Het oplossen van problemen met Kerberos in IIS

In dit artikel wordt beschreven hoe u Kerberos oplossen verificatie op Internet Information Services (IIS)-servers. Dit is een volledige gids, maar veel verwijzingen kunt u meestal oplossen Kerberos-problemen die kunnen optreden.

Wanneer u installeren IIS op een Microsoft Windows 2000 server deNTAuthenticationProviderssleutel in de metabase instellenNegotiate, NTLM. Dit betekent dat wanneer een Microsoft Internet Explorer 5.0 of hoger client verbinding maakt met de website, retourneert IIS deze twee waarden in deWWW-verificatiekoptekst. Wanneer dit gebeurt, bepaalt de client welke verificatiemethode die kunt aansluiten. Als de client verbinding maken met met deOnderhandelenmethode, de client onderhandelt met de server bepalen of Kerberos of NTLM voor verificatie. Als de client niet ondersteuning voor deOnderhandelenmethode, gebruikt de client NTLM voor verificatie.

Opmerking dat dit is een zeer algemene beschrijving van hoe dit proces werkt. Veel andere dingen die u mogelijk ook optreden wanneer Kerberos is betrokken.

Als de Internet Explorer-client verbinding maken kan met het Kerberos-protocol Sommige extra beveiligingscontroles worden uitgevoerd. Zo kan de client een ticket van het Ticket Granting Service (TGS) verkrijgen en gebruiken die ticket te verifiëren.

Voor meer informatie over deze works verwerken, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:Bezoek de volgende Microsoft voor meer informatie. Website:U moet bekend zijn met deze verwijzingen oplossen Kerberos.

OpmerkingAls u onlangs hebt bijgewerkt naar Internet Explorer 6.0, kunt u Kerberos problemen omdat deGeïntegreerde Windows inschakelen Verificatiehet selectievakje is standaard niet geselecteerd.Voor meer informatie over hoe u ervoor zorgt dat dit optie is goed ingesteld, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

Controleer of de verificatiemethoden

Controleer of de juiste verificatiemethoden worden vermeld in de metabase voor de IIS-server of een bepaalde website. Als uw server is upgrade van Microsoft Windows NT 4.0 naar Windows 2000 deOnderhandelenverificatiemethode beschikbaar is en moet u toevoegen handmatig. Als u hebt geen upgrade van Windows NT 4.0 naar Windows 2000, dat de juiste verificatiemethoden beschikbaar zijn.Voor meer informatie over het controleren dat het onderhandelen verificatiemethode beschikbaar is en de methode add als ontbreekt, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:U kunt bij deze verificatiemethode instellen de website niveau en niet voor de volledige IIS-server. Gebruik hiervoor de Adsutil.vbs-script het nummer van de website toevoegen. Bijvoorbeeld het instellen van de verificatiemethode voor alleen de standaardwebsite, gebruikt u de volgende opdracht:

1 Nadat de website is 'w3svc' nummer zoals vermeld in de Internet Services Manager (ISM).

De servernaam van de bepalen

Bepaal vervolgens of u verbinding met de website de werkelijke NetBIOS-naam van de server of door een alias, zoals een DNS gebruiken naam (bijvoorbeeld www.microsoft.com). Als u door de webserver openen Gebruik een andere naam dan de werkelijke naam van de server een nieuwe service principal name (SPN) moet zijn geregistreerd met het hulpprogramma Setspn uit Windows 2000 Server resourcekit. Omdat Active Directory deze service niet weet de naam van de TGS geeft een ticket voor de gebruiker te verifiëren. Dit dwingt de client de volgende beschikbare verificatiemethode gebruikt, NTLM is, opnieuw onderhandelen. Als de webserver op de naam van een DNS (Domain Name System reageert) www.microsoft.com, maar de server of servers worden benoemd webserver1.Development.Microsoft.com, moet u www.microsoft.com in registreren Active Directory op elke IIS-server. Hiervoor moet u de Setspn downloaden hulpprogramma en installeren op de IIS-server.

Voor meer informatie over hoe het hulpprogramma Setspn downloaden, gaat u naar de volgende Microsoft-website:Setspn.exehttp://www.Microsoft.com/downloads/details.aspx?FamilyID = 5fd831fd-ab77-46a3-9cfe-ff01d29e5c46 & DisplayLang = nlProbeer te bepalen of u verbinding maakt met de werkelijke naam verbinding met de server met de werkelijke naam in plaats van de DNS-naam. Als u kan geen verbinding met de server, gaat u naar deControleer of de Computer wordt vertrouwd voor overdrachtsectie. Als u verbinding kunt maken de server volgt een SPN voor de DNS-naam die u instellen via verbinding met de server:

1. Installeer het hulpprogramma Setspn.
2. Open een opdrachtprompt op de IIS-server en vervolgens wijzigen de map C:\Program Files\Resource Kit.
3. Voer de volgende opdracht om deze nieuwe SPN toevoegen (www.microsoft.com) naar Active Directory voor de server waarwebserver1de NetBIOS-naam van de server is:
   
   Setspn - A HTTP/www.microsoft.comwebserver1
   Ontvangt u uitvoer die vergelijkbaar is met het volgende:

   Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
   HTTP/www.microsoft.com
   Updated object
   							

4. Aanbieding van SPN's weergeven op de server dit nieuwe waarde, typ het volgende op de IIS-server:Setspn -L webservernaam

Let erop dat u niet hoeft te registreren alle services. Veel typen, zoals HTTP, W3SVC, WWW, RPC, CIFS (bestandstoegang), WINS-service en uninterruptible power supply (UPS), wordt toegewezen aan een standaard service-type naam HOST. Als de client-software gebruikt een SPN van bijvoorbeeld HTTP/webserver1.microsoft.com voor de webserver een HTTP-verbinding de webserver1.microsoft.com op de server, maar deze SPN niet geregistreerd op de Server, Windows 2000-domeincontroller wordt automatisch toewijzen HOST/webserver1.microsoft.com. Deze toewijzing geldt alleen als de webservice onder de lokale systeemaccount worden uitgevoerd.

BelangrijkAls u de SPN wilt registreren voor de computeraccount (de website wordt uitgevoerd onder de account LocalSystem of NetworkService), u moet de bestaande SPN's van de computer niet wijzigen. In plaats daarvan alleen toevoegen de nieuwe HTTP-SPN. Als de naam van de website overeenkomt met de host-naam geen wijziging in de SPN's is vereist. Als de standaard HOST namen /Serveren HOST /FQDNServerzijn ontbreekt, moet de Netlogon-service op de server heeft wanneer problemen onderzoeken deze de vereiste SPN's registreert. U ontvangt foutberichten in het logboekbestand Wanneer u logboekregistratie van de service.Klik op het volgende artikel voor meer informatie. nummer in de Microsoft Knowledge Base:U ontvangt ook gebeurtenissen van Netlogon in de Systeemgebeurtenissen over registratie fouten.

Controleer of de computer wordt vertrouwd voor overdracht

Als de IIS-server lid is van het domein, maar is niet een domein domeincontroller, de computer moet worden vertrouwd voor overdracht voor Kerberos werken juist. Schakel dit als volgt:

1. Klik op de domeincontrollerStart, wijsInstellingen, en klik vervolgens opConfiguratiescherm.
2. Dubbelklik op deSysteembeheermap en vervolgens opActive Directory: gebruikers en Computers.
3. Klik onder uw domein op deComputersmap.
4. Zoek de IIS-server in de lijst. Klik met de rechtermuisknop op de server naam en klik vervolgens opEigenschappen.
5. Klik op deAlgemeentabblad, selecteer deVertrouwd voor overdrachten klik vervolgens opOK.

Gebruik de hulpprogramma's Kerbtray

Een ander nuttig hulpprogramma voor het oplossen van problemen met Kerberos Kerbtray.exe deel van Windows 2000 Resource Kit uitmaakt is. Met behulp van Hulpprogramma's Kerbtray, kunt u Kerberos-tickets van de lokale zijn toegekend bekijken cache. Dit hulpprogramma wilt downloaden, gaat u naar de volgende Microsoft-website:Voor meer informatie over dit hulpprogramma en tips Kerberos oplossen, gaat u naar de volgende Microsoft-website:

Beveiliging-logboekregistratie inschakelen

Logboekregistratie voor beveiliging kan bijzonder waardevol zijn bij het oplossen Kerberos-verificatiefouten. Met deze ingeschakeld, ziet u aanmeldingsfouten Wanneer een gebruiker probeert te verifiëren via IIS. Dit geeft een uitleg van Wat doet tijdens de verificatie en waarom de verificatie proces is mislukt.

De rest van de informatie in deze sectie Geciteerde rechtstreeks vanuitBeveiligde Web Desiging Gebaseerde toepassingen voor Windows 2000door Michael Howard.Omdat verbindingen in Windows 2000 worden geverifieerd u moet lezen aanmeldingsgebeurtenissen begrijpen. Het doel van deze sectie is Leg de verschillende variabelen die een aanmeldingsgebeurtenis.

Controle-instellingen voor aanmelden/afmelden

Microsoft Windows NT bevat slechts één controlecategorie voor aanmelding en afmelden. Windows 2000 introduceert een tweede. De twee categorieën-- Aanmelden/afmelden en aanmelding bij Account--worden in de volgende secties beschreven.

Accountaanmeldingsgebeurtenissen (categorie Aanmelden/Afmelden)

Deze gebeurteniscategorie in alle versies van Windows NT en Windows 2000 geeft een account aangemeld in- of uitschakelen of een netwerk wordt gemaakt verbinding met de computer. Met andere woorden, de controlegebeurtenis wordt geactiveerd op de de computer waarop de aanmelding plaatsvindt. De categorie Aanmelden/Afmelden is belangrijk omdat biedt de meeste informatie bij het gebruik van IIS, SQL Server en COM +.

De belangrijkste gebeurtenissen in de categorie Aanmelden/afmelden

• Aanmelden/afmelden gebeurtenis 529 (aanmelding mislukt)
• Aanmelden/afmelden gebeurtenis 528 (geslaagde aanmelding)
• Aanmelden/afmelden gebeurtenis 540 (succes netwerk aanmelden)

De volgende secties worden deze gebeurtenissen enTabel 1de velden uitgelegd in de gebeurtenissen.

Aanmelden/afmelden gebeurtenis 529 (aanmelding mislukt)

Aanmelden/afmelden gebeurtenis 528 (geslaagde aanmelding) en aanmelden/afmelden gebeurtenis 540 (succes netwerk aanmelden)

Accountaanmeldingsgebeurtenissen (categorie aanmelding bij Account)

Deze categorie geeft een account aangemeld in- of uitschakelen en de computer is gebruikt om de account te valideren. In dit geval de audit gebeurtenis wordt geactiveerd op de computer waar de account zich bevindt. Veel Kerberos-gebeurtenissen, zoals de afgifte van het ticket worden vastgelegd wanneer deze audit categorie is ingeschakeld.

De volgende secties worden twee vaak gezien Accountaanmeldingsgebeurtenissen storing.

Account aanmeldingsgebeurtenis 676 (aanmelding mislukt): verificatie Ticket aanvraag is misluktOpmerkingWat is de account NT AUTHORITY\SYSTEM? Deze account is meestal bedoelde LokaalSysteem; is de account die de meeste services uitvoeren. U ziet veel verwijzingen naar deze rekening in het beveiligingslogboek.

Gebeurtenis 676 betekent grote kan een eerste ticket-granting ticket niet ophalen (TGT) uit het Key Distribution Center (KDC). Het belangrijkste deel van de gebeurtenis is de foutcode. Deze codes zijn hetzelfde als de MIT Kerberos-codes.Tabel 2enkele van de meest Algemene fout codes; een volledige lijst kan worden gevonden in het hoofdvensterhttp://www.IETF.org/RFC/rfc1510.txt.

Tabel 2 - sommige codes gemeenschappelijk Kerberos mislukt

Een groot aantal voor de foutcode account aanmeldingsgebeurtenis 681 (aanmelding mislukt)

Soms ziet u een fout als volgt. Het probleem is de foutcode is vrijwel onbruikbaar.Tabel 3 - foutcodes voorbeeld account aanmelden.


Als het correleren van de vorige twee beveiliging mislukte gebeurtenissen --Primaire van aanvraag voor een eerste TGT mislukt met fout 6 (Client niet gevonden in de Kerberos database) wanneer hij geprobeerd aan te melden en een generieke Aanmeldingsfout 3221225572 (de opgegeven gebruiker bestaat niet)--fout optreedt heeft gewoon zien wat de fout is: primaire is niet een geldige account!

Voor meer informatie over Kerberos, klikt u op het volgende artikelnummer de artikelen in de Microsoft Knowledge Base:Veelgestelde vragen over Kerberos bevat aanvullende informatie over het Kerberos-protocol: