Beheben von Problemen mit eingeschränkter Kerberos-Delegierung

Von Bedeutung

Bevor Sie die Verfahren in diesem Artikel verwenden, führen Sie die Schritte in der Prüfliste für die Kerberos-Problembehandlung aus. Die häufigsten Ursachen für Kerberos-Probleme sind Infrastrukturprobleme und SpN-Probleme (Service Principal Name). Die Checkliste hilft Ihnen, solche Probleme zu identifizieren.

Wenn Ihr Zieldienst über separate Front-End- und Back-End-Komponenten verfügt, kann Kerberos Clientanmeldeinformationen (einschließlich Zugriffsberechtigungen) an ein Dienstkonto delegieren. In einfachen Worten greift der Client zuerst auf den Front-End-Dienst zu, und dann greift der Front-End-Dienst im Auftrag des Clients auf den Back-End-Dienst zu. Im Falle einer eingeschränkten Delegierung verwaltet der Front-End-Dienst eine Liste der Dienste, auf die er im Auftrag eines Clients zugreifen kann.

Die Konfigurationsdetails unterscheiden sich je nach Kontotyp, den der Front-End-Dienst verwendet. Dieser Artikel enthält separate Verfahren für verschiedene Arten von Dienstkonten:

Problembehandlung bei eingeschränkter Kerberos-Delegierung bei Verwendung eines integrierten Dienstkontos

Führen Sie die folgenden Schritte aus, wenn der Front-End-Dienst unter dem Sicherheitskontext eines integrierten Kontos ausgeführt wird, z. B. das Computerkonto des lokalen Computers. Führen Sie außerdem die folgenden Schritte aus, wenn der Front-End-Dienst unter einem der Sicherheitskontexte ausgeführt wird, die sich auf das Computerkonto beziehen, z. B. "Lokales System" oder "Netzwerkdienst".

Schritt 1: Überprüfen des Topologietyps

Um eingeschränkte Delegierung zu verwenden, müssen die Front-End- und Back-End-Dienste derselben Domäne angehören. Wenn sich diese Dienste in verschiedenen Domänen oder in einer anderen vertrauenswürdigen Gesamtstruktur befinden, müssen Sie stattdessen die ressourcenbasierte eingeschränkte Delegierung (RBCD) verwenden. Weitere Informationen finden Sie unter Anleitung zur Problembehandlung bei der Kerberos-Authentifizierung: Unterstützte Topologietypen.

Schritt 2. Überprüfen der Delegierungseinstellungen des Computerkontos

Verwenden Sie Active Directory-Benutzer und -Computer (im Menü " Server-Manager-Tools " verfügbar) für diese Schritte.

  1. Wählen Sie in Active Directory-Benutzer und -Computern "Computer" aus. Klicken Sie mit der rechten Maustaste auf das Konto des Front-End-Computers, und wählen Sie dann "Eigenschaften>Delegierung" aus.
  2. Stellen Sie sicher, dass die Option Nur für die Delegierung an bestimmte Dienste diesem Benutzer vertrauen ausgewählt ist.
  3. Stellen Sie sicher, dass die ausgewählte Authentifizierungsoption für die Benutzer geeignet ist, die auf den Webdienst zugreifen.
  4. Stellen Sie sicher, dass die Dienstliste den Back-End-Dienst (oder eine allgemeine Dienstklasse wie HOST für den Back-End-Server) enthält. Wenn dies erforderlich ist, wählen Sie "Hinzufügen" aus, um den Dienst zur Liste hinzuzufügen.
  5. Wählen Sie OK aus.

Schritt 3. Überprüfen Sie in IIS die Anwendungspoolkonfiguration.

Verwenden Sie das Iis-Tool (Internetinformationsdienste) (verfügbar im Menü Server-Manager-Tools ), um die Anwendungspooleinstellungen zu überprüfen.

  1. Erweitern Sie in der IIS-Konsole den IIS-Server, und wählen Sie "Anwendungspools" aus. Klicken Sie im rechten Bereich mit der rechten Maustaste auf "DefaultAppPool", und wählen Sie dann "Erweiterte Einstellungen" aus.
  2. Wählen Sie "Prozessmodellidentität>" aus. Stellen Sie sicher, dass das integrierte Konto ausgewählt ist und ein entsprechendes integriertes Konto (z. B. NetworkService) ausgewählt ist. Wählen Sie "OK" aus, um zur Eigenschaftenliste zurückzukehren.
  3. Stellen Sie sicher, dass " Benutzerprofil laden " auf "True" festgelegt ist. Wählen Sie "OK " aus, um die Eigenschaftenliste zu schließen.
  4. Wenn Sie Einstellungen geändert haben, starten Sie den IIS-Dienst neu.
  5. Versuchen Sie es erneut, sich zu authentifizieren.

Problembehandlung bei eingeschränkter Kerberos-Delegierung bei Verwendung eines benutzerdefinierten Dienstkontos

Führen Sie die folgenden Schritte aus, wenn Ihr Front-End-Dienst unter dem Sicherheitskontext eines benutzerdefinierten Kontos ausgeführt wird.

Schritt 1: Überprüfen des Topologietyps

Um eingeschränkte Delegierung zu verwenden, müssen die Front-End- und Back-End-Dienste derselben Domäne angehören. Wenn sich diese Dienste in verschiedenen Domänen oder einer anderen, vertrauenswürdigen Gesamtstruktur befinden, müssen Sie stattdessen die ressourcenbasierte eingeschränkte Delegierung (RBCD) verwenden. Weitere Informationen finden Sie unter Anleitung zur Problembehandlung bei der Kerberos-Authentifizierung: Unterstützte Topologietypen.

Schritt 2. Überprüfen der Dienstkontoberechtigungen

Stellen Sie sicher, dass das Dienstkonto entweder Teil der lokalen Administratoren oder IIS_Users Gruppe auf dem Webserver ist.

Schritt 3. Überprüfen der Delegierungseinstellungen des Dienstkontos

Verwenden Sie Active Directory-Benutzer und -Computer (im Menü "Server-Manager-Tools" verfügbar) für diese Schritte.

  1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das Dienstkonto (in der Regel im Container Benutzer), und wählen Sie dann Eigenschaften>Delegierung aus.
  2. Stellen Sie sicher, dass die Option Nur für die Delegierung an bestimmte Dienste diesem Benutzer vertrauen ausgewählt ist.
  3. Stellen Sie sicher, dass die ausgewählte Authentifizierungsoption für die Benutzer geeignet ist, die auf den Webdienst zugreifen.
  4. Stellen Sie sicher, dass die Dienstliste den Back-End-Dienst (oder eine allgemeine Dienstklasse wie HOST für den Back-End-Server) enthält. Wenn dies erforderlich ist, wählen Sie "Hinzufügen" aus, um den Dienst zur Liste hinzuzufügen.
  5. Wählen Sie "Konto" aus, und überprüfen Sie dann die Kontooptioneneinstellungen . Stellen Sie sicher, dass das Konto nicht als vertraulich und nicht delegierbar ausgewählt ist.
  6. Wählen Sie OK aus.

Schritt 4. Überprüfen der Delegierungskonfiguration des Computerkontos des Front-End-Servers

Zusätzlich zum benutzerdefinierten Dienstkonto muss das Computerkonto des Front-End-Servers auch für die Delegierung konfiguriert werden.

  1. Wählen Sie in Active Directory-Benutzer und -ComputerComputer aus, klicken Sie mit der rechten Maustaste auf das Konto des Frontend-Computers, und wählen Sie dann Eigenschaften>Delegierung aus.
  2. Stellen Sie sicher, dass die Option Diesem Benutzer ausschließlich für die Delegierung an bestimmte Dienste vertrauen ausgewählt ist und dass auch die untergeordnete Option Beliebiges Authentifizierungsprotokoll verwenden ausgewählt ist.
  3. Stellen Sie sicher, dass die Dienstliste den Back-End-Dienst (oder eine allgemeine Dienstklasse wie HOST für den Back-End-Server) enthält. Wenn dies erforderlich ist, wählen Sie "Hinzufügen" aus, um den Dienst zur Liste hinzuzufügen.
  4. Wählen Sie OK aus.

Schritt 5. Überprüfen Sie in IIS die Anwendungspoolkonfiguration.

Verwenden Sie das Iis-Tool (Internetinformationsdienste) (verfügbar im Menü Server-Manager-Tools ), um die Anwendungspooleinstellungen zu überprüfen.

  1. Erweitern Sie in der IIS-Konsole den IIS-Server, und wählen Sie dann Anwendungspools aus. Klicken Sie im rechten Bereich mit der rechten Maustaste auf "DefaultAppPool", und wählen Sie dann "Erweiterte Einstellungen" aus.
  2. Wählen Sie "Prozessmodellidentität>" aus. Stellen Sie sicher, dass das benutzerdefinierte Konto ausgewählt ist und das Dienstkonto ausgewählt ist. Wählen Sie "OK" aus, um zur Eigenschaftenliste zurückzukehren.
  3. Stellen Sie sicher, dass " Benutzerprofil laden " auf "True" festgelegt ist. Wählen Sie "OK " aus, um die Eigenschaftenliste zu schließen.
  4. Starten Sie den IIS-Dienst neu.
  5. Versuchen Sie es erneut, sich zu authentifizieren.
  • Last updated on