Frage zu DNS Alias und Kerberos

[ntldr 10]

Hallo,

ich habe eine Verständnisfrage zu Kerberos. Angenommen ich habe einen Fileserver mit dem Namen FileServerNeu. Dieser ist im DNS eingetragen mit der IP-Adresse 10.1.1.15 und der Zugriff auf die Shares auf dem Server von remote funktioniert. Nun erstelle ich im DNS einen Alias mit den Namen FileServerAlt und weise ihm ebenfalls die 10.1.1.15 zu. Der Zugriff über den Aliasnamen auf meinen Fileserver funktioniert soweit auch. Allerdings werden Benutzer die über den Aliasnamen zugreifen immer über NTLM statt über Kerberos authetifiziert, da es für den Aliasnamen ja keinen SPN gibt.

Ich frage mich nun, ob ich einfach via Adsiedit das Computerobject bearbeiten kann und ihm einen zweiten SPN zuweisen. Dazu würde ich das Object servicePrincipalName editieren. Dort gibt es bereits die nachfolgenden beiden Einträge:

HOST/FileServerNeu

HOST/FileServerNeu.domain.fqdn.local

 

Ich würde da noch folgendes dazu packen:

HOST/FileServerAlt.domain.fqdn.local

 

Geht das ? Oder was ist die richtige Vorgehensweise um Kerberos auch über den Cname zum fliegen zu bekommen.

[olc 18]

Hi,

 

ja, das Einrichten des SPNs für den CNAME sollte (eigentlich) funktionieren. Da Du jedoch nicht nur den Host selbst auflösen möchtest, sondern auch den Server als Fileserver nutzen möchtest, müßtest Du zusätzlich auch noch "CIFS" SPNs registrieren.

 

Dafür kannst Du wie schon von Dir angesprochen ADSIEdit.msc oder SETSPN nutzen.

 

Die Frage ist jedoch, warum Du den alten Eintrag überhaupt weiter betreiben möchtest. Wäre es nicht sinnvoller, die alten Verweise zu entfernen bzw. die Einträge für den alten Fileserver auf den "betroffenen" Systemen zu ändern?

 

Viele Grüße

olc

[ntldr 10]

Hm, du hast recht. Ist komisch, dass es für CIFS dort bislang keinen Eintrag gibt und funktionieren tut es dennoch. Das abschaffen des Alias geht leider nicht so einfach weil diverse Applikationen diesen noch verwenden und die Umstellung noch einige Zeit dauern wird.

[olc 18]

Hi,

 

Ist komisch, dass es für CIFS dort bislang keinen Eintrag gibt und funktionieren tut es dennoch.

 

dann aber wahrscheinlich nicht über Kerberos, sondern NTLM. Da Du unter Windows die Dateidienste (bei Verwendung von Kerberos) über "CIFS" SPNs ansprichst, solltest Du noch einmal prüfen, ob unter Umständen auch dort bisher NTLM genutzt wurde.

 

Viele Grüße

olc

[frr 11]

Hallo OLC,

 

dann aber wahrscheinlich nicht über Kerberos, sondern NTLM. Da Du unter Windows die Dateidienste (bei Verwendung von Kerberos) über "CIFS" SPNs ansprichst, solltest Du noch einmal prüfen, ob unter Umständen auch dort bisher NTLM genutzt wurde.

 

auf den normalen Servernamen werden sich die Clients mit Kerberos authentifizieren. Der SPN "CIFS" existiert nicht. Er wird mit durch den SPN "HOST/xyz" abgebildet. Der OP muss also für den Aliasnamen die HOST SPNs nachpflegen.

 

Grüße

 

Frank

[olc 18]

Hi Frank,

 

ja - Du hast Recht. Der Client sendet zwar eine CIFS-Anfrage, jedoch wird dies im Gegensatz zu anderen Diensten auf den HOST-Eintrag gemappt. Hatte ich nicht auf dem Schirm.

 

Danke für den Hinweis und Gruß

olc

[frr 11]

Hallo Olc,

 

da gibt es noch ein kleines Problem mit den Einträgen. Wenn der Server auch ein DC ist, dann kannst Du keine alternativen HOST SPNs setzen, da diese vom Server selbst überwacht werden. Wenn sich da etwas an den SPNs tut, dann werden die wieder auf Standard zurückgesetzt.

 

grüße

 

Frank

[olc 18]

Hi Frank,

 

jepp - das weiß ich. :)

 

So, wie ich die Frage des TO jedoch lese, geht es bei den Systemen nicht um DCs, sondern um reine Dateiserver. Diese "überwachen" und ersetzen ihre SPNs nicht in der Form, wie es DCs tun. Von daher sollte das klappen, auch wenn es meines Erachtens unsauber ist.

 

Viele Grüße

olc