> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/de/zertifikatsverwaltung/active-directory/allgemeine-konfiguration.md). # Allgemeine Konfiguration Damit SCEPman eingehende SOAP-Anfragen erfolgreich verarbeiten kann, müssen wir einige Schritte durchführen: {% stepper %} {% step %} ### Benutzerdefinierte Domäne und BaseUrl Für eine erfolgreiche Authentifizierung mit SCEPman stellen Sie sicher, dass eine benutzerdefinierte Domäne mit einem `A-Record` auf den App Service verweist. Andernfalls kann der Client keinen gültigen Kerberos-Ticket vom Domain Controller anfordern. {% hint style="info" %} Die benutzerdefinierte Domäne muss dem FQDN Ihrer AD-Domäne nicht ähneln. Eine Domäne `ad.contoso.local` bedeutet nicht, dass Sie für SCEPman eine identische oder ähnliche benutzerdefinierte Domäne benötigen. Siehe das unten beschriebene bekannte Problem bezüglich [WS\_E\_ENDPOINT\_ACCESS\_DENIED](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/certificate-management/active-directory/general-configuration#ws_e_endpoint_access_denied) für weitere Informationen. {% endhint %} Stellen Sie sicher, dass SCEPman so konfiguriert ist, dass es über eine benutzerdefinierte Domäne erreichbar ist: {% content-ref url="/pages/8a4c10114df6670818c24b0cd7578f11bccf9e92" %} [Benutzerdefinierte Domäne](/de/azure-konfiguration/custom-domain.md) {% endcontent-ref %} Die gleiche Anforderung gilt auch nach der ersten Richtlinienanforderung (Auflisten der Zertifikatvorlagen) für die Zertifikatsregistrierung. Damit Authentifizierungen erfolgreich sind, stellen Sie sicher, dass die [AppConfig:BaseUrl](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/scepman-configuration/application-settings/basics#appconfig-baseurl) Variable mit Ihrer benutzerdefinierten Domäne übereinstimmt oder verwenden Sie die dedizierte [AppConfig:ActiveDirectory:BaseUrl](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/scepman-configuration/application-settings/active-directory/general#appconfig-activedirectory-baseurl) Einstellung, wenn Sie den AD-Endpunkt über eine andere URL als Ihre anderen SCEPman-Endpunkte aufrufen möchten. {% endstep %} {% step %} ### Service Principal erstellen Verwenden Sie das `New-SCEPmanADPrincipal` Cmdlet des SCEPman-PowerShell-Moduls, um den Dienstprinzipal in Ihrer lokalen Active Directory-Domäne zu erstellen. Außerdem wird ein Keytab aus diesem Konto exportiert und mit dem CA-Zertifikat von SCEPman verschlüsselt. Sie können diesen Befehl auf einem Domain Controller oder einem domänenverbundenen Server ausführen, auf dem die `RSAT-AD-Tools` Funktion installiert ist. Sie benötigen außerdem die folgenden Berechtigungen in der OU, in der Sie den Dienstprinzipal erstellen möchten: Für die OU selbst: * Computerobjekte erstellen Für untergeordnete Computerobjekte: * Kennwort zurücksetzen * Schreiben `msDS-SupportedEncryptionTypes` * Schreiben `servicePrincipalName` * Schreiben `userPrincipalName` Die untenstehende Variante erfordert außerdem ausgehenden HTTPS-Netzwerkzugriff auf Ihre SCEPman-Instanz. {% hint style="info" %} Wenn Ihr Computer mit Zugriff auf einen Domain Controller keinen Netzwerkzugriff hat, gibt es Varianten des Cmdlets, die ohne diesen auskommen, jedoch zusätzliche Vorbereitung erfordern, etwa das Herunterladen des SCEPman-CA-Zertifikats und das Kopieren der CA auf den Rechner, auf dem das Cmdlet ausgeführt wird. {% endhint %} ```powershell Install-Module SCEPman -Force New-SCEPmanADPrincipal -Name "SCEPmanAD" -AppServiceUrl "scepman.contoso.com" -OU "OU=Example,DC=contoso,DC=local" ``` Das Ausführen dieses Befehls führt zu Folgendem: 1. Erstellen Sie ein Computerobjekt in der `OU=Example,DC=contoso,DC=com` Organisationseinheit. 2. Laden Sie das CA-Zertifikat von SCEPman herunter, um den Keytab in Schritt 5 zu verschlüsseln. 3. Fügen Sie dem Computerobjekt einen Service-Principal-Namen (SPN) hinzu. 4. Erstellen Sie einen Keytab für das Computerkonto, der den Verschlüsselungsschlüssel basierend auf dem Kennwort des Computers enthält. 5. Verschlüsseln Sie den Keytab mit dem CA-Zertifikat von SCEPman, sodass nur SCEPman ihn mithilfe des CA-Privatschlüssels wieder entschlüsseln kann. 6. Geben Sie den verschlüsselten Keytab aus, damit er in die Konfiguration von SCEPman übertragen werden kann. Die Base64-kodierte Ausgabe muss dann der Umgebungsvariable **AppConfig:ActiveDirectory:Keytab** Ihres SCEPman App Service.3 {% endstep %} {% step %} ### Keytab zu SCEPman hinzufügen Die Integration kann ganz einfach aktiviert werden, indem die folgenden Umgebungsvariablen im **SCEPman App Service hinzugefügt werden.** Je nach Anwendungsfall aktivieren Sie eine oder mehrere der verfügbaren Zertifikatvorlagen: *Beispiel mit allen aktivierten Zertifikatvorlagen:* | Einstellung | Wert | | ------------------------------------------- | ----------------------------------------------------------------------- | | AppConfig:ActiveDirectory:Keytab | Base64-kodierter Keytab für den in Schritt 1 erstellten Dienstprinzipal | | AppConfig:ActiveDirectory:Computer:Enabled | true | | AppConfig:ActiveDirectory:User:Enabled | true | | AppConfig:ActiveDirectory:DC:Enabled | true | | AppConfig:ActiveDirectory:RdpServer:Enabled | true | | {% endstep %} | | | {% endstepper %} | | ## Bekannte Probleme ### WS\_E\_ENDPOINT\_ACCESS\_DENIED ``` Fehler: WS_E_ENDPOINT_ACCESS_DENIED Hex: 0x803d0005 Dez: -2143485947 ``` Es ist bekannt, dass dieser Fehler bei der Validierung des CEP-Servers auftritt, wenn Sie die *Standard* URIs des Azure App Service. Dieser Fehler wird dadurch verursacht, dass das Kerberos-Protokoll einen Service-Principal-Namen des A-Records des zu erreichenden Dienstes anfordert. Bei den Standard-Domains des App Service ist beispielsweise `contoso.azurewebsites.net` ist lediglich ein CNAME und verweist auf einen ähnlichen A-Record wie: ``` waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com ``` Da dieser A-Record eines Infrastrukturhosts in Zukunft nicht garantiert konsistent bleibt, wird das Hinzufügen eines Service-Principal-Namens für diesen Host **nicht empfohlen**. Stellen Sie sicher, dass Sie Ihrem App Service eine benutzerdefinierte Domäne hinzufügen und bei Ihrem DNS-Anbieter einen A-Record verwenden, um darauf statt über einen CNAME auf den App Service zu verweisen. {% content-ref url="/pages/8a4c10114df6670818c24b0cd7578f11bccf9e92" %} [Benutzerdefinierte Domäne](/de/azure-konfiguration/custom-domain.md) {% endcontent-ref %} ### ERROR\_INVALID\_PARAMETER ``` Fehler: ERROR_INVALID_PARAMETER Hex: 0x80070057 Dez: -2147024809 ``` Dieser Fehler tritt bei der Registrierung des CEP-Servers auf, wenn Sie eine URI eingeben, die mit `http://`. Stellen Sie sicher, dass Sie einen CEP-Server nur mit `https://` ### ERROR\_ACCESS\_DENIED ``` Fehler: ERROR_ACCESS_DENIED Hex: 0x80070005 Dez: -2147024891 ``` Beim Registrieren eines CEP-Servers im Maschinenkontext muss der handelnde Benutzer (das Konto, das `gpmc.msc`) gestartet hat) während der Bearbeitung der GPO Mitglied der lokalen Gruppe der Administratoren auf dem Computer sein. Stellen Sie sicher, dass Sie `gpmc.msc` in diesem Fall mit erhöhten Berechtigungen starten. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/de/zertifikatsverwaltung/active-directory/allgemeine-konfiguration.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.