ディレクトリサービス用のWindowsサーバーの設定

この記事は、Catoクラウド内のポップがActive Directoryドメインコントローラーと統合できるように、Windowsサーバーの設定と権限を構成する方法を説明しています。

注意

注意：

この記事のスクリーンショットと手順は、Windows Server 2016 に基づいています。他のバージョンでは、詳細が異なる場合があります。
LDAPサービスのためのCatoのIPアドレスに関する詳細情報が必要な場合は、LDAP Syncの問題を解決するを参照してください（この記事を閲覧するにはCatoナレッジベースにログインする必要があります）。

ディレクトリサービス用の新しいドメインユーザーの作成

CatoアカウントとADドメインの統合のために専用のドメインユーザーを作成します。

このユーザーのADパスワード要件は以下の通りです：

パスワードの有効期限なし
初回ログイン時にパスワード変更を強制する設定を無効にする

ディレクトリサービス用のユーザーを作成するには：

新しいドメインユーザーを作成します（このユーザーはCatoディレクトリサービス専用です）。
メンバータブで、ユーザーがドメインユーザーグループのメンバーであることを確認します。
ユーザーを次のグループに追加します：
- Distributed COM ユーザー
- イベントログリーダー
OKをクリックしてユーザーを作成します。

DCOM設定の構成

Catoクラウド内のポップがドメインとリモートで通信できるように、WindowsサーバーでこれらのDistributed COM（DCOM）設定を構成します。構成が必要なDCOM設定は以下の通りです：

Windowsサービス
DCOMプロパティとプロトコル
COMセキュリティ権限

Windowsサービスの設定

サーバー、リモートレジストリ、WMIパフォーマンスアダプタWindowsサービスを開始し、Windowsサーバーと共に自動的に起動するように設定します。

注意

注意：WMIパフォーマンスアダプタサービスは他のバージョンのWindowsサーバーではWMIと呼ばれます。

Windowsサービスを有効にするには：

実行メニューからservices.mscと入力し、OKをクリックします。
サービスウィンドウで、各サービスサーバー、リモートレジストリ、WMIパフォーマンスアダプタが開始され、自動起動に設定されていることを確認します。
1. サービスプロパティを変更するには、サービス名を右クリックし、プロパティをクリックします。
2. スタートアップの種類で、自動を選択します。
3. サービス状態が開始されていない場合は、開始をクリックします。
OKをクリックし、サービスウィンドウを閉じます。

DCOM通信プロパティとプロトコルの設定

DCOMプロパティは、サーバーの認証と偽装レベルを定義します。サーバーの認証レベルを接続に設定し、セッションキーが認証ハンドシェイクのみに使用されることを意味します。

偽装レベルを識別に設定し、ポップがカトディレクトリサービスに関連するユーザーデータのみをアクセスできるようにします。

サーバー用のDCOMプロトコルシーケンスは、サーバーがネットワークでどのように通信するかを定義します。ディレクトリサービスは、接続指向のTCP/IPプロトコルを使用します。

ディレクトリサービスのDCOMを設定するには：

実行メニューからdcomcnfgと入力し、OKをクリックします。 コンポーネントサービスウィンドウが開きます。
コンポーネントサービス > コンピュータ > マイコンピュータから、マイコンピュータを右クリックし、プロパティを選択します。 マイコンピュータのプロパティウィンドウが開きます。
WindowsサーバーのDCOM通信プロパティを設定します：
1. マイコンピュータのプロパティウィンドウで、デフォルトのプロパティタブを選択します。
2. このコンピュータで分散 COM を有効にするを選択します。
3. デフォルト認証レベルから、接続を選択します。
4. デフォルト偽装レベルから、識別を選択します。
DCOM プロトコルに接続指向の TCP/IPが含まれていることを確認します。
1. デフォルトプロトコルタブをクリックします。 DCOM プロトコルに接続指向の TCP/IPが含まれている場合、以下のステップ 6 に進みます。
2. 追加をクリックします。 DCOM プロトコル選択ウィンドウが開きます。
3. プロトコルシーケンスから、接続指向の TCP/IPを選択します。
4. OKをクリックして、DCOM プロトコル選択ウィンドウを閉じます。
OKをクリックします。
DCOM マシン全体の設定を変更する通知メッセージが表示されます。継続するには、はいをクリックします。

COM セキュリティ権限の設定

コンポーネントサービスウィンドウ（dcomcnfg）で、COM セキュリティのアクセス権限と、ポップがデフォルトアクセスを持つように、起動およびアクティビティ権限を設定します：

分散 COM ユーザー
イベントログリーダー

ディレクトリサービスの COM セキュリティ権限を構成するには：

必要に応じて、コンポーネントサービス > コンピューター > マイコンピューターからマイコンピューターのプロパティウィンドウを開き、マイコンピューターを右クリックし、プロパティを選択します。
COM セキュリティタブをクリックします。
分散 COM ユーザーおよびイベントログリーダーのデフォルトアクセス権限を構成します：
1. アクセス権限で、デフォルトを編集をクリックします。
2. グループまたはユーザー名 の下で、次の権限を持つ分散 COM ユーザーを追加して設定します：
  - ローカルアクセス - 許可
  - リモートアクセス - 許可
3. イベントログリーダー グループ用に前の2つの手順を繰り返します。
4. OK をクリックします。
分散 COM ユーザーとイベントログリーダーの起動権限を構成します：
1. 起動とアクティベーションのアクセス権 で、既定の編集 をクリックします。
2. グループまたはユーザー名 の下で、次の権限を持つ分散 COM ユーザーを追加して設定します：
  - リモートランチ - 許可
  - リモートアクティベーション - 許可
3. イベントログリーダー グループ用に前の2つの手順を繰り返します。
4. OK をクリックします。
OK をクリックし、マイコンピュータのプロパティ と コンポーネントサービス ウィンドウを閉じます。 COM セキュリティ権限が設定されました。

Windows Server WMI の構成

このセクションでは、Cato User AwarenessがポップからWindowsサーバーにWMIクエリを送信するのを許可するために、WMI権限を設定する方法について説明します。

Cato管理アプリケーションに接続するためのWMI設定の構成

リモートコンピュータにWMIを使用して接続するためには、接続のために正しいDCOM設定およびWMI名前空間のセキュリティ設定が有効になっていることを確認してください。

Cato管理アプリケーションからの接続を許可するためにWMI設定を構成する方法についての詳細は、Microsoftのドキュメントを参照してください。

WMIのユーザーアクセスの構成

DCOMアクセス用に構成したユーザーまたはグループは、ADユーザーのログインイベントにアクセス可能なWMIの権限を持っている必要があります。分散 COM ユーザーとイベントログリーダーのリモートアクセスを許可するようにWMIを構成します。

WMIユーザーアクセス設定を設定するには：

実行メニューから、wmimgmt.mscを入力し、OKをクリックします。 Windows Management Instrumentationウィンドウが開きます。
WMI Control (Local)を右クリックし、プロパティを選択します。 WMI Control (Local) Propertiesウィンドウが開きます。
セキュリティタブを選択します。ネームスペースメニューツリーが表示されます。
ルートブランチを展開し、CIMV2をクリックします。
メニューツリーの下のセキュリティをクリックします。 ROOT\CIMV2のセキュリティウィンドウが開きます。
分散COMユーザーおよびイベントログリーダーの起動権限を設定する
1. グループまたはユーザー名の下で、以下の権限を使用して分散COMユーザーを追加および設定します：
  - アカウントを有効化 - 許可
  - リモート有効化 - 許可
2. イベントログリーダーのために前のステップを繰り返します。
分散COMユーザーの高度な監視を設定します：
1. 分散COMユーザーを選択し、高度な設定をクリックします。 CIMV2の高度なセキュリティ設定ウィンドウが開きます。
2. Principal列で、分散COMユーザーを選択し、編集をクリックします。 CIMV2の権限エントリーウィンドウが開きます。
3. 適用範囲ドロップダウンメニューで、このネームスペースおよびサブネームスペースを選択します。
OKをクリックします。 CIMV2の高度なセキュリティ設定ウィンドウを閉じます。
イベントログリーダーの高度な設定を構成します：
1. イベントログリーダーを選択し、高度な設定をクリックします。
  
  CIMV2の高度なセキュリティ設定ウィンドウが開きます。
2. 主体列でイベントログリーダーを選択し、編集をクリックします。 CIMV2の権限入力ウィンドウが開きます。
3. 適用ドロップダウンメニューで、この名前空間とサブ名前空間 を選択します。
OKをクリックしてCIMV2の高度なセキュリティ設定ウィンドウを閉じます。
クリック OK して ROOT\CIMV2のセキュリティ と WMIコントロール（ローカル）プロパティ ウィンドウを閉じます。

WMIユーザーアクセス設定が構成されています。

WMIコントローラーレジストリの設定

Windowsレジストリを編集して、分散COMユーザーおよびイベントログリーダーに読み取り権限を与えます。

WMIコントローラーのレジストリの権限を構成するには：

Regeditを実行します。
移動先

HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\

サービス\Eventlog\セキュリティ
セキュリティフォルダを右クリックし、権限を選択します。
これらのグループを参照のみの権限で追加および構成します：
- 分散COMユーザー
- イベントログリーダー
OKをクリックします。

IPsecトンネルを使用したWMIコントローラーの設定

接続開始時刻DCへの接続は、Catoシステム範囲内の送信元IPを使用するため、Catoソケットに接続するためにIPsecトンネルを使用している場合は、Catoシステム範囲のフェーズ2を構成する必要があります: 10.254.254.12。

デフォルトのシステム範囲ではなくカスタム範囲を使用するアカウントの場合は、ユーザー認識同期に基づいて固定IPアドレスを計算するためにカスタム範囲を使用します。固定IPアドレスはカスタム範囲の9番目です。例として、カスタム予約範囲が10.10.10.0/16の場合、固定IPアドレスは10.10.10.9です。

小規模IP範囲を使用するアカウントは、カスタム範囲の9番目を引き続き使用します。例として、カスタム予約範囲が10.200.200.64/28の場合、固定IPアドレスは10.200.200.73 (10.200.200.64 + x.x.x.9)です。

"DCOMを許可するためのWindowsファイアウォールの設定"

システム範囲（またはカスタム範囲）の固定IPアドレスへのアクセスを許可するためにWindowsまたはサードパーティのファイアウォールを設定します。システム範囲とカスタム範囲に関する詳細については、上記のIPsecトンネルを使用したWMIコントローラーの設定を参照してください。

"Windowsファイアウォールを使用している場合は、DCOM通信を許可する例外を追加する必要があります"
"Windows ServerとCato Networkの間にサードパーティのファイアウォールを使用している場合は、同じ例外を追加します"

DCOM通信を許可するためにWindowsファイアウォールを設定するには：

実行メニューを開きます。
wf.mscと入力し、OKをクリックします。
インバウンドルールを選択します。
アクションメニューで、新規ルールを選択します。 新規インバウンドルールウィザードが開きます。
カスタムを選択し、次へをクリックします。 プログラムウィンドウが開きます。
すべてのプログラムを選択し、次へをクリックします。 プロトコルとポートウィンドウが開きます。
プロトコルタイプにはTCPを選択し、次へをクリックします。 スコープウィンドウが開きます。
このルールが適用されるリモートIPアドレスにはこれらのIPアドレスオプションを選択します。
追加をクリックします。 このIPアドレスまたはサブネットには、システム範囲の固定IPアドレスを入力します：10.254.254.12。
- カスタム範囲を使用している場合は、その範囲の固定IPアドレスを入力してください。
OKをクリックして、次に次へをクリックします。 アクションウィンドウが開きます。
接続を許可を選択し、次へをクリックします。 プロファイルウィンドウが開きます。
ルールが適用される1つ以上のネットワークプロファイルを選択し、次へをクリックします。名前ウィンドウが開きます。
ファイアウォールルールの名前を入力し、完了をクリックします。