Kerberos standartmäßig deaktiviert bei W2K server ?

[buddylight 10]

Hallo Leute,

 

Mir sagte jemand, dass Kerberos bei W2K server default auf manuell steht und ich das erst aktivieren müsste.

 

Wenn ja, wie wird dann authentifiziert ohne Kerberos?

 

Würde mich über eine Antwort freuen, da ich mitten in einem Projekt hänge... ;)

[grizzly999 11]

Naja, was die Leute alles so sagen :D

Lass es dir doch zeigen, schwarz auf weiss, mit Quellnachweis, und ganz schnell ist Schweigen im Walde, oder nur verlegenes Stottern und Ausflüchtesuchen ;)

 

Kerberos im AD-Forest (!!) ist das standard Authentifizierungsverfahren für alle DCs und Clients ab 2000 aufwärts. Nur unter bestimmten Umständen nicht.

 

grizzly999

[buddylight 10]

Naja, was die Leute alles so sagen :D

Lass es dir doch zeigen, schwarz auf weiss, mit Quellnachweis, und ganz schnell ist Schweigen im Walde, oder nur verlegenes Stottern und Ausflüchtesuchen ;)

 

Kerberos im AD-Forest (!!) ist das standard Authentifizierungsverfahren für alle DCs und Clients ab 2000 aufwärts. Nur unter bestimmten Umständen nicht.

 

grizzly999

na super 2 leute sagten mir gerade das Gegenteil....

 

ich bitte von dir um Quellnachweis und wehe du flüchtest :p

[Stoni 10]

Na einen hast Du ja schon. Gib grizzly an. :)

Wenn es einer weiss dann er.

 

Stoni

[Das Urmel 10]

mh,

dass Kerberos bei W2K server default auf manuell steht und ich das erst aktivieren müsste.

Starte doch mal das Kerberos-Schlüsselverteilungscenter (darum gehts doch?) zum "Spass" auf nem Non-DC :D

[Velius 10]

Reden wir hier von einem Member oder einem DC? Bei einem DC sollte das Ding eher auf automatsich stehen - beim Rest ist's nur manuell nötig.:D

[grizzly999 11]

Na einen hast Du ja schon. Gib grizzly an. :)

Wenn es einer weiss dann er.

 

Stoni

*big grin* :) :)

 

Kerberos V5 authentication

Kerberos V5 is the primary security protocol for authentication within a domain. The Kerberos V5 protocol verifies both the identity of the user and network services. This dual verification is known as mutual authentication

aus: Kerberos V5 authentication

 

Authentication in Windows 2000

Windows 2000 supports several protocols for verifying the identities of users who claim to have accounts on the system, including protocols for authenticating dial-up connections and protocols for authenticating external users who access the network over the Internet. But there are only two choices for network authentication within Windows 2000 domains:

 

• Kerberos Version 5. The Kerberos version 5 authentication protocol is the default for network authentication on computers with Windows 2000.

usw. undsofort

aus: Windows 2000 Kerberos Authentication

 

Aber vielmehr suche ich jetzt nicht raus, jetzt sind erst die anderen (Nichtswisser dran) ;)

 

 

grizzly999

[Velius 10]

Steht ja auch ganz schick in der Dienst Beschreibung (lesen können vorausgesetzt:cool: ):

 

Kerberos Key Distribution Center

 

On domain controllers this service enables users to log on to the network using the Kerberos authentication protocol. If this service is stopped on a domain controller, users will be unable to log on to the network. If this service is disabled, any services that explicitly depend on it will fail to start.

 

:D :D ;)

[Das Urmel 10]

Aber vielmehr suche ich jetzt nicht raus

Off-Topic:

saustarke Aussage :D

[Egoshooter 10]

Hallo,

 

wenn ein Server oder Client im AD integriert ist, wird standardmäßig das Kerberos-Protokoll verwendet.

Ausnahme: Wenn es sich um einen Stand-alone-PC handelt und der PC auf die lokale Datenbank zur Benutzerauthentifizierung zugreift, wird das NTLM-Protokoll verwendet.

 

So habe ich es zumindest noch in schwacher Erinnerung ;)

 

Gruß

Micha

[nerd 28]

Hi,

 

auch in einer Domäne kommt es vor, dass NTLM verwendet wird bzw. dort hin zurück gefallen wird - das sollte aber nicht vorkommen und ist ein Zeichen dafür, dass entweder Server oder Netzwerk überlastet ist oder die Zeit auf den Servern out of sync gelaufen ist (wie auch immer das manche hin bekommen...).

 

Den einfachsten Beweis solltest du über den Netzwerkmonitor führen können. Zeichne einfach die Pakete auf die z. B. auf deinem DC ein und aus gehen...

 

Gruß

[Velius 10]

Generell kann man sagen:

 

Immer wenn Kerberos aus irgendwelchen Gründen nicht anwendbar ist, sei es weil der Client es nicht unterstützt, usw. gibt's ein fall-back auf NTLM. NTLM wird aber auch noch häufig in Verbindung mit Websites und Windows Integrierte Authentifizierung verwendet, da Proxies die Verwendung von Kerberos behindern.

[buddylight 10]

Vielen Dank an alle jetzt weiß ich Bescheid :D

[nerd 28]

Um den Ball Rund zu machen - hier kommt die Frage her, oder?

 

Thema anzeigen - Keine LDAP verbindung über port 389 - ldap url falsch ? - SuSE Linux

[grizzly999 11]

:rolleyes:

Off-Topic:

Mei, was für eine Tüte, woher hat er seine Beobachtungsgabe

Zitat:

Aus persönlicher Beobachtung bei der Installation eines 2003er Servers kann ich dir sagen das man dort die Wahl hat zwischen den beiden Möglichkeiten.

Der Hacken bzw. der Punkt für die Auswahl steht allerdings bei der Kerberos Variante ... Wenn man also immer ohne zu lesen "weiter" klickt landet man bei Kerberos ... *fg*

Ich weiss nicht, ob ich schon über 3.000x Server/DCs unter Windows 2003 Installationen bin, oer knapp drunter, aber ich bin noch nie nicht auf so eine Auswahl gestoßen.

Der mag was von Hindus oder JNDI, oder wie das heißt, von JAVA und SUMATRA verstehen [sarkamus OFF], aber nicht von 2003. Punkt. Aus. Bastsa.

Und das sage ich hier als ein von Microsoft seit 4 Jahren ohne Unterbrechung zum MVP - Server Directory Services Ernannter (Hui, ich glaube das ertse mal, das ich diese Keule zücke, aber da schwillt einem doch der Kamm :nene: )

 

 

grizzly999