Kerberos-verificatie en het oplossen van problemen met overdracht


IIS Developer Support Voice kolom


Kerberos-verificatie en het oplossen van problemen met overdracht

Als u deze kolom aan uw behoeften wilt aanpassen, nodigen we u uit uw ideeën over onderwerpen in te dienen die interessant zijn voor u en problemen die u in toekomstige behandeld wilt zien worden in Knowledge Base-artikelen en in kolommen voor spraak-ondersteuning. U kunt uw ideeën en feedback via het formulier Vragen voor het indienen. Er is ook een koppeling naar het formulier onderaan in deze kolom.
Mijn naam is Martin Smith en ik ben met een groep van van Microsoft Internet Information Services (IIS) kritieke problemen op te lossen. Ik met Microsoft negen jaar en zijn geweest met het team van IIS alle negen jaar. Ik hebt gegevens vanuit meerdere locaties samengesteld op
http://msdn.Microsoft.com en
http://www.microsoft.com over Kerberos en delegatie problemen oplossen.

IIS 6.0

Het volgende artikel wordt beschreven hoe u voor het instellen van overdracht in Microsoft Windows Server 2003. Het witboek heeft specifieke gegevens voor Network Load Balancing (NLB), maar omvat uitstekende details over het instellen van een scenario overgedragen zonder het gebruik van Netwerktaakverdeling. Als u wilt weergeven in deze white paper, gaat u naar de volgende Microsoft-website:Opmerking Gebruik HTTP Service Principal Names (SPN's), vooral wanneer u beheer van Netwerktaakverdeling.

Een andere populaire Kerberos probleem onlangs is de noodzaak van meerdere groepen van toepassingen dezelfde DNS-naam te gebruiken. Als u Kerberos delegeren van referenties, kan u de dezelfde Service Principal Name (SPN) helaas binden aan andere groepen van toepassingen. U kunt dit niet doen vanwege het ontwerp van Kerberos. Het Kerberos-protocol is vereist voor meerdere gedeelde geheimen voor het protocol correct te laten werken. Met behulp van de dezelfde SPN voor verschillende groepen van toepassingen, niet een van deze gedeelde geheimen. De Active Directory-service biedt geen ondersteuning voor deze configuratie van het Kerberos-protocol door het beveiligingsprobleem.

De SPN's configureren op deze manier wordt Kerberos-verificatie. Een mogelijke oplossing voor dit probleem zou zijn om te gebruiken protocol overstappen. De initiële verificatie tussen de client en de Server waarop IIS zou worden verwerkt met gebruik van het NTLM-verificatieprotocol. Kerberos zou de verificatie tussen IIS en de backend-server die resource te verwerken.

Microsoft Internet Explorer 6 of hoger

Browser van de client kan problemen, zoals herhaalde aanmelding wordt gevraagd referenties of foutberichten '401 Toegang geweigerd' ontvangen van de server waarop IIS wordt uitgevoerd. We hebben de volgende twee problemen die kunnen helpen bij het oplossen van deze problemen gevonden:
  • Controleer of Geïntegreerde Windows-verificatie inschakelen is geselecteerd in de eigenschappen van de browser. Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
    299838 kan geen Kerberos-verificatie na een upgrade naar Internet Explorer 6

  • Als Internet Explorer Enhanced Security Configuration is ingeschakeld in het onderdeel Software, u moet toevoegen aan een site die gebruikmaakt van overdracht naar de
    Lijst met Vertrouwde sites . Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
    815141 verbeterde beveiliging van Internet Explorer verandert de browser

IIS 5.0 en IIS 6.0

Nadat u een upgrade van IIS 4.0 naar IIS 5.0 of IIS 6.0 uitvoert, de delegatie niet goed, of mogelijk iemand of een toepassing de metabase-eigenschap NTAuthenticationProviders is gewijzigd.
Voor meer informatie over het oplossen van dit probleem klikt u op het volgende artikel in de Microsoft Knowledge Base:
248350 Kerberos-verificatie mislukt nadat u een upgrade uitvoert van IIS 4.0 naar IIS 5.0

Een bepaald gebied van de problemen kan optreden wanneer u de SPN instellen

De naam van de server bepalen

Bepalen of u verbinding met de website maakt via de NetBIOS-naam van de server of met behulp van de naam van een alias, zoals een DNS-naam (bijvoorbeeld www.microsoft.com). Als u de webserver benaderen wilt met behulp van een andere naam dan de werkelijke naam van de server, moet een nieuwe Service Principal Name (SPN) zijn geregistreerd met behulp van het hulpprogramma Setspn uit Windows 2000 Server Resource Kit. Omdat de Active Directory-service deze naam niet weet, kunt de ticket-granting service (TGS) u een ticket voor de verificatie van de gebruiker. Dit probleem zorgt ervoor dat de client de volgende beschikbare verificatiemethode, NTLM, te onderhandelen. Als de server reageert op een DNS-naam van www.microsoft.com de server met de naam webserver1.development.microsoft.com, moet u www.microsoft.com registreren in Active Directory op de server waarop IIS wordt uitgevoerd. Hiertoe moet u het hulpprogramma Setspn downloaden en installeren op de server waarop IIS wordt uitgevoerd.


Als u Windows Server 2003 en IIS 6 gebruikt, is het hulpprogramma Setspn voor Microsoft Windows Server 2003 is beschikbaar vanaf de volgende locatie:Om te bepalen of u verbinding maakt met behulp van de werkelijke naam, probeert u verbinding maken met de server met de werkelijke naam van de server in plaats van de DNS-naam. Als u geen verbinding met de server maken, raadpleegt u de sectie 'Controleren of de computer wordt vertrouwd voor overdracht'.

Als u verbinding met de server maken kunt, volgt u een SPN-naam voor de DNS-naam die u gebruikt om verbinding met de server instellen:
  1. Installeer het hulpprogramma Setspn.
  2. Open een opdrachtprompt op de server waarop IIS wordt uitgevoerd, en open vervolgens de map C:\Program Files\Resource Kit.
  3. Voer de volgende opdracht om deze nieuwe SPN (www.microsoft.com) toevoegen aan de Active Directory voor de server:
    Setspn - A HTTP/www.microsoft.com webserver1
    Opmerking In deze opdracht staat webserver1 de NetBIOS-naam van de server.
Wordt weergegeven dat lijkt op het volgende:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Als u wilt een lijst weergeven met SPN's op de server om te zien deze nieuwe waarde, typ de volgende opdracht op de server waarop IIS wordt uitgevoerd:
Setspn -L webservernaam
Houd er rekening mee dat u niet hoeft te registreren alle services. Veel servicetypen worden, zoals HTTP, W3SVC www-, RPC, CIFS (bestandstoegang), WINS en uninterruptible power supply (UPS), toegewezen aan een standaardtype service met de naam HOST. Bijvoorbeeld, als de client-software een SPN HTTP/webserver1.microsoft.com gebruikt voor het maken van een HTTP-verbinding met de webserver op de server webserver1.microsoft.com, maar deze SPN is niet geregistreerd op de server, de Windows 2000-domeincontroller wordt automatisch de verbinding toewijzen aan HOST/webserver1.microsoft.com. Deze koppeling geldt alleen als de Web-service wordt uitgevoerd onder de lokale systeemaccount.

Controleer of dat de computer vertrouwd voor overdracht wordt

Als deze server waarop IIS wordt uitgevoerd lid van het domein is, maar geen domeincontroller is, moet de computer vertrouwd voor overdracht voor Kerberos goed zijn. Ga hiervoor als volgt te werk:
  1. Op de domeincontroller, klikt u op Start, wijs Instellingenaan en klik vervolgens op Configuratiescherm.
  2. Open Systeembeheer in het Configuratiescherm.
  3. Dubbelklik op Active Directory: gebruikers en Computers.
  4. Klik onder uw domein, op Computers.
  5. Zoek de server waarop IIS wordt uitgevoerd in de lijst met de rechtermuisknop op de naam van de server en klik vervolgens op Eigenschappen.
  6. Klik op het tabblad Algemeen , schakel de
    Vertrouwd voor overdracht in en klik vervolgens op
    OK.
Houd er rekening mee dat als u meerdere websites worden bereikt door dezelfde URL, maar op verschillende poorten, overdracht niet werkt. Als u dit werk, moet u verschillende hostnamen en andere SPN's. Internet Explorer vraagt wanneer beide http://www. MijnWebsite.com of http://www. MijnWebsite.com:81, Internet Explorer vraagt een ticket voor SPN HTTP/www.mywebsite.com. Internet Explorer toevoegen niet de poort of het vdir aan de aanvraag van de SPN. Dit probleem is hetzelfde voor http://www. MijnWebsite.com/1 of http://www. MijnWebsite.com/2. In dit scenario wordt Internet Explorer vraagt om een ticket voor SPN http://www. MijnWebsite.com vanuit het midden KDC (Key Distribution). De SPN kan alleen voor één identiteit worden gedeclareerd. Daarom zou ook foutbericht een KRB_DUPLICATE_SPN wordt weergegeven als u probeert te verklaren deze SPN voor elke identiteit.

Delegatie en Microsoft ASP.NET

Voor meer informatie over het configureren van het delegeren van referenties wanneer u een ASP.NET-toepassing gebruikt, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
810572 het configureren van een ASP.NET-toepassing voor het delegeren van taken

Imitatie en overdracht zijn twee methoden voor een server namens de client geverifieerd. Beslissen welk van deze methoden te gebruiken en de uitvoering daarvan kan tot verwarring leiden. U moet het verschil tussen deze twee methoden bekijken en controleren welke van deze methoden u kunt gebruiken voor uw toepassing. Mijn aanbeveling zou zijn om te lezen het volgende artikel voor meer informatie:

Referenties


305971 domeingebruiker om referenties wordt gevraagd om Windows 2000 Server

262177 het Kerberos-logboekregistratie inschakelen

326985 het oplossen van problemen met Kerberos in IIS

842861 TechNet Support WebCast: problemen met Kerberos-verificatie met beveiligde Web-toepassingen en Microsoft SQL Server

Omdat altijd gerust ideeën over onderwerpen die u wilt indienen wordt verholpen in toekomstige kolommen of in de Knowledge Base met behulp van de
Vragen voor het formulier.