Active Directory.pdf - Gattner

Kerberos-Sicherheit 297
• UDP-Pakete können zwischen dem Clientcomputer und den Domänencontrollern fragmentiert
werden. Standardmäßig verwendet die Kerberos-Authentifizierung UDP zum Übertragen der
Daten. UDP gewährt jedoch keine Garantie, dass ein im Netzwerk gesendetes Paket unbeschädigt
sein Ziel erreicht. In Umgebungen mit sehr starkem Netzwerkdatenverkehr gehen Pakete auf
ihrem Weg zum Ziel häufig verloren oder werden fragmentiert. Sie können eine Diagnose für die
UDP-Fragmentierung stellen, indem Sie die vom Netzwerkmonitor gesammelten Daten überprüfen.
Wenn durch starken Netzwerkdatenverkehr eine UDP-Fragmentierung verursacht wird, sollten
Sie den Kerberos-Authentifizierungsdienst für TCP statt UDP konfigurieren. TCP garantiert,
dass ein gesendetes Paket sein Ziel intakt erreicht, und kann daher in jeder Netzwerkumgebung
verwendet werden. Informationen dazu, wie Sie die Kerberos-Authentifizierung zur Nutzung von
TCP zu veranlassen, finden Sie unter „So erzwingen Sie, dass Kerberos in Windows Server 2003,
Windows XP und Windows 2000 TCP anstelle von UDP verwendet“ in der Microsoft Knowledge
Base unter http://support.microsoft.com/kb/244474.
• Benutzer können Mitglieder in zu vielen Gruppen sein. Nach der erfolgreichen Authentifizierung
des Benutzers überträgt das KDC PAC-Daten (Privilege Attribute Certificate) im TGT. Das PAC
enthält verschiedene Typen von Autorisierungsdaten, einschließlich der Gruppen, denen der
Benutzer angehört, der Rechte des Benutzers und der für den Benutzer gültigen Richtlinien. Wenn
der Client ein Ticket erhält, wird anhand der im PAC enthaltenen Informationen das Zugriffstoken
des Benutzers generiert. Um die Leistung zu optimieren, wird die Puffergröße für das PAC
vorbelegt. Die vorbelegte Puffergröße ist normalerweise ausreichend, um die gesamten Autorisierungsdaten
aufzunehmen. Wenn ein Benutzer jedoch sehr vielen Gruppen angehört – von über 70
bis zu über 120, je nach Art der Gruppen – kann die Größe des PAC die vorbelegte Puffergröße
überschreiten. In solch einem Fall generiert das System einen Speicherzuweisungsfehler, die PAC-
Erstellung schlägt fehl, und der Kerberos-Ticketerteilungsdienst kann entweder kein gültiges
Ticket generieren oder generiert ein Ticket mit einem leeren PAC. Mithilfe des Tools Tokensz.exe
können Sie überprüfen, ob dieses Problem vorliegt. Falls ja, können Sie die Anzahl an Gruppen
reduzieren, denen der Benutzer angehört, oder die Registrierung bearbeiten und den Wert Max-
TokenSize für Domänenarbeitsstationen erhöhen. Informationen hierzu finden Sie unter „New
Resolution for Problems with Kerberos Authentication When Users Belong to Many Groups“ in
der Microsoft Knowledge Base unter http://support.microsoft.com/kb/327825.
• Der Dienstprinzipalname für den angeforderten Server ist möglicherweise nicht verfügbar. Dienstprinzipalnamen
(Service Principal Names (SPNs) sind eindeutige Kennungen für auf Servern ausgeführte
Dienste. Jeder Dienst, der die Kerberos-Authentifizierung nutzt, muss einen SPN
besitzen, damit die Clients den Dienst im Netzwerk erkennen können. Er wird in AD DS unter
einem Benutzer- oder Computerkonto als Attribut namens service-Principal-Name registriert. Der
SPN wird dem Konto zugeordnet, unter dem der Dienst oder die Anwendung ausgeführt wird.
Jeder Dienst kann den SPN für einen anderen Dienst nachschlagen. Wenn ein Dienst sich an
einem anderen Dienst authentifziert, unterscheidet er diesen Dienst anhand des SPN von anderen
Diensten, die auf demselben Computer ausgeführt werden. Im Allgemeinen sollten SPNs festgelegt
werden, wenn Sie ein Computerkonto erstellen. Wird für einen Dienst kein SPN eingestellt,
kann das KDC diesen Dienst nicht finden. Da mehrere Dienste gleichzeitig unter demselben
Konto ausgeführt werden können, sind zum Festlegen eines SPN vier Informationen erforderlich,
um den SPN eindeutig zu definieren:
Die Dienstklasse, mit der Sie zwischen mehreren Diensten unterscheiden können, die unter
demselben Konto ausgeführt werden
Das Konto, unter dem der Dienst ausgeführt wird