Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Kolom Ondersteuningsspraak voor IIS-ontwikkelaars

Kerberos-verificatie en problemen met delegering oplossen

Als u deze kolom wilt aanpassen aan uw behoeften, nodigen we u uit om uw ideeën in te dienen over onderwerpen die u interesseren en problemen die u wilt zien behandeld in toekomstige Knowledge Base-artikelen en ondersteuningsstemkolommen. U kunt uw ideeën en feedback indienen met behulp van het formulier Vraag om het. Er is ook een koppeling naar het formulier onderaan deze kolom.

Mijn naam is <Naam> en ik ben lid van de groep Microsoft Internet Information Services (IIS) kritieke probleemoplossing van Microsoft. Ik heb negen jaar bij Microsoft gewerkt en heb alle negen jaar bij het IIS-team gewerkt. Ik heb informatie van meerdere locaties op
http://msdn.microsoft.com en
http://www.microsoft.com over Kerberos gecompileerd en hoe ik delegeringsproblemen kan oplossen.

IIS 6.0

In het volgende witboek wordt beschreven hoe u delegatie instelt in Microsoft Windows Server 2003. Het whitepaper bevat specifieke informatie over Netwerktaakverdeling (NLB), maar bevat uitstekende details over het instellen van een gedelegeerd scenario zonder NLB te gebruiken. U vindt dit artikel op de volgende website van Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxOpmerking Gebruik HTTP Service Principal Names (SPN's) met name wanneer u NLB gebruikt.

Een ander populair Kerberos-probleem is onlangs dat meerdere toepassingsgroepen dezelfde DNS-naam moeten gebruiken. Wanneer u Kerberos gebruikt om referenties te delegeren, kunt u helaas dezelfde Service Principal Name (SPN) niet binden aan verschillende toepassingsgroepen. U kunt dit niet doen vanwege het ontwerp van Kerberos. Het Kerberos-protocol vereist meerdere gedeelde geheimen om het protocol correct te laten werken. Door dezelfde SPN voor verschillende toepassingsgroepen te gebruiken, elimineren we een van deze gedeelde geheimen. De Active Directory-adreslijstservice biedt geen ondersteuning voor deze configuratie van het Kerberos-protocol vanwege het beveiligingsprobleem.

Als u de SPN's op deze manier configureert, mislukt kerberos-verificatie. Een mogelijke tijdelijke oplossing voor dit probleem is het gebruik van protocolovergang. De eerste verificatie tussen de client en de server waarop IIS wordt uitgevoerd, wordt afgehandeld met behulp van het NTLM-verificatieprotocol. Kerberos verwerkt de verificatie tussen IIS en de back-endresourceserver.

Microsoft Internet Explorer 6 of hoger

De clientbrowser kan problemen ondervinden, zoals het ontvangen van herhaalde aanmeldingsprompts voor referenties of foutberichten '401 Toegang geweigerd' van de server waarop IIS wordt uitgevoerd. We hebben de volgende twee problemen gevonden die kunnen helpen bij het oplossen van deze problemen:

  • Controleer of Geïntegreerde Windows-verificatie inschakelen is geselecteerd in de eigenschappen van de browser.
     

  • Als Verbeterde beveiliging van Internet Explorer is ingeschakeld in Programma's toevoegen/verwijderen, moet u een site die gebruikmaakt van delegatie toevoegen aan de
    lijstMet vertrouwde sites. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

    815141 Verbeterde beveiligingsconfiguratie van Internet Explorer wijzigt de browse-ervaring
     

IIS 5.0 en IIS 6.0

Nadat u een upgrade hebt uitgevoerd van IIS 4.0 naar IIS 5.0 of IIS 6.0, werkt delegering mogelijk niet correct of heeft mogelijk iemand of een toepassing de metabase-eigenschap NTAuthenticationProviders gewijzigd.

 

Een bepaald probleemgebied kan optreden wanneer u de SPN instelt

De servernaam bepalen

Bepaal of u verbinding maakt met de website met behulp van de werkelijke NetBIOS-naam van de server of met behulp van een aliasnaam, zoals een DNS-naam (bijvoorbeeld www.microsoft.com). Als u de webserver opent met behulp van een andere naam dan de werkelijke naam van de server, moet een nieuwe Service Principal Name (SPN) zijn geregistreerd met behulp van het hulpprogramma Setspn van de Windows 2000 Server Resource Kit. Omdat de Active Directory-adreslijstservice deze servicenaam niet kent, geeft de TGS (ticket-granting service) u geen ticket om de gebruiker te verifiëren. Dit gedrag dwingt de client om de volgende beschikbare verificatiemethode, NTLM, te gebruiken om opnieuw te onderhandelen. Als de webserver reageert op een DNS-naam van www.microsoft.com, maar de server de naam webserver1.development.microsoft.com heeft, moet u www.microsoft.com registreren in Active Directory op de server waarop IIS wordt uitgevoerd. Hiervoor moet u het hulpprogramma Setspn downloaden en installeren op de server waarop IIS wordt uitgevoerd.


Als u wilt bepalen of u verbinding maakt met behulp van de werkelijke naam, probeert u verbinding te maken met de server met behulp van de werkelijke naam van de server in plaats van de DNS-naam. Als u geen verbinding kunt maken met de server, raadpleegt u de sectie 'Controleer of de computer wordt vertrouwd voor delegatie'.

Als u verbinding kunt maken met de server, volgt u deze stappen om een SPN in te stellen voor de DNS-naam die u gebruikt om verbinding te maken met de server:

  1. Installeer het hulpprogramma Setspn.

  2. Open op de server waarop IIS wordt uitgevoerd een opdrachtprompt en open vervolgens de map C:\Program Files\Resource Kit.

  3. Voer de volgende opdracht uit om deze nieuwe SPN (www.microsoft.com) toe te voegen aan de Active Directory voor de server:

    Setspn -A HTTP/www.microsoft.com-webserver1 Opmerking In deze opdracht vertegenwoordigt webserver1 de NetBIOS-naam van de server.

U ontvangt uitvoer die er ongeveer als volgt uitziet:
ServicePrincipalNames registreren voor CN=webserver1,OU=domeincontrollers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Bijgewerkt object
Als u een lijst met SPN's op de server wilt weergeven om deze nieuwe waarde te zien, typt u de volgende opdracht op de server waarop IIS wordt uitgevoerd:

Setspn -L webservername Houd er rekening mee dat u niet alle services hoeft te registreren. Veel servicetypen, zoals HTTP, W3SVC, WWW, RPC, CIFS (bestandstoegang), WINS en uninterruptible power supply (UPS), worden toegewezen aan een standaardservicetype met de naam HOST. Als uw clientsoftware bijvoorbeeld gebruikmaakt van een SPN http/webserver1.microsoft.com om een HTTP-verbinding te maken met de webserver op de webserver1.microsoft.com server, maar deze SPN niet is geregistreerd op de server, wordt de verbinding met de Windows 2000-domeincontroller automatisch toegewezen aan HOST/webserver1.microsoft.com. Deze toewijzing is alleen van toepassing als de webservice wordt uitgevoerd onder het lokale systeemaccount.

Controleer of de computer wordt vertrouwd voor delegatie

Als deze server met IIS lid is van het domein, maar geen domeincontroller is, moet de computer worden vertrouwd voor delegering zodat Kerberos correct werkt. Ga hiervoor als volgt te werk:

  1. Klik op de domeincontroller op Start, wijs Instellingen aan en klik vervolgens op Configuratiescherm.

  2. Open in Configuratiescherm Systeembeheer.

  3. Dubbelklik op Active Directory: gebruikers en computers.

  4. Klik onder uw domein op Computers.

  5. Zoek in de lijst de server waarop IIS wordt uitgevoerd, klik met de rechtermuisknop op de servernaam en klik vervolgens op Eigenschappen.

  6. Klik op het tabblad Algemeen, schakel het
    selectievakjeVertrouwd voor delegering in en klik vervolgens op
    OK.

Houd er rekening mee dat als meerdere websites worden bereikt via dezelfde URL, maar op verschillende poorten, delegering niet werkt. Om dit te laten werken, moet u verschillende hostnamen en verschillende SPN's gebruiken. Wanneer Internet Explorer een van de http://www aanvraagt.mywebsite.com of http://www.mywebsite.com:81 vraagt Internet Explorer een ticket aan voor SPN HTTP/www.mywebsite.com. Internet Explorer voegt de poort of de vdir niet toe aan de SPN-aanvraag. Dit gedrag is hetzelfde voor http://www.mywebsite.com/app1 of http://www.mywebsite.com/app2. In dit scenario vraagt Internet Explorer een ticket aan voor SPN-http://www.mywebsite.com van het Key Distribution Center (KDC). Elke SPN kan slechts voor één identiteit worden gedeclareerd. Daarom ontvangt u ook een KRB_DUPLICATE_SPN foutbericht als u deze SPN voor elke identiteit probeert te declareren.

Delegatie en Microsoft ASP.NET

Voor meer informatie over de configuratie voor het delegeren van referenties wanneer u een ASP.NET-toepassing gebruikt, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

810572 Een ASP.NET-toepassing configureren voor een delegeringsscenario

Imitatie en delegering zijn twee methoden voor een server om namens de client te verifiëren. Het bepalen welke van deze methoden u wilt gebruiken en de implementatie ervan kan verwarring veroorzaken. U moet het verschil tussen deze twee methoden bekijken en onderzoeken welke van deze methoden u mogelijk wilt gebruiken voor uw toepassing. Mijn aanbeveling is om de volgende whitepaper te lezen voor meer informatie:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Verwijzingen



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Kerberos-gebeurtenislogboeken inschakelen

Kerberos-fouten in Internet Explorer oplossen

Zoals altijd kunt u ideeën indienen over onderwerpen die u wilt bespreken in toekomstige kolommen of in de Knowledge Base met behulp van het formulier Vraag om het.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×