circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

一般設定

SCEPman が着信 SOAP リクエストを正常に処理できるようにするため、いくつかの手順を行う必要があります:

1

hashtag
サービス プリンシパルを作成する

Complete-SCEPmanInstallation の New-SCEPmanADPrincipal オンプレミスの Active Directory ドメインにサービス プリンシパルを作成するための SCEPman PowerShell モジュールの Cmdlet。 このアカウントからキータブをエクスポートし、それを SCEPman の CA 証明書で暗号化します。

この Cmdlet はドメイン管理者権限を持ち、ドメイン コントローラーへのネットワークアクセスを有するアカウントで実行してください。以下のバリアントは、SCEPman インスタンスへのアウトゴーイング HTTPS ネットワークアクセスも必要とします。

circle-info

ドメイン コントローラーにアクセスできるコンピューターがネットワークアクセスを持たない場合、それなしで動作する CMDlet のバリアントがありますが、追加の準備(特に SCEPman の CA 証明書のダウンロードと CMDlet を実行するマシンへのコピー)が必要です。

このコマンドを実行すると、次の操作が行われます:

  1. にコンピューター オブジェクトを作成します OU=Example,DC=contoso,DC=com 組織単位。

  2. 手順 5 でキータブを暗号化するために SCEPman の CA 証明書をダウンロードします。

  3. コンピューター オブジェクトにサービス プリンシパル名 (SPN) を追加します。

  4. コンピューターのパスワードに基づく暗号化キーを含むコンピューター アカウント用のキータブを作成します。

  5. キータブを SCEPman の CA 証明書で暗号化し、CA の秘密鍵を使う SCEPman のみが復号できるようにします。

  6. 暗号化されたキータブを出力し、SCEPman の構成に転送できるようにします。

Base64 エンコードされた出力は次の環境変数に転送する必要があります AppConfig:ActiveDirectory:Keytab あなたの SCEPman アプリ サービスの。

2

hashtag
キータブを SCEPman に追加する

統合は次の環境変数を SCEPman の App Service に追加することで簡単に有効化できます。 使用例に応じて、利用可能な証明書テンプレートのうち一つ以上を有効にしてください:

すべての証明書テンプレートが有効になっている例:

設定

AppConfig:ActiveDirectory:Keytab

手順 1 で作成したサービス プリンシパルの Base64 エンコードされたキータブ

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

3

hashtag
カスタム ドメインと BaseUrl を確保する

SCEPman での認証を成功させるために、A レコードを使用したカスタム ドメインがアプリ サービスを指していることを確認してください。 A レコード そうでないと、クライアントはドメイン コントローラーから有効な Kerberos チケットを要求することに失敗します。

circle-info

この問題の詳細については、以下の既知の問題を参照してください: WS_E_ENDPOINT_ACCESS_DENIED についての詳細情報。

SCEPman がカスタム ドメインでアクセス可能になるように構成されていることを確認してください:

カスタムドメインchevron-right

同じ要件は、最初のポリシー要求(証明書テンプレートの一覧取得)の後に証明書を登録する際にも適用されます。ここでの認証を成功させるために、次の項目も設定してください: AppConfig:BaseUrl 変数をカスタム ドメインに設定するか専用の AppConfig:ActiveDirectory:BaseUrl 設定を使用してください。AD エンドポイントを他の SCEPman エンドポイントとは異なる URL で公開する必要がある場合に使用します。

hashtag
既知の問題

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

エラー: WS_E_ENDPOINT_ACCESS_DENIED 
16 進: 0x803d0005
10 進: -2143485947

このエラーは、Azure アプリ サービスのデフォルトの URI を使用している場合に CEP サーバーの検証中に発生することが知られています。このエラーは、Kerberos プロトコルがアクセス対象のサービスの A レコードのサービス プリンシパル名を要求することが原因です。デフォルトのアプリ サービス ドメインの場合、例えば contoso.azurewebsites.net は単なる CNAME であり、次のような A レコードを指します:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

このインフラストラクチャ ホストの A レコードは将来一貫しているとは限らないため、このホストにサービス プリンシパル名を追加することは 推奨されません.

アプリ サービスにカスタム ドメインを追加し、CNAME の代わりに DNS プロバイダー内で A レコードを使用してアプリ サービスを指すようにしてください。

カスタムドメインchevron-right

hashtag
ERROR_INVALID_PARAMETER

エラー: ERROR_INVALID_PARAMETER
16 進: 0x80070057
10 進: -2147024809

このエラーは、URI の先頭に http:// を入力して CEP サーバーを登録しようとした場合に発生します。 http://. 必ず CEP サーバーは次の形式でのみ登録してください https://

hashtag
ERROR_ACCESS_DENIED

マシン コンテキストで CEP サーバーを登録する際、動作しているユーザー(gpmc.msc を起動したアカウント)は、GPO を編集するコンピューター上でローカル管理者グループのメンバーである必要があります。 gpmc.msc) は GPO を編集する間、コンピューターのローカル管理者グループのメンバーである必要があります。

次の場合は必ず管理者権限で起動してください: gpmc.msc この場合は管理者権限で開始してください。

最終更新

役に立ちましたか?