コンテンツにスキップ
TSplus ドキュメンテーション ®
変更履歴

Active Directory ドメインで Windows 統合認証を有効にする

このガイドは、Webポータル上でグループ管理サービスアカウント(gMSA)を使用してWindows統合認証(Kerberos/NTLM)を構成するために提供されています。

各企業のネットワークとアーキテクチャの特性により、このドキュメントに従って発生する問題に対するサポートを提供することはできません。Windows統合認証を使用したWebポータルの技術要件を満たしていますが、実装は自己責任となります。

ドメイン設定

Active Directory 環境は Kerberos または NTLM 認証をサポートする必要があります。

マネージドサービスアカウント (gMSA) を設定する

Webポータルサービスをインストールし、それを実行します。 ドメイン管理サービスアカウント ドメイン管理者アカウントの代わりに。

前提条件

  • Active Directory スキーマレベル: Windows Server 2012 または後(gMSAに必要)
  • 少なくとも1つのドメインコントローラーが実行されています Windows Server 2012 または後で
  • KDSルートキーが作成されました(初回設定)
  • メンバーシップに ドメイン管理者 または アカウントオペレーター アカウントを作成する

KDSルートキーを作成します(まだ作成されていない場合)。

ドメインコントローラーで昇格されたPowerShellセッションで実行します:

ターミナルウィンドウ 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

これにより、ルートキーがすぐに利用可能になります。

gMSAを作成する

使用 New-ADServiceAccount :

ターミナルウィンドウ 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • 名前 gMSAアカウント名
  • DNSホスト名 アカウントのFQDN
  • 管理されたパスワードを取得することが許可されている主な者 コンピュータ/グループがこの gMSA を使用することを許可されています

管理者権限を付与する(オプション / 必要に応じて)

デフォルトでは、gMSAには特別な特権はありません。

ドメインレベルのアクセスを付与する(オプション):

ターミナルウィンドウ 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

ローカル管理者/ログオン機能を付与する(必要な場合):

ターミナルウィンドウ 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

重要: 末尾 $ AD内のgMSAアカウント参照に必要です。

再起動要件

再起動が必要です。サービスアカウントのインストール/使用を続行する前に、ポリシーを更新してください。

ターゲットサーバーにgMSAをインストールします

各gMSAを使用するサーバーで実行します:

ターミナルウィンドウ 
Install-ADServiceAccount -Identity "WebPortalSvc"

テストインストール:

ターミナルウィンドウ 
Test-ADServiceAccount -Identity "WebPortalSvc"

gMSAを使用するサービスを構成する

  1. 付与 サービスとしてログオン アカウントに:

    • グループポリシーエディターを開く
    • 行く: コンピュータの構成 > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権利の割り当て
    • オープン サービスとしてログオン
    • 追加 DOMAIN\WebPortalSvc$

  2. Webポータルのファイル/フォルダーにNTFS権限を確保してください:

    • アプリケーションフォルダー/実行可能ファイルを右クリック > プロパティ > セキュリティ
    • 追加 DOMAIN\WebPortalSvc$
    • 少なくとも 読み取りと実行 または 完全な制御 必要に応じてデプロイメントによって

  3. サービスIDを構成する:

    • アカウント: DOMAIN\WebPortalSvc$
    • パスワード: 空白のままにしてください

サービス プリンシパル名 (SPN) を構成する

ウェブサービスはKerberosに登録されている必要があります。

ドメインコントローラーで実行:

ターミナルウィンドウ 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

サーバーのFQDNとアカウントを置き換えてください。

WebポータルホスティングサーバーがHTTP.sysを使用している場合、マシンアカウントに対してSPNを登録します。

ターミナルウィンドウ 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

クライアントマシンのネットワークを構成する

ドメイン参加クライアントを正しいサブネットに配置するには:

  1. 正しいネットワークインターフェースを特定する
  2. 既存の静的IPを削除する(不正確な場合)
  3. 静的IP、サブネットマスク、およびDNS/DCサブネットに一致するデフォルトゲートウェイを割り当てる
  4. DNSサーバーアドレスを設定する

重要: ドメインコントローラーとクライアントに静的IPアドレスを割り当ててください。この文脈では、セキュリティポリシーの同期には、マシンが同じサブネット内にある必要があります。

必要なクライアント接続を許可する

UDP/TCP 53 ブロックされる可能性があり、DNSクエリを防ぐことがあります。

トラブルシューティング手順

DNSサーバーのステータスを確認する

ドメインコントローラー上:

ターミナルウィンドウ 
net start DNS

DNSサービスが実行中であることを確認してください。

DNSサーバーIPを確認する

クライアント上:

ターミナルウィンドウ 
ipconfig /all

DNSサーバーのIPがドメインコントローラーのIPと一致していることを確認してください。

基本接続のテスト

クライアント上:

ターミナルウィンドウ 
ping <DC_IP_Address>

pingが失敗した場合は、ネットワーク/ファイアウォールのルーティングをトラブルシューティングしてください。

ファイアウォールルールを確認してください

クライアントとサーバーで、インバウンド/アウトバウンドのUDP/TCP 53が許可されていることを確認してください。

nslookupでテスト

ターミナルウィンドウ 
nslookup domain.com <DC_IP_Address>

これが機能する場合、デフォルトのDNSサーバーが誤って設定されているか、到達できない可能性があります。

イベント ビューアをレビュー

ドメインコントローラーで、DNS関連のエラーを確認してください。

Windows統合認証のためにMozilla Firefoxを設定する

FirefoxはデフォルトでWIAを使用しません。

ステップ1: 信頼された交渉URI

  1. Firefoxを開く
  2. 行く about:config
  3. 警告を受け入れる
  4. セット network.negotiate-auth.trusted-uris あなたのドメインに、例えば:
    • intranet.domain.com, domain.com

ステップ2: 信頼されたNTLM URI

セット network.automatic-ntlm-auth.trusted-uris 同じドメインリストへ。

ステップ3: Kerberos委任URI(必要な場合)

セット network.negotiate-auth.delegation-uris 例えば:

  • domain.com

ステップ4:ブラウザを再起動する

Firefoxを再起動して変更を適用してください。

Windows統合認証のためにGoogle Chromeを設定する

ChromeはWindows/system認証設定を使用します。

  1. Chrome ADMX テンプレートをダウンロード:
  2. コピー chrome.admx そして chrome.adml へ:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\ja-JP
  3. オープン gpedit.msc
  4. 行く:
    • コンピュータの構成 > 管理用テンプレート > Google > Google Chrome
  5. イントラネットサイトの統合認証を有効にし、信頼されたサイトを構成します:
    • intranet.domain.com, domain.com
  6. ポリシーを適用:
ターミナルウィンドウ 
gpupdate /force

他の方法

この文脈では、他の方法(Chromeコマンドラインスイッチとフラグ)は成功しませんでした。

Microsoft EdgeをWindows統合認証用に構成する

EdgeはMicrosoft EdgeポリシーとWindowsセキュリティゾーン設定を使用します。

イントラネットゾーンでの自動ログオンを有効にする

  1. インターネットオプションを開く
  2. セキュリティ タブ > ローカルイントラネット > カスタムレベル
  3. ユーザー認証 、設定:
    • イントラネットゾーンでのみ自動ログオン

GPOを介してEdgeポリシーを構成する

ステップ 1: Edge ADMX テンプレートをインストールする
  1. ダウンロード:
  2. コピー msedge.admx そして msedge.adml へ:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\ja-JP
ステップ2:ポリシー設定を編集する
  1. オープン gpedit.msc
  2. 行く:
    • コンピューターの構成 > 管理用テンプレート > Microsoft Edge
  3. 有効にする:
    • Microsoft Edgeが資格情報を委任できるサーバーのリストを構成します
  4. 信頼できるサーバーを構成する:
    • intranet.domain.com, domain.com
ステップ3:ポリシーを適用する
ターミナルウィンドウ 
gpupdate /force

他の方法

この文脈では、他の方法(Edgeコマンドラインスイッチとフラグ)は成功しませんでした。

統合認証のトラブルシューティング

Kerberosチケットを確認する

Windowsクライアントで:

ターミナルウィンドウ 
klist

チケットが表示されるはずです HTTP/webserver.domain.com .

キャッシュされた資格情報/チケットをクリア

ターミナルウィンドウ 
klist purge

SPN登録を確認する

ドメインコントローラー上:

ターミナルウィンドウ 
setspn -L serviceaccount

確保する HTTP/webserver.domain.com リストされています。

FirefoxでKerberosをデバッグする

Firefoxをログ記録モードで起動:

ターミナルウィンドウ 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

レビュー firefox.log 認証エラーの場合。

Chromeポリシーを確認する

Chromeで開く: 

chrome://policy

確保する AuthServerWhitelist そして AuthNegotiateDelegateWhitelist 適用されます。

エッジポリシーを確認する

Edgeで開く: 

edge://policy

確保する AuthServerWhitelist そして AuthNegotiateDelegateWhitelist 適用されます。

他の言語でサイトを表示しますか?

英語
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
言語を変更する