Jump to content

Problem mit TerminalServer & Kerberos-Auth

schuess

Von schuess
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

schuess

schuess   10

Geschrieben
Geschrieben

Hallo zusammen

Ich bin neu hier - somit erstmal herzlichste Grüße an alle!

 

Meine Testumgebung besteht aus folgenden Systemen / Produkten:

- dc1.example.com: W2k3R2, PDC, IIS, Exchange 2003, SQL Server 2005, Terminalserver (TS), Zertifizierungsstelle, DNS

- portal.domain.de: SLES10, SAP NetWeaver Portal 7.01 mit SPNego-Auth.; nicht in Domäne aufgenommen

 

Wenn ich nun ein WinXP in die Domäne aufnehme, mich mit einem Domänen-Admin dort anmelde und http://portal.domain.com oder http://dc1.example.com/exchange ansurfe, werde ich dank Kerberos/Windows-Integrated-Authentication (WIA) sofort angemeldet (gewünschtes Verhalten).

Wenn ich mich jedoch mit dem selben Benutzer am TerminalServer anmelde kommt bei beiden Webseiten eine Passwortabfrage. Wenn ich mit der TS-Anmeldung jedoch http://localhost/exchange ansteuere werde ich automatisch authentifiziert.

 

Beide FQDNs sind in die IE-Intranetzone aufgenommen. Die Sicherheitseinstellungen stehen auf "WIA nur in Intranetzone".

 

Sniffen auf Port 88 (Kerberos) bringt bei der TS-Anmeldung keinerlei Treffer.

Mit kerbtray.exe sehe ich bei TS-Anmeldung dass ich über die benötigten Standard-Tickets (TGT) verfüge (die gleichen wie bei der XP-Anmeldung).

 

Kann mir das bitte jemand erklären? Oder sagen wonach ich suchen muss um zu einer Lösung zu gelangen?

 

Danke & Grüße

Schuess

schuess

schuess   10

Geschrieben
  • Autor
Geschrieben

Ich formuliere auch gerne nochmal anders und vermeide dabei die Erwähnung eines Fremdprodukts sowie der ganzen anderen irrelevanten Software ;)

 

Ich habe auf einem W2k3-R2-DomainController die Microsoft TerminalServices installiert (nur zu Testzwecken).

Wenn ich mich nun mit einem Domänen-Admin am TS anmelde zeigt mir KerbTray.exe nur 2 Service-Principals an. (Auch wenn ich andere Kerberos-aktivierte Seiten ansurfe verändert sich nichts an den gelisteten SPNs)

Wenn ich mich mit dem selben Benutzer jedoch an einem WinXP-Domänen-Client anmelde habe ich von Anfang an ca. 8 Service-Principals und die Kerberos-Authentifizierung funktioniert auch prächtig!

 

Ich hätte gerne dass sich der DomainController mit TerminalServices so verhält wie ein "Standard"-XP-Client. Weiß jemand Rat?

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...