{"id":11896,"date":"2025-04-23T16:29:57","date_gmt":"2025-04-23T07:29:57","guid":{"rendered":"https:\/\/chat-messenger.com\/?p=11896"},"modified":"2026-03-02T01:32:20","modified_gmt":"2026-03-01T16:32:20","slug":"windowsauthentication-setspn","status":"publish","type":"post","link":"https:\/\/chat-messenger.com\/de\/blog\/windows-authentifizierungs-setspn","title":{"rendered":"IIS-Einstellungen f\u00fcr eine erfolgreiche integrierte IIS-Windows-Authentifizierung in einer L4-Load Balancer-Umgebung"},"content":{"rendered":"

\u00dcberblick<\/h2>\n\n\n\n

Der folgende Artikel erl\u00e4utert, wie Sie die integrierte Windows-Authentifizierung (IWA) in IIS in einer L4-Load Balancer + SSL-Terminierungsumgebung konfigurieren.<\/p>\n\n\n

\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tChat&Messenger f\u00fcr Webkonferenzen<\/span>\n\t\t\t\t\t
\"\"<\/figure><\/div>\t\t\t\t\t
\n\t\t\t\t\t\tSo konfigurieren Sie die integrierte Windows-Authentifizierung von IIS erfolgreich in einer Load Balancer + SSL-Umgebung | Webkonferenzen Chat & Messenger<\/a>\n\t\t\t\t\t\tInformationen zur integrierten Windows-Authentifizierung: Die integrierte Windows-Authentifizierung authentifiziert Benutzer automatisch, wenn IIS und Benutzer zur selben Active Directory-Dom\u00e4ne geh\u00f6ren.<\/span>\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\n\n

Bei der Konfiguration dieser Methode kommt es h\u00e4ufig vor, dass die Authentifizierung aufgrund falscher oder doppelter SPN-Einstellungen (Service Principal Name) fehlschl\u00e4gt.<\/p>\n\n\n\n

Dieser Artikel bietet eine umfassende Erkl\u00e4rung zur SPN-Registrierung und den notwendigen Aufgaben.<\/p>\n\n\n\n

Konfigurationsbeispiel in diesem Artikel<\/h2>\n\n\n\n
   [Client Browser] \n          |\n          | HTTPS Access\n          v\n  [L4 Load Balancer (TCP 443)]\n       |                |\n       v                v\n  [Server1 (IIS)]   [Server2 (IIS)]<\/code><\/pre>\n\n\n\n
  • FQDN: sso.chat-messenger.com<\/code><\/li>
  • IIS-Hostname: Server1<\/code>, Server2<\/code><\/li>
  • Gemeinsam genutzte Dienstkonten:CAMTEST\\cam-svc<\/code><\/li><\/ul>\n\n\n\n
    Problem: Doppelter SPN-Fehler<\/h2>\n\n\n\n
    Bei der integrierten Windows-Authentifizierung sucht der Client den SPN f\u00fcr den FQDN, auf den er zugreift, und erh\u00e4lt ein Kerberos-Ticket f\u00fcr das entsprechende Dienstkonto.<\/p>\n\n\n\n
    setspn -S HTTP\/sso.chat-messenger.com Server1$ setspn -S HTTP\/sso.chat-messenger.com Server2$<\/code><\/pre>\n\n\n\n
    Wie oben erw\u00e4hnt, ist derselbe FQDN (sso.chat-messenger.com<\/code>) an verschiedene Hosts (Server1, Server2) an, tritt der folgende Fehler auf:<\/p>\n\n\n\n
    Doppelter SPN gefunden, Vorgang abgebrochen.<\/code><\/pre>\n\n\n\n
    L\u00f6sung: Registrieren des SPN im gemeinsamen Dienstkonto<\/h2>\n\n\n\n
    Wenn mehrere Hosts denselben FQDN verwenden, muss nur ein SPN im gemeinsam genutzten Dienstkonto registriert werden.<\/p>\n\n\n\n
    Erstellen eines Shared Services-Kontos<\/h3>\n\n\n\n
    \n
    \n
    Das im IIS-Anwendungspool ausgef\u00fchrte Dienstkonto kann ein Dom\u00e4nenbenutzer sein (sofern es zu den Dom\u00e4nenbenutzern geh\u00f6rt). Um jedoch normale Benutzer und Dienstkonten zu trennen, den Umfang der Kennwortrichtlinie zu kl\u00e4ren und fehlerhafte Vorg\u00e4nge zu verhindern,OU=Dienstkonten<\/code> Wie, OU Benutzer<\/code> Active Directory-Dom\u00e4nencontroller,cam-svc<\/code> Erstellen Sie ein<\/p>\n<\/div>\n\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
    SPN mit Dienstkonto registrieren<\/h3>\n\n\n\n
    Registrieren Sie den SPN mit dem oben erstellten Dienstkonto.<\/p>\n\n\n\n
    setspn -S HTTP\/sso.chat-messenger.com CAMTEST\\cam-svc<\/code><\/pre>\n\n\n\n
    - Jedes Ger\u00e4t, das Teil der Dom\u00e4ne ist, kann verwendet werden, es sind jedoch Dom\u00e4nenadministratorrechte erforderlich.
    \u30fbSPN wird auch in der HTTPS-Kommunikation verwendetHTTP\/Hostname<\/code>Sie m\u00fcssen sich im folgenden Format registrieren:<\/p>\n\n\n\n
    IIS-Anwendungspooleinstellungen<\/h3>\n\n\n\n
    \n
    \n
    Server1<\/code>, Server2<\/code> \u00c4ndern Sie den Anwendungspool-Ausf\u00fchrungsbenutzer auf beiden Servern in das von Ihnen erstellte Dienstkonto. CAMTEST\\cam-svc<\/code> Eingestellt auf<\/p>\n<\/div>\n\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
    IIS-Manager \u201eKonfigurationseditor\u201c<\/h3>\n\n\n\n
    \n
    \n
    Um den IIS-Anwendungspool in ein Dienstkonto zu \u00e4ndern und die Windows-Authentifizierung mit Kerberos ordnungsgem\u00e4\u00df funktionieren zu lassen, m\u00fcssen Sie Folgendes in der Funktion \u201eKonfigurationseditor\u201c des IIS-Managers konfigurieren:<\/p>\n\n\n\n
    • system.webServer\/security\/authentication\/windowsAuthentication<\/code> Abschnitt<\/li>
    • useAppPoolCredentials<\/code> von WAHR<\/code> Eingestellt auf<\/li>
    • useKernelMode<\/code> von FALSCH<\/code> Eingestellt auf<\/li><\/ul>\n<\/div>\n\n\n\n
      \n
      \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
      Wenn IIS auf einem Dom\u00e4nencontroller ausgef\u00fchrt wird, ist diese Einstellung m\u00f6glicherweise nicht erforderlich.<\/p>\n\n\n\n
      Legen Sie die Berechtigung \u201eAnmelden als Batchauftrag\u201c f\u00fcr das gemeinsame Dienstkonto fest<\/h3>\n\n\n\n
      Der Anwendungspool reagiert auf Webanforderungen. w3wp.exe<\/code>Wenn Sie dies unter einem gemeinsam genutzten Dienstkonto ausf\u00fchren, wird der Start des Prozesses verweigert und ein HTTP 503-Fehler tritt auf, wenn das Konto nicht \u00fcber die Berechtigung \u201eAls Stapelverarbeitungsauftrag anmelden\u201c verf\u00fcgt. Daher muss f\u00fcr das gemeinsam genutzte Dienstkonto die Berechtigung \u201eAls Stapelverarbeitungsauftrag anmelden\u201c (GPO-basiert) festgelegt sein.<\/p>\n\n\n\n
      Die folgenden Einstellungen k\u00f6nnen \u00fcber die lokale Sicherheitsrichtlinie jedes IIS-Ger\u00e4ts gesteuert werden. Es k\u00f6nnen jedoch Einschr\u00e4nkungen durch Organisationsrichtlinien in einem GPO (Group Policy Object) auf einem Active Directory-Dom\u00e4nencontroller bestehen. In diesem Fall m\u00fcssen Sie die Einstellungen \u00fcber das GPO selbst steuern. Dieser Artikel erkl\u00e4rt, wie das geht.<\/p>\n\n\n\n
      Wenn IIS auf einem Dom\u00e4nencontroller ausgef\u00fchrt wird, ist die Anmeldung als Stapelverarbeitungsauftrag m\u00f6glicherweise nicht erforderlich.<\/p>\n\n\n\n
      Schritte zum Verkn\u00fcpfen des GPO mit OU=ServiceAccounts<\/h4>\n\n\n\n
      DienstkontoCAMTEST\\cam-svc<\/code>vonOU=Dienstkonten<\/code>Wenn Sie es erstellen in
      Wenn Sie keine Gruppenrichtlinie (z. B. IIS-BatchLogon-GPO) mit dieser OU verkn\u00fcpfen,cam-svc<\/code>Die Richtlinie wird nicht auf das Konto angewendet. Das Ziel des Gruppenrichtlinienobjekts wird durch die Organisationseinheit bestimmt, mit der es verkn\u00fcpft ist. Daher ist es wichtig, den Speicherort des Kontos mit dem verkn\u00fcpften Gruppenrichtlinienobjekt abzugleichen.<\/p>\n\n\n\n
      \n
      \n
      1. gpmc.msc<\/code> und starten Sie den Gruppenrichtlinienverwaltungs-Editor.<\/li>
      2. Im linken Bereichcamtest.com\/ServiceAccounts<\/code> Klicken Sie mit der rechten Maustaste auf die OU \u2192 "Erstellen Sie ein GPO in dieser Dom\u00e4ne und verkn\u00fcpfen Sie es mit diesem Container<\/strong>" \u2192 Geben Sie einen beliebigen Namen ein (z. B.IIS-BatchLogon-GPO<\/code>)<\/li>
      3. ErstelltIIS-BatchLogon-GPO<\/code>Bearbeiten mit<\/li>
      4. Computerkonfiguration \u2192 Windows-Einstellungen \u2192 Sicherheitseinstellungen \u2192 Lokale Richtlinien \u2192 Zuweisen von Benutzerrechten \u2192 Anmelden als Batchauftrag<\/strong><\/li>
      5. Doppelklicken Sie, um den Dialog zu \u00f6ffnenCAMTEST\\cam-svc<\/code> Hinzuf\u00fcgen eines Benutzers<\/li><\/ol>\n<\/div>\n\n\n\n
        \n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
        Zur Anwendung von GPO-Einstellungen<\/h4>\n\n\n\n
        Um das GPO korrekt anzuwenden, m\u00fcssen Sie <\/strong>gpupdate \/force<\/code> <\/strong>Dadurch wird sichergestellt, dass die GPO-Einstellungen sofort wirksam werden. Insbesondere bei der Erteilung des Rechts \u201eAnmelden als Batchauftrag\u201c kann die Anwendung der Richtlinie einige Zeit in Anspruch nehmen. w3wp.exe<\/code> Dies kann zu einem Startfehler f\u00fchren.<\/p>","protected":false},"excerpt":{"rendered":"
        \u00dcbersicht Im folgenden Artikel erkl\u00e4ren wir, wie Sie die integrierte Windows-Authentifizierung (IIS) in einer L4-Load Balancer + SSL-Terminierungsumgebung verwenden.<\/p>","protected":false},"author":1,"featured_media":11704,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"swell_btn_cv_data":""},"categories":[9,33],"tags":[],"_links":{"self":[{"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/posts\/11896"}],"collection":[{"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/comments?post=11896"}],"version-history":[{"count":10,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/posts\/11896\/revisions"}],"predecessor-version":[{"id":12574,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/posts\/11896\/revisions\/12574"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/media\/11704"}],"wp:attachment":[{"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/media?parent=11896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/categories?post=11896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/chat-messenger.com\/de\/wp-json\/wp\/v2\/tags?post=11896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}