Delegação de autenticação através de Kerberos não funciona em arquitecturas com balanceamento de carga

Traduções de Artigos Traduções de Artigos
Artigo: 325608 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Quando um cliente tenta utilizar Kerberos para delegar autenticação numa arquitectura com balanceamento de carga, Kerberos não funciona e serviços de informação Internet (IIS) descer novamente para autenticação de desafio/resposta do Windows NT. Uma vez que Challenge/Response do Windows NT não podem ser utilizado para delegação, quaisquer aplicações ou serviços que necessitem de delegação não funcionam.

Causa

O problema ocorre devido a uma limitação no protocolo de autenticação Kerberos. O cluster com balanceamento de carga utiliza um nome de anfitrião virtual para se identificar perante e este é o nome de anfitrião que o Kerberos é emitido para. Quando a permissão é apresentada para o servidor actual, o cliente será direccionado para o "ticket" não corresponde ao respectivo nome principal de servidor (SPN). Além disso, num domínio do Windows 2000, o nome de anfitrião virtual não pode ser definido como Fidedigno para delegação no Active Directory.

Quando o servidor rejeita o Kerberos, o cliente negociará novamente e tenta utilizar a autenticação desafio/resposta do Windows NT. Mesmo que o cliente possa autenticar através deste método, delegação falha porque-depende Kerberos, a função.

Como contornar

Uma possível solução requer que cada computador no cluster com balanceamento de carga disponíveis para responder para seu próprio nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name). A página predefinida em cada servidor tem de redireccionar o cliente directamente a própria, ignorar, assim, o nome de anfitrião virtual e em vez disso, fornecendo um nome de anfitrião válido que uma permissão pode ser emitida para.

Como exemplo, a página pode ser algo uma simples como a seguinte linha:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
partindo do princípio que my.unique.fqdn é o FQDN exclusivo do computador e esse Default2.asp é a página predefinida real que o cliente tem de ser direccionado para, Kerberos pode utilizar este redireccionamento simples para trabalhar numa arquitectura com balanceamento de carga.

Como um factor a ter em conta, o cliente pode ver ou gravar (ou seja, marcador) o nome do servidor que o cliente será direccionado para exclusivo. Isto parece conduzir a falhas se o cliente bookmarks esse site e tenta devolver quando o servidor físico ou o nome de servidor exclusivo não está disponível.

Mais Informação

Está agora disponível uma técnica que explica como configurar um ambiente com balanceamento de carga de rede para a autenticação Kerberos. Esta solução poderá demorar mais tempo para implementar porque inclui alterações ao ambiente de servidor Web. No entanto, A solução descrita na documentação técnica pode ser melhor do que a solução descrita na secção "Como contornar".

Nota Se utilizar a solução descrita a documentação técnica, não registe um HOST/SPN quando são direccionados para. Registe um SPN de HTTP.

Visite o seguinte Web site da Microsoft para visualizar a documentação técnica "A autenticação Kerberos para carregar balanceado web sites":
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx


Para obter informações adicionais sobre o balanceamento de carga em rede, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx


Para mais informações sobre o protocolo de autenticação Kerberos, consulte o seguinte Web site de RFC:
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt

Propriedades

Artigo: 325608 - Última revisão: 21 de novembro de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbpending kbprb KB325608 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325608
Exclusão de Responsabilidade para Conteúdo sem Suporte na KB
Este artigo foi escrito sobre produtos para os quais a Microsoft já não fornece suporte. Por conseguinte, este artigo é oferecido "tal como está" e deixará de ser actualizado.

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com