Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

IIS phát triển hỗ trợ thoại cột

Xác thực Kerberos và khắc phục sự cố uỷ nhiệm

Tuỳ chỉnh cột này nhu cầu của bạn, chúng tôi muốn mời bạn gửi ý kiến của bạn về các chủ đề quan tâm bạn và các vấn đề mà bạn muốn xem trong tương lai gửi bài viết cơ sở kiến thức và hỗ trợ thoại cột. Bạn có thể gửi các ý tưởng và phản hồi bằng cách sử dụng mẫu Yêu cầu này . Cũng là liên kết đến biểu mẫu ở cuối cột này.

Tên tôi là Martin Smith và tôi với nhóm giải quyết vấn đề nghiêm trọng của Microsoft Internet Information Services (IIS) của Microsoft. Tôi đã có Microsoft 9 năm và đã với nhóm IIS tất cả 9 năm. Tôi đã biên soạn thông tin từ nhiều vị trí trên
http://MSDN.Microsoft.com
http://www.microsoft.com về Kerberos và cách khắc phục sự cố uỷ nhiệm.

IIS 6.0

Hướng dẫn chính thức sau mô tả cách thiết lập vào Microsoft Windows Server 2003. Báo cáo có thông tin cụ thể cho Network Load Balancing (NLB) nhưng bao gồm các chi tiết tuyệt vời về cách thiết lập kịch bản quyền mà không sử dụng NLB. Để xem báo cáo này, ghé thăm Web site sau của Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxLưu ý Sử dụng tên cơ bản của dịch vụ HTTP (SPN) đặc biệt là khi bạn sử dụng NLB.

Một sự cố phổ biến Kerberos gần đây đã phải cho phép nhiều ứng dụng vùng sử dụng tên DNS. Thật không may, khi bạn sử dụng Kerberos để uỷ nhiệm Uỷ nhiệm, bạn không thể gắn vào cùng một dịch vụ tên cơ bản (SPN) để ứng dụng khác vùng. Bạn không thể thực hiện việc này vì thiết kế Kerberos. Giao thức Kerberos yêu cầu nhiều chia sẻ bí mật cho các giao thức hoạt động bình thường. Bằng cách sử dụng cùng một SPN cho ứng dụng khác vùng, chúng tôi loại bỏ một trong những bí mật được chia sẻ. Dịch vụ thư mục Active directory sẽ không hỗ trợ cấu hình giao thức Kerberos do vấn đề bảo mật.

Cấu hình các SPN theo cách này khiến cho xác thực Kerberos không thành công. Khắc phục sự cố này có thể sẽ sử dụng giao thức chuyển tiếp. Xác thực ban đầu giữa máy khách và máy chủ đang chạy IIS sẽ được xử lý bằng cách sử dụng giao thức xác thực NTLM. Kerberos sẽ xử lý xác thực từ IIS và các tài nguyên máy chủ phụ trợ.

Microsoft Internet Explorer 6 hoặc mới hơn

Trình duyệt của khách hàng có thể gặp phải vấn đề, chẳng hạn như nhận được nhắc nhở nhiều lần đăng nhập thông tin đăng nhập hoặc "401 truy cập bị từ chối" lỗi từ máy chủ đang chạy IIS. Chúng tôi có hai vấn đề sau đây có thể giúp giải quyết các vấn đề:

  • Xác minh rằng Kích hoạt xác thực Windows tích hợp được chọn trong thuộc tính của trình duyệt. Để biết thêm chi tiết, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

    299838 không thể vượt qua xác thực Kerberos sau khi nâng cấp lên Internet Explorer 6

  • Nếu cấu hình bảo mật nâng cao của Internet Explorer được bật trong thêm/loại bỏ chương trình, bạn phải thêm một trang web sử dụng uỷ nhiệm cho các
    Danh sách site tin cậy . Để biết thêm chi tiết, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

    815141 cấu hình bảo mật nâng cao của Internet Explorer thay đổi trải nghiệm duyệt web

IIS 5.0 và IIS 6.0

Sau khi nâng cấp từ IIS 4.0 IIS 5.0 hoặc IIS 6.0, uỷ nhiệm có thể không hoạt động đúng cách, hoặc có thể ai đó hoặc ứng dụng đã thay đổi thuộc tính siêu dữ liệu NTAuthenticationProviders.
Để biết thêm thông tin về cách khắc phục sự cố này, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

248350 xác thực Kerberos không thành công sau khi nâng cấp từ IIS 4.0 IIS 5.0

Một khu vực cụ thể của sự cố có thể xảy ra khi bạn đặt SPN

Xác định tên máy chủ

Xác định xem bạn đang kết nối với các trang Web bằng cách sử dụng tên NetBIOS thực của máy chủ hoặc bằng cách sử dụng một tên bí danh, chẳng hạn như tên DNS (ví dụ: www.microsoft.com). Nếu bạn truy cập máy chủ Web bằng cách sử dụng tên khác với tên máy chủ, thực tế, một mới tên dịch vụ chính (SPN) phải có được đăng ký bằng cách sử dụng công cụ Setspn bộ tài nguyên Windows 2000 Server. Vì dịch vụ thư mục Active directory không biết tên dịch vụ vé cung cấp dịch vụ (đội) không cung cấp cho bạn một vé để xác thực người dùng. Hiện tượng này buộc máy khách sử dụng phương pháp xác thực có tiếp theo, trong đó NTLM để renegotiate. Nếu máy chủ Web đáp ứng với tên DNS www.microsoft.com nhưng máy chủ có tên webserver1.development.microsoft.com, bạn phải đăng ký www.microsoft.com Active Directory trên máy chủ đang chạy IIS. Để thực hiện việc này, bạn phải tải xuống công cụ Setspn và cài đặt trên máy chủ đang chạy IIS.


Nếu bạn đang sử dụng Windows Server 2003 và IIS 6, công cụ Setspn cho Microsoft Windows Server 2003 có sẵn từ vị trí sau:

http://support.microsoft.com/kb/970536Để xác định xem bạn đang kết nối bằng cách sử dụng tên thực tế, cố gắng kết nối với máy chủ bằng cách sử dụng tên thực của máy chủ thay vì tên DNS. Nếu bạn không thể kết nối với máy chủ, hãy xem phần "Kiểm tra máy tính được tin cậy để uỷ nhiệm".

Nếu bạn có thể kết nối với máy chủ, hãy làm theo các bước sau để đặt SPN cho tên DNS mà bạn đang sử dụng để kết nối với máy chủ:

  1. Cài đặt công cụ Setspn.

  2. Trên máy chủ đang chạy IIS, mở dấu nhắc lệnh và sau đó mở thư mục C:\Program Files\Resource bộ.

  3. Chạy lệnh sau để thêm này mới SPN (www.microsoft.com) Active Directory cho máy chủ:

    Setspn - một HTTP/www.microsoft.com webserver1Lưu ý Lệnh này, webserver1 biểu thị tên NetBIOS của máy chủ.

Bạn nhận được kết quả tương tự như sau:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Để xem danh sách SPN trên máy chủ để xem giá trị mới này, gõ lệnh sau trên máy chủ đang chạy IIS:

Setspn -L webservernameLưu ý rằng bạn không cần phải đăng ký dịch vụ. Nhiều loại dịch vụ, chẳng hạn như HTTP, W3SVC, WWW, RPC, CIFS (truy cập tệp), WINS và nguồn điện (UPS), cung cấp sẽ ánh xạ tới một loại dịch vụ mặc định tên máy chủ. Ví dụ: nếu phần mềm khách hàng sử dụng một SPN HTTP/webserver1.microsoft.com để tạo kết nối HTTP đến máy chủ Web trên máy chủ webserver1.microsoft.com, nhưng SPN này không được đăng ký trên máy chủ, kiểm soát miền Windows 2000 sẽ tự động ánh xạ kết nối tới HOST/webserver1.microsoft.com. Bản đồ này chỉ áp dụng nếu dịch vụ Web chạy dưới trương mục hệ thống cục bộ.

Xác minh rằng máy tính tin cậy để uỷ nhiệm

Nếu máy chủ này chạy IIS là thành viên của miền nhưng không phải là bộ điều khiển miền, máy tính phải đáng tin cậy để uỷ nhiệm Kerberos hoạt động bình thường. Để thực hiện việc này, hãy làm theo các bước sau:

  1. Bộ điều khiển miền, bấm bắt đầu, trỏ chuột vào cài đặtrồi sau đó bấm Bảng điều khiển.

  2. Trong Pa-nen điều khiển, mở Công cụ quản trị.

  3. Bấm đúp vào người dùng Active Directory và máy tính.

  4. Trong miền của bạn, bấm vào máy tính.

  5. Trong danh sách, xác định máy chủ đang chạy IIS, bấm chuột phải vào tên máy chủ và sau đó bấm thuộc tính.

  6. Bấm tab chung , bấm để chọn các
    Tin cậy để uỷ nhiệm kiểm tra hộp, và sau đó bấm
    OK.

Lưu ý rằng nếu nhiều trang Web đạt cùng URL nhưng cổng khác nhau, uỷ nhiệm sẽ không hoạt động. Để thực hiện việc này, bạn phải sử dụng tên máy chủ khác nhau và SPN khác. Khi Internet Explorer yêu cầu hoặc http://www. mywebsite.com hoặc http://www. mywebsite.com:81, Internet Explorer yêu cầu một vé cho SPN HTTP/www.mywebsite.com. Internet Explorer không thêm cổng hoặc vdir yêu cầu SPN. Hiện tượng này là giống nhau cho http://www. mywebsitecom/app1 hoặc http://www. mywebsitecom/app2. Trong trường hợp này, Internet Explorer sẽ yêu cầu một vé SPN http://www. mywebsitecom từ Trung tâm phân phối khoá (KDC). Mỗi SPN có thể được công bố chỉ cho một danh tính. Do đó, bạn sẽ cũng nhận được một thông báo lỗi KRB_DUPLICATE_SPN nếu bạn cố gắng tuyên bố này SPN cho mỗi danh tính.

Uỷ nhiệm và Microsoft ASP.NET

Để biết thêm thông tin về cấu hình để uỷ nhiệm Uỷ quyền khi bạn sử dụng ứng dụng ASP.NET, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

810572 làm thế nào để cấu hình ứng dụng ASP.NET đoàn kịch bản

Đóng vai và uỷ nhiệm có hai phương pháp đối với máy chủ xác thực thay mặt cho khách hàng. Quyết định các phương pháp để sử dụng và thực hiện có thể gây ra một số rắc rối. Bạn phải xem xét sự khác biệt giữa hai phương pháp và kiểm tra các phương pháp bạn có thể sử dụng ứng dụng của bạn. Đề nghị của tôi sẽ đọc báo cáo sau đây để biết thêm chi tiết:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Tham khảo

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server nhắc người dùng miền nhiệm

262177 làm thế nào để kích hoạt ghi nhật ký sự kiện Kerberos

326985 làm thế nào để khắc phục sự cố liên quan đến Kerberos trong IIS

842861 TechNet WebCast hỗ trợ: xác thực Kerberos khắc phục sự cố với ứng dụng Web an toàn và Microsoft SQL Server

Như thường lệ, vui lòng gửi ý tưởng về các chủ đề mà bạn muốn giải quyết trong tương lai cột hoặc trong cơ sở kiến thức sử dụng các
Biểu mẫu Yêu cầu này .

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×