{"id":11700,"date":"2025-03-31T11:01:47","date_gmt":"2025-03-31T02:01:47","guid":{"rendered":"https:\/\/chat-messenger.com\/?p=11700"},"modified":"2025-04-25T14:39:43","modified_gmt":"2025-04-25T05:39:43","slug":"windowsauthentication-loadbalancer-ssl","status":"publish","type":"post","link":"https:\/\/chat-messenger.com\/de\/blog\/windows-authentifizierung-loadbalancer-ssl","title":{"rendered":"So konfigurieren Sie die integrierte Windows-Authentifizierung von IIS f\u00fcr den Erfolg in einer Load Balancer + SSL-Umgebung"},"content":{"rendered":"

Informationen zur integrierten Windows-Authentifizierung<\/h2>\n\n\n\n

Die integrierte Windows-Authentifizierung ist ein Mechanismus, der IIS automatisch Benutzerauthentifizierungsinformationen bereitstellt, wenn IIS und der Benutzer zur selben Active Directory-Dom\u00e4ne geh\u00f6ren. Wenn Sie eine Site mit ASP.NET C# erstellen, k\u00f6nnen Sie feststellen, ob ein Benutzer authentifiziert wurde, und Informationen zu authentifizierten Benutzern abrufen.<\/p>\n\n\n\n

Dies erm\u00f6glicht Benutzern den Zugriff auf von IIS gehostete (oder verkn\u00fcpfte) Webanwendungen ohne zus\u00e4tzliche Anmeldevorg\u00e4nge und erm\u00f6glicht die SSO-Integration mit anderen Anwendungsservern.<\/p>\n\n\n\n

In einer Umgebung, in der der Webserver (IIS) einem Lastenausgleich unterliegt und die Kommunikation mit SSL\/TLS verschl\u00fcsselt ist, funktioniert diese Windows-Authentifizierung jedoch m\u00f6glicherweise nicht ordnungsgem\u00e4\u00df.Warum ist das so?<\/span><\/p>\n\n\n\n

\n
\n

Wenn die Windows-Authentifizierung erfolgreich ist, k\u00f6nnen Sie problemlos auf die Authentifizierungssite zugreifen. Wenn sie jedoch fehlschl\u00e4gt, wird ein Anmeldedialogfeld angezeigt. Wenn Sie sich nicht korrekt authentifizieren, erhalten Sie den HTTP-Fehler 401.1 \u2013 Nicht autorisiert.<\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n

Der Punkt ist So funktioniert die Windows-Authentifizierung<\/strong> und Load Balancer-Betrieb<\/strong> befindet.<\/p>\n\n\n\n

NTLM ist eine Challenge\/Response-Authentifizierungsmethode \u00fcber eine einzelne TCP-Verbindung zwischen jedem Client und Server. Mit Kerberos erh\u00e4lt der Client ebenfalls ein Ticket basierend auf der Service-ID (SPN) und sendet es an IIS. Diese Anmeldeinformationen werden \u00fcber den HTTP-Header gesendet (Autorisierung: Verhandeln ...<\/code> Die Transaktionen werden mithilfe solcher Methoden durchgef\u00fchrt. Ein Layer 7-Load Balancer beendet jedoch die HTTPS-Verbindung vom Client auf seinem eigenen Ger\u00e4t, analysiert den Inhalt und leitet ihn als neue Anfrage an den Backend-IIS weiter. W\u00e4hrend dieses ProzessesDie End-to-End-TLS-Sitzung zwischen dem Client und IIS wird beendet.<\/span>Dar\u00fcber hinaus werden persistente Authentifizierungsinformationen wie NTLM nicht \u00fcbertragen, was dazu f\u00fchrt, dass der Authentifizierungsprozess fehlschl\u00e4gt.<\/p>\n\n\n\n

Vor diesem Hintergrund "Lastenausgleich<\/strong><\/strong> + Konfigurieren der integrierten Windows-Authentifizierung von IIS f\u00fcr den Erfolg in einer SSL-Umgebung<\/strong> Wir werden Folgendes ber\u00fccksichtigen. Wir listen drei typische Konfigurationsmuster auf und erkl\u00e4ren jeweils, ob die Windows-Authentifizierung unterst\u00fctzt wird, welche technischen Gr\u00fcnde dies hat und welche Vor- und Nachteile die Konfiguration hat.<\/p>\n\n\n\n

Technische \u00dcberpr\u00fcfung jedes Konfigurationsplans<\/h2>\n\n\n\n

\u2460: L7-Load Balancer SSL-Terminierung + Weiterleitung an IIS (80 oder 443)<\/h3>\n\n\n\n

Client \u2500\u2500HTTPS\u2500\u2500\u25b6 L7 Load Balancer (SSL-Terminierung) \u2500\u2500HTTP(S)\u2500\u2500\u25b6 IIS (80 oder 443)<\/p>\n\n\n\n

Verf\u00fcgbarkeit<\/strong><\/h4>\n\n\n\n

Die Windows-Authentifizierung wird in dieser Konfiguration nicht unterst\u00fctzt.Nicht verf\u00fcgbar<\/span>ist.<\/p>\n\n\n\n

Grund<\/strong><\/h4>\n\n\n\n

Da die TLS-Sitzung zwischen dem Client und IIS einmal auf dem Load Balancer beendet wird,Eine End-to-End-\u00dcbertragung von Anmeldeinformationen ist nicht m\u00f6glich<\/span>Deshalb. Der L7-Load Balancer entschl\u00fcsselt den empfangenen HTTPS-Verkehr und greift im Namen des Clients auf IIS zu. Zu diesem Zeitpunkt sollte der Kunde die Autorisierung: Aushandeln<\/code> Header (Authentifizierungsheader einschlie\u00dflich Kerberos-Tickets und NTLM-Token) erreichen IIS nicht korrekt. Insbesondere bei NTLM ist die Authentifizierungs-Challenge-Antwort, die IIS auf die urspr\u00fcngliche Anfrage sendet (WWW-Authentifizierung<\/code>) Der Client sendet eine erneute Anfrage, aber \u00fcber den LBDie gleiche TCP-Sitzung wird nicht aufrechterhalten<\/span>Daher ist der NTLM-Handshake nicht erfolgreich.<\/p>\n\n\n\n

Tats\u00e4chlich funktioniert die Windows-Authentifizierung sogar in einer AWS-Umgebung nicht mit Application Load Balancer (ALB) oder HTTP-Listenern, und es ist ein LB auf TCP-Ebene wie Network Load Balancer (NLB) erforderlich.Referenz<\/a>]. Au\u00dferdem unterst\u00fctzt Azure Application Gateway v2 nicht die \u00dcbergabe von HTTP-Headern einschlie\u00dflich integrierter Authentifizierung an das Back-End.Referenz<\/a>].<\/p>\n\n\n\n

Die Tatsache, dass es nicht von den verwalteten LBs der einzelnen Cloud-Anbieter offiziell unterst\u00fctzt wird, zeigt, wie schwierig es ist, die Windows-Authentifizierung auf L7-Ebene aufrechtzuerhalten.<\/p>\n\n\n\n

2: L4-Load Balancer (TLS-Pass-Through) + IIS-Weiterleitung<\/h3>\n\n\n\n

Client \u2500\u2500HTTPS\u2500\u2500\u25b6 L4 Load Balancer (TLS-Passthrough) \u2500\u2500HTTPS\u2500\u2500\u25b6 IIS (443)<\/p>\n\n\n\n

Verf\u00fcgbarkeit<\/strong><\/h4>\n\n\n\n

Diese Konfiguration verwendet die Windows-Authentifizierung.kompatibel<\/span>ist.<\/p>\n\n\n\n

Grund<\/strong><\/h4>\n\n\n\n

Da ein L4-Load Balancer (LB, der auf OSI-Schicht 4 arbeitet) Pakete auf TCP-Ebene weiterleitet,Die TLS-Sitzung zwischen Client und IIS wird durchg\u00e4ngig aufrechterhalten.<\/span>wird gemacht. Der Load Balancer beendet die Verschl\u00fcsselung nicht, sondern verteilt lediglich die TCP-Verbindung selbst an jeden Server, sodass die f\u00fcr die NTLM-Authentifizierung erforderliche \u201eKommunikation \u00fcber dieselbe TCP-Verbindung\u201c aufrechterhalten wird. Was Kerberos betrifft, kann es aus Sicht des Clients so reproduziert werden, als ob der Client eine direkte Verbindung zum FQDN von IIS (Dienst) herstellen w\u00fcrde. Solange der SPN also entsprechend eingestellt ist, wird die ticketbasierte Authentifizierung wie bisher fortgesetzt. AWS NLB und klassischer LB TCP-Listener-Modus, Azure-interner Load Balancer, F5 L4-Modus usw. geh\u00f6ren zu dieser Kategorie (andere umfassen den HAProxy TCP-Modus und Nginx-Stream) und k\u00f6nnen die integrierte Windows-Authentifizierung durchlaufen.<\/p>\n\n\n\n

Verdienst<\/strong><\/h4>\n\n\n\n

Die TLS-Sitzung vom Client zum Server wird nicht unterbrochen.Windows-Authentifizierungsprotokolle funktionieren weiterhin wie vorgesehen<\/span>d\u00fcrfen. Der NTLM-Drei-Wege-Handshake wird ebenfalls innerhalb einer einzigen Verbindung abgeschlossen und das Kerberos-Ticket wird vom Back-End-Server korrekt empfangen. Da es sich bei LB au\u00dferdem um eine L4-Operation handelt, ist der Overhead gering und es ist zu erwarten, dass ein hoher Durchsatz erreicht wird.<\/p>\n\n\n\n

Fehler<\/strong><\/h4>\n\n\n\n

Die gr\u00f6\u00dfte Herausforderung bei der Konfiguration eines L4-Load Balancers besteht darin, dass kein detailliertes pfad- oder hostnamenbasiertes Routing m\u00f6glich ist. Beispielsweise in einem URL-Pfad (z.\u00a0B.\/API<\/code>,,\/chat<\/code>Die Verteilung jeder Anfrage (oder mehrerer Anfragen) an einen anderen Backend-Server ist eine Funktion, die nur mit L7 (HTTP) erreicht werden kann und mit L4 (TCP) nicht m\u00f6glich ist.<\/p>\n\n\n\n

Daher kann es je nach Systemanforderungen erforderlich sein, mehrere FQDNs vorzubereiten und innerhalb des Load Balancers unterschiedliche virtuelle Server f\u00fcr unterschiedliche Zwecke (Webserver, Server f\u00fcr die Windows-Authentifizierung usw.) zuzuweisen, was den Nachteil hat, dass die Konfiguration schwieriger wird.<\/p>\n\n\n\n

Insbesondere beim Zugriff auf die Windows-Authentifizierungsseite \u00fcber einen FQDN (Fully Qualified Domain Name), SPN-Registrierung<\/a> ist ziemlich kompliziert, also lesen Sie bitte weiter unten.<\/p>\n\n\n

\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tChat&Messenger f\u00fcr Webkonferenzen<\/span>\n\t\t\t\t\t
\"\"<\/figure><\/div>\t\t\t\t\t
\n\t\t\t\t\t\tIIS-Einstellungen f\u00fcr eine erfolgreiche integrierte Windows-Authentifizierung in einer L4-Load Balancer-Umgebung | Webkonferenz-Chat&Messenger<\/a>\n\t\t\t\t\t\t\u00dcbersicht Der folgende Artikel erl\u00e4utert die Konfiguration der integrierten Windows-Authentifizierung (IWA) in IIS in einer L4-Load Balancer- und SSL-Terminierungsumgebung. Diese Methode\u2026<\/span>\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\n\n

Beachten Sie au\u00dferdem, dass die folgenden f\u00fcr die Windows-Authentifizierung erforderlichen Einstellungen alle den FQDN des Load Balancers festlegen.<\/p>\n\n\n\n