Lars Uhlmann 0 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Könnte eine Lösung sein, die aber im Falle eines weiteren neuen Fileservers relativ hohen Aufwand verursacht. ;) Jedesmal die SPNs anpassen... Deswegen wäre es wünschenswert, wenn der Kerberos-Authentifizierungmechanismus CNAMEs auflöst und den resultierenden A-Record als FQDN heranzieht, was dem Sinn eines CNAME IMHO am nächsten kommt. :wink2: Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 (bearbeitet) Das kann aber prinzipbedingt afaik nicht funktionieren, soweit ich das bei Kerberos kenne. Das funktioniert ja auch mit SSL Zertifikaten nicht, dass du nen CName nutzt und nen Redirect/Cname DNS auf einen anderen Namen veranlaßt, meckert dich auch jeder Browser an. Sollte es doch gehen, dann wärs interessant zu hören. bearbeitet 22. Juni 2016 von NorbertFe Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Daher nutzen wir, sofern es nötig ist, den DisableStrictNameChecking ;) Security ist eh nur was für Feiglinge ;) "DisableStrictNameChecking" kommt noch aus Windows2000 Zeiten. Damals waren solche Setting noch halbwegs vertretbar! Heute würde ich nicht mehr so locker, flockig derartige Features disablen wie damals. Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 auf sich selbst kann er den Alias nicht auflösen. Haben eben versucht den Alias im Explorer einzugeben aber da steht dann "Der Zielkontoname ist ungültig" Dann registriere für den CName einen SPN beim Computeraccount des echten Servers... Dann geht das :) Das kann aber prinzipbedingt afaik nicht funktionieren, soweit ich das bei Kerberos kenne. Das funktioniert ja auch mit SSL Zertifikaten nicht, dass du nen CName nutzt und nen Redirect/Cname DNS auf einen anderen Namen veranlaßt, meckert dich auch jeder Browser an. Sollte es doch gehen, dann wärs interessant zu hören. Doch geht - SAN sei Dein Stichwort. Oder WIldcard-Zertifikat. Und bei Kerberos eben SPNs :) Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Ja, aber dann muss das Zertifikat eben passen, so wie beim Kerberos der spn. Nur der Name/alias reicht eben nicht. Zitieren Link zu diesem Kommentar
Beste Lösung BiERWiESEL 10 Geschrieben 23. Juni 2016 Autor Beste Lösung Melden Teilen Geschrieben 23. Juni 2016 Lösung war nun das Stichwort "SPN" Danke euch allen :thumb1: :jau: Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 23. Juni 2016 Melden Teilen Geschrieben 23. Juni 2016 Hm - warum markierst Du jetzt Deinen eigenen Beitrag als Antwort, wenn doch die eigentliche Antwort zwei Beiträge weiter oben steht? Nicht dass das was ändern würde :) :) Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 23. Juni 2016 Melden Teilen Geschrieben 23. Juni 2016 Weils so grün macht ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.