Authentifizierungsdelegierung durch Kerberos funktioniert nicht in Architekturen mit Lastenausgleich

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 325608 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Wenn ein Kunde Kerberos zum Delegieren der Authentifizierung in einer Architektur mit Lastenausgleich verwenden möchte, wird Kerberos funktioniert nicht, und IIS-fällt zurück auf Windows NT-Herausforderung/Rückmeldung-Authentifizierung. Da Windows NT-Herausforderung/Rückmeldung für die Delegierung verwendet werden kann, funktionieren Anwendungen oder Dienste, die Delegierung erfordern nicht.

Ursache

Das Problem tritt wegen einer Beschränkung in das Kerberos-Authentifizierungsprotokoll. Der Cluster mit Lastenausgleich verwendet einen virtuellen Host Namen um sich selbst zu identifizieren, und dies ist der Host-Name, die für das Kerberos-Ticket ausgegeben wird. Wenn das Ticket an den tatsächlichen Server angezeigt wird, entspricht der Client an den das Ticket nicht seine Server Principal (Name, SPN). Darüber hinaus kann nicht in einer Windows 2000-Domäne der virtuellen Host Name auf Vertrauenswürdige für Delegierung in Active Directory festgelegt werden.

Wenn der Server das Kerberos-Ticket ablehnt, wird der Client renegotiates und versucht, Windows NT Herausforderung/Rückmeldung-Authentifizierung zu verwenden. Selbst wenn der Client über diese Methode authentifizieren kann, schlägt Delegierung fehl, da Sie von Kerberos Funktion abhängt.

Abhilfe

Eine Umgehungsmöglichkeit erfordert, dass jeder Computer im Cluster mit Lastenausgleich zur eigenen vollqualifizierten Domänennamen (FQDN) beantworten. Die Standardseite auf jedem Server muss den Client umleiten, direkt auf sich selbst dadurch umgehen der virtuellen Host Name und stattdessen bietet einen gültigen Host-Namen, dem für ein Ticket ausgestellt werden können.

Als Beispiel, kann die Seite ungefähr wie die folgende Zeile ein einfaches werden:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
unter der Annahme, dass my.unique.fqdn der eindeutige vollqualifizierte Domänenname des Computers ist und die Default2.asp ist die tatsächliche Standardseite, die an der Client weitergeleitet werden muss, Kerberos können diese einfache Umleitung in einer Architektur mit Lastenausgleich arbeiten.

Als einen Nachteil der Client anzeigen oder aufzeichnen kann (d. h. Lesezeichen) der eindeutige Name des Servers, die an der Client gerichtet ist. Dies scheint zu Ausfällen führen, wenn der Client die Site Lesezeichen und versucht, zurückgeben, wenn der physischen Server oder der eindeutigen Servernamen nicht verfügbar ist.

Weitere Informationen

Ein Whitepaper ist jetzt verfügbar, die erläutert, wie einer Netzwerkumgebung mit Lastenausgleich für Kerberos-Authentifizierung einrichten. Diese Lösung kann zum Implementieren, da Sie Änderungen an der Web-Server-Umgebung enthält länger dauern. Die in dem Whitepaper beschriebenen Lösung kann jedoch besser als die in den Abschnitt "Abhilfe" beschriebene Lösung sein.

Hinweis: Wenn Sie die Projektmappe, die in dem Whitepaper beschrieben ist verwenden, registrieren Sie einen HOST/SPN Wenn Sie an weitergeleitet werden. Registrieren Sie einen HTTP-SPN.

Die folgende Microsoft-Website im Whitepaper "Kerberos-Authentifizierung für laden balanced Web Sites" anzeigen:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx


Weitere Informationen zu Netzwerk Lastenausgleich die folgenden Microsoft-Website:
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Weitere Informationen über das Protokoll Kerberos-Authentifizierung finden Sie unter den folgenden RFC-Website:
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt

Eigenschaften

Artikel-ID: 325608 - Geändert am: Dienstag, 21. November 2006 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
Keywords: 
kbmt kbpending kbprb KB325608 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 325608
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Disclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com