Lars Uhlmann 0 Geschrieben 22. Juni 2016 Melden Geschrieben 22. Juni 2016 Könnte eine Lösung sein, die aber im Falle eines weiteren neuen Fileservers relativ hohen Aufwand verursacht. ;) Jedesmal die SPNs anpassen... Deswegen wäre es wünschenswert, wenn der Kerberos-Authentifizierungmechanismus CNAMEs auflöst und den resultierenden A-Record als FQDN heranzieht, was dem Sinn eines CNAME IMHO am nächsten kommt. :wink2:
NorbertFe 2.279 Geschrieben 22. Juni 2016 Melden Geschrieben 22. Juni 2016 (bearbeitet) Das kann aber prinzipbedingt afaik nicht funktionieren, soweit ich das bei Kerberos kenne. Das funktioniert ja auch mit SSL Zertifikaten nicht, dass du nen CName nutzt und nen Redirect/Cname DNS auf einen anderen Namen veranlaßt, meckert dich auch jeder Browser an. Sollte es doch gehen, dann wärs interessant zu hören. bearbeitet 22. Juni 2016 von NorbertFe
blub 115 Geschrieben 22. Juni 2016 Melden Geschrieben 22. Juni 2016 Daher nutzen wir, sofern es nötig ist, den DisableStrictNameChecking ;) Security ist eh nur was für Feiglinge ;) "DisableStrictNameChecking" kommt noch aus Windows2000 Zeiten. Damals waren solche Setting noch halbwegs vertretbar! Heute würde ich nicht mehr so locker, flockig derartige Features disablen wie damals.
daabm 1.429 Geschrieben 22. Juni 2016 Melden Geschrieben 22. Juni 2016 auf sich selbst kann er den Alias nicht auflösen. Haben eben versucht den Alias im Explorer einzugeben aber da steht dann "Der Zielkontoname ist ungültig" Dann registriere für den CName einen SPN beim Computeraccount des echten Servers... Dann geht das :) Das kann aber prinzipbedingt afaik nicht funktionieren, soweit ich das bei Kerberos kenne. Das funktioniert ja auch mit SSL Zertifikaten nicht, dass du nen CName nutzt und nen Redirect/Cname DNS auf einen anderen Namen veranlaßt, meckert dich auch jeder Browser an. Sollte es doch gehen, dann wärs interessant zu hören. Doch geht - SAN sei Dein Stichwort. Oder WIldcard-Zertifikat. Und bei Kerberos eben SPNs :)
NorbertFe 2.279 Geschrieben 22. Juni 2016 Melden Geschrieben 22. Juni 2016 Ja, aber dann muss das Zertifikat eben passen, so wie beim Kerberos der spn. Nur der Name/alias reicht eben nicht.
Beste Lösung BiERWiESEL 10 Geschrieben 23. Juni 2016 Autor Beste Lösung Melden Geschrieben 23. Juni 2016 Lösung war nun das Stichwort "SPN" Danke euch allen :thumb1: :jau:
daabm 1.429 Geschrieben 23. Juni 2016 Melden Geschrieben 23. Juni 2016 Hm - warum markierst Du jetzt Deinen eigenen Beitrag als Antwort, wenn doch die eigentliche Antwort zwei Beiträge weiter oben steht? Nicht dass das was ändern würde :) :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden