אימות Kerberos ופתרון בעיות הקצאה

עמודה קול תמיכה למפתחים של IIS

אימות Kerberos ופתרון בעיות הקצאה

כדי להתאים אישית את עמודה זו לצרכים שלך, אנו מעוניינים להזמין ממך למסור את הרעיונות שלך אודות נושאים המעניינים אותך ונושאים שברצונך לראות נדונו בעתיד מאמרים במאגר הידע ועמודות קול תמיכה. באפשרותך לשלוח רעיונות ומשוב באמצעות טופס שאל עבור אותו . הוא גם קישור לטופס בחלק התחתון של עמודה זו.
שמי הוא כהן לויתן, ואני עם הקבוצה של פתרון הבעיות קריטי Microsoft Internet Information Services (IIS) של Microsoft. אני היו ב- Microsoft תשע שנים ולא היו עם הצוות IIS כל השנים תשע. אני יש להדר מידע ממיקומים מרובים ב-
http://msdn.microsoft.com ו-
http://www.microsoft.com Kerberos וכיצד לפתור בעיות של הקצאה.

IIS 6.0

נייר לבן הבא מתאר כיצד להגדיר הקצאה ב- Microsoft Windows Server 2003. נייר לבן יש מידע ספציפי עבור איזון עומס ברשת (NLB), אך כוללת פירוט מעולה אודות כיצד להגדיר תרחיש שהוקצו ללא שימוש NLB. להצגת סקירה טכנית זו, בקר באתר האינטרנט הבא של Microsoft:הערה ניתן להשתמש בשמות HTTP ראשי של שירות (Spn) במיוחד בעת שימוש NLB.

בעיה נוספת של Kerberos פופולריים הפך לאחרונה הצורך כדי לאפשר עבור מאגרי יישומים מרובים להשתמש באותו שם DNS. למרבה הצער, בעת שימוש ב- Kerberos כדי להקצות אישורים, אין אפשרות לאגד את אותו שירות שם ראשי (SPN) מאגרי יישומים שונים. אינך יכול לעשות זאת בשל התכנון של Kerberos. פרוטוקול Kerberos דורש סודות משותפים מרובים עבור הפרוטוקול לפעול כראוי. על-ידי שימוש באותו SPN עבור מאגרי יישומים שונים, אנו לבטל את אחד של סודות משותפים אלה. שירות הספריות של Active Directory לא יתמוך בתצורה זו של פרוטוקול Kerberos עקב בעיית אבטחה.

קביעת התצורה של שמות ה-Spn באופן זה גורם לאימות Kerberos להיכשל. דרך לעקיפת בעיה זו ניתן יהיה להשתמש בפרוטוקול מעבר. יש לטפל האימות הראשונית בין הלקוח לבין ה-IIS שבו פועל שרת באמצעות פרוטוקול האימות של NTLM. Kerberos לטפל האימות בין IIS לשרת משאב העורפי.

Microsoft Internet Explorer 6 ואילך

בדפדפן הלקוח עלול להיתקל בבעיות, כגון קבלת בקשות כניסה חוזרים עבור אישורים או הודעות השגיאה "401 Access נדחתה" משרת בו פועל IIS. גילינו את שתי הבעיות הבאות שעשויים לסייע לך לפתור בעיות אלה:
  • ודא כי הפעלת אימות משולב של Windows נבחרה במאפיינים של הדפדפן. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
    299838 אין אפשרות לנהל משא ומתן על אימות Kerberos לאחר שדרוג ל- Internet Explorer 6

  • אם תצורת האבטחה המשופרת של Internet Explorer מופעלת בהוספה/הסרה של תוכניות, עליך להוסיף אתר העושה שימוש הקצאה
    רשימת אתרים מהימנים . לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
    815141 תצורת האבטחה המשופרת של Internet Explorer משפיעה על חוויית הגלישה

IIS 5.0 ו- IIS 6.0

לאחר שדרוג מ- IIS 4.0 ל- IIS 5.0 או ב- IIS 6.0, הקצאה לא יפעלו כראוי, או אולי מישהו או יישום אחר שינה את המאפיין metabase NTAuthenticationProviders.
לקבלת מידע נוסף אודות כיצד לתקן בעיה זו, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
248350 האימות Kerberos נכשל לאחר שדרוג מ- IIS 4.0 ל- IIS 5.0

באזור מסוים של בקושי יכולה להתרחש כאשר אתה מגדיר את ה-SPN

לקבוע את שם השרת

לקבוע אם אתה מתחבר אל אתר האינטרנט באמצעות שם NetBIOS בפועל של השרת או על-ידי שימוש בשם כינוי, כגון שם DNS (לדוגמה, www.microsoft.com). אם אתה ניגש לשרת האינטרנט על-ידי שימוש בשם השונה משם השרת בפועל, חדשה הקרן שם שירות (SPN) חייב נרשמו על-ידי שימוש בכלי Setspn מ- Windows 2000 Server Resource Kit. מאחר שירות הספריות Active Directory אינו יודע את שם שירות זה, שירות הענקת כרטיסים (TGS) אינה מעניקה לך כרטיס כדי לאמת את המשתמש. אופן פעולה זה כופה על הלקוח כדי להשתמש בשיטת האימות הזמינות הבא, שהוא NTLM, לניהול משא ומתן מחדש. אם שרת האינטרנט מגיב לשם DNS של www.microsoft.com אך השרת בשם webserver1.development.microsoft.com, עליך לרשום www.microsoft.com ב- Active Directory בשרת שבו פועל בו פועל IIS. כדי לעשות זאת, עליך להוריד את הכלי Setspn ולהתקין אותו בשרת בו פועל IIS.


אם אתה משתמש ב- Windows Server 2003 ו- IIS 6, הכלי Setspn עבור Microsoft Windows Server 2003 זמין מהמיקום הבא:כדי לקבוע אם אתה מתחבר באמצעות השם בפועל, נסה להתחבר לשרת באמצעות השם בפועל של השרת במקום שם ה-DNS. אם אין באפשרותך להתחבר אל השרת, עיין בסעיף "אימות המחשב הוא אמין לצורך האצלת סמכויות".

אם באפשרותך להתחבר לשרת, בצע את הפעולות הבאות כדי להגדיר את ה-SPN עבור שם ה-DNS המשמש אותך כדי להתחבר לשרת:
  1. התקנת הכלי Setspn.
  2. בשרת בו פועל IIS, פתח שורת פקודה ולאחר מכן פתח את התיקיה C:\Program Files\Resource ערכת.
  3. הפעל את הפקודה הבאה כדי להוסיף זה SPN החדשים (www.microsoft.com) ל- Active Directory עבור השרת:
    Setspn-HTTP/www.microsoft.com webserver1
    הערה בפקודה זו, webserver1 מייצג את שם ה-NetBIOS של השרת.
מתקבלת הודעה דומה להודעה הבאה:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

כדי להציג רשימה של שמות Spn בשרת כדי לראות ערך חדש זה, הקלד את הפקודה הבאה בשרת בו פועל IIS:
Setspn webservername -L
שים לב כי אין לך לרשום את כל השירותים. סוגים רבים של שירות, כגון HTTP, W3SVC, WWW, RPC, CIFS (קובץ access), WINS ואל-פסק (UPS), לספק ימופה סוג שירות ברירת מחדל בשם המארח. לדוגמה, אם תוכנת הלקוח משתמשת ה-SPN HTTP/webserver1.microsoft.com כדי ליצור חיבור HTTP לשרת האינטרנט בשרת webserver1.microsoft.com, אך SPN זה אינו רשום בשרת, בקר תחום של Windows 2000 שימופו אוטומטית את החיבור כדי HOST/webserver1.microsoft.com. מיפוי זה חל רק אם שירות האינטרנט פועל תחת חשבון המערכת המקומית.

ודא כי המחשב הוא אמין לצורך האצלת סמכויות

אם שרת זה פועל IIS הוא חבר בקבוצת המחשבים אך אינו בקר קבוצת מחשבים, על המחשב להיות אמינים לשם הקצאה עבור Kerberos לפעול כראוי. לשם כך, בצע את הפעולות הבאות:
  1. בבקר קבוצת מחשבים, לחץ על התחל, הצבע על הגדרותולאחר מכן לחץ על לוח הבקרה.
  2. בלוח הבקרה, פתח את כלי ניהול.
  3. לחץ פעמיים על משתמשים ומחשבים Active Directory.
  4. תחת התחום שלך, לחץ על מחשבים.
  5. ברשימה, אתר את שרת בו פועל IIS, לחץ לחיצה ימנית על שם השרת ולאחר מכן לחץ על מאפיינים.
  6. לחץ על הכרטיסיה כללי , לחץ על כדי לבחור
    אמינים לשם הקצאה בתיבת הסימון ולאחר מכן לחץ
    OK.
שים לב כי אם מספר אתרי אינטרנט מתמלאות על-ידי כתובת ה-URL זהה אך ביציאות שונות, הקצאה לא תפעל. כדי שזה יעבוד, עליך להשתמש המארחים שונות ואת שמות Spn שונים. כאשר Internet Explorer מבקש אחד http://www. mywebsite. com או http://www. mywebsite.com:81, Internet Explorer מבקש כרטיס עבור ה-SPN HTTP/www.mywebsite.com. Internet Explorer אינו מוסיף את היציאה או vdir את בקשת ה-SPN. אופן פעולה זה הוא זהה עבור http://www. mywebsite. com/app1 או http://www. mywebsite. com/app2. בתרחיש זה, Internet Explorer יבקש כרטיס עבור ה-SPN http://www. mywebsite. com מתוך מרכז להפצת מפתחות (KDC). יש להצהיר כל ה-SPN עבור זהות אחת בלבד. לכן, גם תקבל הודעת שגיאה KRB_DUPLICATE_SPN אם אתה מנסה להצהיר על זה ה-SPN עבור כל זהות.

הקצאה ו- Microsoft ASP.NET

לקבלת מידע נוסף אודות התצורה עבור הקצאת אישורים בעת שימוש ביישום ASP.NET, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
810572 כיצד לקבוע את תצורת יישום ASP.NET עבור תרחיש נציגות

התחזות וטיפול הקצאה הם שתי שיטות עבור שרת לאימות בשמו של הלקוח. אתה מחליט אילו מבין השיטות הבאות כדי להשתמש והיישום שלהם עלולים לגרום לבלבול מסוימים. עליך לסקור את ההבדל בין שתי שיטות אלה ובדוק אילו מבין שיטות אלה, ייתכן שתרצה להשתמש עבור היישום שלך. ההמלצה שלי יהיה לקרוא את המאמר הטכני הבא לקבלת פרטים נוספים:

הפניות

305971 Windows 2000 Server מבקש משתמש תחום עבור אישורים

262177 כיצד לאפשר רישום אירועים Kerberos

326985 כיצד לפתור בעיות הקשורות ל- Kerberos ב- IIS

שידור אינטרנט של תמיכה TechNet 842861 : אימות Kerberos פתרון בעיות עם יישומי אינטרנט מאובטח ו- Microsoft SQL Server

מאחר תמיד, למען הרגש חופשי ליצור רעיונות בנושאים שברצונך לשלוח בעתיד עמודות או בבאמצעות התחום ידע
טופס שאל עבור אותו .
מאפיינים:

מזהה פריט: 907272 - סקירה אחרונה: 18 בינו׳ 2017 - תיקון: 1

משוב