Windows Admin Center Kerberos Delegation (SSO)

Nach der Installation von Windows Admin Center auf einem dezidierten Server wurde ich beim Verbindungsaufbau zu einer Node neben einer Benutzer- und Kennwort-Abfrage auch mit folgender Information begrüßt.

Wie sich herrausstellt benötigt das Windows Admin Center statt der üblichen Kerberos Constrained Delegation eine Resource Based Constrained Delegation die mit Windows Server 2012 eingeführt wurde. Erst dann werden die Credentials vom WAC Login auf den Node übernommen (sprich Single Sign On). RBCD unterscheidet sich in einigen Punkten zur alten Form der Delegation. Der größte Vorteil von RBCD ist, dass es auch mit einer Trust Domain funktioniert was bei großen Umgebungen nicht uninteressant ist.
Eine gute Erklährung zu beiden Formen findet man hier.

Konfiguriert werden muss die Resource Based Constrained Delegation auf jedem Node, sprich jedem AD Computer Objekt das man mit WAC verwalten möchte.
Nach der Anleitung von Microsoft kann das bequem mit PowerShell durchgeführt werden.

$gateway = "WAC-Server" # Machine where Windows Admin Center is installed
$node = "Target-Server" # Machine that you want to manage
$gatewayObject = Get-ADComputer -Identity $gateway
$nodeObject = Get-ADComputer -Identity $node
Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $gatewayObject

Wurde RBCD richtig gesetzt kann man sich nach spätestens 15 Minuten, ohne Kennwortabfrage, direkt auf den Node verbinden.

Add a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code