einem Rechner / Server mehrere Hostnamen zuweisen

 

Durch den Microsoft Security Fix: MS08-068 funktioniert die Windowsauthentifizierung bei einem alternativen Hostnamen nicht mehr. Ein aktueller Windows Rechner lässt sich standardmäßig also nur über seinen eingestellten Computernamen ansprechen.

Warum das Ganze, kurz erklärt

Mal angenommen wir installieren einen neuen Server.
Der Server hat dann natürlich einen neuen Hostnamen.
Anwendungen und Freigaben werden vom alten Server zum neuen Übertragen, bzw. dort neu installiert:
Damit Netzwerkfreigaben, Anwendungen, SQL-Datenbankverbindungen weiterhin über den alten Hostnamen funktionieren, wäre es doch eine gute Idee den alten Hostnamen im DNS auf die IP-Adresse des neuen Servers zeigen zu lassen; bzw. granularer für bestimmte Rechner einen Eintrag in die Hosts-Datei zu machen.
Das ist zugegeben nicht wirklich eine schöne Lösung, führt aber extrem schnell zum Ziel.

Ganz so einfach ist es aber nicht:
Seit dem Microsoft Securityfix: MS08-068 lässt sich die Windows Authentifizierung nicht mehr so einfach mit einem falschen Hostnamen abspeisen.
Authentifizierung funktioniert nicht, wenn der FQDN oder der verwendete custom host header nicht mit dem lokalen Computernamen übereinstimmt.

Fehler:
Login failed. The login is from an untrusted domain and cannot be used with Windows authentication
oder
Login fehlgeschlagen. Der Login ist von einem nicht vertrauenswürdigen Domäne und kann nicht verwendet werden mit Windows-Authentifizierung.

Die Überprüfung kann entweder komplett abgeschaltet werden (ist nicht zu empfehlen) oder die jeweiligen Hostnamen in der Registrierung eingetragen werden: mit
regedit (Als Administrator ausführen)
Download

Der Key
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck auf 1 würde die Überprüfung komplett abschalten, der Key ist standardmässig nicht verhanden, muss also auch nicht extra angelegt werden.

In unserem Beispiel wollen aber nur bestimmte Hostnamen erlauben (darum haben wir DisableLoopbackCheck auf 0 gesetzt)
Um bestimmte Hostnamen zu erlauben, zum Key HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 wechseln und einen neuen Multi-String mit Namen BackConnectionHostNames und dort die Hostnamen eintragen:
Download

Ein kurzer Schwenk zu den Grundlagen

Einträge in der lokalen Datei c:\windows\System32\drivers\etc\hosts haben höchste Priorität bei der Namensauflösung, ist also in der Datei kein entsprechender DNS-Eintrag, werden Host-A Einträge des DNS-Servers verarbeitet. (Achtung bei Änderungen am DNS
Server: Damit der Rechner die Änderung gleich annimmt, ipconfig /flushdns am Client aufrufen)
siehe auch: mit Hilfe der Hosts Datei bestimmte DNS Einträge sperren

Referenz: blogs.msdn.com/b/sql_protocols/archive/
2008/05/03/understanding-the-error-message-login-failed-
for-user-the-user-is-not-associated-with-a-trusted-sql-server-
connection.aspx (Seite ist leider nicht mehr vorhanden)
sowie:
support.microsoft.com/kb/957097/en-us (Seite ist leider nicht mehr vorhanden)

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE für deine Bewertung!

Beitrag erstellt von Bernhard | Veröffentlicht: 22.06.2011 |🔔 | Kommentare:1

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

✍anonym
16.02.2012 17:13
User: fritz 
danke für den Tipp! Funktioniert!
  

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details