ドメイン ユーザー アカウントを使用するようにネットワーク デバイス登録サービスを構成する

適用対象: Windows Server (サポートされているすべてのバージョン)

ユーザー アカウントを指定するように NDES を構成することをお勧めします。これには追加の手順が必要です。 組み込みのアプリケーション プール ID を選択した場合、追加の構成は必要ありません。

この記事では、指定されたサービス アカウントとして動作するようにネットワーク デバイス登録サービス (NDES) を構成する方法について説明します。

NDES を使用すると、ドメイン資格情報なしで実行されているルーターやその他のネットワーク デバイス上のソフトウェアで Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できるようになります。

SCEP は既存の証明機関 (CA) を使用してネットワーク デバイスに対するセキュリティで保護されたスケーラブルな証明書発行をサポートするために開発されました。 このプロトコルでは、CA および登録機関の公開キーの配布、登録、証明書失効のクエリがサポートされています。

NDES の概要と、NDES が Simple Certificate Enrollment Protocol に基づく証明書を処理するしくみの詳細については、「Active Directory 証明書サービスのネットワーク デバイス登録サービスとは」を参照してください。

前提条件

Active Directory 証明書サービス (AD CS) の NDES 役割サービスをインストールした後、次の前提条件を満たしていることを確認します。

• ドメイン ユーザー アカウントである。

• ローカルの IIS_IUSRS グループのメンバーである。

• 構成された証明機関 (CA) に対する要求権限を持つ。

• 自動的に構成される NDES 証明書テンプレートに対する読み取りと登録の権限を持つ。

• CNAME または負荷分散されたネットワーク名を使用している場合は、Active Directory Domain Services でサービス プリンシパル名 (SPN) を構成します。

NDES サービス アカウントとして動作するドメイン ユーザー アカウントを作成する

次に、ドメイン ユーザー アカウントを NDES サービス アカウントとして作成する必要があります。

1. Active Directory ドメイン サービス リモート サーバー管理ツールがインストールされたドメイン コントローラーまたは管理コンピューターにサインインします。 ユーザーをドメインに追加する権限を持つアカウントを使用して [Active Directory ユーザーとコンピューター] を開きます。

2. コンソール ツリーで、ユーザー アカウントを作成するコンテナーが表示されるまで構造を展開します。 たとえば、一部の組織にはサービス OU または類似のアカウントがあります。 コンテナーを右クリックし、[新規作成]、[ユーザー] の順に選択します。

3. [New Object - User] (新しいオブジェクト - ユーザー) テキスト ボックスのすべてのフィールドに、ユーザー アカウントを作成していることが明確にわかるような適切な名前を入力します。 サービス アカウントの作成に関する組織のポリシーがある場合は、必ず従います。 たとえば次のように入力して、[次へ] をクリックします。

   • First name (名): Ndes

   • Last name (姓): Service

   • User logon name (ユーザー ログオン名): NdesService

4. アカウントに複雑なパスワードを設定し、パスワードを確定します。 サービス アカウントに関する組織のセキュリティ ポリシーに対応するパスワード オプションを構成します。 有効期限のあるパスワードを構成する場合、必要な間隔でパスワードがリセットされるプロセスが用意されます。

5. [次へ]、[完了済み] の順に選択します。

ヒント

• New-ADUser Windows PowerShell コマンドを使用して、ドメイン ユーザー アカウントを追加することもできます。

• Active Directory ドメイン サービス (AD DS) の構成によっては、管理されたサービス アカウント、またはグループの管理されたサービス アカウントを NDES に実装できる場合もあります。 管理されたサービス アカウントの詳細については、「 管理されたサービス アカウント」を参照してください。 グループの管理されたサービス アカウントの詳細については、「 グループの管理されたサービス アカウントの概要」を参照してください。

NDES サービス アカウントをローカルの IIS_IUSRS グループに追加する

ドメイン ユーザー アカウントを NDES サービス アカウントとして正常に作成したら、その NDES サービス アカウントをローカルの IIS_IUSRS グループに追加する必要があります。

1. NDES サービスをホストしているサーバー上で、[コンピューターの管理] (compmgmt.msc) を開きます。

2. [コンピューターの管理] コンソール ツリーの [システム ツール] で、[ローカル ユーザーとグループ] を展開します。 [グループ] を選びます。

3. 詳細ウィンドウで、IIS_IUSRS を選択します。

4. [全般] タブで [追加] を選択します。

5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ボックスに、サービス アカウントとして構成するアカウントのユーザー サインイン名を入力します。

6. [名前の確認] を選択し、[OK] を 2 回選択してから、[コンピューターの管理] を閉じます。

ヒント

net localgroup IIS_IUSRS <domain>\<username> /Add を使用して、NDES サービス アカウントをローカルの IIS_IUSRS グループに追加することもできます。 コマンド プロンプトまたは Windows PowerShell は管理者として実行されている必要があります。 詳細については、Add-LocalGroupMember PowerShell コマンドに関する記事を参照してください。

CA に対する要求権限を設定する

NDES サービス アカウントには、NDES で使用される CA に対する要求権限が必要です。

1. NDES で使用される CA で、CA の管理権限を持つアカウントを使用して CA コンソールを開きます。

2. 証明機関コンソールを開きます。 CA を右クリックし、[プロパティ] を選択します。

3. [セキュリティ] タブに証明書の要求権限を持つアカウントが表示されます。 既定では、グループ [Authenticated Users] にこの権限があります。 作成したサービス アカウントは、使用中に [Authenticated Users] のメンバーになります。 [Authenticated Users] に証明書の要求権限がある場合は、追加の権限を付与する必要はありません。 ただし、この権限がない場合は、CA に対する証明書の要求権限を NDES サービス アカウントに付与する必要があります。 そのためには次を行います。

   • [追加] を選択します。

   • [ユーザー、コンピューター、サービス アカウントまたはグループの選択] テキスト ボックスに NDES サービス アカウント名を入力し、[名前の確認]、[OK] の順に選択します。

   • NDES サービス アカウントが選択されていることを確認します。 [証明書の要求] に対して [許可] チェック ボックスが選択されていることを確認します。 [OK] を選択します。

NDES のサービス プリンシパル名を設定する必要があるかどうかを確認する

ロード バランサーまたは仮想名を使用している場合は、Active Directory でサービス プリンシパル名 (SPN) を構成する必要があります。 このセクションでは、Active Directory で SPN を設定する必要があるかどうかを判断する方法について説明します。

• 1 つの NDES サーバーとその実際のホスト名 (最も一般的なシナリオ) を使用している場合、アカウントに SPN を登録する必要はありません。 この場合、コンピューター アカウントの既定の SPN である HOST/computerFQDN を使用できます。 他のすべての既定値 (特に IIS カーネル モード認証に関する既定値) を使用している場合は、この記事の次のセクションに進んでください。

• カスタム A レコードをホスト名として使用している場合、または仮想 IP を使用した負荷分散を行っている場合は、NDES サービス アカウント (SCEPSvc) に対して SPN を登録する必要があります。 NDES サービス アカウントに対して SPN を登録するには、次のように操作します。

  1. Setspn コマンド構文 Setspn -s HTTP/<computerfqdn> <domainname\accountname> を使用して、コマンドを入力します。 たとえば、ドメインが Fabrikam.com で、NDES CNAME が NDESFARM で、SCEPSvc という名前のサービス アカウントを使用しているとします。 この例では、次のコマンドを実行します。

     • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
     • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

  2. 次に、サイトの IIS カーネル モード認証を無効にします。

NDES の役割サービスを設定する

インストールが完了したら、いくつかの手順を実行して NDES コンピューターの構成を完了する必要があります。

NDES が CA にインストールされている場合は、ローカルの CA が使用されるため、CA は選択しません。

CA ではないコンピューターに NDES をインストールする場合は、ターゲットの CA を選択する必要があります。 CA は、CA 名またはコンピューター名で選択できます。

CA を選択するには:

1. サーバー マネージャーから [AD CS の構成] を開きます。

2. [CA for NDES] (NDES の CA) を選択します。

3. [CA 名] または [コンピューター名] を選択してから、[選択] を選択します。

4. 選択したオプションによって、次に表示されるダイアログ ボックスの種類が決まります。

   • [CA 名] をクリックした場合、選択可能な CA の一覧が含まれる [証明機関の選択] ダイアログ ボックスが表示されます。

     または

   • [コンピューター名] をクリックすると、[コンピューターの選択] ダイアログ ボックスが表示され、ここで [場所] を設定し、CA として指定するコンピューター名を入力することができます。

これで、NDES の役割サービスの設定を完了する準備ができました。 残りの手順では、登録機関の情報を確認し、暗号化を設定します。

1. 提供された登録機関 (RA) の情報は、サービスに対して発行される署名証明書を作成するために使用されます。 サーバー マネージャーで [RA information] (RA 情報) を選択します。

2. すべてのフィールドを確認し、RA 情報が正しいこと (または既定値に設定されていること) を確認します。

NDES では、デバイス登録を有効化するために 2 つの証明書とそのキーを使用します。 組織は、これらのキーを格納するために異なる暗号化サービス プロバイダー (CSP) を使用したり、サービスで使用されるキーの長さを変更したりできます。 RA キーでは Cryptographic Application Programming Interface (CryptoAPI) サービス プロバイダーのみがサポートされます。Next Generation (CNG) プロバイダーはサポートされません。

1. 暗号化を構成するには、サーバー マネージャーで [Cryptography for NDES] (NDES の暗号化) を選択します。

2. [Signature Key Provideｒ] (署名キー プロバイダー) または [Encryption Key Provider] (暗号化キー プロバイダー) の値、あるいはその両方の値を入力し、キーの長さの値を決定します。

3. ウィザードを続行して、NDES のインストールを完了します。

これで、役割サービスの構成が完了しました。NDES の構成と操作の詳細については、「Active Directory 証明書サービス (AD CS) のネットワーク デバイス登録サービス (NDES)」を参照してください。

ヒント

NDES の構成を変更した場合、または NDES によって使用される証明書テンプレートを変更した場合は、NDES、IIS、CA サービスを停止して再度開始する必要があります。

次のステップ

• ポリシー モジュールとネットワーク デバイス登録サービスの使用

• Active Directory 証明書サービス (AD CS) と公開キー基盤 (PKI) についてよく寄せられる質問 (FAQ) のページ