Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Στήλη φωνής υποστήριξης προγραμματιστών IIS

Έλεγχος ταυτότητας Kerberos και αντιμετώπιση προβλημάτων ανάθεσης προβλημάτων

Για να προσαρμόσετε αυτήν τη στήλη στις ανάγκες σας, θέλουμε να σας προσκαλέσουμε να υποβάλετε τις ιδέες σας σχετικά με θέματα που σας ενδιαφέρουν και θέματα που θέλετε να αντιμετωπίσετε σε μελλοντικά άρθρα της Γνωσιακής βάσης και στήλες Υποστήριξης φωνητικών εντολών. Μπορείτε να υποβάλετε τις ιδέες και τα σχόλιά σας χρησιμοποιώντας τη φόρμα Ask For It. Υπάρχει επίσης μια σύνδεση προς τη φόρμα στο κάτω μέρος αυτής της στήλης.

Το όνομά μου είναι <όνομα> και είμαι με την ομάδα επίλυσης προβλημάτων ζωτικής σημασίας των υπηρεσιών Microsoft Internet Information Services (IIS). Είμαι στη Microsoft εννέα χρόνια και είμαι στην ομάδα IIS και τα εννέα χρόνια. Έχω συγκεντρώσει πληροφορίες από πολλές θέσεις στο
http://msdn.microsoft.com και
http://www.microsoft.com σχετικά με το Kerberos και τον τρόπο αντιμετώπισης προβλημάτων ανάθεσης.

IIS 6.0

Η ακόλουθη λευκή βίβλος περιγράφει τον τρόπο ρύθμισης της ανάθεσης στον Microsoft Windows Server 2003. Η Λευκή Βίβλος έχει συγκεκριμένες πληροφορίες για την εξισορρόπηση φόρτου δικτύου (NLB), αλλά περιλαμβάνει εξαιρετικές λεπτομέρειες σχετικά με τον τρόπο ρύθμισης ενός σεναρίου με ανάθεση χωρίς τη χρήση NLB. Για να προβάλετε αυτή τη λευκή βίβλο, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

http://technet.microsoft.com/en-us/library/cc757299.aspxΣημείωση Χρησιμοποιήστε κύρια ονόματα υπηρεσίας HTTP (SPN) ειδικά όταν χρησιμοποιείτε NLB.

Ένα άλλο δημοφιλές πρόβλημα kerberos πρόσφατα ήταν η ανάγκη για πολλούς χώρους συγκέντρωσης εφαρμογών να χρησιμοποιούν το ίδιο όνομα DNS. Δυστυχώς, όταν χρησιμοποιείτε το Kerberos για την ανάθεση διαπιστευτηρίων, δεν μπορείτε να συνδέσετε το ίδιο κύριο όνομα υπηρεσίας (SPN) σε διαφορετικούς χώρους συγκέντρωσης εφαρμογών. Δεν μπορείτε να το κάνετε αυτό εξαιτίας της σχεδίασης του Kerberos. Το πρωτόκολλο Kerberos απαιτεί πολλά κοινόχρηστα μυστικά για να λειτουργήσει σωστά το πρωτόκολλο. Χρησιμοποιώντας το ίδιο SPN για διαφορετικούς χώρους συγκέντρωσης εφαρμογών, εξαλείφουμε ένα από αυτά τα κοινόχρηστα μυστικά. Η υπηρεσία καταλόγου Active Directory δεν θα υποστηρίζει αυτήν τη ρύθμιση παραμέτρων του πρωτοκόλλου Kerberos λόγω του ζητήματος ασφαλείας.

Η ρύθμιση των παραμέτρων των SPN με αυτόν τον τρόπο προκαλεί την αποτυχία του ελέγχου ταυτότητας Kerberos. Μια πιθανή λύση για αυτό το πρόβλημα θα ήταν να χρησιμοποιήσετε τη μετάβαση πρωτοκόλλου. Ο αρχικός έλεγχος ταυτότητας μεταξύ του υπολογιστή-πελάτη και του διακομιστή που εκτελεί τις IIS θα γίνεται με χρήση του πρωτοκόλλου ελέγχου ταυτότητας NTLM. Kerberos θα χειριστεί τον έλεγχο ταυτότητας μεταξύ των IIS και του διακομιστή πόρων backend.

Microsoft Internet Explorer 6 ή νεότερη έκδοση

Το πρόγραμμα περιήγησης προγράμματος-πελάτη ενδέχεται να αντιμετωπίσει προβλήματα, όπως η λήψη επαναλαμβανόμενων μηνυμάτων σύνδεσης για διαπιστευτήρια ή τα μηνύματα σφάλματος "Δεν επιτρέπεται η πρόσβαση 401" από το διακομιστή που εκτελεί IIS. Εντοπίσαμε τα ακόλουθα δύο ζητήματα που μπορεί να σας βοηθήσουν να επιλύσετε αυτά τα προβλήματα:

  • Βεβαιωθείτε ότι η επιλογή Ενεργοποίηση ενσωματωμένου ελέγχου ταυτότητας των Windows είναι επιλεγμένη στις ιδιότητες του προγράμματος περιήγησης.
     

  • Εάν η ρύθμιση παραμέτρων βελτιωμένης ασφάλειας του Internet Explorer είναι ενεργοποιημένη στην επιλογή Προσθαφαίρεση προγραμμάτων, πρέπει να προσθέσετε μια τοποθεσία που χρησιμοποιεί ανάθεση
    στη λίστααξιόπιστων τοποθεσιών. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για προβολή του άρθρου στη Γνωσιακή Βάση της Microsoft:

    815141 Η βελτιωμένη ρύθμιση παραμέτρων ασφάλειας του Internet Explorer αλλάζει την εμπειρία περιήγησης
     

IIS 5.0 και IIS 6.0

Μετά την αναβάθμιση από IIS 4.0 σε IIS 5.0 ή IIS 6.0, η ανάθεση ενδέχεται να μην λειτουργεί σωστά ή πιθανώς κάποιος ή μια εφαρμογή έχει τροποποιήσει την ιδιότητα μετα-βάσης NTAuthenticationProviders.

 

Μια συγκεκριμένη περιοχή προβλημάτων μπορεί να προκύψει όταν ορίζετε το SPN

Προσδιορισμός του ονόματος διακομιστή

Προσδιορίστε εάν συνδέεστε στην τοποθεσία Web χρησιμοποιώντας το πραγματικό όνομα NetBIOS του διακομιστή ή χρησιμοποιώντας ένα όνομα ψευδώνυμου, όπως ένα όνομα DNS (για παράδειγμα, www.microsoft.com). Εάν αποκτάτε πρόσβαση στο διακομιστή Web χρησιμοποιώντας ένα όνομα διαφορετικό από το πραγματικό όνομα του διακομιστή, πρέπει να έχει καταχωρηθεί ένα νέο Κύριο όνομα υπηρεσίας (SPN) χρησιμοποιώντας το εργαλείο Setspn από το Windows 2000 Server Resource Kit. Επειδή η υπηρεσία καταλόγου Active Directory δεν γνωρίζει αυτό το όνομα υπηρεσίας, η υπηρεσία εκχώρησης εισιτηρίων (TGS) δεν σας παρέχει δελτίο για τον έλεγχο ταυτότητας του χρήστη. Αυτή η συμπεριφορά αναγκάζει τον υπολογιστή-πελάτη να χρησιμοποιήσει την επόμενη διαθέσιμη μέθοδο ελέγχου ταυτότητας, η οποία είναι NTLM, για επαναδιαπραγμάτευση. Εάν ο διακομιστής Web αποκρίνεται σε ένα όνομα DNS του www.microsoft.com αλλά ο διακομιστής έχει το όνομα webserver1.development.microsoft.com, πρέπει να καταχωρήσετε www.microsoft.com στην υπηρεσία καταλόγου Active Directory στο διακομιστή που εκτελεί τις υπηρεσίες IIS. Για να το κάνετε αυτό, πρέπει να κάνετε λήψη του εργαλείου Setspn και να το εγκαταστήσετε στο διακομιστή που εκτελεί τις IIS.


Για να προσδιορίσετε εάν συνδέεστε χρησιμοποιώντας το πραγματικό όνομα, προσπαθήστε να συνδεθείτε στο διακομιστή χρησιμοποιώντας το πραγματικό όνομα του διακομιστή αντί για το όνομα DNS. Εάν δεν μπορείτε να συνδεθείτε με το διακομιστή, ανατρέξτε στην ενότητα "Βεβαιωθείτε ότι ο υπολογιστής είναι αξιόπιστος για ανάθεση".

Εάν μπορείτε να συνδεθείτε με το διακομιστή, ακολουθήστε τα παρακάτω βήματα για να ορίσετε ένα SPN για το όνομα DNS που χρησιμοποιείτε για να συνδεθείτε με το διακομιστή:

  1. Εγκαταστήστε το εργαλείο Setspn.

  2. Στο διακομιστή που εκτελεί τις δυνατότητες IIS, ανοίξτε μια γραμμή εντολών και, στη συνέχεια, ανοίξτε το φάκελο C:\Program Files\Resource Kit.

  3. Εκτελέστε την ακόλουθη εντολή για να προσθέσετε αυτό το νέο SPN (www.microsoft.com) στην υπηρεσία καταλόγου Active Directory για το διακομιστή:

    Setspn -A HTTP/www.microsoft.com webserver1Σημείωση Σε αυτή την εντολή, το webserver1 αντιπροσωπεύει το όνομα NetBIOS του διακομιστή.

Λαμβάνετε αποτελέσματα που είναι παρόμοια με τα εξής:
Δήλωση ServicePrincipalNames για CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Ενημερωμένο αντικείμενο
Για να προβάλετε μια λίστα των SPN στο διακομιστή για να δείτε αυτή τη νέα τιμή, πληκτρολογήστε την ακόλουθη εντολή στο διακομιστή που εκτελεί IIS:

Setspn -L webservername Note ότι δεν χρειάζεται να καταχωρήσετε όλες τις υπηρεσίες. Πολλοί τύποι υπηρεσιών, όπως HTTP, W3SVC, WWW, RPC, CIFS (πρόσβαση αρχείων), WINS και ασυνέπεια τροφοδοτικό (UPS), θα αντιστοιχίζονται με έναν προεπιλεγμένο τύπο υπηρεσίας που ονομάζεται HOST. Για παράδειγμα, εάν το λογισμικό προγράμματος-πελάτη χρησιμοποιεί ένα SPN HTTP/webserver1.microsoft.com για να δημιουργήσει μια σύνδεση HTTP με το διακομιστή Web στο διακομιστή webserver1.microsoft.com, αλλά αυτό το SPN δεν έχει καταχωρηθεί στο διακομιστή, ο ελεγκτής τομέα των Windows 2000 θα αντιστοιχίσει αυτόματα τη σύνδεση με τον HOST/webserver1.microsoft.com. Αυτή η αντιστοίχιση ισχύει μόνο εάν η υπηρεσία Web εκτελείται κάτω από τον τοπικό λογαριασμό συστήματος.

Βεβαιωθείτε ότι ο υπολογιστής είναι αξιόπιστος για ανάθεση

Εάν αυτός ο διακομιστής που εκτελεί τις IIS είναι μέλος του τομέα, αλλά δεν είναι ελεγκτής τομέα, ο υπολογιστής πρέπει να είναι αξιόπιστος για να λειτουργήσει σωστά το Kerberos. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

  1. Στον ελεγκτή τομέα, κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Ρυθμίσεις και, στη συνέχεια, κάντε κλικ στην επιλογή Πίνακας Ελέγχου.

  2. Στο Πίνακας Ελέγχου, ανοίξτε τα Εργαλεία διαχείρισης.

  3. Κάντε διπλό κλικ Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

  4. Κάτω από τον τομέα σας, κάντε κλικ στην επιλογή Υπολογιστές.

  5. Στη λίστα, εντοπίστε το διακομιστή που εκτελεί τις IIS, κάντε δεξί κλικ στο όνομα του διακομιστή και, στη συνέχεια, κάντε κλικ στην επιλογή Ιδιότητες.

  6. Κάντε κλικ στην καρτέλα Γενικά, κάντε κλικ για να επιλέξετε το
    πλαίσιο ελέγχουΑξιόπιστα για ανάθεση και, στη συνέχεια, κάντε κλικ στο κουμπί
    OK.

Σημειώστε ότι εάν η διεύθυνση URL της ίδιας διεύθυνσης URL προσεγγίζονται σε πολλές τοποθεσίες Web αλλά βρίσκονται σε διαφορετικές θύρες, η ανάθεση δεν θα λειτουργεί. Για να λειτουργήσει αυτό, πρέπει να χρησιμοποιήσετε διαφορετικά ονόματα κεντρικού υπολογιστή και διαφορετικά SPN. Όταν ο Internet Explorer ζητά http://www.mywebsite.com ή http://www.mywebsite.com:81, ο Internet Explorer ζητάει εισιτήριο για το SPN HTTP/www.mywebsite.com. Ο Internet Explorer δεν προσθέτει τη θύρα ή το vdir στην αίτηση SPN. Αυτή η συμπεριφορά είναι η ίδια για http://www.mywebsite.com/app1 ή http://www.mywebsite.com/app2. Σε αυτό το σενάριο, ο Internet Explorer θα ζητήσει δελτίο για το SPN http://www.mywebsite.com από το Κέντρο διανομής κλειδιών (KDC). Κάθε SPN μπορεί να δηλωθεί μόνο για μία ταυτότητα. Επομένως, θα λάβετε επίσης ένα μήνυμα σφάλματος KRB_DUPLICATE_SPN εάν προσπαθήσετε να δηλώσετε αυτό το SPN για κάθε ταυτότητα.

Ανάθεση και microsoft ASP.NET

Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων για την ανάθεση διαπιστευτηρίων όταν χρησιμοποιείτε μια εφαρμογή ASP.NET, κάντε κλικ στον αριθμό του άρθρου που ακολουθεί για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

810572 Τρόπος ρύθμισης παραμέτρων μιας εφαρμογής ASP.NET για ένα σενάριο ανάθεσης

Η απομίμηση και η ανάθεση είναι δύο μέθοδοι για τον έλεγχο ταυτότητας ενός διακομιστή εκ μέρους του προγράμματος-πελάτη. Η απόφαση χρήσης αυτών των μεθόδων και της εφαρμογής τους μπορεί να προκαλέσει σύγχυση. Πρέπει να εξετάσετε τη διαφορά μεταξύ αυτών των δύο μεθόδων και να εξετάσετε ποιες από αυτές τις μεθόδους μπορεί να θέλετε να χρησιμοποιήσετε για την εφαρμογή σας. Η σύστασή μου θα ήταν να διαβάσετε την ακόλουθη Λευκή Βίβλο για περισσότερες λεπτομέρειες:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Αναφορές



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Τρόπος ενεργοποίησης της καταγραφής συμβάντων Kerberos

Αντιμετώπιση προβλημάτων αποτυχίας Kerberos στον Internet Explorer

Όπως πάντα, μην διστάσετε να υποβάλετε ιδέες για θέματα που θέλετε να αντιμετωπιστούν σε μελλοντικές στήλες ή στη Γνωσιακή βάση χρησιμοποιώντας τη φόρμα Ask For It.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×