IIS 개발자 Support Voice 칼럼

Kerberos 인증과 위임 문제를 해결 합니다.

이 칼럼의 필요에 맞게 다루었으면 보려고 하는 문제와 관심 있는 항목에 대 한 아이디어를 향후 기술 자료 문서 및 Support Voice 칼럼을 초대 하려고 합니다. 의견이 나 요청에 대해이 양식을 사용 하 여 피드백을 제출할 수 있습니다. 이 칼럼의 맨 아래에 폼에 대 한 링크가 있습니다.

제 이름은 마틴 Smith 이며 마이크로소프트의 중요 한 문제 해결 Microsoft 인터넷 정보 서비스 (IIS) 그룹, 가자. 내가 9 년 동안 Microsoft와 된 되었으며 IIS 팀과 모든 9 년간. 내가 여러 위치의 정보에서 컴파일한
http://msdn.microsoft.com
http://www.microsoft.com Kerberos 및 위임 문제를 해결 하는 방법에 대 한.

IIS 6.0

다음 백서에는 Microsoft Windows Server 2003에서 위임을 설정 하는 방법을 설명 합니다. 백서는 특정 정보에 대 한 로드 균형 조정 NLB (네트워크) 있지만 NLB를 사용 하지 않고 위임 된 시나리오를 설정 하는 방법에 대 한 훌륭한 세부 포함 됩니다. 이 백서를 보려면 다음 Microsoft 웹 사이트를 방문 하십시오.

http://technet.microsoft.com/en-us/library/cc757299.aspx참고: NLB를 사용 하는 경우 HTTP 서비스 사용자 이름 (Spn)을 사용 합니다.

최근에 또 다른 일반적인 Kerberos 문제가 동일한 DNS 이름을 사용 하는 여러 응용 프로그램 풀에 대 한 허용 하도록 필요 했습니다. 그러나 Kerberos를 사용 하 여 자격 증명을 위임할 때 같은 SPN 서비스 사용자 이름 () 다른 응용 프로그램 풀에 바인딩할 수 없습니다. Kerberos의 설계로 인해이 수행할 수 없습니다. Kerberos 프로토콜이 제대로 작동 하려면 프로토콜에 대 한 여러 공유 암호가 필요 합니다. 다른 응용 프로그램 풀에 대 한 동일한 SPN을 통해 해결 이러한 공유 암호 중 하나입니다. Active Directory 디렉터리 서비스는 보안 문제 때문에이 구성은 Kerberos 프로토콜을 지원 하지 않습니다.

이러한 방식으로 Spn을 구성 하면 Kerberos 인증이 실패 하. 이 문제에 대 한 가능한 해결 방법은 프로토콜 전환 사용할 수 있습니다. NTLM 인증 프로토콜을 사용 하 여 클라이언트와 서버 IIS 실행 간의 초기 인증 처리 됩니다. Kerberos는 IIS 및 백 엔드 리소스 서버 간의 인증을 처리 하려고 합니다.

Microsoft Internet Explorer 6 이상

클라이언트 브라우저에서 IIS를 실행 하는 서버에서 "401 액세스 거부" 오류 메시지 또는 자격 증명에 대 한 반복 된 로그온 프롬프트를 받는 등의 문제가 발생할 수 있습니다. 이러한 문제를 해결할 수 있는 다음과 같은 두 가지 문제를 발견 했습니다.

  • 속성 브라우저의 통합 된 Windows 인증 사용 을 선택 했는지 확인 합니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

    Internet Explorer 6으로 업그레이드 한 후에 Kerberos 인증을 협상 299838 없습니다.

  • 위임을 사용 하는 사이트를 추가 해야 프로그램 추가/제거에서에서 Internet Explorer 보안 강화 구성을 사용 하는 경우는
    신뢰할 수 있는 사이트 목록입니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

    815141 Internet Explorer 보안 강화 구성을 변경 검색 환경을

IIS 5.0 및 IIS 6.0

IIS 4.0에서 IIS 5.0 또는 IIS 6.0으로 업그레이드 한 후 위임 제대로 작동 하지 않을 수 또는 가능한 경우 응용 프로그램이 나 쳤 NTAuthenticationProviders 메타 베이스 속성.
이 문제를 해결 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

248350 IIS 4.0에서 IIS 5.0으로 업그레이드 한 후에 Kerberos 인증이 실패 한다

SPN을 설정 하는 경우 특정 영역에 문제가 발생할 수 있습니다.

서버 이름 확인

실제 NetBIOS 이름 서버를 사용 하거나 별칭 이름, DNS 이름 (예: www.microsoft.com)을 사용 하 여 웹 사이트에 연결 되어 있는지 여부를 결정 합니다. 웹 서버에 서버의 실제 이름이 아닌 다른 이름을 사용 하 여 액세스 하는 경우는 새 SPN 서비스 사용자 이름 () 등록 되어 있어야 Windows 2000 Server Resource Kit에서 Setspn 도구를 사용 하 여. Active Directory 디렉터리 서비스에이 서비스 이름을 모르기 때문에 (TGS) 티켓 부여 서비스 주지 않습니다 사용자 인증 티켓입니다. 이 문제는 재협상을 다음 사용 가능한 인증 방법을 ntlm을 사용 하도록 클라이언트를 강제로 합니다. 웹 서버 www.microsoft.com의 DNS 이름에 응답 하는 경우 서버 이름은 webserver1.development.microsoft.com 실행 되 고 IIS가 실행 되는 서버에 Active Directory에 www.microsoft.com를 등록 해야 합니다. 이렇게 하려면 Setspn 도구를 다운로드 하 고 IIS를 실행 하는 서버에 설치 해야 합니다.


Windows Server 2003과 IIS 6을 사용 하는 다음 위치에서 Microsoft Windows Server 2003 Setspn 도구를 사용할 수 있습니다.

http://support.microsoft.com/kb/970536실제 이름을 사용 하 여 연결 하는 여부를 확인 하려면 DNS 이름 대신 실제 서버 이름을 사용 하 여 서버에 연결 하려고 합니다. 서버에 연결할 수 없습니다 "확인 된 컴퓨터는 위임용으로 트러스트" 절을 참조 하십시오.

서버에 연결할 수 있으면 서버에 연결 하는 데 사용 하는 DNS 이름에 대 한 SPN을 설정 하려면 다음과 같이 하십시오.

  1. Setspn 도구를 설치 합니다.

  2. IIS를 실행 하는 서버에서 명령 프롬프트를 열고 폴더를 C:\Program Files\Resource 키트.

  3. 이 새 SPN (www.microsoft.com) Active Directory에서 서버를 추가 하려면 다음 명령을 실행 합니다.

    Setspn-HTTP/www.microsoft.com webserver1참고: 이 명령은 webserver1 서버의 NetBIOS 이름을 나타냅니다.

다음과 유사한 출력이 나타납니다.
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

이 새 값을 표시 하도록 서버의 Spn 목록에서 보려는 IIS를 실행 하는 서버에서 다음 명령을 입력 합니다.

Setspn-L webservername참고 모든 서비스를 등록할 필요가 없습니다. 다양 한 서비스 종류를 HTTP, W3SVC, WWW, RPC, CIFS (파일 액세스), WINS 및 무정전 전원 공급 (UPS)와 같은에 매핑됩니다 호스트 라는 기본 서비스 종류를. 예를 들어, 클라이언트 소프트웨어 SPN의 HTTP/webserver1.microsoft.com를 사용 하 여 webserver1.microsoft.com 서버에 웹 서버에 HTTP 연결을 만들려고 하는 경우 서버에이 SPN이 등록 되지 않은 Windows 2000 도메인 컨트롤러 자동 연결 연결을 HOST/webserver1.microsoft.com. 이 매핑은 웹 서비스가 로컬 시스템 계정에서 실행 되는 경우에 적용 합니다.

컴퓨터가 위임용으로 트러스트 되었는지 확인

도메인의 구성원이이 서버를 IIS가 실행 되는 도메인 컨트롤러가 아닙니다 경우 컴퓨터가 제대로 작동 하려면 Kerberos 위임용으로 트러스트 이어야 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.

  1. 도메인 컨트롤러에서 시작하 고 설정을 가리킨 다음 제어판을 클릭 합니다.

  2. 제어판에서 관리 도구를 엽니다.

  3. Active Directory 사용자 및 컴퓨터를두 번 클릭 합니다.

  4. 도메인에서 컴퓨터를 클릭 합니다.

  5. 목록에서 IIS를 실행 하는 서버를 찾은 서버 이름을 마우스 오른쪽 단추로 클릭 하 고 속성을 클릭 합니다.

  6. 일반 탭을 선택 하 고
    위임에 대해 신뢰할 수 있 는 확인란을 선택한 다음 클릭
    OK.

Note 같은 url 이지만 다른 포트에서 여러 웹 사이트에 도달 하면, 위임이 작동 하지 않습니다. 이 작업을 하려면 다른 호스트 이름 및 다른 Spn을 사용 해야 합니다. Internet Explorer를 요청할 때 두 http://www. : mywebsite.com 또는 http://www입니다. .com:81, Internet Explorer : mywebsiteHTTP/www.mywebsite.com SPN에 대 한 티켓을 요청합니다. Internet Explorer 요청 SPN에 포트 또는 가상 디렉터리를 추가 하지 않습니다. 이 동작은 http://www에 대해 동일 합니다. : mywebsite.com/app1 또는 http://www입니다. .com :mywebsite/app2입니다. 이 시나리오에서는 Internet Explorer SPN http://www에 대 한 티켓을 요청 합니다. : mywebsite.com 키 배포 센터 (KDC)에서. 각 SPN은 하나의 id에 대해서만 선언할 수 있습니다. 따라서는 KRB_DUPLICATE_SPN 오류 메시지가 나타나면 각 id에 대 한이 SPN이 선언 하는 경우.

위임 및 Microsoft ASP.NET

ASP.NET 응용 프로그램을 사용할 때 자격 증명 위임에 대 한 구성에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

810572 위임 시나리오에 대 한 ASP.NET 응용 프로그램을 구성 하는 방법

가장 및 위임 서버가 클라이언트 대신 하 여 인증 하는 두 가지 방법을. 어떤 사용 하도록 이러한 메서드 및 구현을 결정할 혼란을 일으킬 수 있습니다. 이 두 메서드 간의 차이 검토 하 고 응용 프로그램에 사용 할 수 있습니다 이러한 방법 중 어떤 검사 해야 합니다. 내 권장 자세한 내용은 다음 백서를 읽을 것입니다.

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

참조

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server 도메인 사용자 자격 증명을 묻습니다.

262177 Kerberos 이벤트 로깅을 설정 하는 방법

326985 IIS에서 Kerberos 관련 문제를 해결 하는 방법

842861 TechNet 웹캐스트: 보안 웹 응용 프로그램 및 Microsoft SQL Server 사용 하 여 문제를 해결 하는 Kerberos 인증

언제나 원하는 주제에 대 한 의견을 자유롭게 배달 나중에 열 또는 사용 하 여 기술 자료에 있는
요청에 대 한 그 형태입니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

번역 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?

소중한 의견에 감사드립니다.

×