Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキームでは、以下を実現します:
この接続スキームを使用する場合は、以下に留意してください:
以下の方法のいずれかを使用して、ユーザー証明書が、上述の要件を満たしていることを確認できます:
以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:
管理サーバーのドメインアカウント
管理サーバーサービスが実行されるドメインアカウント(例:KSCMobileSrvcUsr)を作成する必要があります。管理サーバーサービスのアカウントは、管理サーバーのインストール時に、または klsrvswch ユーティリティを使用して指定できます。klsrvswch ユーティリティは、管理サーバーのインストールフォルダーにあります。
ドメインアカウントを指定しなければならない理由は次の通りです:
http/kes4mob.mydom.local のサービスプリンシパル名
ドメインの KSCMobileSrvcUsr アカウントの下で、管理サーバーがインストールされたデバイスのポート 13292 にモバイルプロトコルサービスを発行する SPN を追加します。管理サーバーがインストールされた kes4mob.mydom.local デバイスでは、次のようになります:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
TMG がインストールされたデバイス(tmg.mydom.local)のドメインプロパティの設定
トラフィックを委任するには、SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼する必要があります。
SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:
公開専用(カスタマイズ済み)の証明書(kes4mob.mydom.global)
管理サーバーのモバイルプロトコルを公開するには、FQDN kes4mob.mydom.global 専用(カスタマイズ済み)の証明書を発行し、管理コンソールにおいて、管理サーバーのモバイルプロトコル設定で、この証明書を既定のサーバー証明書の代わりに指定する必要があります。これを行うには、管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、次にドロップダウンリストで[証明書の追加]を選択します。
サーバー証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。
TMG での公開の設定
TMG で、モバイルデバイスから kes4mob.mydom.global のポート 13292 へ向かうトラフィックに対して、FQDN kes4mob.mydom.global 用に発行されたサーバー証明書を使用して、SPN(http/kes4mob.mydom.local:13292)の KCD を設定する必要があります。公開中、および公開済みのアクセスポイント(管理サーバーのポート 13292)は、同じサーバー証明書を共有する必要があることに留意してください。