Ověřování pomocí protokolu Kerberos a potíží s delegováním

Překlady článku Překlady článku
ID článku: 907272 - Produkty, které se vztahují k tomuto článku.
Sloupec služby IIS Developer podpory hlasu

Ověřování pomocí protokolu Kerberos a potíží s delegováním

Chcete-li upravit tento sloupec vašim potřebám, chceme pozvat sdělit své nápady o tématech, která zajímají je a problémy, které chcete zobrazit řešit v budoucnosti sloupce podporu hlasu a články znalostní báze Knowledge Base. Můžete odeslat své myšlenky a pomocí zpětné vazby Požádejte o ni formulář. Je zde také odkaz na formulář v dolní části tohoto sloupce.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Mé jméno je Martin Novák a jsem s aplikací společnosti Microsoft Skupina řešení kritických problémů Internetová informační služba (IIS). Mám u společnosti Microsoft bylo devět let a byla s týmem IIS všech devět let. I byly zkompilovány informace z více míst na http://msdn.microsoft.com a http://www.microsoft.com o protokolu Kerberos a jak řešení problémů delegování.

SLUŽBA IIS 6.0

Následující dokument white paper popisuje, jak nastavit delegování v Microsoft Windows Server 2003. Dokument white paper obsahuje informace specifické pro Služba Vyrovnávání zatížení sítě (NLB), ale zahrnuje vynikající detaily o tom, jak nastavit Delegovaný scénář bez použití služby Vyrovnávání zatížení sítě. Tento dokument white paper naleznete Následující Web společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc757299.aspx
Poznámka: Použít názvy HTTP Service Principal (SPN), zvláště když použijete SLUŽBA VYROVNÁVÁNÍ ZATÍŽENÍ SÍTĚ.

Jiné populární Chyba protokolu Kerberos nedávno byla potřeba Umožněte více fondů aplikací používat stejný název DNS. Bohužel Při použití protokolu Kerberos delegování pověření, stejnou službu nelze vytvořit vazbu Hlavní název (SPN) do samostatných fondů aplikací. To nelze provést, protože návrhu protokolu Kerberos. Protokol Kerberos vyžaduje více sdílených tajemství pro protokol funguje správně. Pomocí stejného názvu SPN pro různé fondy aplikací jsme vyloučení jedné z těchto sdílených tajných klíčů. Aktivní Služba Directory nebude podporovat tuto konfiguraci Kerberos protokol z důvodu problému zabezpečení.

V této konfiguraci názvu SPN způsobem způsobí, že došlo k chybě ověřování pomocí protokolu Kerberos. Možným řešením pro tuto problém bude používat protokol přechod. Počáteční ověření mezi klientem a službou IIS Server by zpracovávali pomocí Ověřovací protokol NTLM. Kerberos by zpracovat ověření mezi Služba IIS a back-end serveru prostředků.

Aplikace Microsoft Internet Explorer 6 nebo novější

Prohlížeč klienta může docházet k problémům, jako je příjem opakované přihlášení zobrazí výzvu k pověření nebo "401 Přístup odepřen" chybové zprávy ze serveru se službou IIS. Zjistili jsme následující dva problémy, které mohou pomoc při řešení těchto problémů:
  • Ověřte, zda Povolit integrované ověřování systému Windows Ověřování je vybraná v panelu vlastností v prohlížeči. Další informace získáte v následujícím článku zobrazení článku znalostní báze Microsoft Knowledge Base:
    299838Nelze vyjednat ověřování pomocí protokolu Kerberos, po upgradu na aplikaci Internet Explorer 6
  • Pokud je konfigurace rozšířeného zabezpečení aplikace Internet Explorer povoleno v přidat nebo odebrat programy, je nutné přidat na server používající delegováníDůvěryhodné servery seznam. Další informace získáte v následujícím článku zobrazení článku znalostní báze Microsoft Knowledge Base:
    815141Konfigurace rozšířeného zabezpečení aplikace Internet Explorer mění možnosti procházení

Služba IIS 5.0 a IIS 6.0

Po upgradu ze služby IIS 4.0 na službu IIS 5.0 nebo IIS 6.0, delegování nemusí fungovat správně, nebo možná někdo nebo aplikace byl změněn. vlastnost metabáze NTAuthenticationProviders. Další informace o tom, jak tento problém vyřešit, klepněte následující číslo článku databáze Microsoft Knowledge Base:
248350Ověřování pomocí protokolu Kerberos se nezdaří po upgradu ze služby IIS 4.0 na službu IIS 5.0

Určitou oblast potížím může dojít, pokud nastavíte název SPN

Zjistit název serveru

Určete, zda se připojujete k webovému serveru pomocí skutečný název NetBIOS serveru nebo pomocí aliasu názvu, jako například název DNS (například www.microsoft.com). Pokud přistupujete na webový server pomocí jiný než skutečný název serveru, nový hlavní název služby (SPN) musí být zapsán pomocí nástroje Setspn ze systému Windows 2000 Server Resource Kit. Vzhledem k tomu, že neobsahuje adresářové služby Active Directory znáte název této služby ticket-granting service (TGS) nedává lístek k ověření uživatele. Toto chování přinutí klienta k použití Další k dispozici metodu ověřování, která je opětovně vyjednat protokol NTLM. Pokud na webu Server odpovídá na DNS název www.microsoft.com, ale server se nazývá webserver1.development.microsoft.com, musíte se zaregistrovat www.microsoft.com ve službě Active Directory na serveru se spuštěnou službou IIS. Chcete-li to provést, je nutné stáhnout nástroj Setspn a nainstalujte ji na server se spuštěnou službou IIS.

Pokud používáte systém Windows Server 2003 a služby IIS 6, Setspn nástroj pro Microsoft Windows Server 2003 je k dispozici v následujícím umístění:
http://support.microsoft.com/kb/970536
Chcete-li zjistit, zda se připojujete pomocí skutečné jméno Pokuste se připojit k serveru pomocí názvu serveru namísto skutečné název DNS. Pokud se nemůžete připojit k serveru, naleznete v tématu "ověření počítače je důvěryhodný pro delegování"v oddílu.

Pokud se můžete připojit k serveru, Chcete-li nastavit název SPN pro název DNS, který používáte k připojení postupujte na serveru:
  1. Nainstalujte nástroj Setspn.
  2. Na serveru se službou IIS, otevřete příkazový řádek a potom Otevřete složku C:\Program Files\Resource Kit.
  3. Spuštěním následujícího příkazu přidejte tento nový název SPN (www.microsoft.com) na serveru služby Active Directory:
    Setspn - A HTTP/www.microsoft.com webový_server1
    Poznámka: V tomto příkazu webový_server1 představuje název NetBIOS serveru.
Zobrazí se výstup podobný následujícímu:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Chcete-li zobrazit seznam názvů SPN na serveru zobrazíte tuto novou hodnotu. na serveru se službou IIS, zadejte následující příkaz:
Setspn -L název_webového_serveru
Všimněte si, že není nutné zaregistrovat všechny služby. Mnoho služeb typy, například WWW, HTTP, W3SVC, RPC, CIFS (soubor aplikace access), WINS, a nepřerušitelný zdroj napájení (UPS), bude mapován na výchozí typ služby, který je název hostitele. Například, pokud klientský software používá název SPN z Chcete-li vytvořit připojení HTTP na webovém serveru na HTTP/webserver1.microsoft.com na serveru webserver1.microsoft.com, ale tento název SPN registrován na Server, řadič domény systému Windows 2000 automaticky namapuje připojení k HOST/webserver1.microsoft.com. Toto mapování platí pouze v případě, Webová služba je spuštěna v místním systémovém účtu.

Ověřte, zda je počítač důvěryhodný pro delegování

Pokud tento server se službou IIS je členem domény, ale není řadič domény, musí být počítač důvěryhodný pro delegování ověřování pomocí protokolu Kerberos pracovat správně. Postupujte následujícím způsobem
  1. V řadiči domény klepněte na tlačítko Start, přejděte na Nastavenía potom klepněte na tlačítko Ovládací prvek Panel.
  2. Otevřete v Ovládacích panelech Pro správu Nástroje.
  3. Poklepejte na položku Uživatelé služby Active Directory a Počítače.
  4. V rámci vaší domény klepněte na tlačítko Počítače.
  5. V seznamu, vyhledejte serveru se službou IIS, klepněte pravým tlačítkem myši název serveru a potom klepněte na tlačítko Vlastnosti.
  6. Klepněte Obecné karta, zaškrtněteDůvěryhodný k delegování Zaškrtněte políčko a klepněte na tlačítkoOK.
Všimněte si, že pokud více serverů WWW pomocí stejné adresy URL, ale na různých portech delegování, nebude fungovat. Chcete-li tato práce, je nutné použít různé názvy hostitelů a různé názvy. Když aplikace Internet Explorer vyžaduje buď http://www.mywebsite.com nebo http://www.mywebsite.com:81, aplikace Internet Explorer požaduje lístek pro SPN HTTP/www.mywebsite.com. Aplikace Internet Explorer nelze přidat. port nebo vdir požadavek na název SPN. Toto chování je stejné pro http://www.mywebsite.com/Apl1 nebo http://www.mywebsite.com/Apl2. V tomto scénáři Aplikace Internet Explorer bude požadovat lístek pro SPN http://www.mywebsitez distribuce klíčů .cz Centrum (KDC). Každý název SPN lze deklarovat pouze pro jednu identitu. Proto je by také KRB_DUPLICATE_SPN chybová zpráva při pokusu deklarovat to Název SPN pro každou identitu.

Delegování a Microsoft ASP.NET.

Další informace o Konfigurace delegování pověření při použití technologie ASP.NET aplikace, klepněte na následující číslo článku v Znalostní báze Microsoft Knowledge Base:
810572Jak nakonfigurovat aplikaci technologie ASP.NET pro scénář delegování
Zosobnění a delegování jsou dvě metody Server ověřování jménem klienta. Rozhodování, který z těchto můžete použít metody a jejich provádění může způsobit určité problémy. Je nutné Zkontrolovat rozdíl mezi těmito dvěma metodami a zkoumat, který z těchto metody, které můžete použít pro vaši aplikaci. Mé doporučení by bylo Přečtěte si následující dokument white paper o další podrobnosti:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Odkazy

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Systém Windows 2000 Server vyzve k zadání pověření uživatele domény
262177 Jak povolit protokolování událostí protokolu Kerberos
326985 Postup při řešení potíží souvisejících s protokolem Kerberos ve službě IIS
842861 Webové vysílání podpory na webu TechNet: Řešení potíží s protokolem Kerberos ověřování pomocí zabezpečených webových aplikací a Microsoft SQL Server
Jako vždy pocit volného odeslat nápady na témata jste má adresou v budoucí sloupce nebo pomocí znalostní báze Knowledge Base Požádat o Je formulář.

Vlastnosti

ID článku: 907272 - Poslední aktualizace: 30. května 2013 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 6.0
Klíčová slova: 
kbiis kbhowto kbasp kbmt KB907272 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 907272

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com