Автентифікація Kerberos та делегування неполадок.


Рубрика IIS Developer Support Voice


Автентифікація Kerberos та делегування неполадок.

Щоб ця колонка вашим потребам, ми пропонуємо надсилати, думки про цікавлячі вас теми та неполадки, яку потрібно переглянути розглянути в майбутніх статтях бази знань, та рубриках Support Voice. Можна надіслати думки та Відгуки, скориставшись формою Запитайте про це . Є також посилання на форму внизу стовпця.
Мене звуть Мартен Сміт і я Microsoft в розв'язанні Microsoft інформаційних служб Інтернету (IIS) критично групи. Виконано з корпорацією Майкрософт 9 років і було IIS команди всі 9 років. Я зібрав відомості з кількох розташуваннях на
http://MSDN.Microsoft.com і
http://www.microsoft.com про Kerberos а також способи виправлення неполадок для делегування.

IIS 6.0

У нижченаведеному офіційному документі описано, як настроїти делегування, у Microsoft Windows Server 2003. Офіційний документ містить відомості для мережного навантаження (NLB), але містить відмінні відомості про те, як налаштувати уповноважений сценарій, не використовуючи NLB. Щоб переглянути цей офіційний документ, перейдіть на веб-сайт корпорації Майкрософт:Примітка. Використання імен учасників служби HTTP, (SPN), особливо, коли ви використовуєте NLB.

Інший популярний Kerberos нещодавно вдалося проблему потрібно дозволити кілька Пули застосунків, на використання імені DNS. На жаль, під час використання Kerberos делегування облікових даних, вам не вдається здійснити прив'язку ж ім'я учасника служби (SPN) до іншої програми Пули. Ви не можете зробити це через структури Kerberos. Протоколу Kerberos, потрібно кілька спільних таємниць, для належної роботи протоколу. За допомогою одного SPN Пули застосунків на інший, ми усунути одна з цих спільних таємниць. У службі каталогів Active Directory не підтримують цю конфігурацію протоколу Kerberos через проблему з безпекою.

Настроювання SPN, таким чином, викликає автентифікації Kerberos. Вирішення цієї проблеми можна буде використовувати, перехід на протокол. За допомогою протоколу автентифікації NTLM будуть звертатися до початкового автентифікації між клієнтом і сервером під керуванням IIS. Kerberos, буде обробляти ідентифікацію IIS і внутрішнього сервера ресурсу.

Microsoft Internet Explorer 6 або пізнішої версії

Браузер клієнта, можуть виникнути проблеми, такі як отримання повторного входу запитів облікові дані або повідомлення про помилку в "401 немає доступу" із сервера, який працює служба IIS. Ми виявили, двох таких дефектів, які можуть допомогти вирішити ці проблеми:
  • Переконайтеся, що вибрано Увімкнути інтегрована автентифікація Windows у браузері властивості. Клацніть номер статті в базі знань Microsoft Knowledge Base:
    Не вдалося 299838 узгоджувати Kerberos автентифікації після оновлення до Internet Explorer 6

  • Internet Explorer конфігурацію посиленої безпеки ввімкнуто, Інсталяція й видалення програм, потрібно додати сайт, який використовує представництво в полі
    Список на Надійні веб-сайти . Клацніть номер статті в базі знань Microsoft Knowledge Base:
    815141 Internet Explorer Конфігурація посиленої безпеки впливає перегляд веб-сторінок

IIS 5.0 і IIS 6.0

Після оновлення з IIS 4.0 IIS 5.0 або IIS 6.0, делегування можуть працювати неправильно, або можливо іншого користувача або застосунку змінено властивість метабази NTAuthenticationProviders.
Щоб отримати додаткові відомості про те, як вирішити цю проблему клацніть номер статті в базі знань Microsoft Knowledge Base:
Помилка автентифікації Kerberos 248350 після оновлення до IIS 5.0 IIS 4.0

Конкретної проблеми області може виникнути, якщо встановлено SPN

Визначте ім'я сервера

Перевірте, чи підключення до веб-сайту за допомогою фактичне ім'я NetBIOS сервера або іменем псевдонім, наприклад, DNS-ім'я (наприклад, www.microsoft.com). Якщо ви використовуєте веб-сервера за допомогою ім'я фактичне ім'я сервера, на новий пакет імені (SPN) має були зареєстровані за допомогою засобу "Setspn" з Windows 2000 Server Resource Kit. Через те, що у службі каталогів Active Directory не знає, що це ім'я на обслуговування, квиток для надання послуг (TGS) не рекомендує квиток автентифікації користувача. Така поведінка Примусове завершення перегляду за допомогою доступних автентифікації наступний, який NTLM, клієнт. Якщо веб-сервер відповідає на запити на DNS-ім'я www.microsoft.com, але на сервері має назву webserver1.development.microsoft.com, необхідно зареєструвати www.microsoft.com в Active Directory на сервері під керуванням працює служба IIS. Для цього потрібно завантажити Setspn. exe і встановити його на сервері, на якому працює служба IIS.


Якщо ви використовуєте Windows Server 2003 і IIS 6, засіб "Setspn" для Microsoft Windows Server 2003 можна знайти за такою адресою:Щоб визначити, чи підключення за допомогою справжнє ім'я, спробуйте підключитися до сервера за допомогою фактичне ім'я сервера, а не DNS-ім'я. Якщо у вас не вдається підключитися до сервера, див. розділ "Перевірка комп'ютера є довіреним для делегування".

Якщо на підключення до сервера, виконайте такі дії для встановлення на SPN, для DNS-ім'я, що використовується для підключення до сервера
  1. Інсталюйте Setspn. exe.
  2. На сервері, що працює служба IIS Відкрийте командний рядок і відкрийте папку C:\Program Files\Resource Kit.
  3. Запустіть таку команду, щоб додати цей новий SPN (www.microsoft.com) на сервері Active Directory.
    Setspn - A HTTP/www.microsoft.com, webserver1
    Примітка. У цій команді webserver1 являє собою ім'я NetBIOS сервера.
Відображається інформація матиме приблизно такого вигляду:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Щоб переглянути список SPN, на сервері, щоб перевірити це нове значення, введіть таку команду, на сервері, який працює служба IIS:
Setspn -L webservername
Зверніть увагу, що вам не потрібно зареєструвати служби. Багато типів служби HTTP, W3SVC, WWW, віддаленого виклику процедур, CIFS (доступ до файлів), WINS та джерела живлення, живлення (UPS), як карти за промовчанням служба типу, з іменем ХОСТУ. Наприклад, програмне забезпечення клієнт використовує SPN HTTP/webserver1.microsoft.com, щоб створити HTTP-підключення до веб-сервера на сервері webserver1.microsoft.com, але на сервері не зареєстровано цей SPN, контролера домену Windows 2000 буде автоматично зіставити підключення HOST/webserver1.microsoft.com. Це зіставлення, застосовується лише, якщо веб-служби, що працює під із системним обліковим записом.

Переконайтеся, що комп'ютер довіреним для делегування

Якщо цей сервер, який працює служба IIS, входить до складу домену, але не є контролером домену, комп'ютер має бути довіреним для делегування Kerberos, для належної роботи. Щоб це зробити, виконайте такі дії:
  1. На контролері домену натисніть кнопку Пуск, Настройката виберіть Панель керування.
  2. У розділі "Панель керування" виберіть пункт Адміністрування.
  3. Двічі клацніть служби Active Directory – користувачі й комп'ютери.
  4. У домені натисніть кнопку " комп'ютери".
  5. У списку знайдіть потрібний сервер, який працює служба IIS, ім'я сервера, клацніть правою кнопкою миші та виберіть пункт Властивості.
  6. На вкладці загальні , установіть у
    Надійні, для делегування прапорець і натисніть кнопку
    OK.
Зверніть увагу, що якщо ж URL-адресу, але різні порти прийнятих кількох веб-сайтів, делегування не працюватиме. Щоб зробити цю роботу, потрібно використовувати іншого імені та різних SPN. Коли Internet Explorer, запити або http://www. mywebsite. com або http://www. mywebsitecom-: 81, браузер Internet Explorer, запити на квиток для SPN HTTP/www.mywebsite.com. Internet Explorer не додається порт або на vdir SPN запит. Це саме для http://www. mywebsite. com/app1 або http://www. mywebsite. com /, app2. У цьому випадку Internet Explorer буде надсилати запит квиток SPN http://www. mywebsite. com з ключем центр розповсюдження (KDC). Кожен SPN, може бути оголошена тільки для однієї особи. Таким чином, ви також отримаєте KRB_DUPLICATE_SPN повідомлення про помилку під час спроби оголосити цей SPN для кожного ідентифікаційного запису.

Делегування та Microsoft ASP.NET

Щоб отримати додаткові відомості про конфігурацію для делегування облікових даних, під час використання застосунку ASP.NET клацніть номер статті в базі знань Microsoft Knowledge Base:
810572 , як настроїти застосунок ASP.NET сценарій делегування

Уособлення і делегування, є два способи сервер перевірки автентичності, від імені клієнта. Рішення про ці способи використання та їх реалізація може призвести до деяких плутанину. Необхідно переглянути різниця між цими двома методами та перевірте, яку з цих процедур, які можна використовувати для вашого застосунку. Моя рекомендація, буде прочитати у нижченаведеному офіційному документі детальну:

Посилання


305971 Windows 2000 Server запитує в користувача домену, облікові дані

262177 , як увімкнути Kerberos подій.

326985 способи виправлення неполадок, залежні від Kerberos, у службі IIS

Веб-трансляція TechNet підтримки 842861 : автентифікацію Kerberos, що виправлення неполадок, безпечні веб-застосунків і Microsoft SQL Server

Завжди, надсилайте думки про теми, які потрібно розглянути в майбутніх колонках або в базі знань за допомогою до
Запитайте про це формі.