Kerberos autentifikavimas ir perdavimas trikčių šalinimas

IIS programų kūrėjų palaikymo balso stulpelio

Kerberos autentifikavimas ir perdavimas trikčių šalinimas

Norėdami tinkinti šį stulpelį į jūsų poreikius, mes norite pakviesti galite pateikti savo idėjas, antraštes, kad palūkanų jums ir problemoms, kurių norite pamatyti įtrauktas į būsimus žinių bazės straipsniai ir palaikymo balso stulpelius. Galite pateikti savo idėjas ir atsiliepimus, naudojant formą Pateikite jį . Taip pat yra saitas į formą šio stulpelio apačioje.

Mano vardas Martinas Jonaitis, ir aš su "Microsoft' Microsoft interneto informacijos tarnybų (IIS) kritinių problemų sprendimas grupės. Aš su "Microsoft" 9 metų ir buvo su IIS komanda visus 9 metus. Yra kaupiama informacija iš skirtingų vietų
http://MSDN.Microsoft.com ir
http://www.microsoft.com , Kerberos ir perdavimas problemas.

IIS 6.0

Šioje techninėje dokumentacijoje aprašoma, kaip nustatyti perdavimas naudojant Microsoft Windows Server 2003. Techninėje dokumentacijoje yra skirta informacija, tinklo apkrovos balansavimo (NLB), bet yra puikus išsamios informacijos apie tai, kaip nustatyti įgaliotasis scenarijų nenaudojant NLB. Norėdami peržiūrėti šią techninę dokumentaciją, apsilankykite šioje "Microsoft" svetainėje:

http://technet.microsoft.com/en-us/library/cc757299.aspxPastaba. Naudoti HTTP pagrindinius tarnybos pavadinimus (SPNs), ypač, kai naudojate NLB.

Kitas populiarus Kerberos neseniai buvo reikia leisti keletą taikomųjų programų telkiniai naudoti tą patį DNS vardą. Deja, kai naudojate Kerberos kredencialus, pačios paslaugos pagrindinis pavadinimas (SPN) negali jungiasi prie skirtingų programų telkiniai. Negalite kreiptis dėl Kerberos, dizainas. Kerberos protokolas reikalauja keletą bendro naudojimo paslaptis protokolo, kad tinkamai veiktų. Naudojant patį SPN skirtingų programų telkiniai, pašalinti vieną iš šių bendro naudojimo paslaptis. Katalogų tarnybos Active Directory nepalaiko šios konfigūracijos Kerberos protokolo dėl saugos problemos.

Tokiu būdu konfigūruoti SPN dėl Kerberos autentifikavimas. Galimas problemos sprendimo būdas šios problemos būtų galima naudoti protokolo perėjimas. Pradinis autentifikavimas tarp kliento ir serverio veikia IIS būtų vykdoma naudojant NTLM autentifikavimo protokolas. Kerberos būtų apdoroti IIS ir išteklių vidinio serverio autentifikavimas.

Microsoft Internet Explorer 6 arba naujesnės versijos

Kliento naršyklė gali kilti problemų, pavyzdžiui, gauti iš serverio, kuriame veikia IIS pakartotinai įėjimo raginimus kredencialus arba "401 – prieiga uždrausta" klaidos pranešimus. Mes nustatėme, kad šias dvi problemas, kurios gali padėti išspręsti šias problemas:

  • Patikrinkite, ar pasirinktas Įgalinti integruotą Windows autentifikavimą naršyklės ypatybėse. Jei norite gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

    299838 nepavyko tartis dėl Kerberos autentifikavimo atnaujinus į Internet Explorer 6

  • Jei Internet Explorer Patobulintoji saugos konfigūracija yra įjungtas pridėti/šalinti programas, turite įtraukti svetainę, kuri naudoja perdavimas ir toliau
    Patikimų svetainių sąrašą. Jei norite gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

    815141 Internet Explorer Patobulintoji saugos konfigūracija keičia naršymo eigą

IIS 5.0 ir IIS 6.0

Po to, kai atnaujinate iš IIS 4.0, IIS 5.0 ir IIS 6.0, perdavimas gali veikti netinkamai arba gali būti kas nors arba programos pakeitė metabazės ypatybę NTAuthenticationProviders.
Jei norite gauti daugiau informacijos apie tai, kaip išspręsti šią problemą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

248350 Kerberos autentifikavimas nepavyksta atnaujinus versiją iš IIS 4.0 į IIS 5.0

Atskirose problemų gali kilti, kai nustatysite SPN

Nustatyti serverio pavadinimas

Patikrinkite, ar esate prisijungę prie svetainės naudodami NetBIOS realiu serverio arba pseudonimas vardu, pvz., DNS pavadinimą (pvz., www.microsoft.com). Jei pasiekiate žiniatinklio serverio naudodami vardą, o ne tikrasis serverio pavadinimą, į naują pagrindinis tarnybos pavadinimas (SPN) turi neužregistruota Setspn įrankį iš Windows 2000 Server išteklių rinkinyje. Dėl to, kad katalogų tarnybos Active Directory nežino, kad ši paslaugų pavadinimas, bilietų išdavimo tarnyba (Tg) nesuteikia jums bilietą autentifikuoti vartotoją. Taip verčia kliento naudoti kitą autentifikavimo būdą, kuris yra NTLM, iš naujo. Jei žiniatinklio serveris atsako į DNS vardo iš www.microsoft.com bet serverio pavadinimas yra webserver1.development.microsoft.com, turite užregistruoti www.microsoft.com Active Directory serveryje, kuriame veikia IIS. Norėdami tai padaryti, turite atsisiųsti įrankį "Setspn" ir įdiegti ją serveryje, kuriame veikia IIS.


Jei naudojate Windows Server 2003 "ir" IIS 6, Setspn įrankis, skirtas Microsoft Windows Server 2003 yra šioje vietoje:

http://support.microsoft.com/kb/970536Norėdami nustatyti, ar esate prisijungę naudodami realiu, pabandykite prisijungti prie serverio naudodami realiu serverio, o ne DNS vardo. Jei negalite prisijungti prie serverio, skyriuje "Patikrinti kompiuterio yra patikimas perdavimas".

Jei galite prisijungti prie serverio, atlikite šiuos veiksmus, Norėdami nustatyti, kurį naudojate prisijungti prie serverio DNS vardo SPN:

  1. Įdiekite įrankį "Setspn".

  2. Serveryje, kuriame veikia IIS, Atidarykite komandų eilutę, ir tada atidarykite aplanką C:\Program Files\Resource rinkinys.

  3. Vykdykite šią komandą, kad įtraukti šį naują SPN (www.microsoft.com) Active Directory serveriui.

    Setspn - A-HTTP/www.microsoft.com webserver1Pastaba. Ši komanda webserver1 reiškia serverio NetBIOS vardą.

Gaunate rezultatą, panašų į šį:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Norėdami pamatyti šį naują reikšmę serverio SPN sąrašą, įveskite toliau nurodytą komandą serveryje, kuriame veikia IIS:

Setspn -L webservernameAtkreipkite dėmesį, kad turite registruoti visas paslaugas. Daug pakeitimų tipus, pvz., HTTP, W3SVC, WWW, RPC, CIFS (prieigos prie failų), WINS, ir nenutrūkstamo maitinimo šaltinio (UPS), bus priskirti numatytąjį aptarnavimo tipą, pavadintą pagrindinio kompiuterio. Pavyzdžiui, jei jūsų programa naudoja, HTTP/webserver1.microsoft.com SPN sukurti webserver1.microsoft.com serveryje naudojant HTTP ryšį su žiniatinklio serveriu, bet šis SPN nėra registruotas serveryje, Windows 2000 domeno valdiklyje bus automatiškai priskirti ryšys HOST/webserver1.microsoft.com. Šis susiejimas taikoma tik tada, jei žiniatinklio tarnyba veikia vietinės sistemos abonementas.

Patikrinkite, ar kompiuteris yra patikimas perdavimas

Jei šiame serveryje, kuriame veikia IIS yra domeno narys, bet domeno valdiklį, kompiuteryje turi būti įgalintas perdavimas, Kerberos, kad tinkamai veiktų. Norėdami tai padaryti, atlikite šiuos veiksmus:

  1. Domeno valdiklio, spustelėkite pradėti, perkelkite pelės žymiklį ant Parametraiir spustelėkite Valdymo skydas.

  2. Valdymo skyde atidarykite Administravimo įrankiai.

  3. Du kartus spustelėkite Active Directory vartotojai ir kompiuteriai.

  4. Spustelėkite domeno kompiuterių.

  5. Sąraše raskite serverio, kuriame veikia IIS, dešiniuoju pelės mygtuku spustelėkite serverio pavadinimą ir tada spustelėkite Ypatybės.

  6. Spustelėkite skirtuką Bendra , spustelėkite norėdami pasirinkti ir
    Patikimos perdavimo žymės langelį, o tada spustelėkite
    OK.

Atkreipkite dėmesį, kad kelių svetainių pasiekė tą patį URL, bet į kitą prievadus, perdavimas neveiks. Atlikti šį darbą, turite naudoti skirtingų kompiuterių pavadinimus ir kitą SPN. Kai "Internet Explorer" prašo arba http://www. mywebsite.com arba http://www. mywebsite.com: 81, "Internet Explorer" prašo bilietą SPN HTTP/www.mywebsite.com. "Internet Explorer" neprideda prievadas arba kad vdir SPN užklausą. Ši problema yra tas pats http://www. mywebsite.com/app1 arba http://www. mywebsite.com/app2. Tokiu atveju "Internet Explorer" paprašys SPN http://www bilietą. mywebsite.com iš raktas paskirstymo centras (KDC). Kiekviena SPN gali būti paskelbti tik už vieną tapatybę. Dėl to, galite taip pat gauti KRB_DUPLICATE_SPN klaidos pranešimą bandydami paskelbti šį SPN kiekvienai tapatybei.

Perdavimas ir "Microsoft" ASP.NET

Daugiau informacijos apie kredencialų, kai naudojate ASP.NET programos konfigūraciją, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

810572 kaip konfigūruoti ASP.NET programai scenarijų perdavimas

Apsimetimo ir perdavimas dviem būdais serveriui autentifikuoti kliento vardu. Sprendimas, kurie naudoti šiuos būdus ir jų diegimas gali sukelti neaiškumų. Galite peržiūrėti skirtumą tarp šių dviejų būdų ir patikrinti, kurį iš šių metodų, galite naudoti, kad programa. Mano rekomendacija būtų skaityti šioje techninėje dokumentacijoje, daugiau informacijos:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Nuorodos

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server ragina domeno vartotojo kredencialus

262177 kaip įgalinti Kerberos įvykių registravimo

326985 kaip spręsti Kerberos IIS

842861 "TechNet" pagalbos transliacija: trikčių diagnostikos Kerberos autentifikavimas saugioje žiniatinklio programos ir Microsoft SQL Server

Kaip visada, galite pateikti idėjų temų norite ateityje stulpelių arba žinių bazėje naudojant toliau
Paprašykite jį forma.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti vertimo kokybe?

Kas turėjo įtakos jūsų patirčiai?

Turite daugiau atsiliepimų? (Pasirinktinai)

Dėkojame už jūsų atsiliepimus!

×