Überprüfen Sie mithilfe dieses Verfahrens, ob die Internetinformationsdienste (Internet Information Services, IIS) auf dem Integritätsregistrierungsstellen-Server (Health Registration Authority, HRA) ordnungsgemäß ausgeführt werden und konfiguriert sind. IIS-Websites werden von der Integritätsregistrierungsstelle zum Verarbeiten der Integritätszertifikatanforderungen für den Client verwendet.

Weitere Informationen zu den Internetinformationsdiensten (Internet Information Services, IIS) finden Sie unter https://go.microsoft.com/fwlink/?LinkId=94386 (möglicherweise in englischer Sprache).

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477 (möglicherweise in englischer Sprache).

Überprüfen der Verfügbarkeit von DomainHRA- und NonDomainHRA-Websites

Auf dem Integritätsregistrierungsstellen-Server können je nach der von Ihnen während der Installation der Integritätsregistrierungsstelle getroffenen Auswahl zwei Websites erstellt werden. Diese Websites werden von der Integritätsregistrierungsstelle zum Verarbeiten domänenauthentifizierter oder anonymer Integritätszertifikatanforderungen verwendet. Nach der Installation ist keine weitere Konfiguration dieser Websites erforderlich. Wenn IIS nicht ausgeführt wird oder nicht ordnungsgemäß konfiguriert wird, können von der Integritätsregistrierungsstelle möglicherweise keine Integritätszertifikate ausgestellt werden.

So überprüfen Sie die Verfügbarkeit von DomainHRA- und NonDomainHRA-Websites
  1. Klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Dienste.

  2. Stellen Sie unter Dienste sicher, dass für den WWW-Publishingdienst der Hinweis Gestartet angezeigt wird und dass der zugehörige Starttyp auf Automatisch festgelegt ist.

  3. Klicken Sie auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

  4. Doppelklicken Sie im Internetinformationsdienste-Manager auf den Computernamen des HRA-Servers.

  5. Doppelklicken Sie auf Websites, und doppelklicken Sie dann auf Standardwebsite.

    • Überprüfen Sie, ob sowohl die DomainHRA- als auch die NonDomainHRA-Website angezeigt wird, wenn Sie während der Installation der Integritätsregistrierungsstelle anonyme Anforderungen für Integritätszertifikate zulassen.

    • Überprüfen Sie, ob nur die DomainHRA-Website angezeigt wird, wenn Sie festlegen, dass Anforderer während der Installation der Integritätsregistrierungsstelle als Mitglied einer Domäne authentifiziert werden müssen.

  6. Klicken Sie auf DomainHRA, und doppelklicken Sie dann auf Authentifizierung. Überprüfen Sie, ob nur Windows-Authentifizierung aktiviert ist.

    Wenn die NonDomainHRA-Website installiert ist, klicken Sie auf NonDomainHRA, und doppelklicken Sie dann auf Authentifizierung. Überprüfen Sie, ob nur Anonyme Authentifizierung aktiviert ist.

  7. Klicken Sie auf den Computernamen des Integritätsregistrierungsstellen-Servers, und doppelklicken Sie dann auf ISAPI- und CGI-Einschränkungen. Überprüfen Sie, ob die Erweiterung hcsrvext.dll auf Zugelassen festgelegt ist.

Wichtig

Wenn anonyme Integritätszertifikatanforderungen aktiviert sind, sollten Sie in den Einstellungen für vertrauenswürdige Servergruppen auf NAP-Clientcomputern die URL der NonDomainHRA-Website nicht mit einer höheren Verarbeitungsreihenfolge als die DomainHRA-Website konfigurieren. Dies kann dazu führen, dass NAP-Clients, die Domänenmitglieder sind, Integritätszertifikate erhalten, die nicht mit den bei der IPsec-geschützten Kommunikation verwendeten Domänenauthentifizierungsanforderungen kompatibel sind.

Weitere Verweise