Fachartikel

Active Directory-Verbunddienste und Workplace Join

Im Zeitalter mobiler Mitarbeiter benötigen Unternehmen sichere Methoden, um Clients über das Internet an Unternehmensressourcen wie Webseiten und Co. anzubinden. Mit Windows Server 2012 R2 in Verbindung mit Windows 8.1, Windows RT 8.1 und iOS 7-Geräten stehen dazu die Active Directory-Verbunddienste bereit. Auf diesem Weg können Anwender auch ohne Domänenmitgliedschaft auf Active Directory-gesicherte Bereiche im Netzwerk zugreifen. Wir zeigen Ihnen in diesem Beitrag am Beispiel einer Testumgebung, wie Sie dies in Kombination mit Workplace Join realisieren.
Active Directory-Verbunddienste und Workplace Join fungieren als Brücken-technologie – mit Ihrer Hilfe können Anwender auch ohne Domänen-mitgliedschaft auf Active Directory-gesicherte Bereiche im Netzwerk zugreifen.
Dieser Artikel zeigt die Installation einer Beispielumgebung mit Active Directory-Verbunddiensten (ADFS) zur Einrichtung von Workplace Join zusammen mit einem Windows 8.1-Rechner. Um eine Testumgebung mit ADFS aufzubauen, benötigen Sie mindestens drei Server: Einen Domänencontroller, den ADFS-Server selbst und einen Webserver, auf den Sie zugreifen, um die Authentifizierung zu testen.

Auf allen drei Servern installieren Sie Windows Server 2012 R2. Um den Zugriff auf die Webanwendung mit Workplace Join zu testen, ist ein Rechner mit Windows 8.1 notwendig. Sie können zwar auch mit Windows RT 8.1 und Apple iOS 7 auf solche Ressourcen zugreifen, allerdings ist die Einrichtung mit Windows 8.1 einfacher und schneller durchgeführt.

Installieren und einrichten der Active Directory-Verbunddienste
Zum Aufbau einer ADFS-Infrastruktur mit einer Beispielanwendung benötigen Sie eine Active Directory-Gesamtstruktur sowie einen Server mit einer internen Zertifizierungsstelle. Außerdem müssen Sie verwaltete Dienstkonten sowie auf den Servern SSL-Zertifikate anlegen. In den folgenden Abschnitten zeigen wir Ihnen beispielhaft, wie Sie dabei vorgehen.

Achten Sie zunächst darauf, dass der FQDN des ADFS-Servers auf den DNS-Servern eingetragen ist und aufgelöst werden kann. Da der Server Mitglied der Domäne ist, sollte das ohnehin der Fall sein. Zusätzlich sollten Sie den DNS-Eintrag "enterpriseregistration" erstellen. Dieser muss ein Alias (CNAME) des ADFS-Servers sein. Sie erstellen einen Alias in der DNS-Verwaltung über das Kontextmenü der Zone.

Verwaltetes Dienstkonto für ADFS einrichten
Für die Active Directory-Verbunddienste verwenden Sie am besten ein gruppiertes verwaltetes Dienstkonto. Dieses legen Sie in der PowerShell an und verwenden dabei den Namen des zukünftigen ADFS-Servers. In diesem Beitrag nutzen wir den Namen "s1.contoso.int" für den ADFS-Server. Die Befehle zum Anlegen des verwalteten Dienstkontos sehen folgendermaßen aus:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount adfsGmsa -DNSHostName s1.contoso.com 
 -ServicePrincipalNames http/s1.contoso.com
Sie benötigen dazu das Active-Directory-Modul für die PowerShell. Auf Servern müssen Sie dazu die Remoteverwaltungstools für Active Directory installieren, auf Domänencontrollern ist das Modul automatisch verfügbar. Die Daten des angelegten Dienstkontos zeigen Sie mit Get-ADServiceAccount adfsGmsa an.

SSL-Zertifikate für ADFS und Workplace Join
Bevor Sie ADFS als Serverrolle installieren, müssen Sie den Server, auf dem Sie ADFS installieren wollen, in die Domäne aufnehmen. Danach müssen Sie dem Server ein Zertifikat zuweisen, das SSL unterstützt. Daher benötigen Sie zunächst eine interne Zertifizierungsstelle. Auf Basis einer Vorlage rufen Sie anschließend auf dem ADFS-Server ein neues SSL-Zertifikat ab. Gehen Sie dazu auf dem Zertifikateserver folgendermaßen vor, um ein Zertifikat vorzubereiten:Rufen Sie mit certtmpl.msc die Verwaltung der Vorlagen auf dem Zertifikateserver auf.
  1. Klicken Sie mit der rechten Maustaste auf die Vorlage "Webserver" und wählen Sie "Duplizieren".
  2. Verwenden Sie als Namen für das neue Zertifikat auf der Registerkarte "Allgemein" die Bezeichnung "SSL-Zertifikate".
  3. Wechseln Sie auf die Registerkarte "Sicherheit" und klicken Sie auf "Hinzufügen".
  4. Klicken Sie im neuen Fenster auf "Objekttypen" und wählen Sie "Computer" aus.
  5. Geben Sie den Namen der ADFS-Server ein, die Sie betreiben wollen.
  6. Aktivieren Sie für alle Computer das Recht "Registrieren" für die Zertifikatvorlage und klicken Sie auf "OK".
Wenn Sie die Vorlage vorbereitet haben, integrieren Sie diese in die Zertifikateverwaltung, indem Sie die Verwaltung der Zertifizierungsstelle mit certsrv.msc aufrufen. Nun klicken Sie mit der rechten Maustaste auf "Zertifikatvorlagen" und wählen "Neu/ Auszustellende Zertifikatvorlage". Hier wählen Sie die von Ihnen erstellte Vorlage aus. Die Vorlage steht jetzt in der Infrastruktur bereit für die Zuteilung an Server.

Um auf dem ADFS-Server ein Zertifikat auf Basis der von Ihnen erstellten Vorlage abzurufen, rufen Sie auf dem ADFS-Computer die Konsole certlm.msc auf. Dort klicken Sie mit der rechten Maustaste auf "Eigene Zertifikate / Zertifikate" und wählen "Alle Aufgaben / Neues Zertifikat anfordern". Jetzt bestätigen Sie die erste Seite der Registrierung und auf der nächsten Seite die Active Directory-Registrierungsrichtlinie. Anschließend wählen Sie auf der Seite mit den Vorlagen die von Ihnen erstellte Vorlage aus. Im Fenster müssen Sie jetzt noch auf den Link mit dem Text unterhalb der Vorlage klicken, um wichtige Daten für das Zertifikat einzugeben. Hier müssen Sie folgende Daten eingeben, bevor Sie mit "OK" bestätigen: "Allgemeiner Name:" <s1.contoso.int> (bei Ihnen der entsprechende Name des ADFS-Servers) und "Alternativer Name (DNS verwenden):" <s1.contoso.int> und <enterpriseregistration.contoso.int>.

    Seite 1: Installation und Einrichtung
    Seite 2: ADFS als Serverrolle installieren
    Seite 3: Workplace Join mit Windows 8.1


Seite 1 von 3 Nächste Seite >>
6.07.2015/ln/jp/Thomas Joos

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen