Kerberos-Verwaltung in Windows 2000

Dieser Artikel wurde zuvor veröffentlicht unter D232179
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
232179 Kerberos Administration in Windows 2000
Zusammenfassung
Die Windows 2000-Implementierung des Kerberos-Authentifizierungsprotokolls erfordert keine aufwendige Verwaltung oder Konfiguration. Da es sich um das Standardauthentifizierungspaket handelt, wird es automatisch auf allen Windows 2000-Computern installiert. Abgesehen von Smartcards ist Kerberos normalerweise ein automatischer Prozess, den Sie nicht einrichten müssen. Es gibt nur wenige Richtlinienoptionen, die auf Kerberos angewendet werden können. Der Netzwerkmonitor hat keinen integrierten Parser, und da der meiste Kerberos-Datenverkehr verschlüsselt ist, geben Ablaufverfolgungen nur wenig Aufschluss und sind daher nicht besonders sinnvoll. Dieser Artikel beschreibt die Verwaltung des Kerberos-Protokolls.
Weitere Informationen
Zwei Programme stehen für die Kerberos-Verwaltung zur Verfügung: KerbTray und NetDom.

KerbTray

KerbTray wird zur Anzeige von Ticketinformationen für einen bestimmten Computer verwendet, auf dem das Kerberos-Protokoll läuft. Das KerbTray-Symbol ist rechts in der Taskleiste zu finden und kann zum Anzeigen und Löschen des Ticket-Cache verwendet werden. Klicken Sie zum Aufrufen des Programms mit der rechten Maustaste auf das Symbol und klicken Sie dann auf die Option zum Auflisten oder Löschen von Tickets. Wenn Sie den Ticket-Cache anzeigen, können in der Spalte Flags folgende Ticket-Flags erscheinen:
  • F = forwardable (Weiterleitung möglich)
  • f = forwarded (weitergeleitet)
  • P = proxiable (Proxy möglich)
  • p = proxied (über Proxy)
  • D = may postdate
  • d = postdated
  • i = invalid (ungültig)
  • R = renewable (erneuerbar)
  • I = initial (initial)
  • H = hardware authenticated (Hardware authentifiziert)
  • A = pre-authenticated (vorauthentifiziert)
  • L = OK as delegate

Ticket-Flag-Standards

  • Für das Ticket Granting Ticket (TGT), das erste Ticket in der Liste: FPRI (Forwardable, Proxiable, Renewable und Initial).
  • Für Sitzungstickets (zweites und drittes Ticket in der Liste): FPR (Forwardable, Proxiable und Renewable).

NetDom

NetDom ist ein Resource-Kit-Programm, mit dessen Hilfe Sie sichere Kanäle zwischen Servern und zwischen Servern und Arbeitsstationen ändern können. Unter Windows 2000 ist NetDom ein Programm, dass auf Domänenserver und Vertrauensstellungen (Trusts) prüft. Es wurde geändert, um auch das Zurücksetzen von transitiven Kerberos-Vertrauensstellungen zu ermöglichen.

Kerberos-Richtlinieneinstellungen

In Windows 2000 werden die Kerberos-Richtlinien auf Domänenebene definiert und durch das Schlüsselverteilungscenter (KDC = Key Distribution Center) der Domäne implementiert. Die Kerberos-Richtlinien werden im Active Directory als Teilmenge der Attribute der Domänensicherheitsrichtlinie gespeichert. Standardmäßig können Richtlinienoptionen nur von Mitgliedern der Gruppe der Domänenadministratoren eingestellt werden.

Die Kerberos-Richtlinien liegen in den Standarddomänenrichtlinien und enthalten folgende Optionen:

Benutzeranmeldeeinschränkungen erzwingen

Wenn diese Option aktiviert ist, prüft der KDC jede Anforderung eines Sitzungstickets, indem er die Richtlinien für Benutzerrechte auf dem Zielcomputer daraufhin überprüft, ob der Benutzer berechtigt ist, sich lokal anzumelden oder aus dem Netzwerk auf den Computer zuzugreifen. Diese Prüfung soll auch sicherstellen, dass das anfordernde Konto noch gültig ist. Die Prüfung ist optional, da dieser zusätzliche Schritt Zeit kostet und den Netzwerkzugriff auf Dienste verlangsamen kann. Standardwert: Aktiviert.

Maximaler Zeitraum, in dem ein Benutzerticket erneuert werden kann

Maximale Lebensdeuer eines Tickets (entweder TGT oder Sitzungsticket, obwohl die Richtlinie angibt, dass dieser Wert sich auf ein "Benutzerticket" bezieht). Nach dieser Zeit kann kein Ticket mehr erneuert werden. Standardwert: 7 Tage.

Maximale Gültigkeitsdauer des Diensttickets

Ein "Dienstticket" ist ein Sitzungstickets. Die Einstellung wird in Minuten angegeben. Sie muss mehr als zehn Minuten und weniger als die Einstellung für die maximale Gültigkeitsdauer des Benutzertickets betragen. Standardwert: 10 Stunden.

Maximale Toleranz für die Synchronisation des Computertakts

Der Takt des KDC-Servers und des Kerberos-Clients muss auf einen Wert innerhalb einer vorgegebenen Anzahl von Minuten synchronisiert werden. Wenn keine Synchronisierung innerhalb der vorgegebenen Minutenanzahl stattfindet, werden keine Tickets an den Client ausgestellt. Das wirkt abschreckend gegen Replay-Angriffe. Die Einstellung wird in Minuten angegeben. Standardwert: 5 Minuten.

Maximale Gültigkeitsdauer des Benutzertickets

Ein "Benutzerticket" ist ein TGT und muss nach Ablauf der angegebenen Zeit erneuert werden. Standardwert: 10 Stunden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 232179 – Letzte Überarbeitung: 01/11/2015 02:52:27 – Revision: 3.0

Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbinfo kbtool kbenv KB232179
Feedback