Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Antes de usar os procedimentos neste artigo, siga as etapas na lista de verificação de solução de problemas kerberos. As causas mais comuns de problemas relacionados ao Kerberos são problemas de infraestrutura e problemas de SPN (Service Principal Name, nome da entidade de serviço). A lista de verificação ajuda você a identificar esses problemas.
Se o serviço de destino tiver componentes de front-end e back-end separados, o Kerberos poderá delegar credenciais de cliente (incluindo permissões de acesso) a uma conta de serviço. Em termos simples, primeiro o cliente acessa o serviço front-end e, em seguida, o serviço front-end acessa o serviço de back-end em nome do cliente. No caso da RBCD (delegação restrita baseada em recursos), o serviço de back-end mantém uma lista de serviços que podem acessá-la em nome de um cliente. Essa lista está associada à conta que o serviço de back-end usa. Você precisa usar o Windows PowerShell para definir essa configuração.
Observação
Você deve usar o módulo do ActiveDirectory PowerShell para esses procedimentos. Para garantir que seu ambiente tenha o módulo correto do PowerShell, abra uma janela do PowerShell e execute os seguintes comandos na ordem fornecida:
Add-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
Os detalhes de configuração diferem dependendo do tipo de conta que o serviço front-end usa. Este artigo fornece procedimentos separados para diferentes tipos de contas de serviço:
- Solução de problemas do KERBEROS RBCD se estiver usando uma conta de serviço interna
- Solução de problemas do KERBEROS RBCD se estiver usando uma conta de serviço personalizada
Solução de problemas do KERBEROS RBCD se estiver usando uma conta de serviço interna
Para verificar a configuração de delegação de servidor de back-end (recurso), abra uma janela de prompt de comando do Windows PowerShell e execute o seguinte cmdlet:
Get-ADComputer -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccountObservação
Nesse comando, <BackEndSvcAcct> representa a conta de serviço de back-end (nesse caso, o nome do computador de back-end).
Esse cmdlet recupera a lista de entidades de segurança que podem delegar ao serviço de retaguarda. Execute uma dessas ações:
- Se essa lista incluir a conta de serviço que o serviço front-end está usando, o RBCD será configurado corretamente. Pule para a etapa 3.
- Se essa lista não incluir a conta de serviço que o serviço front-end está usando, vá para a próxima etapa.
Para configurar o RBCD na conta de serviço de back-end, execute o seguinte cmdlet:
Set-ADComputer -AuthType Negotiate -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount <FrontEndSvcAcct>Observação
Neste comando, <BackEndSvcAcct> representa a conta de serviço de back-end e <FrontEndSvcAcct> representa a conta de serviço front-end.
Verifique as opções da conta de serviço front-end. Use usuários e computadores do Active Directory (disponível no menu Ferramentas do Gerenciador de Servidores) para estas etapas.
- Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse na conta de serviço (normalmente no contêiner Computadores) e selecioneContade Propriedades>.
- Examine as configurações de opções de conta . Verifique se a conta é confidencial e não pode ser delegada não está selecionada.
- Selecione OK.
Solução de problemas do KERBEROS RBCD se estiver usando uma conta de serviço personalizada
Para verificar a configuração de delegação do servidor de back-end (recurso), abra uma janela de prompt de comando do PowerShell e execute o seguinte cmdlet:
Get-ADUser -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccountImportante
Se o serviço de back-end usar uma conta de serviço gerenciada, use
Get-ADServiceAccountem vez deGet-ADUser.Observação
Neste comando, <BackEndSvcAcct> representa a conta de serviço de back-end.
Esse cmdlet recupera a lista de principais que podem delegar ao serviço de back-end. Execute uma dessas ações:
- Se essa lista incluir a conta de serviço que o serviço front-end está usando, o RBCD será configurado corretamente. Pule para a etapa 3.
- Se essa lista não incluir a conta de serviço que o serviço front-end está usando, vá para a próxima etapa.
Para configurar o RBCD na conta de serviço de back-end, execute o seguinte cmdlet:
Set-ADUser -Identity <BackEndSvcAcct> -PrincipalsAllowedToDelegateToAccount <FrontEndSvcAcct>Importante
Se os serviços usarem uma conta de serviço gerenciada, use Get-ADServiceAccount em vez de Get-ADUser.
Observação
Nesses comandos, <BackEndSvcAcct> representa a conta de serviço de back-end e <FrontEndSvcAcct> representa a conta de serviço front-end.
Verifique as opções da conta de serviço front-end. Use usuários e computadores do Active Directory (disponível no menu Ferramentas do Gerenciador de Servidores) para estas etapas.
- Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse na conta de serviço (normalmente no contêiner Usuários) e selecioneContade Propriedades>.
- Examine as configurações de opções de conta . Verifique se a conta é confidencial e não pode ser delegada não está selecionada.
- Selecione OK.