Windows Server 2008 グループ ポリシーの設定と Microsoft 以外の Kerberos 領域の相互運用を

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:947706
はじめに
Microsoft は、認証に Kerberos プロトコルのマイクロソフト以外の実装を使用する場合は、このようなコンピューターをできるようにする相互運用機能で Windows Server 2008 および Windows Vista Service Pack 1 (SP1) で提供されます。この設定を有効にするには、上で、Microsoft 以外の Kerberos 領域を結合するいくつかの設定を変更してください。Windows Server 2008 では、管理者はグループ ポリシーによって複数のコンピューターにこれらの設定を展開できます。この資料では Windows Server 2008 および Windows Vista SP1 で Microsoft 以外の Kerberos 実装との相互運用をサポートするために追加されたグループ ポリシー設定について説明します。
詳細
次の設定で、グループ ポリシー管理コンソールの次の場所にあります。
コンピューターの構成 \ 管理用 Templates\System\Kerberos

ポリシー: ホスト名--・ Kerberos 領域のマッピングを定義します。

このポリシー設定では Kerberos 領域に割り当てられている DNS サフィックス、DNS ホスト名を指定することができます。

このポリシー設定を有効にする場合は、表示および DNS ホスト名と Kerberos 領域にはグループ ポリシーで定義されているマップされた DNS サフィックスの一覧を変更することができます。

このポリシー設定を無効にする場合は、グループ ポリシーの定義ホスト名--・ Kerberos 領域マッピング リストは削除されます。

このポリシー設定を構成しない場合は、システム領域のマッピングが存在する場合、ローカルのレジストリで定義されているホスト名--・ Kerberos 領域のマッピングを使用します。

マッピングの一覧を表示するのには、ポリシー設定を有効にして、クリックしてください スライド ショー.

マッピングを追加するには、次の手順を実行します。
  1. ポリシー設定を有効にします。
  2. 構文を確認し、クリックしてください スライド ショー.
  3. クリックしてください。 追加、手順 2 で説明した構文を使用して、領域名、DNS ホスト名と DNS サフィックスの一覧を入力します。
マッピングを削除するのには、マッピングのエントリをクリックし、クリックしてください 削除.

マッピングを編集するには、ボックスの一覧から、現在のエントリを削除し、他のパラメーターを持つ新しいマッピングを追加します。

ポリシー: 相互運用可能な Kerberos v5 領域の設定を定義します。

このポリシーの設定、Kerberos クライアントにこのポリシー設定で定義されているクライアントとの相互運用可能な Kerberos v5 領域、認証できるように構成されます。

このポリシー設定を有効にする場合は、表示し、相互運用可能な Kerberos v5 領域の一覧および設定を変更することができます。

このポリシー設定を無効にする場合は、グループ ポリシーを定義する、相互運用可能な Kerberos バージョン 5 レルムの設定が削除されます。

このポリシー設定を構成しない場合は、システム領域の設定が存在する場合、ローカルのレジストリで定義されている相互運用可能な Kerberos バージョン 5 レルムの設定を使用します。

相互運用可能な Kerberos v5 領域の一覧を表示するのには、ポリシー設定を有効にして、クリックしてください スライド ショー.

相互運用可能な Kerberos v5 領域を追加するには、次の手順を実行します。
  1. ポリシー設定を有効にします。
  2. 構文を確認し、クリックしてください スライド ショー.
  3. クリックしてください。 追加、の相互運用可能な Kerberos v5 領域名を入力して、 値の名前 設定の定義] を入力、 ボックス。手順 2 で説明した構文を使用します。
相互運用可能な Kerberos v5 領域を削除するには、Kerberos version 5 のエントリをクリックし、クリックしてください 削除.

マッピングを編集するには、ボックスの一覧から、現在のエントリを削除し、他のパラメーターを持つ新しいマッピングを追加します。

ポリシー: KDC の厳密な検証を必要とします。

クライアントがキー配布センター (KDC) 証明書を検証するとこのポリシー設定は、Kerberos クライアントの動作を制御します。

このポリシー設定を有効にする場合。
  • Kerberos クライアントは KDC の X.509 証明書には拡張キー使用法 (EKU) 拡張内 KDC キーの目的のオブジェクト識別子が含まれている必要があります。
  • Kerberos クライアントは KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) の拡張機能が含まれている必要があります。
  • コンピューターがドメインに参加している場合は、Kerberos クライアントは KDC の X.509 証明書は、NTAUTH ストア内の証明機関によって署名する必要があります必要があります。
  • コンピューターがドメインに参加していない場合は、Kerberos クライアントは、ルート証明機関証明書はスマート カードを KDC の X.509 証明書パスの検証に使用することができます。
無効にするか、[このポリシーの設定を構成しない場合は、Kerberos のクライアントは、のみ KDC 証明書が EKU 拡張にサーバー認証目的のオブジェクト識別子が含まれていることを要求します。
関連情報
Kerberos 5 の相互運用性の詳細については、次のマイクロソフト Web サイトを参照してください。

警告: この記事は自動翻訳されています

プロパティ

文書番号:947706 - 最終更新日: 08/11/2011 10:49:00 - リビジョン: 3.0

  • kbhowto kbinfo kbpubtypekc kbmt KB947706 KbMtja
フィードバック