Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Столбец "Голос поддержки разработчиков IIS"

Проверка подлинности Kerberos и устранение неполадок с делегированием

Чтобы настроить этот столбец в соответствии с вашими потребностями, мы хотим предложить вам представить свои идеи по интересующим вас темам и проблемам, которые вы хотите рассмотреть в будущих статьях базы знаний и в столбцах поддержки голосовой связи. Вы можете отправить свои идеи и отзывы с помощью формы Ask For It. Кроме того, в нижней части этого столбца находится ссылка на форму.

Меня зовут <имя>, и я в группе по устранению критических проблем Microsoft IIS (IIS). Я был в Microsoft девять лет и был в команде IIS все девять лет. Я скомпилировал сведения из несколькихрасположений на
http://msdn.microsoft.com и
http://www.microsoft.com о Kerberos и способах устранения проблем с делегированием.

IIS 6.0

В следующем техническом документе описывается настройка делегирования в Microsoft Windows Server 2003. Технический документ содержит конкретные сведения о балансировке сетевой нагрузки (NLB), но содержит подробные сведения о настройке делегированного сценария без использования балансировки нагрузки. Чтобы просмотреть этот технический документ, посетите следующий веб-сайт Майкрософт:

http://technet.microsoft.com/en-us/library/cc757299.aspxПримечание. Используйте имена субъектов-служб HTTP, особенно при использовании NLB.

Еще одна популярная проблема Kerberos в последнее время — необходимость разрешить нескольким пулам приложений использовать одно и то же DNS-имя. К сожалению, при использовании Kerberos для делегирования учетных данных нельзя привязать одно и то же имя субъекта-службы (SPN) к разным пулам приложений. Это невозможно сделать из-за структуры Kerberos. Для правильной работы протокола Kerberos требуется несколько общих секретов. Используя одно и то же имя субъекта-службы для разных пулов приложений, мы удаляем один из этих общих секретов. Служба каталогов Active Directory не будет поддерживать эту конфигурацию протокола Kerberos из-за проблемы с безопасностью.

Настройка имен субъектов-служб таким образом приводит к сбою проверки подлинности Kerberos. Возможное решение этой проблемы заключается в использовании перехода протокола. Начальная проверка подлинности между клиентом и сервером IIS будет обрабатываться с помощью протокола проверки подлинности NTLM. Kerberos будет обрабатывать проверку подлинности между СЛУЖБАми IIS и сервером внутренних ресурсов.

Microsoft Internet Обозреватель 6 или более поздней версии

В клиентском браузере могут возникнуть проблемы, такие как получение повторяющихся запросов на вход в систему для учетных данных или сообщений об ошибке "401 Доступ запрещен" от сервера, на котором запущены службы IIS. Мы обнаружили следующие две проблемы, которые могут помочь устранить эти проблемы:

  • Убедитесь, что в свойствах браузера выбран параметр Включить встроенную проверку подлинности Windows .
     

  • Если конфигурация расширенной безопасности Интернета Обозреватель включена в разделе Установка и удаление программ, необходимо добавить сайт, использующий делегирование, в
    списокнадежных сайтов. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

    815141 Влияние конфигурации усиленной безопасности Internet Explorer на работу в Интернете
     

IIS 5.0 и IIS 6.0

После обновления с IIS 4.0 до IIS 5.0 или IIS 6.0 делегирование может работать неправильно или, возможно, кто-то или приложение изменили свойство метабазы NTAuthenticationProviders.

 

При настройке имени субъекта-службы может возникнуть определенная проблема.

Определение имени сервера

Определите, подключаетесь ли вы к веб-сайту, используя фактическое netBIOS-имя сервера или псевдоним, например DNS-имя (например, www.microsoft.com). Если вы обращаетесь к веб-серверу по имени, отличному от фактического имени сервера, новое имя субъекта-службы (SPN) должно быть зарегистрировано с помощью средства Setpn из комплекта ресурсов сервера Windows 2000. Так как служба каталогов Active Directory не знает это имя службы, служба предоставления билетов (TGS) не предоставляет запрос на проверку подлинности пользователя. Это заставляет клиента использовать следующий доступный метод проверки подлинности, который является NTLM, для пересмотра. Если веб-сервер отвечает на DNS-имя www.microsoft.com но сервер имеет имя webserver1.development.microsoft.com, необходимо зарегистрировать www.microsoft.com в Active Directory на сервере под управлением IIS. Для этого необходимо скачать средство Setpn и установить его на сервере, на котором выполняются службы IIS.


Чтобы определить, используется ли подключение с помощью фактического имени, попробуйте подключиться к серверу, используя фактическое имя сервера, а не DNS-имя. Если подключиться к серверу не удается, см. раздел "Проверка того, что компьютер является доверенным для делегирования".

Если вы можете подключиться к серверу, выполните следующие действия, чтобы задать имя субъекта-службы для DNS-имени, используемого для подключения к серверу.

  1. Установите средство Setpn.

  2. На сервере, на котором запущены службы IIS, откройте командную строку, а затем откройте папку C:\Program Files\Resource Kit.

  3. Выполните следующую команду, чтобы добавить это новое имя субъекта-службы (www.microsoft.com) в Active Directory для сервера:

    Setspn -A HTTP/www.microsoft.com webserver1Примечание. В этой команде webserver1 представляет netBIOS-имя сервера.

Вы получите следующие выходные данные:
Регистрация ServicePrincipalNames для CN=webserver1,OU=Контроллеры домена,DC=microsoft,DC=com
HTTP/www.microsoft.com
Обновленный объект
Чтобы просмотреть список имен субъектов-служб на сервере, чтобы увидеть это новое значение, введите следующую команду на сервере, на котором запущены службы IIS:

Setpn -L webservername Обратите внимание, что вам не нужно регистрировать все службы. Многие типы служб, такие как HTTP, W3SVC, WWW, RPC, CIFS (доступ к файлам), WINS и источник бесперебойного питания (UPS), сопоставляется с типом службы по умолчанию с именем HOST. Например, если клиентское программное обеспечение использует имя субъекта-службы HTTP/webserver1.microsoft.com для создания HTTP-подключения к веб-серверу на сервере webserver1.microsoft.com, но это имя субъекта-службы не зарегистрировано на сервере, контроллер домена Windows 2000 автоматически сопоставляет подключение с HOST/webserver1.microsoft.com. Это сопоставление применяется только в том случае, если веб-служба работает под локальной системной учетной записью.

Убедитесь, что компьютер является доверенным для делегирования

Если этот сервер, на котором запущены СЛУЖБЫ IIS, является членом домена, но не является контроллером домена, то для правильной работы Kerberos компьютер должен быть доверенным. Для этого выполните следующие действия:

  1. На контроллере домена нажмите кнопку Пуск, наведите указатель на пункт Параметры, а затем панель управления.

  2. В панель управления откройте Администрирование.

  3. Дважды щелкните значок Active Directory — пользователи и компьютеры.

  4. Под доменом щелкните Компьютеры.

  5. В списке найдите сервер, на котором запущены службы IIS, щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.

  6. Перейдите на вкладку Общие, выберите поле Доверенные
    для делегирования проверка, а затем нажмите кнопку
    ОК.

Обратите внимание, что если несколько веб-сайтов доступны по одному URL-адресу, но на разных портах, делегирование не будет работать. Чтобы сделать это, необходимо использовать разные имена узлов и разные имена субъектов-служб. Когда интернет-Обозреватель запросы http://www.mywebsite.com или http://www.mywebsite.com:81, Интернет Обозреватель запрашивает билет на имя субъекта-службы HTTP/www.mywebsite.com. Интернет-Обозреватель не добавляет порт или vdir в запрос имени субъекта-службы. Это же поведение и для http://www.mywebsite.com/app1 или http://www.mywebsite.com/app2. В этом сценарии интернет-Обозреватель запросит билет на http://www имени субъекта-службы.mywebsite.com из Центра распространения ключей (KDC). Каждое имя субъекта-службы можно объявить только для одного удостоверения. Таким образом, вы также получите сообщение об ошибке KRB_DUPLICATE_SPN при попытке объявить это имя субъекта-службы для каждого удостоверения.

Делегирование и Microsoft ASP.NET

Дополнительные сведения о конфигурации делегирования учетных данных при использовании приложения ASP.NET щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

810572 Настройка приложения ASP.NET для сценария

делегирования Олицетворение и делегирование — это два метода проверки подлинности сервера от имени клиента. Выбор того, какой из этих методов следует использовать и их реализация, может привести к некоторой путанице. Необходимо проверить разницу между этими двумя методами и узнать, какой из этих методов может потребоваться использовать для приложения. Я хотел бы ознакомиться со следующим документом для получения дополнительных сведений:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Ссылки



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Как включить ведение журнала событий Kerberos

Устранение неполадок Kerberos в Интернете Обозреватель

Как всегда, вы можете отправлять идеи по темам, которые вы хотите рассмотреть в будущих столбцах или в базе знаний, используя форму "Запросить".

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×