Delegación de autenticación mediante Kerberos no funciona en las arquitecturas con carga equilibrada

Seleccione idioma Seleccione idioma
Id. de artículo: 325608 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Cuando un cliente intenta utilizar Kerberos para delegar la autenticación en una arquitectura con carga equilibrada, Kerberos no funciona y servicios de Internet Information Server (IIS) se quita de volver a la autenticación de desafío/respuesta de Windows NT. Porque desafío/respuesta de Windows NT no se puede utilizar para la delegación, las aplicaciones o servicios que requieren la delegación no funcionan.

Causa

El problema se produce debido a una limitación en el protocolo de autenticación Kerberos. El clúster de equilibrio de carga utiliza un nombre de host virtual para identificarse y esto es el nombre de host que se emitió el vale Kerberos para. Cuando el vale se presenta en el servidor real, el cliente que se dirige el vale no coincide con su nombre principal de servidor (SPN). Además, en un dominio de Windows 2000, el nombre de host virtual no puede establecerse en Confianza delegación en Active Directory.

Cuando el servidor rechaza el vale Kerberos, el cliente volverá a negociar e intenta utilizar autenticación de desafío/respuesta de Windows NT. Incluso si el cliente puede autenticar a través de este método, delegación falla porque se basa en Kerberos a función.

Solución

Una posible solución requiere que cada equipo del clúster con equilibrio de carga estén disponibles para responder a su propio nombre de dominio completo (FQDN). La página predeterminada en cada servidor debe redirigir al cliente directamente a sí mismo, omitiendo, por lo tanto, el nombre de host virtual y en su lugar proporciona un nombre de host válido que se puede emitir un tíquet para.

Como ejemplo, la página puede ser algo simple como la siguiente línea:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
suponiendo que my.unique.fqdn es el FQDN del equipo único y ese Default2.asp es la página predeterminada real que el cliente debe estar dirigido a, Kerberos puede utilizar esta redirección simple para trabajar en una arquitectura con carga equilibrada.

Como una advertencia, el cliente puede ver o grabar (es decir, marcador) el nombre único del servidor que se dirige el cliente. Esto puede parecer provoque interrupciones si el cliente marcadores de ese sitio y se intenta devolver cuando el servidor físico o el nombre de servidor único no está disponible.

Más información

Ahora hay unas notas del producto que describe cómo configurar un entorno con equilibrio de carga de red para la autenticación Kerberos. Esta solución puede tardar más para implementar porque incluye los cambios en el entorno de servidor Web. Sin embargo, la solución descrita en las notas del producto puede ser mejor que la solución descrita en la sección "Solución".

Nota Si utiliza la solución descrita en las notas del producto, no registre un SPN de HOST cuando se le dirige a. Registrar un SPN de HTTP.

Visite el siguiente sitio Web para ver las notas del producto "sitios web con equilibrio de la autenticación Kerberos para carga":
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx


Para información adicional acerca de la red equilibrio de carga, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Para obtener más información acerca del protocolo de autenticación de Kerberos, consulte el siguiente sitio Web de RFC:
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt

Propiedades

Id. de artículo: 325608 - Última revisión: martes, 21 de noviembre de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbpending kbprb KB325608 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 325608
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com