Jak rozwiązywać problemy z protokołem Kerberos w usługach IIS

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 326985 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano, jak rozwiązywać problemy z uwierzytelnianiem protokołu Kerberos na serwerach Internetowych usług informacyjnych (IIS). Nie jest to pełny podręcznik, zawiera jednak wiele materiałów referencyjnych, które mogą ułatwić rozwiązanie większości problemów występujących podczas korzystania z protokołu Kerberos.

Domyślnie po zainstalowaniu usług IIS na serwerze Microsoft Windows 2000 dla klucza NTAuthenticationProviders w metabazie ustawiana jest wartość Negotiate, NTLM. Oznacza to, że usługi IIS podczas łączenia się klienta programu Microsoft Internet Explorer 5.0 lub nowszego z witryną sieci Web zwracają te dwie wartości w nagłówku uwierzytelniania w sieci Web. W takim wypadku klient określa, przy użyciu której metody uwierzytelniania może się połączyć. Jeśli klient decyduje się na połączenie przy użyciu metody Negotiate, przeprowadzane są negocjacje z serwerem w celu określenia, czy do uwierzytelniania ma być stosowany protokół Kerberos czy NTLM. Jeśli klient nie obsługuje metody Negotiate, uwierzytelnianie odbywa się przy użyciu protokołu NTLM.

Należy pamiętać, że jest to bardzo ogólny opis działania tego procesu. W przypadku korzystania z protokołu Kerberos występuje również wiele innych elementów, które należy uwzględnić.

Jeśli klient programu Internet Explorer może połączyć się przy użyciu protokołu Kerberos, są przeprowadzane pewne dodatkowe testy zabezpieczeń. Na przykład klient może uzyskać bilet od usługi przyznawania biletów TGS (Ticket Granting Service), a następnie użyć tego biletu do uwierzytelniania.

Aby uzyskać więcej informacji na temat działania tego procesu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
217098 Basic overview of Kerberos authentication in Windows 2000
Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Uwierzytelnianiehttp://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx?mfr=true
Aby rozwiązywać problemy z protokołem Kerberos, należy się zapoznać z poniższymi materiałami referencyjnymi.

Uwaga Jeśli program Internet Explorer został niedawno uaktualniony do wersji 6.0, mogą występować problemy z protokołem Kerberos, ponieważ pole Włącz zintegrowane uwierzytelnianie systemu Windows domyślnie nie jest zaznaczone. Aby uzyskać więcej informacji o tym, jak się upewnić, że ta opcja jest ustawiona prawidłowo, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
299838 Unable to negotiate Kerberos authentication after upgrading to Internet Explorer 6

Sprawdzanie metod uwierzytelniania

Należy się upewnić, że w metabazie serwera IIS lub określonej witryny sieci Web są wyświetlane właściwe metody uwierzytelniania. Jeśli serwer Microsoft Windows NT 4.0 został uaktualniony do wersji Windows 2000, metoda uwierzytelniania Negotiate jest niedostępna i należy dodać ją ręcznie. Jeśli system Windows NT 4.0 nie został uaktualniony do Windows 2000, należy się upewnić, że dostępne są odpowiednie metody uwierzytelniania. Aby uzyskać więcej informacji o tym, jak sprawdzić, czy metoda uwierzytelniania Negotiate jest dostępna oraz jak dodać tę metodę, jeśli jej brak, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
248350 Kerberos authentication fails after upgrading from IIS 4.0 to IIS 5.0
Należy pamiętać, że tę metodę uwierzytelniania można ustawić na poziomie witryny sieci Web, ale nie można tego zrobić dla całego serwera IIS. W celu ustawienia metody uwierzytelniania należy użyć skryptu Adsutil.vbs, aby dodać numer witryny sieci Web. Na przykład, aby ustawić metodę uwierzytelniania tylko dla domyślnej witryny sieci Web, należy użyć następującego polecenia:

cscript adsutil.vbs set w3svc/1/NTAuthenticationProviders "Negotiate,NTLM"
Cyfra 1 po wyrażeniu „w3svc” oznacza numer witryny sieci Web wymieniony na liście Menedżera usług internetowych.

Ustalanie nazwy serwera

Następnym krokiem jest określenie, czy łączenie z witryną sieci Web odbywa się przy użyciu rzeczywistej nazwy serwera w systemie NetBIOS, czy przy użyciu nazwy aliasu, takiej jak nazwa w systemie DNS (na przykład www.microsoft.com). Jeśli dostęp do serwera sieci Web jest uzyskiwany przy użyciu nazwy innej niż rzeczywista nazwa serwera, należy zarejestrować nową główną nazwę usługi (SPN), korzystając z narzędzia Setspn znajdującego się w zestawie Windows 2000 Server Resource Kit. Ponieważ usługa Active Directory nie zna tej nazwy, usługa TGS nie przydziela biletu umożliwiającego uwierzytelnienie użytkownika. Zmusza to klienta do ponownego przeprowadzenia negocjacji przy użyciu kolejnej dostępnej metody uwierzytelniania, jaką jest NTLM. Jeśli serwer sieci Web odpowiada na nazwę www.microsoft.com w systemie DNS (Domain Name System), ale serwer lub serwery noszą nazwę webserver1.development.microsoft.com, należy zarejestrować nazwę www.microsoft.com w usłudze Active Directory na każdym serwerze IIS. Aby to zrobić, należy pobrać narzędzie Setspn i zainstalować je na serwerze IIS.

Aby uzyskać więcej informacji na temat pobierania narzędzia Setspn, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Setspn.exehttp://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en Aby określić, czy do łączenia jest używana rzeczywista nazwa, należy podjąć próbę połączenia się z serwerem przy użyciu jego rzeczywistej nazwy zamiast nazwy DNS. Jeśli nie można połączyć się z serwerem, należy przejść do sekcji Sprawdzanie, czy komputer jest zaufany w kwestii delegowania Jeśli nie można połączyć się z serwerem, należy wykonać następujące kroki, aby dla nazwy w systemie DNS, która jest używana do łączenia się z serwerem, ustawić nazwę SPN:
  1. Zainstaluj narzędzie Setspn.
  2. Na serwerze IIS otwórz wiersz polecenia, a następnie przejdź do katalogu C:\Program Files\Resource Kit.
  3. Uruchom następujące polecenie, aby dodać nową nazwę SPN (www.microsoft.com) do usługi Active Directory na serwerze, gdzie webserver1 oznacza nazwę serwera w systemie NetBIOS:
    Setspn -A HTTP/www.microsoft.com webserver1
    Zostanie wyświetlona odpowiedź podobna do następującej:
    Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
    HTTP/www.microsoft.com
    Updated object
    							
  4. Aby wyświetlić listę nazw SPN na serwerze w celu zobaczenia nowej wartości, na serwerze IIS wpisz następujące polecenie: Setspn -L webservername
Należy pamiętać, że nie trzeba rejestrować wszystkich usług. Wiele typów usług, takich jak HTTP, W3SVC, WWW, RPC, CIFS (dostęp do plików), WINS i zasilacz awaryjny (UPS), zostanie zmapowanych do domyślnego typu usługi o nazwie HOST. Na przykład, jeśli do realizacji połączenia HTTP z serwerem sieci Web na serwerze webserver1.microsoft.com oprogramowanie klienta używa nazwy SPN HTTP/webserver1.microsoft.com, ale nazwa SPN nie jest zarejestrowana na serwerze, kontroler domeny Windows 2000 automatycznie zamapuje ją do nazwy HOST/webserver1.microsoft.com. Mapowanie to jest stosowane tylko wtedy, gdy usługa sieci Web działa na lokalnym koncie systemowym.

Ważne Jeśli główna nazwa usługi, która ma zostać zarejestrowana, jest nazwą konta komputera (witryna sieci Web jest uruchomiona na koncie LocalSystem lub NetworkService), nie można zmienić nazwy konta komputera. Zamiast tego należy dodać nową nazwę konta komputera HTTP. Jeśli nazwa witryny sieci Web pasuje do nazwy hosta, zmiana nazwy konta komputera nie jest wymagana. W przypadku braku standardowych nazw HOST/Serwer i HOST/w_pełni_kwalifikowana_nazwa_domeny_dla_serwera należy zbadać problemy dotyczące usługi Netlogon na serwerze po zarejestrowaniu wymaganej nazwy konta komputera. Po włączeniu rejestrowania usługi komunikaty o błędach powinny być rejestrowane w dzienniku. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
109626 Enabling debug logging for the Net Logon service
Zdarzenia błędów rejestracji usługi Netlogon powinny też być zapisywane w dzienniku zdarzeń systemowych.

Sprawdzanie, czy komputer jest zaufany w kwestii delegowania

Jeśli serwer IIS jest członkiem domeny, ale nie jest kontrolerem domeny, komputer musi być zaufany w kwestii delegowania dla protokołu Kerberos, aby mógł działać poprawnie. W celu włączenia tej funkcji należy wykonać następujące kroki:
  1. Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
  2. Kliknij dwukrotnie folder Narzędzia administracyjne, a następnie kliknij dwukrotnie polecenie Użytkownicy i komputery usługi Active Directory.
  3. W swojej domenie kliknij folder Komputery.
  4. Zlokalizuj serwer IIS na liście. Kliknij prawym przyciskiem myszy nazwę serwera, a następnie kliknij polecenie Właściwości.
  5. Kliknij kartę Ogólne, kliknij pole wyboru Trusted for delegation, aby je zaznaczyć, a następnie kliknij przycisk OK.

Korzystanie z programu Kerbtray

Innym bardzo użytecznym narzędziem umożliwiającym rozwiązywanie problemów z protokołem Kerberos jest program Kerbtray.exe, wchodzący w skład zestawu Windows 2000 Resource Kit. Program Kerbtray umożliwia wyświetlanie biletów protokołu Kerberos przyznanych z lokalnego buforu. Aby je pobrać, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Kerbtray.exe: Kerberos Trayhttp://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=pl
Aby uzyskać więcej informacji na temat tego narzędzia oraz porady dotyczące rozwiązywania problemów z protokołem Kerberos, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx

Włączanie rejestrowania zdarzeń zabezpieczeń

Rejestrowanie zdarzeń zabezpieczeń może być bezcenne podczas rozwiązywania problemów związanych z błędami uwierzytelniania protokołu Kerberos. Jeśli funkcja ta jest włączona, można wyświetlać błędy rejestrowania występujące podczas prób uwierzytelniania za pośrednictwem serwera IIS. Dzięki temu można uzyskać informacje o tym, co mogło wydarzyć się w procesie uwierzytelniania i co jest przyczyną niepowodzenia procesu uwierzytelniania.

Pozostałe informacje zamieszczone w tej sekcji są bezpośrednim cytatem z książki Desiging Secure Web Based Applications for Windows 2000 Michaela Howarda. Ponieważ połączenia w systemie Windows 2000 są uwierzytelniane, należy zapoznać się ze sposobem odczytywania zdarzeń logowania. Celem tej sekcji jest objaśnienie znaczenia różnych zmiennych, z których składa się na zdarzenie logowania.

Ustawienia inspekcji logowania/wylogowywania

System Microsoft Windows NT zawiera tylko jedną kategorię inspekcji logowania i wylogowywania. W systemie Windows 2000 znajduje się druga. W poniższych sekcjach opisano te dwie kategorie -- Logowanie/wylogowywanie i Logowanie do konta.

Przeprowadź inspekcję zdarzeń logowania (kategoria logowania/wylogowywania)

Ta kategoria zdarzenia, dostępna we wszystkich wersjach systemów Windows NT i Windows 2000, wskazuje, że konto zalogowało się, wylogowało lub nawiązało połączenie sieciowe z komputerem. Innymi słowy, na komputerze, na którym odbywa się logowanie, wyzwalane jest zdarzenie inspekcji. Kategoria logowania/wylogowywania jest ważna, ponieważ dostarcza najwięcej informacji podczas korzystania z usług IIS, SQL Server i COM+.

Najbardziej znaczącymi zdarzeniami w kategorii logowania/wylogowywania są:
  • Zdarzenie logowania/wylogowywania 529 (błąd logowania)
  • Zdarzenie logowania/wylogowywania 528 (sukces logowania)
  • Zdarzenie logowania/wylogowywania 540 (sukces logowania do sieci)
W poniższych sekcjach przedstawiono te zdarzenia, a w Tabeli 1 objaśniono znaczenie poszczególnych pól w zdarzeniach.

Zdarzenie logowania/wylogowywania 529 (błąd logowania)

Typ zdarzenia:     Inspekcja niepowodzeń
Źródło zdarzenia:   Zabezpieczenia
Kategoria zdarzenia: Logowanie/Wylogowywanie 
Identyfikator zdarzenia:       529
Data:           9/3/1999
Godzina:           20:57:21
Użytkownik:           NT AUTHORITY\SYSTEM
Komputer:       CHERYL-LAPTOP
Opis:
Niepowodzenie logowania:
   Powód:           Nieznana nazwa użytkownika lub złe hasło
   Nazwa użytkownika:        Administrator
   Domena:           CHERYL-LAPTOP
   Typ logowania:       2
   Proces logowania:    seclogon
   Pakiet uwierzytelniania: Negocjacja
   Nazwa stacji roboczej: CHERYL-LAPTOP

				

Zdarzenie logowania/wylogowywania 528 (sukces logowania) i zdarzenie logowania/wylogowywania 540 (sukces logowania do sieci)

Typ zdarzenia:     Inspekcja sukcesów
Źródło zdarzenia:   Zabezpieczenia
Kategoria zdarzenia: Logowanie/Wylogowywanie 
Identyfikator zdarzenia:       540
Data:           1/23/2000
Godzina:           17:41:39
Użytkownik:           EXAIR\Cheryl
Komputer:       CHERYL-LAPTOP
Opis:
Pomyślne logowanie do sieci:
   Nazwa użytkownika:        cheryl
   Domena:           EXAIR
   Identyfikator logowania:         (0x0,0x17872A8)
   Typ logowania:       3
   Proces logowania:    Kerberos
   Pakiet uwierzytelniania: Kerberos
   Nazwa stacji roboczej:

				
Zwiń tę tabelęRozwiń tę tabelę
Pole Komentarze
Typ, źródło, kategoria, identyfikator, data i godzina zdarzenianie wymagają wyjaśnień
User
Konto użytkownika przeprowadzającego logowanie. Na przykład może to być konto NT AUTHORITY\SYSTEM, które jest lokalnym kontem systemowym służącym do uruchamiania wielu usług systemu Windows 2000.
Komputer Komputer, na którym wystąpiło zdarzenie.
Przyczyna Dotyczy tylko błędów logowania. Jest to przyczyna niemożności zalogowania się konta.
Nazwa użytkownikaNazwa konta użytkownika podejmującego próbę logowania.
Domena Domena konta użytkownika podejmującego próbę logowania.
Typ logowania Wartość liczbowa wskazująca typ próby logowania. Możliwe wartości to:
2 - Interaktywne (logowanie interaktywne)
3 - Sieciowe (dostęp do systemu za pośrednictwem sieci)
4 - Wsadowe (uruchamianie w postaci pliku wsadowego)
5 - Usługowe (usługa systemu Windows uruchamiania przez kontroler usług)
6 - Proxy (logowanie proxy; nieużywane w systemie Windows NT ani Windows 2000)
7 - Odblokowane (odblokowana stacja robocza)
8 - NetworkCleartext (logowanie do sieci za pomocą uwierzytelnień cleartext)
9 - NewCredentials (używane przez usługę RunAs, gdy stosowana jest opcja /netonly)
Proces logowaniaProces realizujący logowanie. Poniżej przedstawiono kilka przykładowych procesów logowania:
- Advapi (wyzwalany przez odwołanie do funkcji LogonUser; funkcja LogonUser wywołuje funkcję LsaLogonUser, a jeden z argumentów funkcji LsaLogonUser, OriginName, identyfikuje początek próby logowania)
- User32 (zwykłe logowanie do systemu Windows 2000 przy użyciu funkcji WinLogon)
- SCMgr (Mendżer sterowania usługami uruchomił usługę)
- KsecDD (połączenia sieciowe z serwerem SMB — na przykład gdy używane jest polecenie NET USE)
- Kerberos (Dostawca obsługi zabezpieczeń [SSP] protokołu Kerberos)
- NtlmSsp (SSP protokołu NTLM)
- Seclogon (Secondary Logon — polecenie usługi RunAs)
- IIS (logowanie przeprowadzone przez usługę IIS; wygenerowany podczas logowania do konta IUSR_nazwaurządzenia lub podczas korzystania z uwierzytelniania Digest lub Basic)
Pakiet uwierzytelnień Pakiet zabezpieczeń wywoływany w celu podjęcia próby zalogowania się do konta. Pakiet uwierzytelnień jest biblioteką dołączaną dynamicznie (DLL), która analizuje dane logowania i decyduje, czy można uwierzytelnić konto. Do typowych przykładów należą: Kerberos, Negotiate, NTLM i MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 (nazywany również MSV1_0; uwierzytelnia użytkowników w bazie danych SAM, obsługuje uwierzytelnianie przekazujące do kont w zaufanych domenach oraz obsługuje pakiety uwierzytelnień podrzędnych) Nazwa stacji roboczej Nazwa stacji roboczej (jeśli jest znana) używana przez regułę podczas logowania.

Przeprowadź inspekcję zdarzeń logowania (kategoria logowania do konta)

Ta kategoria zdarzeń wskazuje, że konto się zalogowało lub wylogowało oraz że do zatwierdzania konta był używany komputer. W tym wypadku zdarzenie inspekcji jest wyzwalane na komputerze, na którym znajduje się dane konto. Wiele zdarzeń związanych z protokołem Kerberos, takich jak wydawanie biletów, jest rejestrowanych, gdy włączona jest ta kategoria inspekcji.

W poniższej sekcji przedstawiono dwa często spotykane zdarzenia błędów logowania do konta.

Zdarzenie logowania do konta 676 (błąd logowania): Niepowodzenie żądania biletu uwierzytelniania
Typ zdarzenia:     Inspekcja niepowodzeń
Źródło zdarzenia:   Zabezpieczenia
Kategoria zdarzenia: Logowanie do konta 
Identyfikator zdarzenia:       676
Data:           5/11/2000
Godzina:           20:47:01
Użytkownik:           NT AUTHORITY\SYSTEM
Komputer:       DBSERVER
Opis:
Niepowodzenie żądania biletu uwierzytelniania:
   Nazwa użytkownika:  Główny
   Podana nazwa obszaru:    EXPLORATIONAIR.COM
   Nazwa usługi:     krbtgt/EXPLORATIONAIR.COM
   Opcje biletu:   0x40810010
   Kod błędu:     6
   Adres klienta:   172.100.100.12

				
Uwaga Co to jest konto NT AUTHORITY\SYSTEM? To konto jest zwykle oznaczane jako LocalSystem. Jest to konto, na którym uruchamiana jest większość usług. W dzienniku zdarzeń związanych z zabezpieczeniami znajduje się wiele odwołań do tego konta.

Zdarzenie 676 oznacza, że użytkownik Główny nie mógł uzyskać od Centrum rozpowszechniania kluczy (Key Distribution Center, KDC) pierwszego biletu przyznającego bilet (TGT). Najważniejszą częścią zdarzenia jest kod błędu. Kody te są takie same jak kody MIT Kerberos. W tabeli 2 opisano niektóre najczęściej spotykane kody błędów; pełną listę można znaleźć na stronie głównej http://www.ietf.org/rfc/rfc1510.txt.

Tabela 2 — Niektóre typowe kody błędów protokołu Kerberos
Zwiń tę tabelęRozwiń tę tabelę
Kod błędu Komentarze
6 Nie znaleziono klienta w bazie danych protokołu Kerberos.
7 Nie znaleziono serwera w bazie danych protokołu Kerberos. Na ogół oznacza to, że dla usługi nie została zarejestrowana główna nazwa usługi (SPN).
23 Hasło wygasło.
32 Bilet wygasł.
33 Bilet jeszcze nie jest ważny.
34 Żądane jest ponowne odtworzenie. Ktoś próbuje odtworzyć odpowiedź klienta protokołu Kerberos. Prawdopodobnie oznacza to trwający atak.
37 Zbyt duża różnica czasu. Działanie protokołu Kerberos jest uzależnione od prawidłowo ustawionego czasu.


Powrót do początku Zdarzenie logowania do konta 681 (błąd logowania), którego kod błędu zawiera dużą liczbę

Czasami może być widoczny błąd podobny do następującego. Problem polega na tym, że kod błędu jest praktycznie bezużyteczny.
Typ zdarzenia:     Inspekcja niepowodzeń
Źródło zdarzenia:   Zabezpieczenia
Kategoria zdarzenia: Logowanie do konta 
Identyfikator zdarzenia:       681
Data:           5/11/2000
Godzina:           20:47:01
Użytkownik:           NT AUTHORITY\SYSTEM
Komputer:       DBSERVER
Opis:
Logowanie do konta: Główny
 przez: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 ze stacji roboczej: WEBSERVER
 nie powiodła się. Numer błędu: 3221225572

				
Tabela 3. — Przykładowe kody błędów logowania do konta.

Zwiń tę tabelęRozwiń tę tabelę
Kod błędu (dziesiętny)Kod błędu (szesnastkowy)Komentarze
32212255720xC0000064 Określony użytkownik nie istnieje.
3221225570 0xC0000062 Podana nazwa nie jest prawidłowo sformułowaną nazwą konta.
32212255690xC0000061Klient nie ma wymaganych uprawnień.
32212255780xC000006APodczas próby zaktualizowania hasła ten zwrócony stan wskazuje, że wartość podana jako bieżące hasło jest nieprawidłowa.
32212255800xC000006C Hasło jest nieprawidłowe. Podczas próby zaktualizowania hasła ten zwrócony stan wskazuje, że nastąpiło naruszenie pewnej reguły aktualizacji hasła. Na przykład hasło mogło nie spełniać kryteriów dotyczących długości.
32212255850xC0000071 Hasło do konta użytkownika wygasło.
32212255860xC0000072 Wybrane konto jest aktualnie zablokowane.

Po połączeniu poprzednich dwóch zdarzeń błędów zabezpieczeń -- błędu żądania pierwszego TGT przez konto Główne o numerze błędu 6 (Nie znaleziono klienta w bazie danych protokołu Kerberos) podczas próby zalogowania oraz ogólnego błędu logowania o numerze błędu 3221225572 (Określony użytkownik nie istnieje) -- wyraźnie widać błąd: Major isn't a valid account!

Materiały referencyjne

Aby uzyskać więcej informacji o protokole Kerberos, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
266080 Answers to frequently asked Kerberos questions
244474 How to force Kerberos to use TCP instead of UDP in Windows Server 2003, in Windows XP, and in Windows 2000
262177 JAK: Włączanie rejestrowania zdarzeń protokołu Kerberos
287537 Using Basic authentication to generate Kerberos tokens
277741 Internet Explorer logon fails due to an insufficient buffer for Kerberos
269643 Internet Explorer Kerberos authentication does not work because of an insufficient buffer connecting to IIS
264921 How IIS authenticates browser clients
248350 Kerberos authentication fails after upgrading from IIS 4.0 to IIS 5.0
294382 Authentication may fail with "401.3" Error if Web site's "Host Header" differs from server's NetBIOS name
217098 Basic overview of Kerberos authentication in Windows 2000
283201 How to use delegation in Windows 2000 with COM+
299838 Unable to negotiate Kerberos authentication after upgrading to Internet Explorer 6
230476 Description of common Kerberos-related errors in Windows 2000
320903 Clients cannot log on by using Kerberos over TCP
235529 Kerberos support on Windows 2000-based server clusters
929650 How to use service principal names when you configure Web applications that are hosted on IIS 6
Często zadawane pytania (FAQ) protokołu Kerberos zawierają dodatkowe informacje o tym protokole:
http://www.faqs.org/faqs/kerberos-faq/general/index.html

Właściwości

Numer ID artykułu: 326985 - Ostatnia weryfikacja: 24 kwietnia 2007 - Weryfikacja: 12.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Internet Information Services 5.0
Słowa kluczowe: 
kbhowtomaster KB326985
Zastrzeżenie dotyczące artykułów z bazy wiedzy o produktach wycofanych
Ten artykuł dotyczy produktów, dla których firma Microsoft nie oferuje już pomocy technicznej. Dlatego jest on oferowany w obecnej wersji i nie będzie już aktualizowany.

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com