C:\Users\domadm>setspn -A HTTP/meinserver:815 meinserver
Registering ServicePrincipalNames for …… Failed to assign SPN on account …… -> Insufficient access rights to perform the operation.

Wenn man dann immer noch besagte Fehlermeldung erhält, dann kann man natürlich alle möglichen Leute fragen, ob der DomainAdmin nicht mehr DomainAdmin ist oder man kann auch das Netz durchsuchen und so die ein oder andere Stunde verstreichen lassen.

Generell wäre aber die Effizienz am höchsten, wenn man einfach “Als Administrator ausführen” wählt für die Kommandozeile! *arg*

Zu meiner Verteidigung will ich sagen, dass ich auf allen anderen Servern UAC schon vor einiger Zeit abgestellt hatte, aber dieser Server es aber leider an hatte.

Hier noch eine Hand voll Links, die Kerberos und die Kerberos-bezogene Fehlerdiagnose erläutern:

Kerberos for the Busy Admin (Kerberos Überblick)
Troubleshooting Kerberos Authentication problems – Name resolution issues (Problem: DNS Server löst Name falsch auf)
Kerberos Authentication problems – Service Principal Name (SPN) issues – Part 1 (SPNs für ein Webapp einfügen)
Kerberos Authentication problems – Service Principal Name (SPN) issues – Part 2 (Doppelter SPN)
Kerberos Authentication problems – Service Principal Name (SPN) issues – Part 3 (SPN für falschen Nutzer registriert)
Kerberos and your MOSS setup

---
Unterstütze mich und meinen Blog und kauf dir was Nettes (über diesen Link)

Grundlage ist mein Desktoprechner mit einer Systemfestplatte und einer Datenfestplatte (eigentlich ein Raid). Jedenfalls mag ich das Gefühl nicht, wenn jemand anders einfach meinen PC nutzen kann, deshalb hatte ich schon immer ein Windowskennwort. Dies schützt aber nur den PC, nicht die Daten. Will man an diese ran kommen, genügt das Booten einer Linux-Live-CD und alle Daten liegen offen vor einem.

Ich habe deshalb Truecrypt und schon länger meine Datenpartition komplett verschlüsselt. Wichtig ist dabei, dass man eine Partition verschlüsselt und nicht das ganze Laufwerk, denn sonst denkt Windows unter bestimmten Umständen, dass die Platte leer ist und bietet das Formatieren an. Böse! Die Partition darf dabei natürlich über das komplette Laufwerk gehen.

Seit mittlerweile 2 Versionen bietet Truecrypt auch die Option, die Systemplatte zu verschlüsseln. Dies habe ich nun auch gemacht. Wenn der Rechner nun startet, läuft das Bios ganz normal ab, bevor Windows dann mit dem Starten beginnt kommt allerdings eine Passwordabfrage. Ohne das korrekte Password können die Daten auf der Platte nicht entschlüsselt werden und genau genommen könnte man nicht mal sehen, ob da überhaupt ein Windows drauf installiert ist.

Wenn ihr mir so weit gefolgt seit, dann habt ihr beim Booten eine Passwortabfrage, einen Windowslogin und eine weitere Passwortabfrage für die Datenpartition. Hier kommt jetzt der Komfortpunkt: Das Windowskennwort sollte man behalten, da man mit leerem Kennwort womöglich angreifbar übers Netzwerk wird, aber man kann Windows so einstellen, dass es automatisch einloggt (oder XP). Dies verringert die Sicherheit nicht, denn man hat ja zuvor schon durch das Truecrypt-Passwort gezeigt, dass man “berechtigt” ist. Außerdem kann man das Passwort für die Datenpartition auf der Systempartition hinterlegen und so das Freischalten der Datenpartition durch den Autostart automatisieren:

“C:\Program Files\TrueCrypt\TrueCrypt.exe” /volume \Device\Harddisk1\Partition1 /letter e /p “meinPasswordhier” /q

Diese Zeile startet Truecrypt, nimmt das angegebene Volumen und meldet es auf den Laufwerksbuchstaben E an. Das Password liegt hier im Klartext vor. /q beendet Truecrypt dann direkt wieder.

Abschließendes Fazit ist, dass ich genau wie ganz am Anfang für den Systemstart nur ein Passwort benötige, nun meine Platten aber komplett verschlüsselt sind. Neben dem Bonus der Sicherheit kommt diese Passwortabfrage nun auch am Anfang im Bootprozess statt in der Mitte! Ich kann also anschalten, gebe nach 3 Sekunden mein Kennwort ein und kann mir einen Kaffee holen, wenn ich wieder komme ist alles fertig!

Ich denke, dass ich auf diesem Wege sowohl die Sicherheit als auch den Komfort gut unter einen Hut gebracht habe!

---
Unterstütze mich und meinen Blog und kauf dir was Nettes (über diesen Link)