현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

Kerberos 인증과 위임 문제 해결

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:907272
IIS 개발자 Support Voice 칼럼

Kerberos 인증과 위임 문제 해결

이 열에 맞게를 사용자 지정 하려면 보려는 문제 관심 있는 주제에 대 한 아이디어를 향후 기술 자료 문서 및 Support Voice 칼럼 다루었으면 하는 초대 하려면. 사용자 의견 및 피드백을 사용 하 여 제출할 수 있는 요청 양식입니다. 이 열의 맨 아래에 폼에 대 한 링크가 있습니다.
내 이름 Martin Smith 이며 Microsoft가 Microsoft와 내가 인터넷 정보 서비스 (IIS) 문제 해결 중요 한 그룹입니다. 용량은 Microsoft에 9 년간 되었습니다 및 IIS 팀과 모든 9 년간 왔습니다. 여러 위치에서 정보를 컴파일 했을 http://msdn.microsoft.com 하 고 http://www.microsoft.com Kerberos에 대 한 및 방법 위임 문제를 해결 합니다.

IIS 6.0

다음 백서에서 위임을 설정 하는 방법에 설명 Microsoft Windows Server 2003입니다. 흰색 용지의 특정 정보에 대 한이 네트워크 로드 균형 조정 (NLB)는 하지만 설정 하는 방법에 대 한 훌륭한 세부 포함 됩니다. NLB를 사용 하지 않고 위임 된 시나리오입니다. 이 백서를 보려면 다음을 방문 하면 다음 Microsoft 웹 사이트: 참고 특히 사용 하는 경우 HTTP 서비스 사용자 이름 (Spn)을 사용 합니다. NLB입니다.

또 다른 일반적인 Kerberos 문제가 최근에 필요성을 되 동일한 DNS 이름을 사용 하는 여러 응용 프로그램 풀에 있습니다. 불행 하 게도 Kerberos를 사용 하 여 자격 증명을 위임 하는 경우에 동일한 서비스를 바인딩할 수 없습니다. 주체 이름 (SPN) 다른 응용 프로그램 풀에. 때문에 이렇게 수 없습니다. Kerberos 설계입니다. Kerberos 프로토콜을 공유 하는 여러 필요 제대로 작동 하는 프로토콜에 대 한 비밀입니다. 에 대 한 동일한 SPN 사용 하 여 다른 응용 프로그램 풀, 우리가 이러한 공유 비밀을 중 하나 제거합니다. 활성 이 Kerberos이 구성 디렉터리 디렉터리 서비스를 지원 하지 않습니다. 프로토콜 보안 문제 때문입니다.

이 Spn을 구성 방식으로 실패 하는 Kerberos 인증이 됩니다. 이 대 한 가능한 해결 방법 문제가 프로토콜 전환 사용할 수 있습니다. 초기 인증 사용 하 여 클라이언트와 서버 IIS 실행 간의 처리 될 수 있는 NTLM 인증 프로토콜입니다. Kerberos 인증 간에 처리 합니다. IIS 및 백 엔드 서버 리소스입니다.

Microsoft Internet Explorer 6 이상

클라이언트 브라우저가 받는 등의 문제가 발생할 수 있습니다. 반복 된 로그온 자격 증명 또는 "401 액세스 거부" 오류 메시지에 대 한 묻는 메시지가 나타납니다. 서버에서 IIS를 실행합니다. 우리가 수는 다음과 같은 두 가지 문제를 발견 했습니다. 이 문제를 해결 하는 데 도움이:
  • 확인 Windows 통합된 사용 인증 브라우저의 속성을 선택 합니다. 자세한 내용은 다음 문서를 참조를 클릭 합니다. Microsoft 기술 자료의 문서를 보려면:
    299838Internet Explorer 6으로 업그레이드 한 후 Kerberos 인증을 협상할 수 없습니다.
  • Internet Explorer 보안 강화 구성 인 경우 위임을 사용 하는 사이트 추가 해야 프로그램 추가/제거에서 사용할 수 있는신뢰할 수 있는 사이트 목록입니다. 자세한 내용은 다음 문서를 참조를 클릭 합니다. Microsoft 기술 자료의 문서를 보려면:
    815141Internet Explorer 보안 강화 구성을 검색 환경을 변경합니다

IIS 5.0 및 IIS 6.0

IIS 4.0에서 IIS 5.0 또는 IIS 6.0에서 위임에 업그레이드 한 후 또는 제대로 작동 하지 않거나 다른 사용자 또는 응용 프로그램 수정 NTAuthenticationProviders 메타 베이스 속성입니다. 이 문제를 해결 하는 방법에 대 한 자세한 내용은 클릭 하 여 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
248350IIS 4.0에서 IIS 5.0으로 업그레이드 한 후에 Kerberos 인증 실패

SPN을 설정 하는 경우 특정 영역을 하는 데 문제가 발생할 수 있습니다.

서버 이름을 확인 합니다.

사용 하 여 웹 사이트에 연결 된 여부를 확인 하면 서버 또는 DNS 이름에 별칭 이름을 사용 하 여 실제 NetBIOS 이름 (예: www.microsoft.com)입니다. 사용 하 여 웹 서버에 액세스 하는 경우 새 서비스 사용자 이름을 서버의 실제 이름이 아닌 다른 이름 (SPN) Windows 2000에서 Setspn 도구를 사용 하 여 등록 되어 있어야 서버 리소스 키트입니다. Active Directory 디렉터리 서비스를 하지 않기 때문에 이 서비스 이름을 알고 티켓 부여 서비스 (TGS) 주지 않는 한 사용자를 인증 하는 티켓입니다. 이 문제를 사용 하도록 클라이언트를 강제로 NTLM 재협상을 다음 사용 가능한 인증 메서드를. 경우 웹 www.microsoft.com의 DNS 이름에 서버가 응답 하지만 서버 webserver1.development.microsoft.com 이라고, 등록 해야 IIS를 실행 하 여 실행 되는 서버의 Active Directory에서 www.microsoft.com. 이 위해서는 Setspn 도구를 다운로드 하 고 IIS를 실행 하는 서버에 설치 해야 합니다.

Setspn 도구를 Microsoft Windows Server 2003은 Windows Server 2003과 IIS 6을 사용 하는 경우 다음 위치에서 사용할 수 있습니다.실제 이름을 사용 하 여 연결 중인 여부를 확인 하려면 대신 서버의 실제 이름을 사용 하 여 서버에 연결 하려고 합니다. DNS 이름입니다. 서버에 연결할 수 있으면 "확인 하는 컴퓨터를 참조 하십시오. 위임에 트러스트 되었습니다"섹션입니다.

서버에 연결할 수 있으면 연결 하는 데 사용 하는 DNS 이름에 대 한 SPN을 설정 하려면 다음이 단계를 수행 하십시오. 서버에.
  1. Setspn 도구를 설치 합니다.
  2. IIS를 실행 하는 서버에서 명령 프롬프트를 열고 다음 C:\Program Files\Resource 키트 폴더를 엽니다.
  3. 이 새 SPN을 추가 하려면 다음 명령을 실행 합니다. (www.microsoft.com) Active directory 서버:
    Setspn-HTTP/www.microsoft.com webserver1
    참고 이 명령에서 webserver1 나타냅니다. 서버의 NetBIOS 이름입니다.
사용자는 다음과 유사한 출력이 나타납니다.
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.comUpdated object
이 새 값을 확인 하려면 서버에 Spn 목록을 보려면 IIS를 실행 하는 서버에서 다음과 같이 입력 합니다.
Setspn-L webservername
참고 모든 서비스를 등록할 필요가 없습니다. 많은 서비스 HTTP, W3SVC, WWW, RPC, CIFS (파일 액세스), WINS, 등의 종류 및 무정전 전원 공급 장치 (UPS) 된 기본 서비스 형식에 매핑할 합니다. 호스트 이름을 지정합니다. 예를 들어, SPN의 클라이언트 소프트웨어를 사용 하 여 HTTP/webserver1.microsoft.com는 웹 서버에 HTTP 연결을 만들려면 webserver1.microsoft.com 서버에 있지만이 SPN이 등록 되지 않았습니다에 서버를 Windows 2000 도메인 컨트롤러는 자동으로 지도 HOST/webserver1.microsoft.com에 연결 합니다. 이 매핑 경우에 적용 되는 웹 서비스는 로컬 시스템 계정으로 실행 중입니다.

컴퓨터가 위임용으로 트러스트 되었는지 확인

IIS를 실행 하는이 서버는 도메인의 구성원 이지만 아닌 경우는 도메인 컨트롤러에 Kerberos 위임에 대 한 신뢰할 수 있는 컴퓨터 여야 합니다. 제대로 작동 합니다. 이렇게 하려면, 다음과 같이 하십시오.
  1. 도메인 컨트롤러를 클릭 합니다. 시작, 가리키는 설정를 클릭 하 고 다음을 클릭 컨트롤 패널.
  2. 제어판에서 열기 관리 도구.
  3. 두 번 클릭 Active Directory 사용자 및 컴퓨터.
  4. 아래 도메인을 클릭 합니다. 컴퓨터.
  5. 목록에서 IIS를 실행 하는 서버를 이동 하 고, 마우스 오른쪽 단추로 클릭 하면 서버 이름을 클릭 하 고 속성.
  6. 클릭 하 여 일반 탭을 선택 하 여위임용으로 트러스트 확인란을 선택한 다음 클릭확인.
동일한 URL에서 여러 웹 사이트에 도달 하는 경우만 다른 포트에서 위임이 작동 하지 않습니다. 이 작업을 하려면 반드시 다른 호스트 이름이 다른 Spn 고 Internet Explorer 요청할 때 http://www입니다.: mywebsite.com 또는 http://www입니다.: mywebsite.com:81, Internet Explorer SPN HTTP/www.mywebsite.com에 대 한 티켓을 요청합니다. Internet Explorer 추가 되지 않습니다. 포트나 가상 디렉터리에 SPN 요청 합니다. 이 문제에 대해 동일 http://www입니다.: mywebsite.com/app1 또는 http://www입니다.: mywebsite.com/app2입니다. 이 시나리오에서는 Internet Explorer의 SPN에 대 한 티켓을 요청 합니다. http://www입니다.: mywebsite.com 키 분배 센터 (KDC)입니다. 각 SPN은 하나의 id만 선언할 수 있습니다. 따라서 사용자 이 선언 하려고 하면 KRB_DUPLICATE_SPN 오류 메시지가 또한 받게 됩니다. 각 id에 대 한 SPN입니다.

위임 및 Microsoft ASP.NET

에 대 한 자세한 내용은 구성에서 ASP.NET을 사용할 때 자격 증명 위임에 대 한 응용 프로그램에서 해당 문서를 보려면 다음 문서를 참조 하면 Microsoft 기술 자료에서:
810572ASP.NET 응용 프로그램에 대 한 위임 시나리오를 구성 하는 방법
가장 및 위임 되는 두 가지 방법이 있는 클라이언트를 대신 하 여 인증 하는 서버입니다. 다음 중 결정 사용 하는 메서드 및 구현을 혼동을 일으킬 수 있습니다. 해야 합니다. 이 두 메서드 간의 차이 검토 하 고 중 검사 응용 프로그램에 사용 하는 메서드를 사용할 수 있습니다. 내 권장 하는 것 자세한 내용은 다음 백서를 참조 하십시오.
참조
305971 Windows 2000 Server 도메인 사용자를 자격 증명을 묻는 메시지가 나타납니다.
262177 Kerberos 이벤트 로깅을 사용 하는 방법
326985 IIS에서 Kerberos 관련 문제를 해결 하는 방법
842861 TechNet 웹캐스트: 안전한 웹 응용 프로그램에서 Microsoft SQL Server Kerberos 인증 문제 해결
항상 주제에 대 한 의견을 자유롭게 하면 향후 열 또는 기술 자료를 사용 하 여 해당 주소를 가진 원하는 에 대 한 문의 이 양식입니다.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 907272 - 마지막 검토: 05/30/2013 05:40:00 - 수정: 6.0

Microsoft Internet Information Services 6.0

  • kbiis kbhowto kbasp kbmt KB907272 KbMtko
피드백
ype="text/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("