Bereitstellungshandbuch für hybride Schlüsselvertrauensstellungen

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:Hybrid
• Vertrauenstyp:, die dem Schlüssel vertrauen
• Jointyp: Microsoft Entra beitreten, Microsoft Entra Hybrideinbindung

---

Wichtig

Windows Hello for Business Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.

Anforderungen

Bevor Sie mit der Bereitstellung beginnen, lesen Sie die Im Artikel Planen einer Windows Hello for Business Bereitstellung beschriebenen Anforderungen.

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:

• Public Key-Infrastruktur
• Authentication
• Gerätekonfiguration
• Vorbereiten von Benutzern für die Verwendung von Windows Hello

Bereitstellungsschritte

Sobald die Voraussetzungen erfüllt sind, besteht die Bereitstellung von Windows Hello for Business aus den folgenden Schritten:

• Konfigurieren und Überprüfen der Public Key-Infrastruktur
• Konfigurieren und Registrieren bei Windows Hello for Business
• (optional) Konfigurieren des einmaligen Anmeldens für Microsoft Entra verbundene Geräte

Konfigurieren und Überprüfen der Public Key-Infrastruktur

Windows Hello for Business müssen über eine Public Key-Infrastruktur (PKI) verfügen, wenn Sie das Schlüsselvertrauensmodell verwenden. Die Domänencontroller müssen über ein Zertifikat verfügen, das als Vertrauensstamm für Clients dient. Das Zertifikat stellt sicher, dass Clients nicht mit nicht autorisierten Domänencontrollern kommunizieren.

Schlüsselvertrauensstellungsbereitstellungen benötigen keine vom Client ausgestellten Zertifikate für die lokale Authentifizierung. Microsoft Entra Connect Sync konfiguriert Active Directory-Benutzerkonten für die Zuordnung öffentlicher Schlüssel, indem der öffentliche Schlüssel der Windows Hello for Business Anmeldeinformationen mit einem Attribut für das Active Directory-Objekt (msDS-KeyCredentialLink Attribut) des Benutzers synchronisiert wird.

Es kann eine Windows Server-basierte PKI oder eine Nicht-Microsoft Enterprise-Zertifizierungsstelle verwendet werden. Weitere Informationen finden Sie unter Anforderungen für Domänencontrollerzertifikate von einer Nicht-Microsoft-Zertifizierungsstelle.

Bereitstellen einer Unternehmenszertifizierungsstelle

In dieser Anleitung wird davon ausgegangen, dass die meisten Unternehmen über eine Public Key-Infrastruktur verfügen. Windows Hello for Business hängt von einer Unternehmens-PKI ab, auf der die Rolle Windows Server Active Directory-Zertifikatdienste ausgeführt wird.
Wenn Sie noch nicht über eine PKI verfügen, lesen Sie die Anleitungen für zertifizierungsstellen , um Ihre Infrastruktur ordnungsgemäß zu entwerfen. Anschließend finden Sie im Test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Testumgebungshandbuch: Bereitstellen einer AD CS-Two-Tier PKI-Hierarchie ) Anweisungen zum Konfigurieren Ihrer PKI mithilfe der Informationen aus Ihrer Entwurfssitzung.

Labbasierte PKI

Die folgenden Anweisungen können verwendet werden, um eine einfache Public Key-Infrastruktur bereitzustellen, die für eine Labumgebung geeignet ist.

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators auf einem Windows Server an, auf dem die Zertifizierungsstelle (Ca) installiert werden soll.

Hinweis

Installieren Sie niemals eine Zertifizierungsstelle auf einem Domänencontroller in einer Produktionsumgebung.

1. Öffnen einer Eingabeaufforderung mit erhöhten Windows PowerShell
2. Verwenden Sie den folgenden Befehl, um die Active Directory-Zertifikatdiensterolle zu installieren.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Verwenden Sie den folgenden Befehl, um die Zertifizierungsstelle mithilfe einer grundlegenden Konfiguration der Zertifizierungsstelle zu konfigurieren.

   Install-AdcsCertificationAuthority
   

Konfigurieren der Unternehmens-PKI

Konfigurieren von Domänencontrollerzertifikaten

Clients müssen den Domänencontrollern vertrauen, und die beste Möglichkeit, die Vertrauensstellung zu aktivieren, besteht darin, sicherzustellen, dass jeder Domänencontroller über ein Kerberos-Authentifizierungszertifikat verfügt. Durch die Installation eines Zertifikats auf den Domänencontrollern kann das Schlüsselverteilungscenter (Key Distribution Center, KDC) seine Identität gegenüber anderen Mitgliedern der Domäne nachweisen. Die Zertifikate stellen Clients einen Vertrauensstamm außerhalb der Domäne bereit, nämlich die Unternehmenszertifizierungsstelle.

Domänencontroller fordern automatisch ein Domänencontrollerzertifikat an (sofern veröffentlicht), wenn sie feststellen, dass eine Unternehmenszertifizierungsstelle zu Active Directory hinzugefügt wird. Die zertifikate, die auf den Zertifikatvorlagen Domänencontroller und Domänencontrollerauthentifizierung basieren, enthalten nicht den KDC Authentication Object Identifier (OID), der später dem Kerberos RFC hinzugefügt wurde. Daher müssen Domänencontroller ein Zertifikat anfordern, das auf der Zertifikatvorlage für die Kerberos-Authentifizierung basiert.

Standardmäßig stellt die Active Directory-Zertifizierungsstelle die Zertifikatvorlage für die Kerberos-Authentifizierung bereit und veröffentlicht sie. Die in der Vorlage enthaltene Kryptografiekonfiguration basiert auf älteren und weniger leistungsfähigen Kryptografie-APIs. Um sicherzustellen, dass Domänencontroller das richtige Zertifikat mit der besten verfügbaren Kryptografie anfordern, verwenden Sie die Zertifikatvorlage kerberos-Authentifizierung als Baseline , um eine aktualisierte Zertifikatvorlage für den Domänencontroller zu erstellen.

Wichtig

Die für die Domänencontroller ausgestellten Zertifikate müssen die folgenden Anforderungen erfüllen:

• Die Zertifikatsperrlisten-Verteilungspunkterweiterung muss auf eine gültige Zertifikatsperrliste oder eine AIA-Erweiterung (Authority Information Access) verweisen, die auf einen Online Certificate Status Protocol (OCSP)-Antworter verweist.
• Optional kann der Abschnitt antragsteller des Zertifikats den Verzeichnispfad des Serverobjekts (distinguished name) enthalten.
• Der Abschnitt "Zertifikatschlüsselverwendung" muss digitale Signatur und Schlüsselverschlüsselung enthalten.
• Optional sollte der Abschnitt Grundlegende Einschränkungen des Zertifikats Folgendes enthalten: [Subject Type=End Entity, Path Length Constraint=None]
• Der Abschnitt zur erweiterten Schlüsselverwendung des Zertifikats muss Clientauthentifizierung (1.3.6.1.5.5.7.3.2), Serverauthentifizierung (1.3.6.1.5.5.7.3.1) und KDC-Authentifizierung (1.3.6.1.5.2.3.5) enthalten.
• Der Abschnitt " Alternativer Antragstellername" des Zertifikats muss den DNS-Namen (Domain Name System) enthalten.
• Die Zertifikatvorlage muss über eine Erweiterung mit dem Wert DomainControllerverfügen, der als BMPstring codiert ist. Wenn Sie eine Windows Server Enterprise-Zertifizierungsstelle verwenden, ist diese Erweiterung bereits in der Zertifikatvorlage des Domänencontrollers enthalten.
• Das Domänencontrollerzertifikat muss im Zertifikatspeicher des lokalen Computers installiert sein.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Domänenadministrators an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole

2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.

3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Kerberos-Authentifizierung, und wählen Sie Vorlage duplizieren aus.

4. Verwenden Sie die folgende Tabelle, um die Vorlage zu konfigurieren:

   Registerkartenname	Konfigurationen
   Kompatibilität	Deaktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen . Wählen Sie in derListe Zertifizierungsstelle Windows Server 2016 aus. Wählen Sie Windows 10/Windows Server 2016 aus der Liste Zertifizierungsempfänger aus.
   Allgemein	Geben Sie einen Vorlagenanzeigenamen an, z. B. Domänencontrollerauthentifizierung (Kerberos) Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest. Notieren Sie sich den Vorlagennamen für später, der mit dem Anzeigenamen der Vorlage minus Leerzeichen identisch sein sollte.
   Antragstellername	Wählen Sie Aus diesen Active Directory-Informationen erstellen aus. Wählen Sie in der Liste Format des Antragstellernamensdie Option Keine aus. Wählen Sie DNS-Name aus der Liste Diese Informationen in alternative Antragsteller einschließen aus. Alle anderen Elemente löschen
   Kryptografie	Festlegen der Anbieterkategorie auf Schlüsselspeicheranbieter Festlegen des Algorithmusnamens auf RSA Festlegen der Mindestschlüsselgröße auf 2048 Festlegen des Anforderungshashs auf SHA256

5. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen.

6. Schließen der Konsole

Hinweis

Die Aufnahme der KDC-Authentifizierungs-OID in das Domänencontrollerzertifikat ist für Microsoft Entra hybrid eingebundenen Geräte nicht erforderlich. Die OID ist erforderlich, um die Authentifizierung mit Windows Hello for Business für lokale Ressourcen durch Microsoft Entra verbundene Geräte zu ermöglichen.

Wichtig

Damit Microsoft Entra eingebundene Geräte sich bei lokalen Ressourcen authentifizieren können, stellen Sie Folgendes sicher:

• Installieren Sie das Zertifikat der Stammzertifizierungsstelle im vertrauenswürdigen Stammzertifikatspeicher des Geräts. Erfahren Sie, wie Sie ein vertrauenswürdiges Zertifikatprofil über Intune
• Veröffentlichen Ihrer Zertifikatsperrliste an einem Speicherort, der für Microsoft Entra eingebundene Geräte verfügbar ist, z. B. eine webbasierte URL

Vorhandene Domänencontrollerzertifikate ablösen

Die Domänencontroller verfügen möglicherweise über ein vorhandenes Domänencontrollerzertifikat. Die Active Directory-Zertifikatdienste stellen eine Standardzertifikatvorlage für Domänencontroller bereit, die als Domänencontrollerzertifikat bezeichnet wird. In späteren Versionen von Windows Server wurde eine neue Zertifikatvorlage mit dem Namen Domänencontroller-Authentifizierungszertifikat bereitgestellt. Diese Zertifikatvorlagen wurden vor der Aktualisierung der Kerberos-Spezifikation bereitgestellt, die besagt, dass Schlüsselverteilungszentren (Key Distribution Centers, KDCs) die Zertifikatauthentifizierung durchführen, die für die KDC-Authentifizierungserweiterung erforderlich sind.

Die Zertifikatvorlage kerberos-Authentifizierung ist die aktuellste Zertifikatvorlage, die für Domänencontroller bestimmt ist, und sollte die Vorlage sein, die Sie auf allen Domänencontrollern bereitstellen.
Mit der Automatischen Registrierung können Sie die Domänencontrollerzertifikate ersetzen. Verwenden Sie die folgende Konfiguration, um ältere Domänencontrollerzertifikate mithilfe der Zertifikatvorlage kerberos-Authentifizierung durch neue zu ersetzen.

Melden Sie sich bei einer Zertifizierungsstelle oder Verwaltungsarbeitsstationen mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole
2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen > Verwalten.
3. Klicken Sie in der Zertifikatvorlagenkonsole im Detailbereich mit der rechten Maustaste auf die Vorlage Domänencontrollerauthentifizierung (Kerberos) (oder den Namen der Zertifikatvorlage, die Sie im vorherigen Abschnitt erstellt haben) und wählen Sie Eigenschaften aus.
4. Wählen Sie die Registerkarte Ersetzte Vorlagen aus. Wählen Sie Hinzufügen aus.
5. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller und dann OK > Hinzufügen aus.
6. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Domänencontroller-Authentifizierung aus, und wählen Sie OK aus.
7. Wählen Sie im Dialogfeld Abgelöste Vorlage hinzufügen die Zertifikatvorlage Kerberos-Authentifizierung und dann OK aus.
8. Fügen Sie der Registerkarte Abgelöste Vorlagen alle anderen Unternehmenszertifikatvorlagen hinzu, die zuvor für Domänencontroller konfiguriert wurden.
9. Wählen Sie OK aus, und schließen Sie die Konsole "Zertifikatvorlagen".

Die Zertifikatvorlage ist so konfiguriert, dass sie alle in der Liste abgelösten Vorlagen bereitgestellten Zertifikatvorlagen ersetzt.
Die Zertifikatvorlage und die Ablösung von Zertifikatvorlagen sind jedoch erst aktiv, wenn die Vorlage in einer oder mehreren Zertifizierungsstellen veröffentlicht wurde.

Hinweis

Das Zertifikat des Domänencontrollers muss mit einem Stamm im NTAuth-Speicher verkettet werden. Standardmäßig wird das Stammzertifikat der Active Directory-Zertifizierungsstelle dem NTAuth-Speicher hinzugefügt. Wenn Sie eine Nicht-Microsoft-Zertifizierungsstelle verwenden, ist dies möglicherweise nicht standardmäßig möglich. Wenn das Domänencontrollerzertifikat nicht mit einem Stamm im NTAuth-Speicher verkettet wird, schlägt die Benutzerauthentifizierung fehl. Verwenden Sie den folgenden Befehl, um alle Zertifikate im NTAuth-Speicher anzuzeigen:

Certutil -viewstore -enterprise NTAuth

Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen

Die Zertifizierungsstelle stellt Zertifikate nur basierend auf veröffentlichten Zertifikatvorlagen aus. Aus Sicherheitsgründen empfiehlt es sich, die Veröffentlichung von Zertifikatvorlagen aufzuheben, für die die Zertifizierungsstelle nicht konfiguriert ist, einschließlich der vorab veröffentlichten Vorlagen aus der Rolleninstallation und aller abgelösten Vorlagen.

Die neu erstellte Zertifikatvorlage für die Domänencontrollerauthentifizierung ersetzt frühere Domänencontrollerzertifikatvorlagen. Aus diesem Grund müssen Sie die Veröffentlichung dieser Zertifikatvorlagen von allen ausstellenden Zertifizierungsstellen aufheben.

Melden Sie sich bei der Zertifizierungsstelle oder Verwaltungsarbeitsstation mit den entsprechenden Anmeldeinformationen des Unternehmensadministrators an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole
2. Erweitern Des übergeordneten Knotens im Navigationsbereich >Zertifikatvorlagen
3. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage für den Domänencontroller , und wählen Sie Löschen aus. Wählen Sie im Fenster Zertifikatvorlagen deaktivieren die Option Ja aus.
4. Wiederholen Sie Schritt 3 für die Zertifikatvorlagen Domänencontrollerauthentifizierung und Kerberos-Authentifizierung .

Veröffentlichen der Zertifikatvorlage in der Zertifizierungsstelle

Eine Zertifizierungsstelle kann nur Zertifikate für Zertifikatvorlagen ausstellen, die in ihr veröffentlicht wurden. Wenn Sie über mehrere Zertifizierungsstellen verfügen und möchten, dass mehr Zertifizierungsstellen Zertifikate basierend auf der Zertifikatvorlage ausstellen, müssen Sie die Zertifikatvorlage für diese veröffentlichen.

Melden Sie sich bei der Zertifizierungsstelle oder den Verwaltungsarbeitsstationen mit enterprise Admin entsprechenden Anmeldeinformationen an.

1. Öffnen Sie die zertifizierungsstellen-Verwaltungskonsole
2. Erweitern des übergeordneten Knotens über den Navigationsbereich
3. Wählen Sie im Navigationsbereich Zertifikatvorlagen aus.
4. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen. Auswählen der ausstellenden neuen > Zertifikatvorlage
5. Wählen Sie im Fenster Zertifikatvorlagen aktivieren die Vorlage Domänencontrollerauthentifizierung (Kerberos) aus, die Sie in den vorherigen Schritten > erstellt haben, und klicken Sie auf OK.
6. Schließen der Konsole

Wichtig

Wenn Sie planen, Microsoft Entra verbundene Geräte bereitzustellen und bei der Anmeldung mit Windows Hello for Business das einmalige Anmelden (Single Sign-On, SSO) für lokale Ressourcen erforderlich ist, befolgen Sie die Verfahren zum Aktualisieren Ihrer Zertifizierungsstelle, um einen http-basierten CRL-Verteilungspunkt einzuschließen.

Konfigurieren und Bereitstellen von Zertifikaten auf Domänencontrollern

Konfigurieren der automatischen Zertifikatregistrierung für die Domänencontroller

Domänencontroller fordern automatisch ein Zertifikat von der Zertifikatvorlage für den Domänencontroller an. Domänencontroller kennen jedoch keine neueren Zertifikatvorlagen oder abgelösten Konfigurationen in Zertifikatvorlagen. Damit Domänencontroller Zertifikate automatisch registrieren und erneuern können, konfigurieren Sie ein Gruppenrichtlinienobjekt für die automatische Zertifikatregistrierung, und verknüpfen Sie es mit der Organisationseinheit für Domänencontroller .

1. Öffnen Sie die Gruppenrichtlinie Management Console (gpmc.msc)
2. Erweitern Sie die Domäne, und wählen Sie im Navigationsbereich den Knoten Gruppenrichtlinie Objekt aus.
3. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekt, und wählen Sie Neu aus.
4. Geben Sie die automatische Zertifikatregistrierung des Domänencontrollers in das Feld "Name" ein, und wählen Sie OK aus.
5. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie-Objekt für die automatische Zertifikatregistrierung des Domänencontrollers, und wählen Sie Bearbeiten aus.
6. Erweitern Sie im Navigationsbereich richtlinien unter Computerkonfiguration.
7. Erweitern Sie Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
8. Klicken Sie im Detailbereich mit der rechten Maustaste auf Zertifikatdienste-Client – Automatische Registrierung, und wählen Sie Eigenschaften aus.
9. Wählen Sie in der Liste Konfigurationsmodell die Option Aktiviert aus.
10. Aktivieren Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und widerrufene Zertifikate entfernen .
11. Aktivieren Sie das Kontrollkästchen Zertifikate aktualisieren, die Zertifikatvorlagen verwenden .
12. Wählen Sie OK aus.
13. Schließen des Gruppenrichtlinie Management Editor

Bereitstellen des GPO für die automatische Zertifikatregistrierung des Domänencontrollers

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

1. Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc).
2. Erweitern Sie im Navigationsbereich die Domäne, und erweitern Sie den Knoten mit dem Active Directory-Domänennamen. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Domänencontroller , und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen... aus.
3. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Option Automatische Registrierung des Domänencontrollerzertifikats oder den Namen der Registrierung des Domänencontrollerzertifikats Gruppenrichtlinie zuvor erstellten Objekts aus.
4. Wählen Sie OK aus.

Überprüfen der Konfiguration

Windows Hello for Business ist ein verteiltes System, das auf den ersten Blick komplex und schwierig erscheint. Der Schlüssel zu einer erfolgreichen Bereitstellung besteht darin, die Arbeitsphasen vor dem Wechsel zur nächsten Phase zu überprüfen.

Vergewissern Sie sich, dass Ihre Domänencontroller die richtigen Zertifikate und keine abgelösten Zertifikatvorlagen registrieren. Überprüfen Sie, ob jeder Domänencontroller die automatische Zertifikatregistrierung abgeschlossen hat.

Verwenden der Ereignisprotokolle

Melden Sie sich mit den entsprechenden Anmeldeinformationen des Domänenadministrators bei Domänencontrollern oder Verwaltungsarbeitsstationen an.

1. Navigieren Sie mithilfe der Ereignisanzeige zum Ereignisprotokoll Anwendung und Dienste>Microsoft>Windows>CertificateServices-Lifecycles-System.
2. Suchen Sie nach einem Ereignis, das eine neue Zertifikatregistrierung (automatische Registrierung) angibt:
   • Zu den Details des Ereignisses gehört die Zertifikatvorlage, für die das Zertifikat ausgestellt wurde.
   • Der Name der Zertifikatvorlage, die zum Ausstellen des Zertifikats verwendet wird, sollte mit dem Namen der Zertifikatvorlage übereinstimmen, der im Ereignis enthalten ist.
   • Der Zertifikatfingerabdruck und die EKUs für das Zertifikat sind ebenfalls im Ereignis enthalten.
   • Die für eine ordnungsgemäße Windows Hello for Business Authentifizierung erforderliche EKU ist die Kerberos-Authentifizierung, zusätzlich zu anderen EKUs, die von der Zertifikatvorlage bereitgestellt werden.

Zertifikate, die von Ihrem neuen Domänencontrollerzertifikat abgelöst werden, generieren ein Archivereignis im Ereignisprotokoll. Das Archivierungsereignis enthält den Namen der Zertifikatvorlage und den Fingerabdruck des Zertifikats, das durch das neue Zertifikat abgelöst wurde.

Zertifikat-Manager

Sie können mithilfe der Zertifikat-Manager-Konsole überprüfen, ob der Domänencontroller das Zertifikat ordnungsgemäß basierend auf der korrekten Zertifikatvorlage mit den richtigen EKU registriert hat. Verwenden Sie certlm.msc, um das Zertifikat im Zertifikatspeicher des lokalen Computers anzuzeigen. Erweitern Sie die den Speicher Privat, und zeigen Sie die Zertifikate an, die für den Computer registriert sind. Archivierte Zertifikate werden im Zertifikat-Manager nicht angezeigt.

Certutil.exe

Sie können den Befehl verwenden certutil.exe , um registrierte Zertifikate auf dem lokalen Computer anzuzeigen. Certutil zeigt registrierte und archivierte Zertifikate für den lokalen Computer an. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:

certutil.exe -q -store my

Verwenden Sie den folgenden Befehl, um detaillierte Informationen zu den einzelnen Zertifikaten im Speicher anzuzeigen und zu überprüfen, ob die automatische Zertifikatregistrierung die richtigen Zertifikate registriert hat:

certutil.exe -q -v -store my

Problembehandlung

Windows Trigger löst die automatische Zertifikatregistrierung für den Computer während des Starts und bei Aktualisierungen der Gruppenrichtlinie aus. Sie können die Gruppenrichtlinie über eine Eingabeaufforderung mit erhöhten Rechten mithilfe von gpupdate.exe /force aktualisieren.

Alternativ können Sie die automatische Zertifikatregistrierung mit certreq.exe -autoenroll -q von einer Eingabeaufforderung mit erhöhten Rechten zwingend auslösen.

Verwenden Sie die Ereignisprotokolle, um die Zertifikatregistrierung und -archivierung zu überwachen. Überprüfen Sie die Konfiguration, z. B. das Veröffentlichen von Zertifikatvorlagen für die ausstellende Zertifizierungsstelle und die Berechtigungen für die automatische Registrierung zulassen .

Abschnittsüberprüfung und nächste Schritte

Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass die folgenden Schritte abgeschlossen sind:

• Konfigurieren der Zertifikatvorlage für Domänencontroller
• Vorhandene Domänencontrollerzertifikate ablösen
• Aufheben der Veröffentlichung abgelöster Zertifikatvorlagen
• Veröffentlichen der Zertifikatvorlage in der Zertifizierungsstelle
• Bereitstellen von Zertifikaten auf den Domänencontrollern
• Überprüfen der Konfiguration der Domänencontroller

Als Nächstes: Konfigurieren und Registrieren bei Windows Hello for Business >