Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

IIS Developer Support Voice-kolonne

Problemer med Kerberos-godkjenning og feilsøking av delegering

Hvis du vil tilpasse denne kolonnen etter dine behov, ønsker vi å invitere deg til å sende inn ideer om emner som interesserer deg og problemer som du vil se adressert i fremtidige Knowledge Base-artikler og Support Voice-kolonner. Du kan sende inn ideer og tilbakemeldinger ved hjelp av Be om det-skjemaet. Det finnes også en kobling til skjemaet nederst i denne kolonnen.

Navnet mitt er <navn>, og jeg er med Microsofts gruppe for Microsoft Internet Information Services (IIS) kritisk problemløsing. Jeg har vært hos Microsoft i ni år og har vært med i IIS-teamet i ni år. Jeg har samlet informasjon fra flere plasseringer på
http://msdn.microsoft.com og
http://www.microsoft.com om Kerberos og hvordan jeg feilsøker delegeringsproblemer.

IIS 6.0

Følgende hvitbok beskriver hvordan du konfigurerer delegering i Microsoft Windows Server 2003. Hvitboken har spesifikk informasjon for Nettverksbelastningsfordeling (NLB), men inneholder utmerkede detaljer om hvordan du konfigurerer et delegert scenario uten å bruke NLB. Hvis du vil vise denne hvitboken, kan du gå til følgende Microsoft-webområde:

http://technet.microsoft.com/en-us/library/cc757299.aspxObs! Bruk SPN-er (HTTP Service Principal Names), spesielt når du bruker NLB.

Et annet populært Kerberos-problem nylig har vært behovet for å tillate at flere programutvalg bruker samme DNS-navn. Når du dessverre bruker Kerberos til å delegere legitimasjon, kan du ikke binde det samme spn-navnet (Service Principal Name) til forskjellige programutvalg. Du kan ikke gjøre dette på grunn av utformingen av Kerberos. Kerberos-protokollen krever flere delte hemmeligheter for at protokollen skal fungere riktig. Ved å bruke samme SPN for ulike programutvalg eliminerer vi én av disse delte hemmelighetene. Active Directory-katalogtjenesten støtter ikke denne konfigurasjonen av Kerberos-protokollen på grunn av sikkerhetsproblemet.

Hvis du konfigurerer SPN-ene på denne måten, mislykkes Kerberos-godkjenning. En mulig løsning på dette problemet kan være å bruke protokollovergang. Den første godkjenningen mellom klienten og serveren som kjører IIS, behandles ved hjelp av NTLM-godkjenningsprotokollen. Kerberos håndterer godkjenningen mellom IIS og serverdelressursserveren.

Microsoft Internet Explorer 6 eller nyere

Klientleseren kan oppleve problemer, for eksempel å motta gjentatte påloggingsmeldinger om legitimasjon eller feilmeldinger om ingen tilgang i 401 fra serveren som kjører IIS. Vi har funnet følgende to problemer som kan bidra til å løse disse problemene:

  • Kontroller at Aktiver integrert Windows-godkjenning er valgt i nettleserens egenskaper.
     

  • Hvis Utvidet sikkerhetskonfigurasjon for Internet Explorer er aktivert i Legg til / fjern programmer, må du legge til et område som bruker delegering til
    listenover klarerte områder. Hvis du vil ha mer informasjon, kan du lese følgende artikkel i Microsoft Knowledge Base:

    815141 Utvidet sikkerhetskonfigurasjon for Internet Explorer endrer nettleseropplevelsen
     

IIS 5.0 og IIS 6.0

Når du oppgraderer fra IIS 4.0 til IIS 5.0 eller IIS 6.0, kan det hende delegering ikke fungerer som den skal, eller kanskje noen eller et program har endret metabaseegenskapen NTAuthenticationProviders.

 

Et bestemt problemområde kan oppstå når du angir SPN

Fastslå servernavnet

Finn ut om du kobler til nettstedet ved hjelp av det faktiske NetBIOS-navnet på serveren eller ved hjelp av et aliasnavn, for eksempel et DNS-navn (for eksempel www.microsoft.com). Hvis du har tilgang til webserveren ved hjelp av et annet navn enn det faktiske navnet på serveren, må et nytt spn (Service Principal Name) være registrert ved hjelp av Setspn-verktøyet fra Windows 2000 Server Resource Kit. Fordi Active Directory-katalogtjenesten ikke vet dette tjenestenavnet, gir ikke billetttildelingstjenesten (TGS) deg en billett til å godkjenne brukeren. Denne virkemåten tvinger klienten til å bruke den neste tilgjengelige godkjenningsmetoden, som er NTLM, til å reforhandle. Hvis webserveren svarer på et DNS-navn på www.microsoft.com men serveren heter webserver1.development.microsoft.com, må du registrere www.microsoft.com i Active Directory på serveren som kjører IIS. Hvis du vil gjøre dette, må du laste ned Setspn-verktøyet og installere det på serveren som kjører IIS.


Hvis du vil finne ut om du kobler til ved hjelp av det faktiske navnet, kan du prøve å koble til serveren ved hjelp av det faktiske navnet på serveren i stedet for DNS-navnet. Hvis du ikke kan koble til serveren, kan du se delen «Kontroller at datamaskinen er klarert for delegering».

Hvis du kan koble til serveren, følger du disse trinnene for å angi en SPN for DNS-navnet du bruker til å koble til serveren:

  1. Installer Setspn-verktøyet.

  2. Åpne en ledetekst på serveren som kjører IIS, og åpne deretter mappen C:\Programfiler\Ressurspakke.

  3. Kjør følgende kommando for å legge til denne nye SPN-en (www.microsoft.com) i Active Directory for serveren:

    Setspn -A HTTP/www.microsoft.com webserver1Obs! I denne kommandoen representerer webserver1 NetBIOS-navnet på serveren.

Du mottar utdata som ligner på følgende:
Registrere ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Oppdatert objekt
Hvis du vil vise en liste over SPN-er på serveren for å se denne nye verdien, skriver du inn følgende kommando på serveren som kjører IIS:

Setspn -L webservername Vær oppmerksom på at du ikke trenger å registrere alle tjenester. Mange tjenestetyper, for eksempel HTTP, W3SVC, WWW, RPC, CIFS (filtilgang), WINS og uavbrutt strømforsyning (UPS), tilordnes til en standard tjenestetype som heter HOST. Hvis klientprogramvaren for eksempel bruker en SPN av HTTP/webserver1.microsoft.com til å opprette en HTTP-tilkobling til webserveren på webserver1.microsoft.com-serveren, men denne SPN-en ikke er registrert på serveren, vil domenekontrolleren for Windows 2000 automatisk tilordne tilkoblingen til HOST/webserver1.microsoft.com. Denne tilordningen gjelder bare hvis webtjenesten kjører under den lokale systemkontoen.

Kontroller at datamaskinen er klarert for delegering

Hvis denne serveren som kjører IIS er medlem av domenet, men ikke er en domenekontroller, må datamaskinen være klarert for at Kerberos skal fungere riktig. Dette gjør du slik:

  1. Klikk Start på domenekontrolleren, pek på Innstillinger, og klikk deretter Kontrollpanel.

  2. Åpne Administrative verktøy i Kontrollpanel.

  3. Dobbeltklikk Active Directory-brukere og -datamaskiner.

  4. Klikk Datamaskiner under domenet.

  5. Finn serveren som kjører IIS, høyreklikk servernavnet i listen, og klikk deretter Egenskaper.

  6. Klikk generelt-fanen, klikk for å merke av
    for Klarert for delegering, og klikk
    deretterOK.

Vær oppmerksom på at hvis flere webområder nås med samme URL-adresse, men på forskjellige porter, vil delegering ikke fungere. Hvis du vil få dette til å fungere, må du bruke forskjellige vertsnavn og ulike SPN-er. Når Internet Explorer ber om http://www.mywebsite.com eller http://www.mywebsite.com:81, Internet Explorer ber om en billett til SPN HTTP/www.mywebsite.com. Internet Explorer legger ikke til porten eller vdiren i SPN-forespørselen. Denne virkemåten er den samme for http://www.mywebsite.com/app1 eller http://www.mywebsite.com/app2. I dette scenarioet vil Internet Explorer be om en billett for SPN-http://www.mywebsite.com fra KDC (Key Distribution Center). Hver SPN kan bare deklareres for én identitet. Derfor vil du også få en KRB_DUPLICATE_SPN feilmelding hvis du prøver å deklarere denne SPN-en for hver identitet.

Delegering og Microsoft ASP.NET

Hvis du vil ha mer informasjon om konfigurasjonen for delegering av legitimasjon når du bruker et ASP.NET program, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

810572 Slik konfigurerer du et ASP.NET program for et delegeringsscenario

Representasjon og delegering er to metoder en server kan godkjenne på vegne av klienten. Å bestemme hvilke av disse metodene som skal brukes og implementeringen, kan føre til forvirring. Du må se gjennom forskjellen mellom disse to metodene og undersøke hvilke av disse metodene du kanskje vil bruke for programmet. Min anbefaling vil være å lese følgende hvitbok for ytterligere detaljer:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referanser



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Slik aktiverer du Kerberos-hendelseslogging

Feilsøke Kerberos-feil i Internet Explorer

Som alltid kan du gjerne sende inn ideer om emner du vil ta opp i fremtidige kolonner eller i kunnskapsbasen ved hjelp av Ask For It-skjemaet.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×