ADCS Kerberos認証の証明書統合でのRPCの落とし穴

最近、Windows Active Directoryチームより、Kerberos認証証明書とドメインコントローラーの証明書統合の記事があり、統合後、自動発行ポリシーも組んでそちらを試していたのですが、まあ、RPC認証に失敗して発行されないなんてことがありまして。

Firewall周りを調べても、ローカルネットワーク内のRPCは正常に動作してるのでなぜ?と思っていたところ、ADCSの設定が必要なことをやっと突き止めることができました。
日本語での解説は見当たらなかったので、いろいろ見てたら記載があって助かりました。

Active Directory ユーザーとコンピューターを開き、BuiltInにある、

Certificate Service DCOM Access セキュリティグループ

このグループのメンバーに対象の自動登録を付与したアカウントを登録しなければならない。
まあ、うちの場合ですと、

  • Domain Controllers
  • Domain Computers
  • Domain Users

ですね。

その後、ADCSの設定変更をするということで

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

を実行し、Certsrvを再起動後、やっとこさRPCエラーで失敗していた、Kerberos認証を含む証明書の登録が正常になりました。

こういう細かいところ、なかなか発見しづらいので手間はかかりますがやっぱり面白いところです。

Windows Server Ver.1903以降のIn-Place Upgrade

一応、Windows Server Insiderもやっているのですが、Windows Server Ver.1903になる直前から、うちの環境でIn-Place Upgradeできなくなってしまいました。

  • ADDS
  • ADCS
  • シェルをPowerShellに変更(ポリシー)

インストール30%終了後の再起動後、サークル表示でデバイス認識などして、31%以降始まりますが、サークル表示のまま進まない現象でした。(1日経ってもそのままだったり)

ずっと悩んでて、結局Ver.1903や、現在のWindows Server Insider Buildも、ADCSをバックアップして、クリーンインストールを繰り返していたのですが、ADDSを入れて、ドメインコントローラーになっていると、アップグレードできない現象が発生している模様。(フィードバックはしてますが、数ビルド前からやってるけどなにも・・・)
・・・いや、降格させてから、何事もなかったように31%以降すすむので呆気に取られたりも。

ADDS+ADCSの場合、ADCSをアンインストールしないとドメインコントローラーから降格できないので、

  1. ADCSのバックアップ
  2. ADCS付随機能のアンインストールー>再起動
  3. ASCS本体のアンインストールー>再起動
  4. ADDSの降格ー>自動再起動
  5. アップグレード
  6. ADDS昇格ー>自動再起動
  7. ADCSのインストールおよび復元

・・・と、結局手間はほぼ同じなんですけどね。

まあ、Powershellにしているせいかと思って、CMDに戻してみましたが、関係ありませんでしたハイ。

ADCS ネットワークデバイス登録サービスのテンプレート変更

以前、NDESでMSR954 ルータの証明書を要求するを書きましたが、NDESの設定がしっかりしていることが前提でした。
今回は、NDESが発行するテンプレートの変更方法を記載します。

HPE MSR954などのWeb管理ルータなどで証明書を使用する場合、サーバー認証が必要なのですが、NDESのデフォルトテンプレートではIKE中間しか用途が設定されていないので、Webアクセスしようとすると、証明書エラー、エラーコード0ではねられます。

ですので、NDESが発行するテンプレートを変更することで、MSR954などでHTTPSアクセスを行えるようにします。もっと読む...

HPE MSR954 その3 ADCS(NDES)から証明書を取得する

HPE MSR954ですが、Comware V7.1 CLIに悪戦苦闘しております。

msr954_certificate

とりあえず、自己署名はつかいたくないので、ADCSのNDES(ネットワークデバイス登録サービス)から、CA証明書および、証明書を取得してみようと思います。

もっと読む...

Month List