在部署 ADCS 時,Microsoft 在文件中建議對構成 ADCS 的服務使用服務帳戶。問題在於,它沒有解決這些是否應該單獨管理,是否可以共享主機,也沒有解決由於涉及 Kerberos 委派而導致遠端伺服器管理員失去存取權限的問題。
我不久前學會如何解決這個問題,因為這是同樣的問題ADFS*已部署:電腦的控制權被服務帳戶竊取,但是,你可能知道,只需將 Active Directory 別名 (CNAME) 新增至電腦帳戶即可恢復。例如;
……如果 CA 被稱為“鎖匠”……
netdom computername locksmith /add:ceslocksmith.domain.tld
netdom computername locksmith /add:ceplocksmith.domain.tld
netdom computername locksmith /add:nedeslocksmith.domain.tld
……或甚至可能是子域; (我從來沒有嘗試過這個想法)
netdom computername locksmith /add:ces.locksmith.domain.tld
…
所以我想知道,如果我為 ADCS 可能使用的每個服務帳戶(CES、CEP、NDES)添加別名,我可以根據建議運行每個帳戶,但在同一台電腦上 —可能違反最佳實踐,但你知道——除了我在某個論壇類型的地方發現了這個東西,上面寫著多次參加 CES(我假設在農場)應該全部運行相同的服務帳戶。沒有提及其他服務。但他們是否也應該共享相同的服務帳戶,或者單獨的服務是否可以綁在一個單身的企業CA每個都在自己的服務帳戶下運行?
謝謝。
*:實際上對於 ADFS 來說情況更糟,因為多年來文件錯誤地指示使用錯誤的 Kerberos
service/PRINCIPAL。它表示host,而不是服務http。給予控制權http到一個帳戶最多會將您鎖定在遠端管理/PowerShell 遠端處理之外,但是將主機的控制權從電腦帳戶中移出會使其脫離網域。更糟的是,這被逐字重複MVPs 和其他人在他們自己的博客中。
答案1
考慮到時間延遲而且還沒有完整的答案,這可能已經無關緊要,但讓我們開始吧:
NDES 連接器(用於 SCEP)不應安裝在頒發 CA 伺服器上,因此這意味著這是不可能的。它應該作為自己的服務帳戶運行,並具有在 CA 上委派的適當「頒發證書」權限以及其他要求。文件。
對於 CES/CEP,您只需根據需要安裝它們 - 例如,對於跨網域或未加入網域的電腦/外部使用者憑證註冊。就我個人而言,如果它們不在 CA 伺服器上,我會更高興,但您能將他們部署在那裡。預設情況下,它們使用 Web 服務的應用程式集區標識,但您可以(並且應該)將其變更為網域使用者帳戶。另請注意,您可以使用 (g)MSA 來執行服務。本文檔相當古老,但仍然是最完整的。
文件指出,如果在CA上安裝CES/CEP,可能會遇到以下問題。這就是為什麼我會親自在其他地方運行這些服務,如果他們是必需的。
如果其他經過 Kerberos 驗證的 http/https 服務與為 Kerberos 驗證配置的憑證註冊策略 Web 服務或憑證註冊 Web 服務在同一主機上執行,則可能會因 SPN 衝突而發生註冊失敗。解決方案是將所有服務配置為以相同使用者帳戶執行
最後,尚不清楚您可能遵循哪些文件或您正在部署哪個版本的 ADCS,但請記住保護 CA 伺服器免受 NTLM 中繼攻擊,根據KB5005413。理想情況下,這意味著在網域控制站上停用 NTLM 驗證(在大多數企業環境中相當困難),或在每個 CS 伺服器(即 CA 或 CES 伺服器)上停用 NTLM 驗證。最低限度的解決方法是需要 https 並在註冊 Web 服務上配置身分驗證擴充保護 (EPA)。