דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

העמודה 'קול תמיכה למפתחים' ב- IIS

אימות Kerberos ופתרון בעיות בהקצאה

כדי להתאים אישית עמודה זו לצרכים שלך, אנחנו רוצים להזמין אותך לשלוח את הרעיונות שלך לגבי נושאים שמעניינים אותך ואת הבעיות שברצונך לראות ממוענות במאמרי Knowledge Base ובעמודות תמיכה קוליות. באפשרותך לשלוח את הרעיונות ואת המשוב שלך באמצעות הטופס 'בקש זאת'. ישנו גם קישור לטופס בחלק התחתון של עמודה זו.

שמי הוא <שם>, ואני עם הקבוצה Microsoft Internet Information Services (IIS) Critical Problem Resolution. הייתי עם Microsoft תשע שנים ואני חבר בצוות IIS כל תשע השנים. אספתי מידע ממיקומים מרובים
ב-http://msdn.microsoft.com ו-
http://www.microsoft.com אודות Kerberos וכיצד לפתור בעיות הקצאה.

IIS 6.0

סקירה טכנית זו מתארת כיצד להגדיר הקצאה ב- Microsoft Windows Server 2003. לנייר הלבן יש מידע ספציפי עבור איזון עומס ברשת (NLB), אך כולל פירוט מצוין אודות אופן הגדרת תרחיש מוסמך מבלי להשתמש ב- NLB. כדי להציג סקירה טכנית זו, בקר באתר האינטרנט הבא של Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxהערה השתמש בשמות ראשיים של שירות HTTP (SNS) במיוחד בעת שימוש ב- NLB.

בעיה פופולרית אחרת של Kerberos היתה לאחרונה הצורך לאפשר מאגרי יישומים מרובים להשתמש באותו שם DNS. למרבה הצער, בעת שימוש ב- Kerberos כדי להקצות אישורים, לא ניתן לאגד את אותו שם ראשי של שירות (SPN) מאגרי יישומים שונים. אין באפשרותך לעשות זאת עקב העיצוב של Kerberos. פרוטוקול Kerberos דורש סודות משותפים מרובים כדי שהפרוטוקול יפעל כראוי. על-ידי שימוש באותו SPN עבור מאגרי יישומים שונים, אנו מבטלים אחד מהסודות המשותפים הללו. שירות מדריך הכתובות של Active Directory לא יתמוך בתצורה זו של פרוטוקול Kerberos עקב בעיית האבטחה.

קביעת התצורה של ה- SPNs באופן זה גורמת לכשל באימות Kerberos. פתרון אפשרי לבעיה זו יהיה להשתמש במעבר פרוטוקול. האימות הראשוני בין הלקוח לשרת שבו פועל IIS טופלים באמצעות פרוטוקול האימות של NTLM. Kerberos יטפל באימות בין IIS לבין שרת המשאבים העורפי.

Microsoft Internet Explorer 6 ואילך

דפדפן הלקוח עשוי להיתקל בבעיות, כגון קבלת בקשות כניסה חוזרות עבור אישורים או הודעות השגיאה "הגישה נדחתה" מהשרת שבו פועל IIS. מצאנו את שתי הבעיות הבאות שעשויות לעזור לך לפתור את הבעיות הבאות:

  • ודא שהאפשרות הפוך אימות משולב של Windows לזמין נבחרה במ מאפייני הדפדפן.
     

  • אם תצורת האבטחה המשופרת של Internet Explorer זמינה תחת הוספה/הסרה של תוכניות,
    עליך להוסיף אתר המשתמש בהקצאה לרשימתהאתרים המהימנים. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:

    815141 תצורת האבטחה המשופרת של Internet Explorer משנה את חוויית הגלישה
     

IIS 5.0 ו- IIS 6.0

לאחר שדרוג מ- IIS 4.0 ל- IIS 5.0 או IIS 6.0, ייתכן שהקצאה לא תפעל כראוי, או שייתכן שמישהו או יישום שינה את מאפיין METAbase NTAuthenticationProviders.

 

תחום מסוים של בעיות עלול להתרחש בעת הגדרת ה- SPN

קביעת שם השרת

קבע אם אתה מתחבר לאתר האינטרנט באמצעות שם ה- NetBIOS בפועל של השרת או באמצעות שם כינוי, כגון שם DNS (לדוגמה, www.microsoft.com). אם אתה ניגש לשרת האינטרנט באמצעות שם שאינו השם הממשי של השרת, יש לרשום שם ראשי חדש של שירות (SPN) באמצעות הכלי Setspn מתוך Windows 2000 Server Resource Kit. מאחר ששירות מדריך הכתובות של Active Directory אינו יודע שם שירות זה, שירות הענקת הכרטיס (TGS) אינו מעניק לך כרטיס לאימות המשתמש. אופן פעולה זה כופה על הלקוח להשתמש בפעולת האימות הזמינה הבאה, שהיא NTLM, כדי להוסיף משא ומתן מחדש. אם שרת האינטרנט מגיב לשם DNS של www.microsoft.com אך השרת נקרא webserver1.development.microsoft.com, עליך לרשום www.microsoft.com ב- Active Directory בשרת שבו פועל IIS. לשם כך, עליך להוריד את הכלי Setspn ולהתקין אותו בשרת שבו פועל IIS.


כדי לקבוע אם אתה מתחבר באמצעות השם הממשי, נסה להתחבר לשרת באמצעות השם הממשי של השרת במקום שם ה- DNS. אם אינך מצליח להתחבר לשרת, עיין בסעיף "אימות שהמחשב מהימן להקצאה".

אם באפשרותך להתחבר לשרת, בצע שלבים אלה כדי להגדיר SPN עבור שם ה- DNS שבו אתה משתמש כדי להתחבר לשרת:

  1. התקן את הכלי Setspn.

  2. בשרת שבו פועל IIS, פתח שורת פקודה ולאחר מכן פתח את התיקיה C:\Program Files\Resource Kit.

  3. הפעל את הפקודה הבאה כדי להוסיף SPN חדש זה (www.microsoft.com) ל- Active Directory עבור השרת:

    Setspn -A HTTP/www.microsoft.com webserver1Note בפקודה זו, webserver1 מייצג את שם NetBIOS של השרת.

אתה מקבל פלט הדומה לפלט הבא:
רישום ServicePrincipalNames עבור CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
אובייקט מעודכן
כדי להציג רשימה של כתובות SPN בשרת כדי לראות ערך חדש זה, הקלד את הפקודה הבאה בשרת שבו פועל IIS:

Setspn -L webservername Note כי אינך צריך לרשום את כל השירותים. סוגי שירות רבים, כגון HTTP, W3SVC, WWW, RPC, CIFS (גישה לקובץ), WINS וספק כוח ללא הפרעה (UPS), ממופים לסוג שירות המוגדר כברירת מחדל בשם HOST. לדוגמה, אם תוכנת הלקוח שלך משתמשת ב- SPN של HTTP/webserver1.microsoft.com כדי ליצור חיבור HTTP לשרת האינטרנט בשרת webserver1.microsoft.com, אך SPN זה אינו רשום בשרת, בקר התחום של Windows 2000 ימפה באופן אוטומטי את החיבור ל- HOST/webserver1.microsoft.com. מיפוי זה חל רק אם שירות האינטרנט פועל תחת חשבון המערכת המקומי.

ודא שהמחשב מהימן עבור הקצאה

אם שרת זה שבו פועל IIS הוא חבר בתחום אך אינו בקר תחום, יש לבטוח במחשב כדי שהקצאה של Kerberos תפעל כראוי. לשם כך, בצע את השלבים הבאים:

  1. בבקר התחום, לחץ על התחל, הצבע על הגדרות ולאחר מכן לחץ על לוח הבקרה.

  2. בתיבת לוח הבקרה, פתח את כלי ניהול.

  3. לחץ פעמיים על משתמשים ומחשבים של Active Directory.

  4. תחת התחום שלך, לחץ על מחשבים.

  5. ברשימה, אתר את השרת שבו פועל IIS, לחץ באמצעות לחצן העכבר הימני על שם השרת ולאחר מכן לחץ על מאפיינים.

  6. לחץ על הכרטיסיה כללי, לחץ כדי לבחור את תיבת
    הסימון מהימן עבור הקצאה ולאחר מכן לחץ על
    אישור.

שים לב שאם ניתן להגיע לאתרי אינטרנט מרובים באמצעות אותה כתובת URL, אך ביציאות שונות, הקצאה לא יפעלו. כדי שזה יעבוד, עליך להשתמש בשםי מארח שונים ובשימוש ב- SPNs שונים. כאשר Internet Explorer מבקש http://www.mywebsite.com או http://www.mywebsite.com:81, Internet Explorer מבקש כרטיס עבור SPN HTTP/www.mywebsite.com. Internet Explorer אינו מוסיף את היציאה או את ה- vdir לבקשת ה- SPN. אופן פעולה זה זהה עבור http://www.mywebsite.com/app1 או http://www.mywebsite.com/app2. בתרחיש זה, Internet Explorer יתבקש כרטיס עבור SPN http://www.mywebsite.com ממרכז התפלגות המפתח (KDC). ניתן להצהיר על כל SPN עבור זהות אחת בלבד. לכן, תקבל גם הודעת שגיאה KRB_DUPLICATE_SPN אם תנסה להצהיר על SPN זה עבור כל זהות.

הקצאה ו- Microsoft ASP.NET

לקבלת מידע נוסף אודות התצורה עבור הקצאת אישורים בעת שימוש ביישום ASP.NET, לחץ על מספר המאמר הבא כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:

810572 כיצד להגדיר יישום ASP.NET עבור תרחיש הקצאה

התחזות והקצאה הן שתי שיטות לאימות בשרת בשם הלקוח. החלטה באיזו משיטות אלה להשתמש וההטמעה שלהן עלולה לגרום לבלבול. עליך לסקור את ההבדל בין שתי שיטות אלה ולבחון באיזו משיטות אלה ייתכן שתרצה להשתמש עבור היישום שלך. ההמלצה שלי היא לקרוא את סקירה טכנית הבאה לקבלת פרטים נוספים:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

הפניות



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 כיצד להפוך רישום אירועים של Kerberos לזמין

פתרון בעיות של כשלי Kerberos ב- Internet Explorer

כמו תמיד, הרגש חופשי לשלוח רעיונות בנושאים שברצונך לטפל בהם בעמודות עתידיות או במאגר הידע באמצעות הטופס 'בקש זאת'.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×