2012年3月28日水曜日

Windows Server 8のAD CS新機能

先日からWindows Server 8を試していますが、いろいろと変更があって戸惑います。もちろん、AD CSもいくつか新機能が追加されていますが、あまり大きな変更はないため、淋しかったり逆に嬉しかったりします。

新機能の詳細についてはこちらに出ています。Server 8では以下の機能が追加になったそうです。


  • Integration with Server Manager
  • Deployment and management capabilities from Windows PowerShell
  • All AD CS role services run on any Windows Server “8” Beta version
  • All AD CS role services can be run on Server Core
  • Support for automatic renewal of certificates for non-domain joined computers
  • Enforcement of certificate renewal with same key
  • Support for international domain names
  • Increased security enabled by default on the CA role service


ちょいと個人的に気になったポイントだけ見ていきたいと思います。

エディションごとの役割サービスの差がなくなった
2008の頃はAD CSはWindowsのエディションによっては、使えない役割サービスがありました。8では、エディションごとの区別が無くなって、どのエディションでも全ての役割サービスが使用できます。

具体的には、以下のEnterprise以上のエディションでのみ使えていたNDESとOCSPの役割サービスが、Standard Editionでも使えるようになります。

AD CSのPowerShellの対応
AD CSのインストールがPower Shellのコマンドレットから行うことができるようになったそうです。追加になったインストール関連のコマンドレットはこちらから見れます。

同時に管理用のコマンドレットも追加になりました。こちらに詳細が出ています。Certutil.exeでできなかった機能が追加になっているので、ちょっとありがたいです。

毎回、案件の度に思うのですが、Windowsの構築手順書は図ばかりで書くのも読むのも面倒なんですよね。「上記の図のように設定する」とか書かれていると、図と画面をにらめっこしたりして疲れるのです。コマンドが一発で済むようになると、かなり楽になります。

また、コマンドが充実したことによって、AD CSの全ての役割サービスがServer Coreモードでも動くようになったそうです。


証明書テンプレートがVersion 4になった
しばらく変更の無かった証明書テンプレートのバージョンが上がり、バージョン4になります。バージョン4の変更点は以下のようになります。
  • テンプレートの暗号プロバイダにCNGが指定できるようになった
  • 同じ鍵での更新(rekeyではなく)を指定できるようになった
  • 互換性タブが増えて、テンプレートが適用されるクライアントとCAのバージョンが指定できるようになった
ちなみに新しく追加になった互換性タブはこんな感じです。
なお、8のデフォルトでインストールされるテンプレート構成はバージョン4を使ったものはありませんでした。

0 件のコメント: