Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Arbeitsplatzbeitritt konfigurieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Lernen Sie die erforderlichen Schritte kennen, um einen Arbeitsplatzbeitritt zu konfigurieren.
10:41

Transkript

Wie Sie den Arbeitsplatzbeitritt konfigurieren, ist das Thema in diesem Video. Ich zeige Ihnen die Konfiguration für einen Arbeitsplatzbeitritt, wie Sie das in einer Testumgebung ausführen können. In einer produktiven Umgebung gäbe es einige Anpassungen, die anders gemacht werden, als ich Ihnen jetzt gleich zeigen werde. Zum Beispiel würde ich keine interne Zertifizierungsstelle einsetzen, weil die Geräte, die Sie mitbringen in Ihre Umgebung, die sind vielleicht nicht Mitglied der Domäne. Diese vertrauen also nicht meiner internen Zertifizierungsstelle. Das sind so Punkte, die Sie beachten müssen, wenn Sie den Arbeitsplatzbeitritt konfigurieren möchten. Das, was ich Ihnen gleich zeigen werde, und auch in den nächsten Videos, das ist in einer Testumgebung. Für eine produktive Umgebung müssen Sie einige Punkte anders umsetzen. Starten wir mit einer ersten Vorbereitung, um den Arbeitsplatzbeitritt zu konfigurieren. Wir können den eigentlichen Arbeitsplatzbeitritt umsetzen, indem wir in die Windows-Charms-Leiste wechseln. Und dann wählen wir Einstellungen, dann PC-Einstellungen ändern. Und Sie sehen hier, ich bin bereits im Register Netzwerk. Dann unter Arbeitsplatz. Und wenn ich hier Beitreten aktiviere, dann erhalte ich eine Fehlermeldung. Warum? Selbstverständlich, es sind keine Vorbereitungen getroffen. Wir haben auch noch keine Active Directory Federation Services im Einsatz. Wir brauchen also jetzt diverse Schritte umzusetzen, damit wir erfolgreich einen Arbeitsplatzbeitritt konfigurieren können. Ich starte als Erstes mit einem Hinzufügen eines gruppenverwalteten Dienstkontos. Dieses Dienstkonto brauche ich später bei der Installation von Active Directory Federation Services. Dazu habe ich ein PowerShell-Commandlet vorbereitet. Zuerst Add-KdsRootKey. Sie sehen hier -EffectiveTime. Und wir erlauben uns einen kleinen Trick. Wir setzen da die Zeit -10 Stunden zurück, damit wir direkt einen Service-Account erstellen können. Ich markiere dieses Commandlet und führe das direkt aus. Das hat bestens funktioniert. Nun erstelle ich einen neuen Service-Account. Der Name ist FSAcnt1. Ich verwende dazu den DNSHostName adfssrv01.corp.int. Und das entsprechende ServicePrincipalNames. Ich markiere diese Zeilen und führe das Commandlet ebenfalls aus. Dieser gruppenverwaltete Dienst-Account wurde also erfolgreich erstellt. Den können wir später einsetzen, wenn es darum geht, den Active-Directory- Verbunddienste-Server zu installieren. Eine weitere Anpassung, die ich machen muss, das ist in den Zertifikatvorlagen. Dazu habe ich die Zertifikatkonsole gestartet. Sie sehen hier Zertifizierungsstelle. Ich öffne den Server. Ich navigiere zu Zertifikatvorlagen. Mit Rechtsklick wähle ich Verwalten. Und ich muss nun das Zertifikat, die entsprechende Vorlage vom Webzertifikat anpassen. Wir sehen hier Webserver. Und ich muss unter Eigenschaften im Register Sicherheit die Domänencomputer hinzufügen, damit diese das Recht haben, das Zertifikat zu lesen und auch zu registrieren. Ich wähle also Hinzufügen, dann navigiere ich zu Objekttypen. Ich markiere hier Computer, wähle OK. Und nun suche ich die Domänencomputer. Ich wähle dazu Namen prüfen. Und dann öffne ich hier diese Zeile, damit wir sehen können, da haben wir die Domänencomputer. Wunderbar. Ich wähle OK, nochmal OK. Das Standardrecht Lesen ist bereits markiert. Und ich wähle noch Registrieren aus. Übernehmen, OK. Nun haben wir auch diese Vorbereitung erfolgreich abgeschlossen. Mit der eigentlichen Zertifizierungsstelle brauchen wir keine weiteren Konfigurationen mehr vorzunehmen. Darum schließe ich diese Konsole. Was ich zusätzlich noch brauche, das ist ein erweiterter Eintrag in DNS. Ich brauche einen CNAME, damit später die Client-Systeme meinen Active-Directory- Federation-Services-Server finden können. Dazu muss ich einen CNAME erstellen. Ich habe den DNS-Manager bereits vorbreitet. Und ich brauche einen CNAME, welcher auf diesen A record verzeigt. Mit einem Rechtsklick auf die Zone wähle ich Neuer Alias aus. Dieser Alias heißt enterpriseregistration. Und nun zeige ich hier auf den entsprechenden Zielhost. Dazu wähle ich Durchsuchen. Dann den Domänencontroller, die Forward-Lookupzonen, die Zone corp.int. Und ich suche den A-record-Eintrag für meinen adfssrv01. Den habe ich gefunden und OK. Somit habe ich also einen CNAME mit dem Namen enterpriseregistration. Dieser CNAME zeigt auf den A record, auf den FQDN von diesem Eintrag. Und ich wähle OK. Das ist nun die weitere Vorbereitung, die wir nun getroffen haben. Der nächste Schritt besteht darin, dass wir auf dem Server adfssrv01 das soeben vorbereitete Zertifikat auf dem Server installieren im lokalen Speicher. Darum navigiere ich zum Server adfssrv01. Ich befinde mich auf meinem Server adfssrv01. Und Sie sehen vielleicht, hier habe ich eine Warnung. Ich habe bereits die Rolle Active Directory Federation Services installiert, aber die Nachkonfiguration noch nicht gestartet. Nun öffne ich eine Management-Konsole. Dazu verwende ich Start Ausführen, mmc. Und ich suche das Snap-In Zertifikate. Also Datei Ich navigiere zu Zertifikate, wähle Hinzufügen. Ich muss das Zertifikat im Computerkonto hinterlegen und wähle Weiter. Dann Fertig stellen und OK. Ich öffne diese Konsole. Und nun muss ich ein neues Zertifikat anfordern. Ich öffne also den Zertifikatspeicher und ich navigiere zu Eigene Zertifikate. Und da sind noch keine Zertifikate darin enthalten. Mit einem Rechtsklick wähle ich Alle Aufgaben und Neues Zertifikat anfordern. Es erscheint der Assistent. Das ist bestens. Wähle Weiter. Ich wähle Active Directory-Registrierungsrichtlinie und wähle Weiter. Nun kann ich das Webserver-Zertifikat hier erstellen. Und ich muss auf diesen Link klicken, damit ich zusätzliche Informationen hinterlegen kann. Sollten Sie bei Ihrer Konfiguration diese Auswahl nicht haben, dann haben Sie vielleicht vergessen, zuerst ein eigentliches Computer-Zertifikat auf dem Server zu hinterlegen. Ich zeige Ihnen, was ich damit meine. Wenn ich diese Struktur öffne, wähle ich Zertifikate. Und Sie sehen, ich habe ein gültiges Computer- Clientauthentifizierungszertifikat. Das sehen Sie hier, Clientauthentifizierung und Serverauthentifizierung. Es ist also ein Zertifikat bereits für diesen Server hinterlegt. Das brauchen Sie, damit Sie nachträglich ein Webserver-Zertifikat zum Beispiel implementieren können. Ich gehe also zurück auf Zertifikate, wähle Alle Aufgaben, dann Neues Zertifikat anfordern, Weiter, dann wiederum Weiter. Und nun möchte ich das Webserver-Zertifikat anfordern. Ich klicke auf diesen Link, damit ich zusätzliche Informationen hinterlegen kann. Der erste wichtige Punkt besteht darin, dass ich beim Typ den FQDN des Servers angeben muss. Ich wähle also hier nicht Vollständiger DN, sondern ich wähle den Subjektnamen, Allgemeiner Name. Und da gebe ich nun den FQDN des Servers an. Das ist der adfssrv01.corp.int. Und wähle dann Hinzufügen. Sie sehen, der Common Name ist nun hinterlegt. Und beim alternativen Namen, da brauche ich den DNS-Namen von meinem Server, auch wieder der Fully Qualified Domain Name, adfssrv01.corp.int. Ich wähle auch hier Hinzufügen. Und als einen weiteren Wert brauche ich den enterpriseregistration-FQDN. Dazu haben wir ja auch im DNS einen entsprechenden Eintrag erstellt. Ich wähle also auch hier den Eintrag enterpriseregistration .corp.int. Nochmal verifizieren, dass alles korrekt geschrieben wurde. Und ich wähle Hinzufügen. Diese Informationen sind sehr wichtig, die müssen Sie eintragen, damit das entsprechende Zertifikat mit diesen Informationen hinterlegt wird. Ich wähle nun Übernehmen und OK. Nun kann ich die eigentliche Registrierung abschließen. Ich wähle den Webserver, dieses Zertifikat aus, und wähle Registrieren. Nun wird dieses Zertifikat angefordert. Es ist erfolgreich abgeschlossen. Und das Zertifikat steht also nun zur Verfügung in meinem lokalen Zertifikatspeicher. In einer produktiven Umgebung, wie bereits erwähnt, würden Sie hier im besten Fall öffentliche Zertifikate verwenden, damit die Client-Systeme das öffentliche Zertifikat ebenfalls implementiert haben. Sie vertrauen dieser öffentlichen Zertifizierungsstelle, weil die externen Clients kennen Ihre interne Zertifizierungsstelle nicht. Dabei würde es sofort zu Problemen kommen. Also im produktiven Einsatz würden Sie hier am besten mit öffentlichen Zertifikaten arbeiten. Wir haben nun sämtliche Vorbereitungen getroffen, damit wir die Active-Directory- Verbunddienste-Installation durchführen können.

MCSA 70-412 (Teil 6) Windows Server 2012 R2-Identitäts- und Zugriffslösungen konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

3 Std. 0 min (29 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!