(0) exportieren Drucken
Alle erweitern

Einführung der Erweiterungen zum Negotiate-Authentifizierungspaket

Letzte Aktualisierung: März 2009

Betrifft: Windows 7, Windows Server 2008 R2

In diesem Thema zur Produktbewertung für IT-Professionals wird das neue Authentifizierungsprotokollpaket, NegoExts, beschrieben, mit dem das Negotiate-Protokollpaket erweitert wird, sodass zusätzliche Authentifizierungsprotokolle für Windows 7 und Windows Server 2008 R2 eingeschlossen sind.

Was ist das Negotiate-Authentifizierungsprotokollpaket?

Bei dem Negotiate-Authentifizierungsprotokollpaket handelt es sich um einen Security Support Provider (SSP) in Windows, der Authentifizierung und Verschlüsselung bereitstellt. Seine Rolle besteht darin, zu verhandeln, welches Authentifizierungsprotokoll auf der Grundlage der auf dem Clientcomputer und Server unterstützten Protokolle für eine Authentifizierungsanforderung verwendet werden soll. In Windows-Versionen vor Windows 7 und Windows Server 2008 R2 bietet das Negotiate-Paket Unterstützung für NTLM und Kerberos. Für Windows 7 und Windows Server 2008 R2 wurde das Negotiate-Paket aktualisiert, um weitere SSPs zu unterstützen.

NTLM

NTLM ist ein von Microsoft bereitgestelltes Authentifizierungsprotokoll, das einen Abfrage/Antwort-Mechanismus zur Authentifizierung verwendet, bei dem Clientcomputer ihre Identitäten nachweisen können, ohne ein Kennwort an den Server zu senden. Vom Protokoll werden drei Typen von Meldungen zum Verhandeln einer Anforderung, Abfragen der Authentizität des Senders und Durchführen der Authentifizierung bereitgestellt.

Kerberos

Das Protokoll Kerberos, Version 5 (v5), von Microsoft ist ein auf einem öffentlich verfügbaren Protokoll basierender Authentifizierungsmechanismus. Vom SSP wird die gegenseitige Authentifizierung zwischen einem Clientcomputer und Server oder zwischen einem Server und einem anderen Server innerhalb einer Active Directory-Domäne verwendet.

Weitere Informationen zu Kerberos finden Sie unter Technische Referenz zur Kerberos-Authentifizierung.

Erweiterungen

Bei NegoExts (NegoExts.dll) handelt es sich um ein Authentifizierungspaket, das die Verwendung von SSPs für Anwendungen und Szenarien verhandelt, die von Microsoft und anderen Softwareunternehmen implementiert werden. Pku2u.dll ist einer der unterstützten SSPs, der standardmäßig installiert wird, und Entwickler können benutzerdefinierte Anbieter erstellen. Die Erweiterung des Negotiate-Pakets lässt folgende Szenarien zu:

  • Verfügbarkeit von Rich Clients in einem Verbundsystem. Auf Dokumente auf anderen SharePoint-Sites kann zugegriffen werden, und sie können mithilfe einer vollständigen Microsoft Office-Anwendung bearbeitet werden.

  • Unterstützung von Rich Clients für Microsoft Office Live. Benutzer können sich an Microsoft Office Live-Diensten anmelden und eine vollständige Microsoft Office-Anwendung verwenden.

  • Microsoft Exchange Server und Outlook werden gehostet. Es wird keine Domänenvertrauensstellung erstellt, da Exchange im Web gehostet wird. In Outlook werden Windows Live oder CardSpace zum Authentifizieren von Benutzern verwendet.

  • Verfügbarkeit von Rich Clients zwischen Clientcomputern und Servern. Es werden die Netzwerk- und Authentifizierungskomponenten des Betriebssystems verwendet.

Funktionsweise von NegoExts

Das Negotiate-Paket von Windows behandelt den NegoExts-SSP genauso wie Kerberos und NTLM. NegoExts.dll wird beim Start in die lokale Sicherheitsautorität (Local System Authority, LSA) geladen. Beim Empfang einer Authentifizierungsanforderung verhandelt NegoExts basierend auf der Anforderungsquelle zwischen den unterstützten SSPs. Anmeldeinformationen und Richtlinien werden gesammelt, verschlüsselt und dann an den entsprechenden SSP gesendet, wo anschließend der Sicherheitstoken erstellt wird. Die von NegoExts unterstützten SSPs sind keine eigenständigen SSPs wie Kerberos und NTLM. Wenn bei der Authentifizierungsmethode innerhalb des NegoExts-SSP aus irgendeinem Grund ein Fehler auftritt, wird daher eine Authentifizierungsfehlermeldung angezeigt oder protokolliert. Eine erneute Aushandlung oder Fallbackauthentifizierungsmethoden sind nicht möglich.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft