次の方法で共有

  • [アーティクル]

Kerberos 認証アカウントの作成

 

トピックの最終更新日: 2012-04-06

Kerberos アカウントを作成するには、次の手順を実行します。」の手順を適切に完了するには、少なくとも Domain Admins グループのメンバーとしてサーバーまたはドメインにログオンする必要があります。Active Directory ドメイン サービス (AD DS) インフラストラクチャがロックダウンされているか、セキュリティで保護されている場合、Kerberos アカウントの作成を自動化する Windows PowerShell コマンドレットが適切に動作せずに失敗する可能性があります。ロックダウンされた Active Directory で作業する場合は、「Kerberos アカウントを作成するには、次の手順を実行します。」の後の「Kerberos アカウントを手動で作成するには、次の手順を実行します。」の手順を参照してください。

各サイトに Kerberos 認証アカウントを作成したり、単一の Kerberos 認証アカウントを作成してすべてのサイトで使用したりすることができます。 Windows PowerShell コマンドレットを使用すると、アカウントを作成して、各サイトに割り当てられたアカウントの識別などの管理を実行できます。トポロジ ビルダーおよび Lync Server 2010 コントロール パネルでは、Kerberos 認証アカウントは表示されません。 1 つ以上のユーザー アカウントを作成して Kerberos 認証用に使用するには、次の手順を使用します。

Kerberos アカウントを作成するには、次の手順を実行します。

  1. Domain Admins グループのメンバーとして、Lync Server 2010 を実行するドメイン内のコンピューターまたは管理ツールがインストールされたコンピューターにログオンします。

  2. Lync Server 管理シェルを以下の手順で起動します。[スタート]、[すべてのプログラム]、[Microsoft Lync Server 2010]、[Lync Server 管理シェル] の順にクリックします。

  3. コマンド ラインで、次のコマンドを実行します。

    New-CsKerberosAccount -UserAccount "Domain\UserAccount" -ContainerDN "CN=Users,DC=DomainName,DC=DomainExtension"

    次にその例を示します。

    New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Users,DC=contoso,DC=com"

  4. コンピューター オブジェクトが作成されていることを確認します。それには、[Active Directory ユーザーとコンピューター] を開いて、[ユーザー] コンテナーを展開し、ユーザー アカウントのコンピューター オブジェクトがコンテナー内にあることを確認します。

Kerberos アカウントを手動で作成するには、次の手順を実行します。

  1. セキュリティで保護されているかロックダウンされている Active Directory ドメイン サービス (AD DS) インフラストラクチャで、次の操作を行います。

    warning警告:
    以下の手順を行うには、リモート サーバー管理ツールがインストールされている必要があります。または、AD DS ツール機能がインストールされている状態でローカルまたはリモートで作業する必要があります。

  2. Lync Server 2010 が実行されているドメイン内のコンピューター、または管理ツールがインストールされているコンピューターに Domain Admins グループのメンバーとしてログインします。

  3. [スタート]、[管理ツール] の順にクリックし、[Active Directory ユーザーとコンピューター] を実行します。

  4. [Active Directory ユーザーとコンピューター] で、適切な組織単位 (OU) またはユーザー コンテナー内にユーザーアカウントを作成します。

  5. ユーザー アカウントの [セキュリティ] タブにアクセスするには、[Active Directory ユーザーとコンピューター] で、[表示]、[高度な機能] の順にクリックします。これで、選択済みであることを示すチェックマークが [高度な機能] に付けられます。

  6. 組織単位またはユーザー コンテナー内で、作成したユーザー アカウントを右クリックし、[プロパティ] を選択します。[セキュリティ] タブを選択します。[セキュリティ] タブで、[詳細設定] をクリックします。

  7. 選択したユーザー アカウントの [セキュリティの詳細設定] タブで、[追加] をクリックします。[ユーザー、コンピューター、サービス アカウント、またはグループの選択] ダイアログの [選択するオブジェクト名を入力してください] に「RTCUniversalServerAdmins」と入力します。[名前の確認] をクリックします。成功した場合、[OK] をクリックします。

  8. ユーザー アカウントの [アクセス許可エントリ] ダイアログで、[オブジェクト] タブを選択します。[適用先] ドロップダウンをクリックし、[このオブジェクトのみ] を選択します。

  9. [アクセス許可] 選択ウィンドウで、以下のアクセス許可を選択します。

    アクセス許可 許可または拒否 継承 適用先

    パスワードの変更

    許可

    継承なし

    このオブジェクトのみ

    パスワードのリセット

    許可

    継承なし

    このオブジェクトのみ

    アクセス許可の読み取り

    許可

    継承なし

    このオブジェクトのみ

    servicePrincipalName の書き込み

    許可

    継承なし

    このオブジェクトのみ

  10. [OK] を 3 回クリックし、ダイアログを閉じます。[Active Directory ユーザーとコンピューター] を閉じて終了します。

  11. [スタート]、[管理ツール] の順にクリックし、[ADSI エディター] を実行します。

  12. [ADSI エディター] を右クリックし、[接続先]、[既知の名前付けコンテキストを選択する] の順に選択します。リストから [既定の名前付けコンテキスト] を選択します。[OK] をクリックします。

  13. ユーザー オブジェクトが配置されている組織単位またはコンテナーで、ユーザー オブジェクトを右クリックし、[プロパティ] を選択します。

  14. [属性エディター] タブで、属性 [userAccountControl] を見つけて [編集] をクリックします。

  15. [整数の属性エディター] に userAccountControl の整数値が表示されます。値を 69664 に変更します。表示された編集値では、PASSWD_NOTREQD、WORKSTATION_TRUST_ACCOUNT、および DON'T_EXPIRE_PASSWD のフラグが設定されます。

  16. [OK] をクリックして、属性への変更をコミットします。[ADSI エディター] を閉じます。