CertBase Community
Die Lernplattform für Ihren Erfolg
Arbeitsplatzbeitritt anstelle von Domänenbeitritt

Windows Server 2012 R2 enthält die Active Directory-Verbunddienste (AD FS) in der Version 3.0. Eine der Neuerungen besteht in der Möglichkeit, Clients mit Windows 8.1 und iOS den Beitritt zum Arbeitsplatznetzwerk zu ermöglichen. Sinn und Zweck des Arbeitsplatzbeitritts (Workplace Join) ist es, Benutzern mit privaten Endgeräten authentifizierten Zugriff auf Unternehmensressourcen zu ermöglichen.

Durch den Arbeitsplatzbeitritt wird ein Computer- bzw- Geräteobjekt in Active Directory erstellt und so die Authentifizierung von Geräten möglich, die nicht Mitglied der Domäne sind. Auf diese Weise werden beispielsweise NTFS-Bedingungen für Gerätemitgliedschaften unterstützt. Zudem wird durch den Arbeitsplatzbeitritt die einmalige Anmeldung (SSO) für Webanwendungen und die Synchronisierung von Arbeitsordnern für Geräte ohne Domänenmitgliedschaft möglich.

Ziel dieses Artikels ist es, den Arbeitsplatzbeitritt praktisch auszuprobieren und einen eigenständigen Windows 8.1 Client einem Arbeitsplatznetzwerk beitreten zu lassen.

Notwendig sind dazu die folgenden Schritte:

  1.  Installation und Konfiguration der AD-Verbunddienste 3.0
  2.  Initialisieren des Dienstes für die Geräteregistrierung
  3.  Erstellen der erforderlichen Einträge in DNS
  4.  Durchführen des Arbeitsplatzbeitritts auf dem Client
  5.  Problembehandlung

Installation und Konfiguration der AD-Verbunddienste 3.0

Meine Testumgebung enthält einen Domänencontroller mit dem Namen dc-1.certbase.de und einen Mitgliedserver mit dem Namen server-1.certbase.de. Auf beiden Servern ist Windows Server 2012 R2 installiert. Zudem steht ein alleinstehender Windows 8.1 Client für den Arbeitsplatzbeitritt bereit.

Als Verbunddienstname ist adfs1.certbase.de vorgesehen. Der Verbunddienstname darf nicht identisch mit dem Namen des Verbunddienstservers sein. Andernfalls schlägt später die Registrierung des Dienstprinzipalnamens (Service Principal Name, SPN) für die Verbunddienste fehl, da der SPN ja bereits von dem gleichnamigen Server verwendet wird.

Die Verbunddienste benötigen Port 80. Wenn Port 80 durch eine andere Anwendung (Webserver) belegt ist, kann der Assistent nicht erfolgreich abgeschlossen werden.

Im Vorfeld sollte ein Zertifikat für den Verbunddiensteserver erstellt werden, das die folgenden drei Namen enthält:

  • Allgemeiner Name (Subject Name, CN): server-1.certbase.de
  • Alternativer Name (DNS): adfs1.certbase.de
  • Alternativer Name (DNS): enterpriseregistration.certbase.de

DC1 ist als Unternehmens-Stammzertifizierungsstelle konfiguriert und im AD ist ein Duplikat der Zertifikatvorlage Webserver mit den entsprechenden Sicherheitseinstellungen für die automatische Genehmigung von Zertifikatanforderungen veröffentlicht.

Im ersten Schritt wird mit dem Snap-In Zertifikate auf Server-1 eine neue Zertifikatanforderung für ein Webserver-Zertifikat erstellt:


Das Zertifikat muss in den Speicher Eigene Zertifikate des Computers importiert werden, damit es später bei der Installation der Active Directory-Verbunddienste ausgewählt werden kann.


Nach der Installation der Rolle Active Directory-Verbunddienste folgt die Konfiguration für den ersten Verbundserver einer neuen Verbundserverfarm:


Auf der Seite Diensteigenschaften angeben wird das zuvor erstellte Zertifikat ausgewählt. Der Verbunddienstname wird automatisch auf den registrierten allgemeinen Namen des Zertifikates festgelegt:


Auf der Seite Dienstkonto angeben haben Sie die Wahl zwischen einem gruppenverwalteten Dienstkonto (Group Managed Service Account, GPMSA) und einem herkömmlichen Domänenbenutzerkonto. Wenn Sie sich für ein gruppenverwalteten Dienstkonto entscheiden, erstellt der Assistent dieses automatisch und weis dem Konto die erforderlichen Rechte zu.

Ich entscheide mich an dieser Stelle für ein Domänenbenutzerkonto:


Im nächsten Schritt wird der Speicher für die Konfigurationsdatenbank des Active Directory-Verbunddienstes ausgewählt. Wenn Sie Ihrer Verbundserverfarm später weitere Server hinzufügen wollen, müssen Sie eine SQL Server-Datenbank verwenden. Auf interne Windows-Datenbank kann nur der lokale Server zugreifen:


Im nächsten Schritt können die gewählten Optionen noch eimal geprüft werden:


Wenn alle Voraussetzungen erfüllt und alle Eingaben gemacht wurden, können die AD-Verbunddienste konfiguriert werden:


Die Konfiguration ist erfolgreich abgeschlossen:

 

Initialisieren des Dienstes für die Geräteregistrierung

Im nächsten Schritt muss  die AD-Gesamtstruktur für das Hosten des Dienstes für die Geräteregistrierung vorbereitet werden. Hierzu muss die PowerShell mit administrativen Berechtigungen gestartet und der folgende Befehl ausgeführt werden:

Initialize-ADDeviceRegistration -ServiceAccountName certbase\_svcADFS

Nachdem der Dienst initialisiert wurde, muss er durch den folgenden Aufruf noch aktiviert werden:

Enable-AdfsDeviceRegistration

 

Erstellen der erforderlichen Einträge in DNS

Um den Clients das Auffinden des Dienstes für die Geräteregistrierung zu ermöglichen, müssen die folgenden beiden Einträge in DNS erstellt werden:

 

Durchführen des Arbeitsplatzbeitritts auf dem Client

Die Funktion Arbeitsplatzbeitritt steht unter Windows 8 nicht zur Verfügung. Unter Windows 8.1 steht die Funktion nur dann bereit, wenn der Client nicht bereits Mitglied einer Active Directory-Domäne ist.

Rufen Sie auf dem Windows 8.1 Computer die PC-Einstellungen auf und wechseln Sie dort auf die Seite Netzwerk. Unter dem Eintrag Arbeitsplatz stehen die Optionen für den Arbeitsplatzbeitritt bereit:

Nach einem Klick auf Beitreten wird eine Verbindung mit dem Verbundserver hergestellt und Sie werden zur Eingabe Ihrer Zugangsdaten aufgefordert.


Der Computer wurde dem Arbeitsplatznetzwerk hinzugefügt:

 

Problembehandlung quick and dirty

In meinen Test lief nicht alles reibungslos. Bei den ersten Versuchen den Arbeitsplatzbeitritt auf dem Client durchzuführen, erhielt ich die folgende Fehlermeldung:

 

In der Ereignisanzeige wurde ein Fehler protokolliert, der darauf hinwies, dass keine Zertifikatsperrliste abgerufen werden konnte:

 

 

Um das Problem aus der Welt zu schaffen, habe ich im Abschnitt Sicherheit der erweiterten Internetoptionen die Option "Auf gesperrte Serverzertifikate prüfen" deaktiviert.

 


Eingetragen Sun, 06. Jul 2014 11:50 von Maik
CertBase - IT-Prüfungsvorbereitung Online