Kerberos kimlik doðrulamasý ve temsilci seçme ile ilgili sorunlarý giderme

Benim adý Uludað, Etikan ve Microsoft'un Microsoft ýnternet ýnformation Services (IIS) kritik sorun çözümleme grubuyla olduðum. MIYIM Microsoft'a dokuz yýl olan ve IIS ekibiyle tüm dokuz yýllarý olmuþtur. Birden çok konumdan http://msdn.microsoft.com (http://msdn.microsoft.com) ve bilgi http://www.microsoft.com (http://www.microsoft.com) Kerberos ve temsilci seçme ile ilgili sorunlarýn nasýl giderileceði hakkýnda BANA derlenmiþ.

IIS 6.0

Aþaðýdaki teknik incelemeyi temsilci Microsoft Windows Server 2003'te nasýl açýklar. Teknik incelemeyi özel bilgileri, Að Yükü Dengeleme (NLB), ancak NLB kullanmadan temsil edilen bir senaryo ayarlamayla ilgili mükemmel ayrýntý içerir. Bu teknik incelemeyi görüntülemek için aþaðýdaki Microsoft Web sitesini ziyaret edin: Not Özellikle, NLB kullandýðýnýzda HTTP hizmet asýl adý (SPN) kullanýn.

Baþka bir yaygýn Kerberos sorun son olarak ayný DNS adý birden çok uygulama havuzlarý için izin vermek için gerek yapýldý. Ne yazýk ki, Kerberos kimlik bilgileri için temsilci seçme için kullanýyorsanýz, farklý bir uygulama havuzlarý için ayný hizmet asýl adý (SPN) baðlanýlamýyor. Bu nedenle Kerberos tasarýmýný iþlemi yapamazsýnýz. Kerberos iletiþim kuralý iletiþim kurallarýnýn doðru þekilde çalýþmasý birden çok paylaþýlan gizlilikler gerektirir. Farklý bir uygulama havuzlarý için ayný SPN kullanarak size bu paylaþýlan gizlilikler birini kaldýrýn. Active Directory dizin hizmeti, bu yapýlandýrma, Kerberos iletiþim kuralý güvenlik sorunu nedeniyle desteði saðlar.

Bu þekilde SPN yapýlandýrma, Kerberos kimlik doðrulamasý baþarýsýz olmasýna neden olur. Bu sorun için olasý BIR geçici çözüm, iletiþim kuralý geçmekte kullanmak olacaktýr. Ilk kimlik doðrulamasý istemci ve sunucu çalýþtýran IIS arasýnda NTLM kimlik doðrulamasý iletiþim kuralý'ný kullanarak ele alýnmasý. Kerberos kimlik doðrulamasý arka uç kaynak sunucuda IIS arasýndaki tanýtýcýsý.

Microsoft ýnternet Explorer 6 veya sonraki sürümü

Istemci tarayýcýsýna alma gibi sorunlar yaþayabilirsiniz kimlik bilgilerini veya IIS çalýþtýran sunucuya bir "401 Eriþim reddedildi" hata iletileri için oturum açma istemleri yinelenmiþ. Biz bu sorunlarýn giderilmesine yardýmcý olabilir, aþaðýdaki iki sorunlarý buldunuz:

• Doðrulayýn etkinleþtir, tümleþik Windows kimlik doðrulamasý tarayýcý özelliklerinde seçilir.Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
  299838  (http://support.microsoft.com/kb/299838/ ) Internet Explorer 6'ya yükselttikten sonra Kerberos kimlik doðrulama anlaþmasý açýlamýyor
• Internet Explorer Artýrýlmýþ Güvenlik Yapýlandýrmasý'ndaki Program Ekle/Kaldýr etkinse, bir siteyi temsilci seçme için Güvenilen siteler listesine eklemelisiniz.Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
  815141  (http://support.microsoft.com/kb/815141/ ) Internet Explorer Artýrýlmýþ Güvenlik Yapýlandýrmasý tarayýcý deneyimini deðiþtiriyor

IIS 5.0 ve IIS 6.0

IIS 4. 0'dan IIS 5.0 veya IIS 6. 0'e yükselttikten sonra temsilci seçme düzgün çalýþmayabilir veya birisinin veya bir uygulamanýn metatabaný özelliði NTAuthenticationProviders büyük olasýlýkla deðiþtirdi. Bu sorunu gidermek hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

SPN ayarlamak sorun, belirli bir alandaki oluþabilir

Sunucu adýný belirler.

Web sitesine gerçek sunucusunun Netbýos adýný kullanarak veya bir diðer ad (örneðin, bir DNS adý'ný kullanarak baðlanmak mý belirler (örneðin, www.microsoft.com). Web sunucusu bir sunucu asýl adý'nýn dýþýndaki adýyla eriþiyorsanýz, bir yeni hizmet asýl adý (SPN) Windows 2000 Server Kaynak Seti'nden Setspn aracýný kullanarak kayýtlý olmalýdýr. Active Directory dizin hizmetini bu hizmetin adýný öðrenmek için bilet saðlayan hizmet (TGS), kullanýcýnýn kimliðini doðrulamak için bir bilet saðlamaz. Bu davranýþ, renegotiate için NTLM, bir sonraki kullanýlabilir kimlik doðrulama yöntemi kullanmak için istemciyi zorlar. Web sunucusu için bir DNS adý www.microsoft.com ancak sunucu yanýt vermiyor webserver1.development.microsoft.com olarak adlandýrýlmýþsa, www.microsoft.com, IIS çalýþtýran çalýþtýran sunucuda Active Directory'de kaydettirmeniz gerekir. Bunu yapmak için <a0></a0>, Setspn aracýný karþýdan yüklemek ve IIS çalýþtýran sunucu üzerindeki yüklemeniz gerekir.

Setspn aracýný edinme hakkýnda daha fazla bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin: Setspn araç Microsoft Windows Server 2003 için Windows Server 2003 ve IIS 6 kullanýyorsanýz, aþaðýdaki konumdan edinilebilir:Gerçek adýný kullanarak baðlanmak olup olmadýðýný belirlemek için <a0></a0>, DNS adýnýn yerine sunucunun asýl adý'ný kullanarak sunucuya baðlanmayý deneyin. Sunucuya baðlanamýyor, "<a1>Verify</a1> bilgisayar temsil için güvenli deðil" bölümüne bakýn.

Sunucuya baðlanabilir, sunucuya baðlanmak için kullandýðýnýz bir DNS adý için bir SPN ayarlamak için þu adýmlarý izleyin:

1. Setspn aracýný yükleyin.
2. IIS çalýþtýran sunucu, bir komut istemini açýn ve sonra C:\Program Files\Resource Seti klasörünü açýn.
3. Bu yeni SPN eklemek için aþaðýdaki komutu çalýþtýrýn (www.microsoft.com) sunucusu için Active Directory için:
   Setspn - A HTTP/www.microsoft.com webserver1
   Not Bu komutta, webserver1 sunucusunun Netbýos adýný gösterir.

Aþaðýdakine benzer bir çýktý alýrsýnýz:
Bu yeni deðerin görmek için sunucuda SPN listesini görüntülemek için <a0></a0>, IIS çalýþtýran sunucuda aþaðýdaki komutu yazýn: Not tüm hizmetleri kayýt baþlatmanýz gerekmez. HTTP, W3SVC, WWW, RPC, <a1>CIFS</a1> (dosya eriþimi), WINS ve kesintisiz güç kaynaðý (UPS) gibi pek çok hizmet türleri, HOST adlý bir varsayýlan hizmet türü eþler. Örneðin, istemci yazýlýmýnýzý, webserver1.microsoft.com sunucuda Web sunucusu bir HTTP baðlantýsý oluþturmak için bir SPN HTTP/webserver1.microsoft.com kullanýr, ancak bu SPN sunucuda kayýtlý deðil, Windows 2000 etki alaný denetleyicisi otomatik olarak baðlantý için HOST/webserver1.microsoft.com eþler. Bu eþleþtirme, Web hizmetinin yerel sistem hesabý altýnda çalýþýyorsa geçerlidir.

Bilgisayara temsilcilik için güvenilir olduðundan emin olun

IIS çalýþtýran bir sunucu bu etki alanýnýn üyesiyse, ancak etki alaný denetleyicisi deðil, bilgisayar düzgün çalýþabilmesi, Kerberos için temsilci seçme için güvenilmesi gerekir. Bunu yapmak için þu adýmlarý izleyin:

1. Etki alaný denetleyicisinde, Baþlat ' ý týklatýn, Ayarlar ' ýn üzerine gelin ve sonra Denetim Masasý ' ný týklatýn.
2. Denetim Masasý'ndaki Yönetimsel Araçlar ' ý açýn.
3. Active Directory Kullanýcýlarý ve bilgisayarlarý'ný çift týklatýn.
4. Etki alaný altýnda bilgisayarlar ' ý týklatýn.
5. Listesinde, IIS çalýþtýran sunucu bulunamýyor, sunucu adýný sað týklatýn ve sonra da Properties ' i týklatýn.
6. Genel sekmesini týklatýn, temsilci seçme için güvenilir</a1> onay kutusunu týklatýp seçin ve Tamam ' ý týklatýn.

Birden çok Web sitesi ayný URL'YE göre ancak farklý baðlantý noktalarýný eriþtiyseniz, temsilci seçme iþe yaramaz olduðunu unutmayýn. Bu iþi yapmak için <a0></a0>, farklý ana ve farklý bir SPN kullanmanýz gerekir. Internet Explorer, ýnternet Explorer ya da http://www. mywebsite .com veya http://www. mywebsite .com:81 istediðinde, SPN HTTP/www.mywebsite.com için bir bilet ister. Internet Explorer baðlantý noktasý sanaldizin SPN isteði ekleme görünmüyor. Bu davranýþ http://www. mywebsite .com/app1 veya http://www. mywebsite .com/app2 aynýdýr. Bu senaryoda, ýnternet Explorer için bir SPN bir bilet ister http://www. mywebsite .com Anahtar Daðýtým Merkezi (KDC) tarafýndan. Her bir SPN için yalnýzca bir kimlik olarak bildirilebilir. Bu nedenle, her kimlik için bu SPN bildirmek çalýþýrsanýz KRB_DUPLICATE_SPN bir hata iletisi de alýrsýnýz.

Temsilci seçme ve Microsoft ASP.NET

Bir ASP.NET kullandýðýnýzda, kimlik bilgileri için temsilci seçme için yapýlandýrma hakkýnda daha fazla bilgi için uygulama, Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Kimliðe bürünme ve temsilci atama istemci adýna kimlik doðrulamasý bir sunucu için iki yöntemlerdir. Hangisini kullanmak için bu yöntemleri ve bunlarýn uygulama özelleþtirileceðine karar verme, bazý karýþýklýða neden olabilir. Bu iki yöntem arasýndaki farký gözden geçirin ve uygulamanýz için kullanýn, istediðiniz bu yöntemlerin inceleyin gerekir. Daha ayrýntýlý bilgi için aþaðýdaki teknik incelemeyi okuyun benim öneri olacaktýr:

Her zaman olarak, gelecekte sütunlarý adreslenmiþ istediðiniz konularý veya bilgi bankasýnýn Ask For It (http://support.microsoft.com/common/survey.aspx?scid=sw;en;1321) formunu kullanarak fikir gönderme bildirmekten çekinmeyin.