icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Windows ServerとGPO Push用Kerberos信頼関係構成ガイド

この構成ガイドでは、組織のサーバーからZscalerサービスへの一方向のクロスレルム信頼を確立する方法を示します。この一方向の信頼により、Zscalerはドメインの認証されたユーザーを信頼し、その逆は信頼できません。ドメイン コントローラーへの管理者アクセスは、クロスレルムの信頼を確立し、GPOを使用して構成設定をプッシュするために必要です。Kerberosの詳細については、Kerberos認証についてを参照してください。Kerberosの展開の詳細は、Kerberos認証の展開を参照してください。

このガイドの内容:

  • 組織のレルム内のKDCは、ドメイン コントローラーとして設定されたWindows Serverです
  • WindowsクライアントがWindows 8.1を実行しており、ドメインに参加しています
  • ドメインユーザーのJane Doeは、ドメイン認証情報を使用してWindowsクライアントにログインすることができます
  • ZscalerドメインはZscalerクラウド名です。この例では、ZSCALERBETA.NETです。クラウド名を見つける方法の詳細は、ZIAのクラウド名とは?を参照してください。

ケルベロストラスト関係設定ガイド図

Windows Serverでのクロスレルム信頼をを設定する

このセクションでは、Windows ServerでKDCとActive Directory GPO機能を設定する方法について説明します。Active Directory GPOとGPMCの詳細は、「Windows Active DirectoryとGPMCのドキュメント」を参照してください。

Windows Serverでクロスレルム信頼を設定するには、以下の手順を実行します。

  • Windowsサーバーに管理者権限でログインします。サーバーマネージャーを開き、以下を実行します。

    1. [DNS]にアクセスし、[ツール]メニューからActive Directoryドメインと信頼]を選択します。
    2. [Active Directoryドメインと信頼関係]ウィンドウで、ドメインにカーソルを合わせ、右クリックして[プロパティー]を選択します。
    3. [プロパティ]ウィンドウで、[信頼]タブに移動し、[新規信頼]をクリックします。
    4. [新規信頼ウィザード]が表示されたら、[次へ]をクリックします。
    5. [信頼名]では、Zscalerクラウド名を大文字で入力し、[次へ]をクリックします。
      クラウド名は、ZIA管理ポータルへのログインに使用するURLで確認できます。例えば、https://admin.zscalerbeta.net/にログインすると、次の図に示すように、クラウド名はZSCALERBETA.NETです。
    6. [信頼タイプ]では、[レルム信頼]を選択し、[次へ]をクリックします。
    7. [信頼の移行性]では、[非移行的]を選択し、[次へ]をクリックします。
    8. [信頼の方向]で[一方向:受信]を選択し、[次へ]をクリックします。
    9. [Trust Password]では、Zscalerからコピーしたパスワードを貼り付けます。
    10. ウィザードに設定が表示されたら、設定を検証して[次へ]をクリックします。
    閉じる
  • 新しく設定されたトラストのプロパティを設定します。

    1. ドメインの[プロパティ]ウィンドウを開きます。
    2. [プロパティ]ウィンドウで、以下を選択し、[OK]をクリックします。
      • もう一方のドメインはKerberos AES Encryptionをサポートしています
      • [非推移的:直接信頼されたドメインのユーザーのみが、信頼するドメインで認証できます。]
    閉じる
  • 次のステップに進む前に、設定が正しいことを確認してください。

    1. WindowsサーバーでWindows PowerShellを開き、次のコマンドを入力します。Zscaler Cloudは、使用するZscalerクラウドの名前に置き換えます。
    Get-ADObject -Filter {trustPartner -eq "Zscaler Cloud"} -Properties *
    1. 次の値を表示します。
      • [CN]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
      • msDS-SupportedEncryptionTypes24
      • [名前]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
      • objectClasstrustedDomain
      • trustAttributes1
      • trustDirection1
      • [trustPartner]: Zscalerクラウドの名前(この例ではZSCALERBETA.NETです)。
      • trustType:3
    閉じる
  • Windowsサーバーで、サーバーマネージャーを開き、以下を実行します。

    1. ダッシュボードにアクセスし、[ツール]メニューから[グループポリシーの管理]を選択します。
    2. [グループ ポリシー管理]>[フォレスト]>[ドメイン]>[ドメイン名]>[デフォルト ドメイン ポリシー]に移動し、右クリックして[編集]を選択します。
    3. [グループポリシー管理エディター]で、[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[Kerberos]の順にアクセスし、設定パネルから、[相互運用可能なKerberos V5レルム設定の定義]を選択してください。
    4. [相互運用可能なKerberos V5レルム設定の定義]ウィンドウで、[有効]を選択し、[表示する...]をクリックします。
    5. [コンテンツの表示]ウィンドウで、次の操作を行います。
      • [値の名前]: Zscalerクラウド名を入力します(この例ではZSCALERBETA.NETです)。
      • []:<k>kerberos.Zscaler Cloud</k>を入力します。この例では、値は<k>kerberos.zscalerbeta.net</k>です。

    1. [OK]をクリックし、[相互運用可能なKerberos V5レルム設定の定義]ウィンドウで[OK]をクリックします。
    2. [ホスト名からKerberosレルムへのマッピングの定義]を選択します。
      画像を見る。
    3. [ホスト名からKerberosレルムへのマッピングの定義]ウィンドウで、[有効]を選択し、[表示する...]をクリックします。
    4. [コンテンツの表示]ウィンドウで、次の操作を行います。
      • [値の名前]:Zscalerクラウド名を入力します。この例では、ZSCALERBETA.NETです。
      • []:Zscalerドメイン名を入力します。この例では、.zscalerbeta.net;.gateway.zscalerbeta.netです。

    両方のドメイン名には、すべてのサブドメインに一致するように先頭にドットを付ける必要があります。

    1. [OK]をクリックし、ホスト名からKerberosレルムへのマッピングを定義]ウィンドウで[OK]をクリックし、[グループポリシー管理エディター]を閉じます。
    2. [グループポリシー管理]>[デフォルトドメインポリシー]にアクセスし、[設定]タブをクリックします。
    3. [コンピューター構成]>[管理テンプレート]>[システム/Kerberos]を展開し、各ポリシーを検証します。
    4. 次のポリシーまでスクロールします。
    閉じる
  • GPOの設定を検証するには、次のようにします。

    1. Windows PowerShellを開き、次のコマンドを入力して、Zscaler KDCのGPOレジストリ値をリストします。
    get-gpregistryvalue -key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MitRealms" -name "Default Domain Policy"
    1. 以下の値を検証してください。
    2. 次のコマンドを入力して、Zscalerドメインの GPO レジストリ値をリストします。
    get-gpregistryvalue -key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\domain_realm" -name "Default Domain Policy"
    1. 以下の値を検証してください。
    閉じる
  • Windowsワークステーションにログインし、コマンド プロンプトを開いて、次のコマンドを実行します。

    klistは、ユーザーがドメインにログインし、ドメイン コントローラに接続できることを保証します。ワークステーションがドメインにログインするために使用したKerberosチケットが表示されます。klistを実行してもKerberosチケットが表示されない場合は、ドメインまたはワークステーション固有の構成上の問題があり、先に進む前に解決する必要があります。

    コマンドプロンプトでのklistコマンドとレスポンスの画像

    gpupdate /force

    コマンドプロンプトでのgpupdate /forceコマンドとレスポンスの画像

    以下のいずれかを実行することで、Zscaler Kerberosの設定がクライアントに同期され、レジストリが更新されたことを確認することができます。

    • WindowsのコマンドプロンプトまたはWindowsのPowershellで、以下のクエリを実行します。
    reg query 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\domain_realm

    コマンドプロンプトでdomain_realmクエリを実行した画像

    reg query
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\MitRealms

    コマンドプロンプトでクエリを実行する画像

    または

    • レジストリー エディターを開き、次に示すようにdomain_realmエントリーを検証します。

    [レジストリエディター]ウィンドウに表示されるdomain_realmエントリーの画像

    次に示すように、[MitRealms ]エントリーを検証します。

    [レジストリエディター]ウィンドウに表示されるMitRealmsエントリのスクリーンショット

    ブラウザーにKerberos PACファイルのURLを設定します。

    [ローカルエリアネットワーク(LAN)設定]ウィンドウの画像

    ブラウザーを開いてサイトを閲覧し、認証にチャレンジされないか、ブラウザーに[インターネットアクセスが拒否されました]エラーページが表示されないようにします。

    閉じる

トラブルシューティング

Kerberos設定のトラブルシューティングを行うには、「Kerberosのトラブルシューティング」および「KerberosのZIA Public Service Edgeエラー コード」を参照してください。

以下は、有用なMicrosoftのドキュメントです。

[グループポリシー管理エディター]ウィンドウの[ホスト名とKerberosレルムのマッピング設定の定義]の画像

[システム/Kerberos]の[相互運用可能なKerberos V5レルム設定の定義]ポリシーの画像

関連記事s
Kerberos認証についてKerberos認証の展開ガイドラインKerberos認証の展開Windows ServerとGPO Push用Kerberos信頼関係構成ガイドLinuxサーバ用Kerberos信頼関係設定ガイドデフォルトのZscaler Kerberos PACファイルの使用Kerberos認証のトラブルシューティングKerberos認証のZIAエラーコード