Transition dans les scénarios de sauts multiples du protocole Kerberos, vous devrez peut-être la délégation contrainte

S’applique à : Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 EnterpriseWindows Server 2008 Standard

Ce document de la solution a été rapide publié sous la forme d’un article de la Base de connaissances. Cliquez sur le lien suivant pour afficher le contenu publié sur le site du support technique : 2005838

Symptômes


À l’installation de plusieurs services qui interagissent sur un système Windows Server pour la délégation Kerberos en tant que niveau intermédiaire. Par conséquent, vous avez déjà un scénario de double saut Kerberos entre ces services sur le serveur intermédiaire avant d’accéder à une ressource du serveur principal. Délégation non contrainte et la délégation contrainte avec protocole transition fonctionne, mais la délégation contrainte Kerberos uniquement l’authentification échoue. Il est connecté à l’instance du service premier en tant que frontal avec un ticket utilisateur valide mais sur le tronçon suivant de service au service du serveur de niveau intermédiaire demande pas un ticket Kerberos, et pas pour le serveur principal, l’authentification échoue également.

Cause


Dans la configuration de la délégation contrainte, seule la première instance de service a le ticket de la preuve de l’appelant. Chaque service est en cours d’exécution dans son propre ID d’utilisateur d’ouverture de session (LUID) et le ticket de preuve ne peuvent pas être réutilisé entre eux. Une optimisation de bouclage interne empêche de demander un ticket lorsque le nom principal de service pour ce second service contient le nom d’hôte et de négociation du protocole est configurée. Le jeton est simplement dupliqué pour l’accès à la deuxième session service. Le second service a besoin de Kerberos Protocol Transition pour être autorisé à demander un ticket Kerberos pour le compte de l’utilisateur frontal pour accéder à la ressource serveur back-end sans un ticket.

Résolution


Si la transition de protocole n’est pas une configuration acceptable vous disposez des options suivantes pour configurer la délégation contrainte pour l’authentification Kerberos uniquement :

  • Configurez l’instance de service suivante pour Kerberos au lieu de négocier.
  • Configurez l’instance de service suivante pour à l’aide d’un autre Service de nom Principal (SPN) différent du nom d’hôte, c'est-à-dire à l’aide d’un en-tête d’hôte.
  • Exécuter les services en tant que compte système Local ou compte de Service réseau. Cette option est moins sûre que l’utilisation d’un compte de service.
  • Répartir les services sur différents serveurs.

Plus d'informations


Pour les options de configuration de deux premières consultez votre guide de configuration d’application. Comme avant, le comportement d’optimisation d’authentification est voulu par la conception de Windows explicite.