Sichere Konfiguration

Dieser Abschnitt enthält Anleitungen um zu gewährleisten, dass die Komponenten von Self-Service-Kennwortzurücksetzung sicher bereitgestellt und konfiguriert werden.

• Erstellen eines Domänenbenutzerkontos mit Berechtigungen zum Zurücksetzen des Benutzerkennworts und Entsperren des Benutzerkontos
• Konfigurieren der Firewalleinstellungen

Erstellen eines Self-Service-Kontos

Wenn Sie die Features zum Zurücksetzen des Kennworts oder Entsperren des Kontos von Self-Service-Kennwortzurücksetzung verwenden, geben Sie bei der Dienstkonfiguration ein Self-Service-Konto an, das vom Self-Service-Modul zum Zurücksetzen und Entsperren verwendet wird. Dieses Konto muss ausreichende Privilegien haben, aber es sollte kein Konto der Domänenadministratorgruppe für Produktionsbereitstellungen sein. Empfohlene Kontoberechtigungen:

• Domänenmitglied
• Berechtigung zum Zurücksetzen des Kennworts und Entsperren des Kontos für die relevanten Domänenbenutzer

Erstellen Sie in Active Directory-Benutzer und -Computer eine Gruppe oder ein Benutzerkonto mit den Rechten zum Zurücksetzen des Benutzerkennworts und Entsperren von Benutzerkonten.

1. Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne und dann im Menü auf Objektverwaltung zuweisen.
2. Der Assistent zum Zuweisen der Objektverwaltung wird angezeigt. Klicken Sie im Willkommensdialogfeld auf Weiter.
3. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Hinzufügen. Wählen Sie in der Liste die Gruppe aus, der Sie das Recht zum Entsperren von Konten geben möchten, und klicken Sie dann auf OK. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Weiter.
4. Klicken Sie im Dialogfeld Zuzuweisende Aufgaben auf Benutzerdefinierte Aufgaben zum Zuweisen erstellen und klicken Sie dann auf Weiter.
5. Klicken Sie im Dialogfeld Active Directory-Objekttyp auf “Folgenden Objekten im Ordner:” > “Benutzerobjekte” und klicken Sie dann auf Weiter.
6. Aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Allgemein und Eigenschaftenspezifisch. Wählen Sie in der Liste Berechtigungen folgende Kontrollkästchen aus: lockoutTime lesen, lockoutTime schreiben, Kennwort zurücksetzen, Kennwort ändern, userAccountControl lesen, userAccountControl schreiben, pwdLastSet lesen sowie pwdLastSet schreiben. Klicken Sie dann auf Weiter.
7. Klicken Sie im Dialogfeld Fertigstellen des Assistenten auf Fertig stellen.

Konfigurieren der Firewalleinstellungen

Da die Serverkomponenten Self-Service-Kennwortzurücksetzungsserver und zentraler Speicher Benutzerkennwörter verwalten, empfiehlt es sich, diese Komponenten auf einem vertrauenswürdigen Netzwerk bereitzustellen und den Zugriff auf bestimmte vertrauenswürdige Komponenten zu beschränken. In diesem Abschnitt werden die Schritte beschrieben, die zur richtigen Konfiguration der Windows-Firewall für diese Server erforderlich sind. Darüber hinaus sollten Sie die vorhandene Netzwerkinfrastruktur so konfigurieren, dass diese Server von nicht vertrauenswürdigem Netzwerkdatenverkehr isoliert sind.

Wenn Sie diese Konfigurationen in der Bereitstellung abgeschlossen haben, kann auf die Server des zentralen Speichers von Self-Service-Kennwortzurücksetzung nur von Servern aus zugegriffen werden, die Server Message Block (SMB) verwenden. Auf die Self-Service-Kennwortzurücksetzungsserver kann nur von StoreFront-Servern aus über HTTPS-Verbindungen zugegriffen werden.

Bereitstellung einer Remotedateifreigabe für Windows 2012 R2

Umgebung

• Stellen Sie die Komponenten für Self-Service-Kennwortzurücksetzung auf dedizierten Servern bereit. Stellen Sie sie nicht auf denselben Servern wie die vorhandenen StoreFront- oder Delivery Controller-Komponenten bereit. Ansonsten blockiert möglicherweise die unten dargestellte Firewallkonfiguration den Datenverkehr von StoreFront oder vom Delivery Controller.
• Zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver ist kein nicht transparenter HTTP/HTTPS-Proxy.

Wenn zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver ein nicht transparenter Proxy ist, konfigurieren Sie die Firewallregeln so, dass auf den Self-Service-Kennwortzurücksetzungsserver nur über den Proxyserver zugegriffen wird.

• Die Konfigurationen in diesen Schritten basieren auf den Windows-Standardfirewallregeln.

Konfigurieren der Firewall für den zentralen Speicher von Self-Service-Kennwortzurücksetzung

Nach Abschluss der Konfiguration ermöglicht der SMB-Service, der vom zentralen Speicher der Self-Service-Kennwortzurücksetzung bereitgestellt wird, nur den eingehenden Zugriff von den Self-Service-Kennwortzurücksetzungsservern. Außerdem kann der Self-Service-Kennwortzurücksetzungsserver mit dem zentralen Speicher auf den Dienst im Unternehmensnetzwerk nur ausgehend zugreifen.

1. Öffnen Sie den Server-Manager und wählen Sie im Menü Extras auf der oberen Navigationsleiste die Option Windows-Firewall mit erweiterter Sicherheit.

2. Wählen Sie im mittleren Bereich von Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewalleigenschaften. Es gibt drei Firewallprofile: Domänenprofil, Privates Profil und Öffentliches Profil. Wählen Sie die Registerkarte Domänenprofil. Stellen Sie sicher, dass folgende Einstellungen festgelegt sind: Firewallstatus auf Ein, Eingehende Verbindungen auf Blocken und Ausgehende Verbindungen auf Zulassen.

3. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil aus. Stellen Sie sicher, dass der Firewallstatus auf Ein gesetzt ist, und dass für Eingehende Verbindungen sowie Ausgehende Verbindungen die Option Blockieren eingestellt ist. Übernehmen Sie die Änderungen und speichern Sie sie.

4. Klicken Sie auf Eingehende Regeln, wählen Sie Datei- und Druckerfreigabe (SMB eingehend) und stellen Sie sicher, dass diese Regel aktiviert ist und Verbindung zulassen für Aktion festgelegt ist.

5. Wechseln Sie in den Eigenschaften für die Datei- und Druckerfreigabe (SMB eingehend) zur Registerkarte Bereich. Wählen Sie Diese IP-Adressen und fügen Sie alle IP-Adressen von Self-Service-Kennwortzurücksetzungsservern der Liste hinzu. Beispiel: Self-Service-Kennwortzurücksetzungsserver A (192.168.1.10) und Self-Service-Kennwortzurücksetzungsserver B (192.168.1.11).

6. Klicken Sie in Eigenschaften von Datei- und Druckerfreigabe (SMB eingehend) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.

7. Wiederholen Sie diese Schritte unter Eingehende Regeln für Dateiserver-Remoteverwaltung (SMB eingehend) und Datei- und Druckerfreigabe (NB-Sitzung eingehend).

Konfigurieren der Firewall für den Self-Service-Kennwortzurücksetzungsserver

Nach dem Abschluss der Konfiguration können auf den Webdienst, der von den Self-Service-Kennwortzurücksetzungsservern bereitgestellt wird, nur die StoreFront-Server über HTTPS zugreifen. Außerdem können die Self-Service-Kennwortzurücksetzungsserver auf den Dienst im Unternehmensnetzwerk zugreifen.

1. Öffnen Sie den Server-Manager und wählen Sie im Menü Extras auf der oberen Navigationsleiste die Option Windows-Firewall mit erweiterter Sicherheit.

2. Wählen Sie im mittleren Bereich von Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewalleigenschaften. Es gibt drei Firewallprofile: Domänenprofil, Privates Profil und Öffentliches Profil. Wählen Sie die Registerkarte Domänenprofil. Stellen Sie sicher, dass folgende Einstellungen festgelegt sind: Firewallstatus auf Ein, Eingehende Verbindungen auf Blocken und Ausgehende Verbindungen auf Zulassen.  

3. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil, und stellen Sie sicher, dass der Firewallstatus auf Ein gesetzt ist. Für Eingehende Verbindungen sowie Ausgehende Verbindungen muss die Option Blockieren eingestellt sein. Übernehmen Sie die Änderungen und speichern Sie sie.

4. Wählen Sie unter Eingehende Verbindungen die Option WWW-Dienste (Eingehender HTTP-Datenverkehr). Stellen Sie sicher, dass diese Regel Aktiviert und für Aktion die Option Verbindung blockieren eingestellt ist.

5. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTP-Datenverkehr) auf die Registerkarte Erweitert. Wählen Sie die Profile Domäne, Privat und Öffentlich und speichern Sie die Änderungen dieser Regel.

6. Wählen Sie unter Eingehende Verbindungen die Option WWW-Dienste (Eingehender HTTPS-Datenverkehr). Stellen Sie sicher, dass diese Regel Aktiviert und für Aktion die Option Verbindung zulassen eingestellt ist.

7. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTPS-Datenverkehr) auf die Registerkarte Bereich. Wählen Sie Diese IP-Adresse und fügen Sie der Liste alle IP-Adressen für StoreFront-Server hinzu. Beispiel: StoreFront A (192.168.1.50) und StoreFront B (192.158.1.51).

8. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTPS-Datenverkehr) auf die Registerkarte Erweitert. Wählen Sie die Profile Domäne, “Privat” und Öffentlich und speichern Sie die Änderungen dieser Regel.