8.15 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Eine interessante Neuerung auf einem Windows Server 2008 R2-Domänencontroller sind die Active Directory-Webdienste, in der englischsprachigen Welt als Active Directory Web Services (ADWS) bekannt. Auf einem 2012/R2-Domänencontroller stehen diese natürlich auch zur Verfügung. Die ADWS sind eine moderne Schnittstelle zur Arbeit mit dem Active Directory, die von allen Anwendungen genutzt werden kann, die in der Lage sind, einen Webservices-Aufruf abzusetzen.
Webservice-Schnittstelle
Um Verwechslungen vorzubeugen und keine falschen Hoffnungen zu wecken: Eine Webservice-Schnittstelle ermöglicht es, vereinfacht gesagt, Applikationen über HTTP-Daten auszutauschen. Eine solche Schnittstelle ist nicht dazu gedacht, direkt von Menschen genutzt zu werden. ADWS ist also eine Maschinenschnittstelle und nicht etwa eine webbasierte Oberfläche für die Active Directory-Administration.
Das Active Directory-Modul für Windows PowerShell ist übrigens einer der ersten Nutzer der ADWS. Das Active Directory-Verwaltungscenter, das auf den neuen PowerShell-Erweiterungen basiert, ist somit indirekt auch von dem Vorhandensein der ADWS abhängig.
Für Administratoren sind derlei Schnittstellen zwar bei Weitem nicht so spannend wie für Entwickler, die aus eigenen Anwendungen auf das AD zugreifen möchten. Admins müssen allerdings sicherstellen, dass die Schnittstelle fehlerfrei ausgeführt wird.
Die Active Directory-Webdienste werden automatisch installiert, wenn ein R2-Server zum Domänencontroller gemacht wird. Obwohl Webdienste irgendwie danach klingt, als ob die Komponente im IIS gehostet würde, ist dies nicht der Fall; vielmehr finden Sie sie als einen Windows-Dienst (Abbildung 8.261).
Abbildung 8.261 Die Active Directory-Webdienste stecken sozusagen in diesem Windows-Dienst.
Die ADWS lauschen übrigens nicht auf Port 80 oder 443, sondern auf Port 9389. Die erforderliche eingehende Regel in der Windows-Firewall ist auf einem R2-Domänencontroller bereits vorhanden und aktiviert – mit anderen Worten: Das ist eine weitere Konfigurationsaufgabe, die der Admin nicht »zu Fuß« erledigen muss.
Damit die ADWS funktionieren, wird ein Zertifikat mit dem Verwendungszweck Serverauthentifizierung benötigt. Das ist einleuchtend, denn auch wenn nicht der Standardport genutzt wird, handelt es sich letztendlich um eine gesicherte HTTP-Verbindung, und die ist bekanntlich ohne ein installiertes Zertifikat auf dem Server nicht möglich.
Eigene Zertifizierungsstelle
Sie sehen hier also einen weiteren Anwendungsfall, bei dem im Grunde genommen eine eigene Zertifizierungsstelle benötigt wird, um die entsprechenden Zertifikate zu erzeugen. Sofern Sie noch keine Zertifizierungsstelle eingerichtet haben, sei Ihnen das Kapitel über die Active Directory-Zertifikatdienste empfohlen (Kapitel 12).
Nach der Installation des Zertifikats muss der ADWS-Dienst gestoppt und neu gestartet werden:
Net stop adws
Net start adws
Abbildung 8.262 In der Windows-Firewall ist bereits eine Regel für den Zugriff auf die Active Directory-Webdienste eingetragen.
Die Active Directory-Webdienste können in gewissen Grenzen konfiguriert werden, wobei es sich hier um wirklich technische Details handelt, wie beispielsweise die Anzahl der gleichzeitig verarbeitbaren Anforderungen. Im Verzeichnis C:\Windows\ADWS findet sich eine Datei namens Microsoft.ActiveDirectory.WebServices.exe.config. Hierbei handelt es sich um ein XML-Dokument, das recht ausführliche Beschreibungen der einzelnen Parameter enthält (Abbildung 8.263). Im Normalfall sollte eine Modifikation der Standardeinstellungen nicht erforderlich sein, weshalb ich an dieser Stelle nicht näher darauf eingehen werde – Hauptsache, Sie behalten im Hinterkopf, dass es eine solche Datei gibt.
Abbildung 8.263 Die Konfigurationsdatei für die Active Directory-Webdienste
Active Directory-Webdienste
Zum Schluss sei noch darauf hingewiesen, dass die Active Directory-Webdienste nicht nur den Zugriff auf die Domänendienste, sondern auch auf die Lightweight Directory Services (AD LDS) ermöglichen.
Ihre Meinung
Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.