Anschlussschema für KES-Geräte mit dem Server unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:

Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

Domänenbenutzerkonto für den Administrationsserver

Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers.

Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:

Service Principal Name für http/kes4mob.mydom.local

In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Einstellungen der Domäneneigenschaften des Geräts mit TMG (tmg.mydom.local)

Für die Delegierung des Datenverkehres muss das Gerät mit TMG (tmg.mydom.local) dem Dienst anvertraut werden, der gemäß SPN bestimmt wurde (http/kes4mob.mydom.local:13292).

Um das Gerät mit TMG dem gemäß SPN bestimmten Dienst anzuvertrauen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:

  1. Im Snap-in Microsoft Management Console "Active Directory Users and Computers" muss das Gerät mit installiertem TMG (tmg.mydom.local) ausgewählt werden.
  2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
  3. SPN http/kes4mob.mydom.local:13292 zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)

Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.

Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Einstellungen für die Veröffentlichung auf TMG

Auf TMG muss für den Datenverkehr, der von Seiten des mobilen Geräts auf den Port 13292 kes4mob.mydom.global geht, KCD auf SPN http/kes4mob.mydom.local:13292 unter Verwendung des für FQND kes4mob.mydom.global ausgestellten Serverzertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.

Siehe auch:

Integration mit Public Key Infrastructure

Bereitstellung des Zugriffs auf den Administrationsserver aus dem Internet

Administrationsserver im LAN, verwaltete Geräte im Internet; TMG verwendet

Nach oben