Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Fehlermeldung, wenn ein Benutzer Website besucht, die mithilfe von Microsoft ISA Server mit Clientzertifikatsauthentifizierung veröffentlicht wird: "Error Code: 403 Forbidden"

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 947124
Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
322756 Sichern und Wiederherstellen der Registrierung in Windows XP und Windows Vista
Problembeschreibung
Betrachten Sie das folgende Szenario:
  • Sie haben eingeschränkte Kerberos-Delegierung konfiguriert Clientzertifikatsauthentifizierung auf einer Website.
  • Diese Website ist mit Microsoft ISA Server mit Clientzertifikatsauthentifizierung veröffentlicht.
In diesem Szenario Wenn ein Benutzer die Website besucht erhalten der Benutzer die folgende Fehlermeldung:
Fehlercode: 403 Verboten.
Der Server verweigert die angegebenen Uniform Resource Locator (URL). Wenden Sie sich an den Serveradministrator. (12202)
Außerdem wird der folgende Eintrag im ISA Server-Anwendungsprotokoll protokolliert:
Type: ErrorDate: 10/29/2007Time: 22:59:16Event ID: 21315Source: Microsoft ISA Server Web ProxyUser: N/AComputer: ISA2K6Details: ISA Server failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule YourPublishingRule. Check that the SPN: http/dc-fqdn configured in ISA Server matches the SPN in Active Directory.
Ursache
Dieses Problem tritt auf, da das Computerobjekt von ISA Server nicht über ausreichende Berechtigungen zum Lesen der Attribute des Benutzerkontos in Active Directory-Verzeichnisdienst.
Lösung
Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden:

Methode 1

Das Computerkonto des ISA-Servers auf die Windows-Autorisierungszugriffsgruppe hinzufügen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltungund klicken Sie dann auf Active Directory-Benutzer und-Computer
  2. In Active Directory-Benutzer und-Computerauf Vordefiniertund doppelklicken Sie dann auf Windows-Autorisierungszugriffsgruppe.
  3. Klicken Sie auf die Registerkarte Mitglieder , und fügen Sie das Computerkonto ISA Server zur Mitgliederliste .

Methode 2

Stellen Sie sicher, dass folgende Access Service for User (S4U) Aufrufer übereinstimmen.

Hinweis In diesem Fall ist der Aufrufer S4U Computerobjekt ISA Server.
  • Das Benutzerobjekt oder das Computerobjekt.
  • RAS-Informationen -Eigenschaft.
  • Informationen zu Remote Access -Eigenschaft.

    Hinweis Die GUID für diese Eigenschaft ist 037088f8-0ae1 - 11d 2-b422-00a0c968f939. Diese Eigenschaft enthält die folgenden Attribute:
    • msNPAllowDialin
    • msNPCallingStationID
    • msRADIUSCallbackNumber
    • msRADIUSFramedIPAddress
    • msRADIUSFramedRoute
    • msRADIUSServiceType
    • TokenGroups
  • Die Token-Gruppen-global-und-Universal (TGGAU) -Eigenschaft.

    Hinweis Knowledge Base-Artikel 331951 beschreibt das TGGAU Attribut Applikationen aktivieren. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    331951 Einige Programme und APIs benötigen Zugriff auf Autorisierungsinformationen Kontoobjekte
Insbesondere können Sie versuchen, das Sicherheitsprinzipal hinzufügen, das um die Windows-Autorisierungszugriffsgruppe von ISA Server verwendet wird. Sie können die Gruppe Jeder der Gruppe Prä-Windows 2000 kompatibler Zugriff hinzufügen.
Weitere Informationen
Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Um sicherzustellen, dass dieses Problem auftritt, sammeln Sie Debuggen den Datenverkehr vom ISA Server-basierten Computer und einem Kerberos Protokoll auf das Schlüsselverteilungscenter (KDC).

Um Kerberos KDC anmelden aktivieren, gehen Sie folgendermaßen vor:
  1. Installieren Sie das getestete Build der Kerberos-Module ("Kerberos.dll" und Kdcsvc.dll). Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Domänencontroller im abgesicherten Modus.
    2. Kerberos DLL-Dateien sichern.
    3. Kopieren Sie das getestete Build der Kerberos-Module.
  2. Fügen Sie die folgenden Registrierungseinträge:
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Wert: KdcDebugLevel
      Typ: REG_DWORD
      Wert Daten: 0xffffffff
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro\Lsa\Kerberos\Parameters

      Wert: LogToFile
      Typ: REG_DWORD
      Daten: 1 (aktiviert)
    • Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

      Wert: KdcExtraLogLevel
      Typ: REG8DWORD
      Wert Daten: 0 x 4
  3. Starten Sie den KDC-Server.
Die Protokolldatei ist "Lsass.log" im Ordner %Systemroot%\System32 erstellt.

Wenn Sie dieses Problem möglicherweise Einträge, die den folgenden ähneln in der Datei "Lsass.log" protokolliert:
392.1728> KDC-Error: GroupExpansion AuthZAC failed 5, lvl 0392.1728> KDC-Error: Failed Authz check 392.1728> KDC-(null): Entering FreeTicketInfo392.1728> KDC-(null): Exiting FreeTicketInfo392.1728> KDC-Error: KdcGetS4UTicketINfo failed - 6392.1728> KDC-(null): Entering FreeTicketInfo392.1728> KDC-(null): Exiting FreeTicketInfo392.1728> KDC-(null): Entering KdcFreeInternalTicket392.1728> KDC-(null): Exiting KdcFreeInternalTicket392.1728> KDC-PAPI: I_GetTGSTicket returning 0x6
In den Datenverkehr finden Sie Einträge, die den folgenden ähneln:
10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:AS Request Cname: username@domain.fqdn Realm: kcd.domain.fqdn Sname: krbtgt/kcd.domain.fqdn 10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_PREAUTH_REQUIRED (25)10.10.10.1  10.10.10.10 KerberosV5  KerberosV5:TGS Request Realm: domain.fqdn 10.10.10.10 10.10.10.1  KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_C_PRINCIPAL_UNKNOWN (6)

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 947124 – Letzte Überarbeitung: 07/03/2016 08:25:00 – Revision: 3.0

Microsoft Internet Security and Acceleration Server 2004 Standard Edition, Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition, Microsoft Internet Security and Acceleration Server 2000 Standard Edition, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition

  • kbexpertiseinter kbtshoot kbprb kbmt KB947124 KbMtde
Feedback
y>: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">1&t=">/html>