ADCS を展開する際、ドキュメントでは、Microsoft は ADCS を構成するサービスにサービス アカウントを使用することを推奨しています。問題は、これらを個別に管理する必要があるかどうか、ホストを共有できるかどうか、また Kerberos 委任が関係しているためにリモート サーバー マネージャーからのアクセスが失われるかどうかについて言及されていないことです。
私はしばらく前にこれを修正する方法を学びました。なぜなら、同じ問題がADFS*展開されます: コンピュータの制御はサービスアカウントによって盗まれますが、ご存知のとおり、マシン アカウントに Active Directory エイリアス (CNAME) を追加するだけで、この権限を取り戻すことができます。例:
…CAがLOCKSMITHと呼ばれていたら…
netdom computername locksmith /add:ceslocksmith.domain.tld
netdom computername locksmith /add:ceplocksmith.domain.tld
netdom computername locksmith /add:nedeslocksmith.domain.tld
…あるいはサブドメインかもしれません(この考えは試したことはありません)
netdom computername locksmith /add:ces.locksmith.domain.tld
…
そこで私はこう思ったのですもしADCS が使用する可能性のある各サービス アカウント (CES、CEP、NDES) にエイリアスを追加します。推奨に従ってそれぞれを同じマシンで実行できます。おそらくベストプラクティスに反するだろうが— ただし、フォーラムのような場所でこんなものを見つけました。CES の複数のインスタンス(農場では)すべて実行する必要があります同じサービスアカウント他のサービスについては言及されていない。しかし、それらも同じサービスアカウントを共有すべきなのか、それとも個々のサービスで問題ないのか?に縛られてシングルエンタープライズ CAそれぞれ独自のサービス アカウントで実行しますか?
ありがとう。
*: 実際、ADFSの場合はさらに悪い状況です。何年もの間、ドキュメントでは間違ったKerberos を使用するように誤って示されていました。サービスではなく
service/PRINCIPALを示しています。hosthttphttpアカウントへの権限の付与はせいぜいリモート管理やPowerShellリモート操作から締め出される程度だが、ホストの制御権をマシンのアカウントから奪うとドメインから孤立してしまう。さらに悪いことに、これは最優秀選手s や他の人たちが自分のブログで紹介しています。
答え1
時間の遅れと完全な答えではないことを考えると、これはおそらく今では無関係ですが、ここにあります。
NDESコネクタ(SCEP用)は発行CAサーバにインストールすべきではないので、これは問題外です。適切な「証明書発行」権限をCAに委任し、その他の要件を満たした独自のサービスアカウントとして実行する必要があります。ドキュメント。
CES/CEPの場合は、必要に応じてインストールします。たとえば、クロスドメインまたはドメインに参加していないマシン/外部ユーザー証明書の登録などです。個人的には、CAサーバー上にない方がうれしいのですが、できるそこにデプロイします。デフォルトでは、Web サービスのアプリケーション プール ID が使用されますが、これをドメイン ユーザー アカウントに変更することができます (変更する必要があります)。また、(g)MSA を使用してサービスを実行できることにも注意してください。このドキュメントかなり古いですが、それでも最も完全です。
ドキュメントには、CAにCES/CEPをインストールすると、次の問題が発生する可能性があると記載されています。そのため、私は個人的にこれらのサービスを他の場所で実行します。もしそれらは必須です。
Kerberos 認証用に構成された証明書登録ポリシー Web サービスまたは証明書登録 Web サービスと同じホストで他の Kerberos 認証された http/https サービスが実行されている場合、SPN の衝突により登録が失敗する可能性があります。解決策としては、すべてのサービスを同じユーザー アカウントとして実行するように構成します。
最後に、どのドキュメントに従っているのか、どのバージョンのADCSを導入しているのかは不明ですが、CAサーバーをNTLMリレー攻撃から保護することを忘れないでください。KB5005413理想的には、ドメイン コントローラ (ほとんどのエンタープライズ環境ではかなり困難) または各 CS サーバー (CA サーバーまたは CES サーバー) で NTLM 認証を無効にすることを意味します。最小限の回避策は、https を要求し、登録 Web サービスで認証の拡張保護 (EPA) を構成することです。