Kerberos Problem mit 2 Server

[speer 19]

Hallo zusammen,

mich treibt im Moment die Umstellung von NTLM+lokale Benutzer auf MSA/Kerberos in den Wahnsinn.

Der Aufbau ist:

Server1 - Aufruf Webseite zu Server2 über http

Server2 - IIS mit Webseite und eigenem Application Pool

Server3 - MS SQL 2016 Server für Server2

 

Server1 hat ein Dienstkonto (MSA-Server1) um in einem Intervall Daten an den Server2 zu übertragen. Auf Server2 läuft IIS der die Daten von Server1 entgegennimmt, aufbereitet und an Server3 übergibt zum Schreiben in die DB.

Server3 hat eine SQL2016 Instanz unter dem MSA domain\SQL-SVC-2016. Meine Domäne heißt domain.local :)

 

Meine Idee war, den Konstrukt, bei dem wir durch das Sicherheitsaudiot fielen :), über Kerberos abzusichern.  Soweit ich es verstanden habe, genügt es, wenn Server1 das Dienstkonto ein TGT vom DC für Server2 und Server3 erhält.

Mit setSPN setzte ich für Server2 und Server3

setspn -S HTTP/Server2 domain\MSA-Server1

setspn -S MSSQLSvc/Server3.domain.local:1433 domain\SQL-SVC-2016

 

Wieso funktioniert der Mist nicht :D... Weder im Eventlog noch im SQL log ist irgendwas zu erkennen warum es nicht klappt. Ich glaube ich muss mir eine Kerberos Schulung verschreiben lassen.... :(

 

Grüße

Speer

 

[Dukel 468]

Du musst wohl Kerberos Delegation einrichten.

 

EDIT:
Als kleiner Einstig eben gefunden, vielleicht hilft es ja:

https://www.coresecurity.com/blog/kerberos-delegation-spns-and-more

bearbeitet 7. August 2018 von Dukel

[speer 19]

Hallo Dukel,

Danke für Deine Antwort. arbeite mich nochmals durch :)