Windows AD Certificate Authority – Cross Forest Deployment
Besitzt man mehrere Active-Directory Forests und möchte alle mithilfe von einer Windows Certificate Authority (CA) mit Zertifikaten versorgen, kann ein Cross-Forest Deployment in Betracht gezogen werden. Hierbei steht die Zertifizierungsstelle im Haupt-Forest (oder auch Resource-Forest) und alle weiteren Domänen (Account-Forests) greifen via LDAP darauf zu.
Folgendermaßen sieht unser Aufbau aus (mit der Ausnahme, dass wir keine eigenständige Root-CA besitzen):
Da dieser Artikel relativ umfassend ist, erstreckt er sich über insgesamt 3 Seiten.
Windows CA Testaufbau
Unser Testaufbau besteht aus zwei AD Forests und insgesamt 3 virtuellen Maschinen, darunter:
| Name | Domäne | Funktion | OS |
| resource-dc01 | resource.local | Domain Controller
Certificate Authority |
Windows Server 2019 Standard |
| account-dc01 | account.local | Domain Controller | Windows Server 2019 Standard |
| account-client01 | account.local | Client | Windows Server 2019 Standard |
Die VMs wurden zuvor grundinstalliert und auf den beiden DCs jeweils ein AD-Forest angelegt. Die zwei Active Directory Domänen sind von einander unabhängig und befinden sich in keinem Forest Trust. Die VM „account-client01“ ist als Member der „account.local“ beigetreten.
Erstellen des Two-Way Forest Trusts
DNS Stubzone anlegen
Damit wir einen Forest Trust aufbauen können, müssen wir zuvor sicherstellen, dass sich die beiden Domänen mittels DNS auflösen lassen. Hierbei kommt uns die Stubzone zu gute. Eine Stubzone dient dabei als einfache Möglichkeit, DNS Anfragen an einen dafür zuständigen Server weiterzuleiten. Dabei ähnelt das sehr einer sekundären DNS Zone mit dem einfachen Unterschied, dass der jeweilige DNS Server nicht die gesamte Zone hostet, sondern nur die NS- und SOA-Einträge des gegenüberliegenden Master DNS Servers. Die Stubzonen müssen in beiden AD-Domänen angelegt werden. Exemplarisch zeige ich es am Domain Controller „account-dc01„.
Wir öffnen den DNS-Manager und erstellen eine neue Zone im „Forward Lookup Zones“ Ordner.
Wählen als Typ die zuvor angesprochene „Stub Zone“ aus.
Tragen die Domäne der jeweiligen Active Directory Domain ein.
Falls die Domäne mehrere Domain Controller besitzt, können hier auch weitere IP Adressen eingetragen werden.
Nachdem die Zone erstellt wurde, sollten nach wenigen Minuten bereits folgende Einträge ersichtlich sein.
Außerdem solltest du bereits in der Lage sein, die jeweilige Domäne zu pingen.
Diese Schritte wiederholst du anschließend auf der Partner Domäne und stellst sicher, dass beide Domains die jeweilige andere Domain via DNS auflösen kann.
Trust erstellen
Nachdem die beiden Stub-Zonen erfolgreich angelegt wurden, können wir nun den Two-Way Trust einrichten. Im folgenden Beispiel wird der Trust auf Seiten der „account.local“ am „account-dc01“ angelegt. Es schadelt allerdings nicht, wenn man auch im „resource.local“ das Domains and Trust MMC aufruft und prüft, ob auch dort der Trust erfolgreich angelegt wurde.
Wir öffnen das MMC „Active Directory Domains and Trusts“ über den Server-Manager und wechseln in das Einstellungsverzeichnis.
Im Reiter „Trusts“ erstellen wir mit dem Button „New Trust“ eine neue Vertrauensstelle.
Tragen die gegenüberliegende Domäne ein.
Erstellen einen „Forest Trust„.
Wählen als Direction den „Two-Way“ Trust aus.
An dieser Stelle können wir auswählen, ob wir den Trust auf der gegenüberliegenden Seite ebenfalls automatisch mit erstellen möchten. Falls wir administrative Zugangsdaten der anderen Domäne besitzen, ist das empfehlenswert. Ansonsten müssen diese Schritte ebenfalls in der „resource.local“ Domäne ausgeführt werden.
Da wir die automatisierte Erstellung ausgewählt haben, müssen wir nun die Zugangsdaten der „resource.local“ angeben.
Wählen als Authentifizierungstyp die „Forest-wide Authentication“ aus. Wenn ihr jedoch auf die „Selective Authentication“ setzen möchtet, ist das grundsätzlich auch möglich. Dafür müssen aber anschließend zusätzliche Berechtigungen vergeben werden, welche im Abschnitt „Forest Berechtigungen vergeben“ näher erläutert werden.
Und beenden den Wizard und möchten keinen Test durchführen.
Hat man die automatisierte Variante ausgewählt, wurde der Trust auf der anderen Domäne ebenfalls erstellt. Als abschließenden Check schadet es allerdings nicht, wenn man das MMC „AD Domains and Trust“ öffnet und prüft, ob beide Vertrauensstellungen erfolgreich angelegt wurden.
Forest Berechtigungen vergeben
Sollten wir beim erstellen des Trusts statt der Option „Forest-wide Authentication“ die Variante „Selective Authentication“ gewählt haben, müssen wir nun noch explizit Berechtigungen innerhalb der Domänen vergeben. Ansonsten kann dieser Teil getrost übersprungen werden.
Die Gruppe „Domain Member“ und „Domain Computer“ aller Account-Forests müssen die Berechtigungen „Allow to Authenticate“ auf das Enterprise CA Computer Objekt besitzen.
Das Enterprise CA Computer Objekt des Resource-Forests benötigt „Allow to Authenticate“ Berechtigungen auf jeden Domain Controller in allen Account-Forests.
Auf der nächsten Seite beschäftigen wir uns mit der Installation der Windows CA (Certificate Authority).
Wie um alles in der Welt fügt man der Gruppe „Zertifikatsherausgeber“ (Global Security) einen Account aus einer trusted Domain hinzu? Das geht nur bei einer Domain local!
Bei der „Zertifikatsherausgeber“ Gruppe handelt es sich allerdings um eine „Domain local“ Sicherheitsgruppe. Somit sollte das eigentlich kein Problem sein.