Kerberos-Authentifizierung und Problembehandlung bei der Delegierung

IIS Developer Support Voice-Kolumne

Kerberos-Authentifizierung und Problembehandlung bei der Delegierung

Diese Spalte an Ihre Bedürfnisse anpassen möchten Laden Sie Ihre Ideen zu Themen, die Sie interessieren und sollen Probleme in Zukunft Knowledge Base-Artikeln und Support Voice Spalten angesprochen. Sie können Ihre Ideen und ihr Feedback Bitten dafür Formular senden. Außerdem wird ein Link zu diesem Formular am Ende dieser Kolumne.
Mein Name ist Martin Smith, und ich bin mit Microsoft Microsoft-Internetinformationsdienste (IIS) wichtige Lösung. Ich habe neun Jahre bei Microsoft und wurden alle neun Jahre mit dem IIS-Team. Ich habe Informationen von mehreren Standorten aus auf zusammengestellt.
http://msdn.Microsoft.com und
http://www.microsoft.com Kerberos und Delegierung zur Behandlung von Problemen.

IIS 6.0

Im folgende Whitepaper beschreibt die Delegierung in Microsoft Windows Server 2003 eingerichtet. Das Whitepaper enthält ausgezeichnete Informationen zum Einrichten einer delegierten Szenario ohne NLB jedoch verfügt über spezielle Informationen für Network Load Balancing (NLB). Um dieses Whitepaper finden Sie auf der folgenden Microsoft-Website:Hinweis Verwenden Sie HTTP Dienstprinzipalnamen (SPN), insbesondere bei Verwendung von NLB.

Eine andere beliebtes Kerberos-Problem wurde der Notwendigkeit für mehrere Anwendungspools, denselben DNS-Namen verwenden. Leider Wenn Sie Kerberos verwenden, um die Delegierung von Anmeldeinformationen, kann den gleichen Principal Name (SPN) nicht an andere Anwendungspools gebunden. Dies ist aufgrund der Kerberos nicht möglich. Das Kerberos-Protokoll erfordert mehrere gemeinsame geheime Schlüssel für das Protokoll ordnungsgemäß funktioniert. Mithilfe den gleichen SPN für andere Anwendungspools beseitigen wir einen gemeinsamen geheimen Schlüssel. Der Active Directory-Dienst unterstützt diese Konfiguration des Kerberos-Protokolls nicht wegen der Sicherheit.

Die SPN wird auf diese Weise Kerberos-Authentifizierung fehl. Eine mögliche Abhilfe für dieses Problem wäre Protokolltransfer. Die erste Authentifizierung zwischen dem Client und dem Server IIS ausgeführt würde mit NTLM-Authentifizierungsprotokolls behandelt werden. Kerberos wird die Authentifizierung zwischen IIS und dem Back-End-Ressourcenserver behandeln.

Microsoft InternetExplorer 6 oder höher

Der Clientbrowser treten Probleme wie der Server mit IIS wiederholte fordert Anmeldeinformationen oder "401 Zugriff verweigert" Fehlermeldungen erhalten. Wir haben die folgenden zwei Probleme gefunden, die helfen können, diese Probleme zu beheben:
  • Stellen Sie sicher, dass Integrierte Windows-Authentifizierung aktivieren der Browsereigenschaften ausgewählt ist. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    299838 kann nicht Kerberos-Authentifizierung nach Update auf Internet Explorer 6 auszuhandeln

  • Wenn verstärkte Sicherheitskonfiguration für Internet Explorer in der Software aktiviert ist, müssen Sie eine Website, die Delegierung hinzufügen der
    Liste der vertrauenswürdigen Sites . Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    815141 geändertes Browserverhalten durch verstärkte Sicherheitskonfiguration für Internet Explorer

IIS 5.0 und IIS 6.0

Nach dem Aktualisieren von IIS 4.0, IIS 5.0 oder IIS 6.0 Delegierung funktioniert möglicherweise nicht ordnungsgemäß, oder möglicherweise ein Benutzer oder eine Anwendung verändert die Metabasiseigenschaft NTAuthenticationProviders.
Weitere Informationen zur Behebung dieses Problems finden Sie im folgenden Artikel der Microsoft Knowledge Base:
248350 Kerbauthentifizierung schlägt nach dem Aktualisieren von IIS 4.0 für IIS 5.0

Ein bestimmten Bereich des Probleme kann auftreten, wenn den SPN festgelegt

Ermitteln des Servernamens

Bestimmen Sie, ob Sie die Website mithilfe der NetBIOS-Namens des Servers oder einen Aliasnamen, wie einen DNS-Namen (z. B. www.microsoft.com) verbinden. Wenn Sie einen anderen Namen als den tatsächlichen Namen des Servers mit den Webserver zugreifen, muss ein neuer Service Principal Name (SPN) registriert wurden mithilfe des Tools Setspn aus Windows 2000 Server Resource Kit. Da der Active Directory-Dienst diesen Dienstnamen nicht bekannt, gibt ticketgenehmigenden Dienst (TGS) Sie ein Ticket zur Authentifizierung des Benutzers. Dies zwingt den Client verwendet die nächste verfügbare Authentifizierungsmethode, also NTLM um zu verhandeln. Wenn der Webserver reagiert auf einen DNS-Namen www.Microsoft.com Server heißt webserver1.development.microsoft.com, müssen Sie www.microsoft.com in Active Directory auf dem Server registrieren, die mit IIS ausgeführt wird. Dazu müssen Sie das Setspn-Tool herunterladen und installieren auf dem Server mit IIS.


Wenn Sie Windows Server 2003 und IIS 6 verwenden, steht das Setspn-Tool für Microsoft Windows Server 2003 aus dem folgenden Speicherort:Um festzustellen, ob Sie, eine Verbindung mit dem tatsächlichen Namen, versuchen Sie die Verbindung zum Server mit den tatsächlichen Namen des Servers statt des DNS-Namens. Wenn Sie mit dem Server verbinden können, finden Sie im Abschnitt "Überprüfen der Computer wird für Delegierungszwecke vertraut".

Gehen folgendermaßen Sie vor, um einen SPN für den DNS-Namen festzulegen, die Sie verwenden, um mit dem Server herstellen, wenn Verbindung zum Server:
  1. Das Setspn-Tool zu installieren.
  2. Auf dem IIS-Server ein Eingabeaufforderungsfenster, und öffnen Sie den Ordner c:\Programme\Microsoft c:\Programme\Resource Kit.
  3. Führen Sie den folgenden Befehl auf diesen neuen SPN (www.microsoft.com) im Active Directory des Servers hinzuzufügen:
    Setspn-HTTP-www.microsoft.com webserver1
    Hinweis In diesem Befehl repräsentiert webserver1 den NetBIOS-Namen des Servers.
Ausgabe ähnlich der folgenden angezeigt:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Um eine Liste der SPNs auf dem Server auf den neuen Wert anzuzeigen, geben Sie folgenden Befehl auf dem IIS-Server:
Setspn -L webservername
Beachten Sie, dass nicht alle Dienste registriert werden müssen. Viele Diensttypen, werden wie HTTP, W3SVC, WWW, RPC, CIFS (Dateizugriff), WINS und unterbrechungsfreie Stromversorgung (USV) dem Standarddiensttyp zugeordnet mit dem Namen HOST. Beispielsweise wird Wenn Ihre Clientsoftware SPN HTTP/webserver1.microsoft.com verwendet webserver1.microsoft.com Server eine HTTP-Verbindung zum Webserver erstellen, aber dieser SPN nicht auf dem Server registriert, der Windows 2000-Domänencontroller automatisch die Verbindung HOST/webserver1.microsoft.com zuordnen. Diese Zuordnung gilt nur, wenn der Web-Dienst unter dem lokalen Systemkonto ausgeführt wird.

Stellen Sie sicher, dass der Computer für Delegierungszwecke vertraut wird

Wenn dieser Server mit IIS ist kein Domänencontroller Mitglied der Domäne ist, muss der Computer für Delegierungszwecke vertraut, damit Kerberos ordnungsgemäß funktioniert sein. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf dem Domänencontroller auf Start, zeigen Sie auf Einstellungenund Klicken.
  2. Öffnen Sie im Bedienfeld Verwaltung.
  3. Doppelklicken Sie auf Active Directory-Benutzer und -Computer.
  4. Klicken Sie unter Ihrer Domäne auf Computer.
  5. Suchen Sie in der Liste den Server mit IIS Server Maustaste und klicken Sie dann auf Eigenschaften.
  6. Klicken Sie auf die Registerkarte Allgemein , aktivieren Sie das
    Für Delegierungszwecke vertraut , und klicken Sie dann auf
    OK.
Beachten Sie, dass mehrere Websites dieselbe URL jedoch andere Ports erreicht, Delegierung nicht funktioniert. Damit dies funktioniert, müssen Sie unterschiedliche Hostnamen und andere SPNs verwenden. Wenn Internet Explorer entweder http://www anfordert. MeineWebsite.com oder http://www. MeineWebsite.com:81 Internet Explorer fordert ein Ticket für SPN HTTP/www.mywebsite.com. Internet Explorer wird der Anschluss oder das virtuelle Verzeichnis SPN Anforderung hinzufügen. Dieses Verhalten gilt für http://www. MeineWebsite.com/app1 oder http://www. MeineWebsite.com/app2. In diesem Szenario fordert Internet Explorer ein Ticket für SPN http://www. MeineWebsite.com aus dem Schlüsselverteilungscenter (KDC). Jeder SPN kann nur für eine Identität deklariert werden. Daher auch erhalten eine KRB_DUPLICATE_SPN-Fehlermeldung Sie beim Deklarieren diese SPN für jede Identität.

Delegierung und Microsoft ASP.NET

Weitere Informationen über die Konfiguration für die Delegierung von Anmeldeinformationen bei ASP.NET eine Anwendung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
810572 zum Konfigurieren einer Anwendung ASP.NET für ein Delegierungsszenario

Identitätswechsel und Delegierung sind zwei Methoden für einen Server im Auftrag des Clients authentifiziert. Entscheiden, welche dieser Methoden und deren Implementierung kann verwirrend. Überprüfen den Unterschied zwischen diesen beiden Methoden, und überprüfen, welche dieser Methoden Sie möglicherweise für Ihre Anwendung verwenden. Meine Empfehlung wäre lesen Sie weitere Informationen im folgende Whitepaper:

Referenzen

305971 Domänenbenutzer Anmeldeinformationen aufgefordert, Windows 2000 Server

262177 so Protokollierung aktivieren

326985 Behandlung von Kerberos-Problemen in IIS

842861 TechNet Support WebCast: Problembehandlung bei Kerberos-Authentifizierung mit sicheren Web-Applikationen und Microsoft SQL Server

Wie immer gerne Ideen zu Themen soll in Zukunft Spalten oder in der Knowledge Base mit der
Bitten Sie für Form.
Eigenschaften

Artikelnummer: 907272 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback