MCSA: Office 365 – 70-346 (Teil 5) – Föderierte Identitäten für Single Sign-On

Zertifikate installieren und DNS-Einträge erstellen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich anhand dieses Videos mit den einzelnen Schritten vertraut, um das für AD FS notwendige Zertifikat zu installieren. Zusätzlich erfahren Sie, welche DNS-Einträge Sie für den ordnungsgemäßen Betrieb der Active Directory-Verbunddienste erstellen müssen.
12:13

Transkript

Das Thema in diesem Video ist, wie Sie das Zertifikat für Active Directory-Verbunddienste installieren und welche DNS-Einträge erstellt werden müssen. Ich befinde mich hier auf dem Server casvr01. Das ist ein Server, welcher als interne Zertifizierungsstelle agiert. Wenn Sie keine interne Zertifizierungsstelle haben, um ein Zertifikat zu erstellen, habe ich Ihnen einen Artikel vorbereitet, den Sie einsetzen können, um ein selbstsigniertes Zertifikat zu erstellen, welches Sie dann verwenden können, damit Sie später erfolgreich Active Directory-Verbunddienste installieren können. Sie sehen hier die Anleitung. Sie brauchen das Tool "makecert.exe", das ist aus dem Windows-SDK verfügbar und anschließend hier die zusätzlichen Parameter, welches Sie einsetzen müssen, damit Sie erfolgreich das selbstsignierte Zertifikat einsetzen können Haben Sie eine interne Zertifizierungsstelle braucht es ebenfalls einige Vorbereitungen. In einer produktiven Umgebung würden Sie selbstverständlich ein öffentliches Zertifikat anfordern, das bedeutet, Sie erstellen auf Ihren Active Directory-Verbunddienste-Server eine Zertifikatsanforderung, ein Request. Mit dieser Anforderung gehen Sie zu Ihrer öffentlichen Registrierungsstelle. und beziehen mit diesem Request, mit dieser Anforderung ein SSL-Zertifikat. Der Vorteil darin liegt, dass sämtliche Systeme dann diesem Zertifikat vertrauen, weil es von einer öffentlichen Zertifizierungsstelle ausgestellt wurde. In meiner Testumgebung habe ich das nicht, darum verwende ich diese interne Zertifizierungsstelle. Im Server-Manager navigiere ich zu "Tools" und wähle dann "Zertifizierungsstelle". Diese Konsole öffnet sich, ich navigiere zum eigentlichen Server und ich wähle hier "Zertfikatvorlagen". Wir müssen eine Vorlage erstellen, damit wir erfolgreich das Zertifikat auf unserem Active Directory- Verbundsdienste-Server später installieren können. Die Vorlage, die ich einsetze, das ist "Webserver". Zuerst einmal mit Rechtsklick auf "Zertifikatvorlagen" und ich wähle "Verwalten". Nun öffnet sich die Zertifikatsvorlagenkonsole und ich habe nun die Möglichkeit, dieses Zertifikat zu duplizieren, damit es für meine Anforderungen entsprechend einsetzbar ist. Ich wähle also Rechtsklick und "Vorlage duplizieren". Ich navigiere zum Register "Allgemein" und ich erstelle einen neuen Namen, zum Beispiel "ADFS-CERT". Ich möchte, dass ich das Zertifikat am Vorlagen-Anzeigenname wieder erkenne, damit ich die richtige Auswahl treffe. Dann, ganz wichtig, unter dem Register Sicherheit. müssen Sie Ihren ADFS-Server konfigurieren, damit dieser Server das Recht hat, das Zertifikat anzufordern. Sie sehen hier, ich habe das bereits vorbereitet, das ist das Konto von meinem Server. Wie machen Sie das? Ganz einfach, wählen Sie "Hinzufügen", wählen Sie hier "Objekttypen" und dann markieren Sie "Computer" und wählen Sie nun Ihren Server aus, das ist der ADFS-Server in meinem Fall, "Namen prüfen" und Sie sehen hier, ich habe das Konto "ADFS$" und ich habe einen zweiten Server "ADFS02$". In meinem Fall möchte ich diesen ersten Server auswählen, "OK" und dann ist der entsprechend in der Liste, markieren Sie das Objekt und setzen Sie "Lesen", "Schreiben" und "Registrieren", damit der Server das notwendige Recht hat, um das Zertifikat aufzurufen und entsprechend dann im lokalen Speicher abzulegen. Der nächste wichtige Punkt ist, das wir dieses Zertifikat so aufbereiten, dass der private Schlüssel exportiert werden kann. Dazu navigieren wir in das folgende Register "Anforderungsverarbeitung". Sie sehen hier "Exportieren vom privaten Schlüssel zulassen". Genau diese Markierung müssen wir setzen. Das ist extrem wichtig, weil wir später dieses Zertifikat vom AD-Verbundsdienst-Server exportieren müssen, um dann beim zweiten Server importieren zu können und wir müssen den Export durchführen mit dem privaten Schlüssel. Wir müssen also diese Markierung setzen. Ich wähle "Übernehmen" und "OK". Nun habe ich das Zertifikat kopiert. Sie sehen, hier ist die Kopie von dem eigentlichen Webserver-Zertifikat. Das ist einmal der erste Schritt. Nun müssen wir dieses Zertifikat veröffentlichen, damit wir es auch einsetzen können. Mit Rechtsklick wählen wir "Neu" und dann "Auszustellende Zertifikatvorlage" und Sie sehen hier, "ADFS CERT" und ich wähle "OK". Dieses Zertifikat steht nun zur Verfügung für das Servicesystem "adfs.corp.pri", weil wir die entsprechenden Vorbereitungen getroffen haben Nun wechsle ich zu meinem Server, zum Active Directory- Verbunddienste-Server, um dieses Zertifikat anzufordern. Ich befinde mich auf meinem Server ADFS, welcher Mitglied der Domäne ist. Dieser Server soll später der Active Directory- Verbunddienste-Server werden. Die erste Vorbereitung, um diese Konfiguration erfolgreich abschließen zu können, wir brauchen ein Zertifikat. Dazu navigiere ich in die Management-Konsole, mit Rechtsklick auf die Startfläche wähle ich "Ausführen" und MMC. Ich möchte das Snap-in starten "Zertifikate". "Datei", dann wähle ich "Snap-in hinzufügen oder entfernen". Ich navigiere zu "Computerkonto", weil ich dieses Zertifikat im lokalen Speicher des Computers ablegen will, "Weiter", der lokale Computer, "Fertigstellen" und "OK". Nun öffne ich Zertfikate von diesem lokalen Computer. Ich navigiere zu "Eigene Zertifikate" und da habe ich nun die Möglichkeit mit einem Rechtsklick ein Zertifikat anzufordern. Ich wähle "Alle Aufgaben" und ich möchte ein neues Zertifikat anfordern. Es startet der Assistent und ich wähle "Weiter". Ich habe die Möglichkeit über die Active Directory-Registrierungsrichtlinie ein Zertifikat anzufordern. Nun sehe ich bereits mein Zertifikat, welches ich vorher vorbereitet habe. Sie sehen hier, ADFS-CERT und über diesen Link haben wir nun die Möglichkeit spezifische Informationen in diesem Zertifikat, welches dann ausgestellt wird, abzulegen. Ich klicke also auf diesen Link und nun muss sich als Erstes unter "Antragstellername" hier nicht "Vollständiger DN", sondern "Allgemeiner Name" auswählen. Und da muss ich nun den FQDN von meinem Server konfigurieren: "adfs.corp.pri" und ich wähle "Hinzufügen". Sie sehen, der "CommonName" ist gesetzt : "CN=adfs.corp.pri". Unter "Alternativer Name" wähle ich den Typ aus, nicht "Verzeichnisname" sondern "DNS", ich gebe wiederum meinen "Full Qualified Domain Name" von meinem Server an: "adfs.corp.pri" und ich wähle "Hinzufügen". Es braucht noch einen zusätzlichen Wert, damit auch später die Client-Systeme sich registrieren können. Dazu braucht es den folgenden Wert; das ist "enterpriseregistration.corp.pri". Für diesen Wert müssen wir dann später auch noch einen DNS-Eintrag erstellen. Ich wähle "Hinzufügen", die Konfiguration ist soweit ok. "Übernehmen", "OK". Und nun habe ich die Möglichkeit durch Markierung dieses Zertifikat zu registrieren. Ich wähle also die Schaltfläche "Registrieren" und der Status war erfolgreich und "Fertigstellen". Und nun unter "Eigene Zertifikate" sehen wir hier Zertifikate und das eigentliche Zertifikat wurde ausgestellt und im lokalen Speicher abgelegt. Diese Vorbereitung ist nun also abgeschlossen. Der nächste Schritt besteht darin, dass Sie die DNS-Einstellungen konfigurieren müssen. Dazu verwende ich "Tools" "DNS". Sie fragen sich vielleicht, warum hat dieser Server die DNS-Konsole installiert und da sehen Sie auch noch "Active Directory-Benutzer und -Computer". Ich habe diese zusätzlichen Konsolen vorher installiert, damit ich das von einem Ort aus verwalten kann. Sie können das ebenfalls durchführen, indem Sie "Verwalten" aufrufen, "Rollen und Features hinzufügen" und dann die zusätzlichen Features nachinstallieren. Ich zeige Ihnen das, wie ich das gemacht habe. Ich wähle hier "Features" aus, navigiere nach unten und ich wähle hier "Remoteserver Verwaltungstools" aus und da habe ich zum Beispiel Active Directory Verwaltungstools ausgewählt. Sie sehen hier DNS-Servertools, ein wenig weiter oben habe ich ebenfalls die Gruppenrichtlinien-Verwaltung installiert, das ermöglicht dann die Verwaltung von einem System aus. Nun geht es also zum DNS-Manager, dieser wird gestartet und nun sehe ich die Forward-Lookupzonen. Ich öffne diese Forward-Lookupzone und wir brauchen z. B. einen (A)-Record, welcher auf unseren Active Directory- Verbunddienste-Server zeigt. Dieser Eindruck ist erstellt worden, als ich das System zur Domäne hinzugefügt habe, auch "adfs02" ist bereits vorhanden, weil, ebenfalls durch das Hinzufügen der Domain wurde dieser Eintrag erstellt. Wir haben aber vorher im Zertifikat einen Wert gesetzt: "enterpriseregistration". Für diesen Wert brauchen wir einen DNS-Eintrag und dazu verwende ich Rechtsklick und ich wähle aus: "Neuer Alias", ein sogenannter "CNAME". Ich setze hier den Wert ein, "enterpriseregistration", ganz wichtig, ich navigiere hier zu meinem Active Directory-Verbunddienste-Server, den ich dann später installieren werde. Ich navigiere also mit "Durchsuchen" durch die DNS-Konfiguration, "Forward-Lookupzone" "corp.pri", navigiere zum Eintrag "adfs" und wähle "OK" und "OK". Sie haben vielleicht gesehen, diese Einträge habe ich in meiner Testumgebung durchgeführt. Das ist der DNS-Manager, welcher für meine lokale Testumgebung zuständig ist. Wenn Sie mit einer öffentlichen Domäne zusätzlich arbeiten, was logischerweise der Fall ist und Sie möchten das Single Sign-On und den ADFS bis ins Ende konfigurieren, dürfen Sie nicht vergessen, dass Sie bei Ihrer öffentlichen Domäne, wo auch immer Sie diese verwalten, ebenfalls die Einträge machen, zum Beispiel "adfs.videotraining.ch" und dann auf die IP-Adresse referenzieren, wo Sie dann auch den entsprechenden Verbunddienste-Server ansprechen können. Das habe ich in meiner Situation nicht, ich habe keine öffentliche Domäne, die ich dann weiterleiten kann in meine Testumgebung, das steht mir hier einfach nicht zur Verfügung. Vergessen Sie aber nicht, dass Sie diese DNS-Einträge erstellen müssen in Ihrer öffentlichen DNS-Zone. Dazu gibt es auch zusätzliche Artikel; Sie sehen hier die entsprechenden Voraussetzungen, die getroffen werden müssen, die Netzwerk-Requirements, die DNS-Einträge, Sie sehen hier die internen und externen, aber auch wenn Sie mit einem Perimeternetzwerk arbeiten, vergessen Sie einfach nicht, dass Sie die richtigen DNS Einträge am richtigen Ort erstellen. In diesem Video habe ich Ihnen gezeigt, wie Sie ein Zertifikat vorbereiten, das Sie dann anschließend auf dem Active Directory-Verbunddienste-Server installieren können und welche DNS-Einträge Sie erstellen müssen, damit die Namensauflösung auch korrekt funktioniert.

MCSA: Office 365 – 70-346 (Teil 5) – Föderierte Identitäten für Single Sign-On

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-346 vor und erlernen Sie umfassende Kenntnisse zur Verwaltung von Office 365.

1 Std. 19 min (18 Videos)
Derzeit sind keine Feedbacks vorhanden...
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:15.12.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!