Folgendes wird benötigt, um Kerberos in einer SharePoint Umgebung aufzusetzen
– Service Class für die SPNs (HTTP für SharePoint Web Applications, MSSQLSvc für die Standard SQL Server Instanz)
– Hostnamen der Server (FQDN ohne Domainangabe)
– Full Qualified Domain Name (FQDN) für alle Web Applications und Server
– Port Nummern für die SPNs (keine Portangabe für SharePoint Web Applications, Port 1433 für SQL
– Die Domain Benutzerkonten für die SPNs (Service und Application Pool Accounts)

In Active Directory Users and Computers > Computer > Computer Name > Properties > Delegation muss Trust computer for delegation to any service (Kerberos only) aktiviert werden. Für die Benutzer muss in den Eigenschaften (Reiter Account > Account options) Account is trusted for delegation aktiviert werden.

Das muss für folgende Server und User gemacht werden:
– Alle SharePoint Server Computer Accounts
– SQL Server Computer Accounts
– SQL Server Service User Account
– Application Pool User Account

Ein SPN enthält eine Service-Klasse, Hostnamen und manchmal eine Port-Nummer. Es wird empfohlen, sowohl den Hostnamen und FQDN der Web-Anwendungen registrieren, auch wenn nur eine davon verwendet werden soll.

Zum Beispiel:
setspn.exe –A MSSQLSvc/SqlServer:1433 Domain\Account
setspn.exe –A MSSQLSvc/SqlServer.domain.local:1433 Domain\Account

SPN für einen Domänen Account registrieren:
setspn.exe –A HTTP/intranet.domain Domain\Account

Auflisten des SPN für einen Account:
setspn.exe –L DOMAIN\Account

SPN löschen:
setspn.exe –D HTTP/intranet.domain.local DOMAIN\Account

Mehr zu Service Principal Names (SPN): http://support.microsoft.com/kb/929650 oder http://technet.microsoft.com/en-us/library/ms191153.aspx oder http://technet.microsoft.com/en-us/library/ms191153.aspx


Kerberos aktivieren

Central Administration > Application Management > Authentication providers
Web Application auswählen, welche Kerberos nutzen soll
Im Ribbon Authentication Provider anklicken und Negotiate (Kerberos) markieren.
Auf den SharePoint Web Front End Servern iisreset ausführen.

Weitere Informationen zur Kerberos in SharePoint 2010: http://technet.microsoft.com/en-us/library/ee806870.aspx


Kerberos in der SharePoint Umgebung testen

Um zu prüfen, ob Kerberos aktiviert ist, wird am besten das Security Event Log auf erfolgreiche Kerberos Logon Events überprüft. Tauchen Fehler auf, sollte folgendes überprüft werden:
– Datum und Zeit auf allen Servern korrekt gesetzt
– Das Bentutzerkonto ist in der Domain nicht gesperrt
– Der Service oder die Applikation laufen unter dem richtigen Domänenkonto
– Delegation ist für Computer- und Benutzer-Konten aktiviert
– Die SPNs wurden in Active Directory korrekt gesetzt