Overdracht van verificatie via Kerberos werkt niet in taakverdeling architecturen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 325608
Alles uitklappen | Alles samenvouwen

Symptomen

Wanneer een klant wil Kerberos gebruiken in een architectuur met taakverdeling verificatie overdragen, Kerberos werkt niet en Internet Information Services (IIS) opnieuw wordt Windows NT Vraag/antwoord-verificatie. Omdat Windows NT Vraag/antwoord kan niet worden gebruikt voor overdracht, werken toepassingen of services waarvoor overdracht niet.

Oorzaak

Het probleem treedt op vanwege een beperking in het Kerberos-verificatieprotocol. Het cluster verdeeld virtuele host-naam gebruikt om zichzelf te identificeren en dit is de hostnaam voor het Kerberos-ticket is uitgegeven. Wanneer het ticket wordt weergegeven op de server, de client is gericht op het ticket komt niet overeen met de SPN (Server Principal Name). Bovendien in een Windows 2000-domein de naam van de virtuele host niet instellen opVertrouwd voor overdrachtin Active Directory.

Wanneer de server het Kerberos-ticket weigert, de client start een nieuwe onderhandeling en probeert Windows NT Vraag/antwoord-verificatie gebruiken. Zelfs als de client kan worden geverifieerd via deze methode, mislukt overdracht omdat deze functie is afhankelijk van Kerberos.

Workaround

Een mogelijke oplossing moet elke computer in het cluster verdeeld beantwoord eigen volledig gekwalificeerde domeinnaam (FQDN). De standaardpagina op elke server moet de client omleiden om zelf, waardoor de virtuele host-naam overslaan en in plaats daarvan bieden een geldige hostnaam een ticket kan worden verleend voor.

Als voorbeeld kan de pagina iets eenvoudig als de volgende regel:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
Ervan uitgaande dat my.unique.fqdn is een unieke FQDN van de computer en dat is de werkelijke standaardpagina die de client moet worden gericht aan Default2.asp, kunt Kerberos deze eenvoudige omleiding taakverdeling-architectuur.

Als een voorbehoud de client kunt bekijken of opnemen (bijvoorbeeld een bladwijzer) de unieke naam van de server de client wordt omgeleid. Dit lijkt te leiden tot storingen als de client bladwijzers die site en probeert te retourneren wanneer de fysieke server of de naam uniek niet beschikbaar is.

Meer informatie

Een witboek is nu beschikbaar die wordt beschreven hoe u een netwerk-taakverdeling omgeving voor Kerberos-verificatie. Deze oplossing duurt langer omdat wijzigingen in de Web server-omgeving implementeren. In het witboek beschreven oplossing mogelijk beter dan de oplossing die wordt beschreven in de sectie 'Omzeiling'.

OpmerkingAls u de oplossing die wordt beschreven in het witboek, niet registreren HOST/SPN wanneer u naar verwezen. Registreer een SPN HTTP.

De volgende Microsoft-website whitepaper 'Kerberos-verificatie voor load balanced websites':
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx


Bezoek de volgende Microsoft-website voor meer informatie over Netwerktaakverdeling:
http://technet2.Microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Zie de volgende RFC-website voor meer informatie over het verificatieprotocol Kerberos:
RFC 1510
http://www.IETF.org/RFC/rfc1510.txt

Eigenschappen

Artikel ID: 325608 - Laatste beoordeling: woensdag 2 maart 2011 - Wijziging: 2.0
Trefwoorden: 
kbpending kbprb kbmt KB325608 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:325608
Vrijwaring inhoud KB-artikelen over niet langer ondersteunde producten
Dit artikel heeft betrekking op producten waarvoor Microsoft geen ondersteuning meer biedt. Daarom wordt dit artikel alleen in de huidige vorm aangeboden en wordt het niet meer bijgewerkt.

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com