{"id":11700,"date":"2025-03-31T11:01:47","date_gmt":"2025-03-31T02:01:47","guid":{"rendered":"https:\/\/chat-messenger.com\/?p=11700"},"modified":"2025-04-25T14:39:43","modified_gmt":"2025-04-25T05:39:43","slug":"windowsauthentication-loadbalancer-ssl","status":"publish","type":"post","link":"https:\/\/chat-messenger.com\/id\/blog\/penyeimbang-beban-autentikasi-windows-ssl","title":{"rendered":"Cara mengonfigurasi Autentikasi Windows Terintegrasi IIS agar berhasil di lingkungan penyeimbang beban + SSL"},"content":{"rendered":"

Tentang Autentikasi Windows Terintegrasi<\/h2>\n\n\n\n

Autentikasi Windows Terpadu adalah mekanisme yang secara otomatis menyediakan informasi autentikasi pengguna ke IIS ketika IIS dan pengguna berada dalam domain Direktori Aktif yang sama. Saat Anda membuat situs menggunakan ASP.NET C#, Anda dapat menentukan apakah pengguna telah diautentikasi dan memperoleh informasi tentang pengguna yang diautentikasi.<\/p>\n\n\n\n

Hal ini memungkinkan pengguna untuk mengakses aplikasi web yang dihosting (atau ditautkan) oleh IIS tanpa operasi login tambahan, dan memungkinkan integrasi SSO dengan server aplikasi lain.<\/p>\n\n\n\n

Namun, dalam lingkungan di mana server web (IIS) berada di bawah penyeimbang beban dan komunikasi dienkripsi dengan SSL\/TLS, autentikasi Windows ini mungkin tidak berfungsi dengan baik.Mengapa demikian?<\/span><\/p>\n\n\n\n

\n
\n

Jika autentikasi Windows berhasil, Anda akan dapat mengakses situs autentikasi dengan lancar, tetapi jika gagal, tombol masuk akan ditampilkan. Jika Anda tidak mengautentikasi dengan benar, Anda akan mendapatkan Kesalahan HTTP 401.1 \u2013 Tidak Resmi.<\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/figure>\n<\/div>\n<\/div>\n\n\n\n

Intinya adalah Cara kerja autentikasi Windows<\/strong> dan Operasi penyeimbang beban<\/strong> berada.<\/p>\n\n\n\n

NTLM adalah metode autentikasi tantangan\/respons melalui koneksi TCP tunggal antara setiap klien dan server. Dengan Kerberos, klien juga memperoleh tiket berdasarkan pengenal layanan (SPN) dan mengirimkannya ke IIS. Kredensial ini dikirim melalui header HTTP (Otorisasi: Negosiasikan ...<\/code> Transaksi dilakukan dengan metode demikian. Namun, penyeimbang beban Lapisan 7 mengakhiri koneksi HTTPS dari klien pada perangkatnya sendiri, menganalisis konten, dan meneruskannya ke IIS backend sebagai permintaan baru. Selama proses iniSesi TLS ujung ke ujung antara klien dan IIS diakhiri.<\/span>Lebih jauh lagi, informasi autentikasi persisten seperti NTLM tidak terbawa, yang menyebabkan proses autentikasi gagal.<\/p>\n\n\n\n

Mengingat latar belakang di atas, artikel ini "Penyeimbang beban<\/strong><\/strong> + Mengonfigurasi Autentikasi Windows Terintegrasi IIS untuk berhasil dalam lingkungan SSL<\/strong> Kami akan mempertimbangkan hal berikut ini. Kami akan mencantumkan tiga pola konfigurasi umum dan menjelaskan untuk masing-masing pola apakah autentikasi Windows didukung, alasan teknis untuk ini, serta kelebihan dan kekurangan konfigurasi tersebut.<\/p>\n\n\n\n

Verifikasi teknis setiap rencana konfigurasi<\/h2>\n\n\n\n

\u2460: Penghentian SSL penyeimbang beban L7 + penerusan ke IIS (80 atau 443)<\/h3>\n\n\n\n

Klien \u2500\u2500HTTPS\u2500\u2500\u25b6 L7 Load Balancer (penghentian SSL) \u2500\u2500HTTP(S)\u2500\u2500\u25b6 IIS (80 atau 443)<\/p>\n\n\n\n

Tersedianya<\/strong><\/h4>\n\n\n\n

Autentikasi Windows tidak didukung dalam konfigurasi ini.Tidak tersedia<\/span>adalah.<\/p>\n\n\n\n

alasan<\/strong><\/h4>\n\n\n\n

Karena sesi TLS antara klien dan IIS diakhiri sekali pada penyeimbang beban,Transfer kredensial menyeluruh tidak dimungkinkan<\/span>Itulah sebabnya. Penyeimbang beban L7 mendekripsi lalu lintas HTTPS yang diterima dan mengakses IIS atas nama klien. Pada saat ini, klien harus mengirim Otorisasi: Negosiasi<\/code> Header (header autentikasi termasuk tiket Kerberos dan token NTLM) tidak akan mencapai IIS dengan benar. Secara khusus, dengan NTLM, respons tantangan otentikasi yang dikirim IIS ke permintaan awal (WWW-Otentikasi<\/code>) klien mengirimkan permintaan ulang, tetapi melalui LBSesi TCP yang sama tidak dipertahankan<\/span>Oleh karena itu, jabat tangan NTLM tidak berhasil.<\/p>\n\n\n\n

Faktanya, bahkan dalam lingkungan AWS, autentikasi Windows tidak berfungsi dengan Application Load Balancer (ALB) atau pendengar HTTP, dan LB tingkat TCP seperti Network Load Balancer (NLB) diperlukan.referensi<\/a>]. Selain itu, Azure Application Gateway v2 tidak mendukung penerusan header HTTP termasuk autentikasi terintegrasi ke backend.referensi<\/a>].<\/p>\n\n\n\n

Fakta bahwa hal ini tidak didukung secara resmi oleh LB yang dikelola masing-masing vendor cloud menunjukkan kesulitan dalam mempertahankan autentikasi Windows di tingkat L7.<\/p>\n\n\n\n

\u2461: penyeimbang beban L4 (TLS pass-through) + penerusan IIS<\/h3>\n\n\n\n

Klien \u2500\u2500HTTPS\u2500\u2500\u25b6 Penyeimbang Beban L4 (TLS pass-through) \u2500\u2500HTTPS\u2500\u2500\u25b6 IIS (443)<\/p>\n\n\n\n

Tersedianya<\/strong><\/h4>\n\n\n\n

Konfigurasi ini menggunakan autentikasi Windows.Kompatibel<\/span>adalah.<\/p>\n\n\n\n

alasan<\/strong><\/h4>\n\n\n\n

Karena penyeimbang beban L4 (LB yang beroperasi pada OSI Layer 4) menyampaikan paket pada tingkat TCP,Sesi TLS antara klien dan IIS dipertahankan secara menyeluruh<\/span>akan dilakukan. Penyeimbang beban tidak menghentikan enkripsi, tetapi hanya mendistribusikan koneksi TCP itu sendiri ke setiap server, sehingga "komunikasi pada koneksi TCP yang sama" yang dibutuhkan oleh autentikasi NTLM tetap terjaga. Mengenai Kerberos, dari perspektif klien, hal itu dapat direproduksi seolah-olah klien terhubung langsung ke FQDN IIS (layanan), jadi selama SPN ditetapkan dengan tepat, autentikasi berbasis tiket akan berjalan sebagaimana mestinya. Mode pendengar AWS NLB dan LB TCP klasik, penyeimbang beban internal Azure, mode F5 L4, dsb. termasuk dalam kategori ini (yang lainnya termasuk mode TCP HAProxy dan aliran nginx), dan dapat melewati autentikasi terintegrasi Windows.<\/p>\n\n\n\n

kemampuan<\/strong><\/h4>\n\n\n\n

Sesi TLS tidak terputus dari klien ke server.Protokol otentikasi Windows terus berfungsi sebagaimana mestinya<\/span>Bisa. Jabat tangan tiga arah NTLM juga diselesaikan dalam satu koneksi, dan tiket Kerberos diterima dengan benar oleh server back-end. Selain itu, karena LB merupakan operasi L4, overhead-nya rendah dan dapat diharapkan mencapai throughput tinggi.<\/p>\n\n\n\n

Kekurangan<\/strong><\/h4>\n\n\n\n

Tantangan terbesar dalam mengonfigurasi penyeimbang beban L4 adalah ketidakmampuan untuk melakukan perutean terperinci berbasis jalur atau berbasis nama host. Misalnya, di jalur URL (misalnya\/api<\/code>,,\/mengobrol<\/code>Mendistribusikan setiap permintaan (atau beberapa permintaan) ke server backend yang berbeda adalah fitur yang hanya dapat dicapai dengan L7 (HTTP) dan tidak dimungkinkan dengan L4 (TCP).<\/p>\n\n\n\n

Oleh karena itu, bergantung pada persyaratan sistem, mungkin perlu menyiapkan beberapa FQDN dan menetapkan server virtual yang berbeda untuk tujuan yang berbeda (server web, server untuk autentikasi Windows, dll.) dalam penyeimbang beban, yang memiliki kelemahan yaitu membuat konfigurasi lebih sulit.<\/p>\n\n\n\n

\u7279\u306b\u3001Windows\u8a8d\u8a3c\u30da\u30fc\u30b8\u3078FQDN(\u5b8c\u5168\u4fee\u98fe\u30c9\u30e1\u30a4\u30f3\u540d)\u3067\u30a2\u30af\u30bb\u30b9\u3059\u308b\u5834\u5408\u306e Registrasi SPN<\/a> \u306f\u975e\u5e38\u306b\u8907\u96d1\u3067\u3059\u306e\u3067\u4ee5\u4e0b\u3082\u3054\u78ba\u8a8d\u304f\u3060\u3055\u3044\u3002<\/p>\n\n\n

\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tChat & Messenger untuk konferensi web<\/span>\n\t\t\t\t\t
\"\"<\/figure><\/div>\t\t\t\t\t
\n\t\t\t\t\t\tL4\u30ed\u30fc\u30c9\u30d0\u30e9\u30f3\u30b5\u30fc\u74b0\u5883\u3067\u3001IIS\u306e\u7d71\u5408Windows\u8a8d\u8a3c\u3092\u6210\u529f\u3055\u305b\u308b\u305f\u3081\u306eIIS\u8a2d\u5b9a | Web\u4f1a\u8b70\u306e Chat&Messenger<\/a>\n\t\t\t\t\t\t\u6982\u8981 \u4ee5\u4e0b\u306e\u8a18\u4e8b\u3067L4\u30ed\u30fc\u30c9\u30d0\u30e9\u30f3\u30b5\u30fc + SSL\u7d42\u7aef\u74b0\u5883\u3067\u3001IIS\u306b\u304a\u3051\u308b\u7d71\u5408Windows\u8a8d\u8a3c\uff08Integrated Windows Authentication, IWA\uff09\u3092\u69cb\u6210\u3059\u308b\u65b9\u6cd5\u3092\u89e3\u8aac\u3057\u307e\u3057\u305f\u3002 \u3053\u306e\u65b9\u6cd5…<\/span>\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t<\/div>\n\t\t<\/div>\n\n\n

Perlu diperhatikan juga bahwa pengaturan berikut yang diperlukan untuk autentikasi Windows semuanya mengatur FQDN penyeimbang beban.<\/p>\n\n\n\n