290 Kapitel 6: Active Directory-Verbunddienste und -Rechteverwaltungsdienste
■ Konfigurieren Sie auf den Verbundservern in den Konto- und Ressourcenorganisatio-
nen die Vertrauensrichtlinie, erstellen Sie Ansprüche für Benutzer und konfigurieren
Sie den AD DS-Kontospeicher für den Identitätsverbund. In einer Ressourcenorganisa-
tion müssen Sie außerdem die Ansprüche unterstützenden Anwendungen aktivieren.
■ Erstellen Sie die Verbundvertrauensstellung, die den Identitätsverbund einrichten, in-
dem Sie die Vertrauensrichtlinie aus der Kontoorganisation exportieren und in der Res-
sourcenorganisation importieren. Erstellen und konfigurieren Sie die Anspruchszuord-
nung in der Ressourcenorganisation. Und exportieren Sie die Partnerrichtlinie aus der
Ressourcenorganisation, damit Sie sie in der Kontoorganisation importieren können.
In der Fallstudie weiter unten in dieser Lektion werden Einzelheiten zu den Konfigurationen
beschrieben, die Sie bei den Konto- und Ressourcenpartnern vornehmen müssen. Ein we-
sentlicher Teil des Konfigurationsprozesses ist die Zertifikatszuordnung von einem Server
zum anderen. Sie müssen in der Lage sein, auf die Zertifikatsperrlisten (Certificate Revoca-
tion List, CRL) aller Zertifikate zuzugreifen. Zertifikatsperrlisten geben an, ob das Zertifikat
eines Mitglieds in einer Vertrauenskette noch gültig ist.
In AD FS ist die Prüfung der Zertifikatsperrlisten in der Standardeinstellung aktiviert. Nor-
malerweise wird die Zertifikatsperrliste nur für Sicherheitstokensignaturen geprüft, aber
Microsoft empfiehlt, dass Sie die Prüfung bei allen digitalen Signaturen vornehmen. Weitere
Informationen über Zertifikate, Zertifikatsperrlisten und Vertrauensketten finden Sie in
Kapitel 7.
AD CS-Online-Responder
Sofern er unterstützt wird, können Sie den AD CS-Online-Responder benutzen, um in
Windows-Netzwerken die OCSP-Überprüfung (Online Certificate Status Protocol) und
-Zertifikatsperrprüfung zu konfigurieren und zu verwalten. Dieser Online-Responder ist
im Microsoft-Online-Responder-Dienst von AD CS implementiert. Im Online-Responder-
Snap-In konfigurieren und verwalten Sie die Sperrkonfigurationen und die Online-Res-
ponder-Arrays für die Unterstützung von PKI-Clients (Public Key Infrastructure) in hete-
rogenen Umgebungen.
Weitere Informationen über AD CS-Online-Responder und den Microsoft-Online-Res-
ponder-Dienst finden Sie unter http://technet.microsoft.com/en-us/library/cc774575.aspx,
weitere Informationen über OCSP unter http://www.ietf.org/rfc/rfc2560.txt, weitere
Informationen über Online-Responder-Arrays unter http://technet.microsoft.com/de-de/
library/cc731175.aspx und weitere Informationen über PKI und das Unternehmens-PKI-
Snap-In unter http://technet.microsoft.com/de-de/library/cc771400.aspx. Kapitel 7 geht
genauer auf Online-Responder ein.
Verwalten von AD FS
Wenn Sie den Identitätsverbund konfiguriert haben, müssen Sie die AD FS-Dienste und
-Serverrollen einrichten und pflegen. Sie können dafür die Konsole Active Directory-Ver-
bunddienste im Server-Manager benutzen. Zu den Administrations- und Verwaltungsauf-
gaben gehören: