Die Arbeit mit modernen Cloud-Identitäten und traditionellen lokalen Ressourcen kann manchmal eine Herausforderung sein, insbesondere wenn es um Authentifizierung geht. Eine häufige Frustration, die IT-Administratoren und fortgeschrittene Benutzer erleben, ist der Fehler „Das angegebene Netzwerkkennwort ist falsch“, wenn sie versuchen, von einem Microsoft Entra ID-verbundenen Client auf SMB-Netzlaufwerke zuzugreifen, die durch Microsoft Entra Kerberos geschützt sind. Obwohl die Fehlermeldung auf ein falsches Kennwort hindeutet, liegt die eigentliche Ursache fast immer an einem komplexeren Problem mit der Kerberos-Authentifizierung oder der Delegierung.
Dieser umfassende Leitfaden soll Ihnen helfen, die zugrunde liegenden Ursachen dieses trügerischen Fehlers zu verstehen und eine systematische Fehlerbehebung durchzuführen. Wir tauchen tief in die Mechanismen von Entra Kerberos ein und bieten Ihnen detaillierte Schritte, um Ihre SMB-Verbindungen wiederherzustellen.
Was ist Microsoft Entra Kerberos und warum ist es wichtig für SMB?
Microsoft Entra Kerberos (früher Azure AD Kerberos) ist eine Funktion, die es Microsoft Entra ID-verbundenen Clients ermöglicht, auf lokale Active Directory Domain Services (AD DS)-Ressourcen wie SMB-Dateifreigaben zuzugreifen, ohne eine direkte Sichtverbindung zu lokalen Domänencontrollern zu benötigen oder ein VPN zu verwenden. Es schließt die Lücke zwischen Cloud-basierter Identitätsverwaltung und lokalen, Kerberos-basierten Diensten.
Im Kern ermöglicht Entra Kerberos Folgendes:
- Nahtlose Anmeldung (Single Sign-On, SSO): Benutzer, die sich an ihrem Entra ID-verbundenen Gerät anmelden, können auf lokale SMB-Freigaben zugreifen, ohne erneut Anmeldeinformationen eingeben zu müssen.
- Zugriff von überall: Entra ID-verbundene Clients können von außerhalb des Unternehmensnetzwerks auf lokale Ressourcen zugreifen, solange der SMB-Server über eine erreichbare IP-Adresse (z. B. über Azure ExpressRoute, VPN oder eine öffentliche IP-Adresse mit entsprechender Sicherheit) verfügt.
- Sicherheit: Kerberos ist ein robustes Authentifizierungsprotokoll, das starke Verschlüsselung und Integrität für Anmeldeinformationen und Kommunikationssitzungen bietet.
Um dies zu erreichen, verwendet Entra Kerberos ein spezielles Objekt im lokalen AD DS, das als Kerberos-Serverobjekt (KSO) bekannt ist. Das KSO fungiert als Vermittler, der Kerberos-Tickets im Namen von Entra ID-Benutzern anfordert, die dann von den lokalen SMB-Servern akzeptiert werden.
Die Fehlermeldung entschlüsselt: „Das angegebene Netzwerkkennwort ist falsch“
Wenn Sie diese Fehlermeldung sehen, während Sie versuchen, auf eine SMB-Freigabe zuzugreifen, ist es wichtig zu verstehen, dass sie in diesem Kontext selten bedeutet, dass Ihr Kennwort tatsächlich falsch ist. Stattdessen ist es ein allgemeiner Fehler, der darauf hinweist, dass die Kerberos-Authentifizierung auf irgendeiner Ebene fehlgeschlagen ist. Dies kann bedeuten, dass:
- Das Kerberos-Ticket nicht angefordert werden konnte.
- Das angeforderte Ticket ungültig war oder nicht akzeptiert wurde.
- Es ein Problem mit der Delegierung oder den Dienstprinzipalnamen (SPNs) gab.
- Netzwerk- oder Zeitprobleme die Kerberos-Kommunikation beeinträchtigt haben.
Die Herausforderung besteht darin, die spezifische Ursache im komplexen Zusammenspiel von Entra ID, dem KSO, dem lokalen AD DS und dem SMB-Server zu finden.
Grundlegende Voraussetzungen für Microsoft Entra Kerberos für SMB
Bevor wir mit der Fehlerbehebung beginnen, stellen Sie sicher, dass die folgenden grundlegenden Voraussetzungen erfüllt sind:
- Entra ID-Hybridentität: Die Benutzer- und Computerkonten müssen von Ihrem lokalen AD DS mit Microsoft Entra ID synchronisiert sein (mittels Entra Connect).
- Entra ID-verbundener Client: Der Client-Computer, von dem aus Sie zugreifen möchten, muss entweder vollständig an Entra ID (Entra ID-joined) oder hybrid an Entra ID und die lokale AD-Domäne (Hybrid Entra ID-joined) angebunden sein.
- Kerberos-Serverobjekt (KSO): Ein spezielles Dienstkontoobjekt muss in Ihrem lokalen AD DS erstellt und korrekt konfiguriert sein. Dieses Objekt ermöglicht Entra ID, Kerberos-Tickets für lokale Ressourcen auszustellen.
- Gültiger KDS-Stammschlüssel: Ein Schlüsselverteilungsdienst-Stammschlüssel muss in Ihrem AD DS vorhanden sein, um das KSO zu unterstützen.
- SMB-Server: Der SMB-Dateiserver muss ein Computerobjekt in Ihrer lokalen AD DS-Domäne sein. Er muss korrekt für die ressourcenbasierte eingeschränkte Delegierung konfiguriert sein, um Anfragen vom KSO zu akzeptieren.
- Netzwerkkonnektivität: Der Entra ID-verbundene Client muss den SMB-Server über Port 445 (SMB) erreichen können. Der SMB-Server muss Domänencontroller (DCs) über die Kerberos-Ports (88 TCP/UDP, 464 TCP/UDP, 389 TCP/UDP, 3268 TCP) erreichen können.
- DNS-Auflösung: Der Client muss den vollständig qualifizierten Domänennamen (FQDN) des SMB-Servers korrekt in seine IP-Adresse auflösen können.
- Zeit-Synchronisation: Alle beteiligten Systeme (Client, SMB-Server, Domänencontroller) müssen innerhalb weniger Minuten zeitsynchronisiert sein. Kerberos ist sehr zeitempfindlich.
Schritt-für-Schritt-Fehlerbehebung: „Das angegebene Netzwerkkennwort ist falsch“
1. Überprüfen der Grundlagen und der allgemeinen Konnektivität
Beginnen Sie immer mit den einfachsten Prüfungen:
- SMB-Server erreichbar? Versuchen Sie vom Client aus, den SMB-Server per Ping (
ping) zu erreichen. Stellen Sie sicher, dass Port 445 geöffnet und erreichbar ist (z. B. mitTest-NetConnection -Port 445in PowerShell). - Dateifreigabeberechtigungen: Sind die Berechtigungen für die Dateifreigabe und die NTFS-Berechtigungen korrekt für den Benutzer (oder eine Gruppe, der der Benutzer angehört) konfiguriert? Testen Sie dies idealerweise von einem traditionellen domänenverbundenen Client aus, um auszuschließen, dass es sich um ein reines Berechtigungsproblem handelt.
- Test mit NTLM (temporär): Wenn Sie nur die Funktionalität testen möchten und die Kerberos-Problematik isolieren wollen, versuchen Sie, sich über NTLM zu verbinden (was Entra Kerberos umgeht, aber eine Sichtverbindung zum DC und lokale AD-Anmeldeinformationen erfordert, wenn der Client nicht hybrid-joined ist). Dies ist aber nur ein Diagnoseschritt, keine Lösung für Entra Kerberos.
2. Validierung des Kerberos-Serverobjekts (KSO)
Das KSO ist das Herzstück der Entra Kerberos-Funktionalität. Eine fehlerhafte Konfiguration hier ist eine sehr häufige Ursache.
- Existenz und Name: Überprüfen Sie in Active Directory Benutzer und Computer, ob das KSO existiert und korrekt benannt ist. Es sollte sich typischerweise in der OU befinden, in der Sie es erstellt haben (oft „Managed Service Accounts” oder eine dedizierte OU).
- KDS Root Key: Stellen Sie sicher, dass ein KDS Root Key auf Ihren Domänencontrollern vorhanden ist und aktiv ist. Führen Sie auf einem DC aus:
Get-KdsRootKey. Wenn keiner existiert, erstellen Sie ihn mitAdd-KdsRootKey -EffectiveImmediately. Beachten Sie, dass es bis zu 10 Stunden dauern kann, bis der Schlüssel voll funktionsfähig ist, obwohl `-EffectiveImmediately` diesen Zeitraum deutlich verkürzt. - ServicePrincipalNames (SPNs) auf dem KSO: Obwohl das KSO nicht der SMB-Server ist, benötigt es eigene SPNs, damit Entra ID es als Kerberos-Dienst ansprechen kann. Überprüfen Sie die SPNs des KSO mit
setspn -L. Es sollte SPNs wiehost/undcifs/(und deren FQDN-Varianten) haben. Diese werden in der Regel automatisch bei der Erstellung des KSO generiert.
3. Überprüfen der Dienstprinzipalnamen (SPNs) auf dem SMB-Server
Der SMB-Server benötigt seine eigenen, korrekten SPNs, damit Clients wissen, an wen sie ihre Kerberos-Tickets senden sollen. Dies ist entscheidend.
- SPNs des SMB-Servers: Führen Sie auf einem Domänencontroller oder dem SMB-Server selbst den Befehl
setspn -Laus.Stellen Sie sicher, dass Einträge für
HOST/,HOST/,CIFS/undCIFS/vorhanden sind. Ohne diese kann die Kerberos-Authentifizierung nicht korrekt ablaufen. - Doppelte SPNs: Überprüfen Sie auf doppelte SPNs im gesamten AD DS:
setspn -X. Doppelte SPNs können zu Authentifizierungsproblemen führen, da Kerberos nicht eindeutig zuordnen kann, welcher Dienst das Ticket empfangen soll.
4. Überprüfung der ressourcenbasierten eingeschränkten Delegierung
Dies ist ein *sehr* kritischer Schritt. Das KSO muss in der Lage sein, im Namen der Benutzer auf den SMB-Server zuzugreifen. Dies wird durch ressourcenbasierte eingeschränkte Delegierung konfiguriert, wobei der SMB-Server dem KSO vertraut.
- Konfiguration auf dem SMB-Serverobjekt: Führen Sie auf einem Domänencontroller folgenden PowerShell-Befehl aus, um zu überprüfen, ob das KSO zur Delegierung auf dem SMB-Server berechtigt ist:
Get-ADComputer -Identity -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object Name, msDS-AllowedToActOnBehalfOfOtherIdentityDer Wert für
msDS-AllowedToActOnBehalfOfOtherIdentitysollte den Distinguished Name des KSO-Objekts enthalten. Wenn nicht, konfigurieren Sie es mit:Set-ADComputer -Identity -PrincipalsAllowedToDelegateToAccount $(Ersetzen Sie
<SMB_SERVER_HOSTNAME>und<KSO_NAME>durch die tatsächlichen Werte. Beachten Sie das ‘$’ am Ende des KSO-Namens, da es sich um ein Dienstkonto handelt.)
5. Entra ID Connect Synchronisation überprüfen
Wenn Benutzer oder Computer nicht korrekt mit Entra ID synchronisiert werden, kann die Kerberos-Anforderung nicht verarbeitet werden.
- Synchronisationsstatus: Überprüfen Sie im Microsoft Entra Admin Center unter „Microsoft Entra Connect”, ob die letzte Synchronisation erfolgreich war und keine Fehler vorliegen.
- Benutzer- und Computerobjekte: Stellen Sie sicher, dass die betroffenen Benutzer- und Computerobjekte in Entra ID mit dem korrekten Quellanker und den richtigen Attributen vorhanden sind.
6. Netzwerkkonnektivität und DNS-Auflösung
Auch wenn die Grundlagen scheinbar stimmen, können subtile Netzwerk- oder DNS-Probleme die Kerberos-Fluss stören.
- Client zu SMB-Server: Neben Port 445 für SMB ist es wichtig, dass der Client den FQDN des SMB-Servers in dessen IP-Adresse auflösen kann. Verwenden Sie
nslookupvom Client aus, um dies zu überprüfen. Die Auflösung sollte zur korrekten IP-Adresse des Servers führen. - SMB-Server zu Domänencontrollern: Der SMB-Server muss mit seinen Domänencontrollern kommunizieren können. Überprüfen Sie, ob die Kerberos-Ports (88, 464, 389, 3268) zwischen dem SMB-Server und den DCs geöffnet sind. Führen Sie
Test-NetConnection -Port 88vom SMB-Server aus durch.
7. Zeit-Synchronisation
Kerberos ist extrem zeitempfindlich. Eine Zeitverschiebung von mehr als fünf Minuten zwischen beteiligten Systemen kann zu Authentifizierungsfehlern führen.
- Client: Überprüfen Sie die Systemzeit des Clients. Sie sollte mit der Zeit des Entra ID-Servers übereinstimmen.
- SMB-Server: Überprüfen Sie die Systemzeit des SMB-Servers. Sie sollte mit der Zeit der lokalen AD DS-Domänencontroller übereinstimmen.
- Domänencontroller: Stellen Sie sicher, dass Ihre Domänencontroller untereinander zeitsynchronisiert sind und idealerweise von einer externen, zuverlässigen Zeitquelle (NTP) synchronisiert werden.
8. Gruppenrichtlinien (GPOs) und Sicherheitsrichtlinien
Manchmal können GPOs oder lokale Sicherheitsrichtlinien Kerberos-Einstellungen oder die Delegation beeinträchtigen.
- Kerberos-Verschlüsselungstypen: Überprüfen Sie unter „Computerkonfiguration” > „Windows-Einstellungen” > „Sicherheitseinstellungen” > „Lokale Richtlinien” > „Sicherheitsoptionen”, die Einstellung „Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren”. Stellen Sie sicher, dass die vom KSO verwendeten Verschlüsselungstypen (standardmäßig AES256_HMAC_SHA1 und AES128_HMAC_SHA1) zugelassen sind.
- Delegierungsbeschränkungen: Prüfen Sie, ob es GPOs gibt, die die Delegierung auf dem SMB-Server einschränken könnten.
9. Kerberos-Ticket-Analyse auf dem Client
Überprüfen Sie, welche Kerberos-Tickets der Client erhalten hat und leeren Sie den Cache bei Bedarf.
- Tickets anzeigen: Öffnen Sie eine Eingabeaufforderung (CMD) als normaler Benutzer und führen Sie
klist ticketsaus. Suchen Sie nach Tickets für das KSO und den SMB-Server. - Cache leeren: Führen Sie
klist purgeaus, um alle Kerberos-Tickets vom Client zu entfernen. Versuchen Sie dann, erneut auf die SMB-Freigabe zuzugreifen, um ein frisches Ticket anzufordern. - Event Log: Überprüfen Sie die Windows-Ereignisanzeigen (System, Sicherheit, Anwendungs- und Dienstprotokolle > Microsoft > Windows > Kerberos-Client) auf dem Client auf relevante Fehler im Zusammenhang mit Kerberos oder der Netzwerkanmeldung.
Erweiterte Fehlerbehebung und Protokollierung
- Netzwerktrace: Verwenden Sie Tools wie Wireshark oder Microsoft Network Monitor auf dem Client und dem SMB-Server. Filtern Sie nach Kerberos-Verkehr (Port 88, 464). Suchen Sie nach
KRB_ERROR-Nachrichten und deren Fehlercodes, die wertvolle Hinweise auf die genaue Ursache geben können (z.B. KDC_ERR_S_PRINCIPAL_UNKNOWN für fehlende SPNs, KDC_ERR_PREAUTH_REQUIRED für Zeitprobleme). - Sicherheits-Ereignisprotokolle: Überprüfen Sie auf dem Domänencontroller (Security Log) nach Anmeldefehlern (Event ID 4625). Auf dem SMB-Server suchen Sie ebenfalls nach Anmeldefehlern und Dienst-Ticket-Anfragen.
Häufige Fallstricke und Tipps
- Verwenden Sie immer den FQDN: Greifen Sie vom Client immer über den vollständig qualifizierten Domänennamen (FQDN) auf die SMB-Freigabe zu (z. B.
\fileserver.contoso.comshare), nicht über den NetBIOS-Namen (\fileservershare) oder die IP-Adresse. Nur so kann Kerberos korrekt funktionieren. - Neues Benutzerkonto testen: Manchmal können zwischengespeicherte Anmeldeinformationen oder spezielle Konfigurationen für ein einzelnes Benutzerkonto Probleme verursachen. Testen Sie mit einem neuen, ungenutzten Benutzerkonto, das dieselben Berechtigungen hat.
- Geduld mit der Synchronisation: Änderungen in AD DS und Entra ID (z. B. KSO-Konfiguration, SPNs, Delegierung) können einige Zeit in Anspruch nehmen, bis sie vollständig repliziert und synchronisiert sind. Warten Sie nach Änderungen eine angemessene Zeit (z. B. 15-30 Minuten oder länger) und erzwingen Sie ggf. eine Entra Connect-Synchronisation (
Start-ADSyncSyncCycle -PolicyType Delta). - Firewall-Regeln: Stellen Sie sicher, dass keine Firewalls (Hardware, Software, Azure Network Security Groups) den notwendigen Kerberos-Verkehr (Ports 88, 464, 389, 3268) blockieren.
Fazit
Die Fehlermeldung „Das angegebene Netzwerkkennwort ist falsch“ bei der Verbindung zu SMB-Netzlaufwerken mit Microsoft Entra Kerberos ist in der Regel ein Symptom komplexerer Kerberos- oder Delegierungsprobleme. Eine systematische und geduldige Fehlerbehebung ist der Schlüssel zur Lösung. Indem Sie die Grundlagen überprüfen, die KSO- und SPN-Konfigurationen validieren und die Kommunikationswege im Netzwerk analysieren, können Sie die Ursache des Problems eingrenzen und beheben.
Sobald alles richtig konfiguriert ist, ermöglicht Ihnen Microsoft Entra Kerberos eine sichere und nahtlose Verbindung zu Ihren lokalen Ressourcen – eine Investition, die sich in einer verbesserten Benutzererfahrung und einer flexibleren IT-Infrastruktur auszahlt.