Aus Sicherheitsgründen kann es sinnvoll sein, NDES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Einschränkungen bei der Verwendung eines gMSA
Für die Verwendung eines Group Managed Service Account mit NDES gibt es jedoch einige Einschränkungen:
- Wenn NDES mit einem statischen Passwort betrieben werden soll, ist es erforderlich, dass ein Benutzerprofil für das Dienstkonto erzeugt wird. Somit ist die Benutzung von Group Managed Service Accounts in dieser Konstellation nicht möglich.
- Sofern NDES mit Intune verwendet wird, wird die Verwendung eines Group Managed Service Account von der Intune Produktgruppe nicht unterstützt.
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Voraussetzungen für das NDES Dienstkonto
Das NDES Dienstkonto…
- muss Mitglied der lokalen Gruppe der IIS_IUSRS sein.
- benötigt Leseberechtigungen auf die privaten Schlüssel der Registration Authority (RA) Zertifikate.
- benötigt das Recht, Zertifikate von der konfigurierten Zertifizierungsstelle zu beantragen.
- benötigt Enroll-Berechtigungen auf der für die Geräte-Zertifikatvorlage.
- benötigt einen Dienstprinzipalnamen (Service Principal Name, SPN), wenn ein Alias für die Verbindung auf die Administrations-Webseite genutzt werden soll
Erstellen des gMSA für den Network Device Enrollment Service
Der gMSA für NDES kann mit folgendem PowerShell Befehl angelegt werden, sofern ein KDS Root Key in der Active Directory Gesamtstruktur erzeugt wurde:
New-ADServiceAccount -Name gMSA_NDES -PrincipalsAllowedToRetrieveManagedPassword NDES01$ -DNSHostName gMSA_NDES.intra.adcslabor.de
Die angegebenen Arguments bedeuten hierbei folgendes:
- Das Name Argument gibt den Namen des gMSA an.
- Das PrincipalsAllowedToRetrieveManagedPassword gibt den Server an, welcher das Passwort des Dienstkontos abrufen darf.
- Das DNSHostName Argument gibt den Inhalt des dNSHostName Attributs des Kontos an, da ein gMSA technisch betrachtet wie ein Computerkonto funktioniert.
Installieren des gMSA auf dem NDES Server
Zunächst müssen die Active Directory Managementwerkzeuge für PowerShell auf dem NDES Server installiert werden.
Add-WindowsFeature RSAT-AD-PowerShell
Anschließend kann das Dienstkonto mit folgendem PowerShell Befehl auf dem Server installiert werden.
Install-ADServiceAccount gMSA_NDES
Der Befehl liefert nichts zurück, wenn er erfolgreich war.
Ob das wirklich der Fall ist, kann man mit folgendem Kommandozeilenbefehl überprüfen.
Test-ADServiceAccount gMSA_NDES
Dieser Befehl liefert True zurück, wenn der gMSA erfolgreich installiert wurde.
gMSA in die IIS_IUSRS Gruppe auf dem NDES Server aufnehmen
Der eingerichtete gMSA muss nun noch in die lokale Sicherheitsgruppe IIS_IUSRS aufgenommen werden, damit er von NDES verwendet werden kann. Dies kann über die Managementkonsole für lokale Benutzer (lusrmgr.msc) erfolgen.
Konfigurieren des gMSA im SCEP-Anwendungspool
Damit der NDES Dienst mit dem installierten gMSA arbeitet, muss dieser im SCEP-Anwendungspool in der Internet Information Server (IIS) Managementkonsole konfiguriert werden. Hierzu wird mit rechts auf den SCEP-Anwendungspool geklickt und die Option "Advanced Settings…" gewählt.
Bei der Option "Identity" klickt man auf der rechten Seite auf den "…" Button.
Im nachfolgenden Dialog wählt man "Custom account" und klickt auf "Set…".
Bei der Angabe der Identität im folgenden Dialog sind einige Besonderheiten zu beachten:
- Der Domänenname muss zwingend angegeben werden.
- Da ein gMSA ähnlich wie ein Computerkonto arbeitet, muss am Ende des Kontennanems ein Dollarzeichen angegeben werden.
- Bei einem gMSA wird kein Passwort angegeben, die beiden Felder müssen also leer bleiben.
Weitere Besonderheiten
Sofern der NDES-Dienst mit einem statischen Passwort konfiguriert wurde, müssen noch die Berechtigungen in der Registry für den gMSA angepasst werden. Wie das gemacht wird, ist in diesem Artikel beschrieben.
Neustart des NDES Dienstes
Der NDES Dienst wird anschließend mit dem iisreset Befehl neu gestartet.
Weiterführende Links:
- Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren
- Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren
- Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."
Externe Quellen
- Setting up NDES using a Group Managed Service Account (gMSA) (Microsoft, archive.org)
- Using Certificates for AAD On-premises Single-sign On (Microsoft)
Deutsch 
English
7 Gedanken zu „Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“
Kommentare sind geschlossen.