IIS-Einstellungen für eine erfolgreiche integrierte IIS-Windows-Authentifizierung in einer L4-Load Balancer-Umgebung

23. April 2025

Inhaltsverzeichnis

Überblick

Der folgende Artikel erläutert, wie Sie die integrierte Windows-Authentifizierung (IWA) in IIS in einer L4-Load Balancer + SSL-Terminierungsumgebung konfigurieren.

Chat&Messenger für Webkonferenzen

So konfigurieren Sie die integrierte Windows-Authentifizierung von IIS erfolgreich in einer Load Balancer + SSL-Umgebung | Webkonferenzen Chat & Messenger Informationen zur integrierten Windows-Authentifizierung: Die integrierte Windows-Authentifizierung authentifiziert Benutzer automatisch, wenn IIS und Benutzer zur selben Active Directory-Domäne gehören.

Bei der Konfiguration dieser Methode kommt es häufig vor, dass die Authentifizierung aufgrund falscher oder doppelter SPN-Einstellungen (Service Principal Name) fehlschlägt.

Dieser Artikel bietet eine umfassende Erklärung zur SPN-Registrierung und den notwendigen Aufgaben.

Konfigurationsbeispiel in diesem Artikel

   [Client-Browser] | | HTTPS-Zugriff v [L4-Lastenausgleich (TCP 443)] | | vv [Server1 (IIS)] [Server2 (IIS)]

FQDN: sso.chat-messenger.com
IIS-Hostname: Server1, Server2
Gemeinsam genutzte Dienstkonten:CAMTEST\cam-svc

Problem: Doppelter SPN-Fehler

Bei der integrierten Windows-Authentifizierung sucht der Client den SPN für den FQDN, auf den er zugreift, und erhält ein Kerberos-Ticket für das entsprechende Dienstkonto.

setspn -S HTTP/sso.chat-messenger.com Server1$ setspn -S HTTP/sso.chat-messenger.com Server2$

Wie oben erwähnt, ist derselbe FQDN (sso.chat-messenger.com) an verschiedene Hosts (Server1, Server2) an, tritt der folgende Fehler auf:

Doppelter SPN gefunden, Vorgang abgebrochen.

Lösung: Registrieren des SPN im gemeinsamen Dienstkonto

Wenn mehrere Hosts denselben FQDN verwenden, muss nur ein SPN im gemeinsam genutzten Dienstkonto registriert werden.

Erstellen eines Shared Services-Kontos

Das im IIS-Anwendungspool ausgeführte Dienstkonto kann ein Domänenbenutzer sein (sofern es zu den Domänenbenutzern gehört). Um jedoch normale Benutzer und Dienstkonten zu trennen, den Umfang der Kennwortrichtlinie zu klären und fehlerhafte Vorgänge zu verhindern,OU=Dienstkonten Wie, OU Benutzer Active Directory-Domänencontroller,cam-svc Erstellen Sie ein

SPN mit Dienstkonto registrieren

Registrieren Sie den SPN mit dem oben erstellten Dienstkonto.

setspn -S HTTP/sso.chat-messenger.com CAMTEST\cam-svc

- Jedes Gerät, das Teil der Domäne ist, kann verwendet werden, es sind jedoch Domänenadministratorrechte erforderlich.
・SPN wird auch in der HTTPS-Kommunikation verwendetHTTP/HostnameSie müssen sich im folgenden Format registrieren:

IIS-Anwendungspooleinstellungen

Server1, Server2 Ändern Sie den Anwendungspool-Ausführungsbenutzer auf beiden Servern in das von Ihnen erstellte Dienstkonto. CAMTEST\cam-svc Eingestellt auf

IIS-Manager „Konfigurationseditor“

Um den IIS-Anwendungspool in ein Dienstkonto zu ändern und die Windows-Authentifizierung mit Kerberos ordnungsgemäß funktionieren zu lassen, müssen Sie Folgendes in der Funktion „Konfigurationseditor“ des IIS-Managers konfigurieren:

system.webServer/security/authentication/windowsAuthentication Abschnitt
useAppPoolCredentials von WAHR Eingestellt auf
useKernelMode von FALSCH Eingestellt auf

Wenn IIS auf einem Domänencontroller ausgeführt wird, ist diese Einstellung möglicherweise nicht erforderlich.

Legen Sie die Berechtigung „Anmelden als Batchauftrag“ für das gemeinsame Dienstkonto fest

Der Anwendungspool reagiert auf Webanforderungen. w3wp.exeWenn Sie dies unter einem gemeinsam genutzten Dienstkonto ausführen, wird der Start des Prozesses verweigert und ein HTTP 503-Fehler tritt auf, wenn das Konto nicht über die Berechtigung „Als Stapelverarbeitungsauftrag anmelden“ verfügt. Daher muss für das gemeinsam genutzte Dienstkonto die Berechtigung „Als Stapelverarbeitungsauftrag anmelden“ (GPO-basiert) festgelegt sein.

Die folgenden Einstellungen können über die lokale Sicherheitsrichtlinie jedes IIS-Geräts gesteuert werden. Es können jedoch Einschränkungen durch Organisationsrichtlinien in einem GPO (Group Policy Object) auf einem Active Directory-Domänencontroller bestehen. In diesem Fall müssen Sie die Einstellungen über das GPO selbst steuern. Dieser Artikel erklärt, wie das geht.

Wenn IIS auf einem Domänencontroller ausgeführt wird, ist die Anmeldung als Stapelverarbeitungsauftrag möglicherweise nicht erforderlich.

Schritte zum Verknüpfen des GPO mit OU=ServiceAccounts

DienstkontoCAMTEST\cam-svcvonOU=DienstkontenWenn Sie es erstellen in
Wenn Sie keine Gruppenrichtlinie (z. B. IIS-BatchLogon-GPO) mit dieser OU verknüpfen,cam-svcDie Richtlinie wird nicht auf das Konto angewendet. Das Ziel des Gruppenrichtlinienobjekts wird durch die Organisationseinheit bestimmt, mit der es verknüpft ist. Daher ist es wichtig, den Speicherort des Kontos mit dem verknüpften Gruppenrichtlinienobjekt abzugleichen.

gpmc.msc und starten Sie den Gruppenrichtlinienverwaltungs-Editor.
Im linken Bereichcamtest.com/ServiceAccounts Klicken Sie mit der rechten Maustaste auf die OU → "Erstellen Sie ein GPO in dieser Domäne und verknüpfen Sie es mit diesem Container" → Geben Sie einen beliebigen Namen ein (z. B.IIS-BatchLogon-GPO)
ErstelltIIS-BatchLogon-GPOBearbeiten mit
Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Zuweisen von Benutzerrechten → Anmelden als Batchauftrag
Doppelklicken Sie, um den Dialog zu öffnenCAMTEST\cam-svc Hinzufügen eines Benutzers

Zur Anwendung von GPO-Einstellungen

Um das GPO korrekt anzuwenden, müssen Sie gpupdate /force Dadurch wird sichergestellt, dass die GPO-Einstellungen sofort wirksam werden. Insbesondere bei der Erteilung des Rechts „Anmelden als Batchauftrag“ kann die Anwendung der Richtlinie einige Zeit in Anspruch nehmen. w3wp.exe Dies kann zu einem Startfehler führen.

URLをコピーしました！