L'autenticazione Kerberos e la risoluzione dei problemi di delega

Traduzione articoli Traduzione articoli
Identificativo articolo: 907272 - Visualizza i prodotti a cui si riferisce l?articolo.
Colonna IIS Developer Support Voice

L'autenticazione Kerberos e la risoluzione dei problemi di delega

Per personalizzare questa colonna in base alle esigenze, desideriamo invitati a inviare le proprie idee sugli argomenti di interesse e sui problemi che si desiderano visualizzare la soluzione nei futuri articoli della Knowledge Base e Support Voice. ╚ possibile inviare idee e commenti e suggerimenti tramite il Richiesti modulo. ╚ inoltre disponibile un collegamento al modulo nella parte inferiore della colonna.
Espandi tutto | Chiudi tutto

In questa pagina

Il mio nome Ŕ Martin Smith e sono con Microsoft Microsoft Gruppo di risoluzione dei problemi critici di Internet Information Services (IIS). Ho stato con Microsoft nove anni e sono stati il team IIS per tutti i nove anni. Aver compilato su informazioni provenienti da pi¨ percorsi http://msdn.microsoft.com e http://www.microsoft.com informazioni su Kerberos e come risoluzione dei problemi di delega.

IIS 6.0

Il seguente white paper viene descritto come impostare la delega in Microsoft Windows Server 2003. Il white paper contiene informazioni specifiche per Bilanciamento carico di rete (NLB, Network Load Balancing) ma include dettagli eccellente su come impostare uno scenario delegato senza utilizzare Bilanciamento carico di rete. Per visualizzare questo white paper, visitare il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/cc757299.aspx
Nota. Utilizzare nomi principali di servizio HTTP (SPN), soprattutto quando si utilizzano BILANCIAMENTO CARICO DI RETE.

Un altro problema diffuso di Kerberos Ŕ stato recentemente la necessitÓ di Consente di utilizzare lo stesso nome DNS pi¨ pool di applicazioni. Purtroppo, Quando si utilizza Kerberos per delegare le credenziali, Ŕ possibile associare lo stesso servizio Nome principale (SPN) per diversi pool di applicazioni. ╚ possibile farlo perchÚ della progettazione di Kerberos. Il protocollo Kerberos richiede pi¨ condivisa segreti per il protocollo funzionare correttamente. Utilizzando la stessa SPN per diversi pool di applicazioni Ŕ eliminare uno di questi segreti condivisi. Attivo Servizio directory non supporta questa configurazione di Kerberos protocollo a causa del problema di protezione.

Questa configurazione gli SPN modo l'autenticazione Kerberos non riuscire. Una possibile soluzione per questo problema Ŕ possibile utilizzare la transizione di protocollo. L'autenticazione iniziale tra il client e Server che esegue IIS sarebbero gestiti utilizzando il Protocollo di autenticazione NTLM. Kerberos necessario gestire l'autenticazione tra IIS e il server di risorse back-end.

Microsoft Internet Explorer 6 o versione successiva

Il browser client, potrebbe verificarsi problemi, ad esempio ricezione accesso ripetute richieste di credenziali o messaggi di errore "401 Accesso negato" dal server che esegue IIS. Abbiamo sperimentato due problemi descritti di seguito possono Per risolvere questi problemi:
  • Verificare che Attivare Windows integrata Autenticazione Ŕ selezionata nelle proprietÓ del browser. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito Per visualizzare l'articolo della Microsoft Knowledge Base:
    299838Impossibile negoziare l'autenticazione Kerberos dopo l'aggiornamento a Internet Explorer 6
  • Se Ŕ in protezione avanzata di Internet Explorer attivato in Add/Remove Programs, Ŕ necessario aggiungere un sito che utilizza la delega per ilSiti attendibili elenco. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito Per visualizzare l'articolo della Microsoft Knowledge Base:
    815141Protezione avanzata di Internet Explorer cambia l'esperienza di esplorazione

IIS 5.0 e IIS 6.0

Dopo l'aggiornamento da IIS 4.0 per IIS 5.0 o IIS 6.0, delega potrebbe non funzionare correttamente, o eventualmente un utente o un'applicazione ha modificato la proprietÓ della metabase NTAuthenticationProviders. Per ulteriori informazioni su come risolvere questo problema, scegliere il numero di articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
248350L'autenticazione Kerberos non riesce dopo l'aggiornamento da IIS 4.0 a IIS 5.0

Un'area particolare del problema pu˛ verificarsi quando si imposta il nome SPN

Determinare il nome del server

Determinare se ci si connette al sito Web utilizzando il effettivo nome NetBIOS del server oppure utilizzando un nome alias, ad esempio un nome DNS (ad esempio, www.microsoft.com). Se si accede utilizzando il server Web un nome diverso dal nome effettivo del server, un nuovo nome dell'entitÓ servizio (SPN) sono stati registrati utilizzando lo strumento Setspn da Windows 2000 Server Resource Kit. PoichÚ il servizio directory Active Directory conoscere il nome del servizio, il servizio di concessione ticket (TGS) non fornisce un ticket di autenticazione dell'utente. Questo comportamento impone al client di utilizzare il successivo metodo autenticazione disponibili, ovvero NTLM per rinegoziare. Se il Web server risponde a un nome DNS di www.microsoft.com, ma il server Ŕ denominato webserver1.development.microsoft.com, Ŕ necessario registrare www.microsoft.com in Active Directory sul server che esegue IIS in esecuzione. A tale scopo, Ŕ necessario scaricare lo strumento Setspn e installarlo nel server che esegue IIS.

Se si utilizza Windows Server 2003 e IIS 6, lo strumento Setspn per Microsoft Windows Server 2003 Ŕ disponibile dal seguente percorso:
http://support.microsoft.com/kb/970536
Per determinare se ci si connette utilizzando il nome effettivo Provare a connettersi al server utilizzando il nome effettivo del server invece di il nome DNS. Se Ŕ possibile connettersi al server, vedere "verifica del computer sezione Ŕ trusted per delega".

Se Ŕ possibile connettersi al server, attenersi alla seguente procedura per impostare un SPN per il nome DNS che sta utilizzando per la connessione per il server:
  1. Installare lo strumento Setspn.
  2. Sul server che esegue IIS, aprire un prompt dei comandi, quindi Aprire la cartella C:\Program c:\Programmi\Resource Kit.
  3. Eseguire il comando seguente per aggiungere questo nuovo SPN (www.microsoft.com) in Active Directory per il server:
    Setspn - A HTTP/www.microsoft.com WebServer1
    Nota. In questo comando, WebServer1 rappresenta il nome NetBIOS del server.
Viene visualizzato un output simile al seguente:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Per visualizzare un elenco di SPN sul server per visualizzare il nuovo valore digitare il comando seguente sul server che esegue IIS:
Setspn -L NomeServerWeb
Nota non Ŕ necessario registrare tutti i servizi. Numero di assistenza tipi, ad esempio HTTP, W3SVC, WWW, RPC, CIFS (accesso ai file), WINS, e gruppo di continuitÓ (UPS), verrÓ eseguito il mapping a un tipo di servizio predefinito Ŕ il nome HOST. Ad esempio, se il software client utilizza un SPN HTTP/webserver1.microsoft.com per creare una connessione HTTP al server Web su il server di webserver1.microsoft.com, ma questo SPN non Ŕ registrato nel il controller di dominio Windows 2000 verrÓ automaticamente associato il connessione a HOST/webserver1.microsoft.com. Questo mapping si applica solo se il Servizio Web Ŕ in esecuzione con l'account sistema locale.

Verificare che il computer Ŕ trusted per delega

Se il server che esegue IIS Ŕ un membro del dominio ma non Ŕ un controller di dominio, il computer deve essere attendibile per la delega per Kerberos funzionano correttamente. A tale scopo, attenersi alla seguente procedura:
  1. Sul controller di dominio, fare clic su Inizio, Scegliere Impostazioni, quindi fare clic su Controllo Pannello.
  2. Nel Pannello di controllo aprire Amministrazione Strumenti.
  3. Fare doppio clic su Gli utenti di Active Directory e Computer.
  4. In un dominio, fare clic su Computer.
  5. Nell'elenco, individuare il server che esegue IIS, il pulsante destro del mouse il nome del server e quindi fare clic su ProprietÓ.
  6. Scegliere il Generale scheda, selezionare ilTrusted per delega casella di controllo e quindi fare clic suOK.
Si noti che se pi¨ siti Web vengono raggiunti tramite lo stesso URL, ma su porte diverse, delega non funzionerÓ. Per ottenere questo risultato, Ŕ necessario utilizzare i nomi di host diversi e SPN diverso. Quando Internet Explorer richiede uno http://www.SitoWeb. com o http://www.SitoWebCOM: 81, Internet Explorer richiede un ticket per HTTP/www.mywebsite.com SPN. Non aggiungere Internet Explorer la porta o la directory virtuale per la richiesta SPN. Questo comportamento Ŕ lo stesso per http://www.SitoWeb. com/app1 o http://www.SitoWeb. com/app2. In questo scenario, Internet Explorer richiederÓ un ticket per SPN http://www.SitoWeb. com dalla chiave distribuzione Center (KDC). Ogni SPN pu˛ essere dichiarata solo per un'identitÓ. Pertanto, Ŕ inoltre ricevono un messaggio di errore KRB_DUPLICATE_SPN quando si tenta di dichiarare questo SPN per ciascuna identitÓ.

Microsoft ASP.NET e la delega

Per ulteriori informazioni su la configurazione per la delega delle credenziali quando si utilizza un ASP.NET applicazione, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo nel Microsoft Knowledge Base:
810572Come configurare un'applicazione ASP.NET per uno scenario di delega
La rappresentazione e delega sono due metodi per un Server per l'autenticazione per conto del client. Decidere quale di questi metodi da utilizzare e la relativa implementazione pu˛ creare confusione. ╚ necessario la differenza tra questi due metodi di rivedere ed esaminare quali dei seguenti metodi che Ŕ possibile utilizzano per l'applicazione. Il mio consiglio Ŕ costituita da leggere il seguente white paper per ulteriori informazioni:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Riferimenti

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server richiede le credenziali di utente di dominio
262177 Come attivare la registrazione eventi Kerberos
326985 Come risolvere i problemi relativi a Kerberos in IIS
842861 Trasmissione WebCast del supporto tecnico TechNet: Risoluzione dei problemi di autenticazione Kerberos con secure Web applications e Microsoft SQL Server
Come sempre, non esitate a inviare idee sugli argomenti Ŕ desidera presentate negli articoli futuri o nella Knowledge Base utilizzando il Richiedi Esso modulo.

ProprietÓ

Identificativo articolo: 907272 - Ultima modifica: giovedý 30 maggio 2013 - Revisione: 6.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 6.0
Chiavi:á
kbiis kbhowto kbasp kbmt KB907272 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 907272
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com