Kerberos kimlik doğrulaması ve temsilci seçme ile ilgili sorunları giderme

Makale çevirileri Makale çevirileri
Makale numarası: 907272 - Bu makalenin geçerli olduğu ürünleri görün.
IIS Geliştirici destek sesi sütunu

Kerberos kimlik doğrulaması ve temsilci seçme ile ilgili sorunları giderme

Bu sütunun ihtiyaçlarınıza özelleştirmek için Knowledge Base makaleleri ve Destek Sesi sütunu, fikirlerinizi ve görmek istediğiniz konuları ilgilendiren konularda gelecekte ele göndermek için sizi davet etmek istiyoruz. Fikir ve görüşlerinizi kullanarak gönderebilirsiniz. Bunun için sor Form. Bu sütunun alt form için bir bağlantı vardır.
Hepsini aç | Hepsini kapa

Bu Sayfada

Benim adı Martin Smith ve Microsoft'un Microsoft ile miyim Internet Information Services (IIS) kritik sorun çözümleme grubu. Sahip olduğum Microsoft ile dokuz yıldır ve IIS ekibi ile tüm dokuz yıldır. Ben üzerinde birden çok konumdan bilgi derlediğiniz http://msdn.microsoft.com ve http://www.microsoft.com Kerberos hakkında ve nasıl yapılır temsilci seçme sorunlarını giderme.

IIS 6.0

Aşağıdaki teknik incelemeyi temsilciliği kuran ayarlama yöntemi açıklanır. Microsoft Windows Server 2003. Ayrıntılı bilgi için teknik incelemesine vardır Ağ Yükü Dengeleme (NLB) nasıl kurulacağı hakkında ayrıntılı bilgi mükemmel ancak içerir NLB kullanmadan temsilci olarak atanan bir senaryo. Bu teknik incelemeyi görüntülemek için ziyaret edin aşağıdaki Microsoft Web sitesi:
http://technet.microsoft.com/en-us/library/cc757299.aspx
Not Özellikle kullandığınızda HTTP hizmet asıl adlarını (SPN) kullanın. NLB.

Başka bir yaygın Kerberos sorunu için gerekli olan birden çok uygulama havuzu aynı DNS adı kullanmasını sağlar. Ne yazık ki, Kerberos kimlik bilgileri temsilcisi kullandığınızda, aynı hizmeti bağlanamıyor Asıl adı (SPN) farklı uygulama havuzları için. Bunu yapamazsınız çünkü Kerberos tasarımını. Birden çok paylaşılan Kerberos iletişim kuralı gerektirir Gizlilik iletişim kuralının düzgün çalışması. Aynı SPN kullanarak farklı Uygulama havuzları, biz bu paylaşılan gizlilikler birini kaldırın. Etkin Dizin dizin hizmeti Kerberos, bu yapılandırmayı desteklemiyor güvenlik sorunu nedeniyle iletişim kuralı.

SPN'ler bu yapılandırma şekilde, Kerberos kimlik doğrulaması başarısız olmasına neden olur. Bunun olası geçici çözüm sorun protokol geçiş kullanmak olacaktır. İlk kimlik doğrulaması İstemci ve sunucu çalıştıran IIS arasında kullanarak ele alınması NTLM kimlik doğrulama iletişim kuralı. Kerberos kimlik doğrulaması arasında işlemek IIS ve arka uç kaynak sunucu.

Microsoft Internet Explorer 6 veya sonraki sürümü

İstemci tarayıcısına, alma gibi sorunlarla karşılaşabilirsiniz Yinelenen oturum açma kimlik bilgileri veya "401 Erişim reddedildi" hata iletileri için sorar IIS çalıştıran sunucu. Biz olabilir aşağıdaki iki sorunu buldunuz Bu sorunları gidermek yardımcı olur:
  • Doğrulayın Tümleşik Windows Etkinleştir Kimlik doğrulama tarayıcı özelliklerinde seçilir. Daha fazla bilgi için aşağıdaki makale numarasını tıklatın Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere:
    299838Internet Explorer 6 için yükselttikten sonra Kerberos kimlik doğrulama anlaşması için
  • Internet Explorer Artırılmış Güvenlik Yapılandırması ise Program Ekle/Kaldır'etkin, temsilci seçmek için kullanan bir siteye eklemeniz gerekirGüvenilen siteler liste. Daha fazla bilgi için aşağıdaki makale numarasını tıklatın Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere:
    815141Internet Explorer Gelişmiş Güvenlik Yapılandırması tarayıcı deneyimini değiştiriyor

IIS 5.0 ve IIS 6.0

IIS 5.0 veya IIS 6.0, temsilci seçme için IIS 4. 0 ' yükseltme sonra doğru ya da büyük olasılıkla çalışmayabilir birisi veya bir uygulamanın değiştirdi NTAuthenticationProviders metatabanı özelliği. Bu sorunu gidermek hakkında daha fazla bilgi için tıklatın Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
248350IIS 4.0, IIS 5.0 için yükselttikten sonra Kerberos kimlik doğrulaması başarısız

SPN ayarlamak sorun belirli bir bölümünü oluşabilir

Sunucu adını belirleme

Web sitesini kullanarak bağlandığınız olup olmadığını belirleme gerçek NetBIOS ad sunucusu veya DNS adı gibi bir ad kullanarak (örneğin, www.microsoft.com). Web sunucusu kullanarak erişiyorsanız Yeni bir hizmet asıl adı sunucunun gerçek adından farklı bir ad (SPN) Windows 2000'den Setspn aracını kullanarak kaydedilmiş gerekir Server Kaynak Seti. Active Directory dizin hizmeti yoktur Bu hizmet adını biliyorsanız bilet sağlama hizmeti (TGS) size vermez bir kullanıcının kimliğini doğrulamak için bilet. Bu davranışı kullanmak için istemciyi zorlar yeniden anlaşmak için NTLM, bir sonraki kullanılabilir kimlik doğrulama yöntemi. Web www.microsoft.com bir DNS adı için sunucu yanıt vermiyor, ancak sunucu webserver1.development.microsoft.com adlı, kaydetmeniz gerekir IIS çalıştıran sunucuda www.microsoft.com Active Directory'de. Bunu yapmak için Setspn Aracı'nı karşıdan yüklemek ve IIS çalıştıran sunucuya yüklemeniz gerekir.

Setspn araç Microsoft Windows Server 2003 için Windows Server 2003 ve IIS 6 kullanıyorsanız, aşağıdaki konumdan edinilebilir:
http://support.microsoft.com/KB/970536
Gerçek adı kullanarak bağlanıldığını belirlemek için sunucu yerine gerçek adını kullanarak sunucuya bağlanmayı deneyin DNS adı. Sunucuya bağlanamıyorsanız, bilgisayar "doğrulama Bkz: temsilci seçme için güvenilir olan"bölümü.

Sunucuya bağlanabilir bağlanmak için kullandığınız DNS adı için bir SPN ayarlamak için aşağıdaki adımları izleyin sunucu için:
  1. Setspn aracını yükleyin.
  2. IIS çalıştıran sunucu üzerinde bir komut istemi açın ve sonra C:\Program Files\Resource Seti klasörünü açın.
  3. Bu yeni SPN eklemek için aşağıdaki komutu çalıştırın (www.microsoft.com) Active Directory sunucu için:
    Setspn - A HTTP/www.microsoft.com websunucusu1
    Not Bu komutta, websunucusu1 temsil eder sunucuyu NetBIOS adı.
Aşağıdakine benzer bir çıktı alırsınız:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Bu yeni değerin görmek için sunucudaki SPN listesini görüntülemek için IIS çalıştıran sunucuda aşağıdaki komutu yazın:
Setspn -L WebSunucusuAdı
Not tüm hizmetleri kaydetmek zorunda değilsiniz. Birçok hizmet HTTP, W3SVC, WWW, RPC, CIFS (dosya erişimi), WINS, türleri ve Kesintisiz güç kaynağı (UPS) bir varsayılan hizmet türü için eşleme ana bilgisayar adı. SPN, istemci yazılımını kullanıyorsa, örneğin, Web sunucusu bir HTTP bağlantısı oluşturmak için HTTP/webserver1.microsoft.com webserver1.microsoft.com sunucu, ancak bu SPN kayıtlı değil üzerinde Sunucu, Windows 2000 etki alanı denetleyicisi eşleme otomatik olarak HOST/webserver1.microsoft.com bağlantı. Bu eşleştirme yalnızca geçerlidir Web hizmet yerel sistem hesabı altında çalışıyor.

Bilgisayara temsilci seçme için güvenilir olduğundan emin olun

IIS çalıştıran sunucu bu etki alanının bir üyesi olan ancak değil, bir etki alanı denetleyicisi, bilgisayar için Kerberos için temsilci seçme için güvenilir olmalıdır düzgün çalışmaz. Bunu yapmak için şu adımları izleyin:
  1. Etki alanı denetleyicisinde Başlat, işaret Ayarlarıve sonra tıklatın Denetim Paneli.
  2. Denetim Masası'nda açın Yönetim Araçlar.
  3. Çift tıklatın Active Directory Kullanıcıları ve Bilgisayarlar.
  4. Etki alanı altında'ı tıklatın. Bilgisayarlar.
  5. IIS çalıştıran sunucu listesinde bulun, sağ tıklatın Sunucu adı ve'ı tıklatın Özellikler.
  6. ' I tıklatın Genel sekmesi, seçmek için tıklatınTemsilci seçme için güvenilir onay kutusunu işaretleyin ve sonra tıklatınTAMAM.
Birden çok Web sitesi aynı URL eriştiyseniz unutmayın ancak temsilci seçme farklı bağlantı noktalarında çalışmaz. Bu işi yapmak için kullanmanız gerekir farklı bir ana makine adları ve farklı SPN'ler. Ne zaman Internet Explorer ya da istekleri http://www.WebSitem.com veya http://www.WebSitem.com:81, Internet Explorer SPN HTTP/www.mywebsite.com için bir bilet ister. Internet Explorer eklemez bağlantı noktası veya vdir SPN isteğine. Bu davranışı aynıdır http://www.WebSitem.com/Uyg1 veya http://www.WebSitem.com/Uyg2. Bu senaryoda, Internet Explorer SPN için bir bilet ister. http://www.WebSitemAnahtar dağılımından .com Merkezi (KDC). Her bir SPN yalnızca bir kimlik için bildirilebilir. Bu nedenle bunu bildirmek çalışırsanız da KRB_DUPLICATE_SPN hata iletisi alırsınız Her kimlik için SPN.

Temsilci seçme ve Microsoft ASP.NET

Hakkında daha fazla bilgi için bir ASP.NET kullanırken kimlik bilgileri yetki aktarımına ilişkin yapılandırma Uygulama, makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın Microsoft Knowledge Base:
810572Temsilci atama senaryosu için bir ASP.NET uygulamasının nasıl yapılandırılacağını
Kimliğe bürünme ve temsilci seçme için iki yöntem olan bir Sunucu kimlik doğrulaması istemci adına. Bunlardan karar verme kullanılacak yöntemleri ve bunların uygulanmasını bazı karışıklıklara neden olabilir. Yapmanız gerekenler Bu iki yöntem arasındaki farkı gözden geçirin ve bunlardan inceleyin uygulamanız için istediğiniz yöntemleri kullanın. Önerim olacaktır daha ayrıntılı bilgi için şu teknik incelemeyi okuyun:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referanslar

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server etki alanı kullanıcısı kimlik bilgileri ister.
262177 Kerberos olay günlüğünü etkinleştirme
326985 IIS'de Kerberos ile ilgili sorunları nasıl giderilir
842861 TechNet Destek Web Yayını: Kerberos kimlik doğrulaması güvenli Web uygulamaları ve Microsoft SQL Server ile sorun giderme
Her zamanki gibi konularda fikir göndermek çekinmeyin, Gelecekteki sütunları veya Knowledge Base kullanarak adresli istiyor Sorun Bu Form.

Özellikler

Makale numarası: 907272 - Last Review: 30 Mayıs 2013 Perşembe - Gözden geçirme: 6.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Services 6.0
Anahtar Kelimeler: 
kbiis kbhowto kbasp kbmt KB907272 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 907272

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com