Scénarios KCD pris en charge par Windows Server 2012 R2 et de Windows Server 2016

Symptômes

Considérez le scénario suivant :

  • Forêt est une forêt de l’utilisateur qui contient les comptes d’utilisateurs, un serveur qui exécute Internet Information Services (IIS) et un serveur ADFS.

  • Forêt B est une forêt de réseau de périmètre (également appelé DMZ, zone démilitarisée ou DMZ et sous-réseau filtré) qui contient un Proxy d’Application Windows (WAP) serveur.

  • Tous les contrôleurs de domaine exécutent Windows Server 2012 R2.

  • Approbation de forêt bidirectionnelle est créée entre la forêt A et la forêt B.

  • Le Proxy d’Application Web (WAP) et IIS des services sont exécutent sous un compte de Service réseau.

  • Vous avez configuré la délégation contrainte Kerberos (KCD) et définir la valeur de PrincipalsAllowedToDelegateTo sur le compte d’ordinateur IIS à l’objet ordinateur du serveur WAP. Pour plus d’informations, consultez de Présentation de délégation contrainte Kerberos.

  • Choix d’un utilisateur dans la forêt A à s’authentifier sur le serveur WAP dans la forêt B.

  • L’authentification du WAP est gérée par ADFS dans ADATUM et un jeton qui a une revendication de nom UPN est renvoyé au serveur WAP. Le serveur WAP utilise le jeton d’utiliser KCD pour accéder au serveur qui exécute IIS.

Dans ce scénario, l’authentification échoue et l’entrée d’erreur Kerberos suivante est affichée dans une trace réseau sur le serveur WAP :

WAP---> rootdc1.adatum.com KerberosV5:TGS demande domaine : ADATUM.COM Sname : http/iis.adatum.com {TCP:232, IPv4:220} rootdc1.adatum.com---> WAP KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_POLICY (12) {TCP:232, IPv4:220}

 

Plus d'informations

Ce comportement est voulu par la conception. Le tableau suivant indique les prise en charge de Kerberos des scénarios de délégation contrainte (KCD) dans Windows Server 2012 R2 et de Windows Server 2016.

Forêt de client pour une forêt de services

Prise en charge

Client ou une forêt front-end vers back-end forêt

Prise en charge

Client ou une forêt à forêt frontal

Non pris en charge

Forêt de client à frontal forêt à forêt de back-end

Non pris en charge


Cette matrice de prise en charge peut se résumer comme suit :

  • Un serveur de délégation peut déléguer à une ressource cible à l’extérieur de sa propre forêt pour les identités à partir de sa propre forêt.

  • Un serveur de délégation peut déléguer à une ressource cible à l’intérieur de sa propre forêt pour les identités dans sa propre forêt et d’autres forêts approuvées.

  • Un serveur de délégation ne peut pas déléguer à une ressource cible à l’extérieur de sa propre forêt pour les identités en dehors de sa forêt.

Dans ces scénarios, l’utilisateur et le serveur WAP doivent se trouver dans la même forêt. Ou bien, le serveur qui exécute IIS et le WAP doit se trouver dans la même forêt.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×