O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

292 Kapitel 6: Active Directory-Verbunddienste und -Rechteverwaltungsdienste
Vorsicht Bearbeiten Sie die Vertrauensrichtliniendatei niemals von Hand
Die Datei web.config, die Sie leicht von Hand bearbeiten können, enthält unter anderem den
Pfad zur Vertrauensrichtliniendatei. Microsoft rät dringend davon ab, die Vertrauensricht-
liniendatei von Hand zu bearbeiten. Sie sollten die Einstellungen in dieser Datei über die
AD FS-Konsole oder mithilfe von Programmeinstellungen konfigurieren, die sich aus dem
AD FS-Objektmodell ableiten.
Weitere Informationen Skriptunterstützung und das AD FS-Objektmodell
Weitere Informationen über die Skriptunterstützung und das AD FS-Objektmodell finden Sie
unter http://msdn2.microsoft.com/en-us/library/ms674895.aspx.
In der Konsole Active Directory-Verbunddienste konfigurieren Sie folgende FSP-Einstellun-
gen:
Mit welchem Verbunddienst der FSP zusammenarbeitet
Wie der FSP Benutzeranmeldeinformationen von Browsern und Webanwendungen
sammelt
Auch die Verbunddienstproxykonfigurationen sind in einer web.config-Datei gespeichert.
Der FSP hostet keine Vertrauensrichtliniendatei, alle seine Einstellungen sind in der Datei
web.config abgelegt. Das sind unter anderem:
Die URL für den Verbunddienst
Das Clientauthentifizierungszertifikat, das der Verbunddienstproxy benutzt, um die
TLS/SSL-Kommunikation mit dem Verbunddienst zu verschlüsseln
Der Pfad zu den ASP.NET-Webseiten, die den Dienst unterstützen
Bereitstellen von AD FS (Fallstudie)
In einem Produktivnetzwerk operiert AD FS über mehrere Computer hinweg. Der Dienst
überspannt im Normalfall mindestens zwei AD DS-Domänen, jeweils mit einem Perimeter-
netzwerk und AD FS-Servern, die in der Umgebung verteilt sind. Die Kontoorganisation
hostet AD DS und mindestens einen internen Verbundserver, außerdem einen FSP in ihrem
Perimeternetzwerk. Die Ressourcenorganisationen sollten jeweils mindestens eine AD DS-
Domäne und einen internen Verbundserver hosten. Ihre Perimeternetzwerke sollten mindes-
tens einen AD FS-fähigen Webserver und einen FSP enthalten. Wie die Bereitstellung aus-
sieht, hängt unter anderem davon ab, wie viele Partnerorganisationen beteiligt sind, welche
Anwendungsarten gemeinsam genutzt werden und welche Anforderungen bezüglich Hoch-
verfügbarkeit und Lastausgleich bestehen.
Die Computeruhren müssen synchronisiert sein. Sofern die Uhren der Server um mehr als
5 Minuten voneinander abweichen, funktioniert AD FS nicht, weil die Zeitstempel in den
Tokens ungültig sind. AD FS richtet eine Partnerschaft zwischen unterschiedlichen Organi-
sationen mit separaten Gesamtstrukturen ein, daher müssen Sie über NTP (Network Time
Protocol) auf den Zeitserver eines Fremdherstellers zugreifen. Als Windows Server 2003-
Administrator sollten Sie mit NTP vertraut sein.
Lektion 1: Installieren, Konfigurieren und Benutzen von AD FS 293
Diese Fallstudie beschreibt eine minimale Bereitstellung. In der Produktivumgebung einer
Organisation gewährleisten mehrere Domänencontroller, Verbundserver und Proxys ausrei-
chende Redundanz. Darüber hinaus gibt es mehrere Clientcomputer, auf denen sich Benutzer
anmelden. Außerdem verwendet diese Fallstudie keine Perimeternetzwerke, die eine kom-
plexe TCP/IP-Konfiguration erfordern. AD FS-Bereitstellungen in einem Produktivnetzwerk
setzen voraus, dass Server auf geeignete Weise in den Perimeternetzwerken bereitgestellt
werden.
Hinweis Sprechen Sie mit den anderen Administratoren
Wenn Sie eine Verbundpartnerschaft mit einer anderen Organisation aufbauen, sollte Ihr
erster Schritt darin bestehen, sich mit Ihrem Kollegen in der anderen Organisation in Ver-
bindung zu setzen und zu besprechen, wie sie die Richtliniendateien austauschen, während
sie die Partnerschaft einrichten.
In der Fallstudie benutzt die Kontodomäne tailspintoys.com folgende Windows Server 2008-
Computer in ihrer AD FS-Bereitstellung:
TailspinToysDC Der AD DS-Domänencontroller für tailspintoys.com.
TailspinToysFed Der Verbundserver für tailspintoys.com. Dieser Server ist auch die
Stammzertifizierungsstelle.
TailspinToysProxy Der Verbunddienstproxy für tailspintoys.com.
Die Ressourcendomäne treyresearch.net benutzt in ihrer AD FS-Bereitstellung folgende
Windows Server 2008-Computer:
TreyResearchDC Der AD DS-Domänencontroller für treyresearch.net.
TreyResearchFed Der Verbundserver für treyresearch.net.
TreyResearchProxy Der Verbunddienstproxy und AD FS-fähige Webserver für
treyresearch.net.
In der simplen Konfiguration, die wir in dieser Fallstudie betrachten, konfigurieren Sie zu-
erst DNS-überspannende (Domain Name System) Verweise in jeder Gesamtstruktur und
installieren dann die Verbundserver. Danach installieren Sie in beiden Gesamtstrukturen den
Verbunddienstproxy-Rollendienst und machen die Website in der Ressourcengesamtstruktur
AD FS-fähig.
Konfigurieren von DNS-überspannenden Verweisen
Die beiden Gesamtstrukturen sind voneinander unabhängig, und ihre DNS-Server wissen
nichts voneinander. Daher müssen Sie die DNS-Server in jeder Gesamtstruktur mit DNS-
überspannenden Verweisen auf die Server in der jeweils anderen Gesamtstruktur konfigurie-
ren. Am einfachsten ist es, wenn Sie dafür Weiterleitungen von einer Domäne in die andere
(und umgekehrt) einrichten. Abbildung 6.3 zeigt, wie im DNS-Server der anderen Gesamt-
struktur auf der Registerkarte Weiterleitungen die IPv4-Adresse eines DNS-Servers hinzu-
gefügt wird.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required