Kerberos-Authentifizierung und Problembehandlung bei der Delegierung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 907272 - Produkte anzeigen, auf die sich dieser Artikel bezieht
IIS Developer Support Voice-Kolumne

Kerberos-Authentifizierung und Problembehandlung bei der Delegierung

Um diese Kolumne an Ihre Bedürfnisse anpassen, möchten wir möchten Sie einladen, reichen Sie Ihre Ideen zu Themen und Problemen, die Sie anzeigen möchten, in zukünftigen Knowledge Base-Artikeln und Support Voice-Kolumnen behandeln. Sie können Ihre Ideen und Feedback mit übermitteln die Danach Fragen Formular. Es gibt auch ein Link zu dem Formular am Ende dieser Spalte.
Alles erweitern | Alles schließen

Auf dieser Seite

Ich heiße Martin Smith, und ich bin mit Microsofts Microsoft Internet Information Services (IIS) wichtige Problemlösung Gruppe. Ich habe seit neun Jahren bei Microsoft und das IIS-Team wurden alle neun Jahre. Ich habe auf Informationen von mehreren Standorten zusammengestellt. http://msdn.Microsoft.com und http://www.Microsoft.com über Kerberos und Vorgehensweise Problembehandlung für Delegierungszwecke vertraut.

IIS 6.0

Im folgende Whitepaper beschreibt das Einrichten der Delegierung in Microsoft Windows Server 2003. Das White Paper verfügt über spezielle Informationen für Jedoch umfasst hervorragende Details über das Einrichten von Netzwerklastenausgleich (Network Load Balancing, NLB) eine delegierte Szenario ohne Verwendung von NLB. Sie finden dieses Whitepaper auf der folgende Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc757299.aspx
Hinweis Verwenden Sie HTTP-Dienstprinzipalnamen (SPNs), insbesondere wenn Sie verwenden NLB.

Eine andere beliebtes Kerberos-Problem wurde vor kurzem die Notwendigkeit ermöglichen Sie mehrere Anwendungspools auf denselben DNS-Namen verwenden. Leider Bei Verwendung des Kerberos für die Delegierung von Anmeldeinformationen kann nicht den gleichen Dienst gebunden werden. Principal Name (SPN) auf verschiedenen Anwendungspools. Dies ist da nicht möglich des Entwurfs von Kerberos. Das Kerberos-Protokoll erfordert mehrere freigegeben Geheimnisse für das Protokoll ordnungsgemäß funktioniert. Mit den gleichen SPN für verschiedene Anwendungspools, vermeiden wir einem dieser freigegebenen Schlüssel. Die aktive Directory-Verzeichnisdienst wird diese Konfiguration von Kerberos nicht unterstützt. Protokoll aufgrund der Sicherheitslücke.

Konfigurieren die SPN in diesem Art und Weise bewirkt, dass Kerberos-Authentifizierung fehlschlägt. Eine mögliche Problemumgehung für dieses Problem wäre Protokollübertragung verwenden. Die erste Authentifizierung zwischen dem Client und dem Server Ausführen von IIS würde behandelt werden, mit der NTLM-Authentifizierungsprotokoll. Kerberos wird die Authentifizierung zwischen behandeln. IIS und dem Back-End-Ressource-Server.

Microsoft InternetExplorer 6 oder höher

Der Clientbrowser kann Probleme, wie der Empfang auftreten. wiederholte Anmeldung aufgefordert, Anmeldeinformationen oder Fehlermeldungen "401 Zugriff verweigert" aus dem Server mit IIS. Wir haben die folgenden zwei Probleme, die u. u. gefunden. Diese Probleme zu beheben:
  • Stellen Sie sicher, dass Integrierte Windows aktivieren Authentifizierung in den Eigenschaften des Browsers aktiviert ist. Weitere Informationen finden Sie in folgendem um den Artikel der Microsoft Knowledge Base anzuzeigen:
    299838Kerberos-Authentifizierung nach Update auf Internet Explorer 6 auszuhandeln
  • Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer besteht in der Systemsteuerung aktiviert, müssen Sie eine Website, Delegation verwendet, Hinzufügen derVertrauenswürdige sites Liste. Weitere Informationen finden Sie in folgendem um den Artikel der Microsoft Knowledge Base anzuzeigen:
    815141Geändertes Browserverhalten durch verstärkte Sicherheitskonfiguration für Internet Explorer

IIS 5.0 und IIS 6.0

Aktualisieren Sie nach dem von IIS 4.0 auf IIS 5.0 oder IIS 6.0, delegation funktioniert möglicherweise nicht korrekt, oder möglicherweise ein Benutzer oder eine Anwendung wurde geändert. die Metabasis-Eigenschaft NTAuthenticationProviders. Weitere Informationen dazu, wie Sie dieses Problem zu beheben, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
248350Kerberos-Authentifizierung fehlschlägt, nach der Aktualisierung von IIS 4.0 auf IIS 5.0

Ein bestimmten Bereich des Probleme kann auftreten, wenn Sie festlegen, dass den SPN

Ermitteln des Servernamens

Bestimmen, ob Sie mit der Website verbunden sind, mit der NetBIOS-Namens des Servers oder über einen Aliasnamen, z. B. einen DNS-Namen (z. B. www.microsoft.com). Wenn Sie mit den Webserver zugreifen einen anderen Namen als den tatsächlichen Namen des Servers, ein neuer Dienstprinzipalname (SPN) muss registriert wurden mithilfe des Tools Setspn aus Windows 2000 Server resourcekit. Da der Active Directory-Verzeichnisdienst nicht der Fall ist Dieser Service-Namen kennen der Ticket-granting-Dienst (TGS) Ihnen kein Ticket für den Benutzer zu authentifizieren. Dieses Verhalten zwingt den Client zur Verwendung der nächste verfügbare Authentifizierungsmethode, also NTLM zu verhandeln. Wenn das Web Server antwortet auf einen DNS-Namen www.Microsoft.com, aber der Server ist mit dem Namen webserver1.development.microsoft.com, müssen Sie registrieren www.Microsoft.com in Active Directory auf dem Server, der mit IIS ausgeführt wird. Gehen Sie dazu folgendermaßen vor: Sie müssen das Setspn-Tool herunterladen und installieren es auf dem Server, auf dem IIS ausgeführt wird.

Bei Verwendung von Windows Server 2003 und IIS 6 steht das Setspn-Tool für Microsoft Windows Server 2003 von folgendem Speicherort:
http://support.Microsoft.com/kb/970536
Um festzustellen, ob Sie eine Verbindung herstellen mit den tatsächlichen Namen, Versuch der Verbindung zum Server mit den tatsächlichen Namen des Servers anstelle von der DNS-Name. Wenn Sie keine Verbindung zum Server herstellen können, finden Sie unter "Überprüfen des Computers wird für Delegierungszwecke vertraut"-Abschnitt.

Wenn Sie eine Verbindung zum Server herstellen können, Gehen Sie folgendermaßen vor, um einen SPN für den DNS-Namen festzulegen, die Sie verwenden, um eine Verbindung herstellen mit dem Server:
  1. Installieren Sie das Setspn-Tool.
  2. Öffnen Sie auf dem IIS-Server eine Eingabeaufforderung, und klicken Sie dann Öffnen Sie den Ordner c:\Programme\Microsoft c:\Programme\Resource Kit.
  3. Führen Sie den folgenden Befehl zum Hinzufügen von diesen neuen SPN (www.microsoft.com) in Active Directory für den Server:
    Setspn - ein HTTP/www.microsoft.com webserver1
    Hinweis In diesem Befehl webserver1 Stellt dar der NetBIOS-Name des Servers.
Sie erhalten eine Ausgabe, die der folgenden ähnelt:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Um eine Liste der SPNs auf dem Server um den neuen Wert anzuzeigen, Geben Sie den folgenden Befehl auf dem IIS-Server:
Setspn ? L webservername
Beachten Sie, dass nicht alle Dienste registriert. Viele service Typen, z. B. HTTP, W3SVC, WWW, RPC, CIFS (Dateizugriff), WINS, und Unterbrechungsfreie Stromversorgung (USV), wird ein Standard-Service-Typ, der ist entsprechen mit dem Namen HOST. Wenn Ihre Clientsoftware einen SPN des verwendet z. B. HTTP/webserver1.microsoft.com auf eine HTTP-Verbindung zum Webserver erstellen die Verbindung-Server, aber diese SPN ist nicht registriert, auf die Server, Windows 2000-Domänencontroller wird automatisch zuordnen, die Verbindung mit HOST/webserver1.microsoft.com. Diese Zuordnung gilt nur, wenn die Webdienst wird unter dem lokalen Systemkonto ausgeführt.

Stellen Sie sicher, dass der Computer für Delegierungszwecke vertraut wird

Wenn dieser Server mit IIS ein Mitglied der Domäne ist jedoch kein Domänencontroller, muss der Computer für Delegierungszwecke vertraut, damit Kerberos sein funktionieren Sie ordnungsgemäß. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf dem Domänencontroller Start, , zeigen Sie auf Einstellungen, und klicken Sie dann auf Steuerelement Bedienfeld.
  2. Öffnen Sie in der Systemsteuerung Administrative Tools.
  3. Doppelklicken Sie auf Active Directory-Benutzer und Computer.
  4. Klicken Sie unter Ihrer Domäne auf Computer.
  5. Suchen Sie in der Liste den Server mit IIS der rechten Maustaste auf die Servernamen, und klicken Sie dann auf Eigenschaften.
  6. Klicken Sie auf die Allgemein Registerkarte, klicken Sie auf dieFür Delegierungszwecke vertraut Kontrollkästchen Sie, und klicken Sie dann aufOK.
Beachten Sie, dass mehrere Websites über denselben URL erreicht werden, aber an verschiedenen Ports funktioniert die Delegierung nicht. Damit dies funktioniert, müssen Sie verwenden verschiedenen Hostnamen und andere SPNs. Wenn Internet Explorer entweder anfordert http://www.MeineWebsite.com oder http://www.MeineWebsite.com, InternetExplorer fordert ein Ticket für SPN-HTTP/www.mywebsite.com. Internet Explorer hinzufügen nicht. der Anschluss oder das virtuelle Verzeichnis auf die SPN-Anforderung. Dieses Verhalten gilt für http://www.MeineWebsite.com/app1 oder http://www.MeineWebsite.com/app2. In diesem Szenario Internet Explorer fordert ein Ticket für SPN http://www.MeineWebsite.com aus der Schlüsselverteilung Center (KDC). Jeder SPN kann nur für eine Identität deklariert werden. Daher können Sie würde auch eine KRB_DUPLICATE_SPN-Fehlermeldung angezeigt werden, wenn Sie versuchen, dies zu erklären SPN für jede Identität.

Delegierung und Microsoft ASP.NET

Weitere Informationen zu die Konfiguration für die Delegierung der Anmeldeinformationen, wenn Sie ein ASP.NET verwenden Anwendung, klicken Sie auf die folgende Artikelnummer klicken, um finden Sie in der Microsoft Knowledge Base:
810572Gewusst wie: Konfigurieren einer ASP.NET Anwendung für ein Delegierungsszenario
Identitätswechsel und Delegierung sind zwei Methoden für eine Server, im Auftrag des Clients zu authentifizieren. Entscheiden, welche dieser Methoden zum verwenden und deren Implementierung können verwirrend. Sie müssen Überprüfen Sie die Differenz zwischen diesen beiden Methoden und untersuchen Sie, die von diesen Methoden, die Sie möglicherweise verwenden für Ihre Anwendung. Meine Empfehlung wäre Lesen Sie weitere Informationen im folgende Whitepaper:
http://msdn2.Microsoft.com/en-us/library/ms998351.aspx

Informationsquellen

http://technet.Microsoft.com/en-us/library/cc757299.aspx

http://msdn.Microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server Domänenbenutzer zur Eingabe von Anmeldeinformationen aufgefordert
262177 Aktivieren der Kerberos-Ereignisprotokollierung
326985 Gewusst wie: Behandeln von Kerberos-Problemen in IIS
842861 TechNet Support WebCast: Problembehandlung bei Kerberos-Authentifizierung mit secure Web Applications und Microsoft SQL Server
Wie immer gerne Ideen zu Themen, senden Sie soll adressierte in einem zukünftigen Artikel oder in der Knowledge Base mithilfe der Fragen Sie nach Es Formular.

Eigenschaften

Artikel-ID: 907272 - Geändert am: Donnerstag, 30. Mai 2013 - Version: 6.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
Keywords: 
kbiis kbhowto kbasp kbmt KB907272 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 907272
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com