Kerberos-verificatie en het oplossen van problemen met overdracht

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 907272 - Bekijk de producten waarop dit artikel van toepassing is.
IIS Developer Support Voice kolom

Kerberos-verificatie en het oplossen van problemen met overdracht

Deze kolom aan uw behoeften aanpassen, willen we nodigen u uit uw ideeën over onderwerpen die interessant zijn voor u en problemen die u wilt zien in toekomstige gericht Knowledge Base-artikelen en ondersteuning voor Voice kolommen indienen. Indienen van uw ideeën en feedback met behulp van de Vragen om met dit formulier. Er is ook een koppeling naar het formulier onderaan in deze kolom.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Mijn naam is Martin Smith en ik ben met Microsoft Microsoft Internet Information Services (IIS)-groep voor kritieke problemen op te lossen. Ik heb zijn met Microsoft negen jaar en alle negen jaar zijn geweest met het team van IIS. Ik hebt gegevens uit meerdere vestigingen samengesteld op http://msdn.Microsoft.com en http://www.Microsoft.com over Kerberos en hoe problemen met overdracht.

IIS 6.0

Het volgende artikel wordt beschreven hoe om overdracht in te stellen Microsoft Windows Server 2003. Het witboek heeft specifieke gegevens voor Maar bevat uitstekende details over het instellen van Network Load Balancing (NLB) een gedelegeerde scenario zonder het gebruik van Netwerktaakverdeling. U vindt dit artikel op de volgende Microsoft-website:
http://technet.Microsoft.com/en-us/library/cc757299.aspx
Opmerking Gebruik HTTP Service Principal Names (SPN's), vooral wanneer u BEHEER VAN NETWERKTAAKVERDELING.

Een andere populaire Kerberos probleem onlangs is de noodzaak van kunnen meerdere groepen van toepassingen dezelfde DNS-naam te gebruiken. Helaas Als u Kerberos gebruikt voor het delegeren van referenties, kan niet u dezelfde Service binden Principal Name (SPN) aan andere groepen van toepassingen. Dit is niet omdat het ontwerp van Kerberos. Het Kerberos-protocol is vereist voor meerdere gedeelde geheimen voor het protocol correct te laten werken. Met behulp van de dezelfde SPN voor verschillende groepen van toepassingen, moet we niet een van deze gedeelde geheimen. De actieve Directory directory-service biedt geen ondersteuning voor deze configuratie van de Kerberos protocol vanwege het beveiligingsprobleem.

De SPN's configuratie in deze wijze wordt Kerberos-verificatie. Een mogelijke oplossing voor dit probleem zou zijn te gebruiken protocol overstappen. De eerste verificatie tussen de client en de Server waarop IIS zou worden verwerkt met behulp van de NTLM-verificatieprotocol. Kerberos zou-verificatie tussen de verwerken IIS en de backend-bronserver.

Microsoft Internet Explorer 6 of hoger

Browser van de client kan zich problemen voordoen, zoals ontvangst herhaalde aanmelding wordt gevraagd om referenties of '401 Toegang geweigerd'-foutberichten vanaf de server waarop IIS wordt uitgevoerd. We hebben de volgende twee problemen die gevonden u kunt deze problemen oplossen door:
  • Controleer Geïntegreerde Windows inschakelen Verificatie in het venster van de browser is geselecteerd. Klik op het volgende artikelnummer voor meer informatie. op het volgende artikelnummer in de Microsoft Knowledge Base:
    299838Kan geen Kerberos-verificatie na een upgrade naar Internet Explorer 6
  • Als Verbeterde beveiliging van Internet Explorer in programma's toevoegen/verwijderen is ingeschakeld, moet u een site met overdracht als u wilt toevoegen deVertrouwde sites lijst. Klik op het volgende artikelnummer voor meer informatie. op het volgende artikelnummer in de Microsoft Knowledge Base:
    815141Verbeterde beveiliging van Internet Explorer verandert de browser

IIS 5.0 en IIS 6.0

Nadat u een upgrade uitvoert van IIS 4.0 naar IIS 5.0 of IIS 6.0, overdracht werkt niet goed, of misschien iemand of een toepassing heeft gewijzigd. de metabase-eigenschap NTAuthenticationProviders. Voor meer informatie over het oplossen van dit probleem, klikt u op de volgende artikelnummer in de Microsoft Knowledge Base:
248350Kerberos-verificatie mislukt nadat u een upgrade uitvoert van IIS 4.0 naar IIS 5.0

Een bepaald gebied van problemen kan optreden wanneer u de SPN instellen

Naam van de server bepalen

Bepalen of u verbinding maakt met de website met behulp van de werkelijke NetBIOS-naam van de server of door de naam van een alias, zoals een DNS-naam (bijvoorbeeld www.microsoft.com). Als u de webserver benaderen met behulp van wilt een andere naam dan de werkelijke naam van de server, een nieuwe Service Principal-naam (SPN) moet worden geregistreerd met behulp van het hulpprogramma Setspn uit de Windows 2000 Server resourcekit. Omdat de Active Directory-service niet Deze naam, te weten de ticket-granting service (TGS) kunt u een ticket voor de verificatie van de gebruiker. Dit probleem zorgt ervoor dat de client het volgende beschikbare verificatiemethode, NTLM, te onderhandelen. Als het Web server reageert op een DNS-naam van www.microsoft.com, maar de server met de naam webserver1.development.microsoft.com, moet u registreren www.Microsoft.com in Active Directory op de server waarop IIS wordt uitgevoerd. Ga als volgt te werk voor: u moet het hulpprogramma Setspn downloaden en installeren op de server waarop IIS wordt uitgevoerd.

Als u Windows Server 2003 en IIS 6 gebruikt, is het hulpprogramma Setspn voor Microsoft Windows Server 2003 is beschikbaar vanaf de volgende locatie:
http://support.Microsoft.com/kb/970536
Om te bepalen of u verbinding maakt met behulp van de werkelijke naam Maak verbinding met de server met behulp van de werkelijke naam van de server in plaats van de DNS-naam. Als u geen verbinding met de server, raadpleegt u de "controleren de computer de sectie wordt vertrouwd voor overdracht'.

Als u verbinding met de server maken kunt als volgt te werk om in te stellen een SPN-naam voor de DNS-naam die u gebruikt om verbinding te maken met de server:
  1. Installeer het hulpprogramma Setspn.
  2. Open een opdrachtprompt op de server waarop IIS wordt uitgevoerd, en vervolgens Open de map C:\Program Files\Resource Kit.
  3. Voer de volgende opdracht om deze nieuwe SPN toevoegen (www.microsoft.com) naar Active Directory voor de server:
    Setspn - A HTTP/www.microsoft.com webserver1
    Opmerking In deze opdracht webserver1 Hiermee geeft u de NetBIOS-naam van de server.
Wordt weergegeven met de volgende strekking:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Een overzicht van SPN's weergeven op de server om te zien deze nieuwe waarde Typ de volgende opdracht op de server waarop IIS wordt uitgevoerd:
Setspn -L webservernaam
Houd er rekening mee dat u niet hoeft te registreren alle services. Veel service typen, zoals HTTP, W3SVC, WWW, RPC, CIFS (bestandstoegang), WINS, en noodvoeding (UPS) wordt toegewezen aan een standaard service-type dat is met de naam HOST. Als de client-software maakt gebruik van een SPN-naam van bijvoorbeeld HTTP/webserver1.microsoft.com voor het maken van een HTTP-verbinding met de webserver op de server webserver1.microsoft.com, maar deze SPN is niet geregistreerd op de Server, Windows 2000-domeincontroller wordt automatisch toegewezen de verbinding met HOST/webserver1.microsoft.com. Deze koppeling geldt alleen als de Web-service wordt uitgevoerd onder de lokale systeemaccount.

Controleer of de computer vertrouwd voor overdracht

Als deze server waarop IIS wordt uitgevoerd lid van het domein is, maar niet is een domeincontroller, de computer moet worden vertrouwd voor overdracht voor Kerberos goed werken. Voer de volgende stappen uit:
  1. Klik op de domeincontroller Start, Wijs Instellingen, en klik vervolgens op Besturingselement Deelvenster.
  2. Klik in het Configuratiescherm openen Administratieve Hulpprogramma 's.
  3. Dubbelklik op Active Directory-gebruikers en Computers.
  4. Onder uw domein, klikt u op Computers.
  5. Zoek in de lijst, de server waarop IIS wordt uitgevoerd, met de rechtermuisknop op de naam van de server en klik vervolgens op Eigenschappen.
  6. Klik op de Algemeen tabblad, klik op deVertrouwd voor overdracht het selectievakje en klik vervolgens opOK.
Als meerdere websites dezelfde URL zijn bereikt, maar de delegatie zal niet werken op verschillende poorten. Als u dit werk, moet u verschillende hostnamen en andere SPN's. Wanneer Internet Explorer vraagt een http://www.mijnwebsite.com of http://www.mijnwebsite.com:81, Internet Explorer vraagt een ticket voor de SPN HTTP/www.mywebsite.com. Internet Explorer toevoegen niet de poort of het vdir op het verzoek van de SPN. Dit probleem is hetzelfde voor http://www.mijnwebsite.com/1 of http://www.mijnwebsite.com/2. In dit scenario Internet Explorer vraagt een ticket voor SPN http://www.mijnwebsite.com van de distributie Center (KDC). De SPN kan alleen voor één identiteit worden gedeclareerd. Daarom u zou ook een KRB_DUPLICATE_SPN-foutbericht ontvangen als u probeert dit declareren De SPN voor elke identiteit.

Delegatie en Microsoft ASP.NET

Voor meer informatie over de configuratie voor het delegeren van referenties wanneer u een ASP.NET toepassing, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
810572Het configureren van een ASP.NET-toepassing voor het delegeren van taken
Imitatie en overdracht zijn twee methoden voor een server namens de client geverifieerd. Beslissen welk van deze methoden en hun implementatie kunnen soms tot verwarring leiden. U moet het verschil tussen deze twee methoden bekijken en onderzoeken welke van de volgende methoden die u kunt gebruiken voor uw toepassing. Mijn aanbeveling zou zijn om te Lees het volgende artikel voor meer informatie:
http://msdn2.Microsoft.com/en-us/library/ms998351.aspx

Referenties

http://technet.Microsoft.com/en-us/library/cc757299.aspx

http://msdn.Microsoft.com/msdnmag/Issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server domeingebruiker om referenties wordt gevraagd
262177 Het inschakelen van Kerberos-logboekregistratie
326985 Het oplossen van problemen met Kerberos in IIS
842861 TechNet Support WebCast: Problemen met Kerberos-verificatie met beveiligde Web-toepassingen en Microsoft SQL Server
Zoals altijd gerust indienen van ideeën over onderwerpen u wilt adresseren in toekomstige kolommen of in de Knowledge Base met de Vragen Deze met dit formulier.

Eigenschappen

Artikel ID: 907272 - Laatste beoordeling: donderdag 30 mei 2013 - Wijziging: 3.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Internet Information Services 6.0
Trefwoorden: 
kbiis kbhowto kbasp kbmt KB907272 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 907272

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com