Kerberos über HTTP für OWA mit IE7/Vista

[McFlown 10]

Hallo werte Community,

seit dem ich Vista Workstations mit IE7 einsetze kommt ein Fehler in unserer SBS2003(nonR2)-Umgebung zutage.

Und zwar kann sich kein Client über das Internet mittels Kerberos an den Webserver anmelden. Über NTLM klappt alles.

Webserver wird natürlich mit Negotiate,NTLM betrieben damit er auch als erstes Kerberos nimmt, so wie ich es auch eigentlich will.

Im lokalen Netzwerk klappt alles problem auch über Kerberos (mit Kerbtray überprüft). Nur wenn ich den Laptop an einer Internet-Umgebung betreibe funktioniert Kerberos nicht mehr.

Ich vermute stark dass es ein DNS-Problem ist, denn ich habe mal ein paar Pakets gesnifft auf dem Laptop und herausgefunden dass er nach den Adressen _kerberos_tcpdc_msdcsxxxLOCAL! (xxx ist der Name unserer lokalen Domäne) und _kerberos_tcp!Standardname-des-ersten-Standorts_sitesdc_msdcsxxx! versucht aufzulösen. Diese findet er aber nicht und bricht die Authentifizierung ab und der Benutzer sieht nur eine "Page cannot be displayed" Error bei allen per Kerberos authentifizierten Diensten.

 

Jetzt ist die Frage: Muss ich die externe Domänen Adresse server.yyy.de noch Kerberos irgendwie mitteilen? Ich hatte das schonmal über SetSpn.exe -A http/server.yyy.de versucht - aber ohne Erfolg. (obwohl ich den Port 80/443 verwende)

Kann es sein, dass ich ne DNS-Zone einrichten muss die die externe DNS-Auflösung beim Provider wiederspiegelt?

 

Vielen Dank für Eure Hilfe im Vorraus!

 

Gruß,

Florian