Delen via

Registratieservice voor netwerkapparaten configureren voor het gebruik van een domeingebruikersaccount

Het is raadzaam om NDES te configureren om een gebruikersaccount op te geven. Hiervoor zijn extra stappen vereist. Als u de ingebouwde identiteit van de groep van toepassingen selecteert, is er geen andere configuratie vereist.

In dit artikel leert u hoe u Network Device Enrollment Service (NDES) configureert om uit te voeren als een opgegeven serviceaccount.

Met de NDES kunnen routers en andere netwerkapparaten certificaten verkrijgen op basis van het Simple Certificate Enrollment Protocol (SCEP) zonder domeinreferenties te gebruiken.

SCEP is ontwikkeld ter ondersteuning van de veilige, schaalbare uitgifte van certificaten aan netwerkapparaten met behulp van bestaande certificeringsinstanties (CA's). Het protocol biedt ondersteuning voor distributie van openbare sleutels, inschrijvings- en certificaatintrekkingsquery's voor CA en registratie-instanties.

Zie Wat is de registratieservice voor netwerkapparaten voor Active Directory Certificate Services? voor meer informatie over NDES en hoe het werkt met certificaten die zijn gebaseerd op het Simple Certificate Enrollment Protocol.

Vereiste voorwaarden

Controleer na de installatie van de NDES-functieservice voor Active Directory Certificate Services (AD CS) of u voldoet aan de volgende vereisten:

  • Heb een domeingebruikersaccount.

  • Lid zijn van de lokale IIS_IUSRS groep.

  • Verzoek om machtigingen aan te vragen bij de geconfigureerde certificeringsinstantie (CA).

  • Lees- en inschrijvingsmachtigingen hebben voor de NDES-certificaatsjabloon, die automatisch wordt geconfigureerd.

  • Als u een CNAME of netwerknaam met load balancing gebruikt, configureer dan een service-principaalnaam (SPN) in Active Directory Domain Services.

Een domeingebruikersaccount maken om te fungeren als het NDES-serviceaccount

Vervolgens moet u een gebruikersaccount voor het domein maken als NDES-serviceaccount.

  1. Meld u aan bij de domeincontroller of beheercomputer waarop Active Directory Domain Services Remote Server Administration Tools is geïnstalleerd. Open Active Directory Gebruikers en Computers met een account dat machtigingen heeft om gebruikers in het domein toe te voegen.

  2. Vouw in de consolestructuur de structuur uit totdat u de container ziet waar u het gebruikersaccount wilt maken. Sommige organisaties hebben bijvoorbeeld een Organisatie-eenheid voor dienstverleningen of een vergelijkbaar account. Klik met de rechtermuisknop op de container, selecteer Nieuw en selecteer vervolgens Gebruiker.

  3. Voer in het tekstvak Nieuw object - Gebruikerstekstvakken de juiste namen in voor alle velden, zodat u duidelijk bent dat u een gebruikersaccount maakt. Zorg ervoor dat u het beleid van uw organisatie volgt voor het maken van een serviceaccount, als er een dergelijk beleid bestaat. U kunt bijvoorbeeld het volgende invoeren en vervolgens Volgende selecteren.

    • Voornaam: Ndes

    • Achternaam: Service

    • Aanmeldingsnaam van gebruiker: NdesService

  4. Zorg ervoor dat u een complex wachtwoord voor het account instelt en bevestig het wachtwoord. Configureer de wachtwoordopties die overeenkomen met het beveiligingsbeleid van uw organisatie met betrekking tot serviceaccounts. Als het wachtwoord is geconfigureerd om te verlopen, moet u een proces hebben om ervoor te zorgen dat u het wachtwoord opnieuw instelt met de vereiste intervallen.

  5. Selecteer Volgende en vervolgens Voltooid.

Aanbeveling

  • U kunt ook de opdracht New-ADUser Windows PowerShell gebruiken om een domeingebruikersaccount toe te voegen.

  • Afhankelijk van uw AD DS-configuratie (Active Directory Domain Service), kunt u mogelijk een beheerd serviceaccount of een door een groep beheerd serviceaccount voor NDES implementeren. Zie Beheerde serviceaccounts voor meer informatie over beheerde serviceaccounts. Zie Overzicht van beheerde serviceaccounts voor groepen voor meer informatie over door groep beheerde serviceaccounts.

Het NDES-serviceaccount toevoegen aan de lokale IIS_IUSRS groep

Nadat u een domeingebruikersaccount hebt gemaakt als het NDES-serviceaccount, moet u dit NDES-serviceaccount toevoegen aan de lokale IIS_IUSRS groep.

  1. Open Computerbeheer (compmgmt.msc) op de server die als host fungeert voor de NDES-service.

  2. Vouw onder Systeemhulpprogramma's de Lokale Gebruiker en Groepen uit in de consoleboom van Computerbeheer. Selecteer Groepen.

  3. Selecteer IIS_IUSRS in het detailvenster.

  4. Selecteer Toevoegen op het tabblad Algemeen.

  5. Typ in het tekstvak Gebruikers, Computers, Serviceaccounts of Groepen, de aanmeldingsnaam van de gebruiker voor het account dat u hebt geconfigureerd als serviceaccount.

  6. Selecteer Namen controleren, selecteer twee keer OK en sluit Computerbeheer.

Aanbeveling

U kunt ook het NDES-serviceaccount aan de lokale groep IIS_IUSRS toevoegen met behulp van net localgroup IIS_IUSRS <domain>\<username> /Add. De opdrachtprompt of Windows PowerShell moet als administrator worden uitgevoerd. Zie dePowerShell-opdracht Add-LocalGroupMember] voor meer informatie.

Aanvraagmachtiging instellen voor de CA

NDES-serviceaccounts moeten toestemming aanvragen voor de CA die door NDES moet worden gebruikt.

  1. Open met een account dat machtigingen heeft om de CA te beheren de CA-console op de CA die moet worden gebruikt door NDES.

  2. Open de console van de certificeringsinstantie. Klik met de rechtermuisknop op de CA en selecteer Eigenschappen.

  3. Op het tabblad Beveiliging ziet u de accounts met machtigingen Certificaten aanvragen. Standaard heeft de groep Geverifieerde gebruikers deze machtiging. Het serviceaccount dat u hebt gemaakt, is lid van geverifieerde gebruikers wanneer het in gebruik is. U hoeft niet meer machtigingen te verlenen als geverifieerde gebruikers de machtiging Certificaten aanvragen hebben. Als dat niet het geval is, moet u het NDES-serviceaccount toestemming geven om certificaten aan te vragen bij de CA. Hiervoor doet u het volgende:

    • Selecteer Toevoegen.

    • Typ de naam van het NDES-serviceaccount in het tekstvak Gebruikers, Computers, Serviceaccounts of Groepen, selecteer Namen controleren en selecteer vervolgens OK.

    • Zorg ervoor dat het NDES-serviceaccount is geselecteerd. Zorg ervoor dat het selectievakje Toestaan dat overeenkomt met aanvraagcertificaten is ingeschakeld. Kies OK.

Controleer of het nodig is om een service-principal-naam in te stellen voor NDES

U moet een SPN (Service Principal Name) configureren in Active Directory als u een load balancer of virtuele naam gebruikt. In deze sectie leert u hoe u kunt bepalen of het nodig is om een SPN in Active Directory in te stellen.

  • Als u één NDES-server en de werkelijke hostnaam (meest voorkomende scenario) gebruikt, heeft het account geen SPN-registratie nodig. De standaard SPN's van computeraccounts voor HOST/computerFQDN behandelen dit geval. Als u alle andere standaardinstellingen gebruikt (met name rond iis-kernelmodusverificatie), kunt u verdergaan met de volgende sectie van dit artikel.

  • Als u een aangepaste A-record als hostnaam gebruikt of bij gebruik van load balancing met een virtueel IP-adres, moet een SPN worden geregistreerd voor het NDES-serviceaccount (SCEPSvc). Een SPN registreren bij het NDES-serviceaccount:

    1. Gebruik de setspn-opdrachtsyntaxis van: Setspn -s HTTP/<computerfqdn> <domainname\accountname> bij het invoeren van uw opdrachten. Uw domein is Fabrikam.combijvoorbeeld, uw NDES CNAME is NDESFARMen u gebruikt een serviceaccount met de naam SCEPSvc. In het voorbeeld voert u de volgende opdrachten uit.

      • Setspn -s HTTP/NDESFARM.fabrikam.com fabrikam\SCEPSvc
      • Setspn -s HTTP/NDESFARM fabrikam\SCEPSvc

    2. Schakel vervolgens IIS-kernelmodusverificatie voor de site uit.

Instellen van de NDES-rolservice

Nadat de installatie is voltooid, moet u enkele stappen uitvoeren om het configureren van de NDES-computer te voltooien.

Als NDES is geïnstalleerd op een CA, hebt u niet de mogelijkheid om een CA te selecteren omdat de lokale CA wordt gebruikt.

Wanneer u NDES installeert op een computer die geen CA is, moet u de doel-CA selecteren. U kunt de CA selecteren met behulp van de CA-naam of op de computernaam.

Om de CA te selecteren:

  1. Open AD CS-configuratie vanuit Serverbeheer.

  2. Selecteren op CA voor NDES

  3. Selecteer ca-naam of computernaam en selecteer vervolgens Selecteren.

  4. De optie die u kiest, bepaalt het type dialoogvenster dat hierna wordt weergegeven:

    • Als u op CA-naam hebt geklikt, wordt het dialoogvenster Certificeringsinstantie selecteren weergegeven, met een lijst met CA's waaruit u kunt kiezen.

      of

    • Als u op Computernaam heeft geklikt, ziet u het dialoogvenster Selecteer Computer waarin u de Locaties kunt instellen en de computernaam kunt invoeren die u als de CA wilt specificeren.

U bent nu klaar om de installatie van de NDES-functieservice te voltooien. De resterende stappen zijn het verifiëren van de gegevens van de registratie-instantie en het instellen van cryptografie.

  1. Ra-gegevens (Registration Authority) die u opgeeft, worden gebruikt om het handtekeningcertificaat te maken dat wordt uitgegeven aan de service. In Serverbeheer. Selecteer RA-gegevens.

  2. Controleer alle velden en controleer of de RA-gegevens juist zijn (of zijn ingesteld op de standaardwaarden).

NDES gebruikt twee certificaten en hun sleutels om apparaatinschrijving in te schakelen. Organisaties kunnen verschillende cryptografische serviceproviders (CSP's) gebruiken om deze sleutels op te slaan of de lengte wijzigen van de sleutels die door de service worden gebruikt. Alleen cryptografische CryptoAPI-serviceproviders (CryptoAPI) worden ondersteund voor de RA-sleutels: cryptografie-API; CNG-providers (Next Generation) worden niet ondersteund.

  1. Als u de cryptografie wilt configureren, selecteert u Cryptografie voor NDES in Serverbeheer.

  2. Voer de waarden in voor Signature Key Provider en/of Encryption Key Provider en bepaal de sleutellengtewaarden.

  3. Ga door met de wizard om de installatie van NDES te voltooien.

Nu u de functieservice hebt geconfigureerd, kunt u gedetailleerde informatie vinden over de NDES-configuratie en -bewerking, zie Registratieservice voor netwerkapparaten (NDES) in Active Directory Certificate Services (AD CS).

Aanbeveling

Als u configuratiewijzigingen aanbrengt voor NDES of in de certificaatsjablonen die door NDES worden gebruikt, moet u NDES, IIS en de CA-service stoppen en opnieuw starten.

Volgende stappen