Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die integrierte Windows-Authentifizierung ermöglicht Es Benutzern, sich mit ihren Windows-Anmeldeinformationen anzumelden und einmaliges Anmelden (Single Sign-On, SSO) mithilfe von Kerberos oder NTLM zu erleben.
Warum die integrierte Windows-Authentifizierung fehlschlägt
Es gibt drei Hauptgründe, warum die integrierte Windows-Authentifizierung fehlschlägt:
- Falschkonfiguration des Dienstprinzipalnamens (Service Principal Name, SPN)
- Kanalbindungstoken
- Internet Explorer-Konfiguration
SPN misconfiguration
Ein SPN ist ein eindeutiger Bezeichner einer Dienstinstanz. Die Kerberos-Authentifizierung verwendet SPNs, um eine Dienstinstanz einem Dienstanmeldungskonto zuzuordnen. Diese Konfiguration ermöglicht es einer Clientanwendung, den Dienst anzufordern, ein Konto zu authentifizieren, auch wenn der Client nicht über den Kontonamen verfügt.
Hier ist ein Beispiel für die Verwendung eines SPN mit AD FS:
- Ein Webbrowser fragt Microsoft Entra ab, um zu ermitteln, welches Dienstkonto
sts.contoso.comausführt. - Microsoft Entra teilt dem Browser mit, dass es sich um das AD FS-Dienstkonto handeln soll.
- Der Browser erhält ein Kerberos-Ticket für das AD FS-Dienstkonto.
Ein AD FS-Dienstkonto mit einem falsch konfigurierten oder falschen SPN kann Probleme verursachen. Wenn Sie sich die Netzwerkablaufverfolgungen ansehen, erkennen Sie möglicherweise Fehler wie KRB Error: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN.
Mithilfe von Netzwerkablaufverfolgungen (z. B. Wireshark) können Sie bestimmen, welcher SPN der Browser auflösen möchte. Anschließend können Sie das Befehlszeilentool setspn - Q \<spn> verwenden und eine Abfrage für diesen SPN durchführen. Möglicherweise finden Sie sie nicht, oder sie wird einem anderen Konto als dem AD FS-Dienstkonto zugewiesen.
Um den SPN zu überprüfen, sehen Sie sich die Eigenschaften des AD FS-Dienstkontos an.
Kanalbindungstoken
Wenn sich eine Clientanwendung bei einem Server authentifiziert, indem sie Kerberos, Digest oder NTLM mithilfe von HTTPS verwendet, wird zunächst ein Transport Layer Security (TLS)-Kanal eingerichtet. Die Authentifizierung erfolgt mithilfe dieses Kanals.
Das Kanalbindungstoken ist eine Eigenschaft des TLS-gesicherten äußeren Kanals. Er wird verwendet, um den äußeren Kanal an eine Konversation über den clientauthentifizierten inneren Kanal zu binden.
Wenn ein Man-in-the-Middle-Angriff auftritt und der SSL-Datenverkehr entschlüsselt und erneut verschlüsselt wird, stimmt der Schlüssel nicht überein. AD FS stellt fest, dass sich etwas zwischen dem Webbrowser und AD FS befindet. Die Kerberos-Authentifizierung schlägt fehl, und der Benutzer wird anstelle einer SSO-Umgebung mit einem Dialogfeld 401 aufgefordert.
Der Grund dieses Problems kann durch Folgendes verursacht werden:
- Alles, was zwischen dem Browser und AD FS liegt
- Fiddler
- Reverse-Proxys, die eine SSL-Brückenfunktion durchführen
Standardmäßig ist die AD FS-Einstellung Allow. Verwenden Sie das PowerShell-Cmdlet Set-ADFSProperties -ExtendedProtectionTokenCheck None, um diese Einstellung zu ändern.
Weitere Informationen finden Sie unter Bewährte Methoden für die sichere Planung und Bereitstellung von AD FS.
Internet Explorer-Konfiguration
Note
Wenn Sie Chrome verwenden, fügen Sie es zur Liste der Benutzer-Agents hinzu, die von der integrierten Windows-Authentifizierung unterstützt werden.
Internet Explorer verhält sich standardmäßig wie folgt:
- Internet Explorer empfängt eine 401-Antwort von AD FS mit dem Wort NEGOTIATE im Header. Dieses Wort weist den Webbrowser an, ein Kerberos- oder NTLM-Ticket abzurufen, das an AD FS zurück gesendet werden soll.
- Standardmäßig versucht Internet Explorer, diese Aufgabe (SPNEGO) ohne Benutzerinteraktion zu erledigen, wenn sich das Wort NEGOTIATE in der Kopfzeile befindet. Sie funktioniert nur für Intranetwebsites.
Zwei Hauptzwecke können verhindern, dass diese Situation auftritt:
Das Kontrollkästchen "Integrierte Windows-Authentifizierung aktivieren " ist in den Internet Explorer-Eigenschaften nicht aktiviert. This option is located under Security>Advanced>Internet Options.
Sicherheitszonen sind nicht ordnungsgemäß konfiguriert:
Vollqualifizierte Domänennamen befinden sich nicht in der Intranetzone.
Die AD FS-URL befindet sich nicht in der Intranetzone.
