Active Directory.pdf - Gattner

296 Kapitel 8: Active Directory-Domänendienstsicherheit
Wenn Sie vermuten, dass der Authentifizierungsfehler auf ein Kerberos-Problem zurückzuführen ist,
gehen Sie folgendermaßen vor, um die Fehlerursache genauer zu identifizieren:
1. Überprüfen Sie mithilfe von Kerberos Tray oder Kerberos List, dass Sie ein Dienstticket für den
Server besitzen, mit dem Sie eine Verbindung herstellen möchten. Diese Tools führen alle auf der
Arbeitsstation aktiven Diensttickets auf. Wenn Sie ein Dienstticket für den Server besitzen und
noch immer eine Fehlermeldung beim Zugriff auf eine Ressource erhalten, kann ein Fehler mit
dem Dienstprinzipalnamen oder ein Autorisierungsfehler vorliegen.
2. Wenn Sie kein Dienstticket besitzen, bestätigen Sie anhand von Kerberos Tray oder Kerberos List,
dass Sie über ein TGT verfügen. Das TGT wird vom KDC-Dienst auf einem Domänencontroller
erteilt, sobald der Benutzer sich anmeldet. Wenn Sie ein TGT, jedoch kein Dienstticket besitzen,
untersuchen Sie das Systemereignisprotokoll. Anhand der im Systemprotokoll aufgeführten Fehler
können Sie feststellen, warum Sie für den Dienst kein Ticket erhalten können.
Hinweis Standardmäßig ist die detaillierte Kerberos-Ereignisprotokollierung nicht aktiviert. Fügen Sie
zum Aktivieren der Kerberos-Protokollierung dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters einen LogLevel-Wert vom Typ
REG_DWORD hinzu. Setzen Sie den Wert auf 0x1.
3. Wenn die Kerberos-Authentifizierung fehlschlägt, prüfen Sie das Systemereignisprotokoll oder
gesammelte Daten in einer Netzwerkablaufverfolgung, worin der vom KDC oder dem Kerberos-
SSP zurückgegebene Kerberos-Fehlercode enthalten sein sollte.
Weitere Informationen Eine vollständige Liste von Fehlercodes im Zusammenhang mit der Kerberos-
Authentifizierung finden Sie im englischsprachigen Artikel „Troubleshooting Kerberos Errors“ unter http://
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx.
Im Folgenden sind einige der Hauptgründe für Fehler bei der Kerberos-Authentifizierung aufgeführt:
• Der Zeitunterschied zwischen dem Clientcomputer und den Domänencontrollern beträgt mehr als
fünf Minuten. Wenn ein Kerberos-Client sich authentifiziert, befindet sich ein Zeitstempel in dem
an das KDC gesendete Authentifizierungspaket. Außerdem besitzen alle vom KDC ausgestellten
Tickets eine Ablaufzeit. Das bedeutet, dass die Kerberos-Authentifizierung sich auf das Datum
und die Uhrzeit verlässt, die im KDC und auf dem Client eingestellt sind. Wenn zwischen dem
KDC und einem Client, der Tickets anfordert, ein zu großer Zeitunterschied liegt, kann das KDC
nicht feststellen, ob die Anforderung legitim ist oder ob es sich um eine erneute Wiedergabe handelt.
Es ist daher von großer Wichtigkeit, dass die Uhrzeit auf allen Computern in einem Netzwerk
synchronisiert ist, damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert. Das
bedeutet, dass alle Domänen und Gesamtstrukturen in einem Netzwerk dieselbe Zeitquelle verwenden
müssen. Ein AD DS-Domänencontroller fungiert als autorisierender Zeitserver für seine
Domäne, wodurch sichergestellt ist, dass die Uhrzeit in der gesamten Domäne übereinstimmt.
Allerdings ist die Uhrzeit über mehrere Domänen möglicherweise nicht synchronisiert. Es empfiehlt
sich, entweder eine externe Zeitquelle oder eine einzige Zeitquelle innerhalb des Netzwerks
für die Synchronisierung aller Computer zu verwenden.
• Die AD DS-Replikation schlägt fehl oder verzögert sich. Beim Kerberos-Ticketerteilungsvorgang
werden Kontokennworthashes verwendet. Wenn das Kennwort eines Benutzers oder Computers
kürzlich geändert wurde und das neue Kennwort nicht in der Umgebung repliziert wurde, kann
das KDC ein Dienstticket mit dem falschen geheimen Schlüssel verschlüsseln. in diesem Fall
schlägt die Kerberos-Authentifizierung fehl.