透過 Kerberos 驗證委派不適用於負載平衡架構

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:325608
依現狀不再更新的知識庫內容免責聲明
本文旨在說明 Microsoft 不再提供支援的產品。因此,本文係依「現狀」提供,不會再更新。
徵狀
當使用 Kerberos 委派的載入平衡架構的驗證嘗試客戶時,Kerberos 無法運作,而且網際網路資訊服務 (IIS) 回下降到 Windows NT 挑戰/回應驗證。 因為 Windows NT 挑戰/回應不能用於委派,任何應用程式或服務需要委派無法運作。
發生的原因
問題是由於在 Kerberos 驗證通訊協定的限制。負載平衡] 叢集使用虛擬的主機名稱來識別自己,並這是 Kerberos 票證發出的主機名稱。 當票證呈現給實際伺服器時,導向票證到用戶端不符合其伺服器主要名稱 (SPN)。 此外,Windows 2000 網域中虛擬的主機名稱不能設定為 受信任委派 在 Active Directory 中。

當伺服器拒絕 Kerberos 票證時, 用戶端重新交涉,並嘗試使用 Windows NT 挑戰/回應驗證。 即使在用戶端可以透過這個方法進行驗證,委派失敗,因為它會仰賴 Kerbero 函式。
其他可行方案
一個可能的解決方法需要負載平衡叢集中每一部電腦可以使用回答它自己的完整格式的網域名稱 (FQDN)。預設的網頁,在每一部伺服器上必須將重新導向用戶端直接至本身,因而略過虛擬的主機名稱和而提供票證可以發出的是正確的主機名稱。

頁面可以當作一個範例是一些簡單的為下面這一行:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>				
Kerberos 假設 my.unique.fqdn 是電腦的唯一的 FQDN,而該 Default2.asp 是實際的預設用戶端必須導向到的網頁,可以使用這個簡單的重新導向,工作負載平衡的架構中。

為一個警告用戶端可以看到或錄製 (也就是加入書籤) 用戶端導向到的伺服器的唯一的名稱。這似乎導致中斷問題如果用戶端該網站加入書籤,並且嘗試傳回實體的伺服器或唯一的伺服器名稱時無法使用。
其他相關資訊
本白皮書現在已經可以使用,將告訴您,如何設定網路負載平衡環境中進行 Kerberos 驗證。 本解決方案花去較長的時間實作,因為它包含 Web 伺服器環境的變更。不過,本白皮書中所述的解決方案可能會優於 < 其他可行方案 > 一節所述的解決方案。

附註如果您使用 [份白皮書中所描述的方案不註冊 HOST/SPN 時您會被導向到。註冊 HTTP SPN。

請造訪下列 Microsoft 網站,以檢視負載的 Kerberos 驗證由平衡的 Web 站台 」 白皮書:

取得更多資訊有關網路負載平衡請造訪下列 Microsoft 網站]:

如需有關 Kerberos 驗證通訊協定的詳細資訊,請參閱下列 RFC 網站:
iis 5 wlbs kerberos 委派整合 NLB

警告:本文為自動翻譯

內容

文章識別碼:325608 - 最後檢閱時間:11/21/2006 05:31:10 - 修訂: 4.1

Microsoft Internet Information Services 5.0

  • kbmt kbpending kbprb KB325608 KbMtzh
意見反應