Konfigurieren der eingeschränkten Kerberos-Delegierung für Webregistrierungsproxyseiten

  • Artikel

Der Artikel enthält schrittweise Anweisungen zum Implementieren von Service for User to Proxy (S4U2Proxy) oder Kerberos Only Constrained Delegation in einem benutzerdefinierten Dienstkonto für Webregistrierungsproxyseiten.

Gilt für: Window Server 2016, Window Server 2019, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 4494313

Zusammenfassung

Dieser Artikel enthält schrittweise Anweisungen zum Implementieren von Service for User to Proxy (S4U2Proxy) oder eingeschränkter Kerberos-Delegierung für Webregistrierungsproxyseiten. In diesem Artikel werden die folgenden Konfigurationsszenarien beschrieben:

  • Konfigurieren der Delegierung für ein benutzerdefiniertes Dienstkonto
  • Konfigurieren der Delegierung an das NetworkService-Konto

Hinweis

Die in diesem Artikel beschriebenen Workflows sind spezifisch für eine bestimmte Umgebung. Die gleichen Workflows funktionieren möglicherweise nicht für eine andere Situation. Die Prinzipien bleiben jedoch unverändert. In der folgenden Abbildung wird diese Umgebung zusammengefasst.
Servertypen in der Beispielumgebung.

Szenario 1: Konfigurieren der eingeschränkten Delegierung für ein benutzerdefiniertes Dienstkonto

In diesem Abschnitt wird beschrieben, wie Sie Service for User to Proxy (S4U2Proxy) oder eine eingeschränkte Kerberos-Delegierung implementieren, wenn Sie ein benutzerdefiniertes Dienstkonto für die Webregistrierungsproxyseiten verwenden.

1. Hinzufügen eines SPN zum Dienstkonto

Ordnen Sie das Dienstkonto einem Dienstprinzipalnamen (Service Principal Name, SPN) zu. Gehen Sie dazu wie folgt vor:

  1. Stellen Sie in Active Directory-Benutzer und -Computer eine Verbindung mit der Domäne her, und wählen Sie dann PKI-PKI-Benutzer > aus.

  2. Klicken Sie mit der rechten Maustaste auf das Dienstkonto (z. B. web_svc), und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie Attribut Editor>servicePrincipalName aus.

  4. Geben Sie die neue SPN-Zeichenfolge ein, wählen Sie Hinzufügen aus (wie in der folgenden Abbildung dargestellt), und klicken Sie dann auf OK.

    Anleitung zum Hinzufügen und Konfigurieren der H T T P SPNs.

    Sie können auch Windows PowerShell verwenden, um den SPN zu konfigurieren. Öffnen Sie hierzu ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie dann aus setspn -s SPN Accountname. Führen Sie beispielsweise den folgenden Befehl aus:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Konfigurieren der Delegierung

  1. Konfigurieren Sie die eingeschränkte Delegierung von S4U2proxy (nur Kerberos) für das Dienstkonto. Wählen Sie hierzu im Dialogfeld Eigenschaften des Dienstkontos (wie im vorherigen Verfahren beschrieben) delegieren>Die Option Diesem Benutzer nur für die Delegierung an angegebene Dienste vertrauen aus. Stellen Sie sicher, dass Nur Kerberos verwenden ausgewählt ist.

    Konfigurieren Sie web_svc Eigenschaften auf der Registerkarte Delegierung im Dialogfeld Eigenschaften.

  2. Schließen Sie das Dialogfeld.

  3. Wählen Sie in der Konsolenstruktur Computer und dann das Computerkonto des Front-End-Servers für die Webregistrierung aus.

    Hinweis

    Dieses Konto wird auch als "Computerkonto" bezeichnet.

  4. Konfigurieren Sie die eingeschränkte Delegierung von S4U2self (Protokollübergang) für das Computerkonto. Klicken Sie hierzu mit der rechten Maustaste auf das Computerkonto, und wählen Sie dann Eigenschaften>Delegierung>Diesen Computer nur für die Delegierung an angegebene Dienste vertrauen aus. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus.

    Wählen Sie unter der Option Diesem Computer für die Delegierung nur für bestimmte Dienste vertrauen die Option Beliebiges Authentifizierungsprotokoll verwenden aus.

3. Erstellen und Binden des SSL-Zertifikats für die Webregistrierung

Um die Webregistrierungsseiten zu aktivieren, erstellen Sie ein Domänenzertifikat für die Website, und binden Sie es dann an die Standardwebsite. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie den Internetinformationsdienste-Manager (IIS).

  2. Wählen Sie < in der Konsolenstruktur HostName> und dann Serverzertifikate aus.

    Hinweis

    <Hostname> ist der Name des Front-End-Webservers.
    Fügen Sie ein Domänenzertifikat für die Website hinzu.

  3. Wählen Sie im Menü Aktionen die Option Domänenzertifikat erstellen aus.

  4. Wählen Sie nach dem Erstellen des Zertifikats in der Konsolenstruktur Standardwebsite und dann Bindungen aus.

  5. Stellen Sie sicher, dass Port auf 443 festgelegt ist. Wählen Sie dann unter SSL-Zertifikat das Zertifikat aus, das Sie in Schritt 3 erstellt haben.

    Fügen Sie das Zertifikat hinzu, und binden Sie es für Szenario 1 an Port 443.

  6. Wählen Sie OK aus, um das Zertifikat an Port 443 zu binden.

4. Konfigurieren des Webregistrierungs-Front-End-Servers für die Verwendung des Dienstkontos

Wichtig

Stellen Sie sicher, dass das Dienstkonto teil der lokalen Administratoren oder IIS_Users Gruppe auf dem Webserver ist.
Gruppen für das Dienstkonto auf dem Webserver.

  1. Klicken Sie mit der rechten Maustaste auf DefaultAppPool, und wählen Sie dann Erweiterte Einstellungen aus.

    Konfigurieren Sie erweiterte Einstellungen für Anwendungspools.

  2. Wählen Sie Prozessmodellidentität>, benutzerdefiniertes Konto und dann Festlegen aus. Geben Sie den Namen und das Kennwort des Dienstkontos an.

    Konfigurieren Sie die Anwendungspoolidentität als benutzerdefiniertes Dienstkonto.

  3. Wählen Sie in den Dialogfeldern Anmeldeinformationen und Anwendungspoolidentität festlegen die Option OK aus.

  4. Suchen Sie unter Erweiterte Einstellungen nach Benutzerprofil laden, und stellen Sie sicher, dass es auf True festgelegt ist.

    Legen Sie die Einstellung Benutzerprofil laden auf True fest.

  5. Starten Sie den Computer neu.

Szenario 2: Konfigurieren der eingeschränkten Delegierung für das NetworkService-Konto

In diesem Abschnitt wird beschrieben, wie Sie S4U2Proxy oder die eingeschränkte Kerberos-Delegierung implementieren, wenn Sie das NetworkService-Konto für die Webregistrierungsproxyseiten verwenden.

Optionaler Schritt: Konfigurieren eines Namens für Verbindungen

Sie können der Webregistrierungsrolle einen Namen zuweisen, den Clients zum Herstellen einer Verbindung verwenden können. Diese Konfiguration bedeutet, dass eingehende Anforderungen nicht den Computernamen des Webregistrierungs-Front-End-Servers oder andere Routinginformationen wie den kanonischen DNS-Namen (CNAME) kennen müssen.

Angenommen, der Computername Ihres Webregistrierungsservers lautet WEBENROLLMAC (in der Domäne Contoso). Sie möchten, dass eingehende Verbindungen stattdessen den Namen ContosoWebEnroll verwenden. In diesem Fall lautet die Verbindungs-URL wie folgt:

https://contosowebenroll.contoso.com/certsrv

Dies wäre nicht die folgende:

https://WEBENROLLMAC.contoso.com/certsrv

Führen Sie die folgenden Schritte aus, um eine solche Konfiguration zu verwenden:

  1. Erstellen Sie in der DNS-Zonendatei für die Domäne einen Aliaseintrag oder einen Hostnameneintrag, der den neuen Verbindungsnamen der IP-Adresse der Webregistrierungsrolle zuordnet. Verwenden Sie das Ping-Tool, um die Routingkonfiguration zu testen.

    In dem zuvor erläuterten Beispiel weist die Contoso.com Zonendatei einen Aliaseintrag auf, der ContosoWebEnroll der IP-Adresse der Webregistrierungsrolle zuordnet.

  2. Konfigurieren Sie den neuen Namen als SPN für den Webregistrierungs-Front-End-Server. Gehen Sie dazu wie folgt vor:

    1. Stellen Sie in Active Directory-Benutzer und -Computer eine Verbindung mit der Domäne her, und wählen Sie dann Computer aus.
    2. Klicken Sie mit der rechten Maustaste auf das Computerkonto des Front-End-Servers für die Webregistrierung, und wählen Sie dann Eigenschaften aus.

      Hinweis

      Dieses Konto wird auch als "Computerkonto" bezeichnet.

    3. Wählen Sie Attribut Editor>servicePrincipalName aus.
    4. Geben Sie HTTP/<ConnectionName ein>.<DomainName.com>, wählen Sie Hinzufügen und dann OK aus.

      Hinweis

      In dieser Zeichenfolge < ist ConnectionName> der neue Name, den Sie definiert haben, und <DomainName> ist der Name der Domäne. Im Beispiel lautet die Zeichenfolge HTTP/ContosoWebEnroll.contoso.com. Fügen Sie dem Front-End-Servercomputerkonto eine SP N hinzu.

1. Konfigurieren der Delegierung

  1. Wenn Sie noch keine Verbindung mit der Domäne hergestellt haben, führen Sie dies jetzt in Active Directory-Benutzer und -Computer aus, und wählen Sie dann Computer aus.

  2. Klicken Sie mit der rechten Maustaste auf das Computerkonto des Front-End-Servers für die Webregistrierung, und wählen Sie dann Eigenschaften aus.

    Hinweis

    Dieses Konto wird auch als "Computerkonto" bezeichnet.

  3. Wählen Sie Delegierung und dann Diesen Computer für die Delegierung nur für bestimmte Dienste vertrauen aus.

    Hinweis

    Wenn Sie sicherstellen können, dass Clients immer die Kerberos-Authentifizierung verwenden, wenn sie eine Verbindung mit diesem Server herstellen, wählen Sie Nur Kerberos verwenden aus. Wenn einige Clients andere Authentifizierungsmethoden verwenden, z. B. NTLM oder formularbasierte Authentifizierung, wählen Sie Beliebiges Authentifizierungsprotokoll verwenden aus.

    Konfigurieren Sie die Delegierung für das Webservercomputerkonto.

2. Erstellen und Binden des SSL-Zertifikats für die Webregistrierung

Um die Webregistrierungsseiten zu aktivieren, erstellen Sie ein Domänenzertifikat für die Website, und binden Sie es dann an die erste Standardwebsite. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie den IIS-Manager.

  2. Wählen Sie < in der Konsolenstruktur HostName> und dann im Aktionsbereich Serverzertifikate aus.

    Hinweis

    <Hostname> ist der Name des Front-End-Webservers. Fügen Sie ein Domänenzertifikat für die Website hinzu.

  3. Wählen Sie im Menü Aktionen die Option Domänenzertifikat erstellen aus.

  4. Nachdem das Zertifikat erstellt wurde, wählen Sie Standardwebsite und dann Bindungen aus.

  5. Stellen Sie sicher, dass Port auf 443 festgelegt ist. Wählen Sie dann unter SSL-Zertifikat das Zertifikat aus, das Sie in Schritt 3 erstellt haben. Wählen Sie OK aus, um das Zertifikat an Port 443 zu binden.

    Fügen Sie das Zertifikat hinzu, und binden Sie es an Port 443.

3. Konfigurieren des Front-End-Servers für die Webregistrierung für die Verwendung des NetworkService-Kontos

  1. Klicken Sie mit der rechten Maustaste auf DefaultAppPool, und wählen Sie dann Erweiterte Einstellungen aus.

    Wählen Sie Erweiterte Einstellungen des Standardanwendungspools aus.

  2. Wählen Sie Prozessmodellidentität>aus. Stellen Sie sicher, dass Integriertes Konto ausgewählt ist, und wählen Sie dann NetworkService aus. Wählen Sie anschließend OK aus.

    Konfigurieren Sie die Anwendungspoolidentität als integriertes NetworkService-Konto.

  3. Suchen Sie unter Erweiterte Eigenschaften nach Benutzerprofil laden, und stellen Sie dann sicher, dass es auf True festgelegt ist.

    Legen Sie benutzerprofil laden in den Einstellungen für Den Fortschritt auf True fest.

  4. Starten Sie den IIS-Dienst neu.

Weitere Informationen zu diesen Prozessen finden Sie unter Authentifizieren von Webanwendungsbenutzern.

Weitere Informationen zu den Protokollerweiterungen S4U2self und S4U2proxy finden Sie in den folgenden Artikeln: