Jump to content

Thema: Probleme Kerberos in einer MOSS 2007 Farm einrichten mit SQL Server 2005


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

nach langer Zeit, hab ich mal wieder etwas Zeit einen Beitrag in das MCSEboard zu schreiben.

 

Teil Nr.:1/2

 

Thema: Probleme Kerberos in einer MOSS 2007 Farm einrichten mit SQL Server 2005

 

Also, ich habe vor einer Woche eine MOSS 2007 Farm mit SP1 mit einem SQL Server 2005 mit SP2 installiert. Die Installation des ganzen war nicht das Problem, nur leider ist es mir bis heute nicht möglich die MOSS 2007 Farm von dem Authentifizierungsprotokoll NTLM auf Kerberos als primäres Authentifizierungsprotokoll umzustellen. Ich hab jetzt schon alle wichtigen Blogs durchgelesen und weis nicht mehr weiter.

 

Hier z.B. ein Blog:

Part 1 - Base Configuration for SharePoint

 

Kerberos zur Datenbank aktivieren

 

Bevor Kerberos auf den Web Applikationen der Frontend Server aktiviert wird, sollte es auch auf Ebene der Datenbank eingerichtet werden. Beim SQL Server 2005 ist das nicht all zu kompliziert. Die Voraussetzung für die Verwendung von Kerberos ist, dass der Datenbankdienst über einen Active Directory Account ausgeführt wird. Ist das der Fall, kann für diesen Service Account ein Service Principal Name (SPN) registriert werden. Die Erstellung des SPNs wird über das Kommandozeilenwerkzeug SETSPN unterstützt. SETSPN ist Bestandteil der Windows Server Ressouce Kit Tools und kann von der Installations-CD oder dieser Website bezogen werden. Konfigurieren eines virtuellen Windows SharePoint Services-Servers zur Verwendung von Kerberos-Authentifizierung und Wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung

 

Direkt Link: Windows 2000/2003 Ressouce Kit Tool: Setspn.exe

 

Hier meine einzelnen Einträge dazu.

 

setspn -A MSSQLSvc/srvsp01.demo.de:1433 demo\administrator

setspn -A HTTP/srvsp01.demo.de demo\administrator

setspn -A HTTP/srvsp01 demo\administrator

 

Die Service Principal Names wurden von mir ohne ein Problem registriert. Mit dem schönen "ldifde" kann man diese abfragen. Hier der Befehl dazu:

 

ldifde -f check_HTTP_MSSQLSvc_SPN.txt -t 3268 -d "" -l servicePrincipalName -r "(servicePrincipalName=HTTP/srvsp01.demo.de*)" -p subtree

 

Nachdem ich die Service Principal Names für den Administrator erstellt und diese zusätzlich überprüft habe. Wurden die SQL Server Dienst neu gestartet.

 

In dem SQL Server Management Studio hab ich dann direkt mit dem Befehl:

 

select auth_scheme, * from sys.dm_exec_connections

 

die Authentifizierung abgefragt, leider wurde mir hier immer noch NTLM und nicht Kerberos als primäres Authentifizierungsprotokoll angezeigt. Wieso ist das so.... Was hab ich falsch gemacht... :confused:

 

Also habe ich dann versucht Kerberos für die SharePoint Applikationen zu aktivieren.

 

Um auf einer SharePoint Web Applikation Kerberos zu aktiviern, müssen die identischen Voraussetzungen wie beim SQL Server gegeben sein. Dass heißt, der Anwendungspool muss über die Identität eines Domain Service Accounts ausgeführt werden.

 

Hier meine Domain Service Accounts und die einzelnen Service Principal Names:

 

Weiter gehts im Teil Nr.:2/2

Link zu diesem Kommentar

Teil Nr.:2/2

 

setspn -A HTTP/srvsp01.demo.de demo\sspadmin

setspn -A HTTP/srvsp01 demo\sspadmin

setspn -A HTTP/srvsp01.demo.de demo\sspadminapppool

setspn -A HTTP/srvsp01 demo\sspadminapppool

setspn -A HTTP/srvsp01.demo.de demo\portalapppool

setspn -A HTTP/srvsp01 demo\portalapppool

setspn -A HTTP/srvsp01.demo.de demo\mysiteapppool

setspn -A HTTP/srvsp01 demo\mysiteapppool

setspn -A HTTP/srvsp01.demo.de demo\sspsearch

setspn -A HTTP/srvsp01 demo\sspsearch

setspn -A HTTP/srvsp01.demo.de demo\wsssearch

setspn -A HTTP/srvsp01 demo\wsssearch

setspn -A HTTP/srvsp01.demo.de demo\wsscrawl

setspn -A HTTP/srvsp01 demo\wsscrawl

 

Diese Domain Service Accounts findet ihr auch in Blog-Link: Part 1 - Base Configuration for SharePoint ganz oben. Zusätzlich habe dann noch in Delegierungseinstellungen für die Domain Service Accounts vorgenommen (Active Directory-Benutzer und -Computer > Eigenschaften eines Domain Service Accounts > Konto unter den Kontooptionen > Konto wird für Delegierungszwecke vertraut).

 

Nachdem der SPN erfolgreich gesetzt wurde, kann das Authentifizierungsprotokoll nun auf der Web Applikation geändert werden. Diese Einstellung kann in der Zentraladministration > Anwendungsverwaltung > Authentifizierungsanbieter geändert werden.

 

Im Punkt IIS-Authentifizierungseinstellungen:

 

Von "NTLM" auf "Integrierte Windows-Authentifizierung" > Aushandeln (Kerberos).

 

Die mit der integrierten Windows-Authentifizierung empfohlene Sicherheitskonfiguration ist Kerberos. Kerberos erfordert, dass das Anwendungspoolkonto 'Netzwerkdienst' ist oder speziell vom Domänenadministrator konfiguriert wurde. Die NTLM-Authentifizierung funktioniert hingegen mit einem beliebigen Anwendungspoolkonto und der Standarddomänenkonfiguration.

 

Nach diesen Änderungen hab ich ein "iisreset" durchgeführt um alles neu zu initialisieren.

 

Jetzt muss noch Kerberos auf dem SSP ermöglicht werden. Hier die Befehl dazu.

 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\12\BIN

 

STSADM.exe -o SetSharedWebServiceAuthn -negotiate

 

Als letzer Schritt müssen jetzt eigentlich noch im Komponentendienste > der Server auf Default Impersonation Level = Delegate gesetzt werden und IIS WAMREG Admin Service > Launch and Activate Permissions > alle Domain Service Accounts hinterlegt werden mit den Berechtigungen 'Local Activation'.

 

Jetzt stellt sich der Eine oder Andere sicherlich die Frage, wie ich denn sicher testen kann, ob der Benutzer sich tatsächlich über Kerberos an der Web Applikation authentifizieren kann. Eine sehr gute Möglichkeit liefert das IIS Ressouce Kit Tool WFETCH, dass kostenlosten heruntergeladen werden kann. IIS Ressouce Kit Tool: WFetch 1.4

 

Ist der AUTHORIZATION-String länger als 1000 Zeichen, kann man sicher gehen, dass die Authentifizierung über Kerberos durchgeführt wurde. Der NTLM Authorization-String ist in der Regel kürzer als 300 Zeichen.

 

Leider wurde mir bis jetzt immer noch NTLM und nicht Kerberos als primäres Authentifizierungsprotokoll angezeigt. :confused:

 

Also was hab ich falsch gemacht??? Ich bin für jede Antwort dankbar. ;)

 

Viele Grüße,

 

Tron

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...