Overovanie Kerberos a riešenie problémov s delegovaním

IIS Developer Support hlas stĺpca

Overovanie Kerberos a riešenie problémov s delegovaním

Prispôsobiť tento stĺpec vašim potrebám, chceme vás odošlite svoje nápady o témach, ktoré zaujímajú vás a otázky, ktoré chcete zobraziť riešiť pri budúcom články databázy Knowledge Base a podporu hlasovej stĺpce. Odošlite svoje nápady a pripomienky pomocou požiadať formulár. Existuje aj odkaz na formulár v spodnej časti tohto stĺpca.

Moje meno je Martin Smith a som skupinou spoločnosti Microsoft Microsoft Internet Information Services (IIS) kritický problém riešenie. Microsoft bol 9 rokov, a boli IIS tím všetkých 9 rokov. Mám zostavuje informácií z viacerých umiestnení na
http://MSDN.Microsoft.com a
http://www.microsoft.com Kerberos a riešenie problémov s delegovaním.

IIS 6.0

Nasledovnú štúdiu popisuje nastavenie v systéme Microsoft Windows Server 2003. Štúdiu konkrétne informácie pre Network Load vyrovnávanie zaťaženia, ale obsahuje veľmi podrobnejšie informácie o nastavení delegované scenár bez použitia NLB. Ak chcete zobraziť túto štúdia, navštívte na webovej lokalite spoločnosti Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxPoznámka: Použitie HTTP Service Principal Names (SPN), najmä pri použití NLB.

Ďalšie populárne Kerberos nedávno dosiaľ potreba viacerých fondy aplikácií použiť rovnaký názov DNS. Pri použití protokolu Kerberos na delegovanie poverení, nedokáže viazať rovnaký hlavný názov služby (SPN) pre fondy rôznych aplikácií. Nie je možné vykonať z dôvodu návrhu protokolu Kerberos. Protokol Kerberos vyžaduje viac zdieľané tajomstvo protokol pracovať správne. Pomocou rovnakého SPN fondy rôznych aplikácií, odporúčame odstrániť tieto zdieľané tajomstvo. Služba Active Directory nepodporuje tejto konfigurácie protokolu Kerberos problém zabezpečenia.

Konfigurácia SPN týmto spôsobom spôsobí zlyhanie overenia protokolu Kerberos. Možné riešenie tohto problému by ste mali použiť protokol prechod. Úvodné overenie medzi klientom a Server so systémom IIS bude zabezpečené pomocou overovací protokol NTLM. Kerberos by spracovať overovania služby IIS a na server prostriedku.

Microsoft Internet Explorer 6 alebo novší

Klientsky prehľadávač sa môžu vyskytnúť problémy, ako je prijímanie výziev opakované prihlasovacie poverenia alebo "401 prístup bol odmietnutý" chybové hlásenia servera so službou IIS. Zistili sme, že tieto dva problémy, ktoré môžu pomôcť pri riešení týchto problémov:

  • Skontrolujte, či Povoliť integrované overovanie systému Windows je vybratá v prehľadávači objektov. Ďalšie informácie získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

    299838 nie je možné vyjednať overenie protokolom Kerberos po inovácii na program Internet Explorer 6

  • Ak je konfigurácia rozšíreného zabezpečenia programu Internet Explorer zapnutá v pridať alebo odstrániť programy, musíte pridať lokality, ktorá používa delegácia
    Zoznam dôveryhodných lokalít . Ďalšie informácie získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

    815141 Konfigurácia rozšíreného zabezpečenia programu Internet Explorer mení spôsob používania prehľadávača

IIS 5.0 a IIS 6.0

Po inovácii zo služby IIS 4.0, IIS 5.0 alebo IIS 6.0, delegovanie nemusia pracovať správne alebo možno niekto alebo aplikácie je vlastnosť NTAuthenticationProviders metabázy.
Ďalšie informácie o riešení tohto problému, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

248350 zlyhá overenie protokolom Kerberos po inovácii zo služby IIS 4.0, IIS 5.0

Oblasti problémov sa môže vyskytnúť, ak nastavíte SPN

Určiť názov servera

Určite, či sa pripájate k webovej lokalite skutočný názov NetBIOS servera alebo použitím alias názov, napríklad názov DNS (napríklad www.microsoft.com). Ak pristupujete na webový server pomocou názvu skutočný názov servera, nový hlavný názov služby (SPN) musia byť zapísané pomocou nástroja Setspn zo systému Windows 2000 Server Resource Kit. Pretože služba Active Directory názov tejto služby, udelenie lístok služby (TGS) vám lístok na overenie používateľa. Toto správanie sily klienta používať ďalšie dostupné overovacia metóda, čiže NTLM znova. Ak webový server reaguje na názov DNS www.microsoft.com, ale server sa nazýva webserver1.development.microsoft.com, je potrebné zaregistrovať www.microsoft.com služby Active Directory na serveri so službou IIS. Však musíte Setspn nástroj prevziať a nainštalovať na serveri so službou IIS.


Ak používate systém Windows Server 2003 a IIS 6, Setspn nástroj Microsoft Windows Server 2003 je k dispozícii v nasledovnom umiestnení:

http://support.microsoft.com/kb/970536Zistiť, či sa pripájate pomocou skutočný názov, sa pokúsi pripojiť k serveru pomocou skutočný názov servera namiesto názvu DNS. Ak sa nemôžete pripojiť na server, nájdete v časti "Skontrolujte počítač je dôveryhodný pre delegovanie".

Ak sa môžete pripojiť na server, postupujte nasledovne nastaviť SPN názov DNS, ktorý používate na pripojenie na server:

  1. Inštalácia nástroja Setspn.

  2. Na serveri so službou IIS, otvorte príkazový riadok a potom otvorte priečinok C:\Program Files\Resource Kit.

  3. Spustite nasledujúci príkaz pridať tento nový SPN (www.microsoft.com) služby Active Directory pre server:

    Pomôcka SetSPN - HTTP/www.microsoft.com webserver1Poznámka: V tomto príkaze predstavuje webserver1 názov NetBIOS servera.

Zobrazí sa výstup podobný nasledujúcemu:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Zobraziť zoznam hlavných názvov služieb na serveri vidieť túto novú hodnotu, zadajte nasledovný príkaz na serveri IIS:

Pomôcka SetSPN -L webservernameVšimnite si, že nemáte registráciu všetkých služieb. Mnohé typy služieb, ako je HTTP, W3SVC WWW, RPC, CIFS (prístup k súborom), WINS a neprerušiteľný zdroj napájania (UPS), priradí predvolený typ služby, s názvom hostiteľa. Napríklad ak klientsky softvér používa SPN HTTP/webserver1.microsoft.com vytvoriť pripojenia na webový server HTTP na serveri webserver1.microsoft.com, ale táto SPN nebol nastavený na serveri, radič domény systému Windows 2000 automaticky priradia pripojenie k HOST/webserver1.microsoft.com. Toto priradenie sa vzťahuje iba v prípade, že webová služba je spustený lokálne systémové konto.

Skontrolujte, či počítač dôveryhodný pre delegovanie

Ak tento server so službou IIS je členom domény, ale nie je radič domény, počítač musí byť dôveryhodný pre delegovanie Kerberos pracovať správne. Ak to chcete urobiť, postupujte nasledovne:

  1. V radiči domény kliknite na tlačidlo Štart, Nastaveniea kliknite na položku Ovládací Panel.

  2. V ovládacom paneli otvorte položku Nástroje na správu.

  3. Dvakrát kliknite na Active Directory Users and Computers.

  4. V doméne, kliknite na tlačidlo počítače.

  5. V zozname vyhľadajte server so službou IIS, kliknite pravým tlačidlom myši na názov servera a kliknite na položku Vlastnosti.

  6. Kliknite na kartu Všeobecné , začiarknite
    Dôveryhodné pre delegovanie políčko a potom kliknite na tlačidlo
    OK.

Všimnite si, že ak viacerých webových lokalitách sa dosiahnu rovnaké URL, ale na iné porty, delegácia nefunguje. Pre túto prácu, musíte použiť rôzne názvy hostiteľov a rôznych hlavných názvov služieb. Keď program Internet Explorer vyžaduje buď http://www. mywebsite.com alebo http://www. mywebsite.com: 81, program Internet Explorer požiada lístok pre SPN HTTP/www.mywebsite.com. Internet Explorer nepridáva port alebo vdir SPN požiadavku. Toto správanie je rovnaký http://www. mywebsite.com/app1 alebo http://www. mywebsite.com/app2. V takomto prípade program Internet Explorer požiada lístok SPN http://www. mywebsite.com z stredisko distribúcie kľúčov (KDC). Každý SPN môžu uviesť len jednej totožnosti. Preto by aj KRB_DUPLICATE_SPN chybové hlásenie pri pokuse o deklarovať tento SPN pre každú totožnosť.

Delegovanie a Microsoft ASP.NET

Ďalšie informácie o konfigurácii pre delegovanie poverení pri používaní aplikácie ASP.NET, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

810572 ako nakonfigurovať ASP.NET aplikácie pre scenár delegácia

Anonymity a delegovanie dvomi spôsobmi server na overenie v mene klienta. Ktoré tieto metódy použiť a ich vykonávanie môže spôsobiť nejasnostiam. Musíte skontrolovať rozdiel medzi tieto dva postupy a skontrolujte, ktoré z týchto postupov, ktoré môžete použiť pre aplikáciu. Moje odporúčanie je čítať nasledovnú štúdiu ďalšie podrobnosti:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Odkazy

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server vyzve domény používateľské poverenia

262177 povolenie zapisovania do denníka udalostí protokolu Kerberos

326985Riešenie problémov súvisiacich s Kerberos v službe IIS

Webové vysielanie technickej podpory TechNet 842861 : riešenie problémov s protokolom Kerberos s zabezpečenej webovej aplikácie Microsoft SQL Server

Ako vždy, neváhajte a odošlite nápady na články, ktoré chcete riešiť v budúcich stĺpcoch alebo pri používaní databázy Knowledge Base
Požiadať formulár.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×