安全な構成

2018年6月4日

ここでは、セルフサービスパスワードリセットのコンポーネントを安全に展開し、構成するために必要な手順について説明します。

  • ユーザーパスワードのリセットおよびユーザーアカウントのアクセス権のロック解除を行うドメインユーザーアカウントの作成
  • ファイアウォール設定の構成

セルフサービスアカウントの作成

セルフサービスパスワードリセットのパスワードリセット機能とアカウントロック解除機能を使用する場合は、サービスの設定時に、パスワードリセットとアカウントロック解除の実行でセルフサービスモジュールが使用するアカウントを指定します。アカウントには適切な特権が必要ですが、実稼働環境でのDomain Adminsグループアカウントの使用はお勧めしません。推奨されるアカウント特権は次のとおりです。

  • 同じドメインに属している
  • 関連するドメインユーザーに対するパスワードリセットとアカウントロック解除の権限がある

[Active Directoryユーザーとコンピューター]で、ユーザーパスワードのリセットとユーザーアカウントのロック解除を行う権限を付与するグループまたはユーザーアカウントを作成します。

  1. [Active Directoryユーザーとコンピューター]でドメインを右クリックして、メニューの[制御の委任]をクリックします。
  2. 制御の委任ウィザードが開きます。[ウィザードの開始]ダイアログボックスで[次へ]をクリックします。
  3. [ローカルユーザーとグループ]ダイアログボックスで、[追加]をクリックします。一覧からアカウントのロック解除権限を付与するグループを選択して、[OK]をクリックします。[ユーザーとグループ]ダイアログボックスで、[次へ]をクリックします。
  4. [委任するタスク]ダイアログボックスで、[委任するカスタムタスクを作成する][次へ]の順にクリックします。
  5. [Active Directoryオブジェクトの種類]ダイアログボックスで、[フォルダー内の次のオブジェクトのみ]の[ユーザーオブジェクト]をクリックして、[次へ]をクリックします。
  6. [アクセス許可]ダイアログボックスで、[全般]チェックボックスと[プロパティ固有]チェックボックスをオンにします。[アクセス許可]の一覧で、[lockoutTimeの読み取り][lockoutTimeの書き込み][パスワードのリセット]、[パスワードの変更]、[userAccountControlの読み取り]、[userAccountControlの書き込み]、[pwdLastSetの読み取り]、[pwdLastSetの書き込み]の各チェックボックスをオンにして、[次へ]をクリックします。
  7. [オブジェクト制御の委任ウィザードの完了]ダイアログボックスで[完了]をクリックします。

ファイアウォール設定の構成

セルフサービスパスワードリセットサーバーおよび中央ストレージサーバーのコンポーネントはユーザーのパスワードを管理するため、これらのコンポーネントを信頼できるネットワークに展開し、特定の信頼できるコンポーネントのみがアクセスできるようにすることを強くお勧めします。ここでは、これらのサーバー用にWindowsファイアウォールを正しく構成する手順について説明します。また、これらのサーバーが信頼できないネットワークトラフィックから確実に隔離されるように既存のネットワークインフラストラクチャを構成することもお勧めします。

実稼働環境で以下の構成を行うと、セルフサービスパスワードリセット中央ストアサーバーへのアクセスが、メッセージブロック(Server Message Block:SMB)を使用したセルフサービスパスワードリセットサーバーのみに制限されます。また、セルフサービスパスワードリセットサーバーは、HTTPS接続を備えたStoreFrontサーバーからのみアクセスされます。

Windows 2012 R2のリモートファイル共有の展開

ローカライズされた画像

環境

  • 専用サーバーでセルフサービスパスワードリセットのコンポーネントをインストールします。既存のStoreFrontまたはDelivery Controllerコンポーネントと同じサーバーに展開しないでください。同じサーバーに展開した場合、以下に示すファイアウォール構成ではStorefrontまたはDelivery Controllerのトラフィックがブロックされる可能性があります。
  • StoreFrontとセルフサービスパスワードリセットサーバーの間には、非透過HTTP/HTTPSプロキシは設定しないでください。

非透過プロキシをStoreFrontとセルフサービスパスワードリセットサーバーの間に設定する場合は、セルフサービスパスワードリセットサーバーへのアクセスを、ファイアウォール規則に含まれるプロキシサーバーに対してのみ許可するように構成してください。

  • 以下の手順の構成は、デフォルトのWindowsファイアウォールの規則に基いています。

セルフサービスパスワードリセット中央ストアのファイアウォールを構成する

構成が完了すると、セルフサービスパスワードリセット中央ストアから提供されるSMBサービスには、セルフサービスパスワードリセットサーバーのみが受信でアクセスできるようになります。また、セルフサービスパスワードリセット中央ストアサーバーは、社内ネットワークにあるサービスに送信のみでアクセスできるようになります。

  1. サーバーマネージャーを開き、上部ナビゲーションバーの[ツール]メニューで[セキュリティが強化されたWindowsファイアウォール]をクリックします。

  2. [セキュリティが強化されたWindowsファイアウォール]ページで、中央ペインの[Windowsファイアウォールのプロパティ]をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可]にそれぞれ設定します。

ローカライズされた画像

  1. [プライベートプロファイル]タブと[パブリックプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][送信接続][ブロック]にそれぞれ設定します。変更を適用して保存します。

  2. [受信の規則][ファイルとプリンターの共有(SMB受信)]を選択して[有効]をオンにし、[操作][接続を許可する]に設定します。

ローカライズされた画像

  1. [ファイルとプリンターの共有(SMB受信)のプロパティ][スコープ]タブに移動します。[これらのIPアドレス]をオンにして、一覧にすべてのセルフサービスパスワードリセットサーバーのIPアドレスを追加します。例:セルフサービスパスワードリセットサーバーA(192.168.1.10)およびセルフサービスパスワードリセットサーバーB(192.168.1.11)。

  2. [ファイルとプリンターの共有(SMB受信)のプロパティ][詳細設定]タブをクリックして、[ドメイン][プライベート][パブリック]の各プロファイルをオンにして変更内容を保存します。

  3. 上記の手順を、[ファイルサーバーリモート管理(SMB受信)][ファイルとプリンターの共有(NBセッション受信)]の各受信規則に対しても実行します。

セルフサービスパスワードリセットサーバーのファイアウォールを構成する

構成が完了すると、セルフサービスパスワードリセットサーバーから提供されるWebサービスには、HTTPSを使用したStoreFrontサーバーのみがアクセスできるようになります。また、セルフサービスパスワードリセットサーバーは、社内ネットワークにあるサービスにアクセスできるようになります。

  1. サーバーマネージャーを開き、上部ナビゲーションバーの[ツール]メニューで[セキュリティが強化されたWindowsファイアウォール]をクリックします。

  2. [セキュリティが強化されたWindowsファイアウォール]ページで、中央ペインの[Windowsファイアウォールのプロパティ]をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可]にそれぞれ設定します。

ローカライズされた画像

  1. [プライベートプロファイル]タブと[パブリックプロファイル]タブのそれぞれで、[ファイアウォールの状態][有効]に設定します。また、[受信接続][送信接続]の両方を[ブロック]に設定します。変更を適用して保存します。

  2. [受信の規則][World Wide Webサービス(HTTPトラフィック)]を選択します。この規則を[有効]にして、[操作][接続をブロックする]に設定します。

  3. [World Wide Webサービス(HTTPSトラフィック)のプロパティ][詳細設定]タブに移動します。[ドメイン][プライベート][パブリック]の各プロファイルをオンにして変更内容を保存します。

6.[受信の規則][World Wide Webサービス(HTTPトラフィック)]を選択します。この規則を[有効]にして、[操作][接続を許可する]に設定します。

ローカライズされた画像

7.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][スコープ]タブに移動します。[これらのIPアドレス]をオンにして、一覧にすべてのStoreFrontサーバーのIPアドレスを追加します。例:StoreFront A(192.168.1.50)およびStoreFront B(192.158.1.51)。

8.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][詳細設定]タブに移動します。[ドメイン]、[プライベート]、[パブリック]の各プロファイルをオンにして変更内容を保存します。

安全な構成