Windows Server 2008 Gruppenrichtlinien-Einstellungen für die Interoperabilität mit nicht - Microsoft-Kerberos-Bereichen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947706 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Microsoft bietet Interoperabilitätsfeatures in Windows Server 2008 und Windows Vista Service Pack 1 (SP1), mit die diese Computer nicht-Microsoft-Implementierungen des Kerberos-Protokolls für die Authentifizierung verwenden können. Um diese Konfiguration zu aktivieren, müssen einige Einstellungen auf Computern geändert werden, die nicht - Microsoft-Kerberos-Bereich zugeordnet werden soll. In Windows Server 2008 können Administratoren diese Konfigurationseinstellungen für mehrere Computer mithilfe von Gruppenrichtlinien bereitstellen. Dieser Artikel beschreibt die Gruppenrichtlinieneinstellungen, die zur Unterstützung der Interoperabilität mit nicht - Microsoft-Implementierungen in Windows Server 2008 und Windows Vista SP1 hinzugefügt wurden.

Weitere Informationen

In den folgenden Speicherort in der Gruppenrichtlinien-Verwaltungskonsole finden Sie die folgenden Einstellungen:
Computer Configuration\Administrative Templates\System\Kerberos

Richtlinie: Definieren Sie Namen Kerberosbereich Zuordnungen von Hostnamen

Diese Richtlinieneinstellung ermöglicht die Angabe der DNS-Hostnamen und DNS-Suffixe, die einem Kerberosbereich zugeordnet sind.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie anzeigen und ändern die Liste der DNS-Hostnamen und DNS-Suffixe, die einem Kerberosbereich zugeordnet sind, wie von der Gruppenrichtlinie definiert.

Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die Host Name Kerberosbereich Zuordnungen-Liste, die Gruppenrichtlinien definiert gelöscht.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet das System die Name-Kerberosbereich Zuordnungen von Hostnamen, die in der lokalen Registrierung definiert werden, wenn die Zuordnungen Bereich vorhanden.

Um die Liste der Zuordnungen anzuzeigen, aktivieren Sie die Richtlinieneinstellung, und klicken Sie dann auf Anzeigen.

Um eine Zuordnung hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Aktivieren der Richtlinieneinstellung.
  2. Beachten Sie die Syntax, und klicken Sie dann auf Anzeigen.
  3. Klicken Sie auf Hinzufügen, und geben Sie einen Bereichsnamen, die Liste der DNS-Hostnamen und DNS-Suffixe mithilfe der Syntax, die Sie in Schritt 2 notiert haben.
Um eine Zuordnung zu entfernen, klicken Sie auf den Zuordnungseintrag für die, und klicken Sie dann auf Entfernen Sie.

Um eine Zuordnung zu bearbeiten, entfernen Sie den aktuellen Eintrag aus der Liste, und fügen Sie eine neue Zuordnung, die verschiedenen Parameter verfügt.

Richtlinie: Definieren von interoperable Kerberos Version 5 Bereich Einstellungen

Diese Richtlinieneinstellung konfiguriert den Kerberos-Client so, dass die Authentifizierung des Clients mit interoperablen Kerberos Version 5-Bereichen kann durch diese Richtlinieneinstellung definierten.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie anzeigen und ändern die Liste der interoperable Kerberos Version 5-Bereichen und deren Einstellungen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die interoperablen Kerberos Version 5 Bereich Einstellungen, die Gruppenrichtlinien definiert gelöscht.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet das System die interoperablen Kerberos Version 5 Bereich Einstellungen, die in der lokalen Registrierung definiert werden, wenn die Bereich Einstellungen vorhanden sind.

Zum Anzeigen der Liste der interoperable Kerberos Version 5-Bereichen aktivieren Sie die Richtlinieneinstellung, und klicken Sie dann auf Anzeigen.

Um ein interoperabler Kerberosbereich Version 5 hinzuzufügen, gehen Sie folgendermaßen vor:
  1. Aktivieren der Richtlinieneinstellung.
  2. Beachten Sie die Syntax, und klicken Sie dann auf Anzeigen.
  3. Klicken Sie auf Hinzufügen, geben Sie den interoperablen Kerberos Version 5-Bereichsnamen in der Wertnamen das Feld, und geben Sie die Definition der Einstellungen in der Wert im Feld. Verwenden Sie die Syntax, die Sie in Schritt 2 notiert haben.
Um ein interoperabler Kerberosbereich Version 5 zu entfernen, klicken Sie auf den Kerberos Version 5-Eintrag, und klicken Sie dann auf Entfernen Sie.

Um eine Zuordnung zu bearbeiten, entfernen Sie den aktuellen Eintrag aus der Liste, und fügen Sie eine neue Zuordnung, die verschiedenen Parameter verfügt.

Richtlinie: Erfordert strenge KDC-Überprüfung

Diese Richtlinieneinstellung steuert der Kerberos-Client-Verhalten, wenn der Client das Schlüsselverteilungscenter (Key Distribution Center, KDC) Zertifikat überprüft.

Wenn Sie diese Richtlinieneinstellung aktivieren:
  • Der Kerberos-Client erfordert, dass der KDC-x. 509-Zertifikat die KDC Schlüssel Zweck Objekt-ID in den Erweiterungen für die erweiterte Schlüsselverwendung (EKU) enthält.
  • Der Kerberos-Client erfordert, dass der KDC-x. 509-Zertifikat eine dNSName SubjectAltName (SAN)-Erweiterung enthält, die den DNS-Namen der Domäne übereinstimmt.
  • Wenn der Computer einer Domäne angehört, muss der Kerberos-Client die KDC-x. 509-Zertifikat von einer Zertifizierungsstelle im NTAUTH-Speicher signiert werden muss.
  • Wenn der Computer nicht zu einer Domäne angehört, können der Kerberos-Client für das Stammzertifizierungsstellen-Zertifikat auf der Smartcard in die Pfadüberprüfung der der KDC-x. 509-Zertifikat verwendet werden.
Wenn Sie deaktivieren oder diese Richtlinieneinstellung nicht konfigurieren, muss der Kerberos-Client nur das KDC-Zertifikat die Serverauthentifizierung Zweck Objekt-ID in den EKU-Erweiterungen enthalten.

Informationsquellen

Weitere Informationen über Kerberos 5-Interoperabilität finden Sie auf der folgenden Microsoft TechNet-Website:
http://technet.Microsoft.com/en-us/library/bb742433.aspx

Eigenschaften

Artikel-ID: 947706 - Geändert am: Montag, 10. September 2012 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
Keywords: 
kbinfo kbpubtypekc kbhowto kbmt KB947706 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947706
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com