Kerberos Authentifizierungsproblem trotzt mehrere KDC's

Sponegbob spongebob at canadamail.de
Mon Dec 13 12:20:07 EST 2004


HAllo zusammen,

ich habe folgendes Problem: 

Ich habe eine Win2000 Domain mit zwei Domain-Controllern.

Wenn ich nun einen der DC's (nicht den PDC, den anderen)
herunterfahre, gibt es Authentifizierungsprobleme: wenn ich versuche,
auf einen Share auf meinem Fileserver zuzugreifen (mit einem User, der
schon angemeldet war, bevor cih den PDC heruntergefahren habe),
schlägt dies Fehl mit folgendem Eventvwr-Eintrag:

Quelle: LSASRV
"The Security System detected an authentication error for the server
cifs/SERVERNAME. The failure Code from authentication protocol
Kerberos was "There are currently no logon servers available to
service the logon request"

Und in der DOS-Box, von der aus ich versuche auf den Share zuzugreifen
(mittels dir \\Servername\Freigabename) kommt die Meldung: 
"The system detected a possible attempt to compromise security. Please
ensure that you can contact the server that authenticated you"

Wenn ich dann versuche, die Verbindung zum Share mit einem anderen
User herzustellen, funktioniert das auch.

Ich kenne leider die genau Funktionsweise von Kerberos nicht, aber
meine Vermutung ist folgende:
Der bereits angemeldete User "merkt" sich, dass er zuvor ein gültiges
Kerberos ticket vom PDC bekommen hat. Jetzt versucht er, diesen zu
kontaktieren; der PDC ist aber runtergefahren. -> Fehler.

Wenn der Share mit einem anderen User gemappt werden soll,
authentifiziert sich dieser gegenüber dem zweiten DC, der noch aktiv
ist, und erhält doch auch ein gültiges Kerberos Ticket. Somit
funktioniert das ganze.

Kann das so sein? Und wenn ja: wie kann der angemeldete USer, der sich
gegenüber dem PDC authentifiziert hatte, auf die Kerberos-Dienste vom
verbleiben DC zuzugreifen??? Kann doch ned sein, dass es keine
Authentifizierungsmöglichkeit mehr gibt, wenn einer der Server down
ist!!!

Was mir noch aufgefallen ist: die KDC's werden ja mittels DNS
ermittelt: beide DC's sind DNS-Server, aber im DNS im Zweig
DOM1\Forward Lookup Zone\Domänenname\_sites\_tcp gibt es den Eintrag
_kerberos mit dem Wert DOM1 (welcher der PDC ist). Ein Eintrag mit
_kerberos und DOM2 gibt es nicht! Kann es daran liegen, dass die
Clients einfach nicht "wissen" dass DOM2 auch KDC ist, weil ein
DNS-Eintrag fehlt???

So, ich hoffe, das Problem ist einigermaßen verständlich....

Besten Dank vorab,

Chris


More information about the Kerberos mailing list