speer 19 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Hallo zusammen, mich treibt im Moment die Umstellung von NTLM+lokale Benutzer auf MSA/Kerberos in den Wahnsinn. Der Aufbau ist: Server1 - Aufruf Webseite zu Server2 über http Server2 - IIS mit Webseite und eigenem Application Pool Server3 - MS SQL 2016 Server für Server2 Server1 hat ein Dienstkonto (MSA-Server1) um in einem Intervall Daten an den Server2 zu übertragen. Auf Server2 läuft IIS der die Daten von Server1 entgegennimmt, aufbereitet und an Server3 übergibt zum Schreiben in die DB. Server3 hat eine SQL2016 Instanz unter dem MSA domain\SQL-SVC-2016. Meine Domäne heißt domain.local :) Meine Idee war, den Konstrukt, bei dem wir durch das Sicherheitsaudiot fielen :), über Kerberos abzusichern. Soweit ich es verstanden habe, genügt es, wenn Server1 das Dienstkonto ein TGT vom DC für Server2 und Server3 erhält. Mit setSPN setzte ich für Server2 und Server3 setspn -S HTTP/Server2 domain\MSA-Server1 setspn -S MSSQLSvc/Server3.domain.local:1433 domain\SQL-SVC-2016 Wieso funktioniert der Mist nicht :D... Weder im Eventlog noch im SQL log ist irgendwas zu erkennen warum es nicht klappt. Ich glaube ich muss mir eine Kerberos Schulung verschreiben lassen.... :( Grüße Speer Zitieren Link zu diesem Kommentar
Beste Lösung Dukel 454 Geschrieben 7. August 2018 Beste Lösung Melden Teilen Geschrieben 7. August 2018 (bearbeitet) Du musst wohl Kerberos Delegation einrichten. EDIT: Als kleiner Einstig eben gefunden, vielleicht hilft es ja: https://www.coresecurity.com/blog/kerberos-delegation-spns-and-more bearbeitet 7. August 2018 von Dukel Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 11. August 2018 Autor Melden Teilen Geschrieben 11. August 2018 Hallo Dukel, Danke für Deine Antwort. arbeite mich nochmals durch :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.