Active Directory.pdf - Gattner

12 Kapitel 1: Neuerungen in Active Directory für Windows Server 2008
• Webregistrierung Die Webregistrierung ermöglicht Benutzern das Verbinden mit einer Zertifizierungsstelle
über einen Webbrowser, um Zertifikate anzufordern, Zertifikatsperrlisten abzurufen
und die Zertifikatregistrierung für Smartcards durchzuführen.
• Online-Responder-Dienst Der Online-Responder-Dienst ermöglicht Clients das Überprüfen des
Sperrstatus eines digitalen Zertifikats mithilfe von OCSP (Online Certificate Status Protocol) und
nicht von Zertifikatsperrlisten. Wenn ein Client einen Zertifikatsperrstatus vom Online-Responder-Dienst
anfordert, überprüft der Server den Status des Zertifikats und sendet eine signierte Antwort
zurück, die nur die angeforderten Zertifikatstatusinformationen enthält. Bei Verwenden einer
Zertifikatsperrliste wird dagegen die gesamte Liste gesperrter Zertifikate auf den Client heruntergeladen.
• Registrierungsdienst für Netzwerkgeräte Der Registrierungsdienst für Netzwerkgeräte ermöglicht
Routern, Switches und anderen Netzwerkgeräten ohne Netzwerkkonten den Abruf von Zertifikaten.
• Unternehmens-PKI (PKIView) PKIView ist ein MMC-Snap-In in den AD CS für Windows Server
2008, das zum Überwachen und Beheben von Problemen aller Zertifizierungsstellen in einer
Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) dient. Das Snap-In PKIView
zeigt den Status aller Zertifizierungsstellen in der Umgebung grafisch an.
• Eingeschränkter Registrierungs-Agent Der eingeschränkte Registrierungs-Agent ist eine neue
Funktion unter Windows Server 2008, welche die Berechtigungen von Benutzern beschränkt, die
als „Registrierungs-Agents“ für die Registrierung von Smartcardzertifikaten im Auftrag anderer
Benutzer vorgesehen sind. Diese Funktion steht nur unter Windows Server 2008 Enterprise zur
Verfügung.
• Zertifikatbezogene Richtlinieneinstellungen In den AD CS gibt es neue zertifikatbezogene Gruppenrichtlinieneinstellungen,
die über die Konsole Gruppenrichtlinienverwaltung verwaltet werden
können: Diese Gruppenrichtlinieneinstellungen dienen folgenden Zwecken:
Bereitstellen von Zertifikaten von Zwischenzertifizierungsstellen auf Clientcomputern
Verhindern, dass Benutzer Anwendungen installieren, die mit einem nicht genehmigten
Herausgeberzertifikat signiert wurden
Konfigurieren von Netzwerkzeitlimits für große Zertifikatsperrlisten sowie eine Verlängerung
der Ablaufzeiten von Zertifikatsperrlisten
Wenn Sie in den AD CS eine Zertifizierungsstelle bereitstellen, können Sie zwischen einer Unternehmenszertifizierungsstelle
und einer eigenständigen Zertifizierungsstelle wählen. Eine Unternehmenszertifizierungsstelle
ist eng mit den AD DS integriert, weshalb Sie viele der Aufgaben für die
Registrierung und Erneuerung von Zertifikaten automatisieren können. Wenn Sie eine Unternehmenszertifizierungsstelle
bereitstellen, müssen Sie sie auf einem Computer mit Windows Server 2008
bereitstellen, der Mitglied einer AD DS-Domäne ist.
Die AD CS-Komponenten können auf einem Einzelserver bereitgestellt oder auf mehrere Server verteilt
werden. In kleinen Unternehmen können Sie alle Rollen außer dem Online-Responder-Dienst auf
einem Einzelcomputer bereitstellen, und der Online-Responder kann auf einem anderen Computer
dediziert bereitgestellt werden. In Großunternehmen mit komplexen Anforderungen an digitale Zertifikate
können Sie mehrere Zertifizierungsstellen, einschließlich untergeordneter Zertifizierungsstellen
und Online-Responder, auf getrennten Computern bereitstellen. Die Anzahl der Server, die Sie in
Ihrer Umgebung bereitstellen, hängt von der Anzahl der Variablen, einschließlich des Volumens der