(0) exportieren Drucken
Alle erweitern

Neues bei der Kerberos-Authentifizierung

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Februar 2013

Betrifft: Windows 8, Windows Server 2012

Dieses Thema richtet sich an IT-Spezialisten und beschreibt neue Funktionen und Verbesserungen der Windows-Implementierung des Kerberos-Authentifizierungsprotokolls in Windows Server 2012 und Windows 8.

Die Windows Server-Betriebssysteme implementieren das Kerberos-Version 5-Authentifizierungsprotokoll und Erweiterungen für die Authentifizierung durch öffentliche Schlüssel und Kennwörter. Der Kerberos-Authentifizierungsclient wird als ein Security Support Provider (SSP) implementiert, auf den über die Security Support Provider-Schnittstelle (Security Support Provider Interface, SSPI) zugegriffen werden kann. Die Erstauthentifizierung von Benutzern ist in die Architektur für einmaliges Anmelden des Windows-Anmeldungsdiensts integriert. Das Kerberos-Schlüsselverteilungscenter (Kerberos Key Distribution Center, KDC) ist im Domänencontroller in andere Sicherheitsdienste in Windows Server integriert. Das KDC verwendet die Active Directory-Domänendienste (AD DS) als Sicherheitskontendatenbank. AD DS ist für Kerberos-Standardimplementierungen innerhalb der Domäne oder Gesamtstruktur erforderlich. In Windows Server 2012 und Windows 8 kann die Kerberos-Authentifizierung genutzt werden, um das Problem fehlender Konnektivität mit dem Domänencontroller außerhalb der Unternehmensfirewall zu beheben. Zu diesem Zweck fungiert sie als Proxy für Kerberos-Authentifizierungs- und Kennwortänderungsnachrichten für Benutzer, die über DirectAccess oder Remotedesktopdienste Zugriff auf die Domäne anfordern.

Aufgrund der zunehmenden Komplexität von Anmeldeszenarien erhöht sich die Menge von Autorisierungsinformationen in den Authentifizierungsnachrichten, was in einigen Fällen zu einem Authentifizierungsfehler führen kann. In Windows Server 2012 und Windows 8 wurden Verbesserungen implementiert, um dieser Zunahme Rechnung zu tragen.

In Kerberos-Authentifizierungsprozessen werden Autorisierungsdaten durch den Client vom Domänencontroller abgerufen und dann an die Ressource gesendet. Mit der wachsenden Komplexität von Organisationen kann sich auch die Anzahl von Gruppen, denen ein Benutzer angehört, deutlich erhöhen. Wenn Benutzer Mitglieder von vielen Gruppen in der Ressourcendomäne, universellen Gruppen und mit dem Sicherheits-ID-Verlauf verknüpften Gruppen sind, kann der Umfang der Autorisierungsdaten im Dienstticket zunehmen. Die Größe der Authentifizierungsnachricht kann die standardmäßige Kontexttoken-Puffergröße überschreiten, die Kerberos für Anwendungen meldet, und dies kann zu Authentifizierungsfehlern führen. Zudem nimmt der Umfang der Autorisierungsdaten zu, wenn diese Anspruchs- und Geräteinformationen enthalten.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Diese Komprimierung vereinfacht Bereitstellungen, wenn in einer Organisation viele Benutzer mit vielen Mitgliedschaften in der Ressourcendomäne vorhanden sind. In Windows Server 2012 und Windows 8 komprimiert das KDC die Gruppen in der Ressourcendomäne automatisch, wodurch sowohl die Größe des Diensttickets als auch die Anzahl von Anwendungsauthentifizierungsfehlern reduziert werden können. Nachdem das Windows Server 2012-KDC die Komprimierung durchgeführt hat, können die unterstützten Betriebssysteme Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7, Windows Vista und Windows XP das kompaktere Kerberos-Dienstticket verwenden.

Worin liegen die Unterschiede?

Die KDC-Ressourcengruppenkomprimierung ist ein Standardfeature der Implementierung des Kerberos-Protokolls in den Windows-Betriebssystemen.

Wenn Anwendungen Abfragen zum Ermitteln der maximalen Größe des Authentifizierungskontexttoken-Puffers ausführen, damit sie vorab Speicher zuordnen können, kann die Authentifizierung fehlschlagen, wenn die zurückgegebene Kerberos- oder Aushandlungsnachricht größer als erwartet ist.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Der Anstieg der Standardgröße dieses Puffers verhindert, dass eine größere Anzahl von Anwendungsauthentifizierungsanforderungen aufgrund einer Platzbeschränkung fehlschlägt.

Worin liegen die Unterschiede?

In Windows Server 2012 und Windows 8 wurde die standardmäßige Kerberos-SSPI-Kontexttoken-Puffergröße erhöht, und es wird empfohlen, diesen Wert auf über 48.000 Bytes festzulegen.

Mit der neuen Richtlinieneinstellung Maximale Kerberos-SSPI-Kontexttoken-Puffergröße festlegen in der administrativen Kerberos-Vorlage können Sie den Wert festlegen, der an Anwendungen zurückgegeben wird, die die maximale Authentifizierungskontexttoken-Puffergröße anfordern. Durch diese Gruppenrichtlinieneinstellung entfällt die manuelle Festlegung des Registrierungswerts "MaxTokenSize" in "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters".

Welchen zusätzlichen Nutzen bietet diese Änderung?

Diese Gruppenrichtlinieneinstellung ermöglicht Ihnen das präzise Steuern der Kontexttoken-Puffergröße entsprechend den Authentifizierungsanforderungen der Anwendungen in Ihrer Umgebung.

Worin liegen die Unterschiede?

Falls Sie den Registrierungswert "MaxTokenSize" noch nicht konfiguriert haben, sollten Sie diese Richtlinie mit einer Einstellung von 48.000 Byte anwenden. Die neue Warnung für große Kerberos-Tickets kann verwendet werden, um zu bestimmen, ob Ihre Organisation ein Problem mit einem großen Puffer für Authentifizierungskontexttokens hat oder sich einem solchen Problem nähert.

Mit der neuen Richtlinieneinstellung Warnungsereignisse für große Kerberos-Tickets in der administrativen KDC-Vorlage können Sie die Systemwarnungsereignisse steuern, die von einem KDC protokolliert werden, wenn sich die Größe der bei der Kerberos-Authentifizierung ausgegebenen Tickets einem konfigurierten Schwellenwert nähert oder diesen überschreitet. Die Warnungen aufgrund der Ticketgröße haben im Systemprotokoll die Ereignis-ID 31.

Worin liegen die Unterschiede?

Beim Festlegen dieses Warnungsschwellenwerts sind Sie jedoch einige Punkte zu bedenken. Bei einem zu hohen Wert werden Warnungen erst generiert, wenn Authentifizierungsfehler auftreten, weil die Authentifizierungskontexttoken-Puffergröße höher als erwartet ist. Wenn der Wert zu niedrig ist, wird die Analyse durch viele Protokolleinträge erschwert. Die Größe sollte auf einen der folgenden Werte festgelegt werden:

  • Benutzerdefinierter Registrierungswert "MaxTokenSize"

  • Mit der Gruppenrichtlinieneinstellung Maximale Kerberos-SSPI-Kontexttoken-Puffergröße festlegen bereitgestellte Größe

Wenn die Einstellung Warnungsereignisse für große Kerberos-Tickets nicht aktiviert ist, wird der Standardschwellenwert von 12.000 Bytes verwendet. Dies ist die Standardeinstellung für "MaxTokenSize" für Kerberos-Tickets in Windows 7, Windows Server 2008 R2 und älteren Versionen.

Die folgenden Features wurden in Windows Server 2012 und Windows 8 für die Kerberos-Authentifizierung eingeführt, um Ihnen das Erstellen stabilerer Anwendungen zu ermöglichen.

Der erweiterte Schutz für die Authentifizierung soll gegen Authentifizierungs-Relayangriffe schützen. Er verwendet eine Kombination aus Kanalbindungs- und Dienstbindungstechniken. Der erweiterte Schutz wurde in Windows 7 eingeführt und auf mehreren zuvor veröffentlichten Betriebssystemen verfügbar gemacht.

Der erweiterte Schutz basiert auf einer Zusammenarbeit von client- und serverseitigen Technologien sowie einem speziellen Regelsatz. Eine dieser Regeln besagt z. B., dass das Ziel der Authentifizierung, der Dienstprinzipalname (Service Principal Name, SPN), beabsichtigt sein muss – auch dann, wenn der Benutzer zur Authentifizierung "verlockt" wird. Der Ziel-SPN muss aus der Benutzerabsicht abgeleitet werden, und nicht aus einer nicht vertrauenswürdigen Quelle.

Worin liegen die Unterschiede?

In Windows Server 2012 bietet "InitializeSecurityContext()" zusätzlich Unterstützung für das ISC_REQ_UNVERIFIED_TARGET_NAME-Kennzeichen, das von Anwendungen verwendet werden kann, wenn sie Zielnamen aus einer nicht vertrauenswürdigen Quelle bereitstellen. So können für erweiterten Schutz konfigurierte Dienste die Authentifizierung bei einer nicht vertrauenswürdigen Quelle sicher behandeln. Da NTLM- und Kerberos-Clients, die versuchen, die Authentifizierung mit einem nicht vertrauenswürdigen Dienstprinzipalnamen vorzunehmen, dies explizit in ihren Authentifizierungsnachrichten angeben, lassen die Dienste die Authentifizierungsanforderung abhängig von ihrer Konfiguration für erweiterten Schutz entweder zu oder lehnen sie ab:

  • Deaktiviert: zulassen

  • Aktiviert: ablehnen

Der Kerberos-SSP unterstützt jetzt EncryptMessage/DecryptMessage aus Kernel-Anwendungen heraus.

Der Kerberos-SSP unterstützt jetzt die Geräteanmeldung mit einem Zertifikat.

Wenn sich der Benutzer unter Verwendung einer Smartcard mit zugeordneter Gruppe angemeldet hat, ging in Windows 7 beim Herstellen einer Verbindung mit Ressourcen außerhalb der Filiale die Gruppe verloren. Ein Gerät unter Windows 8 in einer Filiale verwendet einen Hubdomänencontroller unter Windows Server 2012, um ein Ticket Granting Ticket (TGT) abzurufen. Mithilfe des TGTs fordert es Diensttickets für Ressourcen außerhalb der Filiale an. Zur Verwendung dieses Features ist keine Konfiguration erforderlich.

Wenn Sie die Zugriffssteuerung basierend auf Ansprüchen und Verbundauthentifizierung erstellen möchten, müssen Sie die dynamische Zugriffssteuerung bereitstellen. Dies setzt voraus, dass Sie Kerberos-Clients upgraden und das KDC verwenden, das diese neuen Autorisierungstypen unterstützt. Bei Windows Server 2012 müssen Sie nicht warten, bis alle Domänencontroller und die Domänenfunktionsebene aktualisiert wurden, um die neuen Zugriffssteuerungsoptionen nutzen zu können.

Informationen zur dynamischen Zugriffssteuerung in Windows Server 2012 finden Sie unter Dynamische Zugriffssteuerung: Szenarioübersicht und in den verwandten Themen.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Sie können die Zugriffssteuerung basierend auf Forderungsauthentifizierung und Verbundauthentifizierung erstellen.

Worin liegen die Unterschiede?

Die neue Richtlinieneinstellung KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring in der administrativen KDC-Vorlage ermöglicht es Ihnen, einen Domänencontroller mithilfe der Kerberos-Authentifizierung zur Unterstützung von Ansprüchen und der Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring zu konfigurieren. Diese Richtlinieneinstellung wird für die Domänencontroller-Organisationseinheit konfiguriert.

Wenn die unterstützte (oder eine höhere) Einstellung konfiguriert wurde, kündigen Domänencontroller unter Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008 die Domänenunterstützung für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring an. In einer Domäne, die Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring unterstützt, dürfen sich keine Domänencontroller unter Windows Server 2003 befinden.

Zudem ermöglicht es Ihnen die Richtlinieneinstellung Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring in der administrativen Vorlage, Geräte unter Windows 8 mithilfe der Kerberos-Authentifizierung zur Unterstützung von Ansprüchen und der Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring zu konfigurieren. Bei Geräten unter Windows 8 schlägt die Authentifizierung fehl, wenn sie keinen Domänencontroller unter Windows Server 2012 finden. Sie müssen sicherstellen, dass ausreichend Domänencontroller unter Windows Server 2012 für alle unterstützten Konto-, Weiterleitungs- und Ressourcendomänen vorhanden sind.

In der folgenden Tabelle sind die vier Konfigurationen aufgeführt, die in KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring verfügbar sind.

 

Konfiguration Funktion Verhalten des Domänencontrollers in Windows Server 2012

Nicht unterstützt (Standard)

Keine Mindestanforderung für Domänencontroller unter Windows Server 2012.

Ansprüche nicht bereitgestellt

Verbundauthentifizierung nicht unterstützt

Kerberos Armoring nicht unterstützt

Unterstützt

Alle Domänencontroller kündigen die Unterstützung für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring an.

Erfordert eine ausreichende Anzahl von Domänencontrollern unter Windows Server 2012, um die Authentifizierungsanforderungen für Geräte unter Windows 8 in der Domäne zu behandeln.

Ansprüche werden auf Anforderung bereitgestellt

Die Verbundauthentifizierung wird auf Anforderung bereitgestellt, wenn sie von der Ressource unterstützt wird.

Kerberos Armoring unterstützt

Immer Ansprüche bereitstellen

Alle Domänencontroller kündigen die Unterstützung für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring an.

Erfordert die Domänenfunktionsebene von Windows Server 2012

Ansprüche werden immer bereitgestellt.

Die Verbundauthentifizierung wird auf Anforderung bereitgestellt, wenn sie von der Ressource unterstützt wird.

Kerberos Armoring und flexible Authentifizierung mittels Secure Tunneling (RFC FAST)-Verhalten werden unterstützt.

Nicht hochgerüstete Authentifizierungsanforderungen ablehnen

Alle Domänencontroller kündigen die Unterstützung für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring an.

Erfordert die Domänenfunktionsebene von Windows Server 2012

Erfordert, dass alle FAST-fähigen Geräte die Authentifizierung anfordern.

Ansprüche werden immer bereitgestellt.

Die Verbundauthentifizierung wird auf Anforderung bereitgestellt, wenn sie von der Ressource unterstützt wird.

Kerberos-Nachrichten ohne Armoring werden abgelehnt, und flexible Authentifizierung mittels Secure Tunneling (RFC FAST)-Verhalten wird unterstützt.

Die Optionen Immer Ansprüche bereitstellen und Nicht hochgerüstete Authentifizierungsanforderungen ablehnen verursachen vorübergehende Authentifizierungs- oder Zugriffssteuerungsfehler, wenn in der Domäne Domänencontroller mit einem anderen Betriebssystem als Windows Server 2012 vorhanden sind. Diese Optionen werden daher erst wirksam, wenn die Domäne auf der Windows Server 2012-Funktionsebene konfiguriert wurde. Bis dahin verhalten sich Domänencontroller unter Windows Server 2012 als wäre die Option Unterstützt konfiguriert.

Die Unterstützung der Forderungs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring wirkt sich aus folgenden Gründen auf den Domänencontroller aus:

  1. Die Ermittlung sicherer Kerberos-Domänenfunktionen ist erforderlich und führt zu weiterem Nachrichtenaustausch. Ressourcenserver unter Windows Server 2012 senden Protokollwechselanforderungen für Nicht-Windows 8-Geräte, sodass ein zusätzlicher Nachrichtenaustausch mit Kontodomänen und Weiterleitungsdomänen stattfindet. Diese Anforderungen verlassen den Standort, wenn am Standort kein Domänencontroller verfügbar ist.

  2. Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung erhöhen die Größe und Komplexität der Daten in der Nachricht, was zu längeren Verarbeitungszeiten und größeren Kerberos-Diensttickets führt.

  3. Kerberos Armoring verschlüsselt Kerberos-Nachrichten vollständig und signiert Kerberos-Fehler. Dadurch nimmt die Verarbeitungszeit zu, die Größe des Kerberos-Diensttickets ändert sich jedoch nicht.

Die Unterstützung von Ansprüchen und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring beeinträchtigt u. U. die Konnektivität und den Dateizugriff (wenn mindestens die Option "Unterstützt" ausgewählt ist). Dies ist auf folgende Ursachen zurückzuführen:

  1. Die Einstellung konfiguriert eine Domäne für das neue Zugriffssteuerungsmodell, das von neuen Diensten unterstützt werden kann.

  2. Bei Geräten, die Ansprüche, Verbundauthentifizierung und Kerberos Armoring unterstützen, ist nur dann eine Authentifizierung möglich, wenn ein Domänencontroller gefunden wird, der ebenfalls Ansprüche, Verbundauthentifizierung und Kerberos Armoring unterstützt. Dadurch wird sichergestellt, dass das Clientgerät bei der Authentifizierung vollständige Domänenautorisierungsinformationen für alle Zugriffssteuerungsüberprüfungen (lokal und remote) erhält.

  3. Geräte unter Windows 8, die Ansprüche, Verbundauthentifizierung und Kerberos Armoring nicht unterstützen, dürfen nicht mit anspruchsbasierter Zugriffssteuerung für Start- oder Anmeldedienste oder anspruchsbasierter Zugriffssteuerung für lokale Dateien konfiguriert werden. Der Zugriff wird verweigert, und Ansprüche sind nicht verfügbar, bis die Domäne auf der Windows Server 2012-Domänenfunktionsebene mit der Option "Immer Ansprüche bereitstellen" konfiguriert wurde.

Die Richtlinieneinstellung KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring in der administrativen Vorlage wirkt sich wie folgt auch auf die Netzwerklast und Datenverkehrsmuster aus:

  1. Die Ermittlung sicherer Kerberos-Domänenfunktionen ist erforderlich und führt zu weiterem Nachrichtenaustausch.

  2. Sind am Standort keine Windows Server 2012-Domänencontroller für Geräte unter Windows 8, die Authentifizierungsanforderungen senden, und für Ressourcenserver unter Windows Server 2012, die Protokollwechselanforderungen senden, verfügbar, verlassen Anforderungen den Standort.

Ansprüche sind neue Autorisierungsdaten, die von Active Directory bereitgestellt werden. Wenn Ansprüche bereitgestellt werden, können Windows Server 2012-KDCs Diensttickets mit den Ansprüchen eines Prinzipals erstellen. Aus diesen Diensttickets erstellte Zugriffstokens enthalten Ansprüche, die zur Zugriffssteuerung verwendet werden können.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Dadurch kann von Windows Server 2012 der Zugriff auf Ressourcen mit Ausdrücken in Bezug auf Folgendes gesteuert werden:

  • Benutzeransprüche

  • Geräteansprüche, sofern die Domäne der Ressource die Forderungs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung und die Kerberos Armoring unterstützt

Worin liegen die Unterschiede?

Zur Unterstützung von Ressourcen, die die anspruchsbasierte Zugriffsteuerung verwenden, muss die Domäne des Prinzipals eine der folgenden Anforderungen erfüllen:

  • Alle Domänencontroller unter Windows Server 2012

  • Genügend Domänencontroller unter Windows Server 2012, um alle Windows 8-Geräteauthentifizierungsanforderungen behandeln zu können

  • Genügend Windows Server 2012-Domänencontroller zur Behandlung aller Protokollwechselanforderungen von Windows Server 2012-Ressourcen, um Nicht-Windows 8-Geräte zu unterstützen

Zudem müssen Sie in der Domänencontroller-Organisationseinheit die neue Richtlinie KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring mindestens mit der Einstellung "Unterstützt" und, wenn der Client Ansprüche abruft, die neue Richtlinie Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring auf jedem Client konfigurieren.

Für die Unterstützung der gesamtstrukturübergreifenden Zugriffssteuerung gelten für Gesamtstruktur-Stammdomänen folgende Anforderungen:

Für die Unterstützung der Zugriffssteuerung für Filialen gelten folgenden Anforderungen:

  • Falls Gruppen oder Ansprüche auf der Grundlage zertifikatbasierter Anmeldungen generiert werden: Genügend Hubdomänencontroller unter Windows Server 2012 für die entsprechenden schreibgeschützten Filialdomänencontroller (RODC) zur Behandlung aller Windows 8-Geräteauthentifizierungsanforderungen für Ressourcen außerhalb der Filiale.

  • Für Ressourcen, die sich nicht bei einem RODC anmelden: Genügend Hubdomänencontroller unter Windows Server 2012 für den entsprechenden RODC der Benutzer in der Filiale. Diese Domänencontroller behandeln alle Protokollwechselanforderungen von Windows Server 2012-Ressourcen, um Nicht-Windows 8-Geräte zu unterstützen.

Die Verbundauthentifizierung ist eine Erweiterung von Flexible Authentication Secure Tunneling (FAST), die es Kerberos-Clients ermöglicht, das TGT des Geräts bereitzustellen. Dadurch können Windows Server 2012-KDCs Diensttickets mit Geräteautorisierungsdaten für Dienste erstellen, die unter Windows 8 gehostet werden und zur Unterstützung von Geräteautorisierungsdaten konfiguriert sind. Auf Grundlage dieser Diensttickets erstellte Zugriffstokens enthalten die Gruppen und Ansprüche des Geräts, die für die Zugriffssteuerung verwendet werden können.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Dadurch kann von Windows Server 2012 der Zugriff auf Ressourcen mit Ausdrücken in Bezug auf Folgendes gesteuert werden:

  • Geräte

  • Gerätegruppen

  • Geräteansprüche, wenn die Domäne des Geräts die Forderungs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung und die Kerberos Armoring unterstützt.

Worin liegen die Unterschiede?

Um Ressourcen mithilfe der Verbundauthentifizierung für die Zugriffssteuerung zu unterstützen, müssen die Ressourcendomänen hinsichtlich der Domänencontroller eine der folgenden Anforderungen erfüllen:

  • Alle Domänencontroller unter Windows Server 2012

  • Genügend Domänencontroller unter Windows Server 2012, um alle Windows 8-Geräteauthentifizierungsanforderungen behandeln zu können

Zudem müssen Sie in der Domänencontroller-Organisationseinheit die neue Richtlinie KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring mindestens mit der Einstellung "Unterstützt" und, wenn der Client Ansprüche abruft, die neue Richtlinie Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring auf jedem Client konfigurieren.

Für die auf Geräteansprüchen basierende Zugriffssteuerung muss für Ansprüche zudem die Domäne des Geräts bereitgestellt werden. Für die auf auf Geräten oder Gerätegruppen basierende Zugriffssteuerung gilt dies nicht.

Für die Unterstützung der gesamtstrukturübergreifenden Zugriffssteuerung gelten für die Gesamtstruktur-Stammdomänen folgende Anforderungen:

  • Alle Domänencontroller unter Windows Server 2012. Dadurch wird sichergestellt, dass Ansprüche aus vertrauenswürdigen Gesamtstrukturen nicht verloren gehen. Wenn Domänencontroller unter einer Windows Server-Version vor Windows Server 2012 in den Gesamtstruktur-Stammdomänen vorhanden sind, verwerfen diese Domänencontroller die Ansprüche. Dies führt zu vorübergehenden Zugriffssteuerungsfehlern, und die Anspruchsdaten werden nicht für die vertrauende Gesamtstruktur offen gelegt.

Zur Unterstützung der Zugriffssteuerung für Ressourcen außerhalb der Filiale: Genügend Hubdomänencontroller unter Windows Server 2012 für die entsprechenden Domänencontroller (RODC) der Filiale.

Die neue Richtlinieneinstellung Verbundauthentifizierung unterstützen in der administrativen Kerberos-Vorlage ermöglicht Ihnen das explizite Konfigurieren der Unterstützung für KDCs, um die Verbundauthentifizierung für Dienste anhand der ID des Geräts bereitzustellen. Normalerweise ist dies nicht erforderlich, da die Unterstützung der Verbundauthentifizierung von Anwendungen konfiguriert wird. Drei Optionen sind verfügbar:

  • Nie: Vom KDC wird keine Verbundauthentifizierung bereitgestellt.

  • Automatisch: Wenn eine Anwendung, die die dynamische Zugriffssteuerung unterstützt, installiert wird, stellt das KDC immer Verbundauthentifizierung bereit. Nach dem Entfernen der letzten Anwendung, die die dynamische Zugriffssteuerung unterstützt, stellt das KDC keine Verbundauthentifizierung mehr bereit.

  • Immer: Das KDC stellt immer Verbundauthentifizierung bereit.

Für Dienste, die eine verwaltete Dienstkontoidentität verwenden, muss Windows PowerShell verwendet werden, damit das KDC mit der Bereitstellung der Verbundauthentifizierung beginnen kann. Verwenden Sie Set-ADServiceAccount mit dem CompoundIdentitySupported-Parameter.

Die flexible Authentifizierung mittels Secure Tunneling (FAST) stellt einen geschützten Kanal zwischen dem Kerberos-Client und dem KDC bereit. FAST wird in Windows Server 2012 als Kerberos Armoring implementiert und steht nur für den Austausch des Authentifizierungsdiensts (Authentication Service, AS) und des Ticket-Granting Service (TGS) zur Verfügung.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Dies ermöglicht Folgendes für einer Domäne angehörige Systeme unter Windows Server 2012 und Windows 8:

  • Schutz vor Offlineverzeichnisangriffen. Kerberos Armoring schützt die Präauthentifizierungsdaten des Benutzers, die für Offlineverzeichnisangriffe anfällig sind, wenn sie aus einem Kennwort generiert werden.

  • Authentifizierte Kerberos-Fehler. Kerberos Armoring schützt Kerberos-Benutzerauthentifizierungen vor KDC-Kerberos-Fehlerspoofing, durch das eine Herabstufung auf NTLM oder eine weniger sichere Kryptografie möglich ist.

  • Verbundauthentifizierung

Worin liegen die Unterschiede?

Kerberos Armoring verwendet ein Ticket Granting Ticket (TGT) für das Gerät, um den Austausch des Authentifizierungsdiensts mit dem KDC zu schützen, sodass der Authentifizierungsdienstaustausch des Computers nicht gepanzert wird. Das TGT des Benutzers wird verwendet, um den TGS-Austausch mit dem KDC zu schützen.

Die neue Richtlinieneinstellung Authentifizierungsanfragen mit einem Fehler abbrechen, wenn Kerberos Armoring nicht verfügbar ist in der administrativen Kerberos-Vorlage steuert, ob der Kerberos-Nachrichtenaustausch bei der Kommunikation mit einem Domänencontroller für ein Gerät gepanzert werden muss. Wenn diese Richtlinieneinstellung aktiviert ist, lässt ein Gerät unter Windows 8 nur den nicht gepanzerten Authentifizierungsdienstaustausch zu, und die Authentifizierung schlägt fehl, wenn eine Domäne, Kerberos Armoring nicht unterstützt, oder kein Domänencontroller unter Windows Server 2012 für eine Domäne gefunden werden kann, die Kerberos Armoring unterstützt.

ImportantWichtig
Diese Richtlinieneinstellung wird durch eine andere Einstellung beeinflusst. Wenn eine Domäne Kerberos Armoring nicht unterstützt, weil KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring aktiviert ist, schlagen alle Authentifizierungsversuche für sämtliche Domänenbenutzer von Computern fehl, auf denen diese Richtlinie aktiviert ist.

In Windows Server 2012 kann eine eingeschränkte Delegierung mithilfe der neuen ressourcenbasierten, eingeschränkten Kerberos-Delegierung verwendet werden, sofern sich die Front-End- und Ressourcendienste nicht in der gleichen Domäne befinden.

Die eingeschränkte Kerberos-Delegierung stellt eine sicherere Form der Delegierung zur Verwendung durch Dienste bereit. Sie schränkt die Dienste ein, für die ein angegebener Server im Auftrag eines Benutzers agieren kann. Bei diesem Modell war die eingeschränkte Delegierung jedoch auf eine einzelne Domäne beschränkt, und da die Delegierung im Konto des Front-End-Diensts konfiguriert wurde, war ein Domänenadministrator erforderlich. In modernen Unternehmen sind Front-End-Dienste nicht nur auf die Integration in Dienste in ihrer Domäne beschränkt. Da die Bereitstellung von Domänenadministratoren vorgenommen werden muss, kann die Bereitstellung neuer Dienste zudem nicht durch Dienstadministratoren erfolgen.

Gegenwärtig kann ein Dienstadministrator nicht eindeutig feststellen, welche Front-End-Dienste an seine Ressourcendienste delegieren. Dadurch entstehen Sicherheitsrisiken, da jeder Front-End-Dienst, der an einen Ressourcendienst delegieren kann, einen potenziellen Angriffspunkt darstellt. Bei einer Kompromittierung eines Servers, der einen an einen Ressourcendienst delegierenden Front-End-Dienst hostet, kann auch der Ressourcendienst gefährdet sein.

Welchen zusätzlichen Nutzen bietet diese Änderung?

In Windows Server 2012 können Dienstadministratoren festlegen, welche Dienstidentitäten die Identität von Benutzern für ihre Dienste annehmen können. Durch Konfigurieren der eingeschränkten Delegierung für die Ressourcen lassen sich Dienste wie ISA Server, OWA und SharePoint zur Verwendung der eingeschränkten Delegierung für die Authentifizierung bei Servern in anderen Domänen und anderen Gesamtstrukturen konfigurieren. Auf diese Weise können Mehrhop-Dienstlösungen unter Verwendung einer vorhandenen Kerberos-Infrastruktur unterstützt werden.

Worin liegen die Unterschiede?

Um einen Ressourcendienst zum Zulassen des Zugriffs eines Front-End-Diensts im Auftrag von Benutzern zu konfigurieren, wird mit Windows PowerShell-Cmdlets eine Liste der zulässigen Prinzipale angegeben. Verwenden Sie die Cmdlets New und Set für ADComputer, ADServiceAccount und ADUser mit dem PrincipalsAllowedToDelegateToAccount-Parameter.

noteHinweis

Verwenden Sie zum Abrufen einer Liste von Prinzipalen das Get-Cmdlet für ADComputer, ADServiceAccount und ADUser mit dem PrincipalsAllowedToDelegateToAccount-Parameter.

Wenn die vollständige Delegierung für Kerberos auf einem Server aktiviert ist, kann der Server das delegierte Ticket Granting Ticket (TGT) verwenden, um mit der Identität des Benutzers eine Verbindung mit jedem beliebigen Server herzustellen (auch über eine unidirektionale Vertrauensstellung). In Windows Server 2012 kann zum Erzwingen der Sicherheitsbegrenzung eine gesamtstrukturübergreifende Vertrauensstellung konfiguriert werden, indem die Weiterleitung von TGTs an andere Gesamtstrukturen nicht erlaubt wird.

Worin liegen die Unterschiede?

Um die vollständige Kerberos-Delegierung für eine ausgehende Gesamtstruktur-Vertrauensstellung zu deaktivieren, muss dieses Feature von allen Domänencontrollern im Gesamtstrukturstamm unterstützt werden, und Sie müssen netdom trust für EnableTGTDelegation on the across forest trust auf Nein festlegen.

Der KDC-Proxydienst wird mit ausgewählten DirectAccess- oder Remotedesktoplösungen installiert, um die Verwendung der Kerberos-Authentifizierung durch Internetclients zu ermöglichen. DirectAccess-Clients und Remotedesktopclients erstellen einen sicheren TLS/SSL-Kanal zum KDC-Proxydienst auf dem DirectAccess-Server oder Remotedesktopgateway (RD-Gateway). Um das Dienstticket für den DirectAccess-Server oder Remotedesktopserver abzurufen, werden Kerberos-Nachrichten an den entsprechenden KDC-Proxydienst gesendet. Der Dienst sendet die Anforderung an einen Domänencontroller im Unternehmensnetzwerk und gibt dann die Antwort zurück.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Für den Administrator ist dies von Vorteil, da das zur Unterstützung von Active Directory-Domänen verwendete Protokoll (Kerberos) auch zum Authentifizieren des Datenverkehrs und zum Verwalten von Anmeldeinformationen verwendet wird (z. B. Kennwortänderungen für DirectAccess-Benutzer oder Remotedesktopbenutzer, die Domänenzugriff anfordern).

Worin liegen die Unterschiede?

Für aktuell bereitgestellte Systeme, die die Kerberos-Authentifizierung verwenden, bestehen keine Unterschiede. Für einige Bereitstellungen von DirectAccess- und Remotedesktopdienste-Lösungen unter Windows Server 2012 ist der KDC-Proxydienst standardmäßig verfügbar.

Die Richtlinieneinstellung Sperrüberprüfung für das SSL-Zertifikat von KDC-Proxyservern deaktivieren in der administrativen Kerberos-Vorlage ermöglicht Ihnen das Erstellen einer Testumgebung für DirectAccess oder RD-Gateway mit einem KDC-Proxyserver, ohne eine CRL/OCSP-Umgebung konfigurieren zu müssen. Wenn diese Einstellung aktiviert ist, erzwingt der Kerberos-Client keine Sperrüberprüfung für das TLS/SSL-Zertifikat des KDC-Proxydiensts.

WarningWarnung
Da diese Einstellung dem Client die Herstellung einer Verbindung mit Diensten unter Verwendung eines ungültigen Zertifikats ermöglicht, sollte sie nie auf Produktionsservern festgelegt werden.

Der Kerberos-Schlüsselverteilungscenter (KDC)-Dienst in Windows Server 2012 kann ohne Systemneustart gepatcht werden.

In der folgenden Tabelle werden neue KDC-Ereignisse beschrieben, die in das Systemprotokoll auf einem Domänencontroller geschrieben werden.

 

Ereignis Text Lösung

31

Warnung: Es wurde ein Dienstticket ausgegeben, durch das der konfigurierte Ticketschwellenwert fast erreicht ist.

Dies wird durch die Einstellung der neuen KDC-Verwaltungsvorlagenrichtlinie "Warnungsereignisse für große Kerberos-Tickets" gesteuert. Der erläuternde Text dieser Richtlinieneinstellung verfügt über eine detaillierte Beschreibung.

32

Für das KDC-Zertifikat fehlt eine KDC-EKU.

Dieses Ereignis wird durch eine Zertifikatsanmeldungsanforderung ausgelöst. Das KDC verwendet ein Zertifikat mit einer alten Vorlage, die die KDC-EKU nicht enthält und ersetzt werden sollte.

33

Vom Domänencontroller unter Windows Server 2012 konnte die Domäne nicht so konfiguriert werden, dass die Unterstützung für die Forderungs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung und die Kerberos Armoring angekündigt wird.

Führen Sie zum Beheben dieses Problems gpupdate /force auf einem Domänencontroller unter Windows Server 2012 aus.

34

Domänencontroller unter Windows Server 2012 sind für die Unterstützung der Forderungs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung und die Kerberos Armoringsoption konfiguriert. Hierfür wird die Domänenfunktionsebene von Windows Server 2012 benötigt, die Domäne befindet sich jedoch nicht auf dieser Ebene.

Aktualisieren Sie zum Beheben dieses Problems die Domänenfunktionsebene auf Windows Server 2012, oder legen Sie die Domänenunterstützung für Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring auf Unterstützt fest.

Das neue KDC-Betriebsprotokoll befindet sich unter Anwendungs- und Dienstprotokolle/Microsoft/Windows/Kerberos-Key-Distribution-Center/Operational. Es enthält Informationen, mit deren Hilfe Sie die Ursache eines Zertifikatanmeldungsfehlers oder den Zeitpunkt, zu dem der KDC-Dienst beendet oder gestartet wurde, ermitteln können. Bei aktiviertem Betriebsprotokoll werden in Windows Server 2012 folgende Ereignisse protokolliert:

  • 120: Fehler: KDC-Zertifikatsüberprüfung fehlgeschlagen

  • 200: Warnung: KDC-Zertifikat nicht gefunden

  • 300: Information: KDC-Dienst wurde gestartet

  • 301: Information: KDC-Dienst wurde angehalten

  • 302: Information: KDC-Zertifikat ist aktuell

Das neue Kerberos-Betriebsprotokoll befindet sich unter Anwendungs- und Dienstprotokolle/Microsoft/Windows/Security-Kerberos/Operational. Es enthält Informationen, mit deren Hilfe Sie die Ursache eines Fehlers ermitteln können, ohne eine Ablaufverfolgung auszuführen und sich an den Microsoft-Produktsupport zu wenden. Bei aktiviertem Betriebsprotokoll werden in Windows Server 2012 folgende Ereignisse protokolliert:

  • 100: Fehler: Authentifizierungsfehler aufgrund eines nicht registrierten SPN

  • 101: Fehler: Authentifizierungsfehler aufgrund eines doppelten SPN

  • 102: Fehler: Zertifikatsbasierte Authentifizierung aufgrund eines KDC-Zertifikatsüberprüfungsfehlers fehlgeschlagen

  • 103: Fehler: Zertifikatsbasierte Authentifizierung aufgrund eines Client-Zertifikatsüberprüfungsfehlers fehlgeschlagen

  • 104: Fehler: Zertifikatsbasierte Authentifizierung fehlgeschlagen, da KDC die zertifikatsbasierte Authentifizierung nicht unterstützt oder nicht mit einem KDC-Zertifikat bereitgestellt wurde

  • 105: Fehler: Abrufen des Kennworts für das verwaltete Gruppendienstkonto fehlgeschlagen

  • 106: Fehler: Zertifikatsbasierte Authentifizierung aufgrund eines KDC-Zertifikatsüberprüfungsfehlers wegen fehlender KDC EKU fehlgeschlagen

  • 107: Fehler: Zertifikatsbasierte Authentifizierung aufgrund eines KDC-Zertifikatsüberprüfungsfehlers wegen eines falschen Domänennamens fehlgeschlagen

  • 108: Fehler: Authentifizierungsfehler, da kein Domänencontroller verfügbar ist und keine Kerberos-Proxynachrichten verwendet werden können

  • 109: Fehler: Authentifizierungsfehler, da kein Domänencontroller verfügbar ist und der Kerberos-Proxy nicht verwendet werden konnte, weil die Authentifizierungsanforderung über keine Authentifizierungsanmeldeinformationen für den HTTP-Proxy verfügte

  • 200: Warnung: Domänencontroller konnte nicht gefunden werden

  • 300: Information: Domänencontroller unter

  • 301: Information: Authentifizierung mithilfe von gespeicherten Anmeldeinformationen

  • 302: Information: Domänencontroller antwortet nicht

  • 303: Information: Kennwort des verwalteten Gruppendienstkontos abgerufen

In Windows Server 2008 R2 verfügte Kerberos über vier Leistungsindikatoren:

  • Kerberos-Anforderungen für schreibgeschützte Domänencontroller weitergeleitet

  • KDC-AS-Anforderungen für Domänencontroller

  • KDC-TGS-Anforderungen für Domänencontroller

  • Kerberos-Authentifizierungen für Server

In Windows Server 2012 wurden folgende Kerberos-Leistungsindikatoren hinzugefügt:

  • KDC-Ansprüche unterstützende AS-Anforderungen

    Ermittelt die Anzahl von Ansprüche unterstützenden Authentifizierungsdienstanforderungen (AS-REQ), die von einem Domänencontroller empfangen werden. Die Last vorhandener, Ansprüche unterstützender Geräte kann ermittelt werden, ohne dass die Domäne Ansprüche, Verbundauthentifizierung oder Kerberos Armoring unterstützen muss. Da Geräte unter Windows 8 Ansprüche standardmäßig nicht unterstützen, kann dieser Indikator nicht zum Ermitteln von anfänglichen Authentifizierungsanforderungen verwendet werden, sofern die Geräte nicht zur Unterstützung von Ansprüchen, Verbundauthentifizierung und Kerberos Armoring konfiguriert sind.

    noteHinweis
    Domänencontroller unter Windows Server 2012 steuern die Bereitstellung von Anspruchsautorisierungsdaten, und nur Domänencontroller, die Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring unterstützen, geben tatsächlich AS-REP-Nachrichten mit Ansprüchen zurück.

  • KDC-AS-Anforderungen mit FAST für Domänencontroller

    Misst die Anzahl der hochgerüsteten Authentifizierungsdienst-Anforderungsnachrichten (AS-REQ), die von einem Domänencontroller verarbeitet werden.

    noteHinweis
    Domänencontroller, die Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring nicht unterstützen, können gepanzerte Kerberos-Nachrichten nicht verarbeiten.

  • TGS-Anforderungen mit KDC-Armoring

    Misst die Anzahl der hochgerüsteten TGS-Anforderungsnachrichten (TGS-REQ), die von einem Domänencontroller verarbeitet werden.

    noteHinweis
    Domänencontroller, die Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring nicht unterstützen, können gepanzerte Kerberos-Nachrichten nicht verarbeiten.

  • KDC-Ansprüche unterstützende TGS-Anforderungen

    Ermittelt die Anzahl von Ansprüche unterstützenden TGS-Anforderungsnachrichten (TGS-REQ), die von einem Domänencontroller empfangen werden. Die Last vorhandener, Ansprüche unterstützender Geräte kann ermittelt werden, ohne dass die Domäne Ansprüche, Verbundauthentifizierung oder Kerberos Armoring unterstützen muss. Da Geräte unter Windows 8 Ansprüche standardmäßig nicht unterstützen, kann dieser Indikator nicht zum Ermitteln von Dienstticketanforderungen verwendet werden, sofern die Geräte nicht zur Unterstützung von Ansprüchen, Verbundauthentifizierung und Kerberos Armoring konfiguriert sind.

  • KDC-Ansprüche unterstützende TGS-Anforderungen für vom Dienst bestätigte ID

    Ermittelt die Anzahl der TGS-Anforderungsnachrichten (TGS-REQ) mit vom Dienst bestätigter ID (S4U2Self), von denen explizit Ansprüche angefordert werden.

    noteHinweis
    Domänencontroller unter Windows Server 2012 steuern die Bereitstellung von Anspruchsautorisierungsdaten, und nur Domänencontroller, die Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos Armoring unterstützen, geben tatsächlich TGS-REP-Nachrichten mit Ansprüchen zurück.

  • KDC-TGS-Anforderungen für klassische eingeschränkte Delegierung

    Ermittelt die Anzahl von TGS-Anforderungsnachrichten (TGS-REQ) mit eingeschränkter Delegierung (S4U2Proxy), die von einem Domänencontroller unter Verwendung der für das Dienstkontoobjekt auf mittlerer Ebene konfigurierten SPNs verarbeitet werden.

  • KDC-TGS-Anforderungen für eingeschränkte Delegierung vom Typ "resource"

    Ermittelt die Anzahl von TGS-Anforderungsnachrichten (TGS-REQ) mit eingeschränkter Delegierung (S4U2Proxy), die von einem Domänencontroller unter Verwendung der Kontoobjektkonfiguration der Ressource verarbeitet werden.

In Windows Server 2012 kann SetSPN keine doppelten SPNs mehr in einer Domäne registrieren. Wenn "SetSPN –a" verwendet wird, wird dies von SetSPN als "SetSPN –s" verarbeitet.

Informationen zu SetSPN finden Sie im TechNet-Wiki im Thema zur SetSPN-Syntax (Setspn.exe) für Dienstprinzipalnamen (SPNs) . Die Befehlsreferenz steht Ihnen in der TechNet-Bibliothek im Thema zu Setspn zur Verfügung.

Die folgende Tabelle enthält zusätzliche Ressourcen zur Verdeutlichung der Kerberos-Authentifizierung in Windows Server 2012.

 

Inhaltstyp Verweise

Produktbewertung

Kerberos-Authentifizierung: Übersicht

Dynamische Zugriffssteuerung: Szenarioübersicht

Communityressourcen

Noch nicht verfügbar

Verwandte Technologien

Dynamische Zugriffssteuerung: Szenarioübersicht

Active Directory-Domänendienste: Übersicht

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft