現在オフラインです。再接続するためにインターネットの接続を待っています

負荷分散アーキテクチャで Kerberos 認証の委任が行われない

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:325608
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
現象
お客様が Kerberos を使用して、負荷分散アーキテクチャでの認証を委任するにはしようとすると、Kerberos が機能しないし、Windows NT チャレンジ/レスポンス認証がインターネット インフォメーション サービス (IIS) を削除します。Windows NT チャレンジ/レスポンスは、委任に使用されることはできませんので、ここで、アプリケーションまたは委任を必要とするサービスは機能しません。
原因
Kerberos 認証プロトコルの制限のため発生します。負荷分散クラスター仮想ホスト名を使用して、識別するために、これは、Kerberos チケットが発行されるホスト名です。実際のサーバーへのチケットが表示されたらにチケットを送信したクライアントは、サーバー プリンシパル名 (SPN) が一致しません。さらに、Windows 2000 ドメインでは、仮想ホストを設定できません。 委任に対して信頼されています。 Active Directory では。

サーバーの Kerberos チケットを却下した場合は、クライアントが再度ネゴシエートし、Windows NT チャレンジ/レスポンス認証を使用しようとしています。このメソッドを通じてクライアントを認証できる場合でも、関数に Kerberos に依存しているために、委任が失敗します。
回避策
1 つの考えられる回避策は、負荷分散クラスター内の各コンピューターは独自の完全修飾ドメイン名 (FQDN) に回答できる必要があります。各サーバー上の既定のページ自体、ため、仮想ホスト名をバイパスし、代わりにチケットを発行できる有効なホスト名を提供することに直接クライアントをリダイレクトする必要があります。

サンプルでは、ページ、簡単な何かとしての次の行を指定できます。
<% response.redirect("http://my.unique.fqdn/default2.asp") %>				
My.unique.fqdn は、コンピューターの一意の FQDN が、Default2.asp は、クライアントが送信する必要があります、実際の既定のページがある場合は、Kerberos は負荷分散アーキテクチャで動作するこの単純なリダイレクトを使用できます。

注意点としては、クライアントを参照してください記録またはことができます (つまり、ブックマーク) がクライアントに送られる、サーバーの一意の名前。これは、場合は、クライアントがそのサイトをブックマークして、物理サーバーまたは一意のサーバー名のいずれかが利用できない場合に返されますを停止につながるかもしれません。
詳細
ホワイト ・ ペーパーになりました、ネットワーク負荷分散環境で Kerberos 認証を設定する方法について説明します。このソリューションは、Web サーバー環境への変更が含まれていますので実装かかることがあります。ただし、このホワイト ペーパーで説明するソリューションは、「回避策」で説明したソリューションよりもより良いことがあります。

メモ このホワイト ペーパーに記載されているソリューションを使用する場合に指示された場合は、ホストと SPN を登録しません。HTTP SPN を登録します。

Web サイトの「Kerberos 認証の負荷のバランス」ホワイト ペーパーを参照するのには、次マイクロソフト Web サイトを参照してください。

ネットワーク負荷分散の詳細については、次のマイクロソフト Web サイトを参照してください。

Kerberos 認証プロトコルの詳細については、次の RFC Web サイトを参照してください。
NLB iis 5 wlbs の kerberos の委任を統合

警告: この記事は自動翻訳されています

プロパティ

文書番号:325608 - 最終更新日: 07/27/2011 09:23:00 - リビジョン: 6.0

  • kbprb kbpending kbmt KB325608 KbMtja
フィードバック
m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">