Otentikasi Kerberos dan pemecahan masalah delegasi

Kolom IIS pengembang dukungan suara

Otentikasi Kerberos dan pemecahan masalah delegasi

Untuk mengkustomisasi kolom ini dengan kebutuhan Anda, kami akan mengundang Anda untuk mengirimkan ide-ide Anda tentang topik yang menarik minat Anda dan masalah yang Anda ingin melihat ditangani di masa depan artikel basis pengetahuan dan kolom dukungan suara. Anda dapat mengirim ide dan umpan balik menggunakan formulir Meminta untuk itu . Ada juga tautan ke formulir di bawah kolom ini.

Nama saya Martin Smith, dan saya dengan grup pemecahan masalah kritis Microsoft Layanan informasi Internet (IIS) Microsoft. Saya telah dengan Microsoft sembilan tahun dan telah dengan tim IIS semua sembilan tahun. Saya telah mengumpulkan informasi dari beberapa lokasi di
http://msdn.Microsoft.com dan
http://www.microsoft.com tentang cara memecahkan masalah delegasi dan Kerberos.

IIS 6.0

Kertas putih berikut ini menjelaskan tentang cara menyiapkan delegasi dalam Microsoft Windows Server 2003. Kertas putih memiliki informasi khusus untuk jaringan Load Balancing (NLB) tetapi mencakup baik rincian tentang cara menata skenario delegasi tanpa menggunakan NLB. Untuk melihat laporan ini, kunjungi situs Web Microsoft berikut ini:

http://technet.microsoft.com/en-us/library/cc757299.aspxCatatan Gunakan nama prinsipal Layanan HTTP (SPNs) terutama saat Anda menggunakan NLB.

Masalah Kerberos populer lain baru telah perlu memungkinkan untuk beberapa aplikasi kumpulan menggunakan nama DNS yang sama. Sayangnya, apabila Anda menggunakan Kerberos untuk mendelegasikan kredensial, Anda tidak dapat mengikat sama prinsip Layanan nama (SPN) kumpulan aplikasi yang berbeda. Anda tidak dapat melakukan hal ini karena desain Kerberos. Protokol Kerberos memerlukan banyak bersama rahasia protokol untuk bekerja dengan benar. Dengan menggunakan SPN sama untuk kumpulan aplikasi yang berbeda, kita menghilangkan rahasia ini bersama. Layanan Direktori direktori aktif akan tidak mendukung konfigurasi ini protokol Kerberos karena masalah keamanan.

Mengkonfigurasi SPNs dengan cara ini menyebabkan otentikasi Kerberos akan gagal. Kemungkinan penyelesaian untuk masalah ini akan menggunakan protokol transisi. Otentikasi awal antara klien dan Server menjalankan IIS akan ditangani dengan menggunakan protokol otentikasi NTLM. Kerberos akan menangani otentikasi antara IIS dan sumber daya server ujung belakang.

Microsoft Internet Explorer 6 atau yang lebih baru

Browser klien mungkin mengalami masalah, seperti menerima wantian logon berulang kali untuk kredensial atau pesan galat "Akses ditolak 401" dari server yang menjalankan IIS. Kami telah menemukan dua masalah yang mungkin membantu menyelesaikan masalah ini:

  • Verifikasi bahwa Mengaktifkan otentikasi Windows terpadu dipilih di browser properti. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

    299838 tidak dapat negosiasi otentikasi Kerberos setelah upgrade ke Internet Explorer 6

  • Jika Internet Explorer Enhanced Security Configuration diaktifkan di Tambah/Hapus Program, Anda harus menambahkan situs yang menggunakan delegasi
    Daftar situs terpercaya . Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

    815141 Internet Explorer Enhanced Security Configuration perubahan pengalaman browsing

IIS 5.0 dan IIS 6.0

Setelah Anda meng-upgrade dari IIS 4.0 IIS 5.0 atau IIS 6.0, delegasi mungkin tidak berfungsi dengan benar, atau mungkin orang lain atau aplikasi telah mengubah properti metabase NTAuthenticationProviders.
Untuk informasi selengkapnya tentang cara memperbaiki masalah ini, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

248350 otentikasi Kerberos gagal setelah meningkatkan dari IIS 4.0 ke IIS 5.0

Area tertentu masalah dapat terjadi ketika Anda mengatur SPN

Menentukan nama server

Tentukan apakah Anda menyambung ke situs Web dengan menggunakan nama NetBIOS aktual server atau dengan menggunakan nama alias, seperti nama DNS (misalnya, www.microsoft.com). Jika Anda mengakses Web server dengan menggunakan nama selain sebenarnya nama server, baru prinsip Layanan nama (SPN) harus telah didaftarkan dengan menggunakan alat Setspn dari Windows 2000 Server Resource Kit. Karena layanan direktori direktori aktif tidak tahu nama layanan ini, Layanan memberikan tiket (TGS) tidak memberikan tiket untuk mengotentikasi pengguna. Perilaku ini memaksa klien menggunakan metode otentikasi tersedia berikutnya, yang merupakan NTLM, untuk melakukan negosiasi ulang. Jika Web server membalas nama DNS www.microsoft.com tetapi server bernama webserver1.development.microsoft.com, Anda harus mendaftar www.microsoft.com di direktori aktif di server yang menjalankan menggunakan IIS. Untuk melakukannya, Anda harus men-download alat Setspn dan menginstalnya di server yang menjalankan IIS.


Jika Anda menggunakan Windows Server 2003 dan IIS 6, alat Setspn untuk Microsoft Windows Server 2003 tersedia dari lokasi berikut:

http://support.microsoft.com/kb/970536Untuk menentukan apakah Anda terhubung dengan menggunakan nama sebenarnya, cobalah untuk menyambung ke server dengan menggunakan nama sebenarnya server bukannya nama DNS. Jika Anda tidak dapat menyambung ke server, lihat bagian "Verifikasi komputer dipercaya untuk delegasi".

Jika Anda dapat menyambung ke server, ikuti langkah-langkah berikut untuk menyetel SPN untuk nama DNS yang Anda gunakan untuk menyambung ke server:

  1. Memasang alat Setspn.

  2. Di server yang menjalankan IIS, buka wantian perintah, dan kemudian buka folder C:\Program Files\Resource Kit.

  3. Jalankan perintah berikut ini untuk menambahkan SPN ini baru (www.microsoft.com) ke direktori aktif untuk server:

    Setspn - HTTP www.microsoft.com webserver1Catatan Dalam perintah ini, webserver1 mewakili nama NetBIOS dari server.

Anda menerima output yang mirip dengan berikut ini:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Untuk melihat daftar SPNs di server untuk melihat nilai baru ini, ketik perintah berikut ini di server yang menjalankan IIS:

Setspn -L webservernamePerhatikan bahwa Anda tidak perlu mendaftar semua layanan. Jenis layanan seperti HTTP, W3SVC, WWW, RPC, CIFS (akses berkas), WINS, dan uninterruptible power supply (UPS), akan dipetakan ke jenis layanan asali yang diberi nama HOST. Misalnya, jika perangkat lunak klien menggunakan SPN HTTP/webserver1.microsoft.com untuk membuat sambungan HTTP ke Web server pada webserver1.microsoft.com server, tetapi SPN ini tidak terdaftar di server, pengontrol domain Windows 2000 akan secara otomatis memetakan sambungan ke HOST/webserver1.microsoft.com. Pemetaan ini berlaku hanya jika Layanan Web berjalan di bawah account sistem lokal.

Verifikasi bahwa komputer tidak dipercaya delegasi

Jika ini server yang menjalankan IIS anggota domain tetapi bukan pengontrol domain, komputer harus dapat dipercaya untuk delegasi Kerberos untuk bekerja dengan benar. Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Pada kontroler domain, klik mulai, arahkan ke pengaturan, dan kemudian klik Panel kontrol.

  2. Di Panel Kontrol, buka Alat Administratif.

  3. Klik dua kali pengguna dan komputer direktori aktif.

  4. Di bawah domain Anda, klik komputer.

  5. Dalam daftar, temukan server yang menjalankan IIS, klik kanan nama server, dan kemudian klik properti.

  6. Klik tab umum , klik untuk memilih
    Terpercaya untuk delegasi kotak centang, dan kemudian klik
    OK.

Perhatikan bahwa jika beberapa situs Web dapat dicapai oleh URL yang sama tetapi pada port yang berbeda, delegasi tidak akan bekerja. Untuk membuat ini bekerja, Anda harus menggunakan nama host yang berbeda dan SPNs berbeda. Saat Internet Explorer meminta http://www salah. mywebsite.com atau http://www. mywebsite.com:81, Internet Explorer meminta tiket untuk SPN HTTP/www.mywebsite.com. Internet Explorer tidak menambahkan port atau vdir SPN permintaan. Perilaku ini adalah sama untuk http://www. mywebsite.com app1 atau http://www. mywebsite.com/app2. Dalam skenario ini, Internet Explorer akan meminta tiket untuk SPN http://www. mywebsite.com dari pusat distribusi kunci (KDC). Setiap SPN dapat menyatakan hanya untuk satu identitas. Oleh karena itu, Anda juga akan menerima pesan galat KRB_DUPLICATE_SPN jika Anda mencoba untuk menyatakan SPN ini untuk setiap identitas.

Delegasi dan Microsoft ASP.NET

Untuk informasi lebih lanjut tentang konfigurasi untuk mendelegasikan kredensial ketika Anda menggunakan aplikasi ASP.NET, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

810572 cara mengkonfigurasi aplikasi ASP.NET untuk skenario delegasi

Delegasi dan peniruan adalah dua metode untuk server untuk mengotentikasi atas nama klien. Menentukan mana metode ini untuk menggunakan dan implementasi mereka dapat menyebabkan beberapa kebingungan. Anda harus meninjau perbedaan antara dua metode ini dan periksa yang metode ini Anda dapat menggunakan aplikasi Anda. Rekomendasi saya akan membaca kertas putih berikut untuk informasi lebih lanjut:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referensi

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server meminta pengguna domain untuk kredensial

262177 bagaimana cara mengaktifkan pengelogan kejadian Kerberos

326985 cara memecahkan masalah terkait Kerberos di IIS

842861 TechNet dukungan WebCast: otentikasi Kerberos pemecahan masalah dengan aplikasi Web aman dan Microsoft SQL Server

Seperti biasa, ditujukan merasa bebas untuk mengirim ide pada topik yang Anda inginkan di masa mendatang kolom atau menggunakan basis pengetahuan
Bentuk Meminta untuk itu .

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×