Auf dieser SeiteZielsetzung| • | Konfigurieren von digitalen Zertifikaten für sichere LDAP- und SMTP-Replikation auf Domänencontrollern. |
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien: | • | Microsoft Windows 2000 als Betriebssystem |
ZusammenfassungIn diesem Modul wird Ihnen das Konfigurieren von digitalen Zertifikaten für sichere LDAP- und SMTP-Replikation auf Domänencontrollern vorgestellt. Erforderliche VorkenntnisseDie digitalen Zertifikate können für Domänencontroller von jeder Stammzertifizierungsstelle (Certificate Authority oder CA) ausgestellt werden, die die Formatanforderungen für Zertifikate erfüllt. Eine Möglichkeit für das Ausstellen von ordnungsgemäß formatierten, digitalen Zertifikaten ist die Konfiguration einer Microsoft Windows 2000-Enterprise CA (das heißt, eine in Microsoft Active Directory registrierte Zertifizierungsstelle) um dort die Zertifikate für die Domänencontroller zu erstellen. Es sprechen zwei gute Gründe für digitale Zertifikate auf Domänencontrollern unter Windows 2000 oder späteren Versionen: gesicherte SMTP-Replikation (Simple Mail Transfer Protocol) und gesicherte LDAP-Transaktionen. (Lightweight Directory Access Protocol). Digitale Zertifikate für die SMTP-ReplikationActive Directory repliziert Verzeichnisinformationen zwischen Domänencontrollern über zwei Protokolle: das standardmäßige RPC- (Remote Procedure Call) sowie das SMTP-Protokoll. Die Replikation über das RPC-Protokoll eignet sich für die meisten Unternehmensumgebungen. Dagegen ist die SMTP-Replikation besonders für den Einsatz unter Active Directory-Standorten geeignet, deren Verbindung unter hoher Latenz leiden, oder über niedrige Bandbreite verfügen. Da SMTP ein unverschlüsseltes Protokoll ist und die Informationen der Verzeichnisreplikation als vertrauliche Informationen angesehen werden, kann die SMTP-Replikation (je nach Entwurf) nur gestartet werden, wenn der Domänencontroller den SMTP-Verkehr über das Netzwerk verschlüsselt. Die gewählte Methode für die Verschlüsselung ist die Verwendung des S/MIME-Protokolls (Secure/MIME), das eine Version des MIME-Protokolls (Multipurpose Internet Mail Extensions) für die Verschlüsselung von Nachrichten bildet. In Windows 2000 sind digitale Zertifikate auf jedem Domänencontroller erforderlich, da die Replikation in beide Richtungen über eine Replikationsverknüpfung auftritt. Alle für die SMTP-Replikation angemeldeten Domänencontroller sollten für ein Domänencontrollerzertifikat registriert sein. Jeder SMTP-Replikationspartner ist in dem MMC-Snap-In (Microsoft Management Console) für Active Directory-Standorte und -Dienste individuell konfiguriert. Auf diese Weise sind die Domänencontroller leicht zu identifizieren, die Zertifikate erfordern. Es ist jedoch in den meisten Fällen am Einfachsten, wenn Sie für alle Domänencontroller Zertifikate ausstellen. Dies gilt besonders beim Einsatz von Active Directory-Gruppenrichtlinien, die das Feature für die automatische Registrierung verwenden, um alle Mitglieder der Organisationseinheit der Domänencontroller zu registrieren. Sobald alle Domänencontroller für digitale Zertifikate registriert worden sind, wird die SMTP-Replikation automatisch von jedem Domänencontroller aufgerufen, der für die bevorzugte Verwendung der SMTP-Replikation über das Internetprotokoll eingerichtet ist. Digitale Zertifikate für das sichere LDAP-ProtokollDie Windows 2000-Domänencontroller unterstützen das LDAP-Protokoll über den TCP-Port 389, das unverschlüsselt über das Netzwerk gesendet wird. Die Domänencontroller unterstützen außerdem die SSL-Verschlüsselung (Secure Sockets Layer) des LDAP-Protokolls über den TCP-Port 636, um die LDAP-Authentifizierung sowie die LDAP-Datenanforderungen und Antworten zu verschlüsseln. Dies ist häufig bei LDAP-Anwendungen für Unternehmen gefordert, da die von LDAP-Anwendungen über das Netzwerk übertragenen Informationen in vielen Fällen vertraulich sind. Diese Informationen beinhalten nicht nur LDAP-Anforderungsdaten/-Antwortdaten, sondern auch die Authentifizierungs-IDs und -Kennwörter. Bevor jedoch die SSL-Verschlüsselung für LDAP-Anforderungen aktiviert werden kann, muss für den Domänencontroller ein bestimmtes digitales Zertifikat installiert werden. Dieses digitale Zertifikat muss ordnungsgemäß formatiert sein, um eine fehlerfreie Ausführung der LDAP-Anwendungen zu gewährleisten. Es sollten alle Domänencontroller für ein Domänencontrollerzertifikat registriert werden, die SSL-Verbindungen aufbauen. Für einige LDAP-Anwendungen ist das Senden von LDAP-Anforderungen an einen einzigen LDAP-Server festgelegt, daher führen diese Anwendungen immer Anforderungen des gleichen Domänencontrollers aus. Andere LDAP-Anwendungen verwenden möglicherweise Active Directory. Aus diesem Grund kann jeder Domänencontroller in einer Domäne oder Gesamtstruktur SSL-Anforderungen für das LDAP-Protokoll erhalten. Registrieren Sie alle Domänencontroller für Domänencontrollerzertifikate, um den größten Bereich von LDAP-Anwendungsszenarien zu unterstützen. Zum Schluss müssen die LDAP-Anwendungen für die Anforderung von SSL-Verbindungen konfiguriert werden, sobald die Domänencontroller für die Ausführung von SSL-Verbindungen vorbereitet sind. Die Domänencontroller können SSL-Verbindungen für eingehende LDAP-Anforderungen nicht erzwingen. Sie können jedoch für dieUnterstützungder SSL-Verschlüsselung bei den Anwendungen konfiguriert werden, die diese Verschlüsselunganfordern. Installieren und Konfigurieren der Infrastruktur für DomänencontrollerzertifikateInstallieren der Enterprise-CAZunächst sollten Sie eine Enterprise-CA in Ihrer Gesamtstruktur installieren und sich vergewissern, dass die Vorlage Domänencontroller aktiviert ist. Falls Sie in der Active Directory-Gesamtstruktur noch keine Enterprise-CA installiert haben, installieren Sie eine Enterprise-CA auf einem Windows 2000-Server in einer der Domänen in der Active Directory-Gesamtstruktur. Weitere Informationen über das Installieren einer Unternehmenszertifizierungsstelle finden Sie im englischsprachigen Dokument "Step-by-Step Guide to Setting Up a Certification Authority" unter:http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp. Überprüfen der Verfügbarkeit der Domänencontroller-ZertifikatvorlageÜberprüfen Sie unter Verwendung der folgenden Schritte, ob die Zertifikatvorlage des Domänencontrollers verfügbar ist. | • | So überprüfen Sie, ob die Zertifikatvorlage des Domänencontrollers verfügbar ist 1. | Öffnen Sie das Zertifizierungsstellen-MMC-Snap-Inauf dem Server. | 2. | Doppelklicken Sie auf den Namen Ihrer Zertifizierungsstelle (zum Beispiel Stammzertifizierungsstelle des Unternehmens Contoso), und klicken Sie dann auf den Ordner Richtlinieneinstellungen. | 3. | Überprüfen Sie, ob Domänencontroller im rechten Fensterbereich aufgeführt wird. |
|
Konfigurieren der automatischen VerteilungAls Nächstes müssen Sie die automatische Verteilung über Gruppenrichtlinien für jede Domäne konfigurieren. | • | So konfigurieren Sie in der Gruppenrichtlinie die automatische Verteilung für jede Domäne 1. | Öffnen mithilfe des Gruppenrichtlinien-Editors die Standard-Domänencontrollerrichtlinie von jeder Domäne, für die die automatische Registrierung von Domänencontrollerzertifikaten aktiviert werden soll. | 2. | Klicken Sie unter Computerkonfiguration auf Windows-Einstellungen. | 3. | Klicken Sie auf Sicherheitseinstellungen und anschließend auf Richtlinien öffentlicher Schlüssel. | 4. | Klicken Sie auf Einstellungen für die automatische Zertifikatsanforderung. | 5. | Klicken Sie mit der rechten Maustaste auf den Ordner Einstellungen für die automatische Zertifikatsanforderung, wählen Sie im Kontextmenü Neu, und klicken Sie anschließend auf Automatische Zertifikatsanforderung. | 6. | Der Setup-Assistent für die automatische Zertifikatsanforderung wird gestartet. Klicken Sie auf Weiter. | 7. | Wählen Sie die Zertifikatsvorlage aus, die in der Anforderung verwendet werden soll. Wählen Sie in diesem Beispiel Domänencontroller aus, und klicken Sie dann auf Weiter. | 8. | Wählen Sie die Zertifizierungsstelle auf der Windows 2000-Domäne, um die Zertifikatsanforderung zu senden. (Wählen Sie in diesem Beispiel die Stammzertifizierungsstelle des Unternehmens. Ein Unternehmen kann über mehrere Zertifizierungsstellen verfügen.) Klicken Sie auf Weiter. Hinweis: Wenn Zertifizierungsstellen nicht in Active Directory registriert sind, werden sie in der Liste nicht als Unternehmenszertifizierungsstellen angezeigt. | 9. | Klicken Sie auf Fertig stellen, um die automatische Zertifikatsanforderung zu erstellen. Die Anforderung für das Zertifikat wird ausgeführt, wenn das Gruppenrichtlinienobjekt (GPO) auf den Domänencontrollern aktualisiert wird. |
|
Zuweisen von Berechtigungen für die ZertifikatsregistrierungZum Schluss müssen Sie jeder Sicherheitsgruppe der Domänencontroller der Domäne die Berechtigung gewähren, sich für die Domänencontrollerzertifikate zu registrieren. | • | So gewähren Sie Domänencontrollergruppen die Berechtigung, sich für Domänencontrollerzertifikate zu registrieren 1. | Starten Sie das Snap-In für Active Directory-Sites und -Dienste. | 2. | Klicken Sie auf das Menü Ansicht und anschließend auf Dienstknoten anzeigen. | 3. | Doppelklicken Sie auf den Knoten Dienste und den Knoten Public Key Services und anschließend auf Zertifikatvorlagen. | 4. | Doppelklicken Sie auf Domänencontroller, dann auf Eigenschaften, und wählen Sie dann die Registerkarte Sicherheit. Hinweis: Die Domänencontrollergruppe in der Domäne der Zertifizierungsstelle weist bereits die Berechtigung Registrieren für diese Vorlage auf. Sie müssen die Berechtigung Registrieren allen anderen Domänencontrollergruppen aus anderen Domänen in der Gesamtstruktur gewähren. Andernfalls verfügen diese Domänencontroller nicht über die Berechtigung, die Zertifikate Domänencontroller erfolgreich anzufordern, und deren automatische Registrierung schlägt fehl. | 5. | Klicken Sie für jede Domänencontrollergruppe aus jeder Domäne auf die Schaltfläche Hinzufügen, wählen Sie die Domäne in der Dropdown-Liste Suchen in, wählen Sie die Gruppe Domänencontroller in dieser Domäne, klicken Sie auf die Schaltfläche Hinzufügen, und klicken Sie anschließend auf OK. |
|
Prüfen von digitalen Zertifikaten für das LDAP- oder SMTP-ProtokollPrüfen von LDAP-Anwendungen, die Verbindungen über SSL aufbauenSobald die Domänencontroller SSL-Verbindungen für LDAP-Anforderungen akzeptieren, muss jede LDAP-Anwendung für die standardmäßige SSL-Kommunikation (TCP port 636) neu konfiguriert werden. In diesem Beispiel bildet das Adressbuch von Microsoft Outlook Express die LDAP-Anwendung. Outlook Express ist auf einer Windows 2000-Arbeitsstation installiert, die nicht Teil der Active Directory-Gesamtstruktur ist. Dieses Beispiel soll das Konfigurieren des Clients verdeutlichen, damit dieser der Zertifizierungsstelle vertraut, die die Domänencontrollerzertifikate ausgestellt hat. Konfigurieren des AdressbuchsDies kann nur durchgeführt werden, wenn für den Domänencontroller von einer Zertifizierungsstelle ebenfalls ein Zertifikat ausgestellt wurde, dem Ihr Client vertraut. Gehen Sie folgendermaßen vor, um die ordnungsgemäße Ausführung des Domänencontrollerzertifikats zu überprüfen. | • | So überprüfen Sie, ob das Domänencontrollerzertifikat ordnungsgemäß ausgeführt wird 1. | Wenn Sie die erforderlichen Zertifikate auf den Domänencontrollern installiert haben, klicken Sie auf Start, zeigen Sie auf Suchen, und klicken Sie dann auf Nach Personen. | 2. | Klicken Sie im Dropdown-Listenfeld Suchen in auf Active Directory. | 3. | Klicken Sie mit der rechten Maustaste auf Active Directory, und klicken Sie dann auf Eigenschaften. | 4. | Geben Sie im Dialogfeld Active Directory-Eigenschaften in das Feld Suchname den vollqualifizierten Domänennamen des Domänencontrollers ein, mit dem Sie sich verbinden möchten. Zum Beispiel: CDC-01.NORDAMERIKA.CONTOSO.COM.
Wenn Sie bei einem Domänencontroller mit der Berechtigung zum Durchsuchen von Active Directory angemeldet sind, können Sie diesen Schritt überspringen. Geben Sie andernfalls Benutzerinformationen für diesen Domänencontroller in die Felder Konto und Kennwort ein. Beispiel: Konto: Domänenname\Benutzername Kennwort: Kennwort Hinweis: Der Domänenname ist der Name der Domäne, auf der sich das Konto befindet. Der Benutzername ist das Konto, das Sie zur Anmeldung verwenden. Das Kennwort muss das Kennwort für das von Ihnen verwendete Konto sein. | 5. | Nachdem Sie den Domänencontroller und die entsprechenden Informationen eingegeben haben, klicken Sie auf die Registerkarte Erweitert, und legen Sie anschließend SSL-Verbindung für LDAPfest (der Port muss auf 636 gesetzt werden). | 6. | Wählen Sie eine für Ihre Active Directory-Struktur geeignete Suchbasis, zum Beispiel CN=Benutzer,DC=CDC-01,DC=Nordamerika,DC=Unternehmen,DC=Contoso,DC=com. | 7. | Klicken Sie zum Schließen des Dialogfelds Active Directory-Eigenschaften auf OK. |
|
Suchen nach Personen in Active DirectoryVerwenden Sie die folgenden Schritte, um nach Personen in Active Directory zu suchen. | • | So suchen Sie nach Personen in Active Directory 1. | Klicken Sie im Dialogfeld Personen suchen im Dropdown-Listenfeld Suchen in auf Active Directory. | 2. | Klicken Sie auf die Registerkarte Erweitert. | 3. | Wählen Sie im Bereich Kriterien definieren die folgenden Kriterien für die Suche: NAME enthält Administrator | 4. | Klicken Sie auf Hinzufügen, und klicken Sie anschließend auf Suche starten. |
|
Konfigurieren der SMTP-ReplikationWenn Sie die SMTP-Replikation noch nicht konfiguriert haben, weil diese zum Beispiel Domänencontrollerzertifikate auf den replizierenden Domänencontrollern erfordert, müssen Sie die Verknüpfung des SMTP-Replikationsstandorts zwischen den Domänencontrollern einrichten, die diese Replikation erfordern. Weitere Informationen über das Konfigurieren der SMTP-Replikation finden Sie im englischsprachigen Handbuch "Step-by-Step Guide to Setting up ISM-SMTP Replication," unter:http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/ismsmtp.asp | • | So konfigurieren Sie die SMTP-Replikation 1. | Starten Sie das Snap-In für Active Directory-Sites und -Dienste als Benutzer mit Berechtigungen für das Erstellen von Standortverknüpfungen (und optional Subnetzen) und das Verschieben von Domänencontrollern zwischen Standorten. | 2. | Erstellen Sie einen neuen Standort, zum Beispiel im Contoso-Szenario, in dem der Standort Boston erstellt wurde. Klicken Sie mit der rechten Maustaste auf den Ordner Standorte, und klicken Sie dann auf Neuer Standort. Geben Sie in das Feld Name einen Namen für den Standort ein (zum Beispiel Boston), und wählen Sie dann ein Standortverknüpfungsobjekt aus der Liste unten aus (zum Beispiel die Verknüpfung DEFAULTIPSITELINK). | 3. | Klicken Sie auf OK. | 4. | Doppelklicken Sie im linken Fenster auf den Ordner Transporte zwischen Standorten, klicken Sie mit der rechten Maustaste auf das Objekt SMTP, und klicken Sie anschließend auf Neue Standortverknüpfung. | 5. | Geben Sie im Feld Name den Namen dieser Standortverknüpfung ein (zum Beispiel Standortverknüpfung Ostküste). | 6. | Wählen Sie mindestens zwei Standorte, die über diese Standortverknüpfung repliziert werden (zum Beispiel Boston und Standardname des ersten Standorts), und klicken Sie dann auf OK. |
|
Überprüfen der ObjektverbindungenVerwenden Sie die folgenden Schritte, um Objektverbindungen zu überprüfen. | • | So überprüfen Sie Objektverbindungen 1. | Doppelklicken Sie auf jedes Serverobjekt, um ein NTDS-Einstellungsobjekt für jedes Serverobjekt anzugeben. | 2. | Wählen Sie jedes NTDS-Einstellungsobjekt aus, und stellen Sie sicher, dass jedem NTDS-Einstellungsobjekt ein NTDS-Verbindungsobjekt untergeordnet ist. | • | Wenn keine Verbindungsobjekte unter jedem NTDS-Einstellungsobjekt angezeigt werden, klicken Sie mit der rechten Maustaste auf jedes NTDS-Einstellungsobjekt, wählen Sie Alle Aufgaben, und klicken Sie anschließend auf Replikationstopologie überprüfen. Diese Aktion zwingt die Konsistenzprüfung (Knowledge Consistency Checker oder KCC) zur Überprüfung der Replikationstopologie, wobei ein Verbindungsobjekt zwischen den beiden Domänencontrollern erstellt wird. |
| 3. | Erzwingen Sie Replikation zwischen beiden Domänencontrollern. Klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt, das jedem NTDS-Einstellungsobjekt untergeordnet ist, und klicken Sie anschließend auf Jetzt replizieren. | 4. | Aktualisieren Sie die Ansicht, indem Sie die Taste F5 drücken, oder mit der rechten Maustaste auf das NTDS-Einstellungsobjekt klicken und Aktualisieren auswählen. Jetzt sollte ein Verbindungsobjekt angezeigt werden. |
|
Festlegen der Priorität für SMTP-Verknüpfung über IP-VerknüpfungVerwenden Sie die folgenden Schritte, um die Priorität für die SMTP-Verknüpfung über die IP-Verknüpfung festzulegen. | • | So legen Sie die Priorität für die SMTP-Verknüpfung über die IP-Verknüpfung fest 1. | Wählen Sie SMTP im Container Transporte zwischen Standorten. | 2. | Wählen Sie im Ergebnisfenster das zu konfigurierende Verknüpfungsobjekt (das heißt das Objekt Standortverknüpfung Ostküste). Klicken Sie mit der rechten Maustaste auf dieses Objekt, und klicken Sie anschließend auf Eigenschaften. Hinweis: Die Kosten dieser Standortverknüpfung betragen 100, was ebenfalls den Standardkosten für jede Standortverknüpfung entspricht. Damit die Konsistenzprüfung die SMTP-Standortverknüpfung über die IP-Standortverknüpfung bevorzugt, müssen Sie niedrigere Kosten für die Standortverknüpfung (das Objekt Standard-SMTP-Standortverknüpfung) festlegen. | 3. | Ändern Sie die Kosten des Objekts Standard-SMTP-Standortverknüpfung auf 50, und klicken Sie dann auf OK. (Die Kosten des Objekts DEFAULTIPSITELINK können bei Bedarf geändert werden, so dass diese über 50 liegen.) | 4. | Um die Replikation zwischen beiden Domänencontrollern zu erzwingen, klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt, das jedem NTDS-Einstellungsobjekt untergeordnet ist, und klicken Sie anschließend auf Jetzt replizieren. |
|
Anforderungen an ein DomänencontrollerzertifikatUm die LDAP- oder SMTP-Active Directory-Replikation zwischen Standorten zu unterstützen, müssen Sie auf dem Domänencontroller ein Zertifikat installieren, dass die folgenden Anforderungen erfüllt: | • | Das digitale Zertifikat befindet sich im persönlichen Zertifikatspeicher des lokalen Computers (In Programmen wird dieser Speicher als eigener Zertifikatspeicher des Computers bezeichnet). | | • | Ein privater, mit dem Zertifikat übereinstimmender Schlüssel befindet sich im lokalen Speicher des Computers und ist dem Zertifikat ordnungsgemäß zugeordnet. Für den privaten Schlüssel darfkeine verstärkte Sicherheit für den privaten Schlüssel aktiviert sein. | | • | Die Erweiterung in dem digitalen Zertifikat für eine erweiterte Verwendung des Schlüssels umfasst die Objekt-ID (auch als OID bezeichnet) der Serverauthentifizierung (1.3.6.1.5.5.7.3.1). | | • | Der vollqualifizierte Domänenname in Active Directory (zum Beispiel C01.DOMAIN.COM) des Domänencontrollers muss an den folgenden Stellen angezeigt werden: | • | Im gemeinsamen Namen (CN) im Feld Betreff. | | • | Im DNS-Eintrag (Domain Name System) in der Namenserweiterung der Betreffalternative. |
| | • | Das Zertifikat muss von einer Zertifizierungsstelle ausgestellt werden, der die Domänencontroller und die sicheren LDAP-Clients vertrauen. Das Vertrauen der Stammzertifizierungsstelle, die das zu signierende Zertifikat für die ausstellende Zertifizierungsstelle ausstellt, wird über das Konfigurieren der Clients und des Servers erreicht. |
Weitere InformationenSiehe auch Microsoft Knowledge Base-Artikel 321051 "Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle". Siehe auch Microsoft Knowledge Base-Artikel 247078 "Aktivieren von Secure Socket Layer (SSL)-Verbindungen über LDAP". Siehe auch Microsoft Knowledge Base-Artikel 296975 (englischsprachig) "Unable to Connect to a Domain Controller by Using LDAP Connection over SSL". Siehe auch Microsoft Knowledge Base-Artikel 319970 (englischsprachig)"How to Use the Address Book to Test SSL Connectivity". Siehe auch Microsoft Knowledge Base-Artikel 222962 "Microsoft Certificate Authority Is Required to Perform Inter-Site SMTP".
| |
