登録サーバ OS で Windows レジストリ設定を使用して、接続するドメイン、さまざまなタイムアウト期間、ポーリング期間、再試行回数、および同じローカル サーバにインストールされている認証局を使用するかどうかを構成できます(推奨)。

詳細な構成設定を変更するには、登録サーバ マシンで Windows レジストリ エディタ (regedit.exe) を開き、次のレジストリ キーに移動します。

HKLM\SOFTWARE\VMware, Inc.\VMware VDM\Enrollment Service
表 1. 登録サーバで True SSO を構成するためのレジストリ キー
レジストリ キー 最小~最大 タイプ 説明
ConnectToDomains 該当なし REG_MULTI_SZ 登録サーバが自動的に接続を試みるドメインのリストこの複数文字列のレジストリ タイプでは、各ドメインの DNS 完全修飾ドメイン名 (FQDN) が個別の行で表示されます。

デフォルトでは、すべてのドメインを信頼します。

ExcludeDomains 該当なし REG_MULTI_SZ 登録サーバが自動的に接続しないドメインのリストドメインを含む構成設定が接続サーバによって提供されると、登録サーバはそのドメインへの接続を試みます。この複数文字列のレジストリ タイプでは、各ドメインの DNS FQDN が個別の行で表示されます。

デフォルトでは、除外されるドメインはありません。

ConnectToDomainsInForest 該当なし REG_SZ 登録サーバがメンバーになっているフォレスト内のすべてのドメインに接続して使用するかどうかを指定します。デフォルトは TRUE です。

次のいずれかの値を使用します。

  • 0:false を意味します。使用されているフォレストのドメインに接続しません。
  • ! =0:true を意味します。
ConnectToTrustingDomains 該当なし REG_SZ 明示的に信頼/受信するドメインに接続するかどうかを指定します。デフォルトは TRUE です。

次のいずれかの値を使用します。

  • 0:false を意味します。明示的に信頼/受信するドメインに接続しません。
  • ! =0:true を意味します。
PreferLocalCa 該当なし REG_SZ パフォーマンス上の利点を得るため、ローカルにインストールされた CA が存在する場合に使用するかどうかを指定します。TRUE に設定されている場合、登録サーバはローカル CA に要求を送信します。ローカル CA への接続に失敗すると、登録サーバは別の CA への証明書要求の送信を試みます。デフォルトは FALSE です。
次のいずれかの値を使用します。
  • 0:false を意味します。
  • ! =0:true を意味します。
MaxSubmitRetryTime 9,500 ~ 59,000 DWORD 証明書署名要求の送信を再試行する前に待機する時間(ミリ秒)。デフォルトは 25000 です。
SubmitLatencyWarningTime 500 ~ 5000 DWORD インターフェイスが「低下」とマークされている場合の送信遅延警告時間(ミリ秒)。デフォルトは 1500 です。

登録サーバはこの設定を使用して、CA が低下状態と見なされるべきかどうかを判断します。最後の 3 回の証明書要求の完了にかかった時間がこの設定で指定されたミリ秒より長い場合、CA は低下状態と見なされ、View Administrator の健全性ステータス ダッシュボードにこのステータスが表示されます。

一般的に CA は 20 ミリ秒以内に証明書を発行しますが、CA が数時間アイドル状態だった場合は、最初の要求の完了にかかる時間が長くなることがあります。この設定によって、CA を低速とマークする必要なしに、管理者は CA が低速であることを確認できます。この設定は、CA を低速とマークするしきい値を構成するために使用します。