Технический справочник по регистрации устройств
Служба регистрации устройств (DRS) — это новая служба Windows, которая входит в состав роли "Службы федерации Active Directory" в Windows Server 2012 R2. Службы DRS должны быть установлены и настроены на всех серверах федерации в ферме AD FS. Сведения о развертывании DRS см. в разделе Настройка сервера федерации с помощью службы регистрации устройств.
Объекты Active Directory, создаваемые при регистрации устройства
Служба регистрации устройств создает указанные ниже объекты Active Directory.
Конфигурация регистрации устройств
Конфигурация регистрации устройств хранится в контексте именования конфигурации леса Active Directory. (Например, CN=Device Registration Configuration,CN=Services,configuration-naming-context<>). Этот объект создается, когда лес Active Directory инициируется для регистрации устройств.
Конфигурация регистрации устройств включает перечисленные ниже элементы.
Ключи издателя
Открытый и закрытый ключи, используемые для выдачи сертификата X.509, связанного с зарегистрированным устройством. Закрытые ключи защищены с помощью DKM.
Конфигурация службы регистрации устройств
Политики, относящиеся к службе регистрации устройств.
Контейнер зарегистрированных устройств
Контейнер объектов устройств создается в одном из доменов леса Active Directory. Этот контейнер будет содержать все объекты устройств для леса Active Directory.
По умолчанию контейнер создается в том же домене, что и службы AD FS. (Например, CN=RegisteredDevices,DC=<default-naming-context>). Этот объект создается при инициализации леса Active Directory для регистрации устройств.
Зарегистрированные устройства
Объекты устройств — это новые компактные объекты в доменных службах Active Directory. Они служат для представления отношения между пользователем, устройством и организацией. Объекты устройств используют сертификат, подписанный службами AD FS, для привязки физического устройства к логическому объекту устройства в Active Directory.
Зарегистрированные устройства включают следующие элементы:
Отображаемое имя
Понятное имя устройства. Для устройств Windows это имя узла компьютера.
Идентификатор устройства
Идентификатор GUID, созданный сервером регистрации устройств.
Отпечаток сертификата
Отпечаток сертификата X.509, который используется с зарегистрированным устройством.
Тип ОС.
Тип операционной системы устройства.
Версия ОС
Версия операционной системы устройства.
Включен
Логическое значение, указывающее, включено ли устройство в Active Directory. Только включенным устройствам разрешен доступ к службам.
Приблизительное время последнего использования
Приблизительное время, когда устройство использовалось для доступа к ресурсу. Чтобы ограничить объем трафика репликации, это значение обновляется один раз каждые 14 дней.
Зарегистрированный владелец
Идентификатор безопасности (SID) пользователя, который присоединил это устройство к рабочему месту.
Проверка отзыва SSL-сертификатов серверов AD FS и DRS
Клиент присоединения к рабочему месту проверяет действительность SSL-сертификата сервера AD FS. Если SSL-сертификат сервера AD FS содержит конечную точку списка отзыва сертификатов (CRL), клиент должен иметь возможность связаться с ней для проверки сертификата.
Если для выдачи SSL-сертификатов серверов используются тестовая среда и тестовый центр сертификации (ЦС), то вы можете не включать конечную точку CRL в сертификаты серверов, выдаваемые ЦС. Это позволит клиенту присоединения к рабочему месту пропустить проверку списка CRL.
Внимание
Для рабочих систем делать это не рекомендуется.