Mitgliedschaft in der lokalen Gruppe „Administratoren“ oder in einer entsprechenden Gruppe ist Grundvoraussetzung, um die folgenden Schritte ausführen zu können.

So fügen Sie den Rollendienst für die Clientzertifikatzuordnung-Authentifizierung hinzu

  1. Öffnen Sie „Server-Manager“. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Erweitern Sie den Eintrag Rollen, und klicken Sie dann auf Webserver (IIS).

  4. Klicken Sie im Ergebnisbereich unter Rollendienste auf Rollendienste hinzufügen.

  5. Aktivieren Sie das Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf Installieren.

  7. Wenn der Rollendienst hinzugefügt wurde, klicken Sie auf Schließen.

Konfigurieren Sie nun die Authentifizierungsmethode in den Internetinformationsdiensten (Internet Information Services, IIS):

So konfigurieren Sie die Authentifizierungsmethode in IIS

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Erweitern Sie in der Konsolenstruktur den Servernamen.

  4. Doppelklicken Sie im Ergebnisbereich der Startseite des Servers auf Authentifizierung, um die Seite Authentifizierung zu öffnen.

  5. Klicken Sie im Ergebnisbereich der Seite Authentifizierung mit der rechten Maustaste auf AD-Clientzertifikatauthentifizierung, und klicken Sie dann auf Aktivieren.

  6. Schließen Sie den Internetinformationsdienste-Manager.

Aktivieren Sie schließlich die Clientauthentifizierung für die Website, die AD RMS hostet:

So aktivieren Sie die Clientauthentifizierung auf einer AD RMS hostenden Website

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Internetinformationsdienste-Manager.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Erweitern Sie in der Konsolenstruktur den Servernamen.

  4. Erweitern Sie den Eintrag Sites, und erweitern Sie dann die Website, die AD RMS hostet. Standardmäßig lautet der Name der Website Standardwebsite.

  5. Erweitern Sie in der Konsolenstruktur den Eintrag _wmcs, klicken Sie mit der rechten Maustaste auf das virtuelle Verzeichnis Zertifizierung (um RACs zu unterstützen) oder Lizenzierung (um Nutzungslizenzen zu unterstützen), und klicken Sie dann auf Zur Inhaltsansicht wechseln.

  6. Klicken Sie im Ergebnisbereich von Inhaltsansicht mit der rechten Maustaste je nach Bedarf auf certification.asmx oder auf license.asmx, und wählen Sie dann Zur Featureansicht wechseln aus.

  7. Doppelklicken Sie im Ergebnisbereich der Startseite auf SSL-Einstellungen.

  8. Wählen Sie unter Clientzertifikate die entsprechende Einstellung (Akzeptieren oder Erforderlich) aus. Wenn Sie möchten, dass Clients mithilfe eines Smartcardzertifikats oder eines Benutzernamens und Kennworts Authentifizierungsanmeldeinformationen bereitstellen können, sollten Sie Clientzertifikate akzeptieren. Wenn Sie möchten, dass nur Clients mit clientseitigen Zertifikaten (z. B. Smartcards) eine Verbindung mit dem Dienst herstellen können, sollten Clientzertifikate erforderlich sein.

  9. Klicken Sie auf Übernehmen.

  10. Wenn Sie die Clientauthentifizierung sowohl für die Zertifizierung als auch für die Lizenzierung verwenden möchten, wiederholen Sie dieses Verfahren, wählen Sie jedoch beim zweiten Mal das alternative virtuelle Verzeichnis aus.

  11. Schließen Sie den Internetinformationsdienste-Manager.

  12. Wiederholen Sie die Schritte 1 bis 10 für alle Server im AD RMS-Cluster.

Nun müssen Sie für die Authentifizierungsmethode des AD RMS-Clusters die Verwendung der Clientzertifikatzuordnung-Authentifizierung erzwingen.

So erzwingen Sie die Clientauthentifizierungsmethode in der Datei "applicationhost.config"

  1. Klicken Sie zum Öffnen eines Eingabeaufforderungsfensters mit erhöhten Rechten auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Navigieren Sie zum Verzeichnis %windir%\system32\inetsrv\config.

  3. Geben Sie notepad applicationhost.config ein, und drücken Sie dann die EINGABETASTE.

    Vorsicht
    Sie sollten eine Sicherungskopie dieser Datei erstellen, bevor Sie Änderungen vornehmen.

  4. Wechseln Sie zum Bereich der Datei applicationhost.config, der dem Bereich <location path="Default Web Site/_wmcs/certification/certification.asmx"> ähnelt.

    Hinweis
    Der Speicherort der zuvor angeführten Datei hängt von der Datei oder von dem virtuellen Verzeichnis ab, für die bzw. für das Sie die Clientzertifikatzuordnung erzwingen möchten.

  5. Wenn Sie zusätzlich zur Windows-Authentifizierung die Smartcardauthentifizierung zulassen möchten, gehen Sie wie folgt vor:

    1. Ändern Sie

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      in

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Fügen Sie unter <windowsAuthentication enabled="true" /> eine neue Zeile hinzu, und geben Sie dann Folgendes ein:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Wenn Sie nur die Smartcardauthentifizierung zulassen möchten, gehen Sie wie folgt vor: Stellen Sie sicher, dass die SSL-Clientauthentifizierung für die Internetinformationsdienste erforderlich ist.

    1. Fügen Sie unter <windowsAuthentication enabled="true" /> eine neue Zeile hinzu, und geben Sie dann Folgendes ein:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Ändern Sie

      <windowsAuthentication enabled="true" />

      in

      <windowsAuthentication enabled="false" />

    3. Klicken Sie auf Datei, klicken Sie auf Speichern, und schließen Sie dann Editor.

    4. Geben Sie an der Eingabeaufforderung iisreset ein, und drücken Sie dann die EINGABETASTE.

    Vorsicht
    Durch das Ausführen des Befehls iisreset über eine Eingabeaufforderung werden die Internetinformationsdienste zugeordneten Dienste neu gestartet.

  7. Wiederholen Sie die Schritte 1 bis 5 für alle Server im AD RMS-Cluster.

Nachdem diese Einstellungen konfiguriert wurden, werden die Benutzer beim Öffnen des durch diesen AD RMS-Cluster veröffentlichten und durch Rechte geschützten Inhalts zur Angabe von Authentifizierungsanmeldeinformationen aufgefordert, bevor ihnen der Cluster ein RAC oder eine Nutzungslizenz erteilt.

Inhaltsverzeichnis