{"id":11896,"date":"2025-04-23T16:29:57","date_gmt":"2025-04-23T07:29:57","guid":{"rendered":"https:\/\/chat-messenger.com\/?p=11896"},"modified":"2026-03-02T01:32:20","modified_gmt":"2026-03-01T16:32:20","slug":"windowsauthentication-setspn","status":"publish","type":"post","link":"https:\/\/chat-messenger.com\/fr\/blog\/ensembles-dauthentification-windowspn","title":{"rendered":"Param\u00e8tres IIS pour une authentification Windows int\u00e9gr\u00e9e IIS r\u00e9ussie dans un environnement d'\u00e9quilibrage de charge L4"},"content":{"rendered":"

aper\u00e7u<\/h2>\n\n\n\n

L'article suivant explique comment configurer l'authentification Windows int\u00e9gr\u00e9e (IWA) dans IIS dans un environnement d'\u00e9quilibrage de charge L4 + terminaison SSL.<\/p>\n\n\n

\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tChat&Messenger pour les conf\u00e9rences en ligne<\/span>\n\t\t\t\t\t
\"\"<\/figure><\/div>\t\t\t\t\t
\n\t\t\t\t\t\tComment configurer avec succ\u00e8s l'authentification Windows int\u00e9gr\u00e9e IIS dans un environnement d'\u00e9quilibrage de charge + SSL | Conf\u00e9rence Web Chat&Messenger<\/a>\n\t\t\t\t\t\t\u00c0 propos de l\u2019authentification Windows int\u00e9gr\u00e9e L\u2019authentification Windows int\u00e9gr\u00e9e authentifie automatiquement les utilisateurs lorsque IIS et les utilisateurs appartiennent au m\u00eame domaine Active Directory.<\/span>\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\n\n

Lors de la configuration de cette m\u00e9thode, il existe de nombreux cas o\u00f9 l'authentification \u00e9choue en raison de param\u00e8tres SPN (Service Principal Name) incorrects ou dupliqu\u00e9s.<\/p>\n\n\n\n

Cet article fournit une explication compl\u00e8te de l'enregistrement SPN et des t\u00e2ches n\u00e9cessaires.<\/p>\n\n\n\n

Exemple de configuration dans cet article<\/h2>\n\n\n\n
   [Client Browser] \n          |\n          | HTTPS Access\n          v\n  [L4 Load Balancer (TCP 443)]\n       |                |\n       v                v\n  [Server1 (IIS)]   [Server2 (IIS)]<\/code><\/pre>\n\n\n\n
  • Nom de domaine complet\u00a0: sso.chat-messenger.com<\/code><\/li>
  • Nom d'h\u00f4te IIS\u00a0: Serveur1<\/code>, Serveur2<\/code><\/li>
  • Comptes de services partag\u00e9s\u00a0:CAMTEST\\cam-svc<\/code><\/li><\/ul>\n\n\n\n
    Probl\u00e8me\u00a0: erreur de SPN en double<\/h2>\n\n\n\n
    Avec l\u2019authentification Windows int\u00e9gr\u00e9e, le client recherche le SPN du FQDN auquel il acc\u00e8de et obtient un ticket Kerberos pour le compte de service correspondant.<\/p>\n\n\n\n
    setspn -S HTTP\/sso.chat-messenger.com Serveur1$ setspn -S HTTP\/sso.chat-messenger.com Serveur2$<\/code><\/pre>\n\n\n\n
    Comme mentionn\u00e9 ci-dessus, le m\u00eame FQDN (sso.chat-messenger.com<\/code>) vers diff\u00e9rents h\u00f4tes (Serveur1, Serveur2), l'erreur suivante se produit\u00a0:<\/p>\n\n\n\n
    SPN en double trouv\u00e9, op\u00e9ration interrompue.<\/code><\/pre>\n\n\n\n
    Solution\u00a0: enregistrer le SPN dans le compte de service partag\u00e9<\/h2>\n\n\n\n
    Si plusieurs h\u00f4tes utilisent le m\u00eame FQDN, un seul SPN doit \u00eatre enregistr\u00e9 dans le compte de service partag\u00e9.<\/p>\n\n\n\n
    Cr\u00e9ation d'un compte de services partag\u00e9s<\/h3>\n\n\n\n
    \n
    \n
    Le compte de service ex\u00e9cut\u00e9 dans le pool d'applications IIS peut \u00eatre un utilisateur de domaine (\u00e0 condition qu'il appartienne aux utilisateurs du domaine), mais pour s\u00e9parer les utilisateurs normaux et les comptes de service et clarifier la port\u00e9e de la politique de mot de passe et emp\u00eacher les op\u00e9rations erron\u00e9es,OU=Comptes de service<\/code> Comme, OU Utilisateurs<\/code> Contr\u00f4leurs de domaine Active Directory,cam-svc<\/code> Cr\u00e9er un<\/p>\n<\/div>\n\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
    Enregistrer le SPN avec un compte de service<\/h3>\n\n\n\n
    Enregistrez le SPN en utilisant le compte de service cr\u00e9\u00e9 ci-dessus.<\/p>\n\n\n\n
    setspn -S HTTP\/sso.chat-messenger.com CAMTEST\\cam-svc<\/code><\/pre>\n\n\n\n
    - Tout appareil faisant partie du domaine peut \u00eatre utilis\u00e9, mais des privil\u00e8ges d'administrateur de domaine sont requis.
    \u30fbSPN est \u00e9galement utilis\u00e9 dans la communication HTTPSHTTP\/nom d'h\u00f4te<\/code>Vous devez vous inscrire au format :<\/p>\n\n\n\n
    Param\u00e8tres du pool d'applications IIS<\/h3>\n\n\n\n
    \n
    \n
    Serveur1<\/code>, Serveur2<\/code> Modifiez l\u2019utilisateur d\u2019ex\u00e9cution du pool d\u2019applications sur les deux serveurs sur le compte de service que vous avez cr\u00e9\u00e9. CAMTEST\\cam-svc<\/code> R\u00e9gler sur<\/p>\n<\/div>\n\n\n\n
    \n
    \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
    Gestionnaire IIS \u00ab\u00a0\u00c9diteur de configuration\u00a0\u00bb<\/h3>\n\n\n\n
    \n
    \n
    Pour modifier le pool d'applications IIS en compte de service et faire en sorte que l'authentification Windows fonctionne correctement avec Kerberos, vous devez configurer les \u00e9l\u00e9ments suivants dans la fonction \u00ab\u00a0\u00c9diteur de configuration\u00a0\u00bb du Gestionnaire IIS\u00a0:<\/p>\n\n\n\n
    • system.webServer\/security\/authentication\/windowsAuthentication<\/code> section<\/li>
    • utiliser les informations d'identification du pool d'applications<\/code> de Vrai<\/code> R\u00e9gler sur<\/li>
    • utiliserKernelMode<\/code> de FAUX<\/code> R\u00e9gler sur<\/li><\/ul>\n<\/div>\n\n\n\n
      \n
      \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
      Si IIS s\u2019ex\u00e9cute sur un contr\u00f4leur de domaine, ce param\u00e8tre peut ne pas \u00eatre n\u00e9cessaire.<\/p>\n\n\n\n
      D\u00e9finissez l'autorisation \u00ab\u00a0Se connecter en tant que t\u00e2che par lots\u00a0\u00bb pour le compte de service partag\u00e9.<\/h3>\n\n\n\n
      Le pool d\u2019applications r\u00e9pond aux requ\u00eates Web. w3wp.exe<\/code>Si vous ex\u00e9cutez ceci sous un compte de service partag\u00e9, le processus se verra refuser le d\u00e9marrage et une erreur HTTP 503 se produira si le compte ne dispose pas de l'autorisation \u00ab\u00a0Se connecter en tant que t\u00e2che par lots\u00a0\u00bb. Le compte de service partag\u00e9 doit donc disposer de l'autorisation \u00ab\u00a0Se connecter en tant que t\u00e2che par lots\u00a0\u00bb d\u00e9finie (bas\u00e9e sur GPO).<\/p>\n\n\n\n
      Les param\u00e8tres suivants peuvent \u00eatre contr\u00f4l\u00e9s via la strat\u00e9gie de s\u00e9curit\u00e9 locale de chaque p\u00e9riph\u00e9rique IIS. Cependant, des restrictions peuvent \u00eatre impos\u00e9es par les strat\u00e9gies d'organisation d'un objet de strat\u00e9gie de groupe (GPO) sur un contr\u00f4leur de domaine Active Directory. Dans ce cas, vous devrez les contr\u00f4ler via l'objet de strat\u00e9gie de groupe lui-m\u00eame, et cet article explique comment proc\u00e9der.<\/p>\n\n\n\n
      Si IIS s'ex\u00e9cute sur un contr\u00f4leur de domaine, \u00ab\u00a0Se connecter en tant que t\u00e2che par lots\u00a0\u00bb peut ne pas \u00eatre n\u00e9cessaire.<\/p>\n\n\n\n
      \u00c9tapes pour lier l'objet de strat\u00e9gie de groupe \u00e0 OU=ServiceAccounts<\/h4>\n\n\n\n
      Compte de serviceCAMTEST\\cam-svc<\/code>deOU=Comptes de service<\/code>Si vous le cr\u00e9ez dans
      Si vous ne liez pas de strat\u00e9gie de groupe (par exemple, IIS-BatchLogon-GPO) \u00e0 cette unit\u00e9 d'organisation,cam-svc<\/code>La strat\u00e9gie n'est pas appliqu\u00e9e au compte. La cible de l'objet de strat\u00e9gie de groupe est d\u00e9termin\u00e9e par l'unit\u00e9 organisationnelle \u00e0 laquelle il est li\u00e9\u00a0; il est donc important de faire correspondre l'emplacement du compte avec l'objet de strat\u00e9gie de groupe li\u00e9.<\/p>\n\n\n\n
      \n
      \n
      1. gpmc.msc<\/code> et lancez l'\u00e9diteur de gestion des strat\u00e9gies de groupe.<\/li>
      2. Dans le volet de gauchecamtest.com\/ServiceAccounts<\/code> Faites un clic droit sur l'UO \u2192 "Cr\u00e9ez un GPO dans ce domaine et liez-le \u00e0 ce conteneur<\/strong>" \u2192 Saisissez n'importe quel nom (par exempleIIS-BatchLogon-GPO<\/code>)<\/li>
      3. Cr\u00e9\u00e9IIS-BatchLogon-GPO<\/code>Modifier avec<\/li>
      4. Configuration ordinateur \u2192 Param\u00e8tres Windows \u2192 Param\u00e8tres de s\u00e9curit\u00e9 \u2192 Strat\u00e9gies locales \u2192 Attribution des droits utilisateur \u2192 Se connecter en tant que t\u00e2che par lots<\/strong><\/li>
      5. Double-cliquez pour ouvrir la bo\u00eete de dialogueCAMTEST\\cam-svc<\/code> Ajouter un utilisateur<\/li><\/ol>\n<\/div>\n\n\n\n
        \n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n\n\n\n
        \"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n
        Concernant l'application des param\u00e8tres GPO<\/h4>\n\n\n\n
        Pour appliquer correctement le GPO, vous devez <\/strong>gpupdate \/force<\/code> <\/strong>Cela garantira l'application imm\u00e9diate des param\u00e8tres de GPO. En particulier, lors de l'attribution du droit \u00ab\u00a0Connexion par lots\u00a0\u00bb, l'application de la strat\u00e9gie peut prendre du temps. w3wp.exe<\/code> Cela peut entra\u00eener un \u00e9chec de d\u00e9marrage.<\/p>","protected":false},"excerpt":{"rendered":"
        Pr\u00e9sentation L\u2019article suivant explique comment utiliser l\u2019authentification Windows int\u00e9gr\u00e9e (IIS) dans un environnement d\u2019\u00e9quilibrage de charge L4 + terminaison SSL.<\/p>","protected":false},"author":1,"featured_media":11704,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"swell_btn_cv_data":""},"categories":[9,33],"tags":[],"_links":{"self":[{"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/posts\/11896"}],"collection":[{"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/comments?post=11896"}],"version-history":[{"count":10,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/posts\/11896\/revisions"}],"predecessor-version":[{"id":12574,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/posts\/11896\/revisions\/12574"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/media\/11704"}],"wp:attachment":[{"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/media?parent=11896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/categories?post=11896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/chat-messenger.com\/fr\/wp-json\/wp\/v2\/tags?post=11896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}