�e�en� probl�m� souvisej�c�ch s protokolem Kerberos ve slu�b� IIS

Tento �l�nek popisuje �e�en� pot�� s protokolem Kerberos ov��ov�n� na serverech IIS (Internetov� informa�n� slu�ba). Nejedn� se dokon�en� pr�vodce, ale obsahuje mnoho odkaz�, kter� mohou pomoci vy�e�it v�t�inu Kerberos probl�my, kter� mohou nastat.

Ve v�choz�m nastaven� p�i instalaci Slu�ba IIS v syst�mu Microsoft Windows 2000 server, NTAuthenticationProviders kl�� metab�ze nastaven na Negotiate, NTLM. To znamen�, �e p�i aplikaci Microsoft Internet Explorer 5.0 nebo nov�j�� Klient se p�ipoj� k webov�mu serveru, slu�ba IIS vr�t� tyto dv� hodnoty WWW-Authenticate. z�hlav�. V takov�m p��pad� klient Ur�uje, kter� Metoda ov��ov�n� m��e p�ipojit. Pokud se klient rozhodne p�ipojit pomoc� Vyjednat Metoda, klient prop�j�ena ur�it Ur�uje, zda je pro ov��ov�n� pomoc� protokolu Kerberos nebo NTLM. Pokud klient nepodporuje Podpora Vyjednat Metoda, klient pou��v� NTLM ov��ov�n�.

Pozn�mka: �e to je velmi obecn� popis fungov�n� tohoto procesu. Mnoho dal��ch v�ci, kter� nemus� doj�t tak� v p��pad�, �e se jedn� o protokol Kerberos.

Pokud je klientsk� aplikace Internet Explorer m��ete p�ipojit pomoc� protokolu Kerberos N�kter� dal�� kontroly zabezpe�en� jsou prov�d�ny. Nap��klad m��e klient z�sk�n� l�stku z l�stek poskytov�n� slu�by TGS () a potom pomoc� l�stek k ov��en�.

Dal�� informace o t�to proces funguje, z�sk�te v n�sleduj�c�m �l�nku znalostn� Znalostn� b�ze Microsoft Knowledge Base: Dal�� informace naleznete na n�sleduj�c� spole�nosti Microsoft Webov� server: Mus�te b�t obezn�meni s tyto odkazy na Poradce p�i pot��ch Protokol Kerberos.

Pozn�mka: Pokud jste ned�vno inovaci na aplikaci Internet Explorer 6.0, m��e probl�my Kerberos, proto�e Povolit integrovan� ov��ov�n� syst�mu Windows Ov��ov�n� ve v�choz�m nastaven� nen� za�krtnuto pol��ko. Dal�� informace o tom, zda touto mo�nost je nastavena spr�vn�, �l�nek znalostn� b�ze datab�ze Microsoft Knowledge Base:

Ov��it metody ov��ov�n�

Ujist�te se, �e spr�vn� ov��en� metody jsou uvedeny v v metab�zi serveru IIS nebo ur�it�ho webov�ho serveru. Pokud byl server inovovat ze syst�mu Microsoft Windows NT 4.0 na syst�m Windows 2000 Vyjednat ov��ovac� metoda nen� k dispozici a je nutn� p�idat ru�n�. Pokud nen� upgradujete ze syst�mu Windows NT 4.0 na syst�m Windows 2000, ujist�te se, �e �e jsou k dispozici vhodn� metody. Dal�� informace o tom, jak ov��it, zda z�hlav� Negotiate Metoda ov��ov�n� je k dispozici a p�idejte metodu, jestli�e chyb�, klepn�te na tla��tko na n�sleduj�c� ��slo �l�nku ve znalostn� spole�nosti Microsoft ��seln� soustava: M��ete nastavit tuto metodu ov��ov�n� na na webu �rovn�, nikoli pro cel� server IIS. Chcete-li to prov�st, pou�ijte Skript adsutil.vbs ��slo webov�ho serveru. Nap��klad m��ete nastavit pou�ijte n�sleduj�c� metodu ov��ov�n� pouze v�choz� webov� server, p��kaz:

��slo 1 na webu po "w3svc" jsou uvedeny v Spr�vce slu�eb s�t� Internet (ISM).

Ur�it n�zev serveru

D�le ur�ete, zda se p�ipojujete k webu pomoc� pomoc� skute�n� n�zev NetBIOS serveru nebo n�zev aliasu, jako je nap��klad server DNS n�zev (nap��klad www.microsoft.com). Pokud p�istupujete webov�mu serveru pomoc� jin� n�zev ne� skute�n� n�zev serveru, hlavn� novou slu�bu mus� m�t n�zev (SPN) registrov�n pomoc� n�stroje Setspn ze syst�mu Windows 2000 Server Resource Kit. Proto�e nev�, tato slu�ba Active Directory n�zev TGS ned�v� l�stek k ov��en� u�ivatele. Tento p��znak vynut� klient pou��t dal�� metodu ov��ov�n� k dispozici, co� je na NTLM, ji� znovu vyjedn�vat. Pokud webov� server odpov�d� n�zvu Domain Name System (DNS) jsou pojmenov�ny www.microsoft.com, ale server nebo servery webserver1.Development.microsoft.com, je nutn� zaregistrovat www.microsoft.com v Slu�ba Active Directory v ka�d�m serveru slu�by IIS. Chcete-li to prov�st, je nutn� st�hnout Setspn n�stroj a nainstalujte ji na server slu�by IIS.

Dal�� informace o jak Setspn n�stroj st�hnout, nav�tivte n�sleduj�c� Web spole�nosti Microsoft: Setspn.exehttp://www.microsoft.com/downloads/details.aspx?FamilyID = 5fd831fd-ab77-46a3-9cfe-ff01d29e5c46 & DisplayLang = csChcete-li zjistit, zda se p�ipojujete pomoc� skute�n� n�zev, p�ipojen� k serveru pomoc� n�zvu skute�n� m�sto n�zvu DNS. Pokud jste Nelze se p�ipojit k serveru, p�ejd�te Ov��it Po��ta� je d�v�ryhodn� pro delegov�n� sekce. Pokud se m��ete p�ipojit na serveru postupujte n�sleduj�c�m zp�sobem nastavit n�zev SPN pro n�zev DNS, kter� se p�ipojen� k serveru pomoc�:

1. Nainstalujte n�stroje se Setspn.
2. Na serveru IIS otev�ete p��kazov� ��dek a potom zm��te do adres��e C:\Program Files\Resource Kit.
3. Spus�te n�sleduj�c� p��kaz P�idat tento nov� n�zev SPN (www.microsoft.com) ke slu�b� Active Directory na serveru, kde webov�_server1 je n�zev NetBIOS serveru:
   
   Setspn - A HTTP/www.microsoft.com webov�_server1
   Zobraz� se v�stup podobn� n�sleduj�c�:

   Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
   HTTP/www.microsoft.com
   Updated object
   							

4. K zobrazen� seznamu SPN na nov� zobrazen� tohoto serveru hodnoty, zadejte n�sleduj�c� p��kaz na serveru IIS: Setspn -L n�zev_webov�ho_serveru

V�imn�te si, �e nem�te registrace v�ech slu�eb. Mnoho slu�by, typy, nap��klad HTTP, W3SVC, WWW, RPC, CIFS (soubor aplikace access), WINS, a nep�eru�iteln� zdroj nap�jen� (UPS) poskytnout, bude mapovat na v�choz� typ slu�by s n�zvem HOSTITEL. Nap��klad pokud software klienta pou��v� n�zev SPN z HTTP/webserver1.microsoft.com prov�st p�ipojen� k webov�mu serveru HTTP na webserver1.microsoft.com serveru, ale tento hlavn� n�zev slu�by nen� registrov�n na Server, �adi� dom�ny syst�mu Windows 2000 budou automaticky namapov�na k HOST/webserver1.microsoft.com. Toto mapov�n� plat� pouze v p��pad�, �e webov� slu�ba spu�t�na pomoc� ��tu m�stn�ho syst�mu.

D�le�it� Pokud je hlavn� n�zev slu�by, kterou chcete zaregistrovat pro ��et po��ta�e. (na webov�m serveru je spu�t�na pod ��tem LocalSystem nebo NetworkService), kter� existuj�c� n�zvy SPN po��ta�e nesm� zm�nit. M�sto toho p�idat pouze nov� N�ZEV SPN HTTP. Pokud se n�zev webu odpov�d� n�zvu hostitele bez zm�ny SPN je vy�adov�n. Pokud standardn� n�zvy hostitele neboServera HOST /ServerFQDN jsou chyb�j�c�, mus�te zkoum�n� probl�m�, �e m� slu�ba Netlogon na serveru p�i jeho registruje po�adovan� n�zvy SPN. Byste m�li obdr�et chybov� zpr�vy v souboru protokolu Jestli�e povol�te protokolov�n� slu�by. Dal�� informace z�sk�te v n�sleduj�c�m �l�nku znalostn� b�ze Microsoft Knowledge Base: Tak� byste m�li obdr�et ud�losti slu�by Netlogon v O z�pisu chyby protokolu ud�lost� syst�mu.

Ov��te, zda je v po��ta�i pro delegov�n�

Pokud tento server slu�by IIS je �lenem dom�ny, ale nen� v dom�n� �adi�, mus� b�t po��ta� d�v�ryhodn� pro delegov�n� ov��ov�n� pomoc� protokolu Kerberos pro pr�ci spr�vn�. Chcete-li toto nastaven� povolit, postupujte takto:

1. V �adi�i dom�ny klepn�te na tla��tko Spustit, p�ejd�te na p��kaz Nastaven�a klepn�te na tla��tko Ovl�dac� panely.
2. Poklepejte N�stroje pro spr�vu slo�ku a potom poklepejte na Active Directory Users and Computers.
3. Podle va�� dom�ny, klepn�te Po��ta�e slo�ka.
4. V seznamu vyhledejte na serveru slu�by IIS. Klepn�te prav�m tla��tkem my�i na server n�zev a potom klepn�te na tla��tko Vlastnosti.
5. Klepn�te Obecn� karta, za�krtn�te D�v�ryhodn� k delegov�n� Za�krtn�te pol��ko a klepn�te na tla��tko OK.

Pou��t Kerbtray

Jin� velmi u�ite�n� n�stroj pro odstra�ov�n� pot�� s protokolem Kerberos je Kerbtray.exe, kter� je sou��st� sady Windows 2000 Resource Kit. Pomoc� Kerbtray, uvid�te l�stky protokolu Kerberos, kter�m byla ud�lena z m�stn� mezipam�. Chcete-li tento n�stroj st�hnout, nav�tivte n�sleduj�c� Web spole�nosti Microsoft: Dal�� informace o tomto n�stroji a tipy Poradce p�i pot��ch s protokolem Kerberos, nav�tivte n�sleduj�c� Web spole�nosti Microsoft:

Povolit protokolov�n� ud�lost� zabezpe�en�

Protokolov�n� ud�lost� zabezpe�en� m��e b�t velice u�ite�n� p�i odstra�ov�n� pot�� Selh�n� ov��ov�n� pomoc� protokolu Kerberos. Tuto funkci povol�te m��ete zobrazit chyby p�ihl�en� P�i pokusu o ov��en� prost�ednictv�m slu�by IIS. To poskytuje vysv�tlen� Co m��e doj�t b�hem procesu ov��ov�n� a pro� ov��ov�n� proces se nezda��.

Zb�vaj�c� informace v t�to ��sti Ud�v� se p��mo zZabezpe�en� webov� Desiging Podle aplikac� pro syst�m Windows 2000 podle Michael Howard. Proto�e jsou ov��en� p�ipojen� v syst�mu Windows 2000, je pot�ebujete v�d�t, jak ��st ud�losti p�ihl�en�. ��elem tohoto odd�lu je popisuj� r�zn� prom�nn�, kter� tvo�� ud�lost p�ihl�en�.

Nastaven� auditu p�ihl�en� �i odhl�en�

Syst�m Microsoft Windows NT zahrnuje pouze jednu kategorii auditu pro p�ihl�en� a odhl�en�. Syst�m Windows 2000 zav�d� druh�. Dv� kategorie-- P�ihl�en� �i odhl�en� a p�ihl�en� k ��tu--jsou vysv�tleny v n�sleduj�c�ch ��stech.

Auditovat ud�losti p�ihl�en� k ��tu (kategorie p�ihl�en� �i odhl�en�)

Tuto kategorii ud�lost�, k dispozici ve v�ech verz�ch syst�mu Windows NT a V syst�mu Windows 2000 ozna�uje, �e ��et p�ihl�en nebo vypnout, nebo k s�ti p�ipojen� k po��ta�i. Jin�mi slovy, je spu�t�n� ud�lost auditu po��ta�, kde dojde k p�ihl�en�. Kategorie pro p�ihl�en� nebo odhl�en� je d�le�it�, proto�e P�i pou�it� slu�by IIS, serveru SQL Server poskytuje nejv�ce informac� a COM +.

Nejv�znamn�j�� ud�losti v kategorii p�ihl�en� �i odhl�en�

• Ud�losti p�ihl�en� nebo odhl�en� 529 (P�ihla�ovac� chyba)
• P�ihl�en� �i odhl�en� ud�losti 528 (�sp�n� p�ihl�en�)
• Ud�losti p�ihl�en� nebo odhl�en� 540 (s�ov� p�ihl�en� �sp�ch)

Zobrazit v n�sleduj�c�ch ��stech t�chto ud�lost�, a Tabulka 1 vysv�tlen� jednotliv�ch pol� v ud�losti.

Ud�losti p�ihl�en� nebo odhl�en� 529 (P�ihla�ovac� chyba)

P�ihl�en� �i odhl�en� ud�losti 528 (�sp�n� p�ihl�en�) a pro p�ihl�en� nebo odhl�en� 540 (s�ov� p�ihl�en� �sp�ch)

Auditovat ud�losti p�ihl�en� k ��tu (p�ihla�ovac� ��et kategorie)

Tuto kategorii ud�lost� ozna�uje, �e ��et p�ihl�en nebo vypnut� a �e v po��ta�i byl pou�it k ov��en� ��tu. V tomto p��pad� auditu ud�losti v po��ta�i, ve kter�m je um�st�n ��et. Mnoho Jsou zaznamen�ny ud�losti souvisej�c� s protokolem Kerberos, nap��klad vyd�v�n� l�stk�, p�i tomto auditu kategorie je povoleno.

V n�sleduj�c�ch odd�lech zobrazit dv� �asto vid�t Chyba ud�losti p�ihl�en� k ��tu.

Ud�losti p�ihl�en� ��t� 676 (P�ihla�ovac� chyba): ov��ov�n� l�stek po�adavek nezda�ilo.Pozn�mka: Co je ��et NT AUTHORITY\SYSTEM? Tento ��et je obvykle uveden� pod ��tem LocalSystem. ��et, pod kter� v�t�ina slu�eb, spus�te je. Uvid�te mnoho odkaz� na tento ��et v protokolu ud�lost� zabezpe�en�.

Ud�lost 676 znamen�, �e hlavn� nelze z�skat po��te�n� l�stku pro p�id�lov�n� l�stk� (TGT) z Centrum distribuce kl��� (KDC). Nejd�le�it�j�� ��st ud�losti je k�d chyby. Tyto k�dy jsou stejn� jako k�dy MIT Kerberos. Tabulka 2 Popisuje n�kter� z K�dy selh�n� b�n�; �pln� seznam najdete v hlavn�m http://www.IETF.org/RFC/rfc1510.txt.

Tabulka 2 - n�kter� b�n� K�dy selh�n� protokolu Kerberos

��et s velk�m mno�stv�m k�d chyby ud�lost� p�ihl�en� 681 (P�ihla�ovac� chyba)

N�kdy se m��e zobrazit n�sleduj�c� chyba. Probl�m je, �e k�d chyby je prakticky nepou�iteln�. Tabulka 3 - P��klad ��et p�ihl�en� chybov� k�dy.


Je-li sladit p�edchoz� ud�losti selh�n� dvou zabezpe�en� --Hlavn� spole�nosti ��dost po��te�n� TGT selhala s chybou 6 (klient nebyl nalezen v datab�ze Kerberos) p�i mu se pokusil o p�ihl�en� a chyby p�i p�ihla�ov�n� obecn� doch�z� k chyb� 3221225572 (zadan� u�ivatel neexistuje)--m� Chyba je prost�: hlavn� nen� platn� ��et!

Dal�� informace informace o protokolu Kerberos, klepn�te na n�sleduj�c� ��sla �l�nku znalostn� b�ze �l�nky znalostn� b�ze Microsoft Knowledge Base: Nej�ast�j�� dotazy t�kaj�c� se protokolu Kerberos obsahuje dal�� informace o protokolu Kerberos: