SPN Kerberos Delegierung

Was ist denn nun genau ein SPN?

Also, ein Dienstprinzipalname (Service Principal Name) SPN, ist ein eindeutiger Name der eine Instanz eines Service identifiziert und ist verbunden mit dem Login-Konto unter dem die Instanz läuft.

Es stellt eine Zuordnung zwischen dem AD-Account und der Dienstinstanz her. Er besteht aus einem mehrteiligen Namensformat wie z.B. http/webserver.ndsedv.de.

Der SPN wird in den Prozess der gegenseitigen Authentifizierung zwischen einem Client und einem Server eingesetzt der einen bestimmten Dienst verwendet.

Ein SPN kann aber auch an ein Benutzer- (Dienst-) Konto verknüpft werden, wenn ein Dienst oder eine Anwendung unter diesem Benutzer ausgeführt wird.

Das würde dann z.B. so aussehen:
setspn -A HTTP/benutzer1.ndsedv.de@ndsedv.de benutzer1

Eingesetzt werden SPNs ganz stark im SQL-Server Umfeld. Dort läuft der SQL-Server-Dienst in der Regel unter einem Dienstkonto anstatt unter „LocalSystem“.

Das Ganze würde dann z.B. so aussehen: MSSQLSvc/sqlsrvr.ndsedv.de:1433

Um einen Überblick über die SPNs zu bekommen, kann man den Befehl setspn –L einsetzen. Es werden einem alle registrierten SPNs aufgelistet. Der Befehl klist wäre eine Alternative.

Zur Abfrage kann aber auch LDP oder LDIFDE eingesetzt werden.

Server_2012_-_SPN_und_Kerberos_Delegierung

 

 

 


Server Core 2012 R2 – GUI nachinstallieren

Wenn aus welchen Gründen auch immer die GUI doch installiert werden muss, dann hilft diese Vorgehensweise.

  1. Internetzugriff ermöglichen
  2. ISO Windows Server 2012 R2 mounten
  3. CMD als Administrator öffnen
  4. Powershell > Enter
  5. Install-WindowsFeature Server-Gui-Shell, Server-GUI-Mgmt-Infra -Source J:\


Server 2012 – Dynamic Objects TTL

Das Ziel ist die Vergabe einer temporären Berechtigung auf Zeit. Dazu müssen wir im Active Directory ein dynamisches Objekt anlegen, das später mittels der Garbage Collection gelöscht werden kann.

Zwei wichtige Werte gibt es zu erstellen und zu konfigurieren. Das wäre der Wert

1. entryTTL
2. objectclass

Diese Werte lassen sich über LDIF erstellen und bearbeiten.

und so geht’s…

Server 2012 – DynamicObjects mit einer TTL


Server Manager – kein Autostart nach Anmeldung

Über eine Gruppenrichtlinie lässt sich das auf einen Schlag auf allen Servern abschalten.


Server 2012 – Domain Controller Herabstufung demote access denied

Vor dem Herabstufen eines Domain Controllers sollte darauf geachtet werden, das der Löschschutz deaktiviert ist, ansonsten erscheint die Fehlermeldung access denied.

Das kommt öfter vor als man glaubt.

Objektschutz entfernen:

Fehlermeldungen:

Hinweis: Bitte denkt daran die Rollen DNS,DHCP,GC FSMO zu prüfen bzw. zu entfernen.


Server 2012 R2 – Remotedesktopverbindung Computer entfernen

Unter diesem Pfad finden wir die letzten Verbindungen:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

Die MRU Einträge können gefahrlos gelöscht werden.

 

https://www.der-windows-papst.de/category/windows-server-2012/