Kerberos-Troubleshooting
NTLM statt Kerberos
Ein weiteres Problem kann dadurch entstehen, dass mit NTLM statt Kerberos gearbeitet wird. Auf die Anpassung der entsprechenden Einstellungen bei der Authentifizierung über die IIS wurde bereits im Artikel Kerberos-Konfiguration in diesem Heft eingegangen.
Betroffen davon ist ansonsten noch der Internet Explorer. Bei diesem lassen sich die Einstellungen bei den Internet-Optionen im Register Erweitert anpassen. Dort findet sich die Option Integrierte Windows-Authentifizierung aktivieren (erfordert Neustart). Sie ist standardmäßig aktiviert. Wenn sie nicht aktiviert ist, wird Kerberos nicht verwendet.
Ein weiteres Problem beim Internet Explorer entsteht, wenn eine Website nicht zur lokalen Intranet-Zone gehört. Die integrierte Authentifizierung und damit auch Kerberos wird nur für diese Zone genutzt.
Als Workaround gibt es ab dem Windows Server 2003 außerdem immer die Möglichkeit, mit der Umsetzung der Authentifizierung auf Kerberos auf der Ebene des IIS zu arbeiten, wenn die Client-Konfiguration nicht entsprechend angepasst werden kann.
Für den SQL Server 2005 wird unter http://support.microsoft.com/kb/090801/en-us erklärt, wie geprüft werden kann, ob mit Kerberos gearbeitet wird.
Zu große Tickets
In gemischten Umgebungen mit Windows und UNIX oder Linux sind auch zu große Tickets ein potenzielles Problem. Bei etwas älteren Kerberos-Implementierungen unter UNIX kann beispielsweise nur mit UDP gearbeitet werden und damit die Übertragung größerer Kerberos-Tickets scheitern. Solche Tickets entstehen, wenn sehr viele SIDs eingebunden werden müssen, was vor allem bei Benutzern mit vielen Gruppenmitgliedschaften der Fall ist. Windows wechselt automatisch auf TCP und kann auch so konfiguriert werden, dass generell nur TCP zum Einsatz kommt. Bei den MIT-Distributionen wird dies nur in den neueren Releases unterstützt.
Generell kritisch sind Benutzer, die Mitglied in mehr als 70 bis 120 Gruppen sind. Die Zahl hängt vom Typ der Gruppen ab. Mit dem Utility tokensz.exe, das von http://go.microsoft.com/fwlink/?LinkId=42933 geladen werden kann, lässt sich die Token-Größe berechnen. Falls solche Probleme auftreten, kann einerseits die Zahl der Gruppen reduziert werden – was in Fällen mit sehr vielen Gruppen meist keine schlechte Idee ist, denn in diesem Fall ist das Gruppenkonzept tendenziell überarbeitungsbedürftig, weil viel zu komplex. Daneben bietet Microsoft auch einen Hotfix unter http://go.microsoft.com/fwlink/?Link-Id=23044 an.