Kerberos-Verwaltung in Windows 2000

Artikel-ID: 232179 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D232179
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
232179
(http://support.microsoft.com/kb/232179/en-us/ )
Kerberos Administration in Windows 2000
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Die Windows 2000-Implementierung des Kerberos-Authentifizierungsprotokolls erfordert keine aufwendige Verwaltung oder Konfiguration. Da es sich um das Standardauthentifizierungspaket handelt, wird es automatisch auf allen Windows 2000-Computern installiert. Abgesehen von Smartcards ist Kerberos normalerweise ein automatischer Prozess, den Sie nicht einrichten müssen. Es gibt nur wenige Richtlinienoptionen, die auf Kerberos angewendet werden können. Der Netzwerkmonitor hat keinen integrierten Parser, und da der meiste Kerberos-Datenverkehr verschlüsselt ist, geben Ablaufverfolgungen nur wenig Aufschluss und sind daher nicht besonders sinnvoll. Dieser Artikel beschreibt die Verwaltung des Kerberos-Protokolls.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Zwei Programme stehen für die Kerberos-Verwaltung zur Verfügung: KerbTray und NetDom.

KerbTray

KerbTray wird zur Anzeige von Ticketinformationen für einen bestimmten Computer verwendet, auf dem das Kerberos-Protokoll läuft. Das KerbTray-Symbol ist rechts in der Taskleiste zu finden und kann zum Anzeigen und Löschen des Ticket-Cache verwendet werden. Klicken Sie zum Aufrufen des Programms mit der rechten Maustaste auf das Symbol und klicken Sie dann auf die Option zum Auflisten oder Löschen von Tickets. Wenn Sie den Ticket-Cache anzeigen, können in der Spalte Flags folgende Ticket-Flags erscheinen:
  • F = forwardable (Weiterleitung möglich)
  • f = forwarded (weitergeleitet)
  • P = proxiable (Proxy möglich)
  • p = proxied (über Proxy)
  • D = may postdate
  • d = postdated
  • i = invalid (ungültig)
  • R = renewable (erneuerbar)
  • I = initial (initial)
  • H = hardware authenticated (Hardware authentifiziert)
  • A = pre-authenticated (vorauthentifiziert)
  • L = OK as delegate

Ticket-Flag-Standards

  • Für das Ticket Granting Ticket (TGT), das erste Ticket in der Liste: FPRI (Forwardable, Proxiable, Renewable und Initial).
  • Für Sitzungstickets (zweites und drittes Ticket in der Liste): FPR (Forwardable, Proxiable und Renewable).

NetDom

NetDom ist ein Resource-Kit-Programm, mit dessen Hilfe Sie sichere Kanäle zwischen Servern und zwischen Servern und Arbeitsstationen ändern können. Unter Windows 2000 ist NetDom ein Programm, dass auf Domänenserver und Vertrauensstellungen (Trusts) prüft. Es wurde geändert, um auch das Zurücksetzen von transitiven Kerberos-Vertrauensstellungen zu ermöglichen.

Kerberos-Richtlinieneinstellungen

In Windows 2000 werden die Kerberos-Richtlinien auf Domänenebene definiert und durch das Schlüsselverteilungscenter (KDC = Key Distribution Center) der Domäne implementiert. Die Kerberos-Richtlinien werden im Active Directory als Teilmenge der Attribute der Domänensicherheitsrichtlinie gespeichert. Standardmäßig können Richtlinienoptionen nur von Mitgliedern der Gruppe der Domänenadministratoren eingestellt werden.

Die Kerberos-Richtlinien liegen in den Standarddomänenrichtlinien und enthalten folgende Optionen:

Benutzeranmeldeeinschränkungen erzwingen

Wenn diese Option aktiviert ist, prüft der KDC jede Anforderung eines Sitzungstickets, indem er die Richtlinien für Benutzerrechte auf dem Zielcomputer daraufhin überprüft, ob der Benutzer berechtigt ist, sich lokal anzumelden oder aus dem Netzwerk auf den Computer zuzugreifen. Diese Prüfung soll auch sicherstellen, dass das anfordernde Konto noch gültig ist. Die Prüfung ist optional, da dieser zusätzliche Schritt Zeit kostet und den Netzwerkzugriff auf Dienste verlangsamen kann. Standardwert: Aktiviert.

Maximaler Zeitraum, in dem ein Benutzerticket erneuert werden kann

Maximale Lebensdeuer eines Tickets (entweder TGT oder Sitzungsticket, obwohl die Richtlinie angibt, dass dieser Wert sich auf ein "Benutzerticket" bezieht). Nach dieser Zeit kann kein Ticket mehr erneuert werden. Standardwert: 7 Tage.

Maximale Gültigkeitsdauer des Diensttickets

Ein "Dienstticket" ist ein Sitzungstickets. Die Einstellung wird in Minuten angegeben. Sie muss mehr als zehn Minuten und weniger als die Einstellung für die maximale Gültigkeitsdauer des Benutzertickets betragen. Standardwert: 10 Stunden.

Maximale Toleranz für die Synchronisation des Computertakts

Der Takt des KDC-Servers und des Kerberos-Clients muss auf einen Wert innerhalb einer vorgegebenen Anzahl von Minuten synchronisiert werden. Wenn keine Synchronisierung innerhalb der vorgegebenen Minutenanzahl stattfindet, werden keine Tickets an den Client ausgestellt. Das wirkt abschreckend gegen Replay-Angriffe. Die Einstellung wird in Minuten angegeben. Standardwert: 5 Minuten.

Maximale Gültigkeitsdauer des Benutzertickets

Ein "Benutzerticket" ist ein TGT und muss nach Ablauf der angegebenen Zeit erneuert werden. Standardwert: 10 Stunden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 232179 - Geändert am: Donnerstag, 18. März 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbinfo kbtool kbenv KB232179
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang