メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

IIS 開発者サポート音声列

Kerberos 認証と委任に関する問題のトラブルシューティング

この列をニーズに合わせてカスタマイズするには、関心のあるトピックと、今後のサポート技術情報の記事やサポート音声列で対処する問題に関するアイデアを送信するよう招待します。 アイデアとフィードバックは、Ask For It フォームを使用して送信できます。 この列の下部には、フォームへのリンクもあります。

名前は <名前> で、Microsoft の Microsoft インターネット インフォメーション サービス (IIS) 重大な問題解決グループを使用しています。 私は Microsoft と 9 年間付き合っており、IIS チームと 9 年の関係を持っています。 Kerberos に
する http://msdn.microsoft.comhttp://www.microsoft.com
複数の場所から情報をコンパイルし、委任の問題をトラブルシューティングする方法を確認しました。

IIS 6.0

次のホワイト ペーパーでは、Microsoft Windows Server 2003 で委任を設定する方法について説明します。 ホワイト ペーパーには、ネットワーク負荷分散 (NLB) に関する具体的な情報がありますが、NLB を使用せずに委任されたシナリオを設定する方法に関する優れた詳細が含まれています。 このホワイト ペーパーを表示するには、次の Microsoft Web サイトを参照してください。

http://technet.microsoft.com/en-us/library/cc757299.aspx注: NLB を使用する場合は特に HTTP サービス プリンシパル名 (SPN) を使用します。

もう 1 つの一般的な Kerberos の問題は、複数のアプリケーション プールで同じ DNS 名を使用できるようにする必要がありました。 残念ながら、Kerberos を使用して資格情報を委任する場合、同じサービス プリンシパル名 (SPN) を異なるアプリケーション プールにバインドすることはできません。 Kerberos の設計のため、これを行うことはできません。 Kerberos プロトコルが正しく動作するには、複数の共有シークレットが必要です。 異なるアプリケーション プールに同じ SPN を使用することで、これらの共有シークレットの 1 つを排除します。 Active Directory ディレクトリ サービスでは、セキュリティの問題のため、Kerberos プロトコルのこの構成はサポートされません。

この方法で SPN を構成すると、Kerberos 認証が失敗します。 この問題の回避策として考えられるのは、プロトコルの移行を使用することです。 クライアントと IIS を実行しているサーバーの間の初期認証は、NTLM 認証プロトコルを使用して処理されます。 Kerberos は、IIS とバックエンド リソース サーバー間の認証を処理します。

Microsoft Internet エクスプローラー 6 以降

クライアント ブラウザーで、資格情報のログオン プロンプトを繰り返し受信したり、IIS を実行しているサーバーから "401 アクセス拒否" エラー メッセージを受信したりするなどの問題が発生する可能性があります。 これらの問題の解決に役立つ可能性のある次の 2 つの問題が見つかりました。

  • ブラウザーのプロパティで [統合 Windows 認証を有効にする] が選択されていることを確認します。
     

  • [プログラムの追加と削除] で [インターネット エクスプローラーセキュリティ強化構成] が有効になっている場合は、[信頼されたサイト] リストへの委任を使用するサイトを追加する
    必要があります。 詳細については、次のマイクロソフト サポート技術情報番号をクリックしてください。

    815141 Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更
     

IIS 5.0 と IIS 6.0

IIS 4.0 から IIS 5.0 または IIS 6.0 にアップグレードすると、委任が正しく機能しないか、メタベース プロパティ NTAuthenticationProviders が変更された可能性があります。

 

問題の特定の領域は、SPN を設定するときに発生する可能性があります

サーバー名を決定する

サーバーの実際の NetBIOS 名を使用するか、DNS 名 (たとえば、www.microsoft.com) などのエイリアス名を使用して、Web サイトに接続しているかどうかを判断します。 サーバーの実際の名前以外の名前を使用して Web サーバーにアクセスする場合は、Windows 2000 Server Resource Kit の Setspn ツールを使用して、新しいサービス プリンシパル名 (SPN) が登録されている必要があります。 Active Directory ディレクトリ サービスはこのサービス名を知らないので、チケット付与サービス (TGS) はユーザーを認証するためのチケットを提供しません。 この動作により、クライアントは次に使用可能な認証方法 (NTLM) を使用して再ネゴシエーションを行います。 Web サーバーが www.microsoft.com の DNS 名に応答しているが、サーバーに webserver1.development.microsoft.com という名前が付けられている場合は、IIS を実行しているサーバー上の Active Directory に www.microsoft.com を登録する必要があります。 これを行うには、Setspn ツールをダウンロードし、IIS を実行しているサーバーにインストールする必要があります。


実際の名前を使用して接続しているかどうかを判断するには、DNS 名ではなくサーバーの実際の名前を使用してサーバーに接続してみてください。 サーバーに接続できない場合は、「コンピューターが委任に対して信頼されていることを確認する」セクションを参照してください。

サーバーに接続できる場合は、次の手順に従って、サーバーへの接続に使用する DNS 名の SPN を設定します。

  1. Setspn ツールをインストールします。

  2. IIS を実行しているサーバーでコマンド プロンプトを開き、C:\Program Files\Resource Kit フォルダーを開きます。

  3. 次のコマンドを実行して、この新しい SPN (www.microsoft.com) をサーバーの Active Directory に追加します。

    Setspn -A HTTP/www.microsoft.com webserver1注 このコマンドでは、 webserver1 はサーバーの NetBIOS 名を表します。

次のような出力を受け取ります。
CN=webserver1、OU=Domain Controllers、DC=microsoft、DC=com
の ServicePrincipalNames の登録 HTTP/www.microsoft.com
更新されたオブジェクト
サーバー上の SPN の一覧を表示してこの新しい値を表示するには、IIS を実行しているサーバーで次のコマンドを入力します。

Setspn -L webservername すべてのサービスを登録する必要はありません。 HTTP、W3SVC、WWW、RPC、CIFS (ファイル アクセス)、WINS、無停電電源装置 (UPS) などの多くのサービスの種類は、HOST という名前の既定のサービスの種類にマップされます。 たとえば、クライアント ソフトウェアで HTTP/webserver1.microsoft.com の SPN を使用して、webserver1.microsoft.com サーバー上の Web サーバーへの HTTP 接続を作成しても、この SPN がサーバーに登録されていない場合、Windows 2000 ドメイン コントローラーは接続を HOST/webserver1.microsoft.com に自動的にマップします。 このマッピングは、Web サービスがローカル システム アカウントで実行されている場合にのみ適用されます。

コンピューターが委任に対して信頼されていることを確認する

IIS を実行しているこのサーバーがドメインのメンバーであり、ドメイン コントローラーではない場合、Kerberos が正常に動作するためには、委任のためにコンピューターを信頼する必要があります。 この場合、次の手順を実行します。

  1. ドメイン コントローラーで、[スタート] をクリックし、[設定] をポイントし、[コントロール パネル] をクリックします。

  2. コントロール パネルで、[管理ツール] を開きます。

  3. [Active Directory ユーザーとコンピューター] をダブルクリックします。

  4. ドメインの [ コンピューター] をクリックします。

  5. 一覧で、IIS を実行しているサーバーを探し、サーバー名を右クリックし、[ プロパティ] をクリックします。

  6. [全般] タブをクリックし、[信頼された委任]
    チェック ボックスを選択し、[OK] をクリック
    します。

同じ URL で複数の Web サイトにアクセスしても、ポートが異なる場合、委任は機能しないことに注意してください。 この作業を行うには、異なるホスト名と異なる SPN を使用する必要があります。 インターネット エクスプローラーが http://www を要求する場合。mywebsite.com または http://www。mywebsite.com:81、インターネット エクスプローラーは SPN HTTP/www.mywebsite.com のチケットを要求します。 インターネット エクスプローラーでは、ポートまたは vdir が SPN 要求に追加されません。 この動作は、http://www でも同じです。mywebsite.com/app1 または http://www。mywebsite.com/app2. このシナリオでは、インターネット エクスプローラーは SPN http://www のチケットを要求します。キー配布センター (KDC) の mywebsite.com。 各 SPN は、1 つの ID に対してのみ宣言できます。 そのため、ID ごとにこの SPN を宣言しようとすると、KRB_DUPLICATE_SPNエラー メッセージも表示されます。

委任と Microsoft ASP.NET

ASP.NET アプリケーションを使用するときに資格情報を委任するための構成の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

810572 委任シナリオ

用に ASP.NET アプリケーションを構成する方法 偽装と委任は、サーバーがクライアントの代わりに認証する 2 つの方法です。 使用するメソッドとその実装を決定すると、混乱が生じる可能性があります。 これら 2 つの方法の違いを確認し、アプリケーションに使用する可能性があるこれらのメソッドのどれを調べる必要があります。 私の推奨事項は、詳細については、次のホワイト ペーパーを読むでしょう。

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

関連情報



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Kerberos イベント ログを有効にする方法

インターネット エクスプローラーでの Kerberos エラーのトラブルシューティング

常に、今後の列またはナレッジ ベースの [Ask For It] フォームを使用して、アドレス指定するトピックに関するアイデアを自由に送信してください。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×