はじめに
本記事はゼットスケーラー株式会社としては初のAdvent Calender 2023の一つとして投稿しています。以下の免責事項をご理解の上、記事を読んで頂けると幸いです。
免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラーへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラーの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
マシントンネルとは
Zscaler Private Access(ZPA)の利用においては、ユーザがZscaler Client Connector(ZCC)にログインし、認証成功した後、許可された社内アプリケーションに接続するのが一般的な通信流れになります。
但し、Windowsのドメイン参加/ログイン、Windowsパスワードリセット等、ZCCにログインする前に、ADと通信するケースがあります。この場合、以下の図の通り、最初はマシントンネル経由でADと通信し、Windowsにログインできるようになったら、ZPA経由で社内アプリケーションに接続します。
マシントンネルの設定手順
本記事ではマシントンネルを使ってドメイン参加の手順を紹介します。
Step1.ZPAのAdmin PortalでMachine Provisioning Keyの作成
Step2.SRV用App Segmentの設定
Windows端末がドメインに参加する際、DNSのSRVレコードを使って、ドメインを所有しているADを検索します。SRVレコードを引けるようにwildcard(例:*.example.com)でApp Segmentを定義します。実際"*.example.com"に対して何か通信するわけではないため、Port番号はダミーのPort1で設定します。
Step3.AD通信用App Segmentの設定
SRVでADを特定した後、ADと通信してドメイン参加します。ADサーバのFQDN(例:ad.example.com)で設定します。
Port番号は以下を設定します。
Step4.Access Policyの設定
Step2,3で作ったApp Segmentを選択し、Client TypesにMachine Tunnelを指定して、Access Policyを作成します。
Step5.Mobile Admin PortalでMachine Tunnelの有効化
Step6.App profileでMachine Tokenを選択
Step7.ZCCインストール
App ProfileよりPolicy Tokenをコピーします。
Windows端末にPolicy Tokenを指定して、ZCCをインストールします。
msiexec /i <Zscaler installer name>.msi CLOUDNAME=<Your Cloud> USERDOMAIN=<Your Domain> POLICYTOKEN=<Your Policy Token>
Zscaler Diagnoticsがメニューに表示され、Tunnel StatusがTUNNEL_FORWARDINGになっていれば、マシントンネルが接続成功です。
Step8.ドメイン参加
コマンドプロンプトでSRVレコードが引けるかを確認します。
nslookup
set type=srv
_ldap._tcp.<Your Domain>
引ける場合は、以下のように表示されます。
スタートメニューをクリックし、「sysdm.cpl」と入力して実行します。
Domainユーザ名(Your Domain\Usernameの形式)とパスワードを入れてDomain参加します。
再起動が求められますので、Windowsの再起動を行います。起動してきたら、Other userが表示され、クリックしてDomainユーザでログインできます。
まとめ
マシントンネルの設定を紹介しました。最初設定した時、通信の目的がドメイン参加でADのApp Segmentだけを設定しました。うまくドメイン参加できず、切り分けに時間がかかりました。SRVのApp Segmentも忘れず設定しましょう。