Windows2003Server上にエンタプライズルートCAを構築し

Windows2003Server上にエンタプライズルートCAを構築しようとしています。
証明書サービスはインストールしたのですがWebページ(CertSrv)にアクセスできず、
IISで確認したところ、なぜかIIS上からsystem32\certsrvのフォルダが見えません。
パスが存在しません、とエラーになってしまいます。
（エクスプローラ上で存在している事は確認できます）

certsrvのアクセス許可は↓こちらを参照して設定してみましたがうまくいきませんでした。
http://support.microsoft.com/kb/812614

ログインユーザーはAdministratorで作業を行っています。
構築しているPCはドメインコントローラなのですが、それが何か影響しているのでしょうか・・。
（サーバ管理者は別の人間で当方はドメインコントローラ等明るくないです）

環境：
OS：Windows 2003 Server Enterprise x64 Edition SP2

よろしくお願いします。

No.1 回答者： kadusaya2 回答日時： 2010/07/28 23:31

まず、インストールの状況・手順、エラーの詳細などが分からないので、アドバイスするには情報が少なすぎます。

次に、アクセス許可に参照したURLはエンタプライズルートCAとは関係無いと思います。

あと、OSや環境にかかわらず、原則としてルートCAは“オフライン”である必要があります。
マイクロソフトの書籍には、常にオンライン状態を維持しなければいけないドメインコントローラと、オフラインでなければならないルートCAは必ず分けるように明記されています。
このまま構築が上手くいったとしても、運用やバージョンアップで致命傷の問題が発生すると思いますよ。

悪いことは言いません。別なマシンを用意して、最初から構築し直した方が良いです。

この回答へのお礼

ご回答ありがとうございます。

まずは情報提示が少なかったようですみません。
別PCも条件に適したマシンがなかなか用意できず、本日も原因を調査しておりますが
私自身はかなり別PCで再構築の方向に傾いております。。

インストール手順ですが、「Windowsコンポーネントの追加と削除」からウィザードを使用して
行っており、インストール段階では特にエラーもなく変わった点はないように思います。

エラーの詳細についてですが、IISの既定のWebサイト上に作成されたCertSrvサイトの
プロパティ画面で表示されます。

ローカルパスの入力エリアから吹き出しで
「パスが存在しません。または、ディレクトリではありません。」
と表示され、プロパティのOKボタンも、仮想ディレクトリ以外のタブも開けない状態です。
ローカルパスの参照ボタンでフォルダを探しても、確かにsystem32の下にcertsrvがありません。
仮想ディレクトリの作成ウィザードからディレクトリを参照しても同様です。
URLを参照した場合も
「HTTP エラー 404 - ファイルまたはディレクトリが見つかりません。」
のように表示されてしまいます。
（なので単純に表示権限の関係かとNTFSのアクセス許可を確認してみたのですが・・・。）


>>あと、OSや環境にかかわらず、原則としてルートCAは“オフライン”である必要があります。
>>マイクロソフトの書籍には、常にオンライン状態を維持しなければいけないドメインコントローラと、
>>オフラインでなければならないルートCAは必ず分けるように明記されています。

これについてMicrosoftのオンラインドキュメントを探してみたのですが、関連する記述を
見つけられませんでした。もしオンライン上で確認できる資料があれば教えていただけると嬉しいです。

お礼日時：2010/07/29 16:43

No.2 ベストアンサー 回答者： kadusaya2 回答日時： 2010/07/30 01:26

#1です。

インストール時に設定ファイル作成やCUIでのコマンド実行をやられていないのであれば、それが原因だと思います。
Windows PKIではインストール時のみでしか設定できない項目があります。キチンと手順を踏まないと後からではどうしようもないことがあります。

「・・・ルートCAは“オフライン”である・・・」については、PKIの勉強をすれば必ずと言って良いほど出てきます。ただし、最近の素人向け入門書には書かれていないこともあります。
CAとADの関係については、マイクロソフトの教育プログラムを受講されるか、下記の書籍を熟読してください。（一応 “マイクロソフト公式解説書” となっています）
「Windows Server 2008 PKI & 認証セキュリティ大全」
日経BPソフトプレス 9500円
ISBN 978-4-89100-617-4

余談ですが、CAはこの先10年以上使い続けるものです。
Windows 2003 server はバグがあるためパッチを当てなければ SHA-256 を処理できず、2010年問題に対応できません。また、マイクロソフトのサポートも終了しています。
これからCAを構築するのであれば、Windows Server 2008 R2 を選ばれた方が良いでしょう。

この回答へのお礼

結論から申し上げますと、別サーバーを新規で用意するという事になりました。

ただ、エラーの出ているPCもドメインコントローラとして使用しているので、
その他の影響などの調査も追い追いやっていこうと思います。

今回で前提知識はもちろん、手元の本や資料が全く不足しているがよく分かりました。

>>Windows PKIではインストール時のみでしか設定できない項目があります。キチンと手順を踏まないと後からではどうしようもないことがあります。
ご紹介の書籍を購入して、よく理解してから新サーバーに取り掛かろうと思います。

kadusaya2さん、ご回答ありがとうございました。

お礼日時：2010/07/30 14:18