Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Phái đoàn xác thực thông qua Kerberos không hoạt động trong cân bằng tải kiến trúc

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:325608
Khước từ Nội dung trong Cơ sở Kiến thức Không còn được hỗ trợ
Bài viết này nói về các sản phẩm mà Microsoft không còn hỗ trợ nữa. Do đó, bài viết này được cung cấp "nguyên bản" và sẽ không được cập nhật.
TRIỆU CHỨNG
Khi một khách hàng cố gắng sử dụng Kerberos để đại biểu xác thực trong một cân bằng tải kiến trúc, Kerberos không hoạt động và Internet Information Services (IIS) giọt trở lại Windows NT Challenge/Response xác thực. Bởi vì Windows NT Challenge/Response không thể được sử dụng cho đoàn đại biểu, bất kỳ ứng dụng hoặc dịch vụ yêu cầu đoàn đại biểu không làm việc.
NGUYÊN NHÂN
Vấn đề xảy ra vì của một giới hạn trong giao thức Kerberos xác thực. Cụm cân bằng tải sử dụng một tên máy chủ ảo để xác định riêng của mình, và đây là tên máy chủ lưu trữ Kerberos vé được phát hành cho. Khi vé được trình bày cho các máy chủ thực tế, các khách hàng là hướng đến vé không khớp với các tên chính Server (SPN). Ngoài ra, trong một tên miền Windows 2000, tên máy chủ ảo không thể được thiết lập để Tin tưởng cho đoàn đại biểu trong Active Directory.

Khi hệ phục vụ bác bỏ các vé Kerberos, khách hàng renegotiates và cố gắng sử dụng Windows NT Challenge/Response xác thực. Ngay cả khi khách hàng có thể xác thực thông qua phương pháp này, đoàn đại biểu không bởi vì nó dựa trên Kerberos đến chức năng.
CÁCH GIẢI QUYẾT KHÁC
Một workaround có thể yêu cầu mỗi máy tính trong cụm cân bằng tải được sẵn sàng trả lời để riêng của mình tên miền hoàn toàn đủ tiêu chuẩn (FQDN). Trang mặc định trên mỗi máy chủ phải chuyển hướng các khách hàng trực tiếp đến chính nó, qua đó bỏ qua tên máy chủ ảo và thay vào đó cung cấp một tên máy chủ lưu trữ hợp lệ một vé có thể được phát hành cho.

Như là một mẫu, trang có thể là một cái gì đó đơn giản như dòng sau:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>				
Giả định rằng my.unique.fqdn là FQDN duy nhất của máy tính, và rằng Default2.asp là trang mặc định thực tế khách hàng phải được dẫn đến Kerberos có thể sử dụng này chuyển hướng đơn giản để làm việc trong một cân bằng tải kiến trúc.

Như caveat một, khách hàng có thể xem hoặc ghi lại (có nghĩa là, đánh dấu) tên duy nhất của máy chủ khách hàng là hướng đến. Điều này có vẻ để dẫn đến Cúp nếu máy sử dụng dấu trang web đó và cố gắng để trở về khi máy chủ vật lý hoặc tên máy chủ duy nhất không có sẵn.
THÔNG TIN THÊM
Một giấy trắng là bây giờ có sẵn mà thảo luận về cách thiết lập một mạng cân bằng tải trọng môi trường cho Kerberos xác thực. Giải pháp này có thể mất nhiều thời gian để thực hiện bởi vì nó bao gồm các thay đổi đối với môi trường máy chủ Web. Tuy nhiên, các giải pháp được mô tả trong giấy trắng có thể tốt hơn so với các giải pháp được diễn tả trong phần "Workaround".

Chú ý Nếu bạn sử dụng các giải pháp được mô tả trong giấy trắng, không đăng ký một máy chủ lưu trữ/SPN khi bạn đang hướng đến. Đăng ký một SPN HTTP.

Ghé thăm trang Web Microsoft sau đây để xem giấy trắng "Kerberos xác thực cho tải cân bằng các trang web":

Để biết thêm chi tiết về cân bằng tải mạng, ghé thăm Web site sau của Microsoft:

Để biết thêm chi tiết về giao thức xác thực Kerberos, xem RFC Web site sau:
IIS 5 wlbs kerberos đoàn tích hợp NLB

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 325608 - Xem lại Lần cuối: 08/27/2011 14:15:00 - Bản sửa đổi: 2.0

  • kbpending kbprb kbmt KB325608 KbMtvi
Phản hồi