Fehlermeldung, wenn ein Benutzer Website besucht, die mithilfe von Microsoft ISA Server zusammen mit der Clientzertifikatsauthentifizierung veröffentlicht wird: "Fehler Code: 403 Forbidden"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947124 - Produkte anzeigen, auf die sich dieser Artikel bezieht
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows XP und Windows Vista
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Stellen Sie sich das folgende Szenario vor:
  • Sie haben eingeschränkte Kerberos-Delegierung für die Verwendung der Clientzertifikatsauthentifizierung auf einer Website konfiguriert.
  • Diese Website wird mithilfe von Microsoft ISA Server zusammen mit der Clientzertifikatsauthentifizierung veröffentlicht.
In diesem Szenario Wenn ein Benutzer die Website besucht wird der Benutzer möglicherweise die folgenden Fehlermeldung angezeigt:
Fehlercode: 403 Verboten.
Der Server hat den angegebenen URL (Uniform Resource Locator) verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Darüber hinaus ist der folgende Eintrag in der ISA Server-Anwendungsprotokoll protokolliert:
Type: Error
Date: 10/29/2007
Time: 22:59:16
Event ID: 21315
Source: Microsoft ISA Server Web Proxy
User: N/A
Computer: ISA2K6
Details: 
ISA Server failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule YourPublishingRule. Check that the SPN: http/dc-fqdn configured in ISA Server matches the SPN in Active Directory.

Ursache

Dieses Problem, da das Computerobjekt von ISA Server nicht über ausreichende Berechtigungen zum Lesen der Attribute des Benutzerkontos im Verzeichnisdienst Active Directory.

Lösung

Verwenden Sie eine der folgenden Methoden, um dieses Problem zu beheben:

Methode 1

Fügen Sie das Computerkonto von ISA Server die Windows-Autorisierungszugriffsgruppe. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , zeigen Sie auf Verwaltung und klicken Sie dann auf Active Directory-Benutzer und-Computer .
  2. Klicken Sie in Active Directory-Benutzer und-Computer auf vordefiniert , und doppelklicken Sie dann auf Windows-Autorisierungszugriffsgruppe .
  3. Klicken Sie auf die Registerkarte Mitglieder , und fügen Sie das ISA Server-Computerkonto der Liste Elemente hinzu.

Methode 2

Stellen Sie sicher, dass die folgenden Zugriffsanforderungen den Aufrufer Service für User (S4U) entsprechen.

Hinweis: In diesem Fall ist der S4U-Aufrufer das ISA Server-Computer-Objekt.
  • Das Benutzerobjekt oder das Computerobjekt.
  • Die RAS-Informationen -Eigenschaft.
  • Die Informationen zu Remote Access -Eigenschaft.

    Hinweis: Die GUID dieser Eigenschaft ist die 037088f8-0ae1-11 d 2-b422-00a0c968f939. Diese Eigenschaft enthält die folgenden Attribute:
    • msNPAllowDialin
    • msNPCallingStationID
    • msRADIUSCallbackNumber
    • msRADIUSFramedIPAddress
    • msRADIUSFramedRoute
    • msRADIUSServiceType
    • TokenGroups
  • Die Eigenschaft Token-Groups-global-and-Universal (TGGAU) .

    Hinweis: Microsoft Knowledge Base-Artikel 331951 beschreibt die Anwendungen das TGGAU -Attribut gelesen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    331951Einige Anwendungen und APIs benötigen Zugriff auf Autorisierungsinformationen für Kontoobjekte
Insbesondere können Sie versuchen, den Sicherheitsprinzipal hinzuzufügen, der von ISA Server zum Windows-Autorisierungszugriffsgruppe verwendet wird. Sie können die Gruppe Jeder zur Gruppe Prä-Windows 2000 kompatibler Zugriff hinzufügen.

Weitere Informationen

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine das Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Sicherstellen, dass dieses Problem auftritt, können Sie sammeln Debugprotokoll Netzwerkablaufverfolgungen aus dem ISA Server-basierten Computer und einem Kerberos auf dem Schlüsselverteilungscenter (KDC).

Gehen Sie folgendermaßen vor um Kerberos-KDC anmelden zu aktivieren,
  1. Installieren Sie das getestete Build der Kerberos-Module (Kerberos.dll und Kdcsvc.dll). Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Domänencontroller im abgesicherten Modus neu.
    2. Sichern Sie die Kerberos-DLL-Dateien.
    3. Kopieren Sie das getestete Build der Kerberos-Module.
  2. Fügen Sie folgenden Registrierungseinträge hinzu:
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Wert: KdcDebugLevel
      Werttyp: REG_DWORD
      Daten Wert: 0xffffffff
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\Lsa\Kerberos\Parameters

      Wert: LogToFile
      Werttyp: REG_DWORD
      Wertdaten: 1 (aktiviert)
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Wert: KdcExtraLogLevel
      Werttyp: REG8DWORD
      Wert Daten: 0 x 4
  3. Starten Sie den KDC-Server neu.
Die Protokolldatei wird im Ordner %systemroot%\System32 Lsass.log erstellt.

Wenn Sie dieses Problem auftritt, möglicherweise Einträge, die die folgenden ähneln in der Datei Lsass.log protokolliert werden:
392.1728> KDC-Error: GroupExpansion AuthZAC failed 5, lvl 
0392.1728> KDC-Error: Failed Authz check 

392.1728> KDC-(null): Entering FreeTicketInfo
392.1728> KDC-(null): Exiting FreeTicketInfo
392.1728> KDC-Error: KdcGetS4UTicketINfo failed - 6
392.1728> KDC-(null): Entering FreeTicketInfo
392.1728> KDC-(null): Exiting FreeTicketInfo
392.1728> KDC-(null): Entering KdcFreeInternalTicket
392.1728> KDC-(null): Exiting KdcFreeInternalTicket
392.1728> KDC-PAPI: I_GetTGSTicket returning 0x6
in den Netzwerkablaufverfolgungen können Sie Einträge, die die folgenden ähneln:
10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:AS Request Cname: username@domain.fqdn Realm: kcd.domain.fqdn Sname: krbtgt/kcd.domain.fqdn 
10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_PREAUTH_REQUIRED (25)
10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:TGS Request Realm: domain.fqdn 
10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_C_PRINCIPAL_UNKNOWN (6)

Eigenschaften

Artikel-ID: 947124 - Geändert am: Donnerstag, 1. Januar 2009 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition
Keywords: 
kbmt kbexpertiseinter kbtshoot kbprb KB947124 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947124
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com