DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 325608 - Última revisão: terça-feira, 21 de novembro de 2006 - Revisão: 4.1

 

Sintomas

Quando um cliente tenta usar o Kerberos para delegar autenticação em uma arquitetura de carga balanceada, Kerberos não funciona e Internet Information Services (IIS) volta cai para autenticação de desafio/resposta do Windows NT. Porque o desafio/resposta do Windows NT não pode ser usada para delegação, todos os aplicativos ou serviços que requerem a delegação não funcionam.

Causa

O problema ocorre devido a uma limitação no protocolo de autenticação Kerberos. O cluster de balanceamento de carga usa um nome de host virtual para identificar-se, e isso é o nome de host que o tíquete Kerberos é emitido para. Quando a permissão é apresentada para o servidor real, o cliente que é direcionado para o tíquete não corresponde ao seu nome principal de servidor (SPN). Além disso, em um domínio do Windows 2000, o nome de host virtual não pode ser definido como Confiáveis para delegação no Active Directory.

Quando o servidor rejeita o tíquete Kerberos, o cliente nova negociação será iniciada e tenta usar autenticação de desafio/resposta do Windows NT. Mesmo se o cliente pode autenticar com este método, delegação falha porque ela depende de Kerberos a função.

Como Contornar

Uma possível solução requer que cada computador no cluster com balanceamento de carga estejam disponíveis para responder ao seu próprio nome de domínio totalmente qualificado (FQDN). A página padrão em cada servidor deve redirecionar o cliente diretamente a mesmo, ignorando assim o nome de host virtual e, em vez disso, fornecendo um nome de host válido que um tíquete pode ser emitido para.

Como exemplo, a página pode ser algo um simples como a seguinte linha:
<% response.redirect("http://my.unique.fqdn/default2.asp") %>
				
supondo que my.unique.fqdn é o FQDN exclusivo do computador e que Default2.asp é a página padrão real que o cliente deve ser direcionado para, Kerberos pode usar esse redirecionamento simples para trabalhar em uma arquitetura com balanceamento de carga.

Como uma advertência, o cliente pode ver ou registro (ou seja, indicador) o nome do servidor que o cliente é direcionado para exclusivo. Isso pode parecer levar a falhas se o cliente indicadores esse site e tenta retornar quando o servidor físico ou o nome de servidor exclusivo não está disponível.

Mais Informações

Agora está disponível um white paper que aborda como configurar um ambiente com balanceamento de carga de rede para a autenticação Kerberos. Essa solução pode demorar mais para implementar porque ele inclui as alterações do ambiente do servidor Web. No entanto, A solução descrita no white paper pode ser melhor do que a solução descrita na seção "Solução".

Observação Se você usar a solução descrita no white paper, não registre um SPN/HOST quando você for direcionado a. Registre um SPN HTTP.

Visite o seguinte site para exibir o documento "A autenticação Kerberos para carga equilibrada sites da web":
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/kerbnlb.mspx)


Para obter informações adicionais sobre o balanceamento de carga de rede, visite o seguinte site:
http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/a7bd4b54-2271-4cfb-9a97-3c150227b5111033.mspx)


Para obter mais informações sobre o protocolo de autenticação Kerberos, consulte o seguinte site do RFC:
RFC 1510
http://www.ietf.org/rfc/rfc1510.txt (http://www.ietf.org/rfc/rfc1510.txt)

A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbpending kbprb KB325608 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325608  (http://support.microsoft.com/kb/325608/en-us/ )
Retired KB ArticleAviso de Isenção de Responsabilidade sobre Conteúdo do KB Aposentado
Este artigo trata de produtos para os quais a Microsoft não mais oferece suporte. Por esta razão, este artigo é oferecido "como está" e não será mais atualizado.
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store