Udostępnij za pośrednictwem

Wskazówki dotyczące rozwiązywania problemów z uwierzytelnianiem kerberos

Ten przewodnik zawiera podstawowe pojęcia, które powinieneś śledzić podczas rozwiązywania problemów z uwierzytelnianiem Kerberos.

Ważne

Ten artykuł zawiera ogólne wskazówki. Może być konieczne dostosowanie procedur i przykładów przedstawionych tutaj, aby pracować z konkretną konfiguracją.

Lista kontrolna rozwiązywania problemów

Protokół Kerberos opiera się na kilku składnikach i usługach infrastruktury. Jeśli którykolwiek z tych składników lub usług jest niedostępny lub nie działa, mogą wystąpić problemy z uwierzytelnianiem.

1. Sprawdzanie zdarzeń i dzienników

Sprawdź dzienniki zdarzeń pod kątem wskazówek dotyczących problemu. Użyj Podglądu zdarzeń, aby przejrzeć dzienniki zabezpieczeń i systemu w systemach, które są zaangażowane w operację uwierzytelniania:

  • Klient uwierzytelniania
  • Serwer docelowy lub usługa
  • Kontroler domeny

W szczególności poszukaj zdarzeń ze źródeł, które mogą odnosić się do uwierzytelniania Kerberos lub usług, na których się opiera, takich jak poniższe źródła:

  • Kerberos
  • Centrum dystrybucji kluczy (KDC)
  • LSA (LsaSrv)
  • Netlogon

Na serwerze docelowym sprawdź dziennik zabezpieczeń pod kątem inspekcji błędów. Takie błędy mogą wskazywać, że protokół Kerberos jest używany w przypadku wystąpienia błędu uwierzytelniania.

Niektóre zdarzenia lub błędy wskazują konkretne problemy. Jeśli którykolwiek z komputerów, których dotyczy problem, zarejestrował dowolne z następujących zdarzeń lub błędów, wybierz link, aby uzyskać bardziej szczegółowe informacje dotyczące rozwiązywania problemów.

Zdarzenie lub błąd Informacje dotyczące rozwiązywania problemów
Identyfikator zdarzenia 4, błąd KERB_AP_ERR_MODIFIED Klient nie może odszyfrować biletu usługi. Ponieważ ten błąd może spowodować więcej niż jeden problem, sprawdź, czy występują powiązane zdarzenia. Na przykład ten ciąg może oznaczać, że zegary klienta i serwera docelowego nie są zsynchronizowane lub że nazwa SPN nie jest unikatowa. W środowisku z wieloma domenami nazwa konta usługi może nie być unikatowa w lesie (lub w innych zaufanych lasach).
Aby uzyskać więcej informacji, zobacz Klient Kerberos otrzymał błąd KRB_AP_ERR_MODIFIED z serwera i Kerberos generuje błąd KDC_ERR_S_PRINCIPAL_UNKNOWN lub KDC_ERR_PRINCIPAL_NOT_UNIQUE.
Identyfikator zdarzenia 4, błąd KERB_AP_ERR_SKEW Upewnij się, że zegary komputera są zsynchronizowane
Identyfikator zdarzenia 14 Błąd "Nieobsługiwany typ etype" podczas uzyskiwania dostępu do zasobu w zaufanej domenie
Identyfikator zdarzenia 16 lub identyfikator zdarzenia 27 Identyfikator zdarzenia KDC 16 lub 27 jest rejestrowany, jeśli DES dla Kerberos jest wyłączony
Błędy KDC o identyfikatorze zdarzenia 27 na kontrolerach domen systemu Windows Server 2003
Błąd 1069 Logowania do usług nie powiodły się z powodu nieprawidłowego ustawienia nazw głównych usług (SPN)
Identyfikator zdarzenia 5719, błąd 1311 lub błąd 1355 Identyfikator Zdarzenia 5719, Błąd 1311 lub Błąd 1355 — nie znaleziono kontrolera domeny lub domeny

Jeśli napotkasz problem, który potrafisz rozwiązać, najpierw go rozwiąż, a następnie spróbuj ponownie przeprowadzić uwierzytelnianie, zanim kontynuujesz.

2. Sprawdzanie infrastruktury

a. Upewnij się, że aplikacja kliencka i usługa docelowa nie są na tym samym komputerze

Domyślnie jeśli aplikacja kliencka i usługa docelowa są zainstalowane na jednym komputerze, protokół Kerberos jest wyłączony. Jeśli nie możesz zainstalować aplikacji klienckiej i usługi docelowej na oddzielnych komputerach, musisz zmienić określone ustawienia związane z zabezpieczeniami w systemie Windows. Ponadto może być konieczne zmianę klucza rejestru. Aby uzyskać więcej informacji na temat problemów związanych z tym scenariuszem i określonych ustawień, które mają na nie wpływ, zobacz Komunikat o błędzie podczas próby uzyskania dostępu do serwera lokalnie.

Jeśli wprowadzisz jakiekolwiek zmiany, spróbuj ponownie uwierzytelnić się przed kontynuowaniem.

b. Sprawdź, czy komputer kliencki, serwer docelowy i serwery zasobów są przyłączone do odpowiednich domen

W razie potrzeby dołącz komputer kliencki lub serwer docelowy do odpowiedniej domeny. Następnie spróbuj ponownie przeprowadzić uwierzytelnianie.

Uwaga 16.

W tym kontekście "odpowiednie domeny" to domeny w jednym lesie lub w zestawie lasów, które mają relacje zaufania.

c. Sprawdzanie kondycji serwera docelowego i jego usług pomocniczych

Upewnij się, że działają usługi aplikacji lub front-endu (takie jak usługi internetowe) oraz usługi zaplecza (takie jak usługa SQL Server).

Uwaga 16.

Może zostać wyświetlony komunikat podobny do "Usługa wygenerowała błąd 1069: Usługa nie została uruchomiona z powodu niepowodzenia logowania". Jeśli zostanie wyświetlony ten komunikat, zobacz Logowanie usługi nie powiodło się z powodu niepoprawnego ustawienia nazw SPN.

d. Upewnij się, że dostępne są poprawne porty

Sprawdź wszystkie zapory (w tym Zaporę systemu Windows na każdym komputerze) między komputerem klienckim, kontrolerem domeny i serwerem docelowym. Upewnij się, że ruch jest dozwolony na następujących portach.

Uwaga 16.

Ta lista używa formatu serwer:port klienta,port serwera.

  • DHCP: 67 (UDP), 67 (UDP)
  • DNS: 49152 -65535 (TCP, UDP), 53 (TCP, UDP)
  • HTTPS, w tym uwierzytelnianie oparte na certyfikatach: 443 (TCP), 443 (TCP)
  • Kerberos: 49152 -65535 (TCP, UDP), 88 (TCP, UDP)
  • Zmiana hasła protokołu Kerberos: 49152 -65535 (TCP), 464 (TCP, UDP)
  • LDAP, w tym lokalizator dc: 49152 -65535 (TCP, UDP), 389 (TCP, UDP)
  • PROTOKÓŁ SSL LDAP: 49152 -65535 (TCP), 636 (TCP)
  • SMB: 49152 -65535 (TCP, UDP), 445 (TCP)
  • Maper punktu końcowego RPC: 49152 -65535 (TCP), 135 (TCP)
  • RPC dla LSA, SAM, NetLogon: 49152 -65535 (TCP), 49152-65535 (TCP)
  • W32Time: 49152 -65535 (UDP), 123 (UDP)

Jeśli wprowadzisz zmiany w ustawieniach zapory, spróbuj ponownie przeprowadzić uwierzytelnianie.

e. Sprawdź, czy kontrolery domeny są dostępne

Gdy klient próbuje skontaktować się z usługą lub aplikacją (nazywaną "serwerem docelowym"), klient i serwer docelowy wymagają kontrolera domeny w celu ułatwienia uwierzytelniania, autoryzacji i delegowania.

Na komputerze klienckim otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie:

nltest /dsgetdc:<DomainName> /force /kdc

Uwaga 16.

W tym poleceniu <NazwaDomeny> reprezentuje nazwę domeny komputera, z którego jest tworzone zapytanie.

Polecenie nltest pobiera listę dostępnych kontrolerów domeny (chociaż lista może nie zawierać wszystkich dostępnych kontrolerów domeny). Rejestruj w pełni kwalifikowane nazwy domen i adresy IP tych kontrolerów domeny do użycia w późniejszych procedurach.

Jeśli klient lub serwer docelowy nie może skontaktować się z kontrolerem domeny, zostanie wyświetlony komunikat podobny do następującego (czasami oznaczony jako "błąd 1355"):

Określona domena nie istnieje lub nie można się z nią połączyć.

Jeśli zostanie wyświetlony ten komunikat, zobacz Identyfikator zdarzenia 5719, Błąd 1311 lub Błąd 1355 — kontroler domeny lub domena nie znaleziono , aby uzyskać więcej informacji dotyczących rozwiązywania problemów. W przeciwnym razie przejdź do tej listy kontrolnej.

f. Sprawdź, czy usługa DNS działa między klientem a serwerem docelowym

Na komputerze klienckim otwórz okno wiersza polecenia administracyjnego, a następnie uruchom następujące polecenie:

nslookup <TargetName>

Uwaga 16.

W tym poleceniu <TargetName> reprezentuje nazwę NetBIOS serwera docelowego.

nslookup Jeśli polecenie poprawnie rozpozna nazwę serwera docelowego, konfiguracja DNS jest poprawna. Jeśli polecenie nie rozpozna nazwy serwera docelowego, wykonaj następujące kroki, aby sprawdzić konfigurację karty sieciowej komputera klienckiego:

  1. Na komputerze klienckim uruchom następujące polecenie:

    ipconfig /all

  2. W danych wyjściowych polecenia określ, która karta sieciowa jest używana. Sprawdź następujące ustawienia adaptera:

    • Adres IP klienta

    • Maska podsieci

    • Brama domyślna

    • Sufiks DNS specyficzny dla połączenia

    • Adresy IP serwera DNS

      Zarejestruj adresy IP i zanotuj preferowany serwer DNS i który jest pomocniczy. Te informacje są przydatne do późniejszego rozwiązywania problemów.

    Jeśli którekolwiek z tych ustawień jest niepoprawne, napraw je lub skontaktuj się z administratorem DNS, aby uzyskać pomoc. Jeśli wprowadzisz jakiekolwiek zmiany, uruchom nslookup <TargetName> ponownie.

Jeśli system DNS nadal nie działa poprawnie, wykonaj następujące kroki:

  1. Uruchom następujące polecenie na komputerze klienckim:

    nslookup <ClientName> <DNSIPAddress>

    Uwaga 16.

    W tym poleceniu <ClientName> reprezentuje nazwę NetBIOS komputera klienckiego, a <dnsIPAddress> reprezentuje adres IP jednego z serwerów DNS skonfigurowanych do użycia przez klienta. Najpierw użyj adresu IP preferowanego serwera DNS zarejestrowanego w poprzedniej procedurze. Jeśli polecenie nie działa, spróbuj ponownie, używając adresu IP pomocniczego serwera DNS klienta.

    Jeśli na przykład nazwa komputera klienckiego to "client1", a adres IP preferowanego serwera DNS klienta to 10.0.0.1, uruchom następujące polecenie:

    nslookup client1 10.0.0.1

  2. Uruchom to samo polecenie z serwera docelowego. Teraz przypomina następujące polecenie:

    nslookup <TargetName> <DNSIPAddress>

    Uwaga 16.

    W tym poleceniu <TargetName> reprezentuje nazwę NetBIOS serwera docelowego, a <DNSIPAddress> reprezentuje adres IP jednego z serwerów DNS skonfigurowanych do użycia przez serwer docelowy. Najpierw użyj adresu IP preferowanego serwera DNS zarejestrowanego w poprzedniej procedurze. Jeśli polecenie nie działa za pierwszym razem, gdy je uruchamiasz, spróbuj ponownie użyć adresu IP serwerów DNS pomocniczego serwera docelowego.

    Jeśli na przykład nazwa serwera docelowego to "WebServer1", a adres IP preferowanego serwera dns serwera docelowego to 10.0.0.1, uruchom następujące polecenie:

    nslookup WebServer1 10.0.0.1

    W poniższej tabeli przedstawiono podsumowanie możliwych wyników nslookup zapytań i ich implikacji.

    Zapytanie docelowe
    Odnosi sukces    		 Zapytanie docelowe
    Nie powiedzie się
    Zapytanie klienta
    Zakończy się pomyślnie    		 Brak problemu z systemem DNS Problem, który ma wpływ na docelowy lub co najmniej jeden serwer DNS
    Zapytanie klienta
    Nie powiedzie się    		 Problem, który ma wpływ na klienta lub co najmniej jeden serwer DNS Problem, który ma wpływ na co najmniej jeden serwer DNS

Jeśli wyniki zapytania wskazują, że masz problem z systemem DNS, zobacz następujące artykuły, aby uzyskać więcej pomocy:

Jeśli rozwiążesz problem z systemem DNS, ale problem z protokołem Kerberos pozostanie, spróbuj wykonać następujące metody rozwiązywania problemów.

g. Upewnij się, że zegary komputera są zsynchronizowane

Komputer kliencki lub serwer docelowy mogą buforować bilety do użytku w przyszłości. Jednak każdy bilet zawiera znaczniki czasu, które określają czas wygaśnięcia (TTL). Usługa Centrum dystrybucji kluczy Kerberos, która działa na kontrolerach domeny, ustawia znaczniki czasu.

Różnica czasu między kontrolerem domeny a komputerem klienckim lub serwerem docelowym musi być mniejsza niż pięć minut. Zazwyczaj, jeśli zegary nie są synchronizowane, system Windows może automatycznie je ponownie zsynchronizować. Istnieją dwa przypadki, w których może być konieczne podjęcie działań:

  • Zegary nie są zsynchronizowane przez ponad 48 godzin.
  • Zegar, który nie jest zsynchronizowany, nie używa kontrolera domeny w swojej domenie jako serwera czasu ani tego samego serwera czasu, co kontrolery domeny.

Aby rozwiązać ten problem, komputer, którego dotyczy problem, musi ponownie sprawdzić sieć dla serwerów czasu, a następnie ponownie zsynchronizować własny zegar. Aby włączyć te akcje, otwórz okno wiersza polecenia administracyjnego, a następnie uruchom następujące polecenie:

w32tm /resync /computer:<Target> /rediscover

Uwaga 16.

W tym poleceniu <target> reprezentuje konfigurowany komputer. Opcja /rediscover powoduje, że komputer sprawdzi sieć pod kątem nowych lub zaktualizowanych źródeł czasu.

Aby uzyskać więcej informacji na temat opcji dostępnych dla polecenia w32tm, zobacz Narzędzia i ustawienia usługi Czas systemu Windows: Parametry wiersza polecenia dla W32Time.

W przypadku ponownej synchronizacji zegarów spróbuj ponownie przeprowadzić uwierzytelnianie.

h. Sprawdzanie stanu usługi Windows Update

Upewnij się, że wszystkie kontrolery domeny, komputer kliencki i serwer docelowy mają odpowiednie aktualizacje systemu Windows.

Jeśli zainstalowano jakiekolwiek aktualizacje, uruchom ponownie komputery, których dotyczy problem, a następnie spróbuj ponownie przeprowadzić uwierzytelnianie.

punkt i. Sprawdzanie stanu aktualizacji aplikacji

Upewnij się, że aplikacje klienta i serwera są aktualne na komputerze klienckim i serwerze docelowym. Jeśli zainstalujesz jakiekolwiek aktualizacje, uruchom ponownie komputery, których dotyczy problem, a następnie spróbuj ponownie przeprowadzić uwierzytelnianie.

j. Uruchom ponownie komputery

Jeśli komputer kliencki, serwer docelowy lub kontroler domeny nie został jeszcze uruchomiony ponownie, uruchom je teraz. Po ponownym uruchomieniu komputerów spróbuj ponownie przeprowadzić uwierzytelnianie.

Jeśli infrastruktura jest w porządku i nadal masz problem, przejdź do bardziej zaawansowanych procedur rozwiązywania problemów.

3. Zbieranie danych śledzenia i biletu

Poniższe procedury korzystają z bezpłatnego narzędzia Network Monitor . Pobierz i zainstaluj narzędzie na komputerze klienckim i serwerze docelowym. Aby zapoznać się z przykładem użycia programu Network Monitor do zbierania danych śladowych i identyfikowania komunikatów protokołu Kerberos, zobacz Błędy Kerberos w przechwytywaniu sieci.

a. Zbieranie równoczesnych śladów sieci

Na komputerze klienckim wykonaj następujące kroki:

  1. Wykonaj jedną z następujących czynności:

    • Uruchom ponownie komputer kliencki.
    • Wyloguj się z konta, którego używasz do rozwiązywania problemów, a następnie zaloguj się ponownie.
    • Zamknij aplikację kliencka, a następnie otwórz ją ponownie.

  2. Rozpocznij śledzenie. Aby to zrobić, wykonaj następujące kroki:

    1. Wybierz pozycję Start, a następnie wpisz netmon.
    2. W wynikach wyszukiwania kliknij prawym przyciskiem myszy pozycję Microsoft Network Monitor 3.4, a następnie wybierz polecenie Uruchom jako administrator (wybierz pozycję Tak w oknie Kontrola konta użytkownika).
    3. W obszarze Monitor sieci wybierz pozycję Uruchom.

  3. Otwórz okno wiersza polecenia administracyjnego, a następnie uruchom następujące polecenia w sekwencji:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Na serwerze docelowym wykonaj następujące kroki:

  1. Otwórz monitor sieci jako administrator, a następnie wybierz pozycję Uruchom.

  2. Otwórz okno wiersza polecenia administracyjnego, a następnie uruchom następujące polecenia w sekwencji:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Spróbuj odtworzyć problem, a następnie zatrzymaj i zapisz ślady na komputerze klienckim i serwerze docelowym. W tym celu w monitorze sieci wybierz pozycję Zatrzymaj, a następnie wybierz pozycję Zapisz jako.

b. Rejestrowanie informacji o bilecie

Po odtworzeniu problemu i zatrzymaniu śledzenia należy sprawdzić bilety Kerberos wygenerowane podczas rejestrowania danych śledzenia. W wierszu polecenia na komputerze klienckim i na serwerze docelowym uruchom następujące polecenie:

klist tickets

To polecenie generuje listę biletów. Te informacje można skopiować do innej aplikacji (takiej jak Notatnik), aby można było jej użyć w kolejnych procedurach rozwiązywania problemów.

4. Sprawdzanie danych śledzenia komunikatów Protokołu Kerberos

Za pomocą monitora sieciowego można przeglądać, filtrować i wyszukiwać dane w plikach przechwytywania. W szczególności poszukaj zdarzeń oznaczonych etykietą przy użyciu "KerberosV5". Te zdarzenia zawierają informacje o stanie. Mogą również wyświetlić nazwy lub adresy IP kontrolerów domeny, z którymi się skontaktowano, oraz nazwę główną usługi (SPN) usługi, z którą klient próbował nawiązać połączenie.

Opisy zdarzeń zawierające ciągi podobne do następujących są częścią typowych funkcji protokołu Kerberos:

  • KerberosV5:KRB_Error -KDC_ERR_PREAUTH_REQUIRED
  • Żądanie KerberosV5:AS
  • KerberosV5:Odpowiedź AS
  • Żądanie KerberosV5:TGS
  • Odpowiedź protokołu KerberosV5:TGS
  • KerberosV5:Zapytanie AP
  • KerberosV5:Odpowiedź AP

Uwaga 16.

Możesz również użyć monitora sieciowego, aby sprawdzić dane śledzenia dotyczące informacji o biletach w żądaniach HTTP GET. Jeśli w żądaniu GET brakuje informacji o bilecie, wystąpił problem podczas korzystania z uwierzytelniania Kerberos.

Opisy zdarzeń zawierające ciągi podobne do poniższych oznaczają, że występuje problem. Poniższa lista zawiera niektóre z najczęstszych błędów. Jeśli widzisz jeden z tych ciągów, zanotuj nazwy serwerów, adresy IP i nazwy SPN do późniejszego użycia.

  • KDC_ERR_PRINCIPAL_NOT_UNIQUE lub KDC_ERR_S_PRINCIPAL_UNKNOWN. Żądana nazwa SPN jest skojarzona z więcej niż jednym kontem lub nie jest skojarzona z żadnym kontem. Aby uzyskać pomoc dotyczącą rozwiązywania dowolnego z tych problemów, zobacz Kerberos generuje błąd KDC_ERR_S_PRINCIPAL_UNKNOWN lub KDC_ERR_PRINCIPAL_NOT_UNIQUE.

  • KRB_AP_ERR_MODIFIED. Klient nie może odszyfrować biletu usługi. Ten błąd może spowodować więcej niż jeden problem. Przejrzyj dane śledzenia pod kątem innych błędów towarzyszących KRB_AP_ERR_MODIFIED. Sprawdź dzienniki zdarzeń pod kątem zdarzenia o identyfikatorze 4 oraz innych powiązanych zdarzeń, zgodnie z opisem w 1. Sprawdzanie zdarzeń i dzienników.

  • ERB_AP_ERR_SKEW. Zegary klienta i serwera docelowego nie są zsynchronizowane. Aby uzyskać więcej informacji, zobacz Upewnij się, że zegary komputera są zsynchronizowane.

  • KDC_ERR_ETYPE_NOTSUPP. Co najmniej jeden składnik zaangażowany w uwierzytelnianie używa typu szyfrowania wyłączonego dla innych składników. Sprawdź dzienniki zdarzeń, aby uzyskać więcej informacji na temat składników i typów szyfrowania, zgodnie z opisem w temacie 1. Sprawdź zdarzenia i dzienniki.

Typowe problemy i rozwiązania

HTTP 400 — nieprawidłowe żądanie (zbyt długi nagłówek żądania)

Jeśli użytkownik należy do dużej liczby grup (na przykład ponad 1000 grup), protokół Kerberos może uniemożliwić użytkownikowi dostęp, ponieważ nie przetwarza prawidłowo żądania. Aby uzyskać więcej informacji na temat tego problemu, zobacz następujące artykuły:

Problemy z usługami

Problemy z usługą zwykle obejmują SPN i konta usługi. Na przykład nazwa SPN może być niepoprawna, brakująca, skonfigurowana na nieprawidłowym koncie lub skonfigurowana na więcej niż jednym koncie. Lista kontrolna rozwiązywania problemów w tym artykule a. Zbierz równoczesne ślady sieci we wcześniejszej sekcji tego artykułu. Jeśli już określono wspólny problem z SPN, zobacz następujące artykuły:

Problemy z logowaniem jednokrotnym

Logowanie jednokrotne to metoda uwierzytelniania, która umożliwia użytkownikom logowanie się przy użyciu jednego zestawu poświadczeń do wielu systemów lub aplikacji w jednym intranecie. Aby działać poprawnie, zarówno usługa docelowa (lub składnik frontonu usługi docelowej), jak i klient musi mieć poprawne ustawienia. Aby uzyskać informacje na temat rozwiązywania problemów z tymi ustawieniami, zobacz Rozwiązywanie problemów z logowaniem jednokrotnym protokołu Kerberos.

Problemy z delegowaniem

Jeśli usługa docelowa ma oddzielne składniki front-end i back-end, protokół Kerberos może delegować poświadczenia klienta (w tym uprawnienia dostępu) do konta usługi. Mówiąc prosto, klient uzyskuje dostęp do usługi front-end, a następnie usługa front-end uzyskuje dostęp do usługi back-end w imieniu klienta.

Protokół Kerberos obsługuje trzy typy delegowania:

  • Delegowanie bez ograniczeń. Gdy klient uzyskuje dostęp do usługi front-endowej, ta usługa może uzyskać dostęp do każdej innej usługi w imieniu klienta. Ta konfiguracja jest najłatwiejsza do zaimplementowania, ale jest również najmniej bezpieczna. Nie zalecamy delegowania bez ograniczeń, ponieważ nie ogranicza usług, z którymi może korzystać uwierzytelnione konto.
  • Ograniczone delegowanie. Usługa front-end prowadzi listę usług, do których ma dostęp w imieniu klienta.
  • Ograniczone delegowanie oparte na zasobach (RBCD) Serwis zaplecza utrzymuje listę dozwolonych usług front-end, które mogą wnioskować o dostęp do serwisu zaplecza w imieniu klienta.

Uwaga 16.

Jeśli wystąpi problem podczas korzystania z ograniczonego delegowania razem z funkcją CIFS, zobacz Ograniczone delegowanie dla systemu ciFS kończy się niepowodzeniem z powodu błędu ACCESS_DENIED.

Ważne

  • Nie konfiguruj ograniczonego delegowania i RBCD na tym samym zestawie serwerów front-end i back-end.

    Ograniczone delegowanie i RBCD to różne konfiguracje i wzajemnie się wykluczają. Gdy usługa front-end żąda biletu do usługi back-end, KDC najpierw sprawdza usługę front-end pod kątem ograniczonego delegowania. Jeśli ograniczone delegowanie nie jest skonfigurowane dla usługi części frontowej, KDC sprawdza usługę zaplecza pod kątem ograniczonego delegowania opartego na zasobach. Ze względu na tę sekwencję ograniczone delegowanie ma pierwszeństwo przed delegowaniem opartym na zasobach.

  • Domyślnie przeglądarka Microsoft Edge nie obsługuje ograniczonego delegowania. Jeśli używasz delegowania bez ograniczeń, zobacz Uwierzytelnianie bez ograniczeń protokołu Kerberos z podwójnym przeskokiem w przeglądarce Microsoft Edge (Chromium), aby uzyskać więcej informacji na temat potrzebnej konfiguracji.

  • Delegowanie bez ograniczeń nie jest zalecane, ponieważ nie ogranicza usług, z którymi może korzystać uwierzytelnione konto.

Obsługiwane typy topologii

Różne typy delegowania nakładają różne wymagania na Twoją topologię. W poniższej tabeli wymieniono trzy typowe rodzaje topologii oraz wskazano, jakie rodzaje delegacji (jeśli są) są obsługiwane dla każdego rodzaju.

Typ topologii Delegowanie bez ograniczeń Ograniczone delegowanie RBCD
Wszystkie usługi znajdują się w jednej domenie Obsługiwane (niezalecane) Wsparte Wsparte
Usługi front-end i back-end znajdują się w różnych domenach Obsługiwane (niezalecane) Niewspierane Wsparte
Usługi front-end i back-end znajdują się w różnych (zaufanych) lasach Obsługiwane* (niezalecane) Niewspierane Obsługiwane*

* Upewnij się, że konto usługi front-end może uwierzytelniać się w odpowiedniej relacji zaufania z zaufanym kontrolerem domeny.

Rozwiązywanie problemów z określonymi typami delegowania

Szczegóły konfiguracji delegowania różnią się w zależności od rodzaju delegowania, którego używasz, oraz typu konta, którego używa usługa front-end. Aby rozwiązać problemy z delegowaniem, zapoznaj się z następującymi artykułami, zgodnie z potrzebami:

Używanie scenariusza analizy dzienników do rozwiązywania problemów z uwierzytelnianiem Kerberos

Aby uzyskać zaawansowane testowanie i rozwiązywanie problemów z protokołem Kerberos, zobacz Używanie scenariusza testu analizy dzienników do rozwiązywania problemów z uwierzytelnianiem Kerberos.