Kerberos-Troubleshooting

Auch wenn Kerberos kaum Konfigurationseinstellungen erfordert und prinzipiell als Dienst im Hintergrund arbeitet, kommt es doch erstaunlich oft zu Problemen – und das nicht nur in heterogenen Umgebungen. Der Artikel soll Ihnen ein paar Tipps zum Kerberos-Troubleshooting an die Hand geben.

Nicht alle Schwierigkeiten, die im Zusammenhang mit Kerberos auftreten, sind auf den ersten Blick als Kerberos-Probleme zu identifizieren. Grundsätzlich gilt, dass jedes Authentifizierungsproblem, ob lokal oder über das Netzwerk, ebenso wie der Zugriff auf Netzwerkressourcen ein Problem bei Kerberos sein kann, weil Kerberos in vielen Situationen als Authentifizierungsprotokoll genutzt wird.

Auf der anderen Seite sind viele Kerberos-Fehler eigentlich keine Probleme bei Kerberos, sondern Folgefehler, weil erforderliche Basisdienste im Netzwerk nicht funktionieren. Folgende Dienste sind für Kerberos zwingend erforderlich:

  • Die Netzwerkinfrastruktur muss funktionieren, so dass alle Systeme im Netzwerk erreichbar sind.

  • Die Domänencontroller, die als KDCs fungieren, müssen erreichbar sein.

  • DNS muss korrekt konfiguriert sein und die Hostnamen und Dienstnamen korrekt auflösen. Insbesondere müssen auch die Dienstnamen korrekt gesetzt sein.

  • Die Uhren müssen innerhalb des für Kerberos zulässigen Intervalls synchronisiert sein. Gerade dieser Punkt führt vor allem bei der Nutzung von Kerberos über die Grenzen von Forests hinweg öfter zu Fehlern.

Voraussetzungen für das Troubleshooting

Um Kerberos-Probleme oder Fehler, die mit Kerberos in Zusammenhang stehen könnten, erfolgreich zu analysieren, müssen einige Voraussetzungen erfüllt sein:

  • Es müssen administrative Berechtigungen für das System, auf dem die Fehleranalyse erfolgt, vorliegen. Andernfalls können keine Kerberosbezogenen Einstellungen angepasst werden.

  • Es sollten alle kritischen Updates und Sicherheits-Patches installiert sein, sowohl für das Betriebssystem als auch für Anwendungen, die Kerberos nutzen („kerberized applications“). Außerdem sollten auch Nicht-Microsoft-Komponenten in der Kerberos-Infrastruktur entsprechend aktualisiert werden.

  • Das Funktionieren der oben genannten Dienste und der Zeitsynchronisation sollte sichergestellt werden – es macht keinen Sinn, im Detail nach Kerberos-Fehlern zu suchen, wenn man nicht einmal weiß, ob DNS korrekt arbeitet.

Auf dem System sollten die Windows Support-Tools und die im vorangegangenen Artikel genannten Resource-Kit-Tools installiert sein. Außerdem sollte die Überwachung von Anmeldeereignissen laufen, um Fehler besser nachvollziehen zu können.

Bild 1: Beim Internet Explorer muss die Windows- Authentifizierung aktiviert sein.
Bild 1: Beim Internet Explorer muss die Windows- Authentifizierung aktiviert sein.

Fehlerhafte SPNs

Ein häufiger Fehler im Zusammenhang mit Kerberos sind nicht korrekt gesetzte SPNs (Service Principal Names). Für jeden Dienst sollte genau ein SPN definiert sein. Mehrere SPNs können dazu führen, dass Clients ein fehlerhaftes Service Ticket erhalten, das beispielsweise mit einem Schlüssel eines anderen SPNs verschlüsselt ist. Es gibt eine Reihe von Fehlermeldungen im Zusammenhang mit nicht korrekt gesetzten SPNs, die an die aufrufenden Anwendungen zurückgeliefert werden. Die Anwendung muss solche Meldungen verarbeiten. Die typischen Fehlermeldungen weisen darauf hin, dass entweder ein Client oder Server nicht in der Kerberos-Datenbank gefunden wurde, was schlicht daran liegt, dass im Active Directory das SPN-Attribut nicht gesetzt ist und entsprechend der SPN nicht aufgelöst werden kann.