ADCS Kerberos認証の証明書統合でのRPCの落とし穴

最近、Windows Active Directoryチームより、Kerberos認証証明書とドメインコントローラーの証明書統合の記事があり、統合後、自動発行ポリシーも組んでそちらを試していたのですが、まあ、RPC認証に失敗して発行されないなんてことがありまして。

Firewall周りを調べても、ローカルネットワーク内のRPCは正常に動作してるのでなぜ?と思っていたところ、ADCSの設定が必要なことをやっと突き止めることができました。
日本語での解説は見当たらなかったので、いろいろ見てたら記載があって助かりました。

Active Directory ユーザーとコンピューターを開き、BuiltInにある、

Certificate Service DCOM Access セキュリティグループ

このグループのメンバーに対象の自動登録を付与したアカウントを登録しなければならない。
まあ、うちの場合ですと、

  • Domain Controllers
  • Domain Computers
  • Domain Users

ですね。

その後、ADCSの設定変更をするということで

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

を実行し、Certsrvを再起動後、やっとこさRPCエラーで失敗していた、Kerberos認証を含む証明書の登録が正常になりました。

こういう細かいところ、なかなか発見しづらいので手間はかかりますがやっぱり面白いところです。

Month List