Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

IIS Geliştirici Desteği Ses sütunu

Kerberos kimlik doğrulaması ve temsilci seçme sorunlarını giderme

Bu sütunu gereksinimlerinize göre özelleştirmek için sizi ilginizi çekici konular ve gelecekteki Bilgi Bankası makalelerinde ve Destek Sesi sütunlarında ele almak istediğiniz sorunlar hakkındaki fikirlerinizi göndermeye davet etmek istiyoruz. Fikirlerinizi ve geri bildirimlerinizi Gönder formunu kullanarak gönderebilirsiniz. Bu sütunun en altındaki formun bağlantısı da vardır.

Adım <Ad> ve Microsoft'un Microsoft Internet Information Services (IIS) Kritik Sorun Çözümleme grubuyla birlikteyim. Dokuz yıldır Microsoft'tayım ve dokuz yıldır IIS ekibindeyim. kerberos ve temsilci seçme sorunlarını giderme hakkında http://msdn.microsoft.com ve
http://www.microsoft.com birden çok konumdan
bilgi derledim.

IIS 6.0

Aşağıdaki teknik incelemede Microsoft Windows Server 2003'te temsilci seçmenin nasıl ayarlanacağı açıklanmaktadır. Teknik incelemede Ağ Yükü Dengeleme (NLB) için belirli bilgiler bulunur, ancak NLB kullanmadan temsilcili bir senaryonun nasıl ayarlanacağı hakkında mükemmel ayrıntılar yer alır. Bu teknik incelemeyi görüntülemek için aşağıdaki Microsoft Web sitesini ziyaret edin:

http://technet.microsoft.com/en-us/library/cc757299.aspxNot Özellikle NLB kullanırken HTTP Hizmet Asıl Adlarını (SPN) kullanın.

Son zamanlarda sık kullanılan bir diğer Kerberos sorunu da, birden çok uygulama havuzunun aynı DNS adını kullanmasına izin verme gereksinimi oldu. Ne yazık ki, kimlik bilgilerini temsilci olarak atamak için Kerberos kullandığınızda, aynı Hizmet Asıl Adı'nı (SPN) farklı uygulama havuzlarına bağlayamazsınız. Kerberos'un tasarımı nedeniyle bunu yapamazsınız. Kerberos protokolü, protokolün düzgün çalışması için birden çok paylaşılan gizli dizi gerektirir. Farklı uygulama havuzları için aynı SPN'yi kullanarak bu paylaşılan gizli dizilerden birini ortadan kaldırırız. Active Directory dizin hizmeti, güvenlik sorunu nedeniyle Kerberos protokolünün bu yapılandırmasını desteklemez.

SPN'lerin bu şekilde yapılandırılması Kerberos kimlik doğrulamasının başarısız olmasına neden olur. Bu sorun için olası bir geçici çözüm, protokol geçişi kullanmak olabilir. İstemci ile IIS Çalıştıran Sunucu arasındaki ilk kimlik doğrulaması NTLM kimlik doğrulama protokolü kullanılarak işlenir. Kerberos, IIS ile arka uç kaynak sunucusu arasındaki kimlik doğrulamasını işler.

Microsoft Internet Explorer 6 veya üzeri

İstemci tarayıcısı, IIS çalıştıran sunucudan kimlik bilgileri için yinelenen oturum açma istemleri veya "401 Erişim Reddedildi" hata iletileri alma gibi sorunlarla karşılaşabilir. Bu sorunların çözülmesine yardımcı olabilecek aşağıdaki iki sorunu bulduk:

  • Tarayıcının özelliklerinde Tümleşik Windows Kimlik Doğrulamasını Etkinleştir'in seçili olduğunu doğrulayın.
     

  • Internet Explorer Gelişmiş Güvenlik Yapılandırması Program Ekle/Kaldır'da etkinleştirildiyse,Güvenilen siteler listesine temsilci
    kullanan bir site eklemeniz gerekir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

    815141 Internet Explorer Artırılmış Güvenlik Yapılandırması tarayıcı deneyimini değiştiriyor
     

IIS 5.0 ve IIS 6.0

IIS 4.0'dan IIS 5.0 veya IIS 6.0'a yükselttikten sonra, temsilci seçme düzgün çalışmayabilir veya birisi veya bir uygulama NTAuthenticationProviders metatabanı özelliğini değiştirmiştir.

 

SPN'yi ayarladığınızda belirli bir sorun alanı oluşabilir

Sunucu adını belirleme

Web sitesine bağlanmak için sunucunun gerçek NetBIOS adını mı yoksa DNS adı gibi bir diğer adı mı (örneğin, www.microsoft.com) kullandığınızı belirleyin. Web sunucusuna sunucunun gerçek adı dışında bir ad kullanarak erişiyorsanız, Windows 2000 Server Kaynak Seti'nden Setspn aracı kullanılarak yeni bir Hizmet Asıl Adı (SPN) kaydedilmiş olmalıdır. Active Directory dizin hizmeti bu hizmet adını bilmediğinden, bilet verme hizmeti (TGS) size kullanıcının kimliğini doğrulamanız için bir bilet vermez. Bu davranış, istemciyi yeniden anlaşmak için NTLM olan bir sonraki kullanılabilir kimlik doğrulama yöntemini kullanmaya zorlar. Web sunucusu www.microsoft.com DNS adına yanıt veriyorsa ancak sunucu webserver1.development.microsoft.com olarak adlandırılmışsa, WWW.MICROSOFT.COM IIS çalıştıran sunucuda Active Directory'ye kaydetmeniz gerekir. Bunu yapmak için Setspn aracını indirmeniz ve IIS çalıştıran sunucuya yüklemeniz gerekir.


Gerçek adı kullanarak bağlanıp bağlanmadığını belirlemek için, DNS adı yerine sunucunun gerçek adını kullanarak sunucuya bağlanmayı deneyin. Sunucuya bağlanamıyorsanız " Bilgisayarın temsilci seçme için güvenilir olduğunu doğrulama" bölümüne bakın.

Sunucuya bağlanabiliyorsanız, sunucuya bağlanmak için kullandığınız DNS adı için bir SPN ayarlamak için şu adımları izleyin:

  1. Setspn aracını yükleyin.

  2. IIS çalıştıran sunucuda bir komut istemi açın ve ardından C:\Program Files\Resource Kit klasörünü açın.

  3. Bu yeni SPN'yi (www.microsoft.com) sunucunun Active Directory'sine eklemek için aşağıdaki komutu çalıştırın:

    Setspn -A HTTP/www.microsoft.com webserver1Not Bu komutta webserver1 , sunucunun NetBIOS adını temsil eder.

Aşağıdakine benzer bir çıkış alırsınız:
CN=webserver1,OU=Etki Alanı Denetleyicileri,DC=microsoft,DC=com
için ServicePrincipalNames'i kaydetme HTTP/www.microsoft.com
Güncelleştirilmiş nesne
Bu yeni değeri görmek üzere sunucudaki SPN'lerin listesini görüntülemek için IIS çalıştıran sunucuda aşağıdaki komutu yazın:

Setspn -L web sunucusu adı Tüm hizmetleri kaydetmeniz gerekmediğini unutmayın. HTTP, W3SVC, WWW, RPC, CIFS (dosya erişimi), WINS ve kesintisiz güç kaynağı (UPS) gibi birçok hizmet türü HOST adlı varsayılan bir hizmet türüyle eşlenir. Örneğin, istemci yazılımınız webserver1.microsoft.com sunucusundaki Web sunucusuna HTTP bağlantısı oluşturmak için BIR HTTP/webserver1.microsoft.com SPN'sini kullanıyorsa, ancak bu SPN sunucuda kayıtlı değilse, Windows 2000 etki alanı denetleyicisi bağlantıyı otomatik olarak HOST/webserver1.microsoft.com ile eşler. Bu eşleme yalnızca Web hizmeti yerel Sistem hesabı altında çalışıyorsa geçerlidir.

Bilgisayarın temsilci seçme için güvenilir olduğunu doğrulayın

IIS çalıştıran bu sunucu etki alanının bir üyesiyse ancak bir etki alanı denetleyicisi değilse, Kerberos'un düzgün çalışması için temsilci seçme için bilgisayara güvenilmelidir. Bunu yapmak için şu adımları izleyin:

  1. Etki alanı denetleyicisinde Başlat'a tıklayın, Ayarlar'ın üzerine gelin ve Denetim Masası'a tıklayın.

  2. Denetim Masası'da Yönetim Araçları'nı açın.

  3. Active Directory Kullanıcıları ve Bilgisayarları çift tıklayın.

  4. Etki alanınızın altında Bilgisayarlar'a tıklayın.

  5. Listede IIS çalıştıran sunucuyu bulun, sunucu adına sağ tıklayın ve ardından Özellikler'e tıklayın.

  6. Genel sekmesine tıklayın,Temsilci seçme için güvenilir onay kutusunu seçmek
    için tıklayın ve ardındanTamam'a tıklayın
    .

Birden çok Web sitesine aynı URL ile erişilirse ancak farklı bağlantı noktalarında temsilci seçmenin çalışmayacağını unutmayın. Bunun çalışması için farklı ana bilgisayar adları ve farklı SPN'ler kullanmanız gerekir. Internet Explorer http://www istediğinde.mywebsite.com veya http://www.mywebsite.com:81, Internet Explorer SPN HTTP/www.mywebsite.com için bir bilet istemektedir. Internet Explorer SPN isteğine bağlantı noktasını veya vdir'i eklemez. Bu davranış http://www için aynıdır.mywebsite.com/app1 veya http://www.mywebsite.com/app2. Bu senaryoda, Internet Explorer SPN http://www için bir bilet isteyecektir.Anahtar Dağıtım Merkezi'nden (KDC) mywebsite.com. Her SPN yalnızca bir kimlik için bildirilebilir. Bu nedenle, her kimlik için bu SPN'yi bildirmeye çalışırsanız bir KRB_DUPLICATE_SPN hata iletisi de alırsınız.

Temsilci seçme ve Microsoft ASP.NET

ASP.NET bir uygulama kullandığınızda kimlik bilgilerini temsilci seçme yapılandırması hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

810572 Temsilci seçme senaryosu

için ASP.NET uygulaması yapılandırma Kimliğe bürünme ve temsilci seçme, bir sunucunun istemci adına kimlik doğrulaması için iki yöntemdir. Bu yöntemlerden hangisinin kullanılacağına ve bunların uygulanmasına karar vermek kafa karışıklığına neden olabilir. Bu iki yöntem arasındaki farkı gözden geçirmeniz ve uygulamanız için bu yöntemlerden hangisini kullanmak isteyebileceğinizi incelemeniz gerekir. Önerim, diğer ayrıntılar için aşağıdaki teknik incelemeyi okumaktır:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Başvurular



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Kerberos olay günlüğünü etkinleştirme

Internet Explorer'da Kerberos hatalarını giderme

Her zaman olduğu gibi, gelecekteki sütunlarda veya Bilgi Bankası'nda İste formunu kullanarak ele almak istediğiniz konularla ilgili fikirlerinizi gönderebilirsiniz.

Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×