Kerberos-Konfiguration

Kerberos, UDP, TCP

Ein weiterer Knowledge Base-Artikel, 244474, beschäftigt sich mit der Verwendung von UDP (User Datagram Procotol) bzw. TCP (Transmission Control Protocol) im Zusammenhang mit Kerberos. Standardmäßig wird für Kerberos über den Port 88 mit UDP gearbeitet.

Es gibt nun aber Situationen, in denen die Kerberos-Pakete relativ groß sind. Das hängt vor allem von der Anzahl der SIDs aus der SIDHistory und der Gruppen ab, in denen ein Benutzer Mitglied ist. Da diese Informationen als Autorisierungsdaten bei Kerberos-Tickets mitgeliefert werden, wächst die Größe der Tickets mit der Anzahl der SIDs.

Die Größe von UDP-Paketen ist aber beschränkt, so dass es zu Situationen kommen kann, in denen diese fragmentiert, also in mehrere Pakete aufgeteilt werden müssen. Das führt bei UDP relativ leicht zu Datenverlust, während TCP in dieser Situation erkennt, dass ein Paket fehlt, und es erneut anfordert. In solchen Situationen macht die Umstellung auf TCP als Protokoll daher Sinn. Die Vorgehensweise dafür ist im genannten Artikel beschrieben.

Kerberos-Protokollierung

Treten bei Kerberos Schwierigkeiten auf, lässt sich auch die erweitere Protokollierung von Kerberos-Ereignissen aktivieren. Die Ereignisse werden in das Ereignisprotokoll geschrieben. Um die Informationen umfassend zu sammeln, müssen Sie einen Registry-Parameter für das Log-Level setzen. Die Vorgehensweise ist im Artikel 262177 der Knowledge Base beschrieben.

Kerberos im Cluster

Interessant ist auch der Einsatz von Kerberos in Clustern mit dem Network Load Balancing (NLB). Die Unterstützung gibt es erst beim Windows Server 2003. Wichtig sind dabei eigentlich nur zwei Punkte:

  • Die korrekte Konfiguration des SPNs (Service Principal Name) für den Cluster. Dieser Name muss von den Clients verwendet werden.

  • Die Konfiguration der IIS mit Hilfe von adsutil. vbs und den Konfigurationsschnittstellen so, dass Kerberos das bevorzugte Authentifizierungsprotokoll ist.

Die Vorgehensweise ist im Detail unter www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/
security/kerbnlb.mspx beschrieben.