• Artikel

Aktivieren von Kerberos-Authentifizierung für SMTP

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2006-05-12

Microsoft® Exchange Server Analyzer fragt den Active Directory®-Verzeichnisdienst ab, um zu ermitteln, ob der Wert des Attributs servicePrincipalName der SMTPSVC-Ressource eines Computers mit Microsoft Exchange Server 2003 Server, der in einem Windows™ Server 2003 Clusterdienst installiert ist, der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Servers ist.

Wenn Exchange Server Analyzer feststellt, dass der Wert des Attributs servicePrincipalName der Exchange-Ressource SMTPSVC im Clusterdienst nicht der FQDN des Servers ist, zeigt Exchange Server Analyzer eine Meldung mit der bewährten Methode an.

Es handelt sich um eine bewährte Methode, die Kerberos-Authentifizierung für SMTP-Dienste (Simple Mail Transfer Protocol) auf Clusterservern unter Windows Server 2003, auf denen Exchange Server 2003 ausgeführt wird, zu aktivieren. Die Kerberos-Authentifizierung kann manuell aktiviert werden, indem für die Exchange-Ressource SMTPSVC ein neuer Dienstprinzipalname (Service Principal Name, SPN) als Wert festgelegt wird.

Standardmäßig verwendet Windows Server 2003 NTLM-Authentifizierung. Das Kerberos-Protokoll ist flexibler und wirkungsvoller als NTLM und darüber hinaus sicherer. Folgende Vorteile bringt die Verwendung von Kerberos-Authentifizierung mit sich:

  • Schnellere Verbindungen. Bei der NTLM-Authentifizierung muss eine Anwendungsserver zum Authentifizieren jedes Clients eine Verbindung mit einem Domänencontroller herstellen. Bei der Kerberos-Authentifizierung muss der Server keinen Domänencontroller verwenden. Der jeweilige Client kann durch Überprüfen der vom Client angegebenen Anmeldeinformationen authentifiziert werden. Clients können einmalige Anmeldeinformationen für einen bestimmten Server erhalten und diese während einer gesamten Netzwerkanmeldesitzung verwenden.
  • Gegenseitige Authentifizierung. NTLM ermöglicht Servern die Überprüfung der Identitäten ihrer Clients. NTLM ermöglicht Clients nicht das Überprüfen der Identität eines Servers. Auch können Server untereinander nicht ihre Identität prüfen. NTLM-Authentifizierung wurde für Netzwerkumgebungen entwickelt, in denen vorausgesetzt wird, dass Server "echt" sind. Das Kerberos-Protokoll trifft keine solchen Annahmen. Die Parteien an beiden Enden einer Netzwerkverbindung können davon ausgehen, dass die Partei am anderen Ende diejenige ist, die sie zu sein behauptet.
  • Delegierte Authentifizierung. Windows-Dienste geben beim Zugriff auf Ressourcen im Namen eines Clients vor, dieser Client zu sein. Häufig kann ein Dienst seine Arbeit für den Client abschließen, indem er auf Ressourcen zugreift, die sich auf dem lokalen Computer befinden. Sowohl NTLM als auch Kerberos liefern die Informationen, die ein Dienst benötigt, um die Identität seines Clients lokal anzunehmen. Manche verteilte Anwendungen sind aber so konzipiert, dass ein Front-End-Dienst die Identität eines Clients annehmen muss, wenn er mit Back-End-Diensten auf anderen Computern eine Verbindung herstellen möchte. Das Kerberos-Protokoll verfügt über einen Proxymechanismus, der es einem Dienst ermöglicht, die Identität seines Clients anzunehmen, wenn er eine Verbindung mit anderen Diensten herstellt. Bei NTLM ist kein entsprechender Mechanismus vorhanden.

Verfahren Sie wie folgt, um dieses Problem zu beheben, indem Sie die fehlenden Wert für die betroffenen Attribute hinzufügen.

Fügen Sie mithilfe des Tools SETSPN.exe einen SPN mit den fehlenden Werten hinzu.

  1. Installieren Sie das Tool Setspn.exe. Das Tool Setspn.exe können Sie unter "Windows 2000 Resource Kit Tool: Setspn.exe" (https://go.microsoft.com/fwlink/?LinkId=28103) herunterladen.

    Die Windows Server 2003-Version des Befehlszeilentools Setspn.exe ist in den Windows Server 2003 Support Tools verfügbar, die sich auf der Windows Server 2003-CD befinden. Doppelklicken sie zum Installieren der Server 2003 Support Tools auf die Datei Suptools.msi im Ordner Support/Tools.

  2. Befolgen Sie die Anleitung in der Datei Setspn_d.txt von SETSPN.EXE, um dem Active Directory-Objekt für Ihren Server mit Exchange den fehlenden Wert hinzuzufügen. In dem folgenden Beispiel wird gezeigt, wie für den SPN eines virtuellen SMTP-Servers der FQDN-Wert hinzugefügt wird:

    • Starten Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis, in dem Sie Setspn.exe installiert haben.
    • Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
      **setspn.exe-a SMTPSVC/**mail.IhreDomäne.com IHRSERVERNAME
      noteAnmerkung:
      Ersetzen Sie mail.IhreDomäne.com durch den FQDN Ihres virtuellen SMTP-Servers und IHRSERVERNAME durch den Namen des Servers mit Exchange.
    • Drücken Sie dann die EINGABETASTE.