Kerberos 認証と委任の問題のトラブルシューティング

文書翻訳 文書翻訳
文書番号: 907272 - 対象製品
IIS 開発者サポート音声列

Kerberos 認証と委任の問題のトラブルシューティング

この列には、お客様のニーズをカスタマイズするのとを参照してください興味のあるトピックに関するアイデアを今後のサポート技術情報の記事やサポート音声列に招待します。アイデアおよびフィードバックを使用して送信することができます、 要求します。 フォームです。また、この列の下部にあるフォームへのリンクです。
すべて展開する | すべて折りたたむ

目次

マーティン ・ スミスと申し、私はマイクロソフトのマイクロソフトインターネット インフォメーション サービス (IIS) の重要な問題の解決のグループです。私はあります。Microsoft では 9 年間されて、IIS 製品チームのすべての 9 年間されています。私は複数の場所からの情報をコンパイルしました。 http://msdn.microsoft.comhttp://www.microsoft.com Kerberos に関する方法委任の問題のトラブルシューティングを行います。

IIS 6.0

次のホワイト ペーパーでの委任を設定する方法について説明しますMicrosoft Windows Server 2003。特定の情報をホワイト ペーパーをしましたネットワーク負荷分散 (NLB) の設定方法についての詳細を優れたいますがNLB を使用しても委任シナリオ。このホワイト ペーパーを参照するのを参照してください、次のマイクロソフト Web サイト:
http://technet.microsoft.com/en-us/library/cc757299.aspx
メモ 特に、使用すると HTTP サービス プリンシパル名 (Spn) を使用します。NLB。

もう 1 つの人気のある Kerberos の問題最近の必要性をされています。複数のアプリケーション プールを同じ DNS 名を使用することができます。残念なことに、Kerberos を使用して資格情報を委任するときは、同じサービスをバインドできません。プリンシパル名 (SPN) を別のアプリケーション プール。このため行うことはできません。Kerberos のデザインをします。Kerberos プロトコルに複数の共有する必要があります。機密情報が正常に機能するのには、プロトコル。同じ SPN を使用してさまざまなアプリケーション プールは、私たちこれら共有シークレットの 1 つ取り除きます。アクティブなディレクトリのディレクトリ サービスが Kerberos のこの構成をサポートしませんセキュリティ上の問題のためのプロトコル。

これに Spn を構成します。方法で失敗する Kerberos 認証が発生します。これを回避します。問題は、プロトコル遷移を使用することです。最初の認証クライアントとサーバーを実行している IIS 間を使用して処理する、NTLM 認証プロトコルです。Kerberos の認証を処理を行うIIS し、バックエンドのリソース サーバーを使用します。

Microsoft Internet Explorer 6 またはそれ以降

クライアントのブラウザー受信などの問題が発生する可能性があります。繰り返しログオン資格情報を「401 アクセスが拒否されました」のエラー メッセージ メッセージが表示されます。IIS を実行しているサーバーから。可能性があります、次の 2 つの問題を発見しましたこれらの問題の解決に役立ちます。
  • 確認します。 Windows 統合を有効にします。認証 ブラウザーのプロパティを選択します。 詳細については、次の資料番号をクリックしてください。マイクロソフトのサポート技術情報の資料を参照するのには。
    299838Internet Explorer 6 にアップグレードした後の Kerberos 認証をネゴシエートすることができません。
  • Internet Explorer セキュリティ強化の構成である場合プログラムの追加と削除が有効になってへの委任を使用するサイトを追加する必要があります、信頼済みサイト リストです。 詳細については、次の資料番号をクリックしてください。マイクロソフトのサポート技術情報の資料を参照するのには。
    815141ブラウズのエクスペリエンスの Internet Explorer セキュリティ強化の構成の変更します。

IIS 5.0 および IIS 6.0

IIS 4.0 から IIS 5.0 または IIS 6.0 は、委任にアップグレードすると正しく、または場合によっては機能しないことが誰か、またはアプリケーションに変更があります。NTAuthenticationProviders メタベース プロパティです。 この問題を解決する方法の詳細についてをクリックして、マイクロソフト サポート技術情報の資料を参照する次の資料番号:
248350IIS 4.0 から IIS 5.0 にアップグレードした後の Kerberos 認証が失敗します。

問題の特定の領域の SPN を設定する場合に発生する可能性

サーバ名を判別します。

使用して、Web サイトに接続しているかどうかを確認します。実際の NetBIOS 名のサーバーまたはエイリアス名、DNS 名などを使用して(たとえば、www.microsoft.com)。使用して、Web サーバーにアクセスする場合新しいサービス プリンシパル名は、サーバーの実際の名前以外の名前(SPN)、Setspn ツールを Windows 2000 を使用して登録されている必要があります。サーバー リソース キットです。Active Directory のディレクトリ サービスをされていないためこのサービスの名前、チケット保証サービス (TGS) は提供しません、ユーザーの認証チケット。この現象を使用して、クライアントする必要が再交渉する NTLM は次の利用可能な認証方法。場合は、Webwww.microsoft.com の DNS 名にサーバーが応答していませんが、webserver1.development.microsoft.com という名前のサーバーで、登録する必要があります。Active Directory で www.microsoft.com で IIS を実行して実行しているサーバー。これを行うには、Setspn ツールをダウンロードし、IIS を実行しているサーバーにインストールする必要があります。

Windows Server 2003 と IIS 6.0 を使用している場合は、Setspn ツールを Microsoft Windows Server 2003 は、次の場所から入手できます。
http://support.microsoft.com/kb/970536
実際の名前を使用して接続しているかどうかを確認するのには実際のではなくサーバーの名前を使用して、サーバーに接続しようとしてください。DNS 名。サーバーに接続できない場合は、"確認するコンピューターを参照してください。委任に対して信頼されている"セクション。

サーバーに接続することができる場合は、接続に使用する DNS 名に SPN を設定するのには、次の手順を実行します。サーバーにします。
  1. Setspn ツールをインストールします。
  2. IIS を実行しているサーバーで、コマンド プロンプトを開くし、C:\Program Files\Resource キットのフォルダーを開きます。
  3. この新しい SPN を追加するのには、次のコマンドを実行します。(www.microsoft.com)、Active directory サーバー。
    Setspn-HTTP/www.microsoft.com webserver1
    メモ このコマンドで、 webserver1 表しますサーバーの NetBIOS 名前。
次のような出力が表示されます。
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
この新しい値を表示するのには、サーバーでの Spn の一覧を表示するのにはIIS を実行しているサーバーで、次のコマンドを入力します。
Setspn -L-s:web
すべてのサービスを登録する必要はありません注意してください。多くのサービス型は、HTTP、W3SVC、WWW、RPC、CIFS (ファイルアクセス)、WINS などと無停電電源装置 (UPS) をされます、既定のサービスの種類にマップします。ホストの名前。SPN のクライアント ソフトウェアを使用する場合の例については、Web サーバーへの HTTP 接続を作成するのには、HTTP/webserver1.microsoft.comwebserver1.microsoft.com サーバーは、この SPN が登録されていませんが、サーバーは、Windows 2000 ドメイン コント ローラーするマップが自動的に、HOST/webserver1.microsoft.com に接続します。このマッピングが適用される場合にのみ、Web サービスがローカル システム アカウントで実行しています。

コンピューターが委任に対して信頼されていることを確認します。

IIS を実行しているサーバーがドメインのメンバーがないかどうかは、ドメイン コント ローラーをコンピューターに Kerberos の委任に対して信頼されているにする必要があります。正常に動作します。これを行うには、次の手順を実行します。
  1. ドメイン コント ローラーをクリックしてください。 スタート,ポイントします。 設定プロパティ コントロールパネル.
  2. コントロール パネルの [を開く 管理者用ツール.
  3. ダブルクリックします。 Active Directory のユーザーとコンピューター.
  4. 自分のドメイン] をクリックしてください。 コンピューター.
  5. ボックスの一覧で、IIS を実行しているサーバーを検索、右クリックして、サーバー名、およびクリック プロパティ.
  6. クリックして、 一般的な タブの [をオンにし、委任に対して信頼されています。 チェック ボックスをオンにしをクリックしてください].
複数の Web サイトで同一の URL に到達した場合は、注意してくださいが別のポートでは、委任は機能しません。この作業を行うには、使用する必要があります。別のホスト名と異なる Spn。Internet Explorer は要求するとhttp://www。mywebsite.com、またはhttp://www。mywebsite.com:81、Internet Explorer のSPN の HTTP/www.mywebsite.com のチケットを要求します。Internet Explorer に追加されません。ポートまたは SPN の要求の仮想ディレクトリを使用します。この動作は同じです。http://www。mywebsite.com/app1 またはhttp://www。mywebsite.com と app2。このシナリオでは、Internet Explorer が SPN のチケットを要求しますhttp://www。mywebsite.com の鍵の配布からCenter (KDC) します。それぞれの SPN は、1 つの id に対してのみ宣言できます。そのためには、これを宣言する場合にも、KRB_DUPLICATE_SPN のエラー メッセージを受け取りますSPN の各 id。

委任および Microsoft ASP.NET

詳細については構成は ASP.NET を使用する場合の資格情報を委任します。アプリケーションは、次の資料を参照して文書番号をクリックして、マイクロソフト サポート技術情報:
810572委任のシナリオで ASP.NET アプリケーションを構成する方法
偽装と委任は 2 つの方法は、クライアントの代わりに認証するサーバーです。これらのどれかを決定します。使用するメソッドおよびその実装によって混乱が生じることができます。使用する必要があります。これら 2 つのメソッド間の違いを確認し、次のうち調査方法することがありますアプリケーションを使用します。私の勧告をすることです。次のホワイト ペーパーを参照してください。
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

関連情報

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server をドメイン ユーザーの資格情報プロンプトします。
262177 Kerberos イベントのログ出力を有効にする方法
326985 IIS における Kerberos 関連の問題のトラブルシューティング方法
842861 TechNet のサポート ウェブ キャスト: セキュリティで保護された Web アプリケーションと Microsoft SQL Server で Kerberos 認証のトラブルシューティング
常にトピックに関するアイデアを送信するのには気軽に今後のコラムでまたはを使用して、サポート技術情報に対応する、 問い合わせてください。これ フォームです。

プロパティ

文書番号: 907272 - 最終更新日: 2013年5月30日 - リビジョン: 8.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
キーワード:?
kbiis kbhowto kbasp kbmt KB907272 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:907272
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com