Windows統合認証による、IISサーバへの自動ログオン

はじめに

初めまして、二年目の市原と申します。今回は、Windows Active Directory(以下AD)とInternet Information Services(以下IIS)を利用し、同一のADからIISに自動ログオンできる環境を構築・検証しました。

構成図

vsphere環境上にADサーバ、IISサーバ、クライアントPCを用意し、同じドメインにデバイスを登録する。

要件

• IISサーバのIISマネージャで、Windows認証を使用する。
• 同一adからはIDパスワード要求を受けることなくログインできるようにする。

外部(ADに所属していないアカウント)から接続した場合の画面

ログイン成功時の画面(AD内のクライアントは上記のログイン画面を経由することなくこの画面に到達する)

行ったこと

ADサーバの設定

以下の記事を参考に設定を行いました。
参考：ウィーベイス株式会社 大西様「【AD】Active Directoryサーバの構築」
https://qiita.com/onishi_820/items/02a66c370d6ad218794b
リンク先の記事が削除されたときを考慮し、行ったこととして要点を記載しておきます。

「役割と機能の追加」からActive Directory ドメインサービスをインストールします。

通知欄から「このサーバをドメインコントローラに昇格する」ボタンをクリックして、

「新しいフォレストを追加する」からADサーバを構成していきます。
あとは流れに沿って「次へ」を押していきます。

ユーザ名は、UsersにIISとクライアントの2つをIIS Server IIS Clientとして作成しました。

IISサーバの設定

以下の記事を参考に設定を行いました。
参考：kurataku　~IT情報 備忘録~「IIS - Webアプリケーションでの 統合Windows認証を構成する方法」
https://kurataku.com/iis-internetninformationservices-default/
リンク先の記事が削除されたときを考慮し、行ったこととして要点を記載しておきます。

「役割と機能の追加」からWebサーバー(IIS)を選択してインストールします。

IISをインストールする際にWindows認証にチェックを入れます。

IISマネージャを起動して、上記の設定のようにWindows認証を有効にします。

AD,IIS サーバ設定終了後

ADに参加しているアカウントでそれぞれログインします。
今回はIISサーバのマシンでは名前をIISServerで、クライアントマシンはIISClientで作成したのでそれらの名前を入力してログインし、設定を確認します。

今回設定したAD名であるichihara-ad.localがデバイス名に反映されている

Internet Explorer・インターネットオプションの設定

自動ログオンを行うクライアントすべてで、Internet Explorerを有効にし、イントラネットの追加を行う必要があります。
Edgeを開き、設定ページから【既定のブラウザー】ページに移動して、IEモードを許可し、EdgeでIEでの読み込みを可能にします。

Edge設定の、【インターネットオプション】の右側リンク、あるいは、windows検索ツールで【インターネットオプション】と検索します。
セキュリティ>ローカルイントラネット>サイトとクリック(画像下)
ローカルイントラネットから、IISサーバで設定したURLをイントラネットゾーンに設定して、保存します。

動作の確認

ログイン成功時の画面(AD内のクライアントは上記のログイン画面を経由することなくこの画面に到達する)

ログイン操作を行わずIISの初期画面が表示されたら終了です。

感想・反省点

終わってみればそこまで難しい内容ではありませんでしたが、前述した詰まり方や構成図の確認を怠ったことが原因で、思った以上に時間がかかってしまいました。
多くのサイトを調べて試しましたが、記事を見ても何かしらを前提として省略していることが多く、自分で解決するしかなかったことが時間がかかった原因と考えています。

また、前述した問題を切り分けをする際に、原因を探る視野が狭かったと認識しました。まだまだ自分には改善の余地があるなと感じました。
最後に、拙い文章をお読みいただきありがとうございました。これからも精進してまいります。