手順 3: PAM サーバーの準備

  • [アーティクル]

«手順 2手順 4 »

Windows Server 2016または 2019 をインストールする

3 つ目の仮想マシンで、PAMSRV を作成するために、Windows Server 2016または 2019 をインストールします。 SQL SERVER MIM サービス (必要に応じて SharePoint 2013) がこのコンピューターにインストールされるため、少なくとも 8 GB の RAM が必要です。

  1. インストールする場合は、Windows Server 2016 (デスクトップ エクスペリエンスを使用するサーバー) を指定します

  2. ライセンス条項を確認して同意します。

  3. [ カスタム: Windows のみをインストール する] を選択し、初期化 されていないディスク領域を使用します。ディスクは空になるためです。

  4. その新しいコンピューターに管理者としてログインします。 [コントロール パネル] で、仮想ネットワーク上の静的 IP アドレスを提供し、PRIVDC の IP アドレスに DNS クエリを送信するようにそのネットワーク インターフェイスを構成し、コンピューター名を PAMSRV に設定します。 これにはサーバーの再起動が必要になります。

  5. 仮想ネットワークでインターネット接続が提供されない場合は、インターネットへの接続を提供するコンピューターにネットワーク インターフェイスを追加します。 これは、更新プログラムのダウンロードと SharePoint インストールにのみ必要であり、この手順の完了後に無効にすることができます。

  6. サーバーが再起動するまで待ちます。 サーバーが再起動したら、管理者としてサインインします。 [コントロール パネル] を使用して、更新を確認し、必要な更新をインストールするようにコンピューターを構成します。 これにはサーバーの再起動が必要になる場合があります。

  7. サーバーが再起動するまで待ちます。 サーバーが再起動したら、管理者としてログインし、[コントロール パネル] を開き、PAMSRV を PRIV ドメイン (priv.contoso.local) に参加させます。 この操作を行うには、PRIV ドメイン管理者 (PRIV\Administrator) のユーザー名と資格情報を提供する必要があります。 ウェルカム メッセージが表示されたら、ダイアログ ボックスを閉じて、このサーバーを再起動します。

Web サーバー (IIS) とアプリケーション サーバーの役割を追加する

Web サーバー (IIS) ロール、.NET Framework 3.5 および 4.6 機能、およびWindows PowerShell用の Active Directory モジュールを追加します。 SharePoint をインストールする予定の場合は、SharePoint に必要なその他の機能も追加します。

  1. PRIV ドメイン管理者 (PRIV\Administrator) としてサインインし、PowerShell を起動します。

  2. 次のコマンドを入力します。 .NET Framework 3.5 の機能のソース ファイルに対しては、別の場所を指定することが必要になる場合があります。 これらの機能は通常、Windows Server のインストール時には存在しませんが、OS インストール ディスク ソース フォルダーのサイド バイ サイド (SxS) フォルダー (例: d:\Sources\SxS\) で使用できます。

    import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,
rsat-ad-powershell,Web-Mgmt-Tools,
Windows-Identity-Foundation,Server-Media-Foundation,
Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS

サーバーのセキュリティ ポリシーを構成する

新しく作成されたアカウントがサービスとして実行されるようにサーバー セキュリティ ポリシーを構成します。

  1. ローカル セキュリティ ポリシー プログラムを起動します。

  2. [ローカル ポリシー]>[ユーザー権利の割り当て] の順に移動します。

  3. 詳細ウィンドウを表示し、[ サービスとしてログオン] を右クリックし、[プロパティ] を選択 します

  4. [ユーザーまたはグループの追加] をクリックして、[ユーザーとグループ名] に「priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer」と入力します。 [名前の確認] をクリックし、 [OK] をクリックします。

  5. [ OK] を選択 してプロパティ ウィンドウを閉じます。

  6. 詳細ウィンドウを表示し、[ ネットワークからこのコンピューターへのアクセスを拒否する] を右クリックし、[プロパティ] を選択 します

  7. [ユーザーまたはグループの追加] をクリックして、[ユーザーとグループ名] に「priv\mimmonitor; priv\MIMService; priv\mimcomponent」と入力し、 [OK] をクリックします。

  8. [ OK] を選択 してプロパティ ウィンドウを閉じます。

  9. 詳細ウィンドウを表示し、[ ローカルでのログオンの拒否] を右クリックし、[ プロパティ] を選択します。

  10. [ユーザーまたはグループの追加] をクリックして、[ユーザーとグループ名] に「priv\mimmonitor; priv\MIMService; priv\mimcomponent」と入力し、 [OK] をクリックします。

  11. [ OK] を選択 してプロパティ ウィンドウを閉じます。

  12. [ローカル セキュリティ ポリシー] ウィンドウを閉じます。

  13. コントロール パネルを起動し、[ユーザー アカウント] に切り替えます。

  14. [他のユーザーにこのコンピューターへのアクセスを許可] をクリックします。

  15. [追加] をクリックし、ドメインの PRIV にユーザーとして「MIMADMIN」と入力し、ウィザードの次の画面で [このユーザーを管理者として追加する] をクリックします。

  16. [追加] をクリックし、ドメインの PRIV にユーザーとして「SharePointと入力し、ウィザードの次の画面で [このユーザーを管理者として追加する] をクリックします。

  17. [コントロール パネル] を閉じます。

IIS の構成を変更する

アプリケーションで Windows 認証モードを使うように IIS 構成を変更する方法は 2 つあります。 MIMAdmin としてサインインしていることを確認し、次のいずれかのオプションに従います。

PowerShell を使う場合:

  1. PowerShell を右クリックし、[ 管理者として実行] を選択します。

  2. IIS を停止し、これらのコマンドを使用してアプリケーション ホスト設定のロックを解除します。

    iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

メモ帳などのテキスト エディターを使う場合:

  1. C:\Windows\System32\inetsrv\config\applicationHost.configファイルを開きます。
  2. そのファイルの 82 行目まで下にスクロールします。 overrideModeDefault のタグ値は である<section name="windowsAuthentication" overrideModeDefault="Deny" />必要があります。
  3. overrideModeDefault の値を [許可] に変更します。
  4. ファイルを保存し、PowerShell コマンド を使用して IIS を再起動します iisreset /START

前提条件ライブラリをインストールする

  1. Windows Server 64 ビット版 の Visual C++ 2013 再頒布可能パッケージ をインストールします。

  2. PRIV ドメインで TLS 1.2 または FIPS モードを使用している場合は、「 TLS 1.2 のみ」または FIPS モード環境の MIM 2016 SP2 に関するページを参照してください。

SQL Server をインストールする

SQL Serverがまだ bastion 環境にない場合は、2012 (Service Pack 1 以降) SQL Server 2014 以降SQL Serverインストールします。 次の手順は、SQL 2014 であることを前提としています。

  1. MIMAdmin としてサインインしていることを確認します。
  2. PowerShell を右クリックし、[ 管理者として実行] を選択します。
  3. SQL Server セットアップ プログラムがあるディレクトリに移動します。
  4. 次のコマンドを入力します。 
    .\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"

更新プログラムの設定を変更する

  1. [設定] を開き、[Windows Update] に移動します。
  2. 新しい更新プログラムを確認し、続行する前に、Windows Server またはSQL Serverの保留中の重要な更新プログラムがインストールされていることを確認します。

SharePoint Server 2016 または 2019 をインストールする (MIM ポータルでのみ必要)

この記事の以降のセクションは、MIM ポータルをインストールする場合にのみ必要な前提条件です。 MIM ポータルをインストールしない場合は、 手順 4 に進み、MIM の他のコンポーネントをインストールします。

SharePoint Server 2016 または 2019 をインストールするための Sharepoint の準備に関するガイドを使用します。

Web サイトをローカル イントラネットとして設定する

  1. Internet Explorer を起動し、新しい Web ブラウザー タブを開きます。
  2. にアクセスし http://pamsrv.priv.contoso.local:82/ 、PRIV\MIMAdmin としてサインインします。 "MIM ポータル" という名前の空の SharePoint サイトが表示されます。
  3. Internet Explorer で [インターネット オプション] を開き、 [セキュリティ] タブに移動し、 [ローカル イントラネット] を選択して、URL http://pamsrv.priv.contoso.local:82/ を追加します。

サインインに失敗した場合は、手順 2 で前に作成した Kerberos SPN の更新が必要となる可能性があります。

SharePoint 管理サービスを開始する

SharePoint Administration サービスがまだ実行されていない場合は、 [サービス] ([管理ツール] 内にある) を使って起動します。

手順 4 では、MIM コンポーネントの PAM サーバーへのインストールを開始します。

«手順 2手順 4 »