temat wraca raz na jakiś czas jak boomerang, a ponieważ walczyłem z tym trochę dzisiaj, kilka lików dla potomności, które mogą się przy takich sprawach przydać:
- na początek link do toola DelegConfig – nie znałem, a bardzo przydatne narzędzie. Proste i sqteczne.
- jak powinny być skonfigurowane SPNy dla IIS
- dość fajny zbiór informacji o kerberosie na technecie
- lista zmian w obsłudze kerberosa
- ..które to każą pamiętać o jednym z dwóch ostatecznych wniosków z dzisiejszej walki: różnica pomiędzy w2k i w2k3 jest w tej materii dość istotna jeśli chodzi o autentykację cross-forest. Dla 'external trust’ jest ona niemożliwa, pełna obsługa pojawiła się wraz z 'forest trust’ dostępnym od wersji w2k3 [i taki musi być poziom funkcjonalny root domain w obu lasach!]
- drugi wniosek po walce jest taki: wiele zależy od tych najprostszych mechanizmów jak DHCP czy DNS, ponieważ zła konfiguracja na tym etapie powoduje poważne trudności w bardzo podstawowych czynnościach – jak rozwiązywanie nazw
- na koniec przestroga z ostatnich kilq doświadczeń: LUDZIE, UŻYWAJCIE NAZW FQDN! (;
kojn
nExoR
Tomek
Tomek
Pingback: W2K.PL » Blog Archive » Konfiguracja uwierzytelnienie Kerberos … a raczej rozwiązywanie problemów
Tomek
nExoR
Pingback: W-Files » Blog Archive » czy nazwa kompa w lesie może się duplikować?
zajefajnyx
Pingback: Jakub Gutkowski o dev i nie tylko | Kerberos przyjacielem twym - Jakub Gutkowski o dev i nie tylko