Kerberos 인증과 위임 문제 해결

기술 자료 번역 기술 자료 번역
기술 자료: 907272 - 이 문서가 적용되는 제품 보기.
IIS 개발자 Support Voice 칼럼

Kerberos 인증과 위임 문제 해결

이 열에 맞게를 사용자 지정 하려면 보려는 문제 관심 있는 주제에 대 한 아이디어를 향후 기술 자료 문서 및 Support Voice 칼럼 다루었으면 하는 초대 하려면. 사용자 의견 및 피드백을 사용 하 여 제출할 수 있는 요청 양식입니다. 이 열의 맨 아래에 폼에 대 한 링크가 있습니다.
모두 확대 | 모두 축소

이 페이지에서

내 이름 Martin Smith 이며 Microsoft가 Microsoft와 내가 인터넷 정보 서비스 (IIS) 문제 해결 중요 한 그룹입니다. 용량은 Microsoft에 9 년간 되었습니다 및 IIS 팀과 모든 9 년간 왔습니다. 여러 위치에서 정보를 컴파일 했을 http://msdn.microsoft.com 하 고 http://www.microsoft.com Kerberos에 대 한 및 방법 위임 문제를 해결 합니다.

IIS 6.0

다음 백서에서 위임을 설정 하는 방법에 설명 Microsoft Windows Server 2003입니다. 흰색 용지의 특정 정보에 대 한이 네트워크 로드 균형 조정 (NLB)는 하지만 설정 하는 방법에 대 한 훌륭한 세부 포함 됩니다. NLB를 사용 하지 않고 위임 된 시나리오입니다. 이 백서를 보려면 다음을 방문 하면 다음 Microsoft 웹 사이트:
http://technet.microsoft.com/en-us/library/cc757299.aspx
참고 특히 사용 하는 경우 HTTP 서비스 사용자 이름 (Spn)을 사용 합니다. NLB입니다.

또 다른 일반적인 Kerberos 문제가 최근에 필요성을 되 동일한 DNS 이름을 사용 하는 여러 응용 프로그램 풀에 있습니다. 불행 하 게도 Kerberos를 사용 하 여 자격 증명을 위임 하는 경우에 동일한 서비스를 바인딩할 수 없습니다. 주체 이름 (SPN) 다른 응용 프로그램 풀에. 때문에 이렇게 수 없습니다. Kerberos 설계입니다. Kerberos 프로토콜을 공유 하는 여러 필요 제대로 작동 하는 프로토콜에 대 한 비밀입니다. 에 대 한 동일한 SPN 사용 하 여 다른 응용 프로그램 풀, 우리가 이러한 공유 비밀을 중 하나 제거합니다. 활성 이 Kerberos이 구성 디렉터리 디렉터리 서비스를 지원 하지 않습니다. 프로토콜 보안 문제 때문입니다.

이 Spn을 구성 방식으로 실패 하는 Kerberos 인증이 됩니다. 이 대 한 가능한 해결 방법 문제가 프로토콜 전환 사용할 수 있습니다. 초기 인증 사용 하 여 클라이언트와 서버 IIS 실행 간의 처리 될 수 있는 NTLM 인증 프로토콜입니다. Kerberos 인증 간에 처리 합니다. IIS 및 백 엔드 서버 리소스입니다.

Microsoft Internet Explorer 6 이상

클라이언트 브라우저가 받는 등의 문제가 발생할 수 있습니다. 반복 된 로그온 자격 증명 또는 "401 액세스 거부" 오류 메시지에 대 한 묻는 메시지가 나타납니다. 서버에서 IIS를 실행합니다. 우리가 수는 다음과 같은 두 가지 문제를 발견 했습니다. 이 문제를 해결 하는 데 도움이:
  • 확인 Windows 통합된 사용 인증 브라우저의 속성을 선택 합니다. 자세한 내용은 다음 문서를 참조를 클릭 합니다. Microsoft 기술 자료의 문서를 보려면:
    299838Internet Explorer 6으로 업그레이드 한 후 Kerberos 인증을 협상할 수 없습니다.
  • Internet Explorer 보안 강화 구성 인 경우 위임을 사용 하는 사이트 추가 해야 프로그램 추가/제거에서 사용할 수 있는신뢰할 수 있는 사이트 목록입니다. 자세한 내용은 다음 문서를 참조를 클릭 합니다. Microsoft 기술 자료의 문서를 보려면:
    815141Internet Explorer 보안 강화 구성을 검색 환경을 변경합니다

IIS 5.0 및 IIS 6.0

IIS 4.0에서 IIS 5.0 또는 IIS 6.0에서 위임에 업그레이드 한 후 또는 제대로 작동 하지 않거나 다른 사용자 또는 응용 프로그램 수정 NTAuthenticationProviders 메타 베이스 속성입니다. 이 문제를 해결 하는 방법에 대 한 자세한 내용은 클릭 하 여 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
248350IIS 4.0에서 IIS 5.0으로 업그레이드 한 후에 Kerberos 인증 실패

SPN을 설정 하는 경우 특정 영역을 하는 데 문제가 발생할 수 있습니다.

서버 이름을 확인 합니다.

사용 하 여 웹 사이트에 연결 된 여부를 확인 하면 서버 또는 DNS 이름에 별칭 이름을 사용 하 여 실제 NetBIOS 이름 (예: www.microsoft.com)입니다. 사용 하 여 웹 서버에 액세스 하는 경우 새 서비스 사용자 이름을 서버의 실제 이름이 아닌 다른 이름 (SPN) Windows 2000에서 Setspn 도구를 사용 하 여 등록 되어 있어야 서버 리소스 키트입니다. Active Directory 디렉터리 서비스를 하지 않기 때문에 이 서비스 이름을 알고 티켓 부여 서비스 (TGS) 주지 않는 한 사용자를 인증 하는 티켓입니다. 이 문제를 사용 하도록 클라이언트를 강제로 NTLM 재협상을 다음 사용 가능한 인증 메서드를. 경우 웹 www.microsoft.com의 DNS 이름에 서버가 응답 하지만 서버 webserver1.development.microsoft.com 이라고, 등록 해야 IIS를 실행 하 여 실행 되는 서버의 Active Directory에서 www.microsoft.com. 이 위해서는 Setspn 도구를 다운로드 하 고 IIS를 실행 하는 서버에 설치 해야 합니다.

Setspn 도구를 Microsoft Windows Server 2003은 Windows Server 2003과 IIS 6을 사용 하는 경우 다음 위치에서 사용할 수 있습니다.
http://support.microsoft.com/kb/970536
실제 이름을 사용 하 여 연결 중인 여부를 확인 하려면 대신 서버의 실제 이름을 사용 하 여 서버에 연결 하려고 합니다. DNS 이름입니다. 서버에 연결할 수 있으면 "확인 하는 컴퓨터를 참조 하십시오. 위임에 트러스트 되었습니다"섹션입니다.

서버에 연결할 수 있으면 연결 하는 데 사용 하는 DNS 이름에 대 한 SPN을 설정 하려면 다음이 단계를 수행 하십시오. 서버에.
  1. Setspn 도구를 설치 합니다.
  2. IIS를 실행 하는 서버에서 명령 프롬프트를 열고 다음 C:\Program Files\Resource 키트 폴더를 엽니다.
  3. 이 새 SPN을 추가 하려면 다음 명령을 실행 합니다. (www.microsoft.com) Active directory 서버:
    Setspn-HTTP/www.microsoft.com webserver1
    참고 이 명령에서 webserver1 나타냅니다. 서버의 NetBIOS 이름입니다.
사용자는 다음과 유사한 출력이 나타납니다.
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
이 새 값을 확인 하려면 서버에 Spn 목록을 보려면 IIS를 실행 하는 서버에서 다음과 같이 입력 합니다.
Setspn-L webservername
참고 모든 서비스를 등록할 필요가 없습니다. 많은 서비스 HTTP, W3SVC, WWW, RPC, CIFS (파일 액세스), WINS, 등의 종류 및 무정전 전원 공급 장치 (UPS) 된 기본 서비스 형식에 매핑할 합니다. 호스트 이름을 지정합니다. 예를 들어, SPN의 클라이언트 소프트웨어를 사용 하 여 HTTP/webserver1.microsoft.com는 웹 서버에 HTTP 연결을 만들려면 webserver1.microsoft.com 서버에 있지만이 SPN이 등록 되지 않았습니다에 서버를 Windows 2000 도메인 컨트롤러는 자동으로 지도 HOST/webserver1.microsoft.com에 연결 합니다. 이 매핑 경우에 적용 되는 웹 서비스는 로컬 시스템 계정으로 실행 중입니다.

컴퓨터가 위임용으로 트러스트 되었는지 확인

IIS를 실행 하는이 서버는 도메인의 구성원 이지만 아닌 경우는 도메인 컨트롤러에 Kerberos 위임에 대 한 신뢰할 수 있는 컴퓨터 여야 합니다. 제대로 작동 합니다. 이렇게 하려면, 다음과 같이 하십시오.
  1. 도메인 컨트롤러를 클릭 합니다. 시작, 가리키는 설정를 클릭 하 고 다음을 클릭 컨트롤 패널.
  2. 제어판에서 열기 관리 도구.
  3. 두 번 클릭 Active Directory 사용자 및 컴퓨터.
  4. 아래 도메인을 클릭 합니다. 컴퓨터.
  5. 목록에서 IIS를 실행 하는 서버를 이동 하 고, 마우스 오른쪽 단추로 클릭 하면 서버 이름을 클릭 하 고 속성.
  6. 클릭 하 여 일반 탭을 선택 하 여위임용으로 트러스트 확인란을 선택한 다음 클릭확인.
동일한 URL에서 여러 웹 사이트에 도달 하는 경우만 다른 포트에서 위임이 작동 하지 않습니다. 이 작업을 하려면 반드시 다른 호스트 이름이 다른 Spn 고 Internet Explorer 요청할 때 http://www입니다.: mywebsite.com 또는 http://www입니다.: mywebsite.com:81, Internet Explorer SPN HTTP/www.mywebsite.com에 대 한 티켓을 요청합니다. Internet Explorer 추가 되지 않습니다. 포트나 가상 디렉터리에 SPN 요청 합니다. 이 문제에 대해 동일 http://www입니다.: mywebsite.com/app1 또는 http://www입니다.: mywebsite.com/app2입니다. 이 시나리오에서는 Internet Explorer의 SPN에 대 한 티켓을 요청 합니다. http://www입니다.: mywebsite.com 키 분배 센터 (KDC)입니다. 각 SPN은 하나의 id만 선언할 수 있습니다. 따라서 사용자 이 선언 하려고 하면 KRB_DUPLICATE_SPN 오류 메시지가 또한 받게 됩니다. 각 id에 대 한 SPN입니다.

위임 및 Microsoft ASP.NET

에 대 한 자세한 내용은 구성에서 ASP.NET을 사용할 때 자격 증명 위임에 대 한 응용 프로그램에서 해당 문서를 보려면 다음 문서를 참조 하면 Microsoft 기술 자료에서:
810572ASP.NET 응용 프로그램에 대 한 위임 시나리오를 구성 하는 방법
가장 및 위임 되는 두 가지 방법이 있는 클라이언트를 대신 하 여 인증 하는 서버입니다. 다음 중 결정 사용 하는 메서드 및 구현을 혼동을 일으킬 수 있습니다. 해야 합니다. 이 두 메서드 간의 차이 검토 하 고 중 검사 응용 프로그램에 사용 하는 메서드를 사용할 수 있습니다. 내 권장 하는 것 자세한 내용은 다음 백서를 참조 하십시오.
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

참조

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server 도메인 사용자를 자격 증명을 묻는 메시지가 나타납니다.
262177 Kerberos 이벤트 로깅을 사용 하는 방법
326985 IIS에서 Kerberos 관련 문제를 해결 하는 방법
842861 TechNet 웹캐스트: 안전한 웹 응용 프로그램에서 Microsoft SQL Server Kerberos 인증 문제 해결
항상 주제에 대 한 의견을 자유롭게 하면 향후 열 또는 기술 자료를 사용 하 여 해당 주소를 가진 원하는 에 대 한 문의 이 양식입니다.

속성

기술 자료: 907272 - 마지막 검토: 2013년 5월 30일 목요일 - 수정: 6.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 6.0
키워드:?
kbiis kbhowto kbasp kbmt KB907272 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:907272

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com