Kerberos kimlik doğrulaması ve temsilci seçme ile ilgili sorunları giderme

IIS Geliştirici Destek Sesi sütunu

Kerberos kimlik doğrulaması ve temsilci seçme ile ilgili sorunları giderme

Bu sütunun ihtiyaçlarınıza özelleştirmek için Knowledge Base makaleleri ve Destek Sesi sütunu ve görmek istediğiniz konuları ilgilendiren konular hakkındaki fikirlerinizi gelecekte ele göndermek için sizi davet etmek istiyoruz. Fikir ve görüş İste formunu kullanarak gönderebilirsiniz. Bu sütunun alt form için bir bağlantı yoktur.
Benim adı Martin Smith ve Microsoft'un Microsoft Internet Information Services (IIS) kritik sorun çözümleme grubuyla olduğumu. Ben Microsoft ile dokuz yıldır ve IIS ekibiyle tüm dokuz yıldır. Ben üzerinde birden çok konumdan bilgi derlediğiniz
http://msdn.microsoft.com ve
http://www.microsoft.com Kerberos ve temsilci sorunlarının nasıl giderileceği hakkında.

IIS 6.0

Aşağıdaki teknik incelemeyi Microsoft Windows Server 2003'te temsilciliği kuran ayarlama yöntemi açıklanır. Beyaz Kağıt belirli bilgileri Ağ Yükü Dengeleme (NLB) var, ancak mükemmel NLB kullanmadan bir temsilci senaryosu ayarlama hakkında ayrıntılı bilgi içerir. Bu teknik incelemeyi görüntülemek için aşağıdaki Microsoft Web sitesini ziyaret edin:Not: Özellikle, NLB kullanırken HTTP hizmet asıl adlarını (SPN) kullanın.

Başka bir popüler Kerberos sorun yakın zamanda aynı DNS adı kullanmak üzere birden çok uygulama havuzu için izin vermek zorunda olmuştur. Ne yazık ki, Kerberos kimlik bilgileri temsilcisi için kullandığınızda, farklı uygulama havuzları için aynı hizmet asıl adı (SPN) bağlanılamıyor. Kerberos tasarımı nedeniyle, bunu yapamaz. Kerberos protokolünün düzgün çalışması iletişim kuralı için birden çok paylaşılan gizlilikler gerektirir. Farklı uygulama havuzları için aynı SPN kullanarak, biz bu paylaşılan gizlilikler birini ortadan kaldırır. Active Directory dizin hizmeti güvenlik sorunu nedeniyle Kerberos iletişim kuralının bu yapılandırmayı desteklemez.

Bu şekilde SPN'ler yapılandırma Kerberos kimlik doğrulamasının başarısız olmasına neden olur. Bu sorun için olası bir çözüm Protokolü geçiş kullanmak olacaktır. IIS çalıştıran sunucu ile istemci arasında ilk kimlik doğrulaması NTLM kimlik doğrulama protokolünü kullanarak ele. IIS kaynak arka uç sunucu arasındaki kimlik doğrulaması Kerberos işlemek.

Microsoft Internet Explorer 6 veya sonraki sürümü

İstemci tarayıcısına yinelenen oturum açma istemleri için kimlik bilgileri veya "401 Erişim reddedildi" hata iletileri IIS çalıştıran sunucudan almak gibi sorunları yaşayabilirsiniz. Biz bu sorunların giderilmesine yardımcı olabilir aşağıdaki iki sorunları bulur:
  • Tümleşik Windows kimlik doğrulamasını etkinleştirmek tarayıcının Özellikleri'nde seçili olduğunu doğrulayın. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    299838 Internet Explorer 6 için yükselttikten sonra Kerberos kimlik doğrulama anlaşması için çalıştırılamıyor

  • Program Ekle/Kaldır'Internet Explorer Artırılmış Güvenlik Yapılandırması etkinleştirilirse, temsilci seçmek için kullanan bir siteye eklemeniz gerekir
    Güvenilen siteler listesi. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    815141 Internet Explorer Gelişmiş Güvenlik Yapılandırması Tarayıcı Deneyimini Değiştiriyor

IIS 5.0 ve IIS 6.0

IIS 4. 0 ' IIS 5.0 veya IIS 6.0 için yükselttikten sonra temsilci düzgün çalışmayabilir veya büyük olasılıkla bir kişi veya bir uygulama NTAuthenticationProviders metatabanı özelliği değiştirdi.
Bu sorunu gidermek hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
IIS 5.0 için IIS 4. 0 ' yükseltme yaptıktan sonra 248350 Kerberos kimlik doğrulaması başarısız

SPN ayarlamak sorun belirli bir bölümünü oluşabilir

Sunucu adını belirleme

Gerçek sunucu NetBIOS adı veya DNS adı (örneğin, www.microsoft.com) gibi bir diğer ad kullanarak Web sitesine bağlanıldığını belirlemek. Web sunucu sunucunun gerçek adından farklı bir ad kullanarak erişiyorsanız, bir yeni hizmet asıl adı (SPN) Windows 2000 Server Resource Kit Setspn aracını kullanarak kaydedilmiş olmalıdır. Active Directory dizin hizmeti, bu hizmet adı bilmez çünkü bilet sağlama hizmeti (TGS) kullanıcının kimliğini doğrulamak için bir bilet size vermez. Bu davranışı yeniden anlaşmak için NTLM değil, sonraki kullanılabilir kimlik doğrulama yöntemini kullanmak için istemciyi zorlar. Web sunucusu için DNS adı olarak www.microsoft.com yanıt, ancak sunucu webserver1.development.microsoft.com adlı IIS çalıştıran çalıştıran sunucuda Active Directory'de www.microsoft.com kaydetmeniz gerekir. Bunu yapmak için Setspn Aracı'nı karşıdan yüklemek ve IIS çalıştıran sunucuya yüklemeniz gerekir.


Setspn aracı Microsoft Windows Server 2003 için Windows Server 2003 ve IIS 6 kullanıyorsanız, aşağıdaki konumdan edinilebilir:Gerçek adını kullanarak bağlanıldığını belirlemek için DNS adı yerine sunucunun gerçek adını kullanarak sunucuya bağlanmayı deneyin. Sunucuya bağlanamıyorsanız, "Doğrula bilgisayar temsil için güvenilir" bölümüne bakın.

Sunucuya bağlanabilir, sunucuya bağlanmak için kullandığınız DNS adı için bir SPN ayarlamak için aşağıdaki adımları izleyin:
  1. Setspn aracını yükleyin.
  2. IIS çalıştıran sunucuda, bir komut istemi açın ve sonra C:\Program Files\Resource Seti klasörünü açın.
  3. Active Directory sunucusu için bu yeni SPN (www.microsoft.com) eklemek için aşağıdaki komutu çalıştırın:
    Setspn - A HTTP/www.microsoft.com webserver1
    Not: Bu komutta, websunucusu1 sunucusunun NetBIOS adını temsil eder.
Aşağıdakine benzer bir çıktı alırsınız:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Bu yeni değerin görmek için sunucudaki SPN listesini görüntülemek için IIS çalıştıran bir sunucuda aşağıdaki komutu yazın:
Setspn -L WebSunucusuAdı
Not tüm hizmetleri kayıt gerekmez. HTTP, W3SVC, WWW, RPC, CIFS (dosya erişimi), WINS ve kesintisiz güç kaynağı (UPS), gibi birçok hizmet türleri, ana bilgisayar adında bir varsayılan hizmet türü eşlenir. Örneğin, webserver1.microsoft.com sunucu üzerinde Web sunucusu bir HTTP bağlantısı oluşturmak için bir SPN HTTP/webserver1.microsoft.com istemci yazılımını kullanır, ancak sunucuda bu SPN kayıtlı değil, Windows 2000 etki alanı denetleyicisi otomatik olarak bağlantı için HOST/webserver1.microsoft.com eşlersiniz. Web hizmet yerel sistem hesabı altında çalışıyorsa, bu eşleştirme uygulanır.

Bilgisayara temsilci seçme için güvenilir olduğundan emin olun

IIS çalıştıran bir sunucu bu etki alanının bir üyesiyse, ancak bir etki alanı denetleyicisi değil, bilgisayarın düzgün çalışması Kerberos için temsilci seçme için güvenilir olmalıdır. Bunu yapmak için şu adımları izleyin:
  1. Etki alanı denetleyicisinde, Başlat' ı tıklatın, Ayarlar' ı seçin ve Denetim Masası' nı tıklatın.
  2. Denetim Masası'nda Yönetimsel Araçlar'ı açın.
  3. Active Directory Kullanıcıları ve bilgisayarları'nıçift tıklatın.
  4. Etki alanı altında bilgisayarlar' ı tıklatın.
  5. Listesinde, IIS çalıştıran sunucu bulun, sunucu adını sağ tıklatın ve sonra Özellikler' i tıklatın.
  6. Genel sekmesini tıklatın, seçmek için tıklatın
    Temsilci seçme için güvenilir onay kutusunu işaretleyin ve sonra tıklatın
    OK.
Birden çok Web sitesi aynı URL'ye göre ancak farklı noktalarında eriştiyseniz, temsilci değil çalışacağını unutmayın. Bu işi yapmak için farklı bir ana makine adları ve farklı SPN'ler kullanmanız gerekir. Ne zaman Internet Explorer ya da http://www ister. WebSitem.com veya http://www. WebSitem.com:81, Internet Explorer SPN HTTP/www.mywebsite.com için bir bilet ister. Internet Explorer bağlantı noktası veya vdir SPN isteği eklemez. Bu davranış http://www için aynıdır. WebSitem.com/Uyg1 veya http://www. WebSitem.com/Uyg2. Bu senaryoda, Internet Explorer SPN http://www için bir bilet ister. WebSitem.com Anahtar Dağıtım Merkezi (KDC). Her bir SPN yalnızca bir kimlik için bildirilebilir. Bu nedenle, her kimlik için bu SPN bildirmek çalışırsanız da KRB_DUPLICATE_SPN hata iletisi alırsınız.

Temsilci seçme ve Microsoft ASP.NET

Bir ASP.NET uygulaması kullandığınızda kimlik bilgileri yetki aktarımına ilişkin yapılandırma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
810572 nasıl bir ASP.NET uygulaması temsilci atama senaryosu için yapılandırma

Kimliğe bürünme ve temsilci adına istemcinin kimliğini doğrulamak bir sunucu için iki yöntemlerdir. Hangi kullanmak için bu yöntemleri ve bunların uygulanmasını karar bazı karışıklıklara neden olabilir. Bu iki yöntem arasındaki farkı gözden geçirin ve uygulamanız için kullanmak isterseniz bu yöntemlerden hangisinin incelemek gerekir. Daha ayrıntılı bilgi için şu teknik incelemeyi okuyun önerim olacaktır:

Başvurular

305971 Windows 2000 Server etki alanı kullanıcısı kimlik bilgileri ister.

262177 nasıl Kerberos olay günlüğünü etkinleştirme

326985 nasıl IIS'de Kerberos ile ilgili sorunları giderme

842861 TechNet Destek Web Yayını: Güvenli Web uygulamaları ve Microsoft SQL Server ile sorun giderme Kerberos kimlik doğrulaması

Her zaman, göndermek istediğiniz fikirler konularda ücretsiz havaya gelecekteki sütunları olarak veya kullanarak Bilgi Bankası
Bunu iste formu.
Özellikler

Makale No: 907272 - Son İnceleme: 24 Şub 2017 - Düzeltme: 1

Microsoft Internet Information Services 6.0

Geri bildirim