9
Authentisierung mit Kerberos
Morgen Zusammen,
ich versuche mich seit paar Jahren mit der Windows Struktur zu beschäftigen.
Momentan verstehe ich eine Sache nicht ganz und möchte euch dacher befragen.
Laut Microsoft sollte man das NTLM/2 Verfahren durch Kerberos ersetzen.
In meinem Test DC habe ich das Audit dafür eingeschaltet damit ich sehen kann welche Geraäte noch über NTLM2 kommunizieren.
Dabei habe ich festgestellt das es ein Unterschied macht ob ein Client z.B. den Fileserver über:
filserver
oder über mit (FQDN)
fileserver.firma
anspricht!
über FQDN läuft die Authentisierung wie gewünscht über Kerberos ab, wenn ich nur \\fileserver anwende läuft es über NTLM ab.. Wieso ist das so? ich verstehe den Sinn nicht, wieso kann der DC nicht beide über das Kerberos-Verfahren authentisieren?!
Gruß
Tobi
ich versuche mich seit paar Jahren mit der Windows Struktur zu beschäftigen.
Momentan verstehe ich eine Sache nicht ganz und möchte euch dacher befragen.
Laut Microsoft sollte man das NTLM/2 Verfahren durch Kerberos ersetzen.
In meinem Test DC habe ich das Audit dafür eingeschaltet damit ich sehen kann welche Geraäte noch über NTLM2 kommunizieren.
Dabei habe ich festgestellt das es ein Unterschied macht ob ein Client z.B. den Fileserver über:
filserver
oder über mit (FQDN)
fileserver.firma
anspricht!
über FQDN läuft die Authentisierung wie gewünscht über Kerberos ab, wenn ich nur \\fileserver anwende läuft es über NTLM ab.. Wieso ist das so? ich verstehe den Sinn nicht, wieso kann der DC nicht beide über das Kerberos-Verfahren authentisieren?!
Gruß
Tobi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5227844704
Url: https://administrator.de/contentid/5227844704
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Kerberos basiert maßgeblich auf einer Strong-Name Architektur. Wenn für es für einen Dienst und den angesprochenen Namen keinen SPN (Service Principle Name) auf dem Server gibt kann keine Kerberos Kommunikation stattfinden. Trage also den NetBIOS Name für den Dienst via setspn nach falls er noch nicht existiert.
Wurstel
Wurstel
Morgen wurstel,
ich habe nachgeschaut, der servicePrincipalName war im Attribute Editor vom demjeweiligen NAS-Objekt in der DC eingetragen!
Also ist es richtig das über \\fileserver die authentisierung über NTLM abläuft und nur über FQDN die Verbindung über Kerberos aufgebaut werden kann?!
das heißt wenn ich den clients UNC Pfade erstelle order irgendwelche Verknüpfungen zu Verzeichnissen auf entfernen Netzwerkordner erstelle immer über ein FQDN also \\fileserver.firma laufen muss?
Gruß
Tobi
ich habe nachgeschaut, der servicePrincipalName war im Attribute Editor vom demjeweiligen NAS-Objekt in der DC eingetragen!
Also ist es richtig das über \\fileserver die authentisierung über NTLM abläuft und nur über FQDN die Verbindung über Kerberos aufgebaut werden kann?!
das heißt wenn ich den clients UNC Pfade erstelle order irgendwelche Verknüpfungen zu Verzeichnissen auf entfernen Netzwerkordner erstelle immer über ein FQDN also \\fileserver.firma laufen muss?
Gruß
Tobi
Zitat von @5175293307:
Kerberos basiert maßgeblich auf einer Strong-Name Architektur. Wenn für es für einen Dienst und den angesprochenen Namen keinen SPN (Service Principle Name) auf dem Server gibt kann keine Kerberos Kommunikation stattfinden. Trage also den NetBIOS Name für den Dienst via setspn nach falls er noch nicht existiert.
Kerberos basiert maßgeblich auf einer Strong-Name Architektur. Wenn für es für einen Dienst und den angesprochenen Namen keinen SPN (Service Principle Name) auf dem Server gibt kann keine Kerberos Kommunikation stattfinden. Trage also den NetBIOS Name für den Dienst via setspn nach falls er noch nicht existiert.
Zitat von @Tobi-2001:
Also ist es richtig das über \\fileserver die authentisierung über NTLM abläuft und nur über FQDN die Verbindung über Kerberos aufgebaut werden kann?!
Nein wenn für SMB/cifs auch der NetBIOS Name eingetragen ist geht Kerberos auch mit diesemAlso ist es richtig das über \\fileserver die authentisierung über NTLM abläuft und nur über FQDN die Verbindung über Kerberos aufgebaut werden kann?!
https://www.ibm.com/docs/ja/spectrum-scale/4.2.0?topic=access-prerequisi ...
Würde aber in Zukunft nur noch auf FQDNs setzen und den altbackenen NetBIOS Krams weg tüten, damit gibt's sonst nur Hödel mit Kerberos.
das heißt wenn ich den clients UNC Pfade erstelle order irgendwelche Verknüpfungen zu Verzeichnissen auf entfernen Netzwerkordner erstelle immer über ein FQDN also \\fileserver.firma laufen muss?
Nein.Bitte das Dezember Windows-CU einspielen, da wurden diverse schwere Fehler mit Kerberos behoben.
Danke für den Link!
apropo NetBios, laut MS ist der Dienst Uralt und sollte wenn möglich auch nicht eingesetzt werden.
Kann ich also auf allen Clients einfach den NetBios Protokoll deaktivieren lassen wenn eh alles über das DC-DNS Dienst läuft?
apropo NetBios, laut MS ist der Dienst Uralt und sollte wenn möglich auch nicht eingesetzt werden.
Kann ich also auf allen Clients einfach den NetBios Protokoll deaktivieren lassen wenn eh alles über das DC-DNS Dienst läuft?
Zitat von @Tobi-2001:
Danke für den Link!
apropo NetBios, laut MS ist der Dienst Uralt und sollte wenn möglich auch nicht eingesetzt werden.
Kann ich also auf allen Clients einfach den NetBios Protokoll deaktivieren lassen wenn eh alles über das DC-DNS Dienst läuft?
Wenn du keine Clients mehr hast die es noch brauchen, ja, die Namensauflösung selbst ist ja nicht vom NetBIOS Dienst abhängig.Danke für den Link!
apropo NetBios, laut MS ist der Dienst Uralt und sollte wenn möglich auch nicht eingesetzt werden.
Kann ich also auf allen Clients einfach den NetBios Protokoll deaktivieren lassen wenn eh alles über das DC-DNS Dienst läuft?
Bei der Namensauflösung von nicht FQDNs wird ja per Default der primäre DNS Suffix angehängt und beim DNS Server angefragt, sofern der Client in der Domäne hängt oder ihm das per DHCP mitgeteilt wird. Bei statischen gesetzen IPs an Clients muss dieser evt. in der NIC nachgetragen werden.
Ich hatte vor kurzem das Problem das ich ein Client nicht in die Domäne anmelden konnte, das lag daran das der Netbios Protokoll nicht aktiv war, sobald ich diesen aktiviert habe konnte ich diesen normal in die Domäne anmelden.
Wie kann das sein?
Wie kann das sein?
Fehlendes DNS Suffix.
Meinst du diesen Eintrag hier?
Ich habe tatsächlich noch nirgendwo diesen DNS Suffix bei den Clients eingetragen, wusste gar nicht das dieser für die DC Anmeldung benötigt wird wenn man NetBios ausgeschaltet hat ;/
Ich habe tatsächlich noch nirgendwo diesen DNS Suffix bei den Clients eingetragen, wusste gar nicht das dieser für die DC Anmeldung benötigt wird wenn man NetBios ausgeschaltet hat ;/
Jain, wenn man bei der Anmeldung an der Domain statt eines DNS Namens den NetBIOS Name verwendet sollte der DHCP Server den PCs das Suffix schon im Vorfeld automatisch mitteilen. Manuell muss man hier nur eingreifen wenn man IPs manuell vergibt.
Benutzt man hingegen den FQDN der Domain beim Anmelden ist er im Vorfeld nicht nötig. Es geht hier nur um die Auflösung des Domain Namens bei der Anmeldung.
Lies dir Mal die Grundlagen zur DNS Auflösung unter Windows an und wie es mit nicht DNS Namen umgeht, dann verstehst du was ich meine.
Benutzt man hingegen den FQDN der Domain beim Anmelden ist er im Vorfeld nicht nötig. Es geht hier nur um die Auflösung des Domain Namens bei der Anmeldung.
Lies dir Mal die Grundlagen zur DNS Auflösung unter Windows an und wie es mit nicht DNS Namen umgeht, dann verstehst du was ich meine.
1
