DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 325608 - Dernière mise à jour: mardi 21 novembre 2006 - Version: 4.1

 

Symptômes

Lorsqu'un client essaie d'utiliser Kerberos pour déléguer l'authentification dans une architecture à charge équilibrée, Kerberos ne fonctionne pas et Internet Information Services (IIS) tombe en sur Authentification par stimulation/réponse de Windows NT. Stimulation/réponse Windows NT ne peuvent pas être utilisé pour la délégation, tous les applications ou services qui nécessitent la délégation ne fonctionnent pas.

Cause

Le problème se produit en raison d'une limitation dans le protocole d'authentification Kerberos. Le cluster d'équilibrage de charge utilise un nom virtuel ordinateur hôte pour s'identifier, et ceci est le nom ordinateur hôte qui est émis le ticket Kerberos pour. Lorsque le ticket est présenté sur le serveur réel, le client qui est dirigé vers le ticket ne correspond à son SPN (nom principal de serveur). En outre, dans un domaine Windows 2000, le nom d'ordinateur hôte virtuel ne peut pas être défini pour la confiance pour la délégation dans Active Directory.

Lorsque le serveur refuse le ticket Kerberos, le client renegotiates et tente d'utiliser l'authentification par stimulation/réponse de Windows NT. Même si le client peut s'authentifier via cette méthode, la délégation échoue car il repose sur Kerberos de la fonction.

Contournement

Une solution de contournement possible nécessite que chaque ordinateur du cluster à charge équilibrée soit disponible pour répondre à son propre nom de domaine pleinement qualifié (FQDN). La page par défaut sur chaque serveur doit rediriger le client directement vers lui-même, ainsi ignorer le nom ordinateur hôte virtuel et en fournissant à la place un nom valide ordinateur hôte un ticket peut être émis pour.

Comme un exemple, la page peut être un élément simple que la ligne suivante :
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
en supposant que my.unique.fqdn est le nom de domaine complet unique de l'ordinateur et que Default2.asp est la page par défaut réelle qui le client doit être dirigé vers, Kerberos peut utiliser cette redirection simple pour travailler dans une architecture à charge équilibrée.

Comme un avertissement, le client peut voir ou enregistrement (c'est-à-dire, bookmark), le nom unique du serveur qui le client est dirigé vers. Cela peut sembler provoquer des interruptions si le client signets ce site et essaie de renvoyer lorsque le serveur physique ou le nom de serveur unique n'est pas disponible.

Plus d'informations

Un livre blanc est désormais disponible qui explique comment faire pour configurer un environnement à charge équilibrée réseau pour l'authentification Kerberos. Cette solution peut prendre plus de temps à implémenter car il inclut les modifications apportées à l'environnement de serveur Web. Toutefois, la solution décrite dans le livre blanc peut être supérieures à la solution décrite dans la section « Contournement ».

note Si vous utilisez la solution décrite dans le livre blanc, ne pas inscrire un hôte/nom principal de service lorsque vous êtes invité à. Enregistrer un nom principal de service HTTP.

Site le suivant Microsoft Web consulter le livre blanc « l'authentification Kerberos pour la charge équilibrée les sites web » :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx)


Pour plus savoir équilibrage de charge réseau, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx)


Pour plus d'informations sur le protocole d'authentification Kerberos, consultez le site Web de RFC suivant :
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt (http://www.ietf.org/rfc/rfc1510.txt)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbmt kbpending kbprb KB325608 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 325608  (http://support.microsoft.com/kb/325608/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Article KB retiré.Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store