Fehlermeldung, wenn ein Benutzer Website besucht, die mithilfe von Microsoft ISA Server mit Clientzertifikatsauthentifizierung veröffentlicht wird: "Error Code: 403 Forbidden"

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows XP und Windows Vista

Problembeschreibung

Betrachten Sie das folgende Szenario:
  • Sie haben eingeschränkte Kerberos-Delegierung konfiguriert Clientzertifikatsauthentifizierung auf einer Website.
  • Diese Website ist mit Microsoft ISA Server mit Clientzertifikatsauthentifizierung veröffentlicht.
In diesem Szenario Wenn ein Benutzer die Website besucht erhalten der Benutzer die folgende Fehlermeldung:
Fehlercode: 403 Verboten.
Der Server verweigert die angegebenen Uniform Resource Locator (URL). Wenden Sie sich an den Serveradministrator. (12202)
Außerdem wird der folgende Eintrag im ISA Server-Anwendungsprotokoll protokolliert:
Type: ErrorDate: 10/29/2007
Time: 22:59:16
Event ID: 21315
Source: Microsoft ISA Server Web Proxy
User: N/A
Computer: ISA2K6
Details:
ISA Server failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule YourPublishingRule . Check that the SPN: http/dc-fqdn configured in ISA Server matches the SPN in Active Directory.

Ursache

Dieses Problem tritt auf, da das Computerobjekt von ISA Server nicht über ausreichende Berechtigungen zum Lesen der Attribute des Benutzerkontos in Active Directory-Verzeichnisdienst.

Problemlösung

Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden:

Methode 1

Das Computerkonto des ISA-Servers auf die Windows-Autorisierungszugriffsgruppe hinzufügen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und-Computer
  2. In Active Directory-Benutzer und-Computerauf Vordefiniertund doppelklicken Sie dann auf Windows-Autorisierungszugriffsgruppe.
  3. Klicken Sie auf die Registerkarte Mitglieder , und fügen Sie das Computerkonto ISA Server zur Mitgliederliste .

Methode 2

Stellen Sie sicher, dass folgende Access Service for User (S4U) Aufrufer übereinstimmen.

Hinweis In diesem Fall ist der Aufrufer S4U Computerobjekt ISA Server.
  • Das Benutzerobjekt oder das Computerobjekt.
  • RAS-Informationen -Eigenschaft.
  • Informationen zu Remote Access -Eigenschaft.

    Hinweis Die GUID für diese Eigenschaft ist 037088f8-0ae1 - 11d 2-b422-00a0c968f939. Diese Eigenschaft enthält die folgenden Attribute:
    • msNPAllowDialin
    • msNPCallingStationID
    • msRADIUSCallbackNumber
    • msRADIUSFramedIPAddress
    • msRADIUSFramedRoute
    • msRADIUSServiceType
    • TokenGroups
  • Die Token-Gruppen-global-und-Universal (TGGAU) -Eigenschaft.

    Hinweis Knowledge Base-Artikel 331951 beschreibt das TGGAU Attribut Applikationen aktivieren. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    331951 einigen Applikationen und APIs benötigen Zugriff auf Autorisierungsinformationen Kontoobjekte

Insbesondere können Sie versuchen, das Sicherheitsprinzipal hinzufügen, das um die Windows-Autorisierungszugriffsgruppe von ISA Server verwendet wird. Sie können die Gruppe Jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff hinzufügen.

Weitere Informationen

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Um sicherzustellen, dass dieses Problem auftritt, sammeln Sie Debuggen den Datenverkehr vom ISA Server-basierten Computer und einem Kerberos Protokoll auf das Schlüsselverteilungscenter (KDC).

Um Kerberos KDC anmelden aktivieren, gehen Sie folgendermaßen vor:
  1. Installieren Sie das getestete Build der Kerberos-Module ("Kerberos.dll" und Kdcsvc.dll). Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Domänencontroller im abgesicherten Modus.
    2. Kerberos DLL-Dateien sichern.
    3. Kopieren Sie das getestete Build der Kerberos-Module.
  2. Fügen Sie die folgenden Registrierungseinträge:
    • Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
      Wert: KdcDebugLevel
      Typ: REG_DWORD
      Wert Daten: 0xffffffff
    • Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\Lsa\Kerberos\Parameters
      Wert: LogToFile
      Typ: REG_DWORD
      Daten: 1 (aktiviert)
    • Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
      Wert: KdcExtraLogLevel
      Typ: REG8DWORD
      Wert Daten: 0 x 4
  3. Starten Sie den KDC-Server.
Die Protokolldatei ist "Lsass.log" im Ordner %Systemroot%\System32 erstellt.

Wenn Sie dieses Problem möglicherweise Einträge, die den folgenden ähneln in der Datei "Lsass.log" protokolliert:
392.1728> KDC-Error: GroupExpansion AuthZAC failed 5, lvl 0392.1728> KDC-Error: Failed Authz check 

392.1728> KDC-(null): Entering FreeTicketInfo
392.1728> KDC-(null): Exiting FreeTicketInfo
392.1728> KDC-Error: KdcGetS4UTicketINfo failed - 6
392.1728> KDC-(null): Entering FreeTicketInfo
392.1728> KDC-(null): Exiting FreeTicketInfo
392.1728> KDC-(null): Entering KdcFreeInternalTicket
392.1728> KDC-(null): Exiting KdcFreeInternalTicket
392.1728> KDC-PAPI: I_GetTGSTicket returning 0x6

In den Datenverkehr finden Sie Einträge, die den folgenden ähneln:
10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:AS Request Cname:  username @ domain .fqdn Realm: kcd. domain .fqdn Sname: krbtgt/kcd. domain .fqdn 10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_PREAUTH_REQUIRED (25)
10.10.10.1 10.10.10.10 KerberosV5 KerberosV5:TGS Request Realm: domain .fqdn
10.10.10.10 10.10.10.1 KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_C_PRINCIPAL_UNKNOWN (6)

Eigenschaften

Artikelnummer: 947124 – Letzte Überarbeitung: 14.01.2017 – Revision: 2

Feedback