Product Documentation

安全な構成

Feb 26, 2018

ここでは、セルフサービスパスワードリセットのコンポーネントを安全に展開し、構成するために必要な手順について説明します。

  • ユーザーパスワードのリセットおよびユーザーアカウントのアクセス権のロック解除を行うドメインユーザーアカウントの作成
  • ファイアウォール設定の構成

セルフサービスアカウントの作成

セルフサービスパスワードリセットのパスワードリセット機能とアカウントロック解除機能を使用する場合は、サービスの設定時に、パスワードリセットとアカウントロック解除の実行でセルフサービスモジュールが使用するアカウントを指定します。アカウントには適切な特権が必要ですが、実稼働環境でのDomain Adminsグループアカウントの使用はお勧めしません。推奨されるアカウント特権は次のとおりです。

  • 同じドメインに属している
  • 関連するドメインユーザーに対するパスワードリセットとアカウントロック解除の権限がある

[Active Directoryユーザーとコンピューター]で、ユーザーパスワードのリセットとユーザーアカウントのロック解除を行う権限を付与するグループまたはユーザーアカウントを作成します。

  1. [Active Directoryユーザーとコンピューター]でドメインを右クリックして、メニューの[制御の委任]をクリックします。
  2. 制御の委任ウィザードが開きます。[ウィザードの開始]ダイアログボックスで[次へ]をクリックします。
  3. [ローカルユーザーとグループ]ダイアログボックスで、[追加]をクリックします。一覧からアカウントのロック解除権限を付与するグループを選択して、[OK]をクリックします。[ユーザーとグループ]ダイアログボックスで、[次へ]をクリックします。
  4. [委任するタスク]ダイアログボックスで、[委任するカスタムタスクを作成する][次へ]の順にクリックします。
  5. [Active Directoryオブジェクトの種類]ダイアログボックスで、[フォルダー内の次のオブジェクトのみ]の[ユーザーオブジェクト]をクリックして、[次へ]をクリックします。
  6. [アクセス許可]ダイアログボックスで、[全般]チェックボックスと[プロパティ固有]チェックボックスをオンにします。[アクセス許可]の一覧で、[lockoutTimeの読み取り][lockoutTimeの書き込み][パスワードのリセット]、[パスワードの変更]、[userAccountControlの読み取り]、[userAccountControlの書き込み]、[pwdLastSetの読み取り]、[pwdLastSetの書き込み]の各チェックボックスをオンにして、[次へ]をクリックします。
  7. [オブジェクト制御の委任ウィザードの完了]ダイアログボックスで[完了]をクリックします。
     

ファイアウォール設定の構成

セルフサービスパスワードリセットサーバーおよび中央ストレージサーバーのコンポーネントはユーザーのパスワードを管理するため、これらのコンポーネントを信頼できるネットワークに展開し、特定の信頼できるコンポーネントのみがアクセスできるようにすることを強くお勧めします。ここでは、これらのサーバー用にWindowsファイアウォールを正しく構成するために必要な手順について説明します。また、これらのサーバーが信頼できないネットワークトラフィックから確実に隔離されるように既存のネットワークインフラストラクチャを構成することもお勧めします。

展開環境で以下の構成を行うと、セルフサービスパスワードリセット中央ストアサーバーへのアクセスが、メッセージブロック(Server Message Block:SMB)を使用したサーバーのみに制限されます。また、セルフサービスパスワードリセットサーバーへのアクセスは、HTTPS接続を使用したStoreFrontサーバーのみに制限されます。

Windows 2012 R2のリモートファイル共有の展開

localized image

環境

  • 専用サーバーでセルフサービスパスワードリセットのコンポーネントをインストールします。既存のStoreFrontまたはDelivery Controllerコンポーネントと同じサーバーに展開しないでください。同じサーバーに展開した場合、以下に示したファイアウォールの構成がStoreFrontまたはDelivery Controllerのトラフィックをブロックすることがあります。
  • StoreFrontとセルフサービスパスワードリセットサーバーの間には、非透過HTTP/HTTPSプロキシは設定しないでください。

非透過プロキシをStoreFrontとセルフサービスパスワードリセットサーバーの間に設定する場合は、セルフサービスパスワードリセットサーバーへのアクセスを、ファイアウォール規則に含まれるプロキシサーバーに対してのみ許可するように構成してください。

  • 以下の手順の構成は、デフォルトのWindowsファイアウォールの規則に基いています。

セルフサービスパスワードリセット中央ストアのファイアウォールを構成する

構成を完了すると、セルフサービスパスワードリセット中央ストアから提供されるSMBサービスには、受信接続のセルフサービスパスワードリセットサーバーのみがアクセスできるようになります。また、セルフサービスパスワードリセット中央ストアサーバーは、送信接続でのみ社内ネットワーク上のサービスにアクセスできるようになります。

1. サーバーマネージャーを開き、上部ナビゲーションバーの [ツール] メニューで [セキュリティが強化されたWindowsファイアウォール] をクリックします。

2.[セキュリティが強化されたWindowsファイアウォール] ページで、中央ペインの [Windowsファイアウォールのプロパティ] をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可]にそれぞれ設定します。

localized image

3.[プライベートプロファイル] タブと [パブリックプロファイル] タブのそれぞれで、[ファイアウォールの状態][有効][受信接続][送信接続] の両方を [ブロック] に設定します。変更を適用して保存します。

4.[受信の規則][ファイルとプリンターの共有(SMB受信)] を選択して、[有効] をオンにして [操作][接続を許可する] に設定します。

localized image

5.[ファイルとプリンターの共有(SMB受信)のプロパティ][スコープ] タブをクリックし、[これらのIPアドレス] をオンにして、一覧にすべてのセルフサービスパスワードリセットサーバーのIPアドレスを追加します。例:セルフサービスパスワードリセットサーバーA(192.168.1.10)およびセルフサービスパスワードリセットサーバーB(192.168.1.11)。

6.[ファイルとプリンターの共有(SMB受信)のプロパティ][詳細設定] タブをクリックして、[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。

7. 上記の手順を、[ファイルサーバーリモート管理(SMB受信)] [ファイルとプリンターの共有(NBセッション受信)] の各受信規則に対しても実行します。

セルフサービスパスワードリセットサーバーのファイアウォールを構成する

構成を完了すると、セルフサービスパスワードリセットサーバーから提供されるWebサービスには、HTTPSを使用したStoreFrontサーバーのみがアクセスできるようになります。また、セルフサービスパスワードリセットサーバーは、社内ネットワーク上のサービスにアクセスできるようになります。

1. サーバーマネージャーを開き、上部ナビゲーションバーの [ツール] メニューで [セキュリティが強化されたWindowsファイアウォール] をクリックします。

2.[セキュリティが強化されたWindowsファイアウォール] ページで、中央ペインの [Windowsファイアウォールのプロパティ] をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可]にそれぞれ設定します。  

localized image

3.[プライベートプロファイル] タブと [パブリックプロファイル] タブのそれぞれで、[ファイアウォールの状態][有効][受信接続][送信接続] の両方を [ブロック] に設定します。変更を適用して保存します。

4.[受信の規則][World Wide Webサービス(HTTPトラフィック)] を選択して、[有効] をオンにして、[操作][接続をブロックする] に設定します。

5.[World Wide Web Services(HTTPトラフィック)のプロパティ][詳細設定] タブをクリックして、[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。

6.[受信の規則][World Wide Webサービス(HTTPSトラフィック)] を選択して、[有効] をオンにして、[操作][接続を許可する] に設定します。

localized image

7.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][スコープ] タブをクリックし、[これらのIPアドレス] をオンにして、一覧にすべてのStoreFrontサーバーのIPアドレスを追加します。例:StoreFront A(192.168.1.50)およびStoreFront B(192.158.1.51)。

8.[World Wide Web Services(HTTPSトラフィック)のプロパティ][詳細設定] タブをクリックして、[ドメイン]、[プライベート]、[パブリック] の各プロファイルをオンにして変更内容を保存します。

Windows 2008 R2のローカルファイル共有の展開

このトピックの説明に従って構成を完了した後、リモートクライアントのすべてのサーバーメッセージブロック(Server Message Block:SMB)アクセスがブロックされます。SMBファイル共有には、ローカルからのみアクセスできます。また、セルフサービスパスワードリセットサービスへのアクセスは、HTTPS接続を使用したStoreFrontサーバーのみに制限されます。

1. サーバーマネージャーを開き、上部ナビゲーションバーの [ツール] メニューで [セキュリティが強化されたWindowsファイアウォール] をクリックします。

2.[セキュリティが強化されたWindowsファイアウォール] ページで、中央ペインの [Windowsファイアウォールのプロパティ] をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル]タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可]にそれぞれ設定します。

localized image

3.[プライベートプロファイル] タブと [パブリックプロファイル] タブのそれぞれで、[ファイアウォールの状態][有効][受信接続][送信接続] の両方を [ブロック] に設定します。変更を適用して保存します。

4.[受信の規則] から [新規の規則] を選択し、新しい受信の規則を作成します。[新規の受信の規則ウィザード][規則の種類]を選択してから、[ポート]で新しい規則の種類を選択し、[次へ]をクリックします。

localized image

5.   [新規の受信の規則ウィザード][プロトコルおよびポート][TCP]の順に選択し、[特定のローカルポート] テキストボックスに445を入力してから、[次へ] をクリックします。 

6.  [新規の受信の規則ウィザード] で、[操作][接続をブロックする]の順に選択し、[次へ] をクリックします。

7.  [新規の受信の規則ウィザード] で、[プロファイル][ドメイン][プライベート] および [パブリック] の順に選択して、[次へ] をクリックします。

8.  [新規の受信の規則ウィザード] で、[名前] を選択して、名前と説明を入力し、[次へ] をクリックします。

9.[受信の規則][World Wide Webサービス(HTTPトラフィック)]を選択して、[有効]をオンにして、[操作][接続をブロックする]に設定します。

localized image

10.[World Wide Web Services(HTTPトラフィック)のプロパティ][詳細設定] タブをクリックして、[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。

11.[受信の規則][World Wide Webサービス(HTTPSトラフィック)] を選択して、[有効] をオンにして、[操作][接続を許可する] に設定します。

12.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][スコープ] タブに変更します。[リモートIPアドレス]セクションで、[これらのIPアドレス]をオンにして、一覧にすべてのStoreFrontサーバーのIPアドレスを追加します。例:StoreFront A(192.168.1.13)およびStoreFront B(192.158.1.14)。

13.[World Wide Web Services(HTTPトラフィック)のプロパティ][詳細設定] タブをクリックして、[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。