Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.
Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour configurer le service d'enregistrement des périphériques réseau (NDES) afin de l'utiliser avec un alias, procédez comme suit :
- Création d'une entrée DNS pour l'alias
- Configuration d'un nom principal de service (SPN) pour le compte de service
- En option : demande d'un certificat SSL adapté à l'alias
- Effectuer un test de fonctionnement
- Communication de l'alias aux participants
Détails : création d'une entrée DNS pour l'alias
L'alias doit tout d'abord être créé dans le système de noms de domaine (DNS).
Il est impératif d'utiliser un enregistrement A. En cas d'utilisation d'un CNAME La connexion Kerberos échouera sur le site Web d'administration NDES et vous serez invité à vous connecter à plusieurs reprises..
Détails : configuration d'un nom principal de service (SPN) pour le compte de service
Pour la connexion Kerberos au site Web d'administration NDES (mscep_admin), un nom principal de service doit être défini sur le compte de service du serveur NDES. Pour ce faire, utilisez la commande suivante :
setspn -s HTTP/{Alias} {Domäne}\{Dienstkonto}
Si un compte de service géré par le groupe (gMSA) est utilisé pour NDES, le nom du compte doit se terminer par le signe dollar afin que le compte correspondant puisse être trouvé.
Détails : demande d'un certificat SSL adapté à l'alias
Cette étape n'est nécessaire que si le site Web d'administration NDES a été configuré avec SSL, ce qui est toutefois fortement recommandé (voir l'article „Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)„ ).
L'identité configurée dans le certificat (DNSName dans le champ Subject Alternative Name) doit correspondre à l'alias.
La création d'une demande de certificat correspondante est décrite dans l'article „Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL" décrit.
La modification du certificat SSL nécessite aucun Redémarrage du serveur web et donc du service NDES.
Détails : effectuer un test de fonctionnement
Après chaque modification apportée à un service informatique, un test fonctionnel approfondi doit être effectué. La procédure à suivre pour les NDES est décrite dans l'article „Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)" décrit.
Détails : communication de l'alias aux participants
Si le test de fonctionnement a été concluant, les participants (par exemple les administrateurs de la gestion des appareils mobiles (MDM)) doivent être informés de la modification afin que le nouvel alias puisse être utilisé.
Français 
Deutsch 
English
Les commentaires sont fermés.