Jump to content

Problem mit TerminalServer & Kerberos-Auth

schuess

Von schuess
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

schuess

schuess   10

Geschrieben
Geschrieben

Hallo zusammen

Ich bin neu hier - somit erstmal herzlichste Grüße an alle!

 

Meine Testumgebung besteht aus folgenden Systemen / Produkten:

- dc1.example.com: W2k3R2, PDC, IIS, Exchange 2003, SQL Server 2005, Terminalserver (TS), Zertifizierungsstelle, DNS

- portal.domain.de: SLES10, SAP NetWeaver Portal 7.01 mit SPNego-Auth.; nicht in Domäne aufgenommen

 

Wenn ich nun ein WinXP in die Domäne aufnehme, mich mit einem Domänen-Admin dort anmelde und http://portal.domain.com oder http://dc1.example.com/exchange ansurfe, werde ich dank Kerberos/Windows-Integrated-Authentication (WIA) sofort angemeldet (gewünschtes Verhalten).

Wenn ich mich jedoch mit dem selben Benutzer am TerminalServer anmelde kommt bei beiden Webseiten eine Passwortabfrage. Wenn ich mit der TS-Anmeldung jedoch http://localhost/exchange ansteuere werde ich automatisch authentifiziert.

 

Beide FQDNs sind in die IE-Intranetzone aufgenommen. Die Sicherheitseinstellungen stehen auf "WIA nur in Intranetzone".

 

Sniffen auf Port 88 (Kerberos) bringt bei der TS-Anmeldung keinerlei Treffer.

Mit kerbtray.exe sehe ich bei TS-Anmeldung dass ich über die benötigten Standard-Tickets (TGT) verfüge (die gleichen wie bei der XP-Anmeldung).

 

Kann mir das bitte jemand erklären? Oder sagen wonach ich suchen muss um zu einer Lösung zu gelangen?

 

Danke & Grüße

Schuess

Link zu diesem Kommentar
schuess

schuess   10

Geschrieben
  • Autor
Geschrieben

Ich formuliere auch gerne nochmal anders und vermeide dabei die Erwähnung eines Fremdprodukts sowie der ganzen anderen irrelevanten Software ;)

 

Ich habe auf einem W2k3-R2-DomainController die Microsoft TerminalServices installiert (nur zu Testzwecken).

Wenn ich mich nun mit einem Domänen-Admin am TS anmelde zeigt mir KerbTray.exe nur 2 Service-Principals an. (Auch wenn ich andere Kerberos-aktivierte Seiten ansurfe verändert sich nichts an den gelisteten SPNs)

Wenn ich mich mit dem selben Benutzer jedoch an einem WinXP-Domänen-Client anmelde habe ich von Anfang an ca. 8 Service-Principals und die Kerberos-Authentifizierung funktioniert auch prächtig!

 

Ich hätte gerne dass sich der DomainController mit TerminalServices so verhält wie ein "Standard"-XP-Client. Weiß jemand Rat?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...