Beperkte Kerberos-delegering configureren voor proxypagina's voor webinschrijving
Het artikel bevat stapsgewijze instructies voor het implementeren van service voor proxygebruikers (S4U2Proxy) of alleen beperkte Kerberos-delegering op een aangepast serviceaccount voor proxypagina's voor webinschrijvingsproxy's.
Oorspronkelijk KB-nummer: 4494313
Samenvatting
Dit artikel bevat stapsgewijze instructies voor het implementeren van service voor proxygebruikers (S4U2Proxy) of beperkte Kerberos-delegering voor pagina's met webinschrijvingsproxy's. In dit artikel worden de volgende configuratiescenario's beschreven:
- Delegatie configureren voor een aangepast serviceaccount
- Delegering configureren voor het NetworkService-account
Notitie
De werkstromen die in dit artikel worden beschreven, zijn specifiek voor een bepaalde omgeving. Dezelfde werkstromen werken mogelijk niet voor een andere situatie. De principes blijven echter hetzelfde. In de volgende afbeelding wordt deze omgeving samengevat.
Scenario 1: Beperkte delegering configureren voor een aangepast serviceaccount
In deze sectie wordt beschreven hoe u Service for User to Proxy (S4U2Proxy) of beperkte Kerberos-delegering implementeert wanneer u een aangepast serviceaccount gebruikt voor de proxypagina's voor webinschrijving.
1. Een SPN toevoegen aan het serviceaccount
Koppel het serviceaccount aan een Service Principal Name (SPN). Hiervoor volgt u deze stappen:
Maak in Active Directory verbinding met het domein en selecteer vervolgens PKI PKI-gebruikers>.
Klik met de rechtermuisknop op het serviceaccount (bijvoorbeeld web_svc) en selecteer Vervolgens Eigenschappen.
Selecteer Attribute Editor>servicePrincipalName.
Typ de nieuwe SPN-tekenreeks, selecteer Toevoegen (zoals wordt weergegeven in de volgende afbeelding) en selecteer vervolgens OK.
U kunt windows PowerShell ook gebruiken om de SPN te configureren. U doet dit door een PowerShell-venster met verhoogde bevoegdheid te openen en vervolgens uit te voeren
setspn -s SPN Accountname
. Voer bijvoorbeeld de volgende opdracht uit:setspn -s HTTP/webenroll2016.contoso.com web_svc
2. De delegatie configureren
Configureer S4U2proxy (alleen Kerberos) beperkte delegering voor het serviceaccount. Hiervoor selecteert u in het dialoogvenster Eigenschappen van het serviceaccount (zoals beschreven in de vorige procedure) de optie Delegering>vertrouwt u deze gebruiker alleen voor delegering naar opgegeven services. Zorg ervoor dat Kerberos alleen gebruiken is geselecteerd.
Sluit het dialoogvenster.
Selecteer Computers in de consolestructuur en selecteer vervolgens het computeraccount van de front-endserver voor webinschrijving.
Notitie
Dit account wordt ook wel het computeraccount genoemd.
Configureer S4U2self (ProtocolOvergang) beperkte delegering voor het computeraccount. Hiervoor klikt u met de rechtermuisknop op het computeraccount en selecteert u eigenschappendelegering>>deze computer alleen voor delegering naar opgegeven services. Selecteer Elk verificatieprotocol gebruiken.
3. Maak en bind het SSL-certificaat voor webinschrijving
Als u de webpagina's wilt inschakelen, maakt u een domeincertificaat voor de website en verbindt u het vervolgens met de standaardwebsite. Hiervoor volgt u deze stappen:
Open IIS-beheer (Internet Information Services).
Selecteer <HostName> in de consolestructuur en selecteer vervolgens Servercertificaten.
Notitie
<HostName> is de naam van de front-endwebserver.
Selecteer een domeincertificaat maken in het menu Acties.
Nadat het certificaat is gemaakt, selecteert u Standaardwebsite in de consolestructuur en selecteert u Bindingen.
Zorg ervoor dat poort is ingesteld op 443. Selecteer vervolgens onder SSL-certificaat het certificaat dat u in stap 3 hebt gemaakt.
Selecteer OK om het certificaat te binden aan poort 443.
4. De front-endserver voor webinschrijving configureren voor het gebruik van het serviceaccount
Belangrijk
Zorg ervoor dat het serviceaccount deel uitmaakt van de lokale beheerders of IIS_Users groep op de webserver.
Klik met de rechtermuisknop op DefaultAppPool en selecteer Geavanceerde instellingen.
Selecteer Procesmodelidentiteit>, selecteer Aangepast account en selecteer Vervolgens Instellen. Geef de naam en het wachtwoord van het serviceaccount op.
Selecteer OK in het dialoogvenster Referenties instellen en Identiteit van groep van toepassingen.
Zoek in Geavanceerde instellingen het gebruikersprofiel laden en zorg ervoor dat het is ingesteld op Waar.
Start de computer opnieuw op.
Scenario 2: Beperkte delegering configureren voor het NetworkService-account
In deze sectie wordt beschreven hoe u S4U2Proxy of beperkte Kerberos-delegering implementeert wanneer u het NetworkService-account gebruikt voor de pagina's van de webinschrijvingsproxy.
Optionele stap: Een naam configureren die moet worden gebruikt voor verbindingen
U kunt een naam toewijzen aan de webinschrijvingsrol die clients kunnen gebruiken om verbinding te maken. Deze configuratie betekent dat binnenkomende aanvragen niet de computernaam van de front-endserver voor webinschrijving hoeven te kennen, of andere routeringsgegevens zoals de DNS-canonieke naam (CNAME).
Stel dat de computernaam van uw webserver WEBENROLLMAC is (in het Contoso-domein). U wilt dat binnenkomende verbindingen in plaats daarvan de naam ContosoWebEnroll gebruiken. In dit geval is de verbindings-URL het volgende:
https://contosowebenroll.contoso.com/certsrv
Dit zou niet het volgende zijn:
https://WEBENROLLMAC.contoso.com/certsrv
Voer de volgende stappen uit om een dergelijke configuratie te gebruiken:
Maak in het DNS-zonebestand voor het domein een aliasrecord of een hostnaamrecord waarmee de nieuwe verbindingsnaam wordt toegewezen aan het IP-adres van de webinschrijvingsrol. Gebruik het hulpprogramma Ping om de routeringsconfiguratie te testen.
In het voorbeeld dat eerder is besproken, heeft het
Contoso.com
zonebestand een aliasrecord die ContosoWebEnroll toewijst aan het IP-adres van de rol Webinschrijving.Configureer de nieuwe naam als een SPN voor de front-endserver voor webinschrijving. Hiervoor volgt u deze stappen:
- Maak in Active Directory verbinding met het domein en selecteer Vervolgens Computers.
- Klik met de rechtermuisknop op het computeraccount van de front-endserver voor webinschrijving en selecteer Vervolgens Eigenschappen.
Notitie
Dit account wordt ook wel het computeraccount genoemd.
- Selecteer Attribute Editor>servicePrincipalName.
- Typ HTTP/<ConnectionName.<>DomainName.com>, selecteer Toevoegen en selecteer vervolgens OK.
Notitie
In deze tekenreeks <is ConnectionName> de nieuwe naam die u hebt gedefinieerd en< DomainName> de naam van het domein. In het voorbeeld is de tekenreeks HTTP/ContosoWebEnroll.contoso.com.
1. De overdracht configureren
Als u nog geen verbinding hebt gemaakt met het domein, doet u dit nu in Active Directory en selecteert u Computers.
Klik met de rechtermuisknop op het computeraccount van de front-endserver voor webinschrijving en selecteer Vervolgens Eigenschappen.
Notitie
Dit account wordt ook wel het computeraccount genoemd.
Selecteer Delegering en selecteer deze computer vervolgens alleen vertrouwen voor delegering naar opgegeven services.
Notitie
Als u kunt garanderen dat clients altijd Kerberos-verificatie gebruiken wanneer ze verbinding maken met deze server, selecteert u Alleen Kerberos gebruiken. Als sommige clients andere verificatiemethoden gebruiken, zoals NTLM of verificatie op basis van formulieren, selecteert u Elk verificatieprotocol gebruiken.
2. Maak en bind het SSL-certificaat voor webinschrijving
Als u de webpagina's wilt inschakelen, maakt u een domeincertificaat voor de website en verbindt u het vervolgens met de standaard eerste site. Hiervoor volgt u deze stappen:
Open IIS Manager.
Selecteer <HostName> in de consolestructuur en selecteer vervolgens Servercertificaten in het deelvenster Acties.
Notitie
<HostName> is de naam van de front-endwebserver.
Selecteer een domeincertificaat maken in het menu Acties.
Nadat het certificaat is gemaakt, selecteert u Standaardwebsite en selecteert u Bindingen.
Zorg ervoor dat poort is ingesteld op 443. Selecteer vervolgens onder SSL-certificaat het certificaat dat u in stap 3 hebt gemaakt. Selecteer OK om het certificaat te binden aan poort 443.
3. De front-endserver voor webinschrijving configureren voor het gebruik van het NetworkService-account
Klik met de rechtermuisknop op DefaultAppPool en selecteer Geavanceerde instellingen.
Selecteer Procesmodelidentiteit>. Zorg ervoor dat het ingebouwde account is geselecteerd en selecteer vervolgens NetworkService. Selecteer vervolgens OK.
Zoek in Geavanceerde eigenschappen het gebruikersprofiel laden en zorg ervoor dat het is ingesteld op Waar.
Start de IIS-service opnieuw.
Verwante onderwerpen
Zie Gebruikers van webtoepassingen verifiëren voor meer informatie over deze processen.
Zie de volgende artikelen voor meer informatie over de S4U2-protocolextensies en S4U2proxy-protocolextensies: