Jak skonfigurować ograniczone delegowanie protokołu Kerberos dla stron serwera proxy rejestracji internetowej

Ten artykuł zawiera instrukcje krok po kroku dotyczące implementowania usługi dla użytkownika na serwerze proxy (S4U2Proxy) lub Ograniczone delegowanie protokołu Kerberos na niestandardowym koncie usługi dla stron serwera proxy rejestracji internetowej.

Oryginalny numer KB: 4494313

Podsumowanie

Ten artykuł zawiera instrukcje krok po kroku dotyczące implementowania delegowania ograniczonego delegowania usługi dla użytkownika na serwerze proxy (S4U2Proxy) lub ograniczonego delegowania protokołu Kerberos dla stron serwera proxy rejestracji internetowej. W tym artykule opisano następujące scenariusze konfiguracji:

• Konfigurowanie delegowania dla niestandardowego konta usługi
• Konfigurowanie delegowania do konta Usługi sieciowej

Uwaga 16.

Przepływy pracy opisane w tym artykule są specyficzne dla określonego środowiska. Te same przepływy pracy mogą nie działać w innej sytuacji. Jednak zasady pozostają takie same. Na poniższej ilustracji przedstawiono podsumowanie tego środowiska.

Scenariusz 1. Konfigurowanie ograniczonego delegowania dla niestandardowego konta usługi

W tej sekcji opisano sposób implementowania delegowania ograniczonego tylko przez usługę service for User to Proxy (S4U2Proxy) lub Kerberos podczas korzystania z niestandardowego konta usługi dla stron serwera proxy rejestracji internetowej.

1. Dodawanie głównej nazwy usługi do konta usługi

Skojarz konto usługi z główną nazwą usługi (SPN). W tym celu wykonaj następujące kroki:

1. W Użytkownicy i komputery usługi Active Directory połącz się z domeną, a następnie wybierz pozycję Użytkownicy infrastruktury kluczy publicznych PKI>.

2. Kliknij prawym przyciskiem myszy konto usługi (na przykład web_svc), a następnie wybierz pozycję Właściwości.

3. Wybierz pozycję ServicePrincipalName edytora>atrybutów.

4. Wpisz nowy ciąg NAZWY SPN, wybierz pozycję Dodaj (jak pokazano na poniższym rysunku), a następnie wybierz przycisk OK.

   

   Możesz również użyć programu Windows PowerShell do skonfigurowania nazwy SPN. Aby to zrobić, otwórz okno programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom polecenie setspn -s SPN Accountname. Na przykład uruchom następujące polecenie:

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. Konfigurowanie delegowania

1. Skonfiguruj ograniczone delegowanie protokołu S4U2proxy (tylko Kerberos) na koncie usługi. W tym celu w oknie dialogowym Właściwości konta usługi (zgodnie z opisem w poprzedniej procedurze) wybierz pozycję Delegowanie>Ufaj temu użytkownikowi w delegowaniu tylko do określonych usług. Upewnij się, że wybrano opcję Użyj tylko protokołu Kerberos.

   

2. Zamknij okno dialogowe.

3. W drzewie konsoli wybierz pozycję Komputery, a następnie wybierz konto komputera serwera frontonu rejestracji internetowej.

   Uwaga 16.

   To konto jest również nazywane "kontem komputera".

4. Skonfiguruj ograniczone delegowanie protokołu S4U2 (Protocol Transition) na koncie komputera. W tym celu kliknij prawym przyciskiem myszy konto komputera, a następnie wybierz pozycję Właściwości>Delegowanie>zaufania tego komputera do delegowania tylko do określonych usług. Wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

   

3. Tworzenie i wiązanie certyfikatu SSL na potrzeby rejestracji internetowej

Aby włączyć strony rejestracji sieci Web, utwórz certyfikat domeny dla witryny internetowej, a następnie powiąż go z domyślną witryną sieci Web. W tym celu wykonaj następujące kroki:

1. Otwórz Menedżera internetowych usług informacyjnych (IIS).

2. W drzewie konsoli wybierz pozycję <HostName>, a następnie wybierz pozycję Certyfikaty serwera.

   Uwaga 16.

   <HostName> to nazwa serwera internetowego frontonu.
   

3. W menu Akcje wybierz pozycję Utwórz certyfikat domeny.

4. Po utworzeniu certyfikatu wybierz pozycję Domyślna witryna sieci Web w drzewie konsoli, a następnie wybierz pozycję Powiązania.

5. Upewnij się, że port ma wartość 443. Następnie w obszarze Certyfikat SSL wybierz certyfikat utworzony w kroku 3.

   

6. Wybierz przycisk OK , aby powiązać certyfikat z portem 443.

4. Skonfiguruj serwer frontonu rejestracji internetowej do korzystania z konta usługi

Ważne

Upewnij się, że konto usługi jest częścią lokalnej grupy administratorów lub IIS_Users na serwerze sieci Web.

1. Kliknij prawym przyciskiem myszy pozycję DefaultAppPool, a następnie wybierz pozycję Ustawienia zaawansowane.

   

2. Wybierz pozycję Tożsamość modelu przetwarzania>, wybierz pozycję Konto niestandardowe, a następnie wybierz pozycję Ustaw. Określ nazwę i hasło konta usługi.

   

3. Wybierz przycisk OK w oknach dialogowych Ustawianie poświadczeń i tożsamości puli aplikacji.

4. W obszarze Ustawienia zaawansowane znajdź pozycję Załaduj profil użytkownika i upewnij się, że jest ustawiona wartość True.

   

5. Uruchom ponownie komputer.

Scenariusz 2. Konfigurowanie ograniczonego delegowania na koncie Usługi sieciowej

W tej sekcji opisano sposób implementowania ograniczonego delegowania S4U2Proxy lub Kerberos tylko w przypadku korzystania z konta usługi sieciowej dla stron serwera proxy rejestracji internetowej.

Krok opcjonalny: Konfigurowanie nazwy do użycia dla połączeń

Możesz przypisać nazwę do roli rejestracji sieci Web, której klienci mogą używać do nawiązywania połączenia. Ta konfiguracja oznacza, że żądania przychodzące nie muszą znać nazwy komputera serwera frontonu rejestracji internetowej ani innych informacji routingu, takich jak nazwa kanoniczna DNS (CNAME).

Załóżmy na przykład, że nazwa komputera serwera rejestracji internetowej to WEBENROLLMAC (w domenie Contoso). Zamiast tego chcesz, aby połączenia przychodzące używały nazwy ContosoWebEnroll. W takim przypadku adres URL połączenia będzie następujący:

https://contosowebenroll.contoso.com/certsrv

Nie byłoby to następujące:

https://WEBENROLLMAC.contoso.com/certsrv

Aby użyć takiej konfiguracji, wykonaj następujące kroki:

1. W pliku strefy DNS dla domeny utwórz rekord aliasu lub rekord nazwy hosta, który mapuje nową nazwę połączenia na adres IP roli rejestracji sieci Web. Użyj narzędzia Ping, aby przetestować konfigurację routingu.

   W przykładzie, który został wcześniej omówiony, Contoso.com plik strefy ma rekord aliasu, który mapuje ContosoWebEnroll na adres IP roli rejestracji sieci Web.

2. Skonfiguruj nową nazwę jako nazwę SPN dla serwera frontonu rejestracji internetowej. W tym celu wykonaj następujące kroki:

   1. W Użytkownicy i komputery usługi Active Directory połącz się z domeną, a następnie wybierz pozycję Komputery.
   2. Kliknij prawym przyciskiem myszy konto komputera serwera frontonu rejestracji internetowej, a następnie wybierz polecenie Właściwości.

      Uwaga 16.

      To konto jest również nazywane "kontem komputera".

   3. Wybierz pozycję ServicePrincipalName edytora>atrybutów.
   4. Wpisz HTTP/<ConnectionName.<>Nazwadomeny.com wybierz pozycję Dodaj, a następnie wybierz przycisk OK.>

      Uwaga 16.

      W tych parametrach <nazwa_połączenia> jest nową zdefiniowaną nazwą, a <nazwa_>domeny jest nazwą domeny. W tym przykładzie ciąg to HTTP/ContosoWebEnroll.contoso.com.

1. Konfigurowanie delegowania

1. Jeśli jeszcze nie nawiązaliśmy połączenia z domeną, zrób to teraz w Użytkownicy i komputery usługi Active Directory, a następnie wybierz pozycję Komputery.

2. Kliknij prawym przyciskiem myszy konto komputera serwera frontonu rejestracji internetowej, a następnie wybierz polecenie Właściwości.

   Uwaga 16.

   To konto jest również nazywane "kontem komputera".

3. Wybierz pozycję Delegowanie, a następnie wybierz pozycję Ufaj temu komputerowi w delegowaniu tylko do określonych usług.

   Uwaga 16.

   Jeśli możesz zagwarantować, że klienci będą zawsze używać uwierzytelniania Kerberos podczas nawiązywania połączenia z tym serwerem, wybierz pozycję Użyj tylko protokołu Kerberos. Jeśli niektórzy klienci będą używać innych metod uwierzytelniania, takich jak NTLM lub uwierzytelnianie oparte na formularzach, wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

   

2. Tworzenie i wiązanie certyfikatu SSL na potrzeby rejestracji internetowej

Aby włączyć strony rejestracji internetowej, utwórz certyfikat domeny dla witryny internetowej, a następnie powiąż go z domyślną pierwszą witryną. W tym celu wykonaj następujące kroki:

1. Otwórz Menedżera usług IIS.

2. W drzewie konsoli wybierz pozycję <HostName>, a następnie wybierz pozycję Certyfikaty serwera w okienku akcji.

   Uwaga 16.

   <HostName> to nazwa serwera internetowego frontonu.

3. W menu Akcje wybierz pozycję Utwórz certyfikat domeny.

4. Po utworzeniu certyfikatu wybierz pozycję Domyślna witryna sieci Web, a następnie wybierz pozycję Powiązania.

5. Upewnij się, że port ma wartość 443. Następnie w obszarze Certyfikat SSL wybierz certyfikat utworzony w kroku 3. Wybierz przycisk OK , aby powiązać certyfikat z portem 443.

   

3. Skonfiguruj serwer frontonu rejestracji sieci Web do korzystania z konta Usługi sieciowej

1. Kliknij prawym przyciskiem myszy pozycję DefaultAppPool, a następnie wybierz pozycję Ustawienia zaawansowane.

   

2. Wybierz pozycję Process Model Identity (Tożsamość modelu>procesu). Upewnij się, że wybrano opcję Wbudowane konto , a następnie wybierz pozycję Usługa sieciowa. Następnie wybierz przycisk OK.

   

3. W obszarze Właściwości zaawansowane znajdź pozycję Załaduj profil użytkownika, a następnie upewnij się, że jest ona ustawiona na wartość True.

   

4. Uruchom ponownie usługę IIS.

Powiązane tematy

Aby uzyskać więcej informacji na temat tych procesów, zobacz Uwierzytelnianie użytkowników aplikacji internetowej.

Aby uzyskać więcej informacji na temat rozszerzeń protokołu S4U2 i S4U2proxy, zobacz następujące artykuły:

• [MS-SFU]: Rozszerzenia protokołu Kerberos: usługa dla protokołu User and Constrained Delegation Protocol
• Przykład pojedynczego obszaru 4.1 S4U2
• 4.3 Przykład S4U2proxy