290 Kapitel 6: Active Directory-Verbunddienste und -Rechteverwaltungsdienste
■ Konfigurieren Sie auf den Verbundservern in den Konto- und Ressourcenorganisatio-
nen die Vertrauensrichtlinie, erstellen Sie Ansprüche für Benutzer und konfigurieren
Sie den AD DS-Kontospeicher für den Identitätsverbund. In einer Ressourcenorganisa-
tion müssen Sie außerdem die Ansprüche unterstützenden Anwendungen aktivieren.
■ Erstellen Sie die Verbundvertrauensstellung, die den Identitätsverbund einrichten, in-
dem Sie die Vertrauensrichtlinie aus der Kontoorganisation exportieren und in der Res-
sourcenorganisation importieren. Erstellen und konfigurieren Sie die Anspruchszuord-
nung in der Ressourcenorganisation. Und exportieren Sie die Partnerrichtlinie aus der
Ressourcenorganisation, damit Sie sie in der Kontoorganisation importieren können.
In der Fallstudie weiter unten in dieser Lektion werden Einzelheiten zu den Konfigurationen
beschrieben, die Sie bei den Konto- und Ressourcenpartnern vornehmen müssen. Ein we-
sentlicher Teil des Konfigurationsprozesses ist die Zertifikatszuordnung von einem Server
zum anderen. Sie müssen in der Lage sein, auf die Zertifikatsperrlisten (Certificate Revoca-
tion List, CRL) aller Zertifikate zuzugreifen. Zertifikatsperrlisten geben an, ob das Zertifikat
eines Mitglieds in einer Vertrauenskette noch gültig ist.
In AD FS ist die Prüfung der Zertifikatsperrlisten in der Standardeinstellung aktiviert. Nor-
malerweise wird die Zertifikatsperrliste nur für Sicherheitstokensignaturen geprüft, aber
Microsoft empfiehlt, dass Sie die Prüfung bei allen digitalen Signaturen vornehmen. Weitere
Informationen über Zertifikate, Zertifikatsperrlisten und Vertrauensketten finden Sie in
Kapitel 7.
AD CS-Online-Responder
Sofern er unterstützt wird, können Sie den AD CS-Online-Responder benutzen, um in
Windows-Netzwerken die OCSP-Überprüfung (Online Certificate Status Protocol) und
-Zertifikatsperrprüfung zu konfigurieren und zu verwalten. Dieser Online-Responder ist
im Microsoft-Online-Responder-Dienst von AD CS implementiert. Im Online-Responder-
Snap-In konfigurieren und verwalten Sie die Sperrkonfigurationen und die Online-Res-
ponder-Arrays für die Unterstützung von PKI-Clients (Public Key Infrastructure) in hete-
rogenen Umgebungen.
Weitere Informationen über AD CS-Online-Responder und den Microsoft-Online-Res-
ponder-Dienst finden Sie unter http://technet.microsoft.com/en-us/library/cc774575.aspx,
weitere Informationen über OCSP unter http://www.ietf.org/rfc/rfc2560.txt, weitere
Informationen über Online-Responder-Arrays unter http://technet.microsoft.com/de-de/
library/cc731175.aspx und weitere Informationen über PKI und das Unternehmens-PKI-
Snap-In unter http://technet.microsoft.com/de-de/library/cc771400.aspx. Kapitel 7 geht
genauer auf Online-Responder ein.
Verwalten von AD FS
Wenn Sie den Identitätsverbund konfiguriert haben, müssen Sie die AD FS-Dienste und
-Serverrollen einrichten und pflegen. Sie können dafür die Konsole Active Directory-Ver-
bunddienste im Server-Manager benutzen. Zu den Administrations- und Verwaltungsauf-
gaben gehören:
Lektion 1: Installieren, Konfigurieren und Benutzen von AD FS 291
■ Konfigurieren des Verbunddienstes für jede Servergruppe oder Verbundserverfarm.
Eine Verbundserverfarm kann mehrere Server umfassen, die dieselbe Rolle hosten.
Sie können auch eine Verbunddienstproxyfarm einrichten und eine Serverfarm für
Ansprüche unterstützende Anwendungen, die IIS ausführt.
■ Verwalten von Kontospeichern in AD DS oder AD LDS.
■ Verwalten der Konto- und Ressourcenpartner, die Ihrer Organisation vertrauen.
■ Verwalten von Ansprüchen.
■ Verwalten von Zertifikaten auf Verbundservern und in AD FS-geschützten Webanwen-
dungen.
Viele Verbundservereinstellungen, die Sie im Server-Manager konfigurieren, sind in der
Datei web.config gespeichert. Diese Datei liegt im virtuellen Verzeichnis des Verbunddiens-
tes in IIS. Abbildung 6.2 zeigt eine solche Datei, bei der noch keine neuen Konfigurations-
einstellungen hinzugefügt wurden.
Abbildung 6.2 Die Datei web.config
Andere Konfigurationseinstellungen sind in der Vertrauensrichtliniendatei gespeichert. Sie
können die Datei web.config direkt in einem Texteditor bearbeiten und folgende Einstellun-
gen festlegen:
■ Den Pfad zur Vertrauensrichtliniendatei
■ Den Pfad zum Verzeichnis mit den Protokolldateien
■ Das lokale Tokensignaturzertifikat
■ Den Speicherort der ASP.NET-Webseiten, die den Dienst unterstützen
■ Die Debugprotokollierungsstufe für den Dienst
■ Die Zugriffstypspezifikation
Sie können die Datei web.config bei Bedarf auf andere Server kopieren, die dieselben Kon-
figurationseinstellungen verwenden. Die neuen Konfigurationseinstellungen werden wirk-
sam, sobald Sie den IIS-Dienst neu starten.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
