Active Directory.pdf - Gattner

Zusätzliche Active Directory-Dienstrollen 13
Zertifikatanforderungen, der Anzahl und dem Standort von Zertifizierungsstellen und den Anwendungen
ab, die Zertifikate im Unternehmen benötigen. Zu diesen Anwendungen zählen S/MIME
(Secure/Multipurpose Internet Mail Extensions), sichere Drahtlosnetzwerke, VPN (virtuelle private
Netzwerke), IPsec (Internet Protocol Security), EFS (Encrypting File System), SmartCard-Anmeldung,
SSL/TLS (Secure Socket Layer/Transport Layer Security) und digitale Signaturen.
Um die Flexibilität der PKI in Ihrem Unternehmen zu steigern, können einzelne oder mehrere Online-
Responder bereitgestellt werden. Mehrere Online-Responder können zur Unterstützung einer oder
mehrerer Zertifizierungsstellen bereitgestellt werden. Ein einzelner Online-Responder kann aber auch
mehrere Zertifizierungsstellen unterstützen. Zur Erhöhung der Fehlertoleranz und zur Unterstützung
von Remote-Zertifikatsperranforderungen (Zweigstellenszenarien) können Online-Responder als
Array bereitgestellt werden. Ein Mitglied des Arrays muss als Arraycontroller definiert werden.
Wenngleich jeder Online-Responder in einem Array unabhängig konfiguriert und verwaltet werden
kann, setzen bei einem Konflikt die Konfigurationsinformationen des Arraycontrollers die für andere
Arraymitglieder festgelegten Konfigurationsoptionen außer Kraft.
Active Directory-Verbunddienste
Die Active Directory-Verbunddienste (AD FS) sind eine Serverrolle im Betriebssystem Windows Server
2008, die zum Ausdehnen der Kontoauthentifizierungsfunktionen der AD DS über die Grenzen
einer AD FS-Gesamtstruktur hinaus auf mehreren Plattformen dient, einschließlich Windows- und
Nicht-Windows-Umgebungen. Die AD FS eignen sich gut für Anwendungen mit Schnittstelle zum
Internet oder beliebige Umgebungen, in denen ein einzelnes Benutzerkonto Zugriff auf Ressourcen
in verschiedenen Netzwerken benötigt. In diesen Szenarien werden Benutzer ggf. zur Eingabe von
Anmeldeinformationen aufgefordert, wenn sie versuchen, auf eine Anwendung zuzugreifen, die eine
andere Authentifizierungsquelle verwendet (z.B. in einem anderen Unternehmen oder einer anderen
Gesamtstruktur, z.B. einer Umkreisnetzwerk-Gesamtstruktur im selben Unternehmen).
Bei Implementierung der AD FS können Sie eine Verbundvertrauensstellung zwischen zwei verschiedenen
Unternehmen oder Gesamtstrukturen einrichten. Diese Verbundvertrauensstellung ermöglicht
Benutzern das Verwenden der Sicherheitsberechtigungen in ihrer eigenen Gesamtstruktur für den
Zugriff auf eine Anwendung in einer Umgebung außerhalb ihrer Gesamtstruktur. Die Verbundvertrauensstellung
wird zwischen Ressourcenorganisationen (d.h. Organisationen, die Ressourcen und
Anwendungen besitzen und verwalten, auf die über das Internet oder andere Netzwerke zugegriffen
werden kann) und Kontoorganisationen eingerichtet (d.h. Organisationen, welche die Benutzerkonten
besitzen und verwalten, denen Zugriff auf die Ressourcen in den Ressourcenorganisationen gewährt
wird). In diesem Szenario bieten die AD FS einen Zugriff per einmaliger Anmeldung an Ressourcen
in der Ressourcenorganisation für Benutzer, die in der Kontoorganisation authentifiziert wurden. Die
einmalige Anmeldung ermöglicht Benutzern die Anmeldung am lokalen Netzwerk und den Empfang
eines Sicherheitstokens, das einen Zugriff auf Ressourcen in verschiedenen Netzwerken gewährt, die
so konfiguriert wurden, dass sie diesen Konten vertrauen. Selbst in einer einzelnen Organisation mit
getrennten Netzwerken und Sicherheitsgrenzen können Benutzer in den Genuss der einmaligen
Anmeldung für den Zugriff auf alle gewünschten Netzwerkressourcen kommen. Die AD FS eignen
sich sowohl innerhalb großer Unternehmen mit getrennten Ressourcen- und Kontoorganisationen als
auch außerhalb der Firewall. Die AD FS können in das Internet ausgedehnt werden, um Zugriffsanforderungen
von Benutzern zu unterstützen, die über einen Webbrowser auf Ressourcen zugreifen.