Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

IIS izstrādātāju atbalsta balss kolonna

Kerberos autentifikācija un deleģēšana problēmu novēršana

Pielāgot šo kolonnu jūsu vajadzībām, mēs vēlaties uzaicināt iesniegt savas idejas par tēmām, kas interesē jūs un problēmas, kuru vēlaties apskatīt nākotnē risināt zināšanu bāzes raksti un atbalsta balss kolonnas. Jūs varat iesniegt savas idejas un atsauksmes veidlapu Uzdot to . Ir arī saite uz formas kolonnas apakšā.

Mani sauc Martin Smith un esmu ar korporācijas Microsoft Internet Information Services (IIS) kritisku problēmu risināšanas grupu. Microsoft ir 9 gadiem, un ar IIS komanda ir visus 9 gadus. Man ir apkopoti vairākās vietās informāciju par
http://MSDN.Microsoft.com un
par to, kā novērst problēmas, deleģēšana un Kerberos http://www.microsoft.com .

IIS 6.0

Šo rakstu krājumā aprakstīts, kā iestatīt deleģēšana sistēmā Microsoft Windows Server 2003. Šajā tehniskajā dokumentā ir detalizētu informāciju par tīkla slodzes līdzsvarošanas (NLB), bet ir lielisks informācijas par to, kā iestatīt pilnvarotais scenāriju, neizmantojot NLB. Lai skatītu šo rakstu, apmeklējiet šo Microsoft Web vietu:

http://technet.microsoft.com/en-us/library/cc757299.aspxPiezīme. Īpaši, ja izmantojat NLB izmantot HTTP pakalpojuma primārajiem nosaukumiem (SPN).

Cits populārs Kerberos problēmu nesen ir jānodrošina iespēja atļaut vairākas programmas kopas izmantošanai DNS nosaukumu. Diemžēl, izmantojot Kerberos deleģēt akreditācijas datus, pašu pakalpojuma galveno nosaukumu (SPN) nevar piesaistīt citu lietojumprogrammu pūlu. Jūs nevarat to izdarīt Kerberos dizaina dēļ. Kerberos protokols ir nepieciešams vairākas koplietojamo noslēpumos protokolu darbotos pareizi. Izmantojot paša SPN citu lietojumprogrammu pūlu, mēs novērstu viens no šiem koplietošanas noslēpumiem. Direktorija pakalpojumā Active Directory neatbalsta šo konfigurāciju Kerberos protokols drošības problēmas dēļ.

Konfigurējot SPN šādā veidā izraisa Kerberos autentifikācijas kļūmes. Iespējamais risinājums šai problēmai būtu izmantot protokola pāreja. Sākotnējais starp klientu un serveri darbojas IIS autentifikācijas vai apstrādāti, izmantojot protokolu NTLM autentifikāciju. Kerberos rīkotos IIS un resursu aizmugursistēmas servera autentifikācija.

Microsoft Internet Explorer 6 vai jaunāku versiju

Klienta pārlūkprogramma var rasties problēmas, piemēram, saņem uzaicinājumus atkārtotas pieteikšanās akreditācijas datu vai "401 piekļuve liegta" kļūdu ziņojumi no IIS serverī. Mēs esam atraduši šādas divas problēmas, kas var palīdzēt novērst šādas problēmas:

  • Pārliecinieties, vai ir atlasīta Integrētā Windows autentifikācija iespējot pārlūkprogrammas rekvizītos. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

    299838 nevar vienoties Kerberos autentifikāciju pēc jaunināšanas uz Internet Explorer 6

  • Ja programmu pievienošana vai noņemšana ir iespējota Internet Explorer uzlabotās drošības konfigurācija, jāpievieno vietni, kas izmanto deleģēšana un
    Uzticamo vietņu sarakstam. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

    815141 Internet Explorer uzlabotās drošības konfigurācija izmaina pārlūkošanas pieredzi

IIS 5.0 un IIS 6.0

Pēc jaunināšanas no IIS 4.0 IIS 5.0 un IIS 6.0, deleģēšana var nedarboties pareizi, vai iespējams kāds vai lietojumprogrammai ir modificējusi metabāzes rekvizītu NTAuthenticationProviders.
Lai iegūtu papildinformāciju par to, kā novērst šo problēmu, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

248350 Kerberos autentifikācija neizdodas pēc jaunināšanas no IIS 4.0 un IIS 5.0

Konkrētu apgabalu problēmas var rasties, ja iestatāt SPN

Noteikt, vai servera nosaukums

Pārbaudiet, vai veidojat savienojumu ar Web vietu, izmantojot faktisko servera NetBIOS nosaukumu vai aizstājvārdu nosaukumu, piemēram, DNS nosaukumu (piemēram, www.microsoft.com). Ja izmantojat tīmekļa serverī, izmantojot nosaukumu, nevis faktisko servera nosaukumu, jaunu pakalpojumu galveno nosaukumu (SPN) jābūt ir reģistrētas, izmantojot rīku no Windows 2000 Server resursu komplekta Setspn. Direktorija pakalpojumā Active Directory nav zināms šī pakalpojuma nosaukums, jo biļešu piešķiršanas pakalpojums (TGS) jums biļeti autentificēt lietotāju. Šāda situācija liek klienta pārskatīt nākamo pieejams autentifikācijas metode, kas NTLM, izmantošana. Ja Web serveris neatbild uz www.microsoft.com DNS nosaukumu, bet servera nosaukums ir webserver1.development.microsoft.com, ir jāreģistrē www.microsoft.com Active Directory serverī, kurā darbojas sistēma darbojas IIS. Lai to izdarītu, rīku Setspn lejupielādējiet un instalējiet to serverī, kurā darbojas programma IIS.


Ja datorā darbojas sistēma Windows Server 2003 un IIS 6, Microsoft Windows Server 2003 Setspn rīks ir pieejams šeit:

http://support.microsoft.com/kb/970536Lai noteiktu, vai ir izveidots savienojums, izmantojot faktisko nosaukumu, mēģiniet izveidot savienojumu ar serveri, izmantojot faktisko nosaukumu servera DNS nosaukuma vietā. Ja nevarat izveidot savienojumu ar serveri, skatiet sadaļu "Pārbaudiet, vai datorā ir uzticams deleģēšana".

Ja varat izveidot savienojumu ar serveri, izpildiet šos norādījumus, lai iestatītu SPN DNS nosaukumu, kuru izmantojat, lai izveidotu savienojumu ar serveri:

  1. Instalējiet Setspn rīku.

  2. Serverī, kurā darbojas IIS, atveriet komandu uzvedni un pēc tam atveriet mapi C:\Program Files\Resource komplektu.

  3. Palaidiet tālāk norādīto komandu, lai pievienotu šo jauno SPN (www.microsoft.com) Active Directory Server:

    Setspn - HTTP/www.microsoft.com webserver1Piezīme. Šajā komandā webserver1 apzīmē servera NetBIOS nosaukumu.

Tiek saņemts rezultāts, kas ir līdzīgs šim:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Lai skatītu sarakstu SPN serverī, lai redzētu šo jauno vērtību, serverī, kurā darbojas IIS ierakstiet šādu komandu:

Setspn -L webservernameŅemiet vērā, ka nav jāreģistrē visus pakalpojumus. Daudzus pakalpojumu veidus, kā HTTP, W3SVC, WWW, RPC, CIFS (piekļuve failiem), WINS un nepārtrauktās strāvas padeves (UPS) kartēs noklusējuma pakalpojuma RESURSDATORA nosaukumu. Piemēram, ja klienta programmatūras izmanto SPN HTTP/webserver1.microsoft.com webserver1.microsoft.com serverī izveidot HTTP savienojumu ar Web serveri, bet serveris nav reģistrēts šajā SPN, Windows 2000 domēna kontrolleri tiks automātiski kartēt savienojumu HOST/webserver1.microsoft.com. Šī kartēšana attiecas tikai tad, ja Web pakalpojums darbojas lokālās sistēmas kontā.

Pārbaudiet, vai dators ir uzticams deleģēšana

Ja šajā serverī IIS ir domēna dalībnieks, bet nav domēna kontrolleri, datorā jābūt uzticamo deleģēšana Kerberos darbotos pareizi. Lai to izdarītu, izpildiet tālāk norādītās darbības.

  1. Domēna kontrollerī, noklikšķiniet uz Sākt, norādiet uz Iestatījumiun pēc tam noklikšķiniet uz Vadības panelis.

  2. Vadības panelī atveriet Administratīvie rīki.

  3. Veiciet dubultklikšķi uz Active Directory lietotāji un datori.

  4. Ar domēnu, noklikšķiniet uz datoriem.

  5. Sarakstā atrodiet IIS serverī, ar peles labo pogu noklikšķiniet uz servera nosaukuma un pēc tam noklikšķiniet uz Rekvizīti.

  6. Noklikšķiniet uz cilnes Vispārīgi , atzīmējiet
    Uzticamo deleģēšanai izvēles rūtiņu un pēc tam noklikšķiniet uz
    OK.

Ņemiet vērā, ka vairākās vietnēs ir sasniegts ar tādu pašu URL, bet citu portu, ja deleģēšana nedarbosies. Lai veiktu šo darbu, ir jāizmanto cita nosaukumi un citu pakalpojumu. Kad Internet Explorer pieprasa vai nu http://www. mywebsite. com vai http://www. mywebsitecom: 81, Internet Explorer pieprasa biļeti SPN HTTP/www.mywebsite.com. Internet Explorer nepievieno port vai vdir SPN pieprasījumu. Šī darbība ir tāds pats http://www. mywebsitecom/app1 vai http://www. mywebsitecom/app2. Šajā gadījumā programma Internet Explorer pieprasīs biļete SPN http://www. mywebsitecom atslēgu izplatīšanas centrs (KDC). Katram SPN var paziņoja tikai par vienu identitāti. Tādēļ jums arī saņemt KRB_DUPLICATE_SPN kļūdas ziņojums, mēģinot paziņot šo SPN katrai identitātei.

Deleģēšana un Microsoft ASP.NET

Lai iegūtu papildinformāciju par konfigurāciju, izmantojot ASP.NET lietojumprogrammas akreditācijas datu deleģēšana, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

Kā konfigurēt ASP.NET lietojumprogrammas deleģēšanas gadījumā 810572

Personifikācijas un deleģēšana ir divas metodes, kā serveri, lai autentificētu klienta vārdā. Izlemt, ko šīs metodes un to ieviešanu var radīt zināmas neskaidrības. Ir atšķirība starp šīm divām metodēm pārskatīt un pārbaudīt, kura no šīm metodēm, varat izmantot programmu. Mans ieteikums būtu izlasiet šo rakstu, lai iegūtu sīkāku informāciju:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Atsauces

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server piedāvā domēna lietotāja akreditācijas datus

262177 iespējošanu Kerberos notikumu reģistrēšana

326985 kā Kerberos saistītu problēmu novēršana programmā IIS

842861 TechNet atbalsta tīmekļraidi: problēmu novēršana Kerberos autentifikāciju ar drošu tīmekļa lietojumprogrammām un Microsoft SQL Server

Kā vienmēr, lūdzu, iesniegt idejas jautājumos vēlaties risināt nākotnē kolonnas vai zināšanu bāzē, izmantojot
Jautājiet to formā.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×