Risoluzione dei problemi di RBCD Kerberos

Importante

Prima di usare le procedure descritte in questo articolo, seguire la procedura descritta nell'elenco di controllo Per la risoluzione dei problemi Kerberos. Le cause più comuni dei problemi Kerberos sono i problemi di infrastruttura e dei nomi del principale di servizio (SPN). L'elenco di controllo consente di identificare tali problemi.

Se il servizio di destinazione include componenti front-end e back-end separati, Kerberos può delegare le credenziali client (incluse le autorizzazioni di accesso) a un account del servizio. In termini semplici, il client accede al servizio front-end, e successivamente il servizio front-end accede al servizio back-end per conto suo. Nel caso della delega vincolata basata su risorse (RBCD), il servizio back-end gestisce un elenco di servizi che possono accedervi per conto di un client. Questo elenco è associato all'account usato dal servizio back-end. Per configurare questa impostazione, è necessario usare Windows PowerShell.

Annotazioni

Per queste procedure è necessario usare il ActiveDirectory modulo PowerShell. Per assicurarsi che l'ambiente disponga del modulo PowerShell corretto, aprire una finestra di PowerShell e quindi eseguire i comandi seguenti, nell'ordine specificato:

Add-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory

I dettagli di configurazione variano a seconda del tipo di account usato dal servizio front-end. Questo articolo fornisce procedure separate per diversi tipi di account di servizio:

Risoluzione dei problemi di Kerberos RBCD se si usa un account del servizio predefinito

  1. Per controllare la configurazione della delega del server back-end (risorsa), aprire una finestra del prompt dei comandi di Windows PowerShell e quindi eseguire il cmdlet seguente:

    Get-ADComputer -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount

    Annotazioni

    In questo comando <BackEndSvcAcct> rappresenta l'account del servizio back-end, in questo caso il nome del computer back-end.

    Questo cmdlet recupera l'elenco di entità che possono delegare al servizio back-end. Eseguire una delle operazioni seguenti:

    • Se questo elenco include l'account del servizio usato dal front-end, RBCD è configurato correttamente. Vai al passaggio 3.
    • Se questo elenco non include l'account del servizio usato dal servizio front-end, andare al passaggio successivo.

  2. Per configurare RBCD nell'account del servizio back-end, eseguire il cmdlet seguente:

    Set-ADComputer -AuthType Negotiate -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount <FrontEndSvcAcct>

    Annotazioni

    In questo comando <BackEndSvcAcct> rappresenta l'account del servizio back-end e <FrontEndSvcAcct> rappresenta l'account del servizio front-end.

  3. Controllare le opzioni dell'account del servizio front-end. Usare Utenti e computer di Active Directory (disponibili nel menu Strumenti di Server Manager) per questi passaggi.

    1. In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'account del servizio (in genere nel contenitore Computer ) e quindi scegliere Proprietà>Account.
    2. Esaminare le impostazioni delle opzioni dell'account . Assicurarsi che l'opzione l'account è sensibile e non può essere delegato non sia selezionata.
    3. Seleziona OK.

Risoluzione dei problemi di Kerberos RBCD se si usa un account del servizio personalizzato

  1. Per controllare la configurazione della delega del server back-end (risorsa), aprire una finestra del prompt dei comandi di PowerShell e quindi eseguire il cmdlet seguente:

    Get-ADUser -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount

    Importante

    Se il servizio back-end usa un account del servizio gestito, usare Get-ADServiceAccount anziché Get-ADUser.

    Annotazioni

    In questo comando <BackEndSvcAcct> rappresenta l'account del servizio back-end.

    Questo cmdlet recupera l'elenco di entità che possono delegare al servizio back-end. Eseguire una delle operazioni seguenti:

    • Se questo elenco include l'account del servizio usato dal front-end, RBCD è configurato correttamente. Vai al passaggio 3.
    • Se questo elenco non include l'account del servizio usato dal servizio front-end, andare al passaggio successivo.

  2. Per configurare RBCD nell'account del servizio back-end, eseguire il cmdlet seguente:

    Set-ADUser -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount <FrontEndSvcAcct>

    Importante

    Se i servizi usano un account del servizio gestito, usare Get-ADServiceAccount anziché Get-ADUser.

    Annotazioni

    In questi comandi <BackEndSvcAcct> rappresenta l'account del servizio back-end e <FrontEndSvcAcct> rappresenta l'account del servizio front-end.

  3. Controllare le opzioni dell'account del servizio front-end. Usare Utenti e computer di Active Directory (disponibili nel menu Strumenti di Server Manager) per questi passaggi.

    1. In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'account del servizio (in genere nel contenitore Users ) e quindi scegliere Proprietà>Account.
    2. Esaminare le impostazioni delle opzioni dell'account . Assicurarsi che l'opzione l'account è sensibile e non può essere delegato non sia selezionata.
    3. Seleziona OK.
  • Last updated on