Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

SharePoint 2016-Administration Grundkurs

SSL-Absicherung der Zentraladministration

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Zentraladministration "nervt" mit Hinweisen, weil keine verschlüsselte Verbindung verwendet wird. Wie man die Zentraladministration absichert, zeigt dieses Video.

Transkript

Die SharePoint-Server- Zentraladministration bildet das Herzstück der SharePoint-Farm. Das bedeutet, über diese Applikation, über diese Webanwendung kann der Farmadministrator die gesamte Farm verwalten. Nicht selten muss man hier Kennwörter eingeben, die dann über HTTP zu einem Server übertragen werden. Es lässt sich nur schwierig überschauen, von welchen Clients aus diese Zentraladministration tatsächlich benutzt wird. Insoweit ist es eigentlich sehr empfehlenswert, die Zentraladministration verschlüsselt zu betreiben, das heißt, die Kommunikation zwischen dem Client und dem Server abzusichern per Secure Socket Layers, per SSL. Was der Farmkonfigurationsassistent beziehungsweise der Installationsassistent von Haus aus nicht tun. Um die Zentraladministration per SSL zu sichern, muss zuerst ein Zertifikat bereitgestellt werden. Dieses Zertifikat kann von einer lokalen Windows-Zertifizierungsstelle kommen. Das Zertifikat kann aber auch ein öffentliches Zertifikat sein. Wichtig ist, dass der Browser, der Client, von dem aus die Zentraladministration aufgerufen wird, die Aussteller für das Zertifikat als gültig, als vertrauenswürdig betrachtet. Letztlich könnte es sogar ein privat ausgestelltes Zertifikat sein. Es muss nur sichergestellt sein, dass die virtuelle Zertifizierungsstelle dann auch im Unternehmen verteilt wird. Im nächsten Schritt müsste dann die Zentraladministration entsprechend gebunden werden an die SSL-Bindung, das Zertifikat zugewiesen werden, und die URL der Zentraladministration geändert werden. Zuerst findet man im Internetinformationsdienste-Manager die notwendigen Befehle zum Anfordern von Zertifikaten, sowie später auch um das Zertifikat an die Anwendung zu binden. Das heißt, wenn man hier im Verbindungen-Tree den Server selbst markiert, findet sich auf der Startseite ein Abschnitt Serverzertifikate. Hier werden alle für den Server verfügbaren Zertifikate gelistet. Im rechten Abschnitt unter Aktionen wäre es jetzt möglich, eine Anforderungsdatei, eine Textdatei zu erstellen, die man dann an eine Zertifizierungsstelle senden kann, die uns dann wiederum eine Antwortdatei zurückschickt, die dann eingebunden werden muss. Oder aber wenn eine Windows-Domänen- zertifizierungsstelle zur Verfügung steht, kann man auch das Domänenzertifikat direkt erstellen, über den entsprechenden Befehl. Muss dann die entsprechenden Parameter ausfüllen, wobei hier am wichtigsten der Common Name ist, dieser Gemeinsame Name. Denn was hier drinsteht, ist später auch im Zertifikat zu finden und muss eins zu eins übereinstimmen mit dem, was oben im Browser in der URL eingegeben wird. In unserem Fall müsste das also lauten sp16server01. Dann die Domäne. Das ist der Fully Qualified Domain Name, unter dem die Zentraladministration später aufgerufen wird. Die muss hier auch drinstehen ohne Angabe des Ports. Eine Organisation, die diese Domäne betreibt, sowie die Organisationseinheit, und ein Ort, sowie ein Bundesland. Im nächsten Dialog ist die Zertifizierungsstelle der Domäne zu wählen. Im Anzeigenamen kann angegeben werden, wie später das Zertifikat gelistet wird in der Liste der Serverzertifikate. Es empfiehlt sich eigentlich immer, hier den FQDN beziehungsweise den Common Name zu verwenden, denn dieser ist einmalig. Gut. Im nächsten Schritt muss man In der Zentraladministration im Abschnitt Anwendungsverwaltung den Befehl Alternative Zugriffszuordnungen konfigurieren auswählen, um dort die URL für die Zentraladministration entsprechend anzupassen. Die Adresse der Zentraladministration wird hier angezeigt. Man kann die anklicken und kann entsprechend die URL anpassen. Um dann zurück im Internetinformationsdienste-Manager die entsprechende Site-Definition der Zentraladministration aufzurufen, und im rechten Abschnitt unter Aktionen im Bereich Bindungen die Bindung zu ändern. Jetzt ist es so, dass die Bindung http, also das Protokoll, in der Bearbeiten-Ansicht nicht geändert werden kann. Das heißt, man muss sich jetzt behelfen und die Bindung temporär ändern auf einen anderen Port, weil die https-Bindung neu erstellt werden muss. Dieses Vorgehen ist gut, denn wenn Sie auf die Idee kämen, erst die Bindung zu löschen, um dann eine komplett neue Bindung zu erstellen, kann es sein, dass die Konfiguration des Internet Information Servers komplett durcheinander kommt. Daher die Empfehlung den Port zu ändern, sodass man dann mit Hinzufügen eine neue Bindung auf SSL und den Originalport entsprechend einstellen kann, und dann das Zertifikat zuweisen kann. Das Zertifikat kann vor der Zuweisung auch nochmal überprüft werden, dass alles wirklich passt. Anschließend kann die proprietär umgestellte Bindung auf einen anderen Port entfernt werden. Die Aufgabe ist damit abgeschlossen. Im nächsten Schritt kann nun die SharePoint-Server- Zentraladministration gestartet werden. Es muss nun eine erneute Authentifizierung erfolgen. Und die Absicherung der Zentraladministration über Verschlüsselung, über SSL, ist damit beinah erfolgreich abgeschlossen. Was jetzt noch stört, ist, dass man jedes Mal beim Starten der Zentraladministration wieder Benutzername und Kennwort eintragen muss, was vorher nicht der Fall war. Das hängt damit zusammen, dass der Internet Explorer in diesem Fallbeispiel die eingegebene URL nicht als Lokales Intranet erkennt, sondern als Internet oder als Vertrauenswürdige Sites. Das heißt, in den Einstellungen des Internet Explorer, in den Internetoptionen unter Sicherheit kann man das nachsehen. Hier sieht man, dass diese URL derzeit als Vertrauenswürdige Site anerkannt wird. Dementsprechend erfolgt keine automatische Authentifizierung. Es muss dafür gesorgt werden, dass diese URL in der Site-Liste für Lokales Intranet nachgepflegt wird. Das kann gegebenenfalls auch über entsprechende Group Policies, Gruppenrichtlinien erfolgen. Wenn der Internet Explorer diese Adresse der Zentraladministration nun als Lokales Intranet erkennt, muss auch kein Benutzername und kein Kennwort mehr eingegeben werden. Bitte beachten Sie, dass diese Einstellungen im Internet Explorer, diese Internetoptionen jeweils am Client vorgenommen werden müssen. Das heißt also, je Client kann sich das wiederholen. Damit ist künftig die Eingabe von Kennwörtern gesichert. Und die Übertragung zwischen den Client und dem Server erfolgt auf verschlüsselter Basis.

SharePoint 2016-Administration Grundkurs

Lernen Sie, worauf es bei der Planung, Einrichtung und Administration einer SharePoint-Farm auf Basis von SharePoint Server 2016 ankommt.

8 Std. 21 min (66 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:24.10.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!