Überblick
Der folgende Artikel erläutert, wie Sie die integrierte Windows-Authentifizierung (IWA) in IIS in einer L4-Load Balancer + SSL-Terminierungsumgebung konfigurieren.

Bei der Konfiguration dieser Methode kommt es häufig vor, dass die Authentifizierung aufgrund falscher oder doppelter SPN-Einstellungen (Service Principal Name) fehlschlägt.
Dieser Artikel bietet eine umfassende Erklärung zur SPN-Registrierung und den notwendigen Aufgaben.
Konfigurationsbeispiel in diesem Artikel
[Client-Browser] | | HTTPS-Zugriff v [L4-Lastenausgleich (TCP 443)] | | vv [Server1 (IIS)] [Server2 (IIS)]
- FQDN:
sso.chat-messenger.com
- IIS-Hostname:
Server1
,Server2
- Gemeinsam genutzte Dienstkonten:
CAMTEST\cam-svc
Problem: Doppelter SPN-Fehler
Bei der integrierten Windows-Authentifizierung sucht der Client den SPN für den FQDN, auf den er zugreift, und erhält ein Kerberos-Ticket für das entsprechende Dienstkonto.
setspn -S HTTP/sso.chat-messenger.com Server1$ setspn -S HTTP/sso.chat-messenger.com Server2$
Wie oben erwähnt, ist derselbe FQDN (sso.chat-messenger.com
) an verschiedene Hosts (Server1, Server2) an, tritt der folgende Fehler auf:
Doppelter SPN gefunden, Vorgang abgebrochen.
Lösung: Registrieren des SPN im gemeinsamen Dienstkonto
Wenn mehrere Hosts denselben FQDN verwenden, muss nur ein SPN im gemeinsam genutzten Dienstkonto registriert werden.
Erstellen eines Shared Services-Kontos
Das im IIS-Anwendungspool ausgeführte Dienstkonto kann ein Domänenbenutzer sein (sofern es zu den Domänenbenutzern gehört). Um jedoch normale Benutzer und Dienstkonten zu trennen, den Umfang der Kennwortrichtlinie zu klären und fehlerhafte Vorgänge zu verhindern,OU=Dienstkonten
Wie, OU Benutzer
Active Directory-Domänencontroller,cam-svc
Erstellen Sie ein

SPN mit Dienstkonto registrieren
Registrieren Sie den SPN mit dem oben erstellten Dienstkonto.
setspn -S HTTP/sso.chat-messenger.com CAMTEST\cam-svc
- Jedes Gerät, das Teil der Domäne ist, kann verwendet werden, es sind jedoch Domänenadministratorrechte erforderlich.
・SPN wird auch in der HTTPS-Kommunikation verwendetHTTP/Hostname
Sie müssen sich im folgenden Format registrieren:
IIS-Anwendungspooleinstellungen
Server1
, Server2
Ändern Sie den Anwendungspool-Ausführungsbenutzer auf beiden Servern in das von Ihnen erstellte Dienstkonto. CAMTEST\cam-svc
Eingestellt auf

IIS-Manager „Konfigurationseditor“
Um den IIS-Anwendungspool in ein Dienstkonto zu ändern und die Windows-Authentifizierung mit Kerberos ordnungsgemäß funktionieren zu lassen, müssen Sie Folgendes in der Funktion „Konfigurationseditor“ des IIS-Managers konfigurieren:
system.webServer/security/authentication/windowsAuthentication
AbschnittuseAppPoolCredentials
vonWAHR
Eingestellt aufuseKernelMode
vonFALSCH
Eingestellt auf

Legen Sie die Berechtigung „Anmelden als Batchauftrag“ für das gemeinsame Dienstkonto fest
Der Anwendungspool reagiert auf Webanforderungen. w3wp.exe
Wenn Sie dies unter einem gemeinsam genutzten Dienstkonto ausführen, wird der Start des Prozesses verweigert und ein HTTP 503-Fehler tritt auf, wenn das Konto nicht über die Berechtigung „Als Stapelverarbeitungsauftrag anmelden“ verfügt. Daher muss für das gemeinsam genutzte Dienstkonto die Berechtigung „Als Stapelverarbeitungsauftrag anmelden“ (GPO-basiert) festgelegt sein.
Die folgenden Einstellungen können über die lokale Sicherheitsrichtlinie jedes IIS-Geräts gesteuert werden. Es können jedoch Einschränkungen durch Organisationsrichtlinien in einem GPO (Group Policy Object) auf einem Active Directory-Domänencontroller bestehen. In diesem Fall müssen Sie die Einstellungen über das GPO selbst steuern. Dieser Artikel erklärt, wie das geht.
Schritte zum Verknüpfen des GPO mit OU=ServiceAccounts
DienstkontoCAMTEST\cam-svc
vonOU=Dienstkonten
Wenn Sie es erstellen in
Wenn Sie keine Gruppenrichtlinie (z. B. IIS-BatchLogon-GPO) mit dieser OU verknüpfen,cam-svc
Die Richtlinie wird nicht auf das Konto angewendet. Das Ziel des Gruppenrichtlinienobjekts wird durch die Organisationseinheit bestimmt, mit der es verknüpft ist. Daher ist es wichtig, den Speicherort des Kontos mit dem verknüpften Gruppenrichtlinienobjekt abzugleichen.
gpmc.msc
und starten Sie den Gruppenrichtlinienverwaltungs-Editor.- Im linken Bereich
camtest.com/ServiceAccounts
Klicken Sie mit der rechten Maustaste auf die OU → "Erstellen Sie ein GPO in dieser Domäne und verknüpfen Sie es mit diesem Container" → Geben Sie einen beliebigen Namen ein (z. B.IIS-BatchLogon-GPO
) - Erstellt
IIS-BatchLogon-GPO
Bearbeiten mit - Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Zuweisen von Benutzerrechten → Anmelden als Batchauftrag
- Doppelklicken Sie, um den Dialog zu öffnen
CAMTEST\cam-svc
Hinzufügen eines Benutzers





Zur Anwendung von GPO-Einstellungen
Um das GPO korrekt anzuwenden, müssen Sie gpupdate /force
Dadurch wird sichergestellt, dass die GPO-Einstellungen sofort wirksam werden. Insbesondere bei der Erteilung des Rechts „Anmelden als Batchauftrag“ kann die Anwendung der Richtlinie einige Zeit in Anspruch nehmen. w3wp.exe
Dies kann zu einem Startfehler führen.