THỰC ĐƠN
Phần mềm nhóm tích hợp trò chuyện kinh doanh, hội thảo trên web, lập kế hoạch, quản lý tài liệu, quy trình làm việc và tham dự | Trò chuyện & Messenger cho hội thảo trên web
  1. trang chủ
  2. Blog
  3. Blog Kỹ thuật
  4. Thiết lập IIS để xác thực Windows tích hợp IIS thành công trong môi trường cân bằng tải L4

Thiết lập IIS để xác thực Windows tích hợp IIS thành công trong môi trường cân bằng tải L4

Blog Blog Kỹ thuật
mục lục

Tổng quan

Bài viết sau đây giải thích cách cấu hình Xác thực Windows tích hợp (IWA) trong IIS trong môi trường cân bằng tải L4 + chấm dứt SSL.

Hội thảo trên web Trò chuyện & Messenger
Cách cấu hình thành công Xác thực Windows tích hợp IIS trong môi trường cân bằng tải + SSL | Hội nghị truyền hình Chat&Messenger Giới thiệu về Xác thực Windows tích hợp Xác thực Windows tích hợp là tính năng tự động xác thực người dùng khi IIS và người dùng thuộc cùng một miền Active Directory.

Khi cấu hình phương pháp này, có nhiều trường hợp xác thực không thành công do cài đặt SPN (Tên dịch vụ chính) không chính xác hoặc trùng lặp.

Bài viết này cung cấp giải thích toàn diện về việc đăng ký SPN và các nhiệm vụ cần thiết.

Ví dụ cấu hình trong bài viết này

   [Trình duyệt máy khách] | | Truy cập HTTPS v [Bộ cân bằng tải L4 (TCP 443)] | | vv [Máy chủ 1 (IIS)] [Máy chủ 2 (IIS)]
  • Mã số đầy đủ: sso.chat-messenger.com
  • Tên máy chủ IIS: Máy chủ 1, Máy chủ 2
  • Tài khoản dịch vụ chia sẻ:CAMTEST\cam-svc

Sự cố: Lỗi SPN trùng lặp

Với Xác thực Windows tích hợp, máy khách sẽ tra cứu SPN cho FQDN mà máy khách đang truy cập và lấy phiếu Kerberos cho tài khoản dịch vụ phù hợp.

setspn -S HTTP/sso.chat-messenger.com Máy chủ1$ setspn -S HTTP/sso.chat-messenger.com Máy chủ2$

Như đã hiển thị ở trên, cùng một FQDN (sso.chat-messenger.comKhi bạn đăng ký SPN cho .NET Framework 2.0.1 trên các máy chủ khác nhau (Server1, Server2), lỗi sau sẽ xảy ra:

Đã tìm thấy SPN trùng lặp, hủy bỏ hoạt động.

Giải pháp: Đăng ký SPN trong tài khoản dịch vụ chia sẻ

Nếu nhiều máy chủ sử dụng cùng một FQDN, chỉ cần đăng ký một SPN trong tài khoản dịch vụ dùng chung.

Tạo tài khoản dịch vụ chia sẻ

Tài khoản dịch vụ chạy trong nhóm ứng dụng IIS có thể là người dùng miền (miễn là nó thuộc về Người dùng miền), nhưng để tách biệt người dùng thông thường và tài khoản dịch vụ và để làm rõ phạm vi của chính sách mật khẩu và ngăn ngừa lỗi vận hành,OU=Tài khoản dịch vụ Giống như, OU Người sử dụng Khác với bộ điều khiển miền Active Directory,cam-svc Tạo một cái mới.

Đăng ký SPN với tài khoản dịch vụ

Đăng ký SPN bằng tài khoản dịch vụ đã tạo ở trên.

setspn -S HTTP/sso.chat-messenger.com CAMTEST\cam-svc

- Có thể sử dụng bất kỳ thiết bị đầu cuối nào là một phần của miền. Tuy nhiên, cần có quyền quản trị viên miền.
・SPN cũng được sử dụng trong giao tiếp HTTPS.HTTP/tên máy chủBạn phải đăng ký theo mẫu sau:

Thiết lập nhóm ứng dụng IIS

Máy chủ 1, Máy chủ 2 Thay đổi người dùng thực thi nhóm ứng dụng trên cả hai máy chủ thành tài khoản dịch vụ bạn đã tạo. CAMTEST\cam-svc Đặt thành

Trình quản lý IIS "Trình chỉnh sửa cấu hình"

Để thay đổi IIS Application Pool thành Tài khoản dịch vụ và để Windows Authentication hoạt động chính xác với Kerberos, bạn phải cấu hình những mục sau trong tính năng "Configuration Editor" của IIS Manager:

  • system.webServer/bảo mật/xác thực/windowsXác thực phần
  • sử dụngAppPoolCredentials của ĐÚNG VẬY Đặt thành
  • sử dụngKernelMode của SAI Đặt thành

Nếu IIS đang chạy trên bộ điều khiển miền, thiết lập này có thể không cần thiết.

Thiết lập quyền "Đăng nhập dưới dạng tác vụ hàng loạt" cho tài khoản Dịch vụ chia sẻ

Nhóm ứng dụng phản hồi các yêu cầu web. w3wp.exe(Quy trình công việc). Nếu bạn chạy quy trình này trong một tài khoản dịch vụ chia sẻ, quy trình sẽ bị từ chối và lỗi HTTP 503 sẽ xảy ra nếu tài khoản không có quyền "Đăng nhập dưới dạng tác vụ hàng loạt", do đó tài khoản dịch vụ chia sẻ phải có quyền "Đăng nhập dưới dạng tác vụ hàng loạt" được đặt (dựa trên GPO).

Các thiết lập sau đây có thể được kiểm soát bởi chính sách bảo mật cục bộ của mỗi thiết bị đầu cuối IIS, nhưng có thể có những hạn chế do chính sách tổ chức trong GPO (Đối tượng chính sách nhóm) áp đặt trên bộ điều khiển miền Active Directory. Trong trường hợp đó, cần phải kiểm soát trong chính GPO và bài viết này giải thích cách thực hiện.

Nếu IIS đang chạy trên bộ điều khiển miền, thì "Đăng nhập dưới dạng tác vụ hàng loạt" có thể không cần thiết.

Các bước liên kết GPO với OU=ServiceAccounts

Tài khoản dịch vụCAMTEST\cam-svccủaOU=Tài khoản dịch vụNếu bạn tạo nó trong
Nếu bạn không liên kết chính sách nhóm (ví dụ: IIS-BatchLogon-GPO) với OU này,cam-svcChính sách này không được áp dụng cho. Mục tiêu của GPO được xác định bởi "OU nào được liên kết đến", do đó, điều quan trọng là phải khớp vị trí của tài khoản với GPO được liên kết.

  1. gpmc.msc Chạy lệnh để khởi động Trình chỉnh sửa quản lý chính sách nhóm.
  2. Trong ngăn bên tráicamtest.com/Tài khoản dịch vụ Nhấp chuột phải vào OU → "Tạo GPO trong miền này và liên kết nó với vùng chứa này" → Nhập bất kỳ tên nào (ví dụ:IIS-BatchLogon-GPO)
  3. TạoIIS-BatchLogon-GPOChỉnh sửa với
  4. Cấu hình máy tính → Cài đặt Windows → Cài đặt bảo mật → Chính sách cục bộ → Phân quyền người dùng → Đăng nhập như một tác vụ hàng loạt
  5. Nhấp đúp để mở hộp thoạiCAMTEST\cam-svc Thêm người dùng

Giới thiệu về cài đặt GPO

Để áp dụng GPO một cách chính xác, bạn phải gpupdate /buộc Điều quan trọng là phải chạy lệnh này. Điều này sẽ đảm bảo rằng các thiết lập GPO có hiệu lực ngay lập tức. Đặc biệt, khi cấp quyền "Đăng nhập dưới dạng tác vụ hàng loạt", chính sách có thể có hiệu lực sau đó. w3wp.exe Điều này có thể dẫn đến thất bại khi khởi nghiệp.

Blog Blog Kỹ thuật
  • URLをコピーしました!
mục lục