Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Colonna Iis Developer Support Voice

Problemi relativi all'autenticazione Kerberos e alla risoluzione dei problemi relativi alla delega

Per personalizzare questa colonna in base alle proprie esigenze, si desidera invitare l'utente a presentare idee su argomenti di suo interesse e problemi che dovrà essere affrontato in futuri articoli della Knowledge Base e nelle colonne Del supporto vocale. È possibile inviare idee e feedback usando il modulo Chiedi. C'è anche un collegamento alla maschera nella parte inferiore di questa colonna.

Il mio nome è <Name> e faccio parte del gruppo di risoluzione dei problemi critici di Microsoft Internet Information Services (IIS) di Microsoft. Sono stato con Microsoft nove anni e sono stato con il team IIS tutti nove anni. Ho compilato informazioni da più posizioni su
http://msdn.microsoft.com e
http://www.microsoft.com su Kerberos e su come risolvere i problemi di delega.

IIS 6.0

Il white paper seguente descrive come configurare la delega in Microsoft Windows Server 2003. Il white paper contiene informazioni specifiche per Bilanciamento carico di rete, ma include dettagli eccellenti su come configurare uno scenario con delega senza usare Bilanciamento carico di rete. Per visualizzare questo white paper, visita il seguente sito Web Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxNota Usare i nomi delle entità servizio (SPN) HTTP soprattutto quando si usa BILANCIAMENTO CARICO DI CARICO.

Un altro problema noto di Kerberos di recente è stato l'esigenza di consentire l'uso dello stesso nome DNS per più pool di applicazioni. Purtroppo, quando si utilizza Kerberos per delegare le credenziali, non è possibile associare lo stesso nome dell'entità servizio (SPN) a pool di applicazioni diversi. Non è possibile eseguire questa operazione a causa della progettazione di Kerberos. Per il corretto funzionamento del protocollo Kerberos sono necessari più segreti condivisi. Usando lo stesso SPN per pool di applicazioni diversi, eliminiamo uno di questi segreti condivisi. Il servizio directory Active Directory non supporta questa configurazione del protocollo Kerberos a causa del problema di sicurezza.

La configurazione degli SPN in questo modo causa l'esito negativo dell'autenticazione Kerberos. Una possibile soluzione alternativa per questo problema consiste nell'usare la transizione del protocollo. L'autenticazione iniziale tra il client e il server che esegue IIS verrà gestita utilizzando il protocollo di autenticazione NTLM. Kerberos gestisce l'autenticazione tra IIS e il server delle risorse back-end.

Microsoft Internet Explorer 6 o versione successiva

Il browser client potrebbe riscontrare problemi, ad esempio la ricezione di richieste di accesso ripetute per le credenziali o messaggi di errore "Accesso negato 401" dal server che esegue IIS. Sono stati rilevati i due problemi seguenti che possono aiutare a risolvere questi problemi:

  • Verificare che nelle proprietà del browser sia selezionata l'opzione Abilita autenticazione integrata di Windows .
     

  • Se La configurazione della sicurezza avanzata di Internet Explorer è abilitata in Installazione applicazioni, è necessario aggiungere un sito che usa la delega all'elenco
    Siti attendibili . Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

    815141 Diversa esplorazione con il browser in seguito all'impostazione della protezione avanzata di Internet Explorer
     

IIS 5.0 e IIS 6.0

Dopo l'aggiornamento da IIS 4.0 a IIS 5.0 o IIS 6.0, è possibile che la delega non funzioni correttamente o che qualcuno o un'applicazione abbia modificato la proprietà NTAuthenticationProviders della metabase.

 

Quando si imposta SPN, può verificarsi un particolare problema

Determinare il nome del server

Determinare se ci si connette al sito Web usando il nome NetBIOS effettivo del server o un nome alias, ad esempio un nome DNS (ad esempio, www.microsoft.com). Se si accede al server Web con un nome diverso dal nome effettivo del server, è necessario che un nuovo nome dell'entità servizio (SPN) sia stato registrato usando lo strumento Setspn di Windows 2000 Server Resource Kit. Poiché il servizio active directory non conosce questo nome di servizio, il servizio di concessione ticket (TGS) non fornisce un ticket per autenticare l'utente. Questo comportamento forza il client a utilizzare il successivo metodo di autenticazione disponibile, che è NTLM, per rinegoziare. Se il server Web risponde a un nome DNS di www.microsoft.com ma il server è denominato webserver1.development.microsoft.com, è necessario registrare www.microsoft.com in Active Directory nel server che esegue IIS. A tale scopo, è necessario scaricare lo strumento Setspn e installarlo nel server che esegue IIS.


Per determinare se ci si connette usando il nome effettivo, provare a connettersi al server usando il nome effettivo del server invece del nome DNS. Se non è possibile connettersi al server, vedere la sezione "Verificare che il computer sia attendibile per la delega".

Se è possibile connettersi al server, seguire questa procedura per impostare un SPN per il nome DNS usato per connettersi al server:

  1. Installare lo strumento Setspn.

  2. Nel server che esegue IIS aprire un prompt dei comandi e quindi aprire la cartella C:\Programmi\Resource Kit.

  3. Eseguire il comando seguente per aggiungere il nuovo SPN (www.microsoft.com) ad Active Directory per il server:

    Setspn -A HTTP/www.microsoft.com webserver1Nota In questo comando webserver1 rappresenta il nome NetBIOS del server.

Si riceve un output simile al seguente:
Registrazione di ServicePrincipalNames per CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Oggetto
aggiornato Per visualizzare un elenco di nomi SPN nel server per visualizzare questo nuovo valore, digitare il comando seguente nel server che esegue IIS:

Setspn -L nomeserver Web Notare che non è necessario registrare tutti i servizi. Molti tipi di servizio, ad esempio HTTP, W3SVC, WWW, RPC, CIFS (accesso ai file), WINS e ups (uninterruptible power supply), verranno mappati a un tipo di servizio predefinito denominato HOST. Ad esempio, se il software client usa un SPN di HTTP/webserver1.microsoft.com per creare una connessione HTTP al server Web sul server webserver1.microsoft.com, ma questo SPN non è registrato nel server, il controller di dominio di Windows 2000 eseguirà automaticamente il mapping della connessione a HOST/webserver1.microsoft.com. Questo mapping si applica solo se il servizio Web è in esecuzione con l'account di sistema locale.

Verificare che il computer sia attendibile per la delega

Se questo server che esegue IIS è un membro del dominio ma non è un controller di dominio, il computer deve essere considerato attendibile per il corretto funzionamento della delega di Kerberos. A tal fine, attenersi alla seguente procedura:

  1. Nel controller di dominio fare clic sul pulsante Start, scegliere Impostazioni e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo aprire Strumenti di amministrazione.

  3. Fare doppio clic su Utenti e computer di Active Directory.

  4. Nel dominio fare clic su Computer.

  5. Nell'elenco individuare il server che esegue IIS, fare clic con il pulsante destro del mouse sul nome del server e quindi scegliere Proprietà.

  6. Fare clic sulla scheda Generale, selezionare la
    casella di controlloAttendibile per la delega e quindi fare clic su
    OK.

Si noti che se più siti Web sono raggiunti dallo stesso URL ma su porte diverse, la delega non funzionerà. Per eseguire questa operazione, è necessario usare nomi host diversi e nomi SPN diversi. Quando Internet Explorer richiede http://www.mywebsite.com o http://www.mywebsite.com:81, Internet Explorer richiede un ticket per SPN HTTP/www.mywebsite.com. Internet Explorer non aggiunge la porta o il vdir alla richiesta SPN. Questo comportamento è lo stesso per http://www.mywebsite.com/app1 o http://www.mywebsite.com/app2. In questo scenario Internet Explorer richiederà un ticket per SPN http://www.mywebsite.com dal Centro di distribuzione chiave (KDC). Ogni SPN può essere dichiarato per una sola identità. Pertanto, si riceverà anche un messaggio di errore KRB_DUPLICATE_SPN se si tenta di dichiarare questo SPN per ogni identità.

Delega e ASP.NET Microsoft

Per altre informazioni sulla configurazione per la delega delle credenziali quando si usa un'applicazione di ASP.NET, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

810572 Come configurare un'applicazione ASP.NET per uno scenario

di delega La rappresentazione e la delega sono due metodi per l'autenticazione di un server per conto del client. Decidere quale di questi metodi utilizzare e la loro implementazione può causare una certa confusione. È necessario esaminare la differenza tra questi due metodi ed esaminare quali di questi metodi possono essere utilizzati per l'applicazione. La mia raccomandazione è di leggere il seguente white paper per ulteriori dettagli:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Riferimenti



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Come abilitare la registrazione eventi Kerberos

Risolvere i problemi relativi agli errori Kerberos in Internet Explorer

Come sempre, è possibile inviare idee su argomenti che si desidera vengano affrontati nelle colonne future o nella Knowledge Base usando il modulo Chiedi.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×