン名を入力します。

  6. [ 名前の確認] を選択し、[ OK] を 2 回選択して、[ コンピューターの管理] を閉じます。

Tip

net localgroup IIS_IUSRS <domain>\<username> /Addを使用して、NDES サービス アカウントをローカル IIS_IUSRS グループに追加することもできます。 コマンド プロンプトまたは Windows PowerShell を管理者として実行する必要があります。 詳細については、「Add-LocalGroupMember」 PowerShell コマンドを参照してください。

CA に対する要求権限を設定する

NDES サービス アカウントには、NDES で使用される CA に対する要求権限が必要です。

  1. NDES で使用される CA で、CA の管理権限を持つアカウントを使用して CA コンソールを開きます。

  2. 証明機関コンソールを開きます。 CA を右クリックし、[ プロパティ] を選択します。

  3. [ セキュリティ ] タブには、証明書の要求アクセス許可を持つアカウントが表示されます。 既定では、グループ Authenticated Users にはこのアクセス許可があります。 作成したサービス アカウントは、 使用中の認証済みユーザー のメンバーです。 認証されたユーザーに証明書の要求アクセス許可がある場合は、追加のアクセス許可を付与する必要はありません。 ただし、この権限がない場合は、CA に対する証明書の要求権限を NDES サービス アカウントに付与する必要があります。 そのためには、次の操作を実行します。

    • [] を選択し、[] を追加します。

    • [ユーザー、コンピューター、サービス アカウントまたはグループの選択] テキスト ボックスに NDES サービス アカウント名を入力し、[名前の確認][OK] の順に選択します。

    • NDES サービス アカウントが選択されていることを確認します。 [証明書の要求] に対応する [許可] チェック ボックスがオンになっていることを確認します。 [OK] を選択.

NDES のサービス プリンシパル名を設定する必要があるかどうかを確認する

ロード バランサーまたは仮想名を使用している場合は、Active Directoryでサービス プリンシパル名 (SPN) を構成する必要があります。 このセクションでは、Active Directoryで SPN を設定する必要があるかどうかを判断する方法について説明します。

  • 1 つの NDES サーバーとその実際のホスト名 (最も一般的なシナリオ) を使用している場合、アカウントに SPN を登録する必要はありません。 この場合、HOST/computerFQDN のコンピューター アカウントの既定の SPN がカバーされます。 他のすべての既定値 (特に IIS カーネル モード認証に関する既定値) を使用している場合は、この記事の次のセクションに進んでください。

  • カスタム A レコードをホスト名として使用している場合、または仮想 IP を使用した負荷分散を行っている場合は、NDES サービス アカウント (SCEPSvc) に対して SPN を登録する必要があります。 NDES サービス アカウントに対して SPN を登録するには、次のように操作します。

    1. Setspn コマンド構文 Setspn -s HTTP/<computerfqdn> <domainname\accountname> を使用して、コマンドを入力します。 たとえば、ドメインが Fabrikam.com で、NDES CNAME が NDESFARM で、SCEPSvc という名前のサービス アカウントを使用しているとします。 この例では、次のコマンドを実行します。

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

    2. 次に、サイトの IIS カーネル モード認証を無効にします。

NDES の役割サービスを設定する

インストールが完了したら、いくつかの手順を実行して NDES コンピューターの構成を完了する必要があります。

NDES が CA にインストールされている場合は、ローカルの CA が使用されるため、CA は選択しません。

CA ではないコンピューターに NDES をインストールする場合は、ターゲットの CA を選択する必要があります。 CA は、CA 名またはコンピューター名で選択できます。

CA を選択するには:

  1. サーバー マネージャーから AD CS 構成を開きます。

  2. [CA for NDES] (NDES の CA) を選択します。

  3. [CA 名] または [コンピューター名] を選択し、[選択] を選択します。

  4. 選択したオプションによって、次に表示されるダイアログ ボックスの種類が決まります。

    • [CA 名] をクリックすると、[証明機関の選択] ダイアログ ボックスが表示されます。このダイアログ ボックスには、選択できる CA の一覧が表示されます。

      or

    • [ コンピューター名] をクリックした場合は、[ コンピューターの選択 ] ダイアログ ボックスが表示され、[ 場所 ] を設定し、CA として指定するコンピューター名を入力できます。

これで、NDES の役割サービスの設定を完了する準備ができました。 残りの手順では、登録機関の情報を確認し、暗号化を設定します。

  1. 提供された登録機関 (RA) の情報は、サービスに対して発行される署名証明書を作成するために使用されます。 サーバーマネージャーで。 [RA information] (RA 情報) を選択します。

  2. すべてのフィールドを確認し、RA 情報が正しいこと (または既定値に設定されていること) を確認します。

NDES では、デバイス登録を有効化するために 2 つの証明書とそのキーを使用します。 組織は、これらのキーを格納するために異なる暗号化サービス プロバイダー (CSP) を使用したり、サービスで使用されるキーの長さを変更したりできます。 RA キーでは Cryptographic Application Programming Interface (CryptoAPI) サービス プロバイダーのみがサポートされます。Next Generation (CNG) プロバイダーはサポートされません。

  1. 暗号化を構成するには、サーバー マネージャーで NDES の暗号化を選択します。

  2. [Signature Key Provider] (署名キー プロバイダー) または [Encryption Key Provider] (暗号化キー プロバイダー) の値、あるいはその両方の値を入力し、キーの長さの値を決定します。

  3. ウィザードを続行して、NDES のインストールを完了します。

ロール サービスを構成したので、NDES の構成と操作の詳細については、「Active Directory Certificate Services (AD CS) の Network Device Enrollment Service (NDES) を参照してください。

Tip

NDES の構成を変更した場合、または NDES によって使用される証明書テンプレートを変更した場合は、NDES、IIS、CA サービスを停止して再度開始する必要があります。

次のステップ

  • Last updated on