一般的な構成
SCEPman が着信 SOAP リクエストを正常に処理できるようにするには、いくつかの手順を行う必要があります。
カスタム ドメインと BaseUrl の確認
SCEPman と正常に認証するには、次のいずれかを使用するカスタム ドメインがあることを確認してください: A レコード がアプリ サービスを指している必要があります。そうでないと、クライアントはドメイン コントローラーから有効な Kerberos チケットを要求できません。
以下の既知の問題を参照してください: WS_E_ENDPOINT_ACCESS_DENIED に関する詳細情報。
カスタム ドメインを使用して SCEPman にアクセスできるように構成されていることを確認してください:
カスタムドメインこの要件は、証明書を登録するための最初のポリシー要求(証明書テンプレートの一覧表示)の後にも同様に適用されます。ここでの認証を成功させるために、次も設定してください: AppConfig:BaseUrl 変数をカスタム ドメインに設定するか、専用の AppConfig:ActiveDirectory:BaseUrl 設定を使用してください。AD エンドポイントを他の SCEPman エンドポイントとは異なる URL でアクセス可能にする必要がある場合に使用します。
サービス プリンシパルの作成
次のコマンドを使用します: New-SCEPmanADPrincipal SCEPman PowerShell モジュールの Cmdlet を使用してオンプレミスの Active Directory ドメインにサービス プリンシパルを作成します。これにより、このアカウントからキー・タブがエクスポートされ、SCEPman の CA 証明書で暗号化されます。
このコマンドは、次がインストールされたドメイン コントローラーまたはドメイン参加サーバー上で実行できます: RSAT-AD-Tools 機能。プリンシパルを作成する OU に対して次の権限も必要です:
OU 自体に対して:
コンピューター オブジェクトを作成する
子孫のコンピューター オブジェクトに対して:
パスワードのリセット
書き込み
msDS-SupportedEncryptionTypes書き込み
servicePrincipalName書き込み
userPrincipalName
以下のバリアントは、SCEPman インスタンスへの発信 HTTPS ネットワークアクセスも必要とします。
ドメイン コントローラーにアクセスできるコンピューターがネットワーク アクセスを持たない場合でも、ネットワークなしで動作する CMDlet のバリアントがありますが、追加の準備が必要です。特に SCEPman の CA 証明書をダウンロードして CMDlet を実行するマシンにコピーする必要があります。
このコマンドを実行すると、次の処理が行われます:
次の OU にコンピューター オブジェクトを作成します:
OU=Example,DC=contoso,DC=com組織単位。手順 5 でキー・タブを暗号化するために、SCEPman の CA 証明書をダウンロードします。
コンピューター オブジェクトにサービス プリンシパル名 (SPN) を追加します。
コンピューターのパスワードに基づく暗号化キーを含むコンピューター アカウント用のキー・タブを作成します。
キー・タブを SCEPman の CA 証明書で暗号化し、SCEPman の CA 秘密鍵を使ってのみ復号できるようにします。
暗号化されたキー・タブを出力して、SCEPman の構成に転送できるようにします。
Base64 エンコードされた出力は次の環境変数に転送する必要があります: AppConfig:ActiveDirectory:Keytab SCEPman アプリ サービスの。
キー・タブを SCEPman に追加する
統合は、次の環境変数を SCEPman アプリ サービスに追加することで簡単に有効化できます。 SCEPman アプリ サービス。 ユースケースに応じて、利用可能な証明書テンプレートのうち 1 つ以上を有効にしてください:
すべての証明書テンプレートが有効になっている例:
AppConfig:ActiveDirectory:Keytab
ステップ1で作成されたサービスプリンシパルのBase64エンコードされたkeytab
AppConfig:ActiveDirectory:Computer:Enabled
true
AppConfig:ActiveDirectory:User:Enabled
true
AppConfig:ActiveDirectory:DC:Enabled
true
既知の問題
WS_E_ENDPOINT_ACCESS_DENIED
エラー: WS_E_ENDPOINT_ACCESS_DENIED
16進: 0x803d0005
10進: -2143485947このエラーは、Azure アプリ サービスのデフォルト URI を使用している場合に CEP サーバーの検証中に発生することが知られています。このエラーは、Kerberos プロトコルがアクセス対象のサービスの A レコードのサービス プリンシパル名を要求することが原因です。デフォルトのアプリ サービス ドメインの場合、例えば contoso.azurewebsites.net は単なる CNAME であり、次のような A レコードを指します:
waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.comこのインフラストラクチャ ホストの A レコードは将来的に一貫しているとは限らないため、このホストにサービス プリンシパル名を追加することは 推奨されません.
カスタム ドメインをアプリ サービスに追加し、CNAME の代わりに DNS プロバイダーで A レコードを作成してアプリ サービスを指すようにしてください。
カスタムドメインERROR_INVALID_PARAMETER
エラー: ERROR_INVALID_PARAMETER
16進: 0x80070057
10進: -2147024809このエラーは、URI を登録する際に URI が http://で始まる場合に CEP サーバーの登録中に発生します。CEP サーバーは必ず https://
ERROR_ACCESS_DENIED
マシン コンテキストで CEP サーバーを登録する際、操作を行っているユーザー( gpmc.mscを起動したアカウント)は、GPO を編集している間、そのコンピューターのローカル管理者グループのメンバーである必要があります。
この場合は、必ず gpmc.msc 昇格した権限で開始してください。
最終更新
役に立ちましたか?