프로토콜을 전환 다중 홉 시나리오에서 Kerberos 제한 위임 해야 할 수 있습니다

적용 대상: Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 EnterpriseWindows Server 2008 Standard

이 솔루션은 문서가 빠른 기술 자료 문서를 게시 합니다. 지원 사이트에서 게시 된 콘텐츠를 보려면 다음 링크를 클릭: 2005838

증상


Kerberos 위임이 중간 계층으로 Windows 서버 시스템에서 몇 가지 상호 작용 서비스를 설치합니다. 따라서 이미 있는 백 엔드 서버 리소스에 액세스 하기 전에 중간 계층 서버에 이러한 서비스 간의 Kerberos 이중 홉 시나리오입니다. 무제한 위임 및 프로토콜을 사용 하 여 제한 위임 전환 작동 하지만 실패 하는 Kerberos 인증에 대 한 제한 위임. 유효한 사용자 티켓을 사용 하 여 프런트 엔드를 첫 번째 서비스 인스턴스가 연결 되어 있고 서비스 홉에 중간 계층 서버는 Kerberos 티켓 요청 하지는 아니라 백 엔드 서버에 대 한 인증에 실패 합니다.

원인


제한 된 위임이 설정에서 첫 번째 서비스 인스턴스만 호출자의 증명 정보 티켓을 있습니다. 모든 서비스는 고유한 로그온 사용자 ID (LUID)에서 실행 되 고 서로 증거 티켓을 다시 사용할 수 없습니다. 내부 루프백 최적화 호스트를 포함 하는 두 번째 서비스에 대 한 SPN을 구성 프로토콜 협상 한 티켓을 요청 하지 않습니다. 토큰은 두 번째 서비스 세션 액세스를 위한 단지 중복 됩니다. 두 번째 서비스는 티켓 없이 할 수 있는 백 엔드 서버 리소스에 액세스할 때 프런트 엔드 사용자 대신 Kerberos 티켓을 요청 하는 Kerberos 프로토콜 전환 필요 합니다.

해결 방법


프로토콜 전환을 구성할 수는 있는지 Kerberos 인증에 대 한 제한 위임을 구성 하려면 다음 옵션:

  • Kerberos를 협상 하는 대신 다음 서비스 인스턴스를 구성 합니다.
  • 즉, 호스트 헤더를 사용 하 여 프로그램 대체 SPN 서비스 사용자 이름 () 호스트 이름과 다를 사용 하 여 다음 서비스 인스턴스를 구성 합니다.
  • 로컬 시스템 계정이 나 네트워크 서비스 계정으로 서비스를 실행 합니다. 이 옵션은 서비스 계정을 사용 하 여 보다 안전 합니다.
  • 다른 서버에 서비스를 배포 합니다.

자세한 내용


처음 두 구성 옵션은 응용 프로그램 설치 설명서를 참조 하십시오에 대 한. 앞에서 설명한 대로 명시적 Windows 설계 인증 최적화 동작이입니다.