Teil 2 – Project Online–Externer Zugriff über ADFS und WAP

Damit wir in meinem nächsten Blog-Beitrag die Active Directory Federation Services (ADFS)  auf einem separaten Server bereitstellen können, müssen wir als erstes innerhalb der Zertifizierungsstelle ein Zertifikat aus den Zertifikat-Templates bereitstellen, dieses Zertifikate innerhalb der AD-Infrastruktur veröffentlichen um dann bei der späteren Installation des ADFS-Servers das Zertifikat bereitzustellen. In vielen Anleitungen finden Sie irrtümlich den Hinweise ein Wildcart-Zertifikat bereitzustellen. Dies ist durch den Einsatz einer Zertifizierungsstelle nicht nötig. In der TechNet findet sich sogar der Hinweis, dass dies von Seiten Microsoft nicht unterstützt wird.

image

Hinweis: Um dieses Beispiel umzusetzen, benötigen Sie eine Zertifizierungsstelle innerhalb Ihrer Umgebung. Wenn Sie diese nicht besitzen, können Sie diese nach der folgenden Anleitung bereitstellen. Bitte beachten Sie, dass die hier beschriebenen Szenarien ausschließlich für Testumgebungen gelten. Sollten Sie Hilfe bei der Bereitstellung in Produktivumgebungen benötigen, so schreiben Sie mich gerne an. Ebenfalls ist der zukünftige ADFS-Server (BL-ADF-01) schon Mitglied meiner Domäne. 

Melden Sie sich an Ihrer Server an, auf dem die Zertifizierungsstelle (CA) bereitgestellt wurde. Klicken Sie mit der rechte Maustaste den Startbutton von Windows Server 2012 R2 und wählen Sie im Kontextmenü die Option “Ausführen”. Geben Sie nun im Eingabefeld “Öffnen” den Befehl “certsrv.msc” ein und klicken Sie auf “OK”.

image

Als erstes werden wir nun aus einem Zertifikat für die ADFS-Dienste aus einem Zertifikat-Template erstellen. Extrahieren Sie hierzu die Pfadstruktur indem Sie auf den Namen des Servers klicken, der als CA dargestellt wird. In meinem Beispiel “blankertz-pm-BL-ADS-01-CA”. Klicken Sie mit der rechten Maustaste und wählen Sie im Kontextmenü die Option “Verwalten”.

SNAGHTML82e9a

Suchen Sie die Zertifikatvorlage “Webserver”. Klicken Sie mit der rechten Maustaste auf die Vorlage und wählen Sie im Kontextmenü die Option “Vorlage duplizieren”.

SNAGHTMLa45e2

Klicken Sie als erstes auf den Reiter “Allgemein”. Geben Sie hier einen eindeutigen Namen ein. In meinem Beispiel “ADFS Server SSL Zertifikate”. Setzen Sie den Haken bei der Option “Zertifikate in Active Directory veröffentlichen”. Klicken Sie danach auf den Reiter “Antragstellennamen”.

SNAGHTMLc4f5e

Wählen Sie hier die Option “Aus diesen Informationen in Active Directory erstellen” aus. Wählen Sie im Auswahlfeld die Option “Allgemeiner Name” und entfernen Sie den Haken bei der Option “Benutzerprinzipalname (UPN)” und wählen Sie die stattdessen die Option “DNS-Name” aus. Wählen Sie nun die Registerkarte “Sicherheit” aus.

SNAGHTMLd74c3

Fügen Sie hier den zukünftigen ADFS-Server hinzu. Klicken Sie hierzu auf den Button “Hinzufügen”. Da standardmäßig nicht nach Computer-Accounts gesucht wird, müssen Sie dies erst aktivieren. Klicken Sie hierzu auf den Button “Objekttypen” und aktivieren Sie die Option “Computer”. Schließen Sie danach wieder das Fenster “Objekttypen” in dem Sie auf “OK” klicken. Geben Sie nun den Servernamen ein – in meinem Beispiel “BL-ADF-01” und klicken Sie auf “OK”. Markieren Sie nun noch die Option “Registrieren” unter den Berechtigungen. Die Ansicht müsste nun wie folgt aussehen.

image

Klicken Sie anschließend auf “OK”. Schließen Sie ebenfalls die Zertifikatvorlage. Aktivieren Sie als nächstes das gerade zuvor erstellte Template. Klicken Sie hierzu wieder mit der rechten Maustaste auf den Ordner “Zertifikatvorlagen”. Wählen Sie im Kontextmenü die Option “Neu” und dort auf die Option “Auszustellende Zertifikatvorlage” aus.

image

Wählen Sie nun das zuvor erstelle Zertifikat aus und klicken Sie auf “OK”.

image

Wir haben nun das Zertifikat veröffentlicht. In meinem nächsten Blogbeitrag werden wir  nun die ADFS-Services bereitstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:
Durch Abschicken des Formulars wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.