Zum Inhalt springen
TSplus Dokumentation ®
Änderungsprotokoll

Aktivieren Sie die Windows-Integrationsauthentifizierung in einer Active Directory-Domäne

Dieser Leitfaden dient zur Konfiguration der Windows-Integrationsauthentifizierung (Kerberos/NTLM) mit einem gruppenverwalteten Dienstkonto (gMSA) im Webportal.

Aufgrund der einzigartigen Natur des Netzwerks und der Architektur jedes Unternehmens können wir keinen Support für Probleme bieten, die aus der Befolgung dieser Dokumentation entstehen. Es erfüllt die technischen Anforderungen für das Webportal mit Windows-Integrationsauthentifizierung, aber die Implementierung liegt in Ihrer eigenen Verantwortung.

Domain-Konfiguration

Die Active Directory-Umgebung muss Kerberos- oder NTLM-Authentifizierung unterstützen.

Ein verwaltetes Dienstkonto (gMSA) einrichten

Installieren Sie den Webportal-Dienst und führen Sie ihn mit einem Domänenverwaltetes Dienstkonto anstatt eines Domänenadministrator-Kontos.

Voraussetzungen

  • Active Directory-Schemaebene: Windows Server 2012 oder später (erforderlich für gMSA)
  • Mindestens ein Domänencontroller, der ausgeführt wird Windows Server 2012 oder später
  • KDS-Stamm-Schlüssel erstellt (einmalige Einrichtung)
  • Mitgliedschaft in Domänen-Administratoren oder Kontobetreiber um das Konto zu erstellen

Erstellen Sie den KDS-Stamm-Schlüssel (falls noch nicht erstellt)

Führen Sie auf einem Domänencontroller in einer erhöhten PowerShell-Sitzung aus:

Terminalfenster 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Dies macht den Stamm-Schlüssel sofort verfügbar.

Erstellen Sie das gMSA

Verwendung New-ADServiceAccount :

Terminalfenster 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • Name gMSA-Kontoname
  • DNS-Hostnamen FQDN für das Konto
  • Berechtigte Personen zum Abrufen des verwalteten Passworts Computergruppe, die dieses gMSA verwenden darf

Administrative Rechte gewähren (optional / nach Bedarf)

Standardmäßig hat ein gMSA keine besonderen Berechtigungen.

Um den Zugriff auf Domänenebene zu gewähren (optional):

Terminalfenster 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

Um lokale Administrator-/Anmelderechte zu gewähren (falls erforderlich):

Terminalfenster 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

Wichtig: das Nachgestellte $ ist erforderlich für gMSA-Konto-Referenzen in AD.

Neustart erforderlich

Ein Neustart ist erforderlich, bevor Sie fortfahren und das Dienstkonto installieren/verwenden. Auch die Richtlinien aktualisieren.

Installieren Sie das gMSA auf Zielservern

Auf jedem Server ausführen, der das gMSA verwenden wird:

Terminalfenster 
Install-ADServiceAccount -Identity "WebPortalSvc"

Testinstallation:

Terminalfenster 
Test-ADServiceAccount -Identity "WebPortalSvc"

Dienste konfigurieren, um das gMSA zu verwenden

  1. Gewähren Als Dienst anmelden zum Konto:

    • Gruppenrichtlinien-Editor öffnen
    • Gehe zu: Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
    • Öffnen Als Dienst anmelden
    • Hinzufügen DOMAIN\WebPortalSvc$

  2. Stellen Sie NTFS-Berechtigungen für Webportal-Dateien/-Ordner sicher:

    • Rechtsklick auf Anwendungsordner/executable > Eigenschaften > Sicherheit
    • Hinzufügen DOMAIN\WebPortalSvc$
    • Gewähren Sie mindestens Lesen & Ausführen oder Vollständige Kontrolle wenn erforderlich durch Ihre Bereitstellung

  3. Dienstidentität konfigurieren:

    • Konto: DOMAIN\WebPortalSvc$
    • Passwort: leave blank

Konfigurieren Sie den Dienstprinzipalnamen (SPN)

Der Webdienst muss in Kerberos registriert werden.

Auf einem Domänencontroller ausführen:

Terminalfenster 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

Ersetzen Sie dies durch Ihren Server-FQDN und Ihr Konto.

Wenn der Hosting-Server des Webportals HTTP.sys verwendet, registrieren Sie SPN gegen das Maschinenkonto:

Terminalfenster 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

Netzwerk auf dem Client-Gerät konfigurieren

Um einen domänenverbundenen Client im richtigen Subnetz zu platzieren:

  1. Identifizieren Sie die richtige Netzwerkoberfläche
  2. Entfernen Sie die vorhandene statische IP (falls falsch)
  3. Weisen Sie eine statische IP, Subnetzmaske und Standardgateway zu, die mit dem DNS/DC-Subnetz übereinstimmen.
  4. DNS-Serveradressen festlegen

Wichtig: Weisen Sie statische IP-Adressen für den Domänencontroller und die Clients zu. Die Synchronisierung der Sicherheitsrichtlinie erfordert, dass sich die Maschinen in demselben Subnetz befinden.

Erforderliche Client-Verbindung zulassen

UDP/TCP 53 kann blockiert werden, was DNS-Abfragen verhindert.

Fehlerbehebungsschritte

Überprüfen Sie den Status des DNS-Servers

Auf dem Domänencontroller:

Terminalfenster 
net start DNS

Überprüfen Sie, ob der DNS-Dienst ausgeführt wird.

DNS-Server-IP überprüfen

Auf dem Client:

Terminalfenster 
ipconfig /all

Bestätigen Sie, dass die IP-Adresse des DNS-Servers mit der IP-Adresse des Domänencontrollers übereinstimmt.

Test der grundlegenden Konnektivität

Auf dem Client:

Terminalfenster 
ping <DC_IP_Address>

Wenn der Ping fehlschlägt, beheben Sie die Netzwerk-/Firewall-Routing-Probleme.

Überprüfen Sie die Firewall-Regeln

Stellen Sie sicher, dass eingehender/ausgehender UDP/TCP 53 auf Client und Server erlaubt ist.

Test mit nslookup

Terminalfenster 
nslookup domain.com <DC_IP_Address>

Wenn dies funktioniert, könnte der Standard-DNS-Server falsch konfiguriert oder nicht erreichbar sein.

Ereignisanzeige überprüfen

Überprüfen Sie auf dem Domänencontroller DNS-bezogene Fehler.

Mozilla Firefox für Windows integrierte Authentifizierung konfigurieren

Firefox verwendet standardmäßig kein WIA.

Schritt 1: vertrauenswürdige aushandeln URIs

  1. Firefox öffnen
  2. Gehe zu about:config
  3. Warnung akzeptieren
  4. Set network.negotiate-auth.trusted-uris zu Ihren Domains, zum Beispiel:
    • intranet.domain.com, domain.com

Schritt 2: vertrauenswürdige NTLM-URIs

Set netzwerk.automatische-ntlm-auth.vertraute-uris zur gleichen Domainliste.

Schritt 3: Kerberos-Delegierungs-URIs (falls erforderlich)

Set network.negotiate-auth.delegation-uris , zum Beispiel:

  • domain.com

Schritt 4: Browser neu starten

Firefox neu starten, um die Änderungen anzuwenden.

Google Chrome für die integrierte Windows-Authentifizierung konfigurieren

Chrome verwendet die Windows/Systemauthentifizierungseinstellungen.

  1. Laden Sie Chrome ADMX-Vorlagen herunter:
  2. Kopieren chrome.admx und chrome.adml zu:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\de-DE
  3. Öffnen gpedit.msc
  4. Gehe zu:
    • Computer-Konfiguration > Administrative Vorlagen > Google > Google Chrome
  5. Aktivieren Sie die integrierte Authentifizierung für Intranetsites und konfigurieren Sie vertrauenswürdige Sites:
    • intranet.domain.com, domain.com
  6. Richtlinie anwenden:
Terminalfenster 
gpupdate /force

Andere Methoden

Andere Methoden (Chrome-Befehlszeilenoptionen und -flags) waren in diesem Kontext nicht erfolgreich.

Microsoft Edge für die integrierte Windows-Authentifizierung konfigurieren

Edge verwendet Microsoft Edge-Richtlinien und Windows-Sicherheitszonen-Einstellungen.

Automatische Anmeldung in der Intranet-Zone aktivieren

  1. Internetoptionen öffnen
  2. Sicherheit Tab > Lokales Intranet > Benutzerdefinierte Stufe
  3. Unter Benutzerauthentifizierung , setzen:
    • Automatische Anmeldung nur im Intranet-Bereich

Edge-Richtlinien über GPO konfigurieren

Schritt 1: Edge ADMX-Vorlagen installieren
  1. Download:
  2. Kopieren msedge.admx und msedge.adml zu:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\de-DE
Schritt 2: Richtlinieneinstellungen bearbeiten
  1. Öffnen gpedit.msc
  2. Gehe zu:
    • Computer Configuration > Administrative Templates > Microsoft Edge
  3. Aktivieren:
    • Konfigurieren Sie die Liste der Server, an die Microsoft Edge Anmeldeinformationen delegieren kann.
  4. Vertrauenswürdige Server konfigurieren:
    • intranet.domain.com, domain.com
Schritt 3: Richtlinien anwenden
Terminalfenster 
gpupdate /force

Andere Methoden

Andere Methoden (Edge-Befehlszeilenoptionen und -flags) waren in diesem Kontext nicht erfolgreich.

Fehlerbehebung bei integrierter Authentifizierung

Überprüfen Sie Kerberos-Tickets

Auf Windows-Client:

Terminalfenster 
klist

Sie sollten ein Ticket für sehen HTTP/webserver.domain.com .

Gespeicherte Anmeldeinformationen/Tickets löschen

Terminalfenster 
klist purge

SPN-Registrierung überprüfen

Auf dem Domänencontroller:

Terminalfenster 
setspn -L serviceaccount

Sicherstellen HTTP/webserver.domain.com ist aufgeführt.

Debug Kerberos in Firefox

Starten Sie Firefox mit Protokollierung:

Terminalfenster 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

Bewertung firefox.log bei Authentifizierungsfehlern.

Überprüfen Sie die Chrome-Richtlinien

In Chrome, öffnen Sie: 

chrome://policy

Sicherstellen AuthServerWhitelist und AuthNegotiateDelegateWhitelist werden angewendet.

Edge-Richtlinien überprüfen

In Edge, öffnen Sie: 

edge://policy

Sicherstellen AuthServerWhitelist und AuthNegotiateDelegateWhitelist werden angewendet.

Möchten Sie die Seite in einer anderen Sprache sehen?

Englisch
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
Sprache ändern