Otentikasi delegasi melalui Kerberos tidak bekerja di seimbang beban arsitektur

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 325608
Perbesar semua | Perkecil semua

GEJALA

Ketika seorang pelanggan mencoba menggunakan Kerberos untuk mendelegasikan otentikasi pada arsitektur yang seimbang beban, Kerberos tidak bekerja dan Internet Information Services (IIS) turun kembali ke Windows NT tantangan/tanggapan otentikasi. Karena Windows NT tantangan/respon tidak digunakan untuk delegasi, aplikasi atau layanan yang memerlukan delegasi tidak bekerja.

PENYEBAB

Masalah terjadi karena keterbatasan pada protokol otentikasi Kerberos. Gugus seimbang beban menggunakan nama virtual host untuk mengidentifikasi dirinya sendiri, dan ini adalah nama host yang dikeluarkan tiket Kerberos. Ketika tiket diajukan ke server yang sebenarnya, klien yang diarahkan ke tiket tidak cocok dengan Server utama nama (SPN). Selain itu, dalam domain Windows 2000, nama virtual host tidak dapat diatur Dipercaya untuk delegasi di Active Directory.

Ketika server menolak tiket Kerberos, klien renegotiates dan mencoba untuk menggunakan Windows NT tantangan/tanggapan otentikasi. Bahkan jika klien dapat mengotentikasi melalui metode ini, delegasi gagal karena hal itu bergantung pada Kerberos untuk fungsi.

TEKNIK PEMECAHAN MASALAH

Satu solusi yang mungkin mengharuskan setiap komputer di gugus seimbang beban menjadi tersedia untuk menjawab sendiri fully qualified domain name (FQDN). Halaman default pada setiap server harus mengarahkan klien langsung kepada dirinya sendiri, dengan demikian melewati nama virtual host dan bukannya menyediakan nama host yang sah yang tiket dapat dikeluarkan untuk.

Sebagai contoh, halaman dapat menjadi sesuatu yang sederhana seperti baris berikut:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
Dengan asumsi bahwa my.unique.fqdn FQDN unik komputer dan bahwa Default2.asp adalah halaman default aktual yang klien harus diarahkan ke, Kerberos dapat menggunakan pengalihan sederhana ini untuk bekerja di sebuah arsitektur yang seimbang beban.

Sebagai peringatan, klien dapat melihat atau merekam (yaitu bookmark) nama unik server yang klien diarahkan ke. Hal ini mungkin tampak menyebabkan padam jika klien bookmark situs tersebut dan mencoba untuk kembali ketika server fisik atau nama unik server tidak tersedia.

INFORMASI LEBIH LANJUT

Kertas putih ini sekarang tersedia yang membahas cara untuk mengatur jaringan seimbang beban lingkungan untuk otentikasi Kerberos. Solusi ini mungkin memakan waktu lebih lama untuk menerapkan karena ini mencakup perubahan lingkungan server Web. Namun, solusi yang dijelaskan di kertas putih mungkin lebih baik daripada solusi yang dijelaskan pada bagian "pemecahan masalah".

Catatan Jika Anda menggunakan solusi yang dijelaskan di kertas putih, tidak mendaftar HOST/SPN ketika Anda akan diarahkan ke. Mendaftarkan HTTP SPN.

Kunjungi Website Microsoft berikut untuk melihat kertas putih "otentikasi Kerberos untuk beban seimbang situs web":
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/Technologies/Security/kerbnlb.mspx


Untuk informasi tambahan tentang jaringan load balancing, kunjungi Web site Microsoft berikut:
http://technet2.Microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Untuk informasi lebih lanjut tentang protokol otentikasi Kerberos, lihat situs RFC Web berikut:
RFC 1510
http://www.IETF.org/RFC/rfc1510.txt

Properti

ID Artikel: 325608 - Kajian Terakhir: 26 September 2011 - Revisi: 2.0
Kata kunci: 
kbpending kbprb kbmt KB325608 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:325608
Sanggahan Konten KB yang Tidak Lagi Diperbarui
Artikel ini berisi tentang produk yang tidak lagi didukung oleh Microsoft. Oleh karena itu, artikel ini disajikan ?sebagaimana adanya? dan tidak akan diperbarui.

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com