Dela via

Så här konfigurerar du Kerberos-begränsad delegering för proxysidor för webbregistrering

  • Artikel

Artikeln innehåller stegvisa instruktioner för att implementera Tjänst för användare till proxy (S4U2Proxy) eller Kerberos Endast begränsad delegering på ett anpassat tjänstkonto för proxysidor för webbregistrering.

Ursprungligt KB-nummer: 4494313

Sammanfattning

Den här artikeln innehåller stegvisa instruktioner för att implementera Service for User to Proxy (S4U2Proxy) eller Kerberos-begränsad delegering för proxysidor för webbregistrering. I den här artikeln beskrivs följande konfigurationsscenarier:

  • Konfigurera delegering för ett anpassat tjänstkonto
  • Konfigurera delegering till NetworkService-kontot

Obs!

De arbetsflöden som beskrivs i den här artikeln är specifika för en viss miljö. Samma arbetsflöden kanske inte fungerar i en annan situation. Principerna förblir dock desamma. Följande bild sammanfattar den här miljön.
Typer av servrar i exempelmiljön.

Scenario 1: Konfigurera begränsad delegering för ett anpassat tjänstkonto

I det här avsnittet beskrivs hur du implementerar tjänst för användare till proxy (S4U2Proxy) eller begränsad kerberos-begränsad delegering när du använder ett anpassat tjänstkonto för proxysidorna för webbregistrering.

1. Lägg till ett SPN i tjänstkontot

Associera tjänstkontot med ett SPN (Service Principal Name). Gör så här:

  1. I Active Directory Användare och datorer ansluter du till domänen och väljer sedan PKI>PKI-användare.

  2. Högerklicka på tjänstkontot (till exempel web_svc) och välj sedan Egenskaper.

  3. Välj Attributredigerarens>tjänstPrincipalName.

  4. Skriv den nya SPN-strängen, välj Lägg till (som visas i följande bild) och välj sedan OK.

    Vägledning för att lägga till och konfigurera H T T P SPN: er.

    Du kan också använda Windows PowerShell för att konfigurera SPN. Det gör du genom att öppna ett upphöjt PowerShell-fönster och sedan köra setspn -s SPN Accountname. Kör till exempel följande kommando:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Konfigurera delegeringen

  1. Konfigurera S4U2proxy(endast Kerberos) begränsad delegering på tjänstkontot. Det gör du genom att i dialogrutan Egenskaper för tjänstkontot (enligt beskrivningen i föregående procedur) välja Delegering>Lita på den här användaren endast för delegering till angivna tjänster. Kontrollera att Använd endast Kerberos är markerat.

    Konfigurera web_svc egenskaper under fliken Delegering i dialogrutan Egenskaper.

  2. Stäng dialogrutan.

  3. I konsolträdet väljer du Datorer och sedan datorkontot för klientdelsservern för webbregistrering.

    Obs!

    Det här kontot kallas även "datorkontot".

  4. Konfigurera S4U2self-begränsad delegering (protokollövergång) på datorkontot. Det gör du genom att högerklicka på datorkontot och sedan välja Egenskaper>Delegering>Lita på den här datorn för delegering endast till angivna tjänster. Välj Använd valfritt autentiseringsprotokoll.

    Välj Använd valfritt autentiseringsprotokoll under alternativet Lita på den här datorn för delegering till angivna tjänster.

3. Skapa och binda SSL-certifikatet för webbregistrering

Om du vill aktivera webbregistreringssidorna skapar du ett domäncertifikat för webbplatsen och binder det sedan till standardwebbplatsen. Gör så här:

  1. Öppna IIS-hanteraren (Internet Information Services).

  2. I konsolträdet väljer du <HostName> och sedan Servercertifikat.

    Obs!

    < Värdnamn> är namnet på klientwebbservern.
    Lägg till ett domäncertifikat för webbplatsen.

  3. I menyn Åtgärder väljer du Skapa ett domäncertifikat.

  4. När certifikatet har skapats väljer du Standardwebbplats i konsolträdet och sedan Bindningar.

  5. Kontrollera att Porten är inställd på 443. Under SSL-certifikat väljer du sedan det certifikat som du skapade i steg 3.

    Lägg till certifikat och binda det till port 443 för scenario 1.

  6. Välj OK för att binda certifikatet till port 443.

4. Konfigurera klientdelsservern för webbregistrering att använda tjänstkontot

Viktigt

Kontrollera att tjänstkontot ingår i antingen den lokala administratören eller IIS_Users grupp på webbservern.
Grupper för tjänstkontot på webbservern.

  1. Högerklicka på DefaultAppPool och välj sedan Avancerade inställningar.

    Konfigurera avancerade inställningar för programpooler.

  2. Välj Processmodellidentitet>, välj Anpassat konto och sedan Ange. Ange namnet och lösenordet för tjänstkontot.

    Konfigurera programpoolsidentiteten som anpassat tjänstkonto.

  3. Välj OK i dialogrutorna Ange autentiseringsuppgifter och programpoolsidentitet .

  4. I Avancerade inställningar letar du upp Läs in användarprofil och kontrollerar att den är inställd på Sant.

    Ange inställningen Läs in användarprofil till Sant.

  5. Starta om datorn.

Scenario 2: Konfigurera begränsad delegering på NetworkService-kontot

Det här avsnittet beskriver hur du implementerar S4U2Proxy- eller Kerberos-begränsad delegering när du använder NetworkService-kontot för proxysidorna för webbregistrering.

Valfritt steg: Konfigurera ett namn som ska användas för anslutningar

Du kan tilldela ett namn till webbregistreringsrollen som klienter kan använda för att ansluta. Den här konfigurationen innebär att inkommande begäranden inte behöver känna till datornamnet för klientdelsservern för webbregistrering eller annan routningsinformation som dns-kanoniskt namn (CNAME).

Anta till exempel att datornamnet för webbregistreringsservern är WEBENROLLMAC (i Contoso-domänen). Du vill att inkommande anslutningar ska använda namnet ContosoWebEnroll i stället. I det här fallet skulle anslutnings-URL:en vara följande:

https://contosowebenroll.contoso.com/certsrv

Det skulle inte vara följande:

https://WEBENROLLMAC.contoso.com/certsrv

Följ dessa steg om du vill använda en sådan konfiguration:

  1. I DNS-zonfilen för domänen skapar du en aliaspost eller en värdnamnspost som mappar det nya anslutningsnamnet till IP-adressen för webbregistreringsrollen. Använd pingverktyget för att testa routningskonfigurationen.

    I exemplet som beskrevs Contoso.com tidigare har zonfilen en aliaspost som mappar ContosoWebEnroll till IP-adressen för webbregistreringsrollen.

  2. Konfigurera det nya namnet som ett SPN för klientdelsservern för webbregistrering. Gör så här:

    1. I Active Directory Användare och datorer ansluter du till domänen och väljer sedan Datorer.
    2. Högerklicka på datorkontot för klientdelsservern för webbregistrering och välj sedan Egenskaper.

      Obs!

      Det här kontot kallas även "datorkontot".

    3. Välj Attributredigerarens>tjänstPrincipalName.
    4. Skriv HTTP/<ConnectionName>.<DomainName.com>, välj Lägg till och välj sedan OK.

      Obs!

      I den här strängen < är ConnectionName> det nya namn som du har definierat och <DomainName> är namnet på domänen. I exemplet är strängen HTTP/ContosoWebEnroll.contoso.com. Lägg till en S P N till klientdelsserverns datorkonto.

1. Konfigurera delegeringen

  1. Om du inte redan har anslutit till domänen gör du det nu i Active Directory-användare och datorer och väljer sedan Datorer.

  2. Högerklicka på datorkontot för klientdelsservern för webbregistrering och välj sedan Egenskaper.

    Obs!

    Det här kontot kallas även "datorkontot".

  3. Välj Delegering och välj sedan Lita på den här datorn för delegering till endast angivna tjänster.

    Obs!

    Om du kan garantera att klienter alltid använder Kerberos-autentisering när de ansluter till den här servern väljer du Använd endast Kerberos. Om vissa klienter använder andra autentiseringsmetoder, till exempel NTLM eller formulärbaserad autentisering, väljer du Använd valfritt autentiseringsprotokoll.

    Konfigurera delegering på webbserverns datorkonto.

2. Skapa och binda SSL-certifikatet för webbregistrering

Om du vill aktivera webbregistreringssidorna skapar du ett domäncertifikat för webbplatsen och binder det sedan till den första standardwebbplatsen. Gör så här:

  1. Öppna IIS-hanteraren.

  2. I konsolträdet väljer du <HostName> och sedan Servercertifikat i åtgärdsfönstret .

    Obs!

    < Värdnamn> är namnet på klientwebbservern. Lägg till ett domäncertifikat för webbplatsen.

  3. I menyn Åtgärder väljer du Skapa ett domäncertifikat.

  4. När certifikatet har skapats väljer du Standardwebbplats och sedan Bindningar.

  5. Kontrollera att Porten är inställd på 443. Under SSL-certifikat väljer du sedan det certifikat som du skapade i steg 3. Välj OK för att binda certifikatet till port 443.

    Lägg till certifikat och binda det till port 443.

3. Konfigurera klientdelsservern för webbregistrering så att den använder NetworkService-kontot

  1. Högerklicka på DefaultAppPool och välj sedan Avancerade inställningar.

    Välj Avancerade inställningar för standardprogrampoolen.

  2. Välj Processmodellidentitet>. Kontrollera att Det inbyggda kontot är markerat och välj sedan NetworkService. Välj sedan OK.

    Konfigurera programpoolens identitet som det inbyggda NetworkService-kontot.

  3. I Avancerade egenskaper letar du upp Läs in användarprofil och kontrollerar sedan att den är inställd på Sant.

    Ange Läs in användarprofilen till True i inställningarna för förskott.

  4. Starta om IIS-tjänsten.

Mer information om dessa processer finns i Autentisera webbprogramanvändare.

Mer information om protokolltilläggen S4U2self och S4U2proxy finns i följande artiklar: