Windows AD Certificate Authority – Cross Forest Deployment

Besitzt man mehrere Active-Directory Forests und möchte alle mithilfe von einer Windows Certificate Authority (CA) mit Zertifikaten versorgen, kann ein Cross-Forest Deployment in Betracht gezogen werden. Hierbei steht die Zertifizierungsstelle im Haupt-Forest (oder auch Resource-Forest) und alle weiteren Domänen (Account-Forests) greifen via LDAP darauf zu.

Folgendermaßen sieht unser Aufbau aus (mit der Ausnahme, dass wir keine eigenständige Root-CA besitzen):

 

 

Da dieser Artikel relativ umfassend ist, erstreckt er sich über insgesamt 3 Seiten.

 

Windows CA Testaufbau

Unser Testaufbau besteht aus zwei AD Forests und insgesamt 3 virtuellen Maschinen, darunter:

Name Domäne Funktion OS
resource-dc01 resource.local Domain Controller

Certificate Authority

Windows Server 2019 Standard
account-dc01 account.local Domain Controller Windows Server 2019 Standard
account-client01 account.local Client Windows Server 2019 Standard

Die VMs wurden zuvor grundinstalliert und auf den beiden DCs jeweils ein AD-Forest angelegt. Die zwei Active Directory Domänen sind von einander unabhängig und befinden sich in keinem Forest Trust. Die VM „account-client01“ ist als Member der „account.local“ beigetreten.

 

Erstellen des Two-Way Forest Trusts

DNS Stubzone anlegen

Damit wir einen Forest Trust aufbauen können, müssen wir zuvor sicherstellen, dass sich die beiden Domänen mittels DNS auflösen lassen. Hierbei kommt uns die Stubzone zu gute. Eine Stubzone dient dabei als einfache Möglichkeit, DNS Anfragen an einen dafür zuständigen Server weiterzuleiten. Dabei ähnelt das sehr einer sekundären DNS Zone mit dem einfachen Unterschied, dass der jeweilige DNS Server nicht die gesamte Zone hostet, sondern nur die NS- und SOA-Einträge des gegenüberliegenden Master DNS Servers. Die Stubzonen müssen in beiden AD-Domänen angelegt werden. Exemplarisch zeige ich es am Domain Controller „account-dc01„.

Anleitung - DNS Stubzone erstellen

Wir öffnen den DNS-Manager und erstellen eine neue Zone im „Forward Lookup Zones“ Ordner.

 

Wählen als Typ die zuvor angesprochene „Stub Zone“ aus.

 

Tragen die Domäne der jeweiligen Active Directory Domain ein.

 

Falls die Domäne mehrere Domain Controller besitzt, können hier auch weitere IP Adressen eingetragen werden.

 

Nachdem die Zone erstellt wurde, sollten nach wenigen Minuten bereits folgende Einträge ersichtlich sein.

 

Außerdem solltest du bereits in der Lage sein, die jeweilige Domäne zu pingen.

 

Diese Schritte wiederholst du anschließend auf der Partner Domäne und stellst sicher, dass beide Domains die jeweilige andere Domain via DNS auflösen kann.

 

Trust erstellen

Nachdem die beiden Stub-Zonen erfolgreich angelegt wurden, können wir nun den Two-Way Trust einrichten. Im folgenden Beispiel wird der Trust auf Seiten der „account.local“ am „account-dc01“ angelegt. Es schadelt allerdings nicht, wenn man auch im „resource.local“ das Domains and Trust MMC aufruft und prüft, ob auch dort der Trust erfolgreich angelegt wurde.

Anleitung - Two-Way Trust erstellen

Wir öffnen das MMC „Active Directory Domains and Trusts“ über den Server-Manager und wechseln in das Einstellungsverzeichnis.

 

Im Reiter „Trusts“ erstellen wir mit dem Button „New Trust“ eine neue Vertrauensstelle.

 

Tragen die gegenüberliegende Domäne ein.

 

Erstellen einen „Forest Trust„.

 

Wählen als Direction den „Two-Way“ Trust aus.

 

An dieser Stelle können wir auswählen, ob wir den Trust auf der gegenüberliegenden Seite ebenfalls automatisch mit erstellen möchten. Falls wir administrative Zugangsdaten der anderen Domäne besitzen, ist das empfehlenswert. Ansonsten müssen diese Schritte ebenfalls in der „resource.local“ Domäne ausgeführt werden.

 

Da wir die automatisierte Erstellung ausgewählt haben, müssen wir nun die Zugangsdaten der „resource.local“ angeben.

 

Wählen als Authentifizierungstyp die „Forest-wide Authentication“ aus. Wenn ihr jedoch auf die „Selective Authentication“ setzen möchtet, ist das grundsätzlich auch möglich. Dafür müssen aber anschließend zusätzliche Berechtigungen vergeben werden, welche im Abschnitt „Forest Berechtigungen vergeben“ näher erläutert werden.

 

Und beenden den Wizard und möchten keinen Test durchführen.

Hat man die automatisierte Variante ausgewählt, wurde der Trust auf der anderen Domäne ebenfalls erstellt. Als abschließenden Check schadet es allerdings nicht, wenn man das MMC „AD Domains and Trust“ öffnet und prüft, ob beide Vertrauensstellungen erfolgreich angelegt wurden.

 

Forest Berechtigungen vergeben

Sollten wir beim erstellen des Trusts statt der Option „Forest-wide Authentication“ die Variante „Selective Authentication“ gewählt haben, müssen wir nun noch explizit Berechtigungen innerhalb der Domänen vergeben. Ansonsten kann dieser Teil getrost übersprungen werden.

Anleitung - Forest Berechtigungen anpassen

Die Gruppe „Domain Member“ und „Domain Computer“ aller Account-Forests müssen die Berechtigungen „Allow to Authenticate“ auf das Enterprise CA Computer Objekt besitzen.

 

Das Enterprise CA Computer Objekt des Resource-Forests benötigt „Allow to Authenticate“ Berechtigungen auf jeden Domain Controller in allen Account-Forests.

 

Auf der nächsten Seite beschäftigen wir uns mit der Installation der Windows CA (Certificate Authority).

Das könnte Dich auch interessieren …

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
0
Hinterlass' doch deine Meinung zu diesem Artikelx
()
x