تفويض المصادقة عبر Kerberos لا يعمل في أبنية موازنة التحميل

الأعراض

عندما يحاول عميل لاستخدام Kerberos لتفويض المصادقة في هندسة موازنة التحميل، لا تعمل Kerberos وخدمات معلومات إنترنت (IIS) يسقط مرة أخرى إلى مصادقة Windows NT الارتياب/الاستجابة. لأنه لا يمكن استخدام Windows NT الارتياب/الاستجابة للتفويض، لا تعمل أي التطبيقات أو الخدمات التي تتطلب التفويض.

السبب

تحدث هذه المشكلة بسبب وجود قيود في بروتوكول مصادقة Kerberos. تقسيم موازنة الحمل يستخدم اسم مضيف ظاهري لتعريف نفسه، وهذا هو اسم المضيف لإصدار تذكرة Kerberos. عندما يتم تقديم البطاقة إلى الخادم الفعلي، لا يطابق العميل التي يتم توجيهها إلى البطاقة الخاصة به الملقم الرئيسي اسم (SPN). بالإضافة إلى ذلك، في مجال Windows 2000، لا يمكن تعيين اسم مضيف ظاهري موثوق بها للتفويض في "Active Directory".

عند رفض الملقم تذكرة Kerberos، يعيد التفاوض العميل ومحاولة استخدام مصادقة Windows NT الارتياب/الاستجابة. إذا كان يمكن مصادقة العميل من خلال هذا الأسلوب، فشل التفويض أنه يعتمد على Kerberos للدالة.

الحل البديل

يتطلب الحل ممكنة واحدة أن كل كمبيوتر في كتلة موازنة التحميل المتوفرة للإجابة على اسم المجال المؤهل بالكامل الخاص به (FQDN). يجب إعادة توجيه الصفحة الافتراضية على كل ملقم العميل مباشرة لنفسها، وبالتالي تجاوز اسم مضيف ظاهري وبدلاً من ذلك توفير اسم مضيف صحيح يمكن إصدار تذكرة ل.

كعينة، الصفحة يمكن أن يكون شيئا بسيطة السطر التالي:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
بافتراض أن my.unique.fqdn كان FQDN فريد للكمبيوتر والتي Default2.asp هي الصفحة الافتراضية الفعلية التي يجب أن يتم توجيه العميل إلى استخدام Kerberos إعادة التوجيه البسيطة للعمل في بنية موازنة التحميل.

كتحذير، يمكنك مشاهدة العميل أو تسجيل (أي، الإشارة المرجعية) الاسم الفريد الذي يتم توجيه العميل إلى الخادم. قد يبدو هذا أن يؤدي إلى انقطاع إذا الإشارات المرجعية التي الموقع العميل ويحاول العودة عند عدم توفر ملقم الفعلية أو اسم الخادم الفريد.

مزيد من المعلومات

ورقة بيضاء غير متوفرة الآن يتناول كيفية إعداد بيئة موازنة تحميل شبكة اتصال لمصادقة Kerberos. قد يستغرق وقتاً أطول لتنفيذ لأنها تتضمن التغييرات في بيئة ملقم ويب هذا الحل. ومع ذلك، قد يكون الحل هو موضح في الكتاب الأبيض أفضل من الحلول الموضحة في قسم "الحل البديل".

ملاحظة: في حالة استخدام الحلول الموضحة في الورقة البيضاء، تسجيل SPN/مضيف عندما يتم توجيهك إلى. تسجيل HTTP SPN.

قم بزيارة موقع Microsoft التالي على الويب لعرض الورقة البيضاء "مصادقة Kerberos لتحميل متوازن مواقع ويب":

لمزيد من المعلومات حول موازنة تحميل شبكة الاتصال، قم بزيارة موقع Microsoft التالي على الويب:

لمزيد من المعلومات حول بروتوكول المصادقة Kerberos، راجع موقع ويب RFC التالية:
خصائص

رقم الموضوع: 325608 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات