[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
証明書関連は難解なので、まず信頼おける書籍を熟読し、実機を十分に操作し検証確認してから質問するようにということだろう。
(質問)
証明書テンプレート、自動証明書要求などについて
1Windows2003の証明書テンプレートコンソールをみているのですが、自動登録欄に許可や不許可とあるテンプレートがありますがこれは何を意味するのでしょうか?ここで許可となっているテンプレートがグループポリシーの自動証明書要求で使えるのかなとおもったのですが、許可となっているテンプレートがすべて表示されるわけではないですし。自動証明書要求で要求できる証明書の種類を増やすにはどうすればよいでしょうか?
2証明書の秘密鍵ってどこに保管されるのでしょうか?ドメイン環境だとADのデータベース内??ワークグループだとファイル??
3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
よければ教えてください。
------------------------------------
(回答1)
○○○○です。
証明書サービスについて、いろいろご質問されていますね。初歩的な内容から細かいところまで、ひとつひとつに答え続けるには、ちょっと時間がありません。体系的に勉強したい、というなら、きちんとした書籍を読まれてみてはどうですか?たとえばしたのようなものがあります。
http://ec.nikkeibp.co.jp/item/books/A05400.html
>2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。
通常使用される証明書はPKCS#7形式ですので、証明書の中に存在するのは公開キーです。
秘密キーはプロファイルの中に存在しています。
>3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
はその通りです。
>4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
EFSを使用する際にDRAを使う設定(規定)にしてあれば、その通りです。
>5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
全ての証明書に存在します。CRL配布ポイント(CDP)より各クライアントはダウンロードして確認します。
>6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
証明機関を管理できますとしか答えようがありません。
いろいろとご質問されていますが、一旦ご自分で調べてみてはいかがでしょうか?その方が理解度が増すと思われます。特に○○○○さんがご紹介されている本は良書ですよ。私も持っています。証明書関連はやはり難しいのでこのような書籍をご一読された方がよろしいかと思われます。
以上、参考になれば幸いです。
(参考:個人の方のブログ)
EFSの動作に関して-MCTの憂鬱
(マイクロソフト公式解説書)
Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 (マイクロソフトITプロフェッショナルシリーズ)
[0回]
[0回]
DCが停止したときのMSCSの挙動は以下のとおりである。
DCとMSCSの共存は非推奨である。
(質問)
MSCS環境でDCが停止した場合のMSCSの挙動について
Windows Server 2003 SP2 EE (x86)でMSCS環境を構築中です。(2nodeのActive-Passive構成)
別マシン上のドメインに属しているのですが、ドメインコントローラが停止した場合のMSCSの挙動について教えて下さい。
ドメインコントローラが完全に停止した場合は、MSCS上のクラスタサービスが停止するのでしょうか?
また、クラスタサービスが停止した場合のMSCSの挙動はどうなりますでしょうか。
サービスIPが機能しない等、具体的な挙動に関する情報が提示されていたら文献等を教えて下さい。
(回答)
DCを停止した場合、各ノード上のクラスターサービスは停止しませんでした。しかし、クラスター上のリソース(クラスタ上のファイル共有)にアクセスすると認証に問題が起きたりしました。
以上、参考になれば幸いです。
(質問・続)
テストして頂きありがとうございます。
恐れ入りますが、下記ご回答頂けると幸いです。
認証に問題が起きたりしたという事ですが、
クラスタ上の共有フォルダリソースへアクセスが出来ないという事でしょうか。
また、DC停止に伴いフェールオーバは発生しない、DCが復活したタイミングでサービス側で稼働していたノードでリソースが正常に稼働するという認識で正しいでしょうか。
(回答・続)
私が確認したのはクラスタ上に作成したファイルサーバーにおいて、DCをストップし、クライアント側からファイルサーバーにアクセスする際に認証画面が上がり、適切なユーザー&パスワードを入力してもアクセスできないことになります。
DC停止のタイミングでフェールオーバーは起こりませんでした。
DCが復活した際にはリソースにアクセスできました。
以上、参考になれば幸いです。
(参考資料)
[運用]Windowsクラスタリング入門
http://www.atmarkit.co.jp/fwin2k/operation/mscluster01/mscluster01_01.html
http://www.atmarkit.co.jp/fwin2k/operation/mscluster02/mscluster02_01.html
http://www.atmarkit.co.jp/fwin2k/operation/mscluster03/mscluster03_01.html
(参考魚拓)
http://megalodon.jp/2009-0712-1050-29/www.biz.kotaete-net.net/Default.aspx?pgid=14&qid=40151232821
(参考投稿)
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/4228aa77-65b1-4853-b694-fd2dc5bf6c6d/
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/c0376797-7d47-45f4-bb8a-fb341a34dd9e/
http://social.technet.microsoft.com/Forums/ja/windowsserver2008ja/thread/6907778a-6b19-4bed-b559-cb54a3ab872b
(MSのブログ)
http://blogs.technet.com/b/askcorejp/archive/2012/04/02/t.aspx
http://blogs.technet.com/b/askcorejp/archive/2012/05/28/dc-wsfc.aspx
[0回]
(きめ細かいパスワードポリシー(PSO)を作成するための条件)
1.PSO設定に専用ツールはないので、ADSIエディタまたはLDIFDEを使用する
2.PSOはユーザーまたはグローバルグループにのみ適用できる
3.ドメイン機能レベルがWindows Server 2008でなくてはいけない
(パスワードポリシーの優先順位)
1.PSOのユーザー
2.PSOのグループ
3.ドメイン配下のGPO(Default Domain Policy)
(PSOの適応状態の確認コマンド)
dsget user <ユーザー DN> -effectivepso
(質問)
Windows Server 2008:パスワードの有効期限は、Default Domain PolicyとADSIeditで設定したPSOのどちらが有効でしょうか。
Windows Server 2008ベースのファイルサーバ及びActive Directoryを運用しているのですが、以下内容にて原因がお分かりになる方がいらっしゃいましたら、ご教授いただきたく宜しくお願いいたします。
【質問内容】
adsiedit.mscを使ったPSOの設定で「msDS-MaximumPasswordAge 0」とし、ドメイン配下の全てのグループにリンクして運用しているのですが、しばらくファイルサーバにアクセスしないとパスワードがはねられるという問い合わせがあり、「パスワードの有効期間42日」が悪さをしているのではないかと指摘されました。gpedit.mscで確認できるパスワードの有効期間は「42日」となっています。
PSOを設定した場合は、Default Domain Policyで制御されていたパスワードポリシーがPSOの制御にシフトされると理解していたのですが、やはり何か悪さをしているのでしょうか。
また、このような現象を起こさないためには、全アカウントのアカウントオプションで「パスワードを無期限にする」をチェックしておいたほうがよいのでしょうか。
そもそもの理解が間違っておりましたら、合わせてご指摘いただけると大変助かります。
宜しくお願いいたします。
----------------------------
(回答)
まず、「きめ細かいパスワードポリシー」(以下、PSO)の使用方法がおかしいと思われます。
ドメイン配下のすべてのユーザーに対する設定であれば、Default Domain Policyで設定すればよく、PSOは特定のグループ(もしくはユーザー)に対して設定を行うものです。
さて、PSOを使用するための条件としては、ドメイン機能レベルがWindows 2008でなければなりません。
そこでパスワードポリシーの優先順位は以下の通りです。
PSOのユーザー
PSOのグループ
ドメイン配下のGPO(Default Domain Policy)
ここで重要なことはユーザーに対して設定されるパスワードポリシーとして適用できるPSOは1つだけです。
次のコマンドを使うことによってPSOの適応状態を確認することができます。
dsget user <ユーザーの識別名> –effectivepso
また私のブログにも情報がまとめてありますのでよろしければご覧ください。
以上、参考になれば幸いです。
(MSのページ)
http://technet.microsoft.com/ja-jp/library/cc770842(WS.10).aspx
[0回]
1年(365日)前のシステム状態データのバックアップは廃棄済みオブジェクト (Tombstone) の有効期間(通常60日または180日)を過ぎているので使えない。また、FSMOの役割をすべて持っているドメインコントローラのHDDが壊れた場合、別の新サーバーへOSからインストールしても壊れたドメインコントローラのシステム状態データのバックアップからではActive Directoryデータベースは復元できない。
(質問)
ドメインコントローラー復旧
お世話になります、
windows2003serverを使用したドメインコントローラー2台の環境でドメインを運用していましたが、
FSMOを所有している方のドメインコントローラーがクラッシュしました。
ところが、クラッシュしたサーバーのバックアップは1年前のシステムステートのバックアップしかデータがありません。クラッシュしたサーバーを新たなマシンで再現したいのですが、以下ページを参考にしようと考えています。
ここで質問ですが、
ディレクトリ復元モードで起動する前段階として
windows2003serverをインストールした後
1、既存のドメインのメンバサーバーになる必要はありますか?
2、ActiveDrictoryをインストール必要はありますか?
あと必要な事があれば作業順に従って
お教え願いたく存じます、宜しくお願いします
------------------------------------
操作手順はしたの個人の方のプログが分かりやすい。
ドメインの最初に構築したFSMOドメインコントローラーの復元方法-ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻
こちらにも似たような投稿がある。
(MSのKB)
文書番号: 216498 -
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
(古いITProの資料)
Active Directoryにコンピュータなどを新規登録しても削除されてしまう-ITPro(2002/07/01)
(MSのWebCast)
Active Directory のリストア
[0回]
セキュリティテンプレートはWindows 2000 Server、Windows Server 2003ではOS自体にセキュリティの設定を定義したひな形として組み込まれていたが、Windows Server 2008ではツールをダウンロードし、企業ごとにそのファィルをカスタマイズしGPOにインポートしてセキュリティ環境を構築する。
(質問)
サーバー構築時のセキュリティテンプレートの利用について。
MCPの70-293問題でよくhisecws.infとかのセキュリティテンプレートなどがよくでてきます。
Windowsサーバを実務で構築したことがないのでわからないのですが、実務ではセキュリティテンプレートをカスタマイズしてインポートして構築することが多いのでしょうか?
またグループポリシーの設定についても設計書にすべての設定を記述するとかなりの量になりますが、デフォルトの設定から変更した分だけ設計書に記載するといった感じなのでしょうか?
構築経験がないので教えてください。
------------------------------------
(回答)
すでに試験問題作成委員会さんがお答えしていますが、補足情報として追加いたします。
現在マイクロソフトからはOSごとのセキュリティガイドというものが提供されています。そのセキュリティガイドにはマイクロソフトが推奨する設定が記載されていることになります。しかし、それを一から手作業で構築するのは大変なので2003ではセキュリティガイドに乗っ取ったセキュリティテンプレートが提供されています。よって、そのセキュリティテンプレートをベースに企業ごとにカスタマイズして適用することが推奨されています。
以上、参考になれば幸いです。
(MSページ)
Windows Server 2003 セキュリティ ガイド
http://www.microsoft.com/downloads/details.aspx?FamilyID=66994ba0-c977-41c8-a698-ef6edb9a4b52&displayLang=ja
Windows Server 2008 セキュリティ ガイド
http://technet.microsoft.com/ja-jp/security/ff708743
定義済みのセキュリティ テンプレート
http://technet.microsoft.com/ja-jp/library/cc787720(WS.10).aspx
[HOWTO] Windows 2000 のセキュリティ テンプレート スナップインでセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=313434
[HOWTO] Windows Server 2003 でセキュリティ テンプレート スナップインを使用してセキュリティ テンプレートを定義する方法
http://support.microsoft.com/default.aspx?kbid=816297
(参考ブログ)
http://kinshachi.ddo.jp/blog/comp/archives/000504.html
[0回]
(質問)
Windos7 SP1に管理ツールがインストール出来ない
Windos7 SP1にリモート管理ツールをインストールしようとすると「お使いのコンピュータでは適用できません」と出て適用出来ない。
sp1用の管理ツールがリリースされるのか、修正がでるのか?
---------------------------
(回答)
4月ぐらいだそうな。
それまでは、SP1適用ま前にリモート管理ツールを入れてください。だそうです。
重要性は認識している、ということですので、早急に出してほしいものです。
「Installing the RSAT tools on Windows 7 SP1 installations」
(参考資料)
http://www.atmarkit.co.jp/fwin2k/win2ktips/066admintools/admintools.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/1031rsat/rsat.html
Windows XPでは、adminpak.msiをインストールする。
※したよりダウンロードできる。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア