Kerberos удостоверяване и отстраняване на проблеми за делегиране

IIS разработчик поддръжка глас колона

Kerberos удостоверяване и отстраняване на проблеми за делегиране

За да персонализирате тази колона на вашите нужди, ние искате да поканите да изпратите вашите идеи за теми, които ви интересуват и проблеми, които искате да видите отстранени в бъдеще статии от базата знания и поддръжка глас колони. Можете да изпратите вашите идеи и коментари формата Помолите за това . Има връзка към формуляра в долната част на тази колона.

Името ми е Мартин Петров и съм критичен проблем решение Microsoft Internet Information Services (IIS) групи на Microsoft. Са с Microsoft 9 години и са били с екипа на IIS всички 9 години. Мога да събират информация от различни места на
http://MSDN.Microsoft.com и
http://www.microsoft.com Kerberos и отстраняване на проблеми с делегирането.

IIS 6.0

Следната статия се пояснява как да настроите делегиране в Microsoft Windows Server 2003. Бялата книга съдържа специфична информация за мрежа балансиране на натоварването (NLB), но включва отлично подробности за това как да настроите делегирани сценарий, без да използвате NLB. За да видите тази статия, посетете следния уеб сайт на Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxЗабележка: Използвайте HTTP главни имена на услуги (SPN), особено когато използвате NLB.

Друг популярен Kerberos проблем наскоро е била необходимостта за няколко групи приложения да използват един и същ DNS име. За съжаление когато използвате Kerberos за делегиране на идентификационни данни, не можете да обвържете същата услуга главно име (SPN) към групи различни приложения. Не можете да направите това поради дизайна на Kerberos. Протоколът Kerberos изисква много споделена тайна за протокола да работи правилно. Използвайки същия SPN за различни наборите, ние премахване на един от тези споделени тайна. В справочната услуга Active Directory няма да поддържа тази конфигурация на протокола Kerberos поради сигурността.

Конфигуриране на spn по този начин причинява Kerberos удостоверяване. Възможно решение на този проблем е да се използва преминаване на протокола. Първоначалното удостоверяване между клиента и сървъра изпълнява IIS ще бъдат обработени чрез протокола NTLM удостоверяване. Kerberos ще обработи удостоверяване между IIS и сървъра на ресурса.

Microsoft Internet Explorer 6 или по-късно

Браузърът на клиента могат да възникнат проблеми, като например получаване на многократни подкани за идентификационни данни или съобщения за грешка "401 достъпът е отказан" от сървъра, който изпълнява IIS. Открихме следните две проблеми, които може да помогне за разрешаване на тези проблеми:

  • Уверете се, че Разрешаване на интегрирано Windows удостоверяване е избран в свойствата на браузъра. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

    299838 не може да се договаря Kerberos удостоверяване след надстройването на Internet Explorer 6

  • Ако конфигуриране за повишена защита на Internet Explorer е разрешен в Добавяне/премахване на програми, трябва да добавите сайт, който използва делегиране на
    Списък с надеждни сайтове . За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:

    815141 конфигуриране за повишена защита на Internet Explorer променя работата на браузъра

IIS 5.0 и IIS 6.0

След надграждане от IIS 4.0 IIS 5.0 или IIS 6.0, делегиране може да не функционира правилно или евентуално някой или приложение е променил метабазата свойството NTAuthenticationProviders.
За повече информация как да отстраните този проблем щракнете върху следния номер на статия в базата знания на Microsoft:

248350 Kerberos удостоверяването е неуспешно след надстройване от IIS 4.0 на IIS 5.0

Област на проблеми може да възникне, когато зададете SPN

Проверете името на сървъра

Определете дали се свързвате към уеб сайт с използване на действителния NetBIOS името на сървъра или псевдоними, например DNS име (например www.microsoft.com). Ако имате достъп до уеб сървър с помощта на име, различно от действителното име на сървъра, нова услуга главно име (SPN) трябва да са регистрирани чрез инструмента Setspn от Windows 2000 Server Resource Kit. Тъй като в справочната услуга Active Directory не знаете това име на услуга, предоставяне на билет услугата (TGS) не ви даде билет за удостоверяване на потребителя. Това кара клиента да използва следващия наличен удостоверяване метод, който е NTLM, да. Ако уеб сървърът отговаря на DNS име на www.microsoft.com, но сървърът се нарича webserver1.development.microsoft.com, трябва да регистрирате www.microsoft.com в Active Directory на сървър, който работи с IIS. За да направите това, трябва да изтеглите инструмента Setspn и да го инсталирате на сървъра, който изпълнява IIS.


Ако използвате Windows Server 2003 и IIS 6, Setspn инструмент за Microsoft Windows Server 2003 е налична от следния адрес:

http://support.microsoft.com/kb/970536За да определите дали се свързвате с помощта на същинското име, опитайте да се свържете към сървъра чрез действителното име на сървъра, вместо името на DNS. Ако не се свържете към сървъра, вижте раздела "Проверявам компютърът е надежден за делегиране".

Ако можете да се свържете към сървъра, изпълнете следните стъпки, за да настроите SPN за DNS името, което използвате за свързване към сървъра:

  1. Инсталирайте инструмента Setspn.

  2. На сървъра, който изпълнява IIS Отворете командния ред и след това отворете папката C:\Program Files\Resource Kit.

  3. Изпълнете следната команда, за да добавите този нов SPN (www.microsoft.com) в Active Directory за сървъра:

    Setspn - HTTP/www.microsoft.com webserver1Забележка: В тази команда webserver1 представлява NetBIOS името на сървъра.

Получавате резултат, подобно на следното:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

За да видите списък на spn сървъра, за да видите тази нова стойност, въведете следната команда на сървъра, който изпълнява IIS:

Setspn -L webservernameОбърнете внимание, че не е необходимо да регистрирате всички услуги. Различни услуги, като HTTP, W3SVC, WWW, RPC, CIFS (достъп до файлове), WINS и непрекъсваемо захранване (UPS), ще карта по подразбиране услугата тип, който се нарича ХОСТ. Например ако вашия софтуер използва SPN HTTP/webserver1.microsoft.com да създадете HTTP връзка към уеб сървъра на сървъра на webserver1.microsoft.com, но този SPN не е регистриран на сървъра, домейн контролер Windows 2000 автоматично ще карта връзката на HOST/webserver1.microsoft.com. Това съпоставяне се прилага само ако уеб услугата се изпълнява под акаунт на локалната система.

Проверете дали компютърът е надежден за делегиране

Ако този сървър IIS е член на домейн, но не е домейн контролер, компютърът трябва да бъде надежден за делегиране на Kerberos да работи правилно. За да направите това, изпълнете следните стъпки:

  1. На домейн контролера щракнете върху Старт, посочете Настройкии след това щракнете върху Контролен панел.

  2. В контролния панел отворете Административни инструменти.

  3. Щракнете двукратно върху Active Directory потребители и компютри.

  4. Под вашия домейн щракнете върху компютри.

  5. В списъка намерете сървъра, който изпълнява IIS щракнете върху името на сървъра и след това щракнете върху свойства.

  6. Щракнете върху раздела Общи , изберете
    Надеждни за делегиране на квадратчето и след това щракнете върху
    OK.

Обърнете внимание, че ако много уеб сайтове са от същия URL адрес, но на различни портове, делегиране няма да работи. За да направите тази работа, трябва да използвате различни имена на хостове и различни spn. Когато Internet Explorer изисква или http://www. mywebsite.com или http://www. mywebsite.com: 81, Internet Explorer заявки билет за SPN HTTP/www.mywebsite.com. Internet Explorer не добавите порт или vdir SPN искането. Това е един и същ за http://www. mywebsite.com/app1 или http://www. mywebsite.com/app2. В този случай Internet Explorer изисква билет за SPN http://www. mywebsite.com от ключ разпределение център (KDC). Всеки SPN може да бъде обявена само за една самоличност. Следователно също ще получите съобщение за грешка KRB_DUPLICATE_SPN при опит да декларирате този SPN за всяка самоличност.

Делегиране и Microsoft ASP.NET

За повече информация относно конфигурацията за делегиране на идентификационни данни, когато използвате приложение на ASP.NET щракнете върху следния номер на статия в базата знания на Microsoft:

810572 как да конфигурирате ASP.NET приложение за делегиране сценарий

Въплъщение и делегиране са два метода за сървър за удостоверяване от страна на клиента. Коя от следните методи, за да използвате и тяхното изпълнение може да доведе до объркване. Трябва да прегледате разликата между двата метода и проучете кои от тези методи, които искате да използвате за вашето приложение. Моята препоръка може да прочетете следния документ за допълнителна информация:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Препратки

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server подканя потребителя домейн за идентификационни данни

262177 как да разрешите регистрирането на събития на Kerberos

326985 как да отстранявате проблеми, свързани с Kerberos в IIS

842861 технически поддръжка на WebCast: отстраняване на Kerberos удостоверяване със защитена уеб приложения и Microsoft SQL Server

Както винаги, усещане, без да представят идеи за теми, които искате в бъдеще отстранени колони или използване на базата знания
Попитайте за това форма.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×