einem Rechner / Server mehrere Hostnamen zuweisen

 

Durch den Microsoft Security Fix: MS08-068 funktioniert die Windowsauthentifizierung bei einem alternativen Hostnamen nicht mehr. Ein aktueller Windows Rechner lĂ€sst sich standardmĂ€ĂŸig also nur ĂŒber seinen eingestellten Computernamen ansprechen.

Warum das Ganze, kurz erklÀrt

Mal angenommen wir installieren einen neuen Server.
Der Server hat dann natĂŒrlich einen neuen Hostnamen.
Anwendungen und Freigaben werden vom alten Server zum neuen Übertragen, bzw. dort neu installiert:
Damit Netzwerkfreigaben, Anwendungen, SQL-Datenbankverbindungen weiterhin ĂŒber den alten Hostnamen funktionieren, wĂ€re es doch eine gute Idee den alten Hostnamen im DNS auf die IP-Adresse des neuen Servers zeigen zu lassen; bzw. granularer fĂŒr bestimmte Rechner einen Eintrag in die Hosts-Datei zu machen.
Das ist zugegeben nicht wirklich eine schöne Lösung, fĂŒhrt aber extrem schnell zum Ziel.

Ganz so einfach ist es aber nicht:
Seit dem Microsoft Securityfix: MS08-068 lÀsst sich die Windows Authentifizierung nicht mehr so einfach mit einem falschen Hostnamen abspeisen.
Authentifizierung funktioniert nicht, wenn der FQDN oder der verwendete custom host header nicht mit dem lokalen Computernamen ĂŒbereinstimmt.

Fehler:
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication
oder
Login fehlgeschlagen. Der Login ist von einem nicht vertrauenswĂŒrdigen DomĂ€ne und kann nicht verwendet werden mit Windows-Authentifizierung.

Die ÜberprĂŒfung kann entweder komplett abgeschaltet werden (ist nicht zu empfehlen) oder die jeweiligen Hostnamen in der Registrierung eingetragen werden: mit
regedit (Als Administrator ausfĂŒhren)
Download

Der Key
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck auf 1 wĂŒrde die ÜberprĂŒfung komplett abschalten, der Key ist standardmĂ€ssig nicht verhanden, muss also auch nicht extra angelegt werden.

In unserem Beispiel wollen aber nur bestimmte Hostnamen erlauben (darum haben wir DisableLoopbackCheck auf 0 gesetzt)
Um bestimmte Hostnamen zu erlauben, zum Key HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 wechseln und einen neuen Multi-String mit Namen BackConnectionHostNames und dort die Hostnamen eintragen:
Download

Ein kurzer Schwenk zu den Grundlagen

EintrĂ€ge in der lokalen Datei c:\windows\System32\drivers\etc\hosts haben höchste PrioritĂ€t bei der Namensauflösung, ist also in der Datei kein entsprechender DNS-Eintrag, werden Host-A EintrĂ€ge des DNS-Servers verarbeitet. (Achtung bei Änderungen am DNS
Server: Damit der Rechner die Änderung gleich annimmt, ipconfig /flushdns am Client aufrufen)
siehe auch: mit Hilfe der Hosts Datei bestimmte DNS EintrÀge sperren

Referenz: blogs.msdn.com/b/sql_protocols/archive/
2008/05/03/understanding-the-error-message-login-failed-
for-user-the-user-is-not-associated-with-a-trusted-sql-server-
connection.aspx (Seite ist leider nicht mehr vorhanden)
sowie:
support.microsoft.com/kb/957097/en-us (Seite ist leider nicht mehr vorhanden)

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE fĂŒr deine Bewertung!

Veröffentlichung: 22.06.2011 von Bernhard |🔔 | Kommentare:1

➚ Laravel IIS Installation | ➊ Server | FileZilla Server 1.7.3 - free FTP Server ➚

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

✍anonym
16.02.2012 17:13
User: fritz 
danke fĂŒr den Tipp! Funktioniert!
  

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details