Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.
Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Um den Registrierungsdienst für Netzwerkgeräte (NDES) für die Verwendung mit einem Alias zu konfigurieren, sind die folgenden Schritte erforderlich:
- Erstellen eines DNS Eintrags für den Alias
- Konfigurieren eines Diestprinzipalnamens (Service Principal Name, SPN) für das Dienstkonto
- Optional: Beantragen eines an den Alias angepassten SSL-Zertifikats
- Effectuer un test de fonctionnement
- Kommunikation des Alias an die Teilnehmer
Details: Erstellen eines DNS Eintrags für den Alias
Der Alias muss zu allererst im Domain Name System (DNS) angelegt werden.
Es muss unbedingt ein A-Redord verwendet werden. Bei Verwendung eines CNAME wird die Kerberos-Anmeldung auf der NDES Administrations-Webseite fehlschlagen, und man wird immer wieder zur Anmeldung aufgefordert.
Details: Konfigurieren eines Diestprinzipalnamens (Service Principal Name, SPN) für das Dienstkonto
Für die Kerberos-Anmeldung an der NDES-Administrations-Webseite (mscep_admin) muss ein Dienstprinzipalname auf das Dienstkonto des NDES Servers gesetzt werden. Dies erfolgt mit folgendem Kommandozeilenbefehl:
setspn -s HTTP/{Alias} {Domäne}\{Dienstkonto}
Sofern ein Group Managed Service Account (gMSA) für NDES verwendet wird, muss bei der Eingabe des Kontonamens ein Dollar-Zeichen am Ende beinhalten, damit das entsprechende Konto gefunden werden kann.
Details: Beantragen eines an den Alias angepassten SSL-Zertifikats
Dieser Schritt ist nur dann erforderlich, wenn die NDES Administrations-Webseite mit SSL konfiguriert wurde, was jedoch zwingend empfohlen wird (siehe Artikel „Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)„).
Die im Zertifikat konfigurierte Identität (DNSName im Subject Alternative Name Feld) muss dem Alias entsprechen.
Die Erzeugung einer entsprechenden Zertifikatanforderung ist im Artikel „Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL" décrit.
Die Änderung des SSL-Zertifikats benötigt keinen Neustart des Webservers und somit NDES-Dienstes.
Details: Funktionstest durchführen
Nach jeder Änderung an einem IT-Dienst sollte ein ausgiebiger Funktionstest durchgeführt werden. Die Vorgehensweise für NDES sind im Artikel „Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)" décrit.
Details: Kommunikation des Alias an die Teilnehmer
War der Funktionstest erfolgreich, muss den Teilnehmern (beispielsweise Administratoren des Mobile Device Management (MDM)) die Änderung mitgteteilt werden, sodass der neue Alias verwendet werden kann.
Français 
Deutsch 
English
Les commentaires sont fermés.