Share via

Public Key Authentication für Geräte in einer Domäne

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Kerberos hat ab Windows Server 2012 und Windows 8 Unterstützung für eingebundene Geräte in einer Domäne zur Anmeldung mit einem Zertifikat hinzugefügt. Durch diese Änderung können Drittanbieter Lösungen zum Bereitstellen und Initialisieren von Zertifikaten für eingebundene Geräte in einer Domäne erstellen, die für die Domänenauthentifizierung verwendet werden.

Automatische Bereitstellung öffentlicher Schlüssel

Ab Windows 10 Version 1507 und Windows Server 2016 stellen eingebundene Geräte in einer Domäne automatisch einen gebundenen öffentlichen Schlüssel für einen Windows Server 2016-Domänencontroller (DC) bereit. Sobald ein Schlüssel bereitgestellt wurde, kann Windows die Authentifizierung mit öffentlichem Schlüssel für die Domäne verwenden.

Schlüsselgenerierung

Wenn auf dem Gerät Credential Guard ausgeführt wird, wird ein Schlüsselpaar aus öffentlichem/privatem Schlüssel erstellt, das durch Credential Guard geschützt ist.

Wenn Credential Guard nicht verfügbar ist und ein TPM vorhanden ist, wird ein Schlüsselpaar aus öffentlichem/privatem Schlüssel erstellt, das durch das TPM geschützt ist.

Wenn beides nicht verfügbar ist, wird kein Schlüsselpaar generiert, und das Gerät kann sich nur mit einem Kennwort authentifizieren.

Bereitstellen eines öffentlichen Schlüssels für das Computerkonto

Beim Starten von Windows wird überprüft, ob ein öffentlicher Schlüssel für das Computerkonto bereitgestellt wird. Andernfalls wird mithilfe eines Windows Server 2016- oder höheren DC ein gebundener öffentlicher Schlüssel generiert und für das Konto in AD konfiguriert. Wenn alle DCs eine niedrigere Version aufweisen, wird kein Schlüssel bereitgestellt.

Konfigurieren von Geräten für die alleinige Verwendung eines öffentlichen Schlüssels

Wenn die Gruppenrichtlinieneinstellung Unterstützung für Geräteauthentifizierung mittels Zertifikat auf Erzwingen festgelegt ist, muss das Gerät zur Authentifizierung einen DC finden, auf dem Windows Server 2016 oder höher ausgeführt wird. Die Einstellung befindet sich unter „Administrative Vorlagen“ > „System“ > „Kerberos“.

Konfigurieren von Geräten für die alleinige Verwendung eines Kennworts

Wenn die Gruppenrichtlinieneinstellung Unterstützung für Geräteauthentifizierung mittels Zertifikat deaktiviert ist, wird immer ein Kennwort verwendet. Die Einstellung befindet sich unter „Administrative Vorlagen“ > „System“ > „Kerberos“.

Authentifizierung mit öffentlichem Schlüssel für eingebundene Geräte in einer Domäne

Wenn Windows über ein Zertifikat für das eingebundene Gerät in einer Domäne verfügt, führt Kerberos die Authentifizierung zunächst mit dem Zertifikat und bei einem Fehler erneut mit einem Kennwort durch. Dadurch kann sich das Gerät bei DCs einer niedrigeren Version authentifizieren.

Da die automatisch bereitgestellten öffentlichen Schlüssel über ein selbstsigniertes Zertifikat verfügen, tritt bei der Zertifikatüberprüfung auf Domänencontrollern, die die Zuordnung von Schlüsselvertrauensstellungskonten nicht unterstützen, ein Fehler auf. Standardmäßig wiederholt Windows die Authentifizierung mit dem Domänenkennwort des Geräts.