Freigeben über


Konfigurieren des Registrierungsdiensts für Netzwerkgeräte für die Verwendung eines Domänenbenutzerkontos

Es wird empfohlen, den Registrierungsdienst für Netzwerkgeräte für die Angabe eines Benutzerkontos zu konfigurieren. Hierfür sind zusätzliche Schritte erforderlich. Wenn Sie die integrierte Anwendungspoolidentität auswählen, wird keine zusätzliche Konfiguration benötigt.

In diesem Artikel erfahren Sie, wie Sie den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) so konfigurieren, dass er als angegebenes Dienstkonto ausgeführt wird.

Der Registrierungsdienst für Netzwerkgeräte ermöglicht Routern und anderen Netzwerkgeräten das Abrufen von Zertifikaten, die auf dem Simple Certificate Enrollment-Protokoll (SCEP) basieren, ohne Domänenanmeldeinformationen zu verwenden.

SCEP wurde entwickelt, um die sichere und skalierbare Ausstellung von Zertifikaten an Netzwerkgeräte über existierende Zertifizierungsstellen (ZS) zu unterstützen. Das Protokoll unterstützt die Verteilung öffentlicher Schlüssel von Zertifizierungs- und Registrierungsstellen sowie Registrierungen und Zertifikatsperrabfragen.

Weitere Informationen zum Registrierungsdienst für Netzwerkgeräte und zur Verwendung von Zertifikaten, die auf dem Simple Certificate Enrollment-Protokoll basieren, finden Sie unter Was ist der Registrierungsdienst für Netzwerkgeräte für Active Directory-Zertifikatdienste?.

Voraussetzungen

Stellen Sie nach der Installation des NDES-Rollendiensts für Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) sicher, dass Sie folgende Voraussetzungen erfüllen:

  • Sie verwenden ein Domänenbenutzerkonto.

  • Sie sind Mitglied der lokalen Gruppe IIS_IUSRS.

  • Sie verfügen über Anforderungsberechtigungen für die konfigurierte Zertifizierungsstelle (Certificate Authority, CA).

  • Sie verfügen über Lese- und Registrierungsberechtigungen für die NDES-Zertifikatvorlage (wird automatisch konfiguriert).

  • Wenn Sie einen CNAME-Eintrag oder Lastenausgleichsnetzwerknamen verwenden, konfigurieren Sie einen Dienstprinzipalnamen (Service Principle Name, SPN) in Active Directory Domain Services.

Erstellen eines Domänenbenutzerkontos als NDES-Dienstkonto

Als Nächstes müssen Sie ein Domänenbenutzerkonto als NDES-Dienstkonto erstellen.

  1. Melden Sie sich am Domänencontroller bzw. am Verwaltungscomputer an, auf dem die Remoteserver-Verwaltungstools für Active Directory-Domänendienste installiert sind. Öffnen Sie Active Directory-Benutzer und -Computer mit einem Konto, das die Berechtigungen zum Erstellen neuer Benutzer in der Domäne hat.

  2. Erweitern Sie die Konsolenstruktur, bis der Container angezeigt wird, in dem Sie das Benutzerkonto erstellen möchten. Manche Organisationen haben z. B. eine Dienst-OU oder ein ähnliches Konto. Klicken Sie mit der rechten Maustaste auf den Container, und wählen Sie Neu > Benutzer aus.

  3. Geben Sie in den Textfeldern von Neues Objekt – Benutzer entsprechende Namen für alle Felder ein, um deutlich zu machen, dass Sie ein Benutzerkonto erstellen. Beachten Sie die Richtlinien Ihrer Organisation für die Erstellung von Dienstkonten, falls solche Richtlinien existieren. Geben Sie beispielsweise die folgenden Daten ein, und wählen Sie anschließend Weiter aus:

    • Vorname: Ndes

    • Nachname: Dienst

    • Benutzeranmeldename: NdesService

  4. Richten Sie ein komplexes Kennwort für das Konto ein und bestätigen Sie das Kennwort. Konfigurieren Sie die Kennwortoptionen gemäß der Sicherheitsrichtlinien Ihrer Organisation für Dienstkonten. Falls das Kennwort nach einer bestimmten Zeit verfällt, sollten Sie einen Mechanismus einrichten, um sicherzustellen, dass Sie das Kennwort im korrekten Intervall ändern.

  5. Wählen Sie Weiter und anschließend Fertig aus.

Tipp

  • Sie können auch das Windows PowerShell-Cmdlet New-ADUser verwenden, um ein Domänenbenutzerkonto hinzuzufügen.

  • Je nach Ihrer Active Directory-Domänendienste (AD DS)-Konfiguration können Sie evtl. ein verwaltetes Dienstkonto oder ein gruppenverwaltetes Dienstkonto für NDES einrichten. Weitere Informationen über verwaltete Dienstkonten finden Sie unter Verwaltete Dienstkonten. Weitere Informationen über gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.

Hinzufügen des NDES-Dienstkontos zur lokalen Gruppe IIS_IUSRS

Nachdem Sie erfolgreich ein Domänenbenutzerkonto als NDES-Dienstkonto erstellt haben, müssen Sie dieses NDES-Dienstkonto der lokalen Gruppe IIS_IUSRS hinzufügen.

  1. Öffnen Sie auf dem Server, der den Registrierungsdienst für Netzwerkgeräte hostet, die Computerverwaltung (compmgmt.msc).

  2. Erweitern Sie in der Konsolenstruktur in der Computerverwaltung unter Systemtools den Knoten Lokale Benutzer und Gruppen. Wählen Sie Gruppen aus.

  3. Wählen Sie im Detailbereich die Option IIS_IUSRS aus.

  4. Wählen Sie auf der Registerkarte Allgemein die Option Hinzufügen aus.

  5. Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Benutzeranmeldenamen des Kontos ein, das Sie für die Verwendung als Dienstkonto konfiguriert haben.

  6. Wählen Sie Namen überprüfen aus, wählen Sie zweimal OK aus, und schließen Sie die Computerverwaltung.

Tipp

Sie können auch net localgroup IIS_IUSRS <domain>\<username> /Add verwenden, um das NDES-Dienstkonto der lokalen Gruppe IIS_IUSRS hinzuzufügen. Die Eingabeaufforderung oder Windows PowerShell muss als Administrator ausgeführt werden. Weitere Informationen finden Sie unter dem PowerShell-Befehl Add-LocalGroupMember].

Einrichten der Anforderungsberechtigung für die Zertifizierungsstelle

NDES-Dienstkonten müssen eine Berechtigung für die Zertifizierungsstelle anfordern, die vom Registrierungsdienst für Netzwerkgeräte verwendet werden soll.

  1. Öffnen Sie in der Zertifizierungsstelle, die vom Registrierungsdienst für Netzwerkgeräte verwendet werden soll, die Zertifizierungsstellenkonsole mit einem Konto, das über Berechtigungen zur Verwaltung der Zertifizierungsstelle verfügt.

  2. Öffnen Sie die Zertifizierungsstellenkonsole. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle, und wählen Sie Eigenschaften aus.

  3. Auf der Registerkarte Sicherheit sehen Sie die Konten, die Berechtigungen zum Anfordern von Zertifikaten haben. Standardmäßig hat die Gruppe Authentifizierte Benutzer diese Berechtigung. Das von Ihnen erstellte Dienstkonto ist Mitglied der Gruppe Authentifizierte Benutzer, wenn es verwendet wird. Wenn die Gruppe Authentifizierte Benutzer bereits über die Berechtigung zum Anfordern von Zertifikaten verfügt, müssen keine weiteren Berechtigungen erteilt werden. Andernfalls müssen Sie dem NDES-Dienstkonto die Berechtigung zum Anfordern von Zertifikaten für die Zertifizierungsstelle erteilen. Gehen Sie folgendermaßen vor:

    • Wählen Sie Hinzufügen aus.

    • Geben Sie im Textfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen den Namen des NDES-Dienstkontos ein, wählen Sie Namen überprüfen aus, und wählen Sie anschließend OK aus.

    • Vergewissern Sie sich, dass das NDES-Dienstkonto ausgewählt ist. Vergewissern Sie sich, dass das entsprechende Erlauben-Kontrollkästchen für Zertifikate anfordern markiert ist. Klicken Sie auf OK.

Überprüfen, ob ein Dienstprinzipalname für den Registrierungsdienst für Netzwerkgeräte festgelegt werden muss

Ein Dienstprinzipalname (Service Principal Name, SPN) muss in Active Directory konfiguriert werden, wenn Sie einen Lastenausgleich oder einen virtuellen Namen verwenden. In diesem Abschnitt erfahren Sie, wie Sie ermitteln, ob ein SPN in Active Directory festgelegt werden muss.

  • Wenn Sie einen einzelnen NDES-Server und dessen tatsächlichen Hostnamen verwenden (häufigstes Szenario), benötigt das Konto keinen registrierten SPN. Dieser Falls wird durch die Standard-SPNs der Computerkonten für „HOST/computerFQDN“ abgedeckt. Bei Verwendung aller anderen Standardwerte (insbesondere im Zusammenhang mit der IIS-Kernelmodusauthentifizierung) können Sie mit dem nächsten Abschnitt dieses Artikels fortfahren.

  • Wenn Sie einen benutzerdefinierten A-Eintrag als Hostname oder einen Lastenausgleich mit einer virtuellen IP-Adresse verwenden, muss ein SPN für das NDES-Dienstkonto (SCEPSvc) registriert werden. So registrieren Sie einen SPN für das NDES-Dienstkonto

    1. Verwenden Sie die Setspn-Befehlssyntax Setspn -s HTTP/<computerfqdn> <domainname\accountname>, wenn Sie Ihre Befehle eingeben. Beispiel: Ihre Domäne lautet Fabrikam.com und der NDES CNAME-Eintrag NDESFARM, und Sie verwenden ein Dienstkonto namens SCEPSvc. Im Beispiel würden Sie die folgenden Befehle ausführen.

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc
    2. Deaktivieren Sie dann die IIS-Kernelmodusauthentifizierung für den Standort.

Einrichten des NDES-Rollendiensts

Nach Abschluss der Installation müssen einige Schritte ausgeführt werden, um die Konfiguration des NDES-Computers abzuschließen.

Falls der Registrierungsdienst für Netzwerkgeräte für eine Zertifizierungsstelle installiert ist, können Sie die Zertifizierungsstelle nicht auswählen, da automatisch die lokale Zertifizierungsstelle verwendet wird.

Wenn der Registrierungsdienst für Netzwerkgeräte auf einem Computer installiert ist, bei dem es sich nicht um eine Zertifizierungsstelle handelt, müssen Sie die Zielzertifizierungsstelle auswählen. Sie können die Zertifizierungsstelle entweder über den Zertifizierungsstellennamen oder über den Computernamen auswählen.

So wählen Sie die Zertifizierungsstelle aus

  1. Öffnen Sie die AD CS-Konfiguration über den Server-Manager.

  2. Wählen Sie ZS für NDES aus.

  3. Wählen Sie ZS-Name oder Computername und anschließend Auswählen aus.

  4. Die ausgewählte Option bestimmt, welches Dialogfeld als Nächstes angezeigt wird:

    • Wenn Sie auf ZS-Name geklickt haben, wird das Dialogfeld Zertifizierungsstelle auswählen mit einer Liste von auswählbaren Zertifizierungsstellen angezeigt.

      oder

    • Wenn Sie auf Computername geklickt haben, wird das Dialogfeld Computer auswählen angezeigt, in dem Sie die Standorte auswählen und den Computernamen eingeben können, den Sie als ZS verwenden möchten.

Nun können Sie die Einrichtung des NDES-Rollendiensts abschließen. In den restlichen Schritten werden die Registrierungsstelleninformationen überprüft und die Kryptografie eingerichtet.

  1. Die von Ihnen angegebenen Registrierungsstelleninformationen werden bei der Erstellung des Signierungszertifikats verwendet, das für den Dienst ausgestellt wird. Wählen Sie im Server-Manager die Option „Registrierungsstelleninformationen“ aus.

  2. Überprüfen Sie alle Felder, und vergewissern Sie sich, dass die Registrierungsstelleninformationen korrekt (oder auf die Standardwerte festgelegt) sind.

Der Registrierungsdienst für Netzwerkgeräte verwendet zwei Zertifikate und deren Schlüssel für die Geräteregistrierung. Organisationen können unterschiedliche Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) zur Speicherung dieser Schlüsselverwenden oder die Länge der von diesem Dienst verwendeten Schlüssel ändern. Nur CryptoAPI-Dienstanbieter (Kryptografie-Anwendungsprogrammierschnittstelle) werden für die Kryptografie-API für Registrierungsstellenschlüssel unterstützt. Anbieter der nächsten Generation (CNG) werden nicht unterstützt.

  1. Wählen Sie zum Konfigurieren der Kryptografie im Server-Manager die Option „Kryptografie für NDES“ aus.

  2. Geben Sie die Werte für Signaturschlüsselanbieter und/oder Verschlüsselungsschlüsselanbieter ein, und entscheiden Sie sich für Schlüssellängenwerte.

  3. Führen Sie die restlichen Schritte des Assistenten aus, um die Installation des Registrierungsdiensts für Netzwerkgeräte abzuschließen.

Nachdem Sie den Rollendienst konfiguriert haben, können Sie sich unter Active Directory Certificate Services (AD CS): Network Device Enrollment Service (NDES) (Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS): Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)) ausführlicher über die Konfiguration und die Verwendung des Registrierungsdiensts für Netzwerkgeräte informieren.

Tipp

Wenn Sie Konfigurationsänderungen für NDES oder an den Zertifikatvorlagen vornehmen, die von NDES verwendet werden, müssen Sie NDES, IIS und Zertifizierungsstellendienst beenden und neu starten.

Nächste Schritte