ネットワーク セキュリティ資格情報の選択

  • [アーティクル]

シンボル プロキシ サーバーは、使用予定のシンボル ストアにアクセスするための適切な特権を持つセキュリティ コンテキストから実行する必要があります。 https://msdl.microsoft.com/download/symbolsのような外部の Web ストアからシンボルを取得する場合、シンボル プロキシ サーバーはファイアウォールの外から Web にアクセスする必要があります。 ネットワーク上の他のコンピューターからファイルを取得する場合、シンボル プロキシ サーバーには、それらの場所からファイルを読み取る適切な権限が必要です。 シンボル プロキシ サーバーをネットワーク サービス アカウントとして認証するか、他のユーザー アカウントと共に Active Directory ドメイン サービス内で管理されるユーザー アカウントとして作成するかの 2 つの選択肢が考えられます。

注: このアカウントの権限は、ファイルの読み取りと c:\symstore へのコピーに必要なものだけに制限することをお勧めします。 この制限により、HTTP ストアにアクセスするクライアントがシステムを破損することを防げます。

注: ここで紹介するオプションが、実際の環境で意味があることを確認してください。 組織によって、セキュリティのニーズや要件は異なります。 組織のセキュリティ要件をサポートするために、ここで説明したプロセスを修正してください。

ネットワーク サービスとして認証する

ネットワーク サービス アカウントは Windows に組み込まれているため、新しいアカウントを作成する追加の手順はありません。 この例では、corp という名前のドメインで、シンボル プロキシ サーバーが構成されているコンピューターに SymMachineName という名前を付けます。

外部のシンボル ストアまたはインターネット プロキシは、このコンピューターのネットワーク サービス アカウント (マシン アカウント) が正常に認証されるように構成する必要があります。 これを実現する方法は 2 つあります。

  • 外部ストアまたはインターネット プロキシの Authenticated Users グループへのアクセスを許可します。

  • マシン アカウント corp\SymMachineName$ へのアクセスを許可します。 このオプションは、シンボル プロキシ サーバーの "ネットワーク サービス" アカウントのみにアクセスを制限するため、より安全です。

ドメイン ユーザーとして認証する

この例では、ユーザー アカウントが corp と呼ばれる ドメイン の SymProxyUser という名前であると仮定します。

IIS_USRS グループにユーザー アカウントを追加するには

  1. [管理ツール] で、[コンピューターの管理] を開きます。

  2. [ローカル ユーザーとグループ] を展開します。

  3. [グループ] をクリックします。

  4. 中央のウィンドウで [IIS_USRS] をダブルクリックし、[プロパティ] を選択します。

  5. [メンバー] セクションの [追加] をクリックします。

  6. [選択するオブジェクト名を入力してください] というラベルの付いたウィンドウに、「corp\SymProxyUser」と入力します。

  7. [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスを終了するには、[OK] をクリックします。

  8. [IIS_USRS プロパティ] を終了するには、[OK] をクリックします。

  9. [コンピューターの管理] コンソールを閉じます。

アカウントを使用するように IIS をセットアップする

  1. [管理ツール] で、[インターネット インフォメーション サービス (IIS) マネージャー] を開きます。

  2. [Web サイト] を展開します。

  3. [既定の Web サイト]を右クリックし、[プロパティ]を選択します。

  4. [ディレクトリ セキュリティ] タブをクリックします。

  5. [認証およびアクセスの制御] セクションの [編集…] をクリックします。

  6. [匿名アクセスを有効にする] がチェックされていることを確認します。

  7. リモート シンボル サーバー ストア (corp\SymProxyUser など) にアクセスするためのアクセス許可を持つアカウントの資格情報を入力し、[OK] をクリックします。

  8. パスワードを求められた場合にはもう一度入力し、[OK]をクリックします。

  9. [既定の Web サイトのプロパティ] を閉じるには、[OK] をクリックします。

  10. [継承のオーバーライド] ダイアログが表示される場合があります。 その場合は、どの仮想ディレクトリに適用するかを選択します。

IIS_WPG グループを使用して ドメイン ユーザーとして認証する

この例では、ユーザー アカウントは、corp という名前のドメインで SymProxyUser と名付けられます。 このユーザー アカウントを認証するには、IIS_WPG グループに追加する必要があります。

IIS_WPG グループにユーザー アカウントを追加するには

  1. [管理ツール] で、[コンピューターの管理] を開きます。

  2. [ローカル ユーザーとグループ] を展開します。

  3. [グループ] をクリックします。

  4. 右側のウィンドウで、[IIS_WPG]をダブルクリックします。

  5. 追加をクリックします。

  6. [選択するオブジェクト名を入力してください] というラベルの付いたウィンドウに、「corp\SymProxyUser」と入力します。

  7. [ユーザー、コンピュータ、またはグループの選択] ダイアログ ボックスを終了するには、[OK] をクリックします。

  8. [IIS_WPG プロパティ] を終了するには、[OK] をクリックします。

  9. [コンピューターの管理] コンソールを閉じます。