説明/参照：
テストレット1
概要
Contoso、Ltd.は、自動車生産に使用されるいくつかの異なる部品を製造する製造会社です。 Contosoは、デトロイトに本社、シカゴに物流センター、ダラス、アトランタ、そしてサンディエゴに支店を持っています。
contoso.comのフォレストおよびドメインの機能レベルは、Windows Server 2008 R2です。すべてのサーバーはWindows Server 2012 R2を実行し、すべてのクライアントワークステーションはWindows 7またはWindows 8を実行します。ContosoはSystem Center 2012 Operations ManagerとAudit Collection Services（ACS）を使用して環境を監視します。環境内に認証局（CA）はありません。
現在の環境
contoso.comドメインには、次の表に示すサーバーが含まれています。

Contosoの営業担当者は米国内を移動し、モバイルデバイスを使用して企業ネットワークにアクセスすることでVPNに接続します。セールスユーザーは、Active Directoryのユーザー名とパスワードを使用してVPNの認証を受けます。 VPNソリューションは認証ベースの認証もサポートしています。
Contosoでは、手動で製品を数え、その数をデータベースに入力する必要がある在庫システムを使用しています。 Contosoは、ワイヤレスハンドヘルドスキャナと複数のワイヤレスハンドヘルドスキャナをサポートする新しい在庫管理ソフトウェアを購入しました。ワイヤレスハンドヘルドスキャナは、Network Device Enrollment Service（NDES）をサポートするサードパーティのオペレーティングシステムを実行します。
ビジネス要件
セキュリティ
ワイヤレスハンドヘルドスキャナは、ワイヤレスネットワークにアクセスするために認証ベースの認証を使用する必要があります。
モバイルデバイスを使用するセールスユーザーは、VPNにアクセスするために認証ベースの認証を使用する必要があります。セールスユーザーが退社すると、Contosoの管理者は証明書を失効させることでVPNアクセスを無効にすることができなければなりません。
モニタリング
すべてのサーバーは、System Center 2012 Operating Managerを使用して監視する必要があります。 Windowsオペレーティングシステムの監視に加えて、ACSを使用してCAサーバーからセキュリティログを収集し、証明機関やWebサービスなど、CAおよび証明書失効リスト（CRL）サーバーで実行されるサービスを監視する必要があります。
技術要件
CA階層
Contosoでは、2層のCA階層が必要です。 CA階層には、スタンドアロンのオフラインルートと2つのActive Directory統合発行CAを含める必要があります。1つはドメインに参加しているデバイスに証明書を発行するため、もう1つはNDESを使用してドメインに参加していないデバイスに証明書を発行します。 CRLは2つのWebサーバーに公開する必要があります。1つはデトロイトにあり、もう1つはシカゴにあります。
Contosoには、CA階層に使用するためにWindows Server 2012 R2を実行するサーバーがあります。サーバーについては、次の表に説明があります。

ITセキュリティ部門には、CAサーバーとCRLサーバーを管理するために必要な権限が必要です。このためには、Corp-IT Securityというドメイングループを使用する必要があります。 ITセキュリティ部門のユーザーはドメイン管理者ではありません。
フォールトトレランス
CRLをホストするサーバーは、Windowsネットワーク負荷分散（NLB）クラスターの一部である必要があります。基盤となるWebサーバーの1つがオフラインの場合でも、CRLは、ホスト名crl.contoso.comを使用してすべての場所のユーザーが利用できるようにする必要があります。