Bei der Migration von Servern oder der Änderung von Hostnamen kann es recht kompliziert werden, Kerberos und DNS reibungslos zu handhaben. Das Hauptproblem? Das einfache Hinzufügen eines A-Records oder DNS-Alias (CNAME) reicht nicht aus, damit die Kerberos-Authentifizierung einwandfrei funktioniert. Wenn Ihr neuer Hostname also nicht alle SPN-Einträge in Active Directory aktualisiert, kann Kerberos den Zugriff blockieren und zu Problemen führen. Die gute Nachricht: Es gibt Möglichkeiten, dies ohne Beeinträchtigung der Authentifizierung zu realisieren – allerdings sind diese nicht mit einem Klick umsetzbar. Dieser Leitfaden beschreibt die gängigen Vorgehensweisen und bietet Optionen für Windows-Versionen ohne die entsprechenden integrierten Tools.
Wie man Hostnamen- und Kerberos-Probleme bei der Servermigration behebt
Methode 1: Verwendung des DNS-Managers und netdom.exe (Am besten geeignet für Server-Betriebssysteme)
Zunächst einmal ist der klassische Weg, einen Hostnamen im DNS hinzuzufügen und ihn anschließend in der Active Directory-Domäne zu registrieren. DNS ist hier etwas heikel, denn wenn Sie einfach einen CNAME-Eintrag hinzufügen, erkennt Kerberos den neuen Namen für Ihren Dienst nicht. Deshalb ist die Registrierung des Hostnamens in AD unerlässlich. Gehen Sie dazu auf einem Windows Server wie folgt vor: Öffnen Sie den DNS-Manager (geben Sie dazu „DNS Manager dnsmgmt.msc“ in der Ausführen-Funktion ein) und erstellen Sie einen CNAME-Eintrag, der den neuen Namen auf Ihren bestehenden Hostnamen verweist. Anschließend vereinfacht die Verwendung von netdom.exe die Registrierung des neuen Hostnamens in AD und die korrekte Konfiguration der SPNs.
- Öffnen Sie eine Eingabeaufforderung oder PowerShell mit erhöhten Rechten (als Administrator ausführen).
- Laufen:
netdom computername your-computer-name /ADD new.fqdn.example.com - Anschließend DNS erneut registrieren:
ipconfig /registerdns
Dieser Prozess registriert einen CNAME im DNS, aktualisiert das AD-Objekt mit dem neuen Hostnamen und passt die SPN-Einträge an, damit Kerberos keine Fehler verursacht. Bei manchen Konfigurationen schlägt dies beim ersten Mal fehl, oder Sie müssen den Rechner neu starten oder die gpupdate /forceRichtlinienverteilung manuell durchführen. Falls diese Option netdomnicht vorhanden ist (z. B.auf Windows 10- oder 11-Clients), müssen Sie den DNS manuell aktualisieren und einige Registrierungsschlüssel anpassen.
Methode 2: Manuelle Aktualisierung der Registry für zusätzliche Hostnamen
Falls Sie Windows 10/11 verwenden und diese Option netdom.exenicht verfügbar ist, gehen Sie wie folgt vor. Es fühlt sich zwar an, als müsste man in der Registry herumwühlen, aber es ist die einzige Möglichkeit, zusätzliche Hostnamen oder Aliase hinzuzufügen, die Kerberos erkennt – zumindest vorübergehend. Im Prinzip geht es darum, einige Registry-Schlüssel zu erstellen oder zu bearbeiten, damit das Betriebssystem die zusätzlichen Namen kennt, und anschließend die DNS-Einträge neu zu registrieren.
- Navigieren Sie zu HKLM\System\CurrentControlSet\Services\DNSCache\Parameters\
- Erstellen Sie einen neuen REG_Multi_SZ-Wert namens AlternateComputerNames.
- Fügen Sie Ihre neuen FQDNs oder NetBIOS-Namen hinzu, einen pro Zeile.
- Führen Sie
ipconfig /registerdnsden Befehl in einer Eingabeaufforderung mit Administratorrechten aus, um die DNS-Einträge zu aktualisieren. - Um sicherzustellen, dass die Kerberos-SPNs korrekt sind, führen Sie Folgendes aus:
setspn.exe -A host/newname wks11
Und wenn Sie es ganz genau nehmen möchten, um einen zusätzlichen NetBIOS-Namen hinzuzufügen, erstellen Sie einen neuen REG_Multi_SZ-Eintrag namens „ OptionalNames“ unter HKLM\System\CurrentControlSet\Services\LanManServer\Parameters. Starten Sie anschließend den LANMAN-Dienst neu net stop lanmanserver && net start lanmanserver. Dies verbessert die klassische SMB-Namensauflösung.
Option: Strenge Namensprüfung deaktivieren (Schnell & Unsauber)
Und für die Fälle, in denen nichts anderes hilft – insbesondere wenn Sie SPNs in Active Directory nicht aktualisieren können – sollten Sie die Namensprüfung komplett deaktivieren. Erstellen Sie dazu einfach einen DWORD-Wert namens „DisableStrictNameChecking “ unter HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters und setzen Sie ihn auf 1. Dadurch wird Windows angewiesen, bestimmte Namensabweichungen beim SMB-Zugriff zu ignorieren. Langfristig ist das zwar nicht optimal, aber in einer Notsituation kann es helfen.
Nach dieser Änderung wird ein Neustart empfohlen. Beachten Sie außerdem, dass dadurch möglicherweise einige Kerberos-Schutzmechanismen umgangen werden. Verwenden Sie diese Methode daher sparsam.
Ehrlich gesagt, kann das Herumprobieren mit diesen Einstellungen ganz schön nervig sein. Manchmal hilft schon ein Neustart nach den Änderungen, um die Aktualisierungen zu festigen. Und wenn alles andere fehlschlägt, überprüfen Sie die DNS-Einträge, stellen Sie sicher, dass Ihre SPNs korrekt sind (siehe Dokumentation des SetSPN-Tools) und versuchen Sie es dann von dort aus. Denn natürlich muss Windows es einem unnötig schwer machen.