Active Directory Server einrichten

DNS-Server anpassen

In der DNS -Konsole (Start->Programme->Verwaltung->DNS):

Forward-Lookupzone

Es muss der Webserver in der jeweiligen Forward-Lookupzone der Domäne eingetragen sein. Falls es noch keine Forward-Lookupzone gibt, muss diese erstellt werden:

Rechtsklick -> neue Zone

• Als Zonentyp Primär auswählen
• Als Name geben Sie dort den Namen der Domäne an (Im Beispiel: egotec.net)

In dieser Zone muss nun der Webserver eingetragen werden:

Rechtsklick -> neuer Host...

• Name und IP jeweils die des Webservers eintragen 

Auch sollte dort der Windows Server selbst eingetragen werden:

Rechtsklick -> neuer Host...

• Name und IP jeweils die des Windows Active Directory Servers eintragen 

Reverse-Lookupzone

Nun muss noch ein Zeiger für den Webserver in der jeweiligen Reverse-Lookupzone erstellt werden. Falls es noch keine Reverse-Lookupzone gibt, muss diese erstellt werden:

Rechtsklick -> neue Zone

• Als Zonentyp Primär auswählen
• Als Netzwerkkennung entsprechende Kennung eintragen (Im Beispiel: 192.168.0.)

In dieser Zone muss nun der Zeiger eingetragen werden:

Rechtsklick -> neuer Zeiger...

• In dem Fenster müssen Sie die IP des Webservers eintragen.
• Als Hostname können Sie über den Knopf Durchsuchen... direkt den Eintrag, den Sie im vorherigem Schritt erstellt haben, aus der Forward-Lookup-Zone auswählen.

Jetzt ist der DNS-Server konfiguriert und könnte so aussehen:

Active Directory Server anpassen

In der Active Directory - Konsole (Start -> Programme -> Verwaltung -> Active Directory-Benutzer und -Computer):

Dort muss der Webserver als Computer registriert werden. Dazu wechseln Sie in das Verzeichnis Computers der jeweiligen Domäne und fügen mit

Rechtsklick -> Neu -> Computer den Webserver hinzu.

• Sie müssen lediglich den Computernamen des Webservers eintragen

Nun muss ein Active Directory Benutzer erstellt werden, damit der Webserver sich authentifizieren kann. Dazu wechseln Sie in das Verzeichnis Users und fügen mit

Rechtsklick -> Neu -> Benutzer einen Benutzer hinzu.

• Dort müssen Sie nur einen beliebigen Vornamen und Benutzeranmeldenamen eingeben. (Im Beispiel: kerbdummy1)
• Das Passwort bitte leer lassen
• Haken bei Kennwort läuft nie ab setzen

Jetzt ist der Active Directory Server konfiguriert und könnte so aussehen:

Als nächstes muss eine Keyfile erzeugt werden, die dem Webserver ermöglicht sich über den eben erzeugten Benutzer zu authentifizieren. Dazu wird das Programm ktpass benötigt. Sollten Sie das Programm nicht auf Ihrem System installiert haben, müssen Sie ...

• ktpass.exe runterladen z.B. http://web.mit.edu/jaltman/Public/ktpass.exe
• und nach c:\winnt\system32 kopieren

Öffnen Sie eine Eingeaufforderung

Geben Sie dort diesen Befehl ein:

ktpass /out c:\keyfile /princ HTTP/debian.egotec.net@EGOTEC.NET /mapuser kerbdummy1 /pass test /crypto DES-CBC-CRC

Der Computername des Webservers "debian" und der Name der Domäne "egotec.net" sollten Sie entsprechend anpassen.Das Passwort "test" können Sie frei wählen.

Nachdem Sie den Befehl abgeschickt haben, sollte etwa solch eine Ausgabe entstehen:

Durch diesen Befehl wurde die Keyfile erzeugt. Diese ist in C:\keyfile gespeichert. Kopieren Sie diese nun auf den Webserver.
Den Namen können Sie frei wählen, wichtig ist dass die Datei in /etc/apache2/ gespeichert wird. (Im Beispiel: /etc/apache2/http_debian.krb5keytab)

Verschlüsselungstyp anpassen

Bevor Sie nun den Webserver einrichten, müssen Sie sicherstellen, dass der Verschlüsselungstyp des Active Directory Benutzers für den Webserver (Im Beispiel: kerbdummy1) auf DES eingestellt ist.

Öffnen Sie dazu nocheinmal die Active Directory - Konsole und wechseln in das Verzeichnis Users. Ein Doppelklick auf den jeweiligen Benutzer öffnet die Eigenschaften. Wechseln Sie dort auf die Registerkarte Konto und setzen den Haken DES-Verschlüsselung aktivieren in den Kontooptionen.