Kerberos 驗證,並委派問題的疑難排解

文章翻譯 文章翻譯
文章編號: 907272 - 檢視此文章適用的產品。
IIS 開發人員 Support Voice 資料行

Kerberos 驗證,並委派問題的疑難排解

若要自訂這個資料行,您的需求,我們想要邀請您送出問題,您要查看以及您有興趣的相關想法,解決在未來知識庫文件和 Support Voice 資料欄。您可以送出您的想法和意見反應使用 向詢問 表單。此外,還有在本篇文章下方表格的連結。
全部展開 | 全部摺疊

在此頁中

我 • 馬丁鐵匠,是我是使用 Microsoft 的 Microsoft網際網路資訊服務 (IIS) 重大的問題解決方案的群組。我有已向 Microsoft 九年所有九年與 IIS 小組已經通過。我已經在編譯多個位置中的資訊 http://msdn.microsoft.com 以及 http://www.microsoft.com 關於 Kerberos,以及如何委派問題進行疑難排解。

IIS 6.0

下列白皮書將告訴您如何設定中的委派Microsoft Windows Server 2003。這份白皮書具有特定資訊之網路負載平衡 (NLB),但包括有關如何設定極佳的詳細資料不使用 NLB 的委派的案例。若要檢視這份白皮書,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/cc757299.aspx
附註使用 HTTP 服務主要名稱 (Spn),特別是當您使用NLB。

另一個受歡迎的 Kerberos 問題最近已經獲得的需求允許多個應用程式集區使用相同的 DNS 名稱。不幸的是,當您使用 Kerberos 委派認證時,您不能繫結相同的服務主要名稱 (SPN) 到不同的應用程式集區。您不能採用這程式設計的 Kerberos。Kerberos 通訊協定需要多個共用通訊協定,才能正常運作的機密資料。藉由使用同一個 SPN 的不同應用程式集區,就可以消除這些共用的機密資料的其中一個。將使用中目錄的目錄服務將不支援這種組態的 Kerberos因為發生安全性問題的通訊協定。

在這個設定 Spn方式會造成 Kerberos 驗證失敗。這可能的解決方案問題就是使用通訊協定轉送。在初始驗證用戶端和伺服器執行 IIS 之間的處理藉由使用NTLM 驗證通訊協定。Kerberos 就需要處理間的驗證IIS 和後端資源的伺服器。

Microsoft Internet Explorer 6 (含) 以後

用戶端瀏覽器可能會遇到的問題,例如接收重複登入提示輸入認證或 「 401 拒絕存取 」 錯誤訊息從執行 IIS 的伺服器。我們發現下列兩個問題,否則會幫助您解決這些問題:
  • 確認 啟用整合式的 Windows驗證 已選取 [在瀏覽器的內容。 如需詳細資訊,請按一下下面的文件編號若要檢視 「 Microsoft 知識庫 」 中的文的文件:
    299838無法交涉 Kerberos 驗證為 Internet Explorer 6 升級之後
  • 如果 Internet Explorer 增強式安全性設定在 [新增/移除程式中啟用,您必須加入使用委派的站台信任的網站 清單。 如需詳細資訊,請按一下下面的文件編號若要檢視 「 Microsoft 知識庫 」 中的文的文件:
    815141Internet Explorer 增強式安全性設定會變更瀏覽習慣

IIS 5.0 和 IIS 6.0

之後您從升級 IIS 4.0 到 IIS 5.0 或 IIS 6.0 中,委派可能無法運作正確,或可能是某個人或應用程式已經修改NTAuthenticationProviders 中繼資料庫屬性。 如需有關如何修正這個問題的詳細資訊,請按一下下面的文章編號,檢視 「 Microsoft 知識庫 」 中:
248350從 IIS 4.0 升級到 IIS 5.0 之後的 Kerberos 驗證失敗

當您設定 SPN,就會發生問題的特定區域

判定伺服器名稱

判定您是否使用連線到網站實際的 NetBIOS 名稱的伺服器,或使用別名名稱,例如 DNS 名稱(比方說,www.microsoft.com)。如果您要藉由存取網頁伺服器新的服務主要名稱伺服器的實際名稱以外的名稱」 (SPN) 必須有使用 Setspn 工具從 Windows 2000 登錄伺服器資源工具箱 」。因為 Active Directory 目錄服務並不會知道這個服務的名稱,票證所授與服務 (TGS) 並不會提供若要驗證使用者的票證。這種行為會強制用戶端使用下一個可用的驗證方法,也就是 NTLM,重新交涉。如果網站伺服器回應 DNS 名稱的 www.microsoft.com,但在伺服器名稱為 webserver1.development.microsoft.com,您必須註冊在 [Active Directory 中正在執行 IIS 的伺服器上的 www.microsoft.com。來達成相同目地。您必須下載 「 Setspn 」 工具,並在執行 IIS 的伺服器上安裝它。

您正在使用 Windows Server 2003 和 IIS 6,Microsoft Windows Server 2003 的 「 Setspn 」 工具可以從下列位置:
http://support.microsoft.com/kb/970536
若要判定您是否連線使用的實際名稱,請試著使用的實際名稱,而不是伺服器的連線到伺服器DNS 名稱。如果您無法連線到伺服器,請參閱 「 驗證電腦受信任可以委派 」 一節。

如果您可以連線到伺服器,請依照下列步驟來設定 DNS 名稱是用來連接 SPN到伺服器:
  1. 安裝 [Setspn] 工具。
  2. 在執行 IIS 的伺服器,開啟 [命令提示字元,然後再開啟 C:\Program Files\Resource 組件] 資料夾。
  3. 執行下列命令以加入這個新的 SPN(www.microsoft.com) Active directory 伺服器:
    Setspn-HTTP/www.microsoft.com webserver1
    附註這個命令中, webserver1 表示伺服器的 NetBIOS 名稱。
您會收到類似下列的輸出:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
若要查閱的 Spn 的伺服器上用來將這個新的值,在執行 IIS 的伺服器上,輸入下列命令:
Setspn-L webservername
請注意您不需要註冊所有服務。許多服務型別,例如 HTTP、 W3SVC WWW、 RPC、 CIFS (檔案存取權)、 WINS,而且不斷電供電系統 (UPS),會對應到的預設服務型別,命名主應用程式。比方說,如果您的用戶端軟體使用的 SPN若要建立 HTTP 連線到 Web 伺服器上的 HTTP/webserver1.microsoft.comwebserver1.microsoft.com 伺服器上,但是此 SPN 沒有登錄伺服器上,Windows 2000 網域控制站將會自動對映HOST/webserver1.microsoft.com 的連接。這種對應只適用於在本機的 System 帳戶下執行 web 服務。

請確認電腦受信任可以委派

如果執行 IIS 這台伺服器是網域的成員,而不是會網域控制站,電腦必須是受信任的 Kerberos 委派正常運作。若要這樣做,請依照下列步驟執行:
  1. 在網域控制站中,按一下 啟動,指到 設定然後按一下 控制項面板.
  2. 在 [控制台] 中開啟 系統管理工具.
  3. 連按兩下 Active Directory 使用者及電腦.
  4. 在您的網域中,按一下 電腦.
  5. 在清單中,找出執行 IIS 的伺服器上按一下滑鼠右鍵伺服器名稱,然後再按一下 屬性.
  6. 按一下 一般 索引標籤上,按一下以選取受信任可以委派 核取方塊,然後再按一下[確定].
請注意,如果多個網站都連到同一個 url,但是在不同的連接埠,委派則不會運作。若要這麼做,您必須使用不同的主機名稱和不同的 Spn。當 Internet Explorer 要求任一個http://www。mywebsite.com 或http://www。mywebsite.com:81,Internet Explorer要求的 SPN HTTP/www.mywebsite.com 的票證。不會增加 Internet Explorer連接埠,或是 vdir SPN 要求。這種情形也適用於http://www。mywebsite.com/app1 或http://www。mywebsite.com/app2。在這個案例中,Internet Explorer 會向票證要求的 SPNhttp://www。mywebsite從金鑰的散佈.com中心 (KDC)。可以只針對一個身分識別宣告每一個 SPN。因此,您如果您嘗試將此宣告,則也會收到 「 KRB_DUPLICATE_SPN 」 錯誤訊息針對每個身分的 SPN。

委派和 Microsoft ASP.NET

如需相關資訊當您使用 ASP.NET 時,委派認證的設定應用程式中,按一下下列文件編號,檢視中Microsoft 知識庫 」:
810572如何設定 ASP.NET 應用程式的委派案例
模擬和委派是兩種方法為用戶端驗證的伺服器。決定哪種若要使用的方法及其實作會造成一些混淆。您必須檢閱這兩種方法之間的差異,並檢查其中您可能想要的方法適用於您的應用程式。我建議,就是請閱讀下列的白皮書,如需詳細資訊:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

?考

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server 會提示輸入認證的網域使用者
262177 如何啟用 Kerberos 事件記錄
326985 如何疑難排解與 Kerberos 相關的問題,在 IIS 中
842861 TechNet 支援網路廣播: 疑難排解與安全的 Web 應用程式和 Microsoft SQL Server 的 Kerberos 驗證
同樣的請隨意送出主題思考您想要或眭舑使用日後的專欄中,附上地址。 尋求它 表單。

屬性

文章編號: 907272 - 上次校閱: 2013年5月30日 - 版次: 6.0
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
關鍵字:?
kbiis kbhowto kbasp kbmt KB907272 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:907272
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com