Технический справочник по регистрации устройств

  • Статья

Служба регистрации устройств (DRS) — это новая служба Windows, которая входит в состав роли "Службы федерации Active Directory" в Windows Server 2012 R2. Службы DRS должны быть установлены и настроены на всех серверах федерации в ферме AD FS. Сведения о развертывании DRS см. в разделе Настройка сервера федерации с помощью службы регистрации устройств.

Объекты Active Directory, создаваемые при регистрации устройства

Служба регистрации устройств создает указанные ниже объекты Active Directory.

Конфигурация регистрации устройств

Конфигурация регистрации устройств хранится в контексте именования конфигурации леса Active Directory. (Например, CN=Device Registration Configuration,CN=Services,configuration-naming-context<>). Этот объект создается, когда лес Active Directory инициируется для регистрации устройств.

Конфигурация регистрации устройств включает перечисленные ниже элементы.

  • Ключи издателя

    Открытый и закрытый ключи, используемые для выдачи сертификата X.509, связанного с зарегистрированным устройством. Закрытые ключи защищены с помощью DKM.

  • Конфигурация службы регистрации устройств

    Политики, относящиеся к службе регистрации устройств.

Контейнер зарегистрированных устройств

Контейнер объектов устройств создается в одном из доменов леса Active Directory. Этот контейнер будет содержать все объекты устройств для леса Active Directory.

По умолчанию контейнер создается в том же домене, что и службы AD FS. (Например, CN=RegisteredDevices,DC=<default-naming-context>). Этот объект создается при инициализации леса Active Directory для регистрации устройств.

Зарегистрированные устройства

Объекты устройств — это новые компактные объекты в доменных службах Active Directory. Они служат для представления отношения между пользователем, устройством и организацией. Объекты устройств используют сертификат, подписанный службами AD FS, для привязки физического устройства к логическому объекту устройства в Active Directory.

Зарегистрированные устройства включают следующие элементы:

  • Отображаемое имя

    Понятное имя устройства. Для устройств Windows это имя узла компьютера.

  • Идентификатор устройства

    Идентификатор GUID, созданный сервером регистрации устройств.

  • Отпечаток сертификата

    Отпечаток сертификата X.509, который используется с зарегистрированным устройством.

  • Тип ОС.

    Тип операционной системы устройства.

  • Версия ОС

    Версия операционной системы устройства.

  • Включен

    Логическое значение, указывающее, включено ли устройство в Active Directory. Только включенным устройствам разрешен доступ к службам.

  • Приблизительное время последнего использования

    Приблизительное время, когда устройство использовалось для доступа к ресурсу. Чтобы ограничить объем трафика репликации, это значение обновляется один раз каждые 14 дней.

  • Зарегистрированный владелец

    Идентификатор безопасности (SID) пользователя, который присоединил это устройство к рабочему месту.

Проверка отзыва SSL-сертификатов серверов AD FS и DRS

Клиент присоединения к рабочему месту проверяет действительность SSL-сертификата сервера AD FS. Если SSL-сертификат сервера AD FS содержит конечную точку списка отзыва сертификатов (CRL), клиент должен иметь возможность связаться с ней для проверки сертификата.

Если для выдачи SSL-сертификатов серверов используются тестовая среда и тестовый центр сертификации (ЦС), то вы можете не включать конечную точку CRL в сертификаты серверов, выдаваемые ЦС. Это позволит клиенту присоединения к рабочему месту пропустить проверку списка CRL.

Внимание

Для рабочих систем делать это не рекомендуется.