ýýs'deki Kerberos ile ilgili sorunlar nasýl giderilir

Bu makale Kerberos sorunlarýný gidermek ýnternet ýnformation Services (IIS) hizmet (SRV) sunucularda kimlik doðrulamasý. Bu, tam bir kýlavuz deðildir, ancak karþýlaþabileceðiniz birçok Kerberos sorunlarýný gidermenize yardýmcý olabilecek fazla baþvuru var.

Microsoft Windows 2000 sunucusunda, ýýS'YI yüklediðinizde varsayýlan olarak, metatabanýndaki NTAuthenticationProviders anahtarýnýn Negotiate, NTLM için ayarlanýr. Bu, bir Microsoft ýnternet Explorer 5.0 veya daha yeni bir istemci Web sitesine baðlandýðýnda, IIS bu iki deðer WWW-Authenticate baþlýðýnda döndürmesidir anlamýna gelir. Bu durumda, istemci ile baðlanmak hangi kimlik doðrulama yöntemini belirler. Anlaþ yöntemi kullanarak baðlanmak, istemci karar verirse, Kerberos veya NTLM kimlik doðrulamasý için kullanýlýp kullanýlmayacaðýný belirlemek için sunucu ile istemci görüþür. Istemci, istemci anlaþ yöntemi desteklemiyorsa, NTLM kimlik doðrulamasý için kullanýr.

Bu iþlem çalýþma þeklini çok genel bir açýklamasýný olduðunu unutmayýn. Kerberos dahil deðil gözleyebilirsiniz birçok baþka iþlemler de oluþur.

ýnternet Explorer istemcinin Kerberos iletiþim kuralý'ný kullanarak baðlanabiliyorsanýz, bazý ek güvenlik denetimleri gerçekleþtirilmez. Örneðin, istemci Ticket Granting Service (TGS) tarafýndan bir bilet almak ve sonra kimlik doðrulamasý için bu anahtarý kullanýn.

Bu iþleminin nasýl çalýþtýðý hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Daha fazla bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin:Bu baþvurularla Kerberos ile ilgili sorunlarý giderme hakkýnda bilgi sahibi olmanýz gerekir.

Not En son ýnternet Explorer 6. 0'ý yükselttiyseniz, Tümleþik Windows kimlik doðrulamasýný etkinleþtir) onay kutusu varsayýlan olarak seçili için Kerberos sorunlarla karþýlaþabilirsiniz. Bu seçenek doðru olduðundan emin olma hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Kimlik doðrulama yöntemlerini doðrulama.

Metabase IIS sunucusu veya belirli bir Web sitesi için doðru kimlik doðrulama yöntemlerini listelendiðini doðrulayýn. Sunucu Microsoft Windows NT 4. 0'dan Windows 2000'e yükselttiðinizde, anlaþma kimlik doðrulama yöntemi kullanýlabilir ve el ile eklemeniz gerekir. Windows 2000 için Windows NT 4. 0'dan yükseltme, uygun kimlik doðrulama yöntemlerini kullanýlabilir olduðundan emin olun. Doðrulama hakkýnda daha fazla bilgi için kimlik doðrulama yöntemi kullanýlabilir ve eksik ise, yöntem ekleme, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn Anlaþ: Web sitesi düzeyinde ve tüm IIS sunucusunun bu kimlik doðrulama yöntemi ayarlayabileceðini unutmayýn. Bunu yapmak için <a0></a0>, adsutil.vbs komut dosyasý sayýsý, Web sitesi eklemek için kullanýn. Örneðin, yalnýzca varsayýlan Web sitesi için kimlik doðrulama yöntemini ayarlamak için <a0></a0>, aþaðýdaki komutu kullanýn:

"W3svc" sonra 1 ýnternet Services Manager (ISM) listelendiði gibi Web sitesi numarasýdýr.

Sunucu adýný belirler.

Sonra Web sitesine veya bir diðer ad (örneðin, bir DNS sunucu gerçek Netbýos adýný kullanarak baðlanmak mý belirleyin (örneðin, www.microsoft.com) adý. Web sunucusu bir sunucu asýl adý'nýn dýþýndaki adýyla eriþiyorsanýz, yeni hizmet asýl adý (SPN) Windows 2000 Server Kaynak Seti'nden Setspn aracýný kullanarak kayýtlý olmalýdýr. Active Directory bu hizmetin adýný öðrenmek için TGS, kullanýcýnýn kimliðini doðrulamak için bir bilet saðlamaz. Bu, istemci, NTLM, bir sonraki kullanýlabilir kimlik doðrulama yöntemi renegotiate için kullanýlacak zorlar. Web sunucusu bir etki alaný adý sistemi (DNS) adý olarak www.microsoft.com yanýt vermiyor, ancak sunucu veya sunucularý webserver1.development.microsoft.com adlandýrýldýðý www.microsoft.com her IIS sunucusunda Active Directory'de kaydettirmeniz gerekir. Bunu yapmak için <a0></a0>, the Setspn yükleme yardýmcý programý yükleyip IIS sunucusundaki.

Setspn yardýmcý programýný karþýdan yükleme hakkýnda daha fazla bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin: Setspn.exehttp://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en) Gerçek adýný kullanarak baðlanmak olup olmadýðýný belirlemek için <a0></a0>, DNS adýnýn yerine gerçek adýný kullanarak sunucuya baðlanmayý deneyin. Sunucuya baðlanamýyor Verify the Computer Is Trusted for Delegation bir bölümüne gidin. Sunucuya baðlanabilir, sunucuya baðlanmak için kullandýðýnýz bir DNS adý için bir SPN ayarlamak için þu adýmlarý izleyin:

1. Setspn yardýmcý programýný yükleyin.
2. IIS sunucusunda komut istemini açýn ve sonra C:\Program Files\Resource Seti dizini deðiþtirin.
3. Bu yeni SPN eklemek için aþaðýdaki komutu çalýþtýrýn (www.microsoft.com) websunucusu1 olduðu sunucunun Netbýos adýný sunucunun, Active Directory için:
   
   Setspn - A HTTP/www.microsoft.com websunucusu1
   Aþaðýdakine benzer bir çýktý alýrsýnýz:

   Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
   HTTP/www.microsoft.com
   Updated object
   							

4. Bu yeni deðerin görmek için sunucuda SPN listesini görüntülemek için <a0></a0>, IIS sunucusunda aþaðýdakileri yazýn: Setspn -L webservername

Not tüm hizmetleri kayýt baþlatmanýz gerekmez. HOST adlý bir varsayýlan hizmet türü için çok sayýda hizmet türlerini (örneðin, HTTP, W3SVC, WWW, RPC, <a1>CIFS</a1> (dosya eriþimi), WINS ve kesintisiz güç kaynaðý (UPS) eþler. Örneðin, istemci yazýlýmýnýzý, Web sunucusu bir HTTP baðlantýsý webserver1.microsoft.com sunucuda gerçekleþtirmek için bir SPN HTTP/webserver1.microsoft.com kullanýr, ancak bu SPN sunucuda kayýtlý deðil, Windows 2000 etki alaný denetleyicisi otomatik olarak onu HOST/webserver1.microsoft.com için eþler. Bu eþleþtirme, Web hizmetinin yerel sistem hesabý altýnda çalýþýyorsa geçerlidir.

Önemli Kaydetmek istediðiniz (SPN) (Web sitesi LocalSystem veya NetworkService hesabý altýnda çalýþan) bilgisayar hesabýnýn, bilgisayarýn bir varolan SPN deðiþtirmemeniz gerekir. Bunun yerine, yalnýzca yeni HTTP SPN ekleyin. Web sitesinin ana bilgisayar adý adýyla, Borç ve Alacak bakiyesi SPN deðiþikliðe gerek yoktur. Standart HOST adlarý, / Server ve HOST / ServerFQDN eksik, bu sunucuda Netlogon hizmeti, gerekli SPN kaydeder, olan sorunlarý araþtýrmak gerekir. Hizmetin oturum açma'yý etkinleþtirdiðinizde, günlük dosyasýnda hata iletilerini alacaksýnýz. Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Sistem olay günlüðüne kayýt hatalarý ile ilgili olarak, Netlogon olaylarýn de alacaksýnýz.

Bilgisayara temsilcilik için güvenilir olduðundan emin olun

Bu IIS sunucusunun etki alanýnýn üyesiyse, ancak etki alaný denetleyicisi deðil, bilgisayar düzgün çalýþmasý, Kerberos için temsilci seçme için güvenilmesi gerekir. Bunu etkinleþtirmek için aþaðýdaki adýmlarý izleyin:

1. Etki alaný denetleyicisinde, Baþlat ' ý týklatýn, Ayarlar ' ýn üzerine gelin ve sonra Denetim Masasý ' ný týklatýn.
2. Yönetimsel Araçlar ' ý çift týklatýn ve sonra da Active Directory Kullanýcýlarý ve bilgisayarlarý'ný çift týklatýn.
3. Etki alaný altýnda bilgisayarlar klasörünü týklatýn.
4. Listede, IIS sunucusunun bulun. Sunucunun adýný sað týklatýn ve sonra da Özellikler ' i týklatýn.
5. Genel sekmesini týklatýn, temsilci seçme için güvenilir</a1> onay kutusunu týklatýp seçin ve Tamam ' ý týklatýn.

Kerbtray kullanýn.

Kerberos sorunlarýný gidermek için baþka bir çok yararlý Windows 2000 Kaynak Seti bir parçasý olan Kerbtray.exe programýdýr. Kerbtray kullanarak, yerel önbellekte verilmiþ Kerberos biletleri görebilirsiniz. Bu yardýmcý programý'ný karþýdan yüklemek için aþaðýdaki Microsoft Web sitesini ziyaret edin: Bu araç hakkýnda daha fazla bilgi ve Kerberos ile ilgili sorunlarý giderme hakkýnda ipuçlarý için aþaðýdaki Microsoft Web sitesini ziyaret edin:

Güvenlik Olay Günlüðü etkinleþtir

Güvenlik olay günlüðü, Kerberos kimlik doðrulamasý hatalarýný giderirken yard?mlar? olabilir. IIS kimlik doðrulamasý kullanýcý çalýþtýðýnda, bu etkin, oturum açma hatalarý görebilirsiniz. Bu, kimlik doðrulama iþlemi sýrasýnda ortaya çýkabilecek neden kimlik doðrulama iþlemi baþarýsýz olur ve bir açýklama saðlar.

Bu bölümdeki bilgiler, geri kalaný Michael Howard tarafýndan doðrudan Desiging güvenli Web tabanlý uygulamalar için Windows 2000 ' den týrnak içinde. Windows 2000'de baðlantý yapýlýr, çünkü oturum açma olaylarý okuyabilir nasýl gerçekleþtirileceðini anlamýþ gerekir. Bu bölümün amacý, bir oturum açma olayý farklý deðiþkenleri açýklayan saðlamaktýr.

Oturum açma/oturum kapatma denetim ayarlarý

Microsoft Windows NT oturum açma ve kapatma için yalnýzca bir denetim kategorisi içerir. Windows 2000, ikinci tanýtýr. --Oturum açma/oturum kapatma ve hesap oturum açma--iki kategoriye, aþaðýdaki bölümlerde açýklanmýþtýr.

Hesap oturumu açma olaylarý (oturum açma/oturum kapatma kategori) denetleme

Bu olay kategorisi, kullanýlabilir tüm sürümlerinde Windows NT ve Windows 2000'de, bir firmaya veya oturum veya bir að baðlantýsý bilgisayara yapýlan gösterir. Diðer bir deyiþle, denetim olayý, oturum açma oluþtuðu bilgisayarda tetiklenir. IIS, SQL Server ve COM + kullanýrken birçok bilgi saðladýðý için oturum açma/oturum kapatma kategori önemlidir.

En önemli olaylar <a0>oturum açma/oturum kapatma</a0> kategorisinde olur.

• Oturum açma/Oturum Kapatma Olayý 529'i (oturum açma hatasý)
• Oturum açma/oturum kapatma olayý 528 (oturum açma baþarýlý)
• Oturum açma/oturum kapatma olayý 540 (að oturum açma baþarýlý)

Aþaðýdaki bölümler bu olaylarý görüntülemek ve Table 1 olaylarý, alanlarýn her biri açýklanmýþtýr.

Oturum açma/Oturum Kapatma Olayý 529'i (oturum açma hatasý)

Oturum açma/oturum kapatma olayý 528 (oturum açma baþarýlý) ve oturum açma/oturum kapatma olayý 540 (að oturum açma baþarýlý)

Hesap oturumu açma olaylarý (hesap oturum açma kategori) denetleme

Bu olay kategorisi için bir hesap açma veya oturum ve bilgisayar hesabý doðrulamak için kullanýlan gösterir. Bu durumda, denetim olayý, hesabýn bulunduðu bilgisayarda tetiklenir. Bu denetim kategorisi etkinleþtirildiðinde, bilet verme gibi birçok Kerberos olay günlüðe kaydedilir.

Aþaðýdaki bölümler iki sýk görülen bir hesabýn oturum açma hatasý olaylarý gösterir.

Hesabýnýn oturum açma olay 676 (oturum açma hatasý): kimlik doðrulama bileti isteði baþarýsýz olduNot NT AUTHORITY\SYSTEM hesabý nedir? Bu hesap genellikle LocalSystem olarak adlandýrýlýr; bu hesabýn altýnda çalýþan çoðu hangi hizmetlerin. Bu hesabýn, güvenlik olay günlüðüne çok sayýda baþvurularý görürsünüz.

Önemli bir ilk alýnamadý, <a1>Olay</a1> 676 belirten bilet saðlayan bilet (TGT) Anahtar Daðýtým Merkezi (KDC) tarafýndan. Olayýn en önemli bir bölümü hata kodudur. Bu kodlar MIT Kerberos kodlarý ile aynýdýr. Table 2 bazý yaygýn hata kodlarý açýklar; tam bir liste ana http://www.ietf.org/rfc/rfc1510.txt (http://www.ietf.org/rfc/rfc1510.txt) bulunabilir.

Tablo 2 - bazý ortak Kerberos hata kodlarý

Hesap oturum açma olayý 681 (oturum açma hatasý) hata kodu için büyük bir sayý

Bazen, aþaðýdakine benzer bir hata da görebilirsiniz. Hata kodu neredeyse gereksizdir sorundur. Tablo 3 - örnek hesabýnýn oturum açma hata kodu.


Varsa, önceki iki güvenlik hata olaylarýný--hata 6 ilk TGT baþarýsýz olan ana'nýn isteði (Kerberos veritabanýnda bulunamadý istemci) aralarýndaki iliþkileri belirlemektir, kendisinin oturum açmayý denedi ve genel oturum açma hatasý hatanýn ne olduðunu görmek, düz Günlerden 3221225572 (belirtilen kullanýcý yok)--hata oluþmaya: büyük geçerli bir hesap deðil!

Kerberos hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn: Kerberos hakkýnda SSS Kerberos iletiþim kuralý hakkýnda ek bilgi içerir: