ドメイン コントローラの構成
VPN 接続を開始し、リモート アクセス ポリシーによってデマンドダイヤル ルーター接続パラメータを管理することを Supplier ルーターに許容するために、仕入先のユーザー アカウントの作成、すべての協力企業向けルーター接続のためのグループの作成、ルーター (オフライン要求) 証明書の作成とエクスポート、そして仕入先のユーザー アカウントへの証明書の割り当てを行います。
このために、noam.reskit.com ドメインのコンピュータ SEA-NA-DC-01 上で、システム管理者のアクセス許可を有するアカウントを使用して以下の手順を実行します。
トピック
仕入先のユーザー アカウントの作成
Supplier ルーターのためのオフライン ルーター証明書の作成
仕入先のユーザー アカウントに仕入先の証明書を割り当てる
仕入先のユーザー アカウントの作成
すべての協力企業 (ここでは仕入先) の接続パラメータを定義するリモート アクセス ポリシーをサポートするために、仕入先のユーザー アカウントを作成し、さらに Extranet Partner Routers というグループを作成します。そして、仕入先のユーザー アカウントを Extranet Partner Routers グループに追加します。
コピュータ SEA-NA-DC-01 で以下の手順を実行します。
Supplier ルーターのためのドメイン アカウントを構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。
コンソール ツリーで、[noam.reskit.com] を展開します。
コンソール ツリーで、[Users] を右クリックし、[新規作成] をポイントし、[ユーザー] をクリックします。
[新しいオブジェクト - ユーザー] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
ダイアログ ボックスのフィールド
設定操作
フル ネーム
Supplier Router と入力します。
ユーザー ログオン名
SupplierRouter と入力します。
[@noam.reskit.com] を選択します。
パスワード
=sR84k,3;mw49 と入力します。
パスワードの確認
=sR84k,3;mw49 と入力します。
ユーザーは次回ログオン時にパスワードの変更が必要
チェック ボックスをオフにします。
ユーザーはパスワードを変更できない
チェック ボックスをオンにします。
パスワードを無期限にする
チェック ボックスをオンにします。
[新しいオブジェクト - ユーザー] ダイアログ ボックスで、[完了] をクリックします。
コンソール ツリーで、[User] を右クリックし、[新規作成] をポイントし、[グループ] をクリックします。
[新しいオブジェクト - グループ] ダイアログ ボックスで、 [グループ名] ボックスに Extranet Partner Routers と入力し、[OK] をクリックします。
コンソール ツリーで、[Users] をクリックします。
詳細ペインで、[Extranet Partner Routers] グループを右クリックし、[プロパティ] をクリックします。
[Extranet Partner Routers のプロパティ] ダイアログ ボックスの [メンバ] タブで、[追加] をクリックします。
[ユーザー、連絡先、またはコンピュータの選択] ダイアログ ボックスの [場所] ボックスから [noam.reskit.com] を選択し、[Supplier Router] を選択して、[追加] をクリックし、[OK] をクリックします。
[Extranet Partner Routers のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[Active Directory ユーザーとコンピュータ] スナップインを閉じます。
Supplier ルーターのためのオフライン ルーター証明書の作成
Supplier ルーターは EAP-TLS を使用して Seattle VPN サーバーに接続する場合、認証を受けるためにユーザー証明書を送信する必要があります。ユーザー証明書をオフライン ルーター証明書の形式で作成してエクスポートすることが必要です。
SEA-NA-CA-03 上で以下の手順を実行します。
SJC-SP-RAS-01 ルーターのためのオフライン証明書を要求するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスで、 [名前] ボックスに http://SEA-NA-CA-03/certsrv と入力し、[OK] をクリックします。
以下の表に従って、Microsoft 認証サービス Web ページで提示される設定項目を指定します。表に指定のない項目は、既定の設定を使用します。
Web ページの表示
設定操作
ようこそ
[証明書の要求] をクリックします。
要求する種類の選択
[要求の詳細設定] をクリックします。
証明書の要求の詳細設定
[フォームを使用してこの CA へ証明書の要求を送信します] をクリックします。
証明書の要求の詳細設定
[証明書テンプレート] ボックスから [ルーター (オフライン要求)] を選択します。
[名前] ボックスに SJC-SP-RAS-01.partner.supplier01-int.com と入力します。
[エクスポート可能なキーとしてマークする] チェック ボックスをオンにします。
[ローカル コンピュータ ストアを使用する] チェック ボックスをオンにします。
証明書は発行されました
[この証明書のインストール] をクリックします。
証明書が正常にインストールされたことを通知する Web ページが表示されます。
ウィンドウを閉じます。
SEA-NA-CA-03 上で以下の手順を実行します。
SJC-SP-RAS-01 ルーターのためのオフライン証明書をエクスポートするには
アカウント NOAM\Administrator を使用してログオンします。
[ファイル名を指定して実行] ダイアログ ボックスで、[名前] ボックスに mmc と入力し、[OK] をクリックします。
MMC で、[コンソール] メニューの [スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで、[証明書] をクリックし、[追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。
[コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ] をクリックし、[完了] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
コンソール ツリーで、[証明書]、[個人] を順に展開して [証明書] をクリックします。
詳細ペインで、 [SJC-SP-RAS-01.partner.supplier01-int.com] を右クリックし、[すべてのタスク] をポイントして [エクスポート] をクリックします。
フロッピー ディスク ドライブにフロッピー ディスクを挿入します。
証明書のエクスポート ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
秘密キーのエクスポート
[はい、秘密キーをエクスポートします] をクリックします。
エクスポート ファイルの形式
[Personal Information Exchange – PKCS#12] をクリックします。
[証明のパスにある証明書を可能であればすべて含む] をクリックします。
[強力な保護を有効にする (IE 5.0、NT 4.0 SP4 またはそれ以上が必要)] をクリックします。
パスワード
[パスワード] ボックスと [パスワードの確認入力] ボックスに w#365)P3d4 と入力します。
エクスポートするファイル
[ファイル名] ボックスに A:\SJC-SP-RAS-01 と入力します。
メモ このウィザードによって作成した証明書は、Supplier ルーターに公開キーと秘密キーをインストールするときに使用します。
ウィザードの設定が完了したら、[完了] をクリックします。
[証明書のエクスポート ウィザード] ダイアログ ボックスで、[OK] をクリックします。
詳細ペインで、 [SJC-SP-RAS-01.partner.supplier01-int.com] を右クリックし、[すべてのタスク] をポイントして、[エクスポート] をクリックします。
証明書のエクスポート ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
秘密キーのエクスポート
[いいえ、秘密キーをエクスポートしません] をクリックします。
エクスポート ファイルの形式
[DER encoded binary X.509 (.CER)] をクリックします。
エクスポートするファイル
[ファイル名] ボックスに A:\SJC-SP-RAS-01 と入力します。
メモ このウィザードによって作成した証明書は、NOAM ドメインの Supplier Router ユーザー アカウントに X.509 証明書を割り当てるときに使用します。
ウィザードの設定が完了したら、[完了] をクリックします。
[証明書のエクスポート ウィザード] ダイアログ ボックスで、[OK] をクリックします。
スナップインを閉じます。
Supplier ルーター証明書を含むフロッピー ディスクをフロッピー ディスク ドライブから取り除きます。
仕入先のユーザー アカウントに仕入先の証明書を割り当てる
Seattle 内の IAS サーバーで、Supplier ルーターから送信されたユーザー証明書を確認するには、Supplier ルーター用に作成したルーター オフライン証明書を仕入先のユーザー アカウントに割り当てる必要があります。
このために、SEA-NA-DC-01 上で以下の手順を実行します。
仕入先のユーザー アカウントに仕入先の証明書を割り当てるには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。
[Active Directory ユーザーとコンピュータ] スナップインの [表示] メニューで、[拡張機能] をクリックします。
コンソール ツリーで、[noam.reskit.com] を展開し、[Users] をクリックします。
詳細ペインで、[Supplier Router] を右クリックし、[名前のマッピング] をクリックします。
[セキュリティ ID マッピング] ダイアログ ボックスの [X.509 証明書] タブで、[追加] をクリックします。
フロッピー ディスク ドライブにフロッピー ディスクを挿入します。
[証明書の追加] ダイアログ ボックスで、A:\SJC-SP-RAS-01 ファイルを指定し、[開く] をクリックして、[OK] をクリックします。
[証明書の追加] ダイアログ ボックスで、証明書の情報を確認し、[OK] をクリックします。
[セキュリティ ID マッピング] ダイアログ ボックスで、[OK] をクリックします。
[Active Directory ユーザーとコンピュータ] スナップインを閉じます。
フロッピー ディスク ドライブからフロッピー ディスクを取り除きます。
関連するセットアップ手順
ドメイン コントローラの構成
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。