Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)

Autor Uwe GradeneggerVeröffentlicht am Kategorien Hochverfügbarkeit, Internet-Informationsdienste (IIS), Zertifikatregistrierungs-WebdiensteSchlagwörter

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature "Network Load Balancing" (NLB) erreicht werden kann.

Um mehrere Server hochverfügbar hinter nur einem DNS-Namen betreiben zu können, ist es erforderlich Load Balancer vorzuschalten, die sich um die Verteilung der Anfragen kümmern. Nicht immer kann dies mit Hardware-Loadbalancern erfolgen. In einem solchen Fall kann der softwarebasierte Load Balancer, genannt Microsoft Network Load Balancing (NLB), der mit dem Windows Server Betriebssystem mitgeliefert wird, eine nützliche Option sein.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Nachteile im Vergleich zu einem Hardware Load Balancer

  • Schlechtere Leistung bei hoher Last, da die Bearbeitung in Software erfolgt.
  • Keine Health Probes möglich, d.h. wenn beispielsweise nicht der ganze Server down ist, sondern nur der Dienst, laufen Clients in einen Fehler.
  • Im Unicast-Modus ist keine Verwaltung der NLB-Funktionen von den Custerknoten selbst möglich.
  • Erfordert unter Umständen Konfigurationsänderungen an den teilnehmenden Servern und der Infrastruktur (z.B. wenn sie virtualisiert werden).

Voraussetzungen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Für die nachfolgende Anleitung wird davon ausgegangen, dass CEP und CES auf den Clusterknoten bereits und konfiguriert installiert wurden. Siehe hierzu auch Artikel "Installation eines Certificate Enrollment Policy Web Service (CEP)" und "Installation eines Certificate Enrollment Web Service (CES)".

Damit die Zertifikatregistrierungs-Webdienste mit einem Load Balancer verwendet werden können, müssen einige Besonderheiten berücksichtigt werden:

Einrichtung

Mit Microsoft Network Load Balancing sind folgende Betriebsmodi möglich:

  • Im Unicast-Modus hat jede Netzwerkkarte nur noch die MAC-Adresse des Clusterverbunds.
  • Im Multicast-Modus (empfohlen) hat jede Netzwerkkarte eine zusätzliche MAC-Adresse für den Clusterverbund.

Befinden sich die Clusterknoten auf einem Microsoft Hyper-V Server, muss in den Einstellungen der Netzwerkkarte der virtuellen Maschine das MAC address spoofing erlaubt werden.

Auf jedem Clusterknoten muss die Network Load Balancing Funktion installiert werden. Dies kann beispielsweise erfolgen mit folgendem Windows PowerShell-Befehl:

Add-WindowsFeature NLB -IncludeManagementTools

Anschließend kann von einem der Clusterknoten der Network Load Balancing Manager gestartet werden.

Dort wird ein neuer Cluster angelegt.

Werden CEP und CES auf getrennten Servern installiert, muss die nachfolgende Konfiguration natürlich für beide Cluster durchgeführt werden.

Es wird die IP-Adresse oder der Hostname des ersten Clusterknotens eingegeben und sich mit ihm verbunden.

Der nachfolgende Dialog kann mit den Standardeinstellungen belassen werden.

Anschließend wird die Cluster-IP-Adresse angelegt.

Anschließend wird noch eine Name für den Cluster vergeben und der Betriebsmodus gewählt. Die Wahl des Modus hängt von den Möglichkeiten der Infrastruktur ab. Siehe "Configuring network infrastructure to support the NLB operation mode" (Microsoft). Im vorliegenden Beispiel wird der Multicast-Modus verwendet.

Im nächsten Dialog wird der Portbereich eingeschränkt. Für die Zertifikatregistrierungs-Webdienste reicht es, den Bereich auf den TCP-Port 443 einzuschränken.

Zuletzt werden noch die weiteren Clusterknoten hinzugefügt.

Funktionstest

Nach der Einrichtung des Load Balancing sollte ein Funktiontest der Dienste durchgeführt werden. Siehe hierzu auch Artikel "Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)" und "Funktionstest durchführen für den Certificate Enrollment Web Service (CES)".

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)“

  1. Pingback: Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch