安全な構成

ここでは、セルフサービスパスワードリセットのコンポーネントを安全に展開し、構成するために必要な手順について説明します。

  • ユーザーパスワードのリセットおよびユーザーアカウントのアクセス権のロック解除を行うドメインユーザーアカウントの作成
  • ファイアウォール設定の構成

セルフサービスアカウントの作成

セルフサービスパスワードリセットのパスワードリセット機能とアカウントロック解除機能を使用する場合は、サービスの設定時に、パスワードリセットとアカウントロック解除の実行でセルフサービスモジュールが使用するアカウントを指定します。アカウントには適切な特権が必要ですが、実稼働環境でのDomain Adminsグループアカウントの使用はお勧めしません。推奨されるアカウント特権は次のとおりです。

  • 同じドメインに属している
  • 関連するドメインユーザーに対するパスワードリセットとアカウントロック解除の権限がある

[Active Directoryユーザーとコンピューター] で、ユーザーパスワードのリセットとユーザーアカウントのロック解除を行う権限を付与するグループまたはユーザーアカウントを作成します。

  1. [Active Directoryユーザーとコンピューター] でドメインを右クリックして、メニューの [制御の委任] をクリックします。
  2. 制御の委任 ウィザードが開きます。[ウィザードの開始] ダイアログボックスで [次へ] をクリックします。
  3. [ローカルユーザーとグループ] ダイアログボックスで、[追加] をクリックします。一覧からアカウントのロック解除権限を付与するグループを選択して、[OK] をクリックします。[ユーザーとグループ] ダイアログボックスで、[次へ] をクリックします。
  4. [委任するタスク] ダイアログボックスで、[委任するカスタムタスクを作成する][次へ] の順にクリックします。
  5. [Active Directoryオブジェクトの種類] ダイアログボックスで、[フォルダー内の次のオブジェクトのみ]の[ユーザーオブジェクト]をクリックして、[次へ] をクリックします。
  6. [アクセス許可] ダイアログボックスで、[全般] チェックボックスと [プロパティ固有] チェックボックスをオンにします。[アクセス許可] の一覧で、[lockoutTimeの読み取り][lockoutTimeの書き込み][パスワードのリセット]、[パスワードの変更]、[userAccountControlの読み取り]、[userAccountControlの書き込み]、[pwdLastSetの読み取り]、[pwdLastSetの書き込み] の各チェックボックスをオンにして、[次へ] をクリックします。
  7. [オブジェクト制御の委任ウィザードの完了] ダイアログボックスで [完了] をクリックします。

ファイアウォール設定の構成

セルフサービスパスワードリセットサーバーおよび中央ストレージサーバーのコンポーネントはユーザーのパスワードを管理するため、これらのコンポーネントを信頼できるネットワークに展開し、特定の信頼できるコンポーネントのみがアクセスできるようにすることを強くお勧めします。ここでは、これらのサーバー用にWindowsファイアウォールを正しく構成する手順について説明します。また、これらのサーバーが信頼できないネットワークトラフィックから確実に隔離されるように既存のネットワークインフラストラクチャを構成することもお勧めします。

実稼働環境で以下の構成を行うと、セルフサービスパスワードリセット中央ストアサーバーへのアクセスが、メッセージブロック(Server Message Block:SMB)を使用したセルフサービスパスワードリセットサーバーのみに制限されます。また、セルフサービスパスワードリセットサーバーは、HTTPS接続を備えたStoreFrontサーバーからのみアクセスされます。

Windows 2012 R2のリモートファイル共有の展開

ローカライズされた画像

環境

  • 専用サーバーでセルフサービスパスワードリセットのコンポーネントをインストールします。既存のStoreFrontまたはDelivery Controllerコンポーネントと同じサーバーに展開しないでください。同じサーバーに展開した場合、以下に示すファイアウォール構成ではStorefrontまたはDelivery Controllerのトラフィックがブロックされる可能性があります。
  • StoreFrontとセルフサービスパスワードリセットサーバーの間には、非透過HTTP/HTTPSプロキシは設定しないでください。

非透過プロキシをStoreFrontとセルフサービスパスワードリセットサーバーの間に設定する場合は、セルフサービスパスワードリセットサーバーへのアクセスを、ファイアウォール規則に含まれるプロキシサーバーに対してのみ許可するように構成してください。

  • 以下の手順の構成は、デフォルトのWindowsファイアウォールの規則に基いています。

セルフサービスパスワードリセット中央ストアのファイアウォールを構成する

構成が完了すると、セルフサービスパスワードリセット中央ストアから提供されるSMBサービスには、セルフサービスパスワードリセットサーバーのみが受信でアクセスできるようになります。また、セルフサービスパスワードリセット中央ストアサーバーは、社内ネットワークにあるサービスに送信のみでアクセスできるようになります。

1. サーバーマネージャーを開き、上部ナビゲーションバーの [ツール] メニューで [セキュリティが強化されたWindowsファイアウォール] をクリックします。

2.[セキュリティが強化されたWindowsファイアウォール] ページで、中央ペインの [Windowsファイアウォールのプロパティ] をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル] タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可] にそれぞれ設定します。

ローカライズされた画像

3.[プライベートプロファイル] タブと [パブリックプロファイル] タブを選択します。[ファイアウォールの状態][有効][受信接続][送信接続][ブロック] にそれぞれ設定します。変更を適用して保存します。

4.[受信の規則][ファイルとプリンターの共有(SMB受信)] を選択して[有効] をオンにし、[操作][接続を許可する] に設定します。

ローカライズされた画像

5.[ファイルとプリンターの共有(SMB受信)のプロパティ][スコープ] タブに移動します。[これらのIPアドレス] をオンにして、一覧にすべてのセルフサービスパスワードリセットサーバーのIPアドレスを追加します。例:セルフサービスパスワードリセットサーバーA(192.168.1.10)およびセルフサービスパスワードリセットサーバーB(192.168.1.11)。

6.[ファイルとプリンターの共有(SMB受信)のプロパティ][詳細設定] タブをクリックして、[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。

7. 上記の手順を、[ファイルサーバーリモート管理(SMB受信)][ファイルとプリンターの共有(NBセッション受信)] の各 受信 規則に対しても実行します。

セルフサービスパスワードリセットサーバーのファイアウォールを構成する

構成が完了すると、セルフサービスパスワードリセットサーバーから提供されるWebサービスには、HTTPSを使用したStoreFrontサーバーのみがアクセスできるようになります。また、セルフサービスパスワードリセットサーバーは、社内ネットワークにあるサービスにアクセスできるようになります。

1. サーバーマネージャーを開き、上部ナビゲーションバーの [ツール] メニューで [セキュリティが強化されたWindowsファイアウォール] をクリックします。

2.[セキュリティが強化されたWindowsファイアウォール] ページで、中央ペインの [Windowsファイアウォールのプロパティ] をクリックします。ドメイン、プライベート、パブリックの3種類のファイアウォールプロファイルがあります。[ドメインプロファイル] タブを選択します。[ファイアウォールの状態][有効][受信接続][ブロック][送信接続][許可] にそれぞれ設定します。  

ローカライズされた画像

3.[プライベートプロファイル] タブと [パブリックプロファイル] タブのそれぞれで、[ファイアウォールの状態][有効] に設定します。また、[受信接続][送信接続] の両方を [ブロック] に設定します。変更を適用して保存します。

4.[受信の規則][World Wide Webサービス(HTTPトラフィック)] を選択します。この規則を [有効] にして、[操作][接続をブロックする] に設定します。

5.[World Wide Webサービス(HTTPトラフィック)のプロパティ][詳細設定] タブに移動します。[ドメイン][プライベート][パブリック] の各プロファイルをオンにして変更内容を保存します。

6.[受信の規則][World Wide Webサービス(HTTPSトラフィック)] を選択します。この規則を [有効] にして、[操作][接続を許可する] に設定します。

ローカライズされた画像

7.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][スコープ] タブに移動します。[これらのIPアドレス] をオンにして、一覧にすべてのStoreFrontサーバーのIPアドレスを追加します。例:StoreFront A(192.168.1.50)およびStoreFront B(192.158.1.51)。

8.[World Wide Webサービス(HTTPSトラフィック)のプロパティ][詳細設定] タブに移動します。[ドメイン]、[プライベート]、[パブリック] の各プロファイルをオンにして変更内容を保存します。

安全な構成