[wip] Active Directoryの構築 2 (ADCS編)

ADCS構築

0. ADCSをADに参加させる

ADDSの操作

1. サーバーマネージャーの「ツール」>「Active Directory ユーザーとコンピューター」をクリックする

2. AD用のOUを右クリックし、「新規作成」>「ユーザー」をクリックする
   

3. ADCS用のユーザーを作成する
   ここでは、adcsというユーザーを作成する
   ユーザーログオン名にはadcsを入力し、「次へ」をクリックする
   

4. 作成したADCS用のユーザーを右クリックし、「プロパティ」をクリックする

5. 「所属するグループ」タブをクリックし、「追加」をクリックする

6. グループを検索して追加するために、「詳細設定」をクリックする

7. 共通クエリの名前に「Domain Admins」を入力し、「検索」をクリックし、「Domain Admins」を選択し、「OK」をクリックする
   

8. 同じように「Enterprise Admins」を追加する
   

9. 「OK」をクリックする
   

10. 「適用」をクリックし、「OK」をクリックして、プロパティを閉じる

参考: Domain AdminsとEnterprise Adminsとは

• Domain Admins: ドメイン全体の管理者権限を持つグループ
• Enterprise Admins: フォレスト全体の管理者権限を持つグループ

ADCSはドメイン全体の管理者権限が必要なため、Domain AdminsとEnterprise Adminsに追加する 参考: Install the Certification Authority

ADCSの操作

1. ホスト名をADCSに変更する

   Rename-Computer -NewName "ADCS"
   

2. IPアドレスを192.168.10.102に変更する

   Get-NetIPAddress | New-NetIPAddress -AddressFamily IPv4 -IPAddress 192.168.10.100 -PrefixLength 24
   

   

3. DNSをADDSに向ける

   Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses 192.168.10.100
   

   

4. 「システムの詳細設定」を開き、「コンピューター名」タブをクリックし、「変更」をクリックする
   

5. 「コンピューター名/ドメインの変更」で「ドメインに参加」を選択し、「ドメイン名」にr74tech.localを入力し、「OK」をクリックする
   

6. ドメイン参加のためにユーザー名とパスワードを入力し、「OK」をクリックする

7. 「OK」をクリックする

8. 「他のユーザーでログイン」をクリックし、サインイン先がNetBIOS ドメイン名になっていることを確認し、ログインする

1. 証明書サービスのインストール

1. サーバーマネージャーの「管理」>「役割と機能の追加」をクリックする

2. 「役割と機能の追加ウィザード」が表示されるので、「次へ」をクリックする

3. 「インストールの種類」で「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックする

4. 「サーバーの選択」で「サーバー」を選択し、対象のサーバーを選択し、「次へ」をクリックする

5. 「役割の選択」で「Active Directory 証明書サービス」を選択する

6. ポップアップが表示されるので「機能の追加」をクリックする

7. 「機能の選択」では追加するものはないので「次へ」をクリックする

8. 「Active Directory 証明書サービス」の説明が表示されるので「次へ」をクリックする

9. 「役割サービスの選択」で「証明機関」を選択し、「次へ」をクリックする

10. 「インストールオプション」で「再起動後に自動的に必要なサービスを追加する」はチェックを入れ、「インストール」をクリックする
    ここでは、撮影のためにチェックを入れていないが、実際にはチェックを入れることを推奨する

11. インストールが完了すると「構成が必要です。HOSTでインストールが正常に完了しました」と表示されるので、「閉じる」をクリックする

2. 証明書サービスの構成

1. サーバーマネージャーの「通知」に展開後構成タスクが表示されるので、「対象サーバーにActive Directory 証明書サービスを構成する」をクリックする

2. 「資格情報」で<NetBIOS ドメイン名>\adcsを入力し、「次へ」をクリックする

3. 「役割サービスの選択」で「証明機関」を選択し、「次へ」をクリックする

4. 「CAのセットアップ」で「エンタープライズCA」を選択し、「次へ」をクリックする

5. 「CAの種類」で「ルートCA」を選択し、「次へ」をクリックする

6. 「秘密キー」で「新しい秘密キーを作成する」を選択し、「次へ」をクリックする

7. 「暗号化」では「SHA256」を選択し、「次へ」をクリックする
   基本的には暗号化プロバイダーはデフォルトのRSA#Microsoft Software Key Storage Providerから変更する必要はない
   キーの長さは2048ビット以上を推奨し、ハッシュアルゴリズムはMD5などの脆弱なアルゴリズムは使用しない方が良い
   

8. 「CAの名前」では基本的にはデフォルトのままで問題ないが、必要に応じて変更する
   

9. 「CAの証明書の有効期間」では「5年」を選択し、「次へ」をクリックする

10. 「データベースの場所」ではデフォルトのままで問題ないが、必要に応じて変更する

11. 「概要」で設定内容を確認し、「構成」をクリックする

12. 「構成が完了しました」が表示されるので、「閉じる」をクリックする