การรับรองความถูกต้อง Kerberos และการแก้ไขปัญหาการมอบหมาย

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 907272 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
คอลัมน์เสียงสนับสนุนนักพัฒนาของ IIS

การรับรองความถูกต้อง Kerberos และการแก้ไขปัญหาการมอบหมาย

เมื่อต้องกำหนดคอลัมน์นี้ให้ตรงกับความต้องการของคุณ เราขอให้คุณส่งแนวคิดของคุณเกี่ยวกับหัวข้อที่สนใจและปัญหาที่คุณต้องการดูในบทความฐานความรู้และคอลัมน์เสียงสนับสนุนในอนาคต คุณสามารถส่งของแนวคิดและการใช้ผลป้อนกลับ ขอดังกล่าว แบบฟอร์ม นอกจากนี้ยังมีการเชื่อมโยงไปยังแบบฟอร์มที่ด้านล่างของคอลัมน์นี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

ชื่อของฉันคือ Smith มาร์ติน และฉัน มี Microsoft ของ Microsoft กลุ่มวิธีการแก้ปัญหาสำคัญของ Internet Information Services (IIS) ฉันมี ได้กับ Microsoft เก้าปี และทำงานกับทีม IIS ปีเก้าทั้งหมด ฉันได้คอมไพล์ข้อมูลจากหลายแห่งใน http://msdn.microsoft.com และ http://www.microsoft.com เกี่ยวกับ Kerberos และวิธีการ แก้ปัญหาการมอบหมายงาน

IIS 6.0

ในเอกสารทางเทคนิคดังต่อไปนี้อธิบายวิธีการตั้งค่าการมอบหมายใน Microsoft Windows Server 2003 กระดาษขาวมีข้อมูลเฉพาะสำหรับ เครือข่ายโหลดดุล (NLB) แต่มีรายละเอียดที่ดีมากเกี่ยวกับวิธีการตั้งค่า สถานการณ์สมมติที่รับมอบหมายโดยไม่ใช้ร้อง เมื่อต้องการดูเอกสารทางเทคนิคนี้ แวะไป ต่อไปนี้เว็บไซต์ของ Microsoft:
http://technet.microsoft.com/en-us/library/cc757299.aspx
หมายเหตุ ใช้ชื่อ HTTP บริการหลัก (SPNs) โดยเฉพาะอย่างยิ่งเมื่อคุณใช้ ร้อง

ปัญหาอื่นของ Kerberos ที่ได้รับความนิยมเมื่อเร็ว ๆ นี้มีการจำเป็นในการ อนุญาตให้ใช้สำหรับพูลโปรแกรมประยุกต์หลายการใช้ชื่อ DNS เดียวกัน แต่ เมื่อคุณใช้ Kerberos การมอบหมายข้อมูลประจำตัว คุณไม่สามารถผูกบริการเดียวกัน หลักชื่อ (SPN) กับพูลโปรแกรมประยุกต์ที่แตกต่างกัน คุณไม่สามารถทำเช่นนี้ได้เนื่องจาก ของการออกแบบของ Kerberos โพรโทคอล Kerberos ที่จำเป็นต้องมีหลายที่ที่ใช้ร่วมกัน คำถามลับสำหรับโพรโทคอลในการทำงานอย่างถูกต้อง โดยใช้ SPN เหมือนกันสำหรับแตกต่างกัน พูลโปรแกรมประยุกต์ เราขจัดความลับที่ใช้ร่วมกันเหล่านี้อย่างใดอย่างหนึ่ง การใช้งานอยู่ บริการไดเรกทอรีของไดเรกทอรีจะไม่สนับสนุนการตั้งค่าคอนฟิกนี้ของ Kerberos โพรโทคอลเนื่องจากปัญหาด้านความปลอดภัย

การตั้งค่าคอนฟิก SPNs ที่ในเรื่องนี้ ลักษณะทำให้การรับรองความถูกต้อง Kerberos ล้มเหลว วิธีแก้ปัญหานี้ได้ ปัญหาจะเป็นการ ใช้โพรโทคอลวิธี การรับรองความถูกต้องเริ่มต้น ระหว่างไคลเอนต์และเซิร์ฟเวอร์เรียกใช้ IIS จะถูกจัดการ โดยใช้การ โพรโทคอลการรับรองความถูกต้อง NTLM Kerberos จะจัดการการรับรองความถูกต้องระหว่าง IIS และเซิร์ฟเวอร์ทรัพยากร backend

Microsoft Internet Explorer 6 หรือรุ่นที่ใหม่กว่า

เบราว์เซอร์ไคลเอ็นต์อาจประสบปัญหา เช่นการรับสินค้า เข้าสู่ระบบซ้ำ ๆ พร้อมท์สำหรับข้อมูลประจำตัวหรือข้อความแสดงข้อผิดพลาด "ปฏิเสธการเข้าถึง 401" จากเซิร์ฟเวอร์ที่เรียกใช้ IIS เราได้พบปัญหาสองต่อไปนี้ที่อาจ ช่วยแก้ปัญหาเหล่านี้:
  • ตรวจสอบว่า เปิดใช้งาน Windows แบบรวม รับรองความถูกต้อง มีเลือกในคุณสมบัติของเบราว์เซอร์ สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เมื่อต้องการดูบทความในฐานความรู้ของ Microsoft:
    299838ไม่สามารถเจรจา Kerberos การรับรองความถูกต้องหลังจากการปรับรุ่นเป็น Internet Explorer 6
  • ถ้ามีการกำหนดค่าความปลอดภัยขั้นสูงของ Internet Explorer เปิดใช้งานในการเพิ่มหรือเอาโปรแกรมออก คุณต้องเพิ่มไซต์ที่ใช้การมอบหมายไซต์ที่เชื่อถือได้ รายการงาน สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เมื่อต้องการดูบทความในฐานความรู้ของ Microsoft:
    815141กำหนดค่าความปลอดภัยขั้นสูงของ Internet Explorer ใช้งานการเรียกดูการเปลี่ยนแปลง

IIS 5.0 และ IIS 6.0

หลังจากคุณปรับรุ่นจาก IIS 4.0 IIS 5.0 หรือ IIS 6.0 การมอบหมาย อาจไม่ทำงานอย่างถูกต้อง หรืออาจมีบุคคลอื่นหรือโปรแกรมประยุกต์ได้ปรับเปลี่ยน คุณสมบัติใน metabase NTAuthenticationProviders สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแก้ไขปัญหานี้ คลิก บทความเลขต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
248350การรับรองความถูกต้อง Kerberos ล้มเหลวหลังจากการปรับรุ่นจาก IIS 4.0 IIS 5.0

พื้นที่เฉพาะของปัญหาอาจเกิดขึ้นได้เมื่อคุณตั้งค่าการ SPN

กำหนดชื่อเซิร์ฟเวอร์

ตรวจสอบว่า คุณกำลังเชื่อมต่อไปยังเว็บไซต์ โดยใช้การ ชื่อ NetBIOS จริง ของเซิร์ฟเวอร์ หรือ โดยใช้นามแฝง เช่นชื่อ DNS (ตัวอย่างเช่น www.microsoft.com) ถ้าคุณกำลังเข้าถึงเว็บเซิร์ฟเวอร์ โดยใช้ ชื่ออื่นที่ไม่ใช่ชื่อจริงของเซิร์ฟเวอร์ ชื่อบริการหลักใหม่ ต้องมีการลงทะเบียน (SPN) โดยใช้เครื่องมือ Setspn จาก Windows 2000 Kit ทรัพยากรของเซิร์ฟเวอร์ เนื่องจากไม่มีบริการไดเรกทอรี Active Directory ทราบชื่อนี้การบริการ การบริการให้สิทธิแก่ ticket (TGS) ไม่ได้ทำให้คุณมี บัตรการรับรองความถูกต้องผู้ใช้ ลักษณะการทำงานนี้บังคับให้ไคลเอนต์จะใช้การ การรับรองความถูกต้องที่พร้อมใช้งานวิธีการต่อ ซึ่งเป็น NTLM การเจรจาต่อรอง ถ้าเว็บ เซิร์ฟเวอร์ตอบสนองกับชื่อ DNS ของ www.microsoft.com แต่เซิร์ฟเวอร์ที่มีชื่อว่า webserver1.development.microsoft.com คุณต้องลงทะเบียน www.microsoft.com ในไดเรกทอรีที่ใช้งานอยู่บนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS ที่ทำงานอยู่ เมื่อต้องการทำเช่นนี้ คุณต้องดาวน์โหลดเครื่องมือ Setspn และติดตั้งบนเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS

ถ้าคุณกำลังใช้ Windows Server 2003 และ IIS 6 เครื่องมือ Setspn สำหรับ Microsoft Windows Server 2003 จะพร้อมใช้งานจากตำแหน่งที่ตั้งต่อไปนี้:
http://support.microsoft.com/kb/970536
เมื่อต้องการตรวจสอบว่า คุณกำลังเชื่อมต่อ โดยใช้ชื่อจริง ความพยายามที่เชื่อมต่อกับเซิร์ฟเวอร์ โดยใช้ชื่อของเซิร์ฟเวอร์แทนที่จะเกิดขึ้นจริง ชื่อ DNS ถ้าคุณไม่สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ ให้ดู "ยืนยันคอมพิวเตอร์ ส่วนจะเชื่อถือได้สำหรับการมอบหมาย"

ถ้าคุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์ ทำตามขั้นตอนเหล่านี้เพื่อตั้งค่าการ SPN สำหรับชื่อ DNS ที่คุณกำลังใช้การเชื่อมต่อ ไปยังเซิร์ฟเวอร์:
  1. ติดตั้งเครื่องมือ Setspn
  2. บนเซิร์ฟเวอร์ที่ติดตั้ง IIS ให้เปิดพร้อมท์คำสั่ง จากนั้น เปิดโฟลเดอร์ C:\Program Files\Resource Kit
  3. เรียกใช้คำสั่งต่อไปนี้เมื่อต้องการเพิ่ม SPN นี้ใหม่ (www.microsoft.com) ในไดเรกทอรีที่ใช้งานอยู่สำหรับเซิร์ฟเวอร์:
    HTTP/www.microsoft.com-Setspn webserver1
    หมายเหตุ ในคำสั่งนี้ webserver1 เป็นตัวแทน ชื่อ NetBIOS ของเซิร์ฟเวอร์
คุณได้รับผลลัพธ์ที่คล้ายกับต่อไปนี้:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
เมื่อต้องการดูรายการของ SPNs บนเซิร์ฟเวอร์เมื่อต้องการดูค่านี้ใหม่ พิมพ์คำสั่งต่อไปนี้บนเซิร์ฟเวอร์ที่ติดตั้ง IIS:
ชื่อเว็บเซิร์ฟเวอร์ -L Setspn
หมายเหตุว่า คุณไม่จำเป็นต้องลงทะเบียนการบริการทั้งหมด บริการมากมาย ชนิด เช่น HTTP, W3SVC, WWW, RPC, CIFS (การเข้าถึงแฟ้ม) ชนะ และ เครื่องสำรองไฟฟ้า (UPS), จะแมปกับชนิดการบริการเริ่มต้นที่ ชื่อโฮสต์ ตัวอย่างเช่น ถ้ามีใช้ซอฟต์แวร์ของไคลเอ็นต์การ SPN ของ HTTP/webserver1.microsoft.com การสร้างการเชื่อมต่อ HTTP ไปยังเว็บเซิร์ฟเวอร์บน เซิร์ฟเวอร์ webserver1.microsoft.com SPN นี้ แต่ไม่ได้ลงทะเบียนในการ เซิร์ฟเวอร์ ตัวควบคุมโดเมน Windows 2000 จะโดยอัตโนมัติแมป การเชื่อมต่อกับ HOST/webserver1.microsoft.com การแมปนี้ใช้เฉพาะเมื่อการ บริการเว็บทำงานภายใต้บัญชีระบบภายในเครื่อง

ตรวจสอบว่า คอมพิวเตอร์ที่เชื่อถือได้สำหรับการมอบหมาย

ถ้าเป็นสมาชิกของโดเมนนี้เซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS แต่ไม่มี ตัวควบคุมโดเมน คอมพิวเตอร์ต้องสามารถเชื่อถือได้สำหรับการมอบหมายสำหรับ Kerberos เมื่อต้องการ ทำงานได้อย่างถูกต้อง ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
  1. บนตัวควบคุมโดเมน คลิก เริ่ม, ชี้ไปที่ การตั้งค่าแล้ว คลิก ตัวควบคุม แผง.
  2. ใน'แผงควบคุม' เปิด ในการดูแล เครื่องมือ.
  3. คลิกสองครั้ง ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่ และ คอมพิวเตอร์.
  4. ภายใต้โดเมนของคุณ คลิก คอมพิวเตอร์.
  5. ในรายการ ค้นหาตำแหน่งของเซิร์ฟเวอร์ที่ติดตั้ง IIS คลิกขวา ชื่อของเซิร์ฟเวอร์ และคลิก คุณสมบัติ.
  6. คลิก ทั่วไป แท็บ คลิกเพื่อเลือกแบบเชื่อถือได้สำหรับการมอบหมาย กล่องกาเครื่องหมาย และจากนั้น คลิกตกลง.
หมายเหตุว่า ถ้าหลายเว็บไซต์จะถูกเข้าถึงได้ ด้วย URL เดียวกัน แต่ พอร์ตต่าง ๆ การมอบหมายงานไม่ เมื่อต้องการทำให้งานนี้ hostnames ที่แตกต่างกันและ SPNs ที่แตกต่างกัน เมื่อ Internet Explorer ร้องขออย่างใดอย่างหนึ่ง http://wwwmywebsite.com หรือ http://wwwmywebsite.com:81, Internet Explorer ร้องขอบัตรสำหรับ SPN HTTP/www.mywebsite.com Internet Explorer ไม่เพิ่ม ท่าเรือหรือ vdir คำขอ SPN ลักษณะการทำงานนี้จะเหมือนกันสำหรับ http://wwwmywebsite.com/app1 หรือ http://wwwmywebsite.com/app2 ในสถานการณ์สมมตินี้ Internet Explorer จะขอ ticket สำหรับ SPN http://wwwmywebsite.com จากการกระจายคีย์ Center (KDC) แต่ละ SPN สามารถประกาศได้เฉพาะสำหรับรหัสประจำตัวหนึ่ง ดังนั้น คุณ ได้จะรับข้อความข้อผิดพลาด KRB_DUPLICATE_SPN ถ้าคุณพยายามที่จะประกาศนี้ SPN สำหรับแต่ละ identity

การมอบหมายและ Microsoft ASP.NET

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ การตั้งค่าคอนฟิกสำหรับการมอบข้อมูลประจำตัวเมื่อคุณใช้ ASP.NET การ แอพลิเคชัน ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในการ ฐานความรู้ของ Microsoft:
810572วิธีการกำหนดค่าโปรแกรมประยุกต์ ASP.NET สำหรับสถานการณ์สมมติการมอบหมาย
การมอบหมายและการเลียนแบบเป็นวิธีการสองวิธีสำหรับการ เซิร์ฟเวอร์การรับรองความถูกต้องในนามของไคลเอ็นต์ การตัดสินใจใดต่อไปนี้ วิธีการใช้และการใช้งานของพวกเขาอาจทำให้สับสนบางอย่าง คุณต้องการ ตรวจสอบความแตกต่างระหว่างสองวิธีเหล่านี้ และการตรวจสอบใดต่อไปนี้ วิธีที่คุณอาจต้องใช้สำหรับโปรแกรมประยุกต์ของคุณ คำแนะนำของฉันต้องการ อ่านในเอกสารทางเทคนิคดังต่อไปนี้สำหรับรายละเอียดเพิ่มเติม:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

ข้อมูลอ้างอิง

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server พร้อมท์ให้ผู้ใช้โดเมนสำหรับข้อมูลประจำตัว
262177 วิธีการเปิดใช้งานการบันทึกเหตุการณ์ Kerberos
326985 วิธีการแก้ไขปัญหาที่เกี่ยวข้องกับ Kerberos ใน IIS
842861 ออกอากาศทางเว็บสนับสนุน TechNet: แก้ไขปัญหาการรับรองความถูกต้อง Kerberos กับโปรแกรมประยุกต์เว็บที่ปลอดภัยและ Microsoft SQL Server
เสมอ คุณสามารถส่งความคิดเห็นในหัวข้อคุณ ต้องจ่าหน้าไว้ ในคอลัมน์ในอนาคต หรือ ในฐานข้อมูลองค์ความรู้ใช้ใน ขอ ดังกล่าว แบบฟอร์ม

คุณสมบัติ

หมายเลขบทความ (Article ID): 907272 - รีวิวครั้งสุดท้าย: 30 พฤษภาคม 2556 - Revision: 3.0
ใช้กับ
  • Microsoft Internet Information Services 6.0
Keywords: 
kbiis kbhowto kbasp kbmt KB907272 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:907272

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com