Kerberos Authentifizierung

[frauke 10]

Hallo,

wir haben 2 Domänencontroller unter Windows 2000, 7 Mitgliedsserver unter Windows 2000 und 3 Mitgliesserver unter Windows 2003.

In einem der DC's tauchen regelmäßig folgende Fehlermeldungen im Sicherheitsprotokoll auf:

 

Ereignisquelle: Security

Ereigniskategorie: Kontoanmeldung

Ereigniskennung: 677

Benutzer: NT-Autorität\System

Computer: Servername

Fehlgeschlagene Anfrage für Dienstticket

Benutzername:

Benutzerdomäne:

Dienstname:

Ticketoptionen: 0x40830000

Fehlercode: 0xE

Clientadresse: IP-Adresse

 

Der Fehlercode bedeutet, dass der Client (in diesem Fall dem Windows 2003 Server) einen Verschlüsselungstyp (encryption type) verwendet hat, den der KDC nicht unterstützt.

 

Leider weiß ich nicht, wie ich dem Windows 2003-Server beibringen soll, welchen Typ er verwenden soll. Gibt es dafür ein Tool? Oder ist es vielleicht das Authentifizierungspaket "wdigest" welches bei den Windows 2003 Servern in der Registrierung unter LSA - Security Packages zu finden ist, bei den Windows 2000-Servern hingegen nicht?

 

Vielen Dank für Eure Hilfe,

Frauke

[frauke 10]

Guten Morgen allerseits,

ich stelle die Frage nochmal anders:

Was passiert, wenn ich in der Registrierung die wdigest-Authentifizierung lösche?

Hat jemand Erfahrung?

Oder sonst Tipps, wie ich die Kompatibilität herstelle. Eigentlich soll es ja kein Problem sein, solange ich unter Windows 2003 nicht einen Schlüssel hinzufüge, der die Clientadresse an das Kerberos-Ticket anhängt. Aber das ist anscheinend nur die Theorie.

 

Bin dankbar für jeden Tipp.

Frauke

[gr@mlin 10]

hi frauke,

 

vielleicht hilft dir dieser kb-artikel weiter: http://support.microsoft.com/default.aspx?scid=kb;en-us;824905

 

gruss, gr@mlin

[frauke 10]

Hallo Gr@mlin,

vielen Dank. Ich habe einige Artikel dazu gelesen, aber auf diesen bin ich dabei nicht gestossen.

Dir ein schönes Wochenende,

Frauke