Vorbereiten und Bereitstellen von Active Directory-Verbunddiensten – lokale Schlüsselvertrauensstellung

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:


Windows Hello for Business funktioniert ausschließlich mit der Active Directory-Verbunddienstrolle (AD FS), die in Windows Server enthalten ist. Das lokale Schlüsselvertrauensstellungsmodell verwendet AD FS für die Schlüsselregistrierung und Geräteregistrierung.

In der folgenden Anleitung wird die Bereitstellung einer neuen Instanz von AD FS mithilfe der Windows-Informationsdatenbank (WID) als Konfigurationsdatenbank beschrieben.
WID eignet sich ideal für Umgebungen mit maximal 30 Verbundservern und maximal 100 Vertrauensstellungen der vertrauenden Seite. Wenn Ihre Umgebung einen dieser Faktoren überschreitet, eine SAML-Artefaktauflösung und tokenreplay-Erkennung bereitstellen muss oder AD FS als Verbundanbieterrolle arbeiten muss, ist für die Bereitstellung die Verwendung von SQL als Konfigurationsdatenbank erforderlich.
Informationen zum Bereitstellen von AD FS mithilfe von SQL als Konfigurationsdatenbank finden Sie in der Prüfliste Bereitstellen einer Verbundserverfarm .

Eine neue AD FS-Farm sollte über mindestens zwei Verbundserver für einen ordnungsgemäßen Lastenausgleich verfügen, der mit externen Netzwerkperipheriegeräten oder mit der in Windows Server enthaltenen Netzwerklastenausgleichsrolle erreicht werden kann.

Bereiten Sie die AD FS-Bereitstellung vor, indem Sie zwei Windows-Server installieren und aktualisieren .

Registrieren für ein TLS-Serverauthentifizierungszertifikat

Ein Verbunddienst ist in der Regel eine in die Edge gerichtete Rolle. Allerdings benötigen die Verbunddienste und die Instanz, die mit der lokalen Bereitstellung von Windows Hello for Business verwendet wird, keine Internetkonnektivität.

Die AD FS-Rolle benötigt ein Serverauthentifizierungszertifikat für die Verbunddienste, und Sie können ein Zertifikat verwenden, das von Ihrer (internen) Zertifizierungsstelle ihres Unternehmens ausgestellt wurde. Das Serverauthentifizierungszertifikat sollte die folgenden Namen im Zertifikat enthalten, wenn Sie für jeden Knoten in der Verbundfarm ein einzelnes Zertifikat anfordern:

  • Antragstellername: interner FQDN des Verbundservers
  • Alternativer Antragstellername: Der Name des Verbunddiensts (z. B. sts.corp.contoso.com) oder ein entsprechender Feldhaltereintrag (z. B. *.corp.contoso.com)

Der Name des Verbunddiensts wird festgelegt, wenn die AD FS-Rolle konfiguriert ist. Sie können einen beliebigen Namen auswählen, der Name muss sich jedoch vom Namen des Servers oder Hosts unterscheiden. Beispielsweise können Sie den Hostserver adfs und den Verbunddienst sts nennen. In diesem Beispiel wird der FQDN des Hosts adfs.corp.contoso.com und der FQDN des Verbunddiensts sts.corp.contoso.com.

Sie können auch ein Zertifikat für alle Hosts in der Farm ausstellen. Wenn Sie diese Option ausgewählt haben, lassen Sie den Antragstellernamen leer, und fügen Sie beim Erstellen der Zertifikatanforderung alle Namen in den alternativen Antragstellernamen ein. Alle Namen müssen den FQDN der einzelnen Hosts in der Farm und Namen des Verbunddiensts enthalten.

Markieren Sie beim Erstellen eines Platzhalterzertifikats den privaten Schlüssel als exportierbar, damit dasselbe Zertifikat auf jedem Verbundserver und Webanwendungsproxy in der AD FS-Farm bereitgestellt werden kann. Beachten Sie, dass das Zertifikat vertrauenswürdig sein muss (mit einer vertrauenswürdigen Stammzertifizierungsstelle verknüpft). Sobald Sie das Serverauthentifizierungszertifikat auf einem Knoten erfolgreich angefordert und registriert haben, können Sie das Zertifikat und den privaten Schlüssel über die Zertifikat-Manager-Konsole in eine PFX-Datei exportieren. Dann können Sie das Zertifikat auf den verbleibenden Knoten in der AD FS-Farm importieren.

Stellen Sie sicher, dass Sie das Zertifikat im Computerzertifikatspeicher des AD FS-Servers registrieren oder importieren. Stellen Sie außerdem sicher, dass alle Knoten in der Farm über das richtige TLS-Serverauthentifizierungszertifikat verfügen.

Registrierung des AD FS-Authentifizierungszertifikats

Melden Sie sich beim Verbundserver mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

  1. Starten des Zertifikat-Managers für den lokalen Computer (certlm.msc)
  2. Erweitern des Knotens "Personal " im Navigationsbereich
  3. Klicken Sie auf Privat. Wählen Sie Alle Aufgaben > Neues Zertifikat anfordern aus.
  4. Wählen Sie auf der Seite "Before You Begin" (Vorbereitung) die Option Weiter aus.
  5. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen die Option Weiter aus.
  6. Aktivieren Sie auf der Seite Zertifikate anfordern das Kontrollkästchen Interner Webserver .
  7. Wählen Sie die ⚠Option ️ Weitere Informationen sind erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um den Link "Einstellungen zu konfigurieren
  8. Wählen Sie unter Antragstellernamedie Option Allgemeiner Name aus der Liste Typ. Geben Sie den FQDN des Computers ein, auf dem die AD FS-Rolle gehostet wird, und wählen Sie dann Hinzufügen aus.
  9. Wählen Sie unter Alternativer Name die Option DNS aus der Liste Typ aus. Geben Sie den FQDN des Namens ein, den Sie für Ihre Verbunddienste (sts.corp.contoso.com) verwenden möchten. Der hier verwendete Name MUSS mit dem Namen übereinstimmen, den Sie beim Konfigurieren der AD FS-Serverrolle verwenden. Wählen Sie Hinzufügen und OK aus, wenn Sie fertig sind.
  10. Wählen Sie Registrieren aus.

Ein Serverauthentifizierungszertifikat sollte im persönlichen Zertifikatspeicher des Computers angezeigt werden.

Bereitstellen der AD FS-Rolle

Wichtig

Schließen Sie die gesamte AD FS-Konfiguration auf dem ersten Server in der Farm ab, bevor Sie den zweiten Server zur AD FS-Farm hinzufügen. Nach Abschluss des Vorgangs erhält der zweite Server die Konfiguration über die gemeinsame Konfigurationsdatenbank, wenn er der AD FS-Farm hinzugefügt wird.

Melden Sie sich auf dem Verbundserver mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Starten Sie den Server-Manager. Wählen Sie im Navigationsbereich Local Server (Lokaler Server ) aus.
  2. Wählen Sie Verwalten > Rollen und Features hinzufügen aus.
  3. Wählen Sie auf der Seite Vor beginn die Option Weiter aus.
  4. Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation > Weiter aus.
  5. Wählen Sie auf der Seite Zielserver auswählen die Option Einen Server aus dem Serverpool auswählen aus. Wählen Sie den Verbundserver aus der Liste Serverpool und Weiter aus.
  6. Wählen Sie auf der Seite Serverrollen auswählen die Option Active Directory-Verbunddienste und dann Weiter aus.
  7. Wählen Sie auf der Seite Features auswählen die Option Weiter aus.
  8. Wählen Sie auf der Seite Active Directory-Verbunddienst die Option Weiter aus.
  9. Wählen Sie Installieren aus, um die Rolleninstallation zu starten.

Überprüfen, um die AD FS-Bereitstellung zu überprüfen

Bevor Sie mit der Bereitstellung fortfahren, prüfen Sie den Bereitstellungsfortschritt, indem Sie die folgenden Elemente überprüfen:

  • Vergewissern Sie sich, dass die AD FS-Farm die richtige Datenbankkonfiguration verwendet.
  • Vergewissern Sie sich, dass die AD FS-Farm über eine ausreichende Anzahl von Knoten verfügt und für die erwartete Last einen ordnungsgemäßen Lastenausgleich aufweist.
  • Vergewissern Sie sich , dass auf allen AD FS-Servern in der Farm die neuesten Updates installiert sind.
  • Bestätigen Sie, dass alle AD FS-Server über ein gültiges Serverauthentifizierungszertifikat verfügen.

Voraussetzungen für das Konto des Geräteregistrierungsdiensts

Die Verwendung von gruppenverwalteten Dienstkonten (Group Managed Service Accounts, GMSA) ist die bevorzugte Methode zum Bereitstellen von Dienstkonten für Dienste, die diese unterstützen. GMSAs bieten Sicherheitsvorteile gegenüber normalen Benutzerkonten, da Windows die Kennwortverwaltung übernimmt. Dies bedeutet, dass das Kennwort lang und komplex ist und regelmäßig geändert wird. AD FS unterstützt GMSAs und sollte mit ihnen für zusätzliche Sicherheit konfiguriert werden.

GSMA verwendet den Microsoft-Schlüsselverteilungsdienst , der sich auf den Domänencontrollern befindet. Bevor Sie eine GSMA erstellen können, müssen Sie zunächst einen Stammschlüssel für den Dienst erstellen. Sie können diesen Schritt überspringen, wenn in Ihrer Umgebung GSMA bereits verwendet wird.

Erstellen des KDS-Stammschlüssels

Melden Sie einen Domänencontroller mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

Starten Sie eine PowerShell-Konsole mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

Konfigurieren der Active Directory-Verbunddienste (AD FS)-Rolle

Gehen Sie wie folgt vor, um AD FS zu konfigurieren.

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators beim Verbundserver an. Bei diesen Verfahren wird davon ausgegangen, dass Sie den ersten Verbundserver in einer Verbundserverfarm konfigurieren.

  1. Server-Manager starten
  2. Wählen Sie das Benachrichtigungsflag in der oberen rechten Ecke und dann Die Verbunddienste auf diesem Server konfigurieren aus.
  3. Wählen Sie auf der Seite Willkommendie Option Erste Verbundserverfarm > erstellen Aus.
  4. Wählen Sie auf der Seite Verbindung mit Active Directory Domain Services herstellen die Option Weiter aus.
  5. Wählen Sie auf der Seite Diensteigenschaften angeben das zuletzt registrierte oder importierte Zertifikat aus der Liste SSL-Zertifikat aus. Das Zertifikat ist wahrscheinlich nach Ihrem Verbunddienst benannt, z. B. sts.corp.contoso.com
  6. Wählen Sie den Namen des Verbunddiensts aus der Liste Verbunddienstname aus.
  7. Geben Sie den Anzeigenamen des Verbunddiensts in das Textfeld ein. Dies ist der Name, der Benutzern angezeigt wird, wenn sie sich anmelden. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Seite Dienstkonto angeben die Option Gruppenverwaltetes Dienstkonto erstellen aus. Geben Sie im Feld Kontonameden Namen adfssvc ein.
  9. Wählen Sie auf der Seite Konfigurationsdatenbank angebendie Option Datenbank auf diesem Server mithilfe der internen Windows-Datenbank erstellen und dann Weiter aus.
  10. Wählen Sie auf der Seite Überprüfungsoptionen die Option Weiter aus.
  11. Wählen Sie auf der Seite Voraussetzungsprüfungen die Option Konfigurieren aus.
  12. Wenn der Prozess abgeschlossen ist, wählen Sie Schließen aus.

Hinzufügen des AD FS-Dienstkontos zur Gruppe "Schlüsseladministratoren "

Während der Windows Hello for Business-Registrierung wird der öffentliche Schlüssel in einem Attribut des Benutzerobjekts in Active Directory registriert. Um sicherzustellen, dass der AD FS-Dienst Schlüssel hinzufügen und entfernen kann, muss er Mitglied der globalen Gruppe Schlüsseladministratoren sein.

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei einem Domänencontroller oder einer Verwaltungsarbeitsstation an.

  1. Öffnen Sie Active Directory-Benutzer und -Computer.
  2. Wählen Sie im Navigationsbereich den Container Benutzer aus.
  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Schlüsseladministratoren, und wählen Sie Eigenschaften aus.
  4. Wählen Sie mitglieder > Hinzufügen... aus.
  5. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen einadfssvc ein. Wählen Sie OK aus.
  6. Wählen Sie OK aus, um zu Active Directory-Benutzer und -Computer zurückzukehren.
  7. Wechseln Sie zum Server, auf dem die AD FS-Rolle gehostet wird, und starten Sie sie neu.

Konfigurieren des Geräteregistrierungsdiensts

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators beim Verbundserver an. Bei diesen Anweisungen wird davon ausgegangen, dass Sie den ersten Verbundserver in einer Verbundserverfarm konfigurieren.

  1. Öffnen der AD FS-Verwaltungskonsole
  2. Erweitern Sie im Navigationsbereich Dienst Geräteregistrierung auswählen
  3. Wählen Sie im Detailbereich Geräteregistrierung konfigurieren aus.
  4. Klicken Sie im Dialogfeld Geräteregistrierung konfigurieren auf OK.

Screenshot: AD FS-Geräteregistrierung: Konfiguration des Dienstverbindungspunkts

Beim Auslösen der Geräteregistrierung über AD FS wird der Dienstverbindungspunkt (Service Connection Point, SCP) in der Active Directory-Konfigurationspartition erstellt. Der SCP wird verwendet, um die Geräteregistrierungsinformationen zu speichern, die Windows-Clients automatisch ermitteln.

Screenshot: AD FS-Geräteregistrierung: Von AD FS erstelltes Dienstverbindungspunktobjekt

Überprüfen sie, um die AD FS- und Active Directory-Konfiguration zu überprüfen.

Bevor Sie mit der Bereitstellung fortfahren, prüfen Sie den Bereitstellungsfortschritt, indem Sie die folgenden Elemente überprüfen:

  • Notieren Sie sich die Informationen zum AD FS-Zertifikat, und legen Sie mindestens sechs Wochen vor Ablauf eine Verlängerungserinnerung fest. Zu den relevanten Informationen gehören: Seriennummer des Zertifikats, Fingerabdruck, allgemeiner Name, alternativer Antragstellername, Name des physischen Hostservers, Ausstellungsdatum, Ablaufdatum und ausstellende Zertifizierungsstellenanbieter (wenn ein Zertifikat ohne Microsoft)
  • Vergewissern Sie sich, dass Sie das AD FS-Dienstkonto zur Gruppe KeyAdmins hinzugefügt haben.
  • Vergewissern Sie sich, dass Sie den Geräteregistrierungsdienst aktiviert haben.

Zusätzliche Verbundserver

Organisationen sollten mehr als einen Verbundserver in ihrer Verbundfarm bereitstellen, um für hohe Verfügbarkeit zu sorgen. Sie sollten mindestens zwei Verbunddienste in Ihrer AD FS-Farm haben, die meisten Organisationen verfügen jedoch über mehr. Dies hängt größtenteils von der Anzahl der Geräte und Benutzer ab, die die von der AD FS-Farm bereitgestellten Dienste verwenden.

Serverauthentifizierungszertifikat

Jeder Server, den Sie zu der AD FS-Farm hinzufügen, muss über ein ordnungsgemäßes Serverauthentifizierungszertifikat verfügen. Weitere Informationen zum Ermitteln der Anforderungen für Ihr Serverauthentifizierungszertifikat finden Sie im Abschnitt Registrierung für ein TLS-Serverauthentifizierungszertifikat in diesem Dokument. Wie bereits erwähnt, können ausschließlich für lokale Bereitstellungen von Windows Hello for Business genutzte AD FS-Server Serverauthentifizierungszertifikate des Unternehmens anstelle von Serverauthentifizierungszertifikaten verwenden, die von öffentlichen Zertifizierungsstellen ausgestellt wurden.

Installieren zusätzlicher Server

Das Hinzufügen von Verbundservern zur vorhandenen AD FS-Farm beginnt mit der Sicherstellung, dass der Server vollständig gepatcht ist, um windows Server 2016 Update einzuschließen, das zur Unterstützung von Windows Hello for Business-Bereitstellungen (https://aka.ms/whfbadfs1703) erforderlich ist. Installieren Sie dann die Active Directory-Verbunddienste (AD FS)-Rolle auf den zusätzlichen Servern, und konfigurieren Sie den Server als zusätzlichen Server in einer vorhandenen Farm.

Lastenausgleich für AD FS

Viele Umgebungen führen den Lastenausgleich mithilfe von Hardwaregeräten durch. Umgebungen ohne Hardwarefunktionen für den Lastenausgleich können die in Windows Server enthaltene Netzwerk-Lastenausgleichsfunktionen nutzen, um den Lastenausgleich für die AD FS-Server in der Verbundfarm durchzuführen. Installieren Sie die Windows-Netzwerk-Lastenausgleichsfunktion auf allen Knoten, die Mitglieder der AD FS-Farm sind, für die ein Lastenausgleich durchgeführt werden soll.

Installieren der Netzwerk-Lastenausgleichsfunktion auf AD FS-Servern

Melden Sie sich auf dem Verbundserver mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

  1. Starten Sie den Server-Manager. Wählen Sie im Navigationsbereich Local Server (Lokaler Server ) aus.
  2. Wählen Sie Verwalten und dann Rollen und Features hinzufügen aus.
  3. Wählen Sie Auf der Seite "Vor Beginn" die Option Weiter aus.
  4. Wählen Sie auf der Seite Installationstyp auswählendie Option Rollenbasierte oder featurebasierte Installation und dann Weiter aus.
  5. Wählen Sie auf der Seite Zielserver auswählen die Option Einen Server aus dem Serverpool auswählen aus. Wählen Sie den Verbundserver aus der Liste Serverpool aus. Wählen Sie Weiter aus.
  6. Wählen Sie auf der Seite Serverrollen auswählen die Option Weiter aus.
  7. Wählen Sie auf der Seite Features auswählen die Option Netzwerklastenausgleich aus.
  8. Wählen Sie Installieren aus, um die Featureinstallation zu starten.

Konfigurieren des Netzwerklastenausgleichs für AD FS

Bevor Sie den Lastenausgleich für alle Knoten in der AD FS-Farm durchführen können, müssen Sie zuerst einen neuen Lastenausgleichcluster erstellen. Nachdem Sie den Cluster erstellt haben, können Sie neue Knoten zu diesem Cluster hinzufügen.

Melden Sie einen Knoten der Verbundfarm mit administratoräquivalenten Anmeldeinformationen an.

  1. Öffnen Sie den Netzwerklastenausgleichs-Manager über die Verwaltungstools.
  2. Klicken Sie mit der rechten Maustaste auf Netzwerklastenausgleichscluster, und wählen Sie dann Neuer Cluster aus.
  3. Um eine Verbindung mit dem Host herzustellen, der Teil des neuen Clusters sein soll, geben Sie im Textfeld Host den Namen des Hosts ein, und wählen Sie dann Verbinden aus.
  4. Wählen Sie die Schnittstelle aus, die Sie mit dem Cluster verwenden möchten, und wählen Sie dann Weiter aus (die Schnittstelle hostet die virtuelle IP-Adresse und empfängt den Clientdatenverkehr zum Lastenausgleich).
  5. Wählen Sie unter Hostparameter einen Wert in Priorität (eindeutige Host-ID) aus. Mit diesem Parameter wird eine eindeutige ID für jeden Host angegeben. Der Host mit der niedrigsten numerischen Priorität des Clusters behandelt den Netzwerkdatenverkehr des Clusters, der nicht von einer Portregel berücksichtigt wird. Wählen Sie Weiter aus.
  6. Wählen Sie unter Cluster-IP-Adressen die Option Hinzufügen aus, und geben Sie die Cluster-IP-Adresse ein, die von jedem Host im Cluster freigegeben wird. Der Netzwerklastenausgleich fügt diese IP-Adresse zum TCP/IP-Stapel auf der ausgewählten Schnittstelle für alle Hosts hinzu, die als Teil des Clusters ausgewählt werden. Wählen Sie Weiter aus.
  7. Wählen Sie unter Clusterparameter Werte unter IP-Adresse und Subnetzmaske aus (für IPv6-Adressen ist kein Subnetzmaskenwert erforderlich). Geben Sie den vollständigen Internetnamen ein, den Benutzer für den Zugriff auf diesen NLB-Cluster verwenden.
  8. Wählen Sie im ClusterbetriebsmodusUnicast aus, um anzugeben, dass für Clustervorgänge eine Unicast-Mac-Adresse (Media Access Control) verwendet werden soll. Im Unicast-Modus wird die MAC-Adresse des Clusters zum Netzwerkadapter des Computers zugewiesen, und die integrierte MAC-Adresse des Netzwerkadapters wird nicht verwendet. Es wird empfohlen, die Unicast-Standardeinstellungen zu akzeptieren. Wählen Sie Weiter aus.
  9. Wählen Sie unter Portregeln die Option Bearbeiten aus, um die Standardportregeln für die Verwendung von Port 443 zu ändern.

Zusätzliche AD FS-Server

  1. Um dem Cluster weitere Hosts hinzuzufügen, klicken Sie mit der rechten Maustaste auf den neuen Cluster, und wählen Sie dann Host zu Cluster hinzufügen aus.
  2. Konfigurieren Sie die Hostparameter (einschließlich Hostpriorität, dedizierte IP-Adressen und Lastgewicht) für die weiteren Hosts mithilfe derselben Anweisungen, die Sie zum Konfigurieren des ersten Hosts verwendet haben. Da Sie einem bereits konfigurierten Cluster Hosts hinzufügen, bleiben alle clusterweiten Parameter gleich.

Konfigurieren von DNS für die Geräteregistrierung

Melden Sie sich auf dem Domänencontroller oder der Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.
Sie benötigen den Namen des Verbunddiensts , um diese Aufgabe abzuschließen. Sie können den Namen des Verbunddiensts anzeigen, indem Sie im Aktionsbereich der AD FS-Verwaltungskonsole die Option Verbunddiensteigenschaften bearbeiten auswählen oder (Get-AdfsProperties).Hostname. (PowerShell) auf dem AD FS-Server verwenden.

  1. Öffnen der DNS-Verwaltungskonsole
  2. Erweitern Sie im Navigationsbereich den Knoten "Domänencontrollername" und "Forward Lookup Zones"
  3. Wählen Sie im Navigationsbereich den Knoten aus, der den Namen Ihres internen Active Directory-Domänennamens enthält.
  4. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Domänennamenknoten, und wählen Sie Neuer Host (A oder AAAA) aus.
  5. Geben Sie im Feld Name den Namen des Verbunddiensts ein. Geben Sie in das Feld IP-Adresse die IP-Adresse des Verbundservers ein. Wählen Sie Host hinzufügen aus.
  6. Klicken Sie mit der rechten Maustaste auf den <domain_name> Knoten, und wählen Sie Neuer Alias (CNAME) aus.
  7. Geben Sie enterpriseregistration im Dialogfeld Neuer Ressourceneintrag in das Feld Aliasname ein.
  8. Geben Sie im Feld vollqualifizierter Domänenname (FQDN) des Zielhosts ein federation_service_farm_name.<domain_name_fqdn, und wählen Sie OK aus.
  9. Schließen Sie die DNS-Verwaltungskonsole.

Hinweis

Wenn Ihre Gesamtstruktur über mehrere UPN-Suffixe verfügt, stellen Sie sicher, dass für enterpriseregistration.<upnsuffix_fqdn> jedes Suffix vorhanden ist.

Konfigurieren der Intranetzone mit eingeschlossenem Verbunddienst

Die Windows Hello-Bereitstellung stellt Webseiten über den Verbunddienst zur Verfügung. Wenn Sie die Intranetzone so konfigurieren, dass Verbunddienst eingeschlossen ist, kann der Benutzer mithilfe der integrierten Authentifizierung beim Verbunddienst authentifiziert werden. Ohne diese Einstellung wird der Benutzer bei der Herstellung der Verbindung mit dem Verbunddienst während der Windows Hello-Bereitstellung aufgefordert, sich zu authentifizieren.

Erstellen einer Gruppenrichtlinie für die Intranetzone

Melden Sie sich auf dem Domänencontroller oder der Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Domänenadministrators an:

  1. Starten der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc)
  2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinienobjekt aus.
  3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
  4. Geben Sie Intranetzoneneinstellungen in das Feld Name ein, und wählen Sie OK aus.
  5. Klicken Sie im Inhaltsbereich mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Intranetzoneneinstellungen, und wählen Sie Bearbeiten aus.
  6. Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
  7. Erweitern Sie Administrative Vorlagen > Windows-Komponente > Internet Explorer > InternetSteuerungsseite >Sicherheit. Zuweisungsliste "Site-zu-Zone" öffnen
  8. Wählen Sie Anzeigen aktivieren >aus. Geben Sie in der Spalte Wertname die URL des Verbunddiensts beginnend mit https ein. Geben Sie in der Spalte Wert die Zahl 1 ein. Wählen Sie zweimal OK aus, und schließen Sie dann den Gruppenrichtlinienverwaltungs-Editor.

Bereitstellen des Gruppenrichtlinienobjekts für die Intranetzone

  1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
  2. Erweitern Sie im Navigationsbereich die Domäne, klicken Sie mit der rechten Maustaste auf den Knoten mit Ihrem Active Directory-Domänennamen, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen... aus.
  3. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählendie Option Intranetzoneneinstellungen oder den Namen des zuvor erstellten Windows Hello for Business-Gruppenrichtlinienobjekts aus, und wählen Sie OK aus.

Überprüfen und Bereitstellen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA)

Windows Hello for Business erfordert, dass Benutzer die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ausführen, bevor sie sich beim Dienst registrieren. Lokale Bereitstellungen können als MFA-Option verwenden:

  • Atteste

    Hinweis

    Bei Verwendung dieser Option müssen die Zertifikate für die Benutzer bereitgestellt werden. Beispielsweise können Benutzer ihre Smartcard oder virtuelle Smartcard als Zertifikatauthentifizierungsoption verwenden.

  • Nicht-Microsoft-Authentifizierungsanbieter für AD FS
  • Benutzerdefinierter Authentifizierungsanbieter für AD FS

Wichtig

Ab dem 1. Juli 2019 bietet Microsoft keinen MFA-Server mehr für neue Bereitstellungen an. Neukunden, die die mehrstufige Authentifizierung von ihren Benutzern benötigen möchten, sollten die cloudbasierte Microsoft Entra Multi-Faktor-Authentifizierung verwenden. Bestandskunden, die MFA Server vor dem 1. Juli aktiviert haben, können wie gewohnt die neueste Version und zukünftige Updates herunterladen und Aktivierungsanmeldeinformationen generieren.

Informationen zu verfügbaren Nicht-Microsoft-Authentifizierungsmethoden finden Sie unter Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS. Informationen zum Erstellen einer benutzerdefinierten Authentifizierungsmethode finden Sie unter Erstellen einer benutzerdefinierten Authentifizierungsmethode für AD FS in Windows Server.

Befolgen Sie die Anleitung zur Integration und Bereitstellung des Authentifizierungsanbieters, den Sie zum Integrieren und Bereitstellen in AD FS auswählen. Stellen Sie sicher, dass der Authentifizierungsanbieter in der AD FS-Authentifizierungsrichtlinie als Option für die mehrstufige Authentifizierung ausgewählt ist. Informationen zum Konfigurieren von AD FS-Authentifizierungsrichtlinien finden Sie unter Konfigurieren von Authentifizierungsrichtlinien.

Überprüfen, um die Konfiguration zu überprüfen

Bevor Sie mit der Bereitstellung fortfahren, prüfen Sie den Bereitstellungsfortschritt, indem Sie die folgenden Elemente überprüfen:

  • Vergewissern Sie sich, dass alle AD FS-Server über ein gültiges Serverauthentifizierungszertifikat verfügen. Der Antragsteller des Zertifikats entspricht dem allgemeinen Namen (FQDN) des Hosts oder einem Platzhalternamen. Der Name des Antragstellers des Zertifikats enthält einen Platzhalter oder den FQDN des Verbunddiensts.
  • Vergewissern Sie sich, dass die AD FS-Farm über eine ausreichende Anzahl von Knoten verfügt und für die erwartete Last einen ordnungsgemäßen Lastenausgleich aufweist.
  • Vergewissern Sie sich, dass Sie den AD FS-Dienst neu gestartet haben.
  • Bestätigen Sie, dass Sie einen DNS A-Eintrag für den Verbunddienst erstellt haben und die verwendete IP-Adresse der IP-Adresse für den Lastenausgleich entspricht.
  • Vergewissern Sie sich, dass Sie die Intranetzoneneinstellungen erstellt und bereitgestellt haben, um die doppelte Authentifizierung beim Verbundserver zu verhindern.
  • Vergewissern Sie sich, dass Sie eine MFA-Lösung für AD FS bereitgestellt haben.