none
Umstellung NTLM auf KERBEROS

Alle Antworten

  • Hi,
    werden Kerberos Tickets ausgestellt? Mit klist auf dem Client prüfen/anzeigen lassen.

    Wird allen Computern, die die Kerberos-Tickets weiterleiten sollen, vertraut? (Dazu auf dem DC unter Users bei den Computern die Delegation erlauben.)

    Was zeigt setspn -L domäne\svc-sql an?

    Erscheint bei select auth_scheme, * from sys.dm_exec_connections auch Kerberos?

    Ist in der application.config "useAppPoolCredentials = true" für die betreffende Webanwendung gesetzt?

    Gibt es entsprechende Einträge:

    <system.webServer>
    ...
      <security>
    ...
        <authentication>
    ...
          <windowsAuthentication enabled="true"
    ...
    </authentication> ... </security> ... </system.webServer>

    Sind die service/host name zur Application Pool identity zugeordnet?

    Wird den Servicekonten vertraut, dass sie delegieren dürfen?

    Ist Kerberos in der Web Application aktiviert?

    Was zeigt die auf die ID 4624 gefilterte Ereignisanzeige am WFE?


    --
    Viele Grüsse
    Peter Fleischer (ehem. MVP)
    Meine Homepage mit Tipps und Tricks

    Montag, 2. Juli 2018 15:29