मेन्यू
ग्रुपवेयर जो वेब कॉन्फ्रेंसिंग के लिए बिजनेस चैट, वेब कॉन्फ्रेंसिंग, शेड्यूलिंग, दस्तावेज़ प्रबंधन, वर्कफ़्लो और उपस्थिति को एकीकृत करता है
  1. घर
  2. ब्लॉग
  3. तकनीकी ब्लॉग
  4. L4 लोड बैलेंसर वातावरण में सफल IIS एकीकृत Windows प्रमाणीकरण के लिए IIS सेटिंग्स

L4 लोड बैलेंसर वातावरण में सफल IIS एकीकृत Windows प्रमाणीकरण के लिए IIS सेटिंग्स

ब्लॉग तकनीकी ब्लॉग
विषयसूची

अवलोकन

निम्नलिखित आलेख बताता है कि L4 लोड बैलेंसर + SSL समाप्ति वातावरण में IIS में एकीकृत Windows प्रमाणीकरण (IWA) को कैसे कॉन्फ़िगर किया जाए।

वेब कॉन्फ़्रेंस चैट और मैसेंजर
लोड बैलेंसर + SSL वातावरण में IIS एकीकृत विंडोज प्रमाणीकरण को सफलतापूर्वक कॉन्फ़िगर कैसे करें | वेब कॉन्फ्रेंसिंग चैट और मैसेंजर एकीकृत Windows प्रमाणीकरण के बारे में एकीकृत Windows प्रमाणीकरण स्वचालित रूप से उपयोगकर्ताओं को प्रमाणित करता है जब IIS और उपयोगकर्ता एक ही सक्रिय निर्देशिका डोमेन से संबंधित होते हैं।

इस पद्धति को कॉन्फ़िगर करते समय, ऐसे कई मामले होते हैं जहां गलत या डुप्लिकेट SPN (सेवा प्रिंसिपल नाम) सेटिंग्स के कारण प्रमाणीकरण विफल हो जाता है।

यह आलेख एसपीएन पंजीकरण और आवश्यक कार्यों का व्यापक विवरण प्रदान करता है।

इस आलेख में कॉन्फ़िगरेशन उदाहरण

   [क्लाइंट ब्राउज़र] | | HTTPS एक्सेस v [L4 लोड बैलेंसर (TCP 443)] | | vv [सर्वर1 (IIS)] [सर्वर2 (IIS)]
  • एफक्यूडीएन: sso.chat-messenger.com
  • IIS होस्टनाम: सर्वर1, सर्वर2
  • साझा सेवा खाते:CAMTEST\cam-svc

समस्या: डुप्लिकेट SPN त्रुटि

एकीकृत विंडोज प्रमाणीकरण के साथ, क्लाइंट उस FQDN के लिए SPN खोजता है, जिस तक वह पहुंच रहा है, तथा संबंधित सेवा खाते के लिए Kerberos टिकट प्राप्त करता है।

setspn -S HTTP/sso.chat-messenger.com Server1$ setspn -S HTTP/sso.chat-messenger.com Server2$

जैसा कि ऊपर बताया गया है, वही FQDN (sso.chat-messenger.com) को विभिन्न होस्ट्स (सर्वर1, सर्वर2) पर भेजने पर, निम्न त्रुटि उत्पन्न होती है:

डुप्लिकेट SPN मिला, ऑपरेशन निरस्त किया जा रहा है।

समाधान: साझा सेवा खाते में SPN पंजीकृत करें

यदि एकाधिक होस्ट एक ही FQDN का उपयोग करते हैं, तो साझा सेवा खाते में केवल एक SPN पंजीकृत होना आवश्यक है।

साझा सेवा खाता बनाना

IIS अनुप्रयोग पूल में चलने वाला सेवा खाता एक डोमेन उपयोगकर्ता हो सकता है (जब तक कि वह डोमेन उपयोगकर्ताओं से संबंधित हो), लेकिन सामान्य उपयोगकर्ताओं और सेवा खातों को अलग करने और पासवर्ड नीति के दायरे को स्पष्ट करने और गलत संचालन को रोकने के लिए,OU=सेवा खाते जैसे, OU उपयोगकर्ताओं सक्रिय निर्देशिका डोमेन नियंत्रक,कैम-एसवीसी एक बनाने के

सेवा खाते के साथ SPN पंजीकृत करें

ऊपर बनाए गए सेवा खाते का उपयोग करके SPN पंजीकृत करें।

setspn -S HTTP/sso.chat-messenger.com CAMTEST\cam-svc

- डोमेन का हिस्सा बनने वाले किसी भी उपकरण का उपयोग किया जा सकता है, लेकिन इसके लिए डोमेन प्रशासक विशेषाधिकार आवश्यक हैं।
・SPN का उपयोग HTTPS संचार में भी किया जाता हैHTTP/होस्टनामआपको निम्न प्रारूप में पंजीकरण करना होगा:

IIS अनुप्रयोग पूल सेटिंग्स

सर्वर1, सर्वर2 दोनों सर्वरों पर एप्लिकेशन पूल निष्पादन उपयोगकर्ता को आपके द्वारा बनाए गए सेवा खाते में बदलें। CAMTEST\cam-svc करने के लिए सेट

IIS प्रबंधक "कॉन्फ़िगरेशन संपादक"

IIS अनुप्रयोग पूल को सेवा खाते में बदलने और Windows प्रमाणीकरण को Kerberos के साथ सही ढंग से कार्य करने के लिए, आपको IIS प्रबंधक की "कॉन्फ़िगरेशन संपादक" सुविधा में निम्नलिखित को कॉन्फ़िगर करना होगा:

  • system.webServer/security/authentication/windowsAuthentication अनुभाग
  • useAppPoolCredentials का सत्य करने के लिए सेट
  • useKernelMode का असत्य करने के लिए सेट

यदि IIS किसी डोमेन नियंत्रक पर चल रहा है, तो यह सेटिंग आवश्यक नहीं हो सकती है।

साझा सेवा खाते के लिए "बैच जॉब के रूप में लॉग ऑन करें" अनुमति सेट करें

अनुप्रयोग पूल वेब अनुरोधों का जवाब देता है। w3wp.exeयदि आप इसे किसी साझा सेवा खाते के अंतर्गत चलाते हैं, तो प्रक्रिया प्रारंभ नहीं हो पाएगी और यदि खाते में "बैच जॉब के रूप में लॉग ऑन करें" की अनुमति नहीं है, तो HTTP 503 त्रुटि उत्पन्न होगी, इसलिए साझा सेवा खाते में "बैच जॉब के रूप में लॉग ऑन करें" अनुमति सेट (GPO-आधारित) होना आवश्यक है।

निम्नलिखित सेटिंग्स को प्रत्येक IIS डिवाइस की स्थानीय सुरक्षा नीति का उपयोग करके नियंत्रित किया जा सकता है, लेकिन किसी Active Directory डोमेन नियंत्रक पर GPO (समूह नीति ऑब्जेक्ट) में संगठनात्मक नीतियों द्वारा प्रतिबंध लगाए जा सकते हैं। इस स्थिति में, आपको उन्हें GPO का उपयोग करके ही नियंत्रित करना होगा, और यह लेख बताता है कि यह कैसे किया जाता है।

यदि IIS किसी डोमेन नियंत्रक पर चल रहा है, तो "बैच जॉब के रूप में लॉग ऑन करें" आवश्यक नहीं हो सकता है।

GPO को OU=ServiceAccounts से लिंक करने के चरण

सेवा खाताCAMTEST\cam-svcकाOU=सेवा खातेयदि आप इसे बनाते हैं
यदि आप इस OU से कोई समूह नीति (जैसे, IIS-BatchLogon-GPO) लिंक नहीं करते हैं,कैम-एसवीसीयह नीति खाते पर लागू नहीं होती। GPO का लक्ष्य उस OU द्वारा निर्धारित होता है जिससे वह लिंक किया गया है, इसलिए खाते के स्थान का लिंक किए गए GPO से मिलान करना महत्वपूर्ण है।

  1. जीपीएमसी.एमएससी और समूह नीति प्रबंधन संपादक लॉन्च करें.
  2. बाएँ फलक मेंcamtest.com/ServiceAccounts OU → " पर राइट-क्लिक करेंइस डोमेन में एक GPO बनाएं और इसे इस कंटेनर से लिंक करें" → कोई भी नाम दर्ज करें (उदा.IIS-बैचलॉगऑन-GPO)
  3. बनाया थाIIS-बैचलॉगऑन-GPOइसके साथ संपादित करें
  4. कंप्यूटर कॉन्फ़िगरेशन → विंडोज़ सेटिंग्स → सुरक्षा सेटिंग्स → स्थानीय नीतियाँ → उपयोगकर्ता अधिकार असाइनमेंट → बैच जॉब के रूप में लॉग ऑन करें
  5. संवाद खोलने के लिए डबल-क्लिक करेंCAMTEST\cam-svc एक उपयोगकर्ता जोड़ें

GPO सेटिंग्स के अनुप्रयोग के संबंध में

GPO को सही ढंग से लागू करने के लिए, आपको निम्न करना होगा: gpupdate /force इससे यह सुनिश्चित होगा कि GPO सेटिंग्स तुरंत प्रभावी हों। विशेष रूप से, "बैच जॉब के रूप में लॉग ऑन करें" अधिकार देते समय, नीति लागू होने में समय लग सकता है। w3wp.exe इसके परिणामस्वरूप डिवाइस चालू नहीं हो पाएगा।

ब्लॉग तकनीकी ब्लॉग
  • URLをコピーしました!
विषयसूची