Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキーム

Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキームでは、以下を実現します:

この接続スキームを使用する場合は、以下に留意してください:

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

管理サーバーのドメインアカウント

管理サーバーサービスが実行されるドメインアカウント(例:KSCMobileSrvcUsr)を作成する必要があります。管理サーバーサービスのアカウントは、管理サーバーのインストール時に、または klsrvswch ユーティリティを使用して指定できます。klsrvswch ユーティリティは、管理サーバーのインストールフォルダーにあります。

ドメインアカウントを指定しなければならない理由は次の通りです:

http/kes4mob.mydom.local のサービスプリンシパル名

ドメインの KSCMobileSrvcUsr アカウントの下で、管理サーバーがインストールされたデバイスのポート 13292 にモバイルプロトコルサービスを発行する SPN を追加します。管理サーバーがインストールされた kes4mob.mydom.local デバイスでは、次のようになります:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

TMG がインストールされたデバイス(tmg.mydom.local)のドメインプロパティの設定

トラフィックを委任するには、SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼する必要があります。

SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory ユーザーとコンピューター」という名前の Microsoft 管理コンソールスナップインで、TMG がインストールされたデバイス(tmg.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. このアカウントが委任された資格情報を提供できるサービス]リストに、SPN(http/kes4mob.mydom.local:13292)を追加します。

公開専用(カスタマイズ済み)の証明書(kes4mob.mydom.global)

管理サーバーのモバイルプロトコルを公開するには、FQDN kes4mob.mydom.global 専用(カスタマイズ済み)の証明書を発行し、管理コンソールにおいて、管理サーバーのモバイルプロトコル設定で、この証明書を既定のサーバー証明書の代わりに指定する必要があります。これを行うには、管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、次にドロップダウンリストで[証明書の追加]を選択します。

サーバー証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

TMG での公開の設定

TMG で、モバイルデバイスから kes4mob.mydom.global のポート 13292 へ向かうトラフィックに対して、FQDN kes4mob.mydom.global 用に発行されたサーバー証明書を使用して、SPN(http/kes4mob.mydom.local:13292)の KCD を設定する必要があります。公開中、および公開済みのアクセスポイント(管理サーバーのポート 13292)は、同じサーバー証明書を共有する必要があることに留意してください。

関連項目:

公開鍵基盤との統合

管理サーバーへのインターネットアクセス

管理サーバーが LAN 内にありインターネット経由で管理対象デバイスに接続している構成(TMG を使用)

ページのトップに戻る