Delegování ověřování pomocí protokolu Kerberos v architekturách s vyrovnávaným zatížením nefunguje.

Překlady článku Překlady článku
ID článku: 325608 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Pokud zákazník se pokusí použít protokol Kerberos delegování ověřování v architektuře s vyrovnáváním zatížení, Kerberos nefunguje a Internetová informační služba (IIS) se vrátí k ověřování typu výzva a odpověď systému Windows NT. Protože výzva a odpověď systému Windows NT nelze použít pro delegování, nefungují žádné aplikace nebo služby, které delegování vyžadují.

Příčina

K problému dochází z důvodu omezení v ověřovací protokol Kerberos. Cluster s vyrovnávaným zatížením slouží k identifikaci názvu virtuální hostitele a toto je název hostitele, který lístek protokolu Kerberos je vydán. Když se skutečná server lístek, klienta, který je přesměrován lístek neodpovídá jeho server zaregistrovaný název (Service Principal Name – SPN). Navíc v doméně systému Windows 2000 název virtuální hostitele nelze nastavit na Důvěryhodné pro delegování ve službě Active Directory.

Pokud server odmítne lístku Kerberos, klient vyjednávání a pokusí použít ověřování typu výzva a odpověď systému Windows NT. I v případě, že klient může ověřit pomocí této metody, delegování nezdaří, protože spoléhá se na protokolu Kerberos funkci.

Jak potíže obejít

Jeden možných řešení vyžaduje, aby každý počítač v clusteru s vyrovnávaným zatížením k dispozici odpověď na svůj vlastní úplný název domény (FQDN). Výchozí stránky na každý server musí klienta přesměrovat do sebe, a tím vynechání název virtuální hostitele a místo poskytnutí název platný hostitele, který mohou být vystaveny lístek.

Jako vzorek, může být stránka něco jednoduché jako následující řádek:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
za předpokladu, my.unique.fqdn je jedinečný název FQDN počítače, a že Default2.asp je skutečné výchozí stránku, která musí klient přesměrováni na, pomocí protokolu Kerberos můžete toto jednoduché přesměrování pracovat v architektuře s vyrovnáváním zatížení.

Jako caveat, klient viz nebo záznam (tedy záložku) jedinečný název serveru, kterou klient přesměrován. Může jevit jako povede k výpadky, pokud klient záložky daný web a pokusí vrátit, pokud je k dispozici buď fyzický server nebo server jedinečný název.

Další informace

Nyní je k dispozici dokument white paper, popisuje, jak nastavit prostředí s vyrovnávaným zatížením sítě pro ověřování pomocí protokolu Kerberos. Tento roztok může trvat delší dobu implementovat, protože zahrnuje změny v prostředí serveru WWW. Tato řešení popsané v dokumentu white paper však může být lepší než řešení popsané v části "Řešení".

Poznámka: Použijete-li řešení, které je popsáno v dokumentu white paper, Neregistrovat HOST/SPN, když budete přesměrováni. Zaregistrovat název SPN HTTP.

Navštivte následující web společnosti Microsoft Chcete-li zobrazit dokument white paper "ověřování pomocí protokolu Kerberos pro zatížení rozložena weby":
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx


Další informace o vyrovnávání zatížení sítě naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Další informace o ověřování protokolu Kerberos naleznete na následujícím webu RFC:
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt

Vlastnosti

ID článku: 325608 - Poslední aktualizace: 21. listopadu 2006 - Revize: 4.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 5.0
Klíčová slova: 
kbmt kbpending kbprb KB325608 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:325608
Právní omezení pro obsah znalostní báze týkající se produktů, jejichž podpora byla ukončena
Tento článek byl napsán o produktech, pro které společnost Microsoft již neposkytuje nadále podporu. Článek je tedy nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com