Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren

Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.

Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Umsetzung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Um den Registrierungsdienst für Netzwerkgeräte (NDES) für die Verwendung mit einem Alias zu konfigurieren, sind die folgenden Schritte erforderlich:

  • Erstellen eines DNS Eintrags für den Alias
  • Konfigurieren eines Diestprinzipalnamens (Service Principal Name, SPN) für das Dienstkonto
  • Optional: Beantragen eines an den Alias angepassten SSL-Zertifikats
  • Funktionstest durchführen
  • Kommunikation des Alias an die Teilnehmer

Details: Erstellen eines DNS Eintrags für den Alias

Der Alias muss zu allererst im Domain Name System (DNS) angelegt werden.

Es muss unbedingt ein A-Redord verwendet werden. Bei Verwendung eines CNAME wird die Kerberos-Anmeldung auf der NDES Administrations-Webseite fehlschlagen, und man wird immer wieder zur Anmeldung aufgefordert.

Details: Konfigurieren eines Diestprinzipalnamens (Service Principal Name, SPN) für das Dienstkonto

Für die Kerberos-Anmeldung an der NDES-Administrations-Webseite (mscep_admin) muss ein Dienstprinzipalname auf das Dienstkonto des NDES Servers gesetzt werden. Dies erfolgt mit folgendem Kommandozeilenbefehl:

setspn -s HTTP/{Alias} {Domäne}\{Dienstkonto}

Sofern ein Group Managed Service Account (gMSA) für NDES verwendet wird, muss bei der Eingabe des Kontonamens ein Dollar-Zeichen am Ende beinhalten, damit das entsprechende Konto gefunden werden kann.

Details: Beantragen eines an den Alias angepassten SSL-Zertifikats

Dieser Schritt ist nur dann erforderlich, wenn die NDES Administrations-Webseite mit SSL konfiguriert wurde, was jedoch zwingend empfohlen wird (siehe Artikel "Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren").

Die im Zertifikat konfigurierte Identität (DNSName im Subject Alternative Name Feld) muss dem Alias entsprechen.

Die Erzeugung einer entsprechenden Zertifikatanforderung ist im Artikel "Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate" beschrieben.

Die Änderung des SSL-Zertifikats benötigt keinen Neustart des Webservers und somit NDES-Dienstes.

Details: Funktionstest durchführen

Nach jeder Änderung an einem IT-Dienst sollte ein ausgiebiger Funktionstest durchgeführt werden. Die Vorgehensweise für NDES sind im Artikel "Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)" beschrieben.

Details: Kommunikation des Alias an die Teilnehmer

War der Funktionstest erfolgreich, muss den Teilnehmern (beispielsweise Administratoren des Mobile Device Management (MDM)) die Änderung mitgteteilt werden, sodass der neue Alias verwendet werden kann.

Weiterführende Links:

Externe Quellen

de_DEDeutsch