Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Votre navigateur n’est pas pris en charge

Vous devez mettre à jour votre navigateur pour utiliser le site.

Mettre à jour vers la dernière version d’Internet Explorer

La délégation d'authentification via Kerberos ne fonctionne pas dans les architectures à charge équilibrée

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 325608
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.
Symptômes
Lorsqu'un client essaie d'utiliser Kerberos pour déléguer l'authentification dans une architecture à charge équilibrée, Kerberos ne fonctionne pas et Internet Information Services (IIS) tombe en sur Authentification par stimulation/réponse de Windows NT. Stimulation/réponse Windows NT ne peuvent pas être utilisé pour la délégation, tous les applications ou services qui nécessitent la délégation ne fonctionnent pas.
Cause
Le problème se produit en raison d'une limitation dans le protocole d'authentification Kerberos. Le cluster d'équilibrage de charge utilise un nom virtuel ordinateur hôte pour s'identifier, et ceci est le nom ordinateur hôte qui est émis le ticket Kerberos pour. Lorsque le ticket est présenté sur le serveur réel, le client qui est dirigé vers le ticket ne correspond à son SPN (nom principal de serveur). En outre, dans un domaine Windows 2000, le nom d'ordinateur hôte virtuel ne peut pas être défini pour la confiance pour la délégation dans Active Directory.

Lorsque le serveur refuse le ticket Kerberos, le client renegotiates et tente d'utiliser l'authentification par stimulation/réponse de Windows NT. Même si le client peut s'authentifier via cette méthode, la délégation échoue car il repose sur Kerberos de la fonction.
Contournement
Une solution de contournement possible nécessite que chaque ordinateur du cluster à charge équilibrée soit disponible pour répondre à son propre nom de domaine pleinement qualifié (FQDN). La page par défaut sur chaque serveur doit rediriger le client directement vers lui-même, ainsi ignorer le nom ordinateur hôte virtuel et en fournissant à la place un nom valide ordinateur hôte un ticket peut être émis pour.

Comme un exemple, la page peut être un élément simple que la ligne suivante :
<% response.redirect("http://my.unique.fqdn/default2.asp") %>				
en supposant que my.unique.fqdn est le nom de domaine complet unique de l'ordinateur et que Default2.asp est la page par défaut réelle qui le client doit être dirigé vers, Kerberos peut utiliser cette redirection simple pour travailler dans une architecture à charge équilibrée.

Comme un avertissement, le client peut voir ou enregistrement (c'est-à-dire, bookmark), le nom unique du serveur qui le client est dirigé vers. Cela peut sembler provoquer des interruptions si le client signets ce site et essaie de renvoyer lorsque le serveur physique ou le nom de serveur unique n'est pas disponible.
Plus d'informations
Un livre blanc est désormais disponible qui explique comment faire pour configurer un environnement à charge équilibrée réseau pour l'authentification Kerberos. Cette solution peut prendre plus de temps à implémenter car il inclut les modifications apportées à l'environnement de serveur Web. Toutefois, la solution décrite dans le livre blanc peut être supérieures à la solution décrite dans la section « Contournement ».

note Si vous utilisez la solution décrite dans le livre blanc, ne pas inscrire un hôte/nom principal de service lorsque vous êtes invité à. Enregistrer un nom principal de service HTTP.

Site le suivant Microsoft Web consulter le livre blanc « l'authentification Kerberos pour la charge équilibrée les sites web » :

Pour plus savoir équilibrage de charge réseau, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :

Pour plus d'informations sur le protocole d'authentification Kerberos, consultez le site Web de RFC suivant :
la délégation de kerberos IIS 5 wlbs mode NLB intégré

Avertissement : cet article a été traduit automatiquement

Propriétés

ID d'article : 325608 - Dernière mise à jour : 11/21/2006 05:31:10 - Révision : 4.1

  • Microsoft Internet Information Services 5.0
  • kbmt kbpending kbprb KB325608 KbMtfr
Commentaires
://c1.microsoft.com/c.gif?DI=4050&did=1&t=">d=1&t=">>ByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >>' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");