Aracılığıyla paylaş

Web Kaydı proxy sayfaları için Kerberos Kısıtlanmış Temsilini yapılandırma

Makale, Web Kaydı proxy sayfaları için özel bir hizmet hesabında KullanıcıDan Ara Sunucuya Hizmet (S4U2Proxy) veya Kerberos Yalnızca Kısıtlanmış Temsili uygulamak için adım adım yönergeler sağlar.

Özgün KB numarası: 4494313

Özet

Bu makalede, Web Kaydı proxy sayfaları için Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsili uygulamak için adım adım yönergeler sağlanır. Bu makalede aşağıdaki yapılandırma senaryoları açıklanmaktadır:

  • Özel hizmet hesabı için temsilci seçmeyi yapılandırma
  • NetworkService hesabına temsilci seçmeyi yapılandırma

Not

Bu makalede açıklanan iş akışları belirli bir ortama özeldir. Aynı iş akışları farklı bir durum için çalışmayabilir. Ancak ilkeler aynı kalır. Aşağıdaki şekilde bu ortam özetlemektedir.
Örnek ortamdaki sunucu türleri.

Senaryo 1: Özel hizmet hesabı için kısıtlanmış temsilci yapılandırma

Bu bölümde, Web Kaydı proxy sayfaları için özel bir hizmet hesabı kullandığınızda Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.

1. Hizmet hesabına SPN ekleme

Hizmet hesabını bir Hizmet Asıl Adı (SPN) ile ilişkilendirin. Bunun için aşağıdaki adımları izleyin:

  1. Active Directory Kullanıcıları ve Bilgisayarları'da etki alanına bağlanın ve PKI PKI Kullanıcıları'nı> seçin.

  2. Hizmet hesabına (örneğin, web_svc) sağ tıklayın ve özellikler'i seçin.

  3. Öznitelik Düzenleyicisi>hizmetiPrincipalName'i seçin.

  4. Yeni SPN dizesini yazın, Ekle'yi seçin (aşağıdaki şekilde gösterildiği gibi) ve ardından Tamam'ı seçin.

    H T T P SPN'lerini ekleme ve yapılandırma yönergeleri.

    SPN'yi yapılandırmak için Windows PowerShell'i de kullanabilirsiniz. Bunu yapmak için yükseltilmiş bir PowerShell penceresi açın ve komutunu çalıştırın setspn -s SPN Accountname. Örneğin, aşağıdaki komutu çalıştırın:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Temsilci seçmeyi yapılandırma

  1. Hizmet hesabında S4U2proxy (yalnızca Kerberos) kısıtlanmış temsili yapılandırın. Bunu yapmak için, hizmet hesabının Özellikler iletişim kutusunda (önceki yordamda açıklandığı gibi), Yalnızca belirtilen hizmetlere temsilci seçmek için Bu kullanıcıya Temsilci>Güven'i seçin. Yalnızca Kerberos kullan'ın seçili olduğundan emin olun.

    Özellikler iletişim kutusundaki Temsilci sekmesinin altında web_svc özelliklerini yapılandırın.

  2. İletişim kutusunu kapatın.

  3. Konsol ağacında Bilgisayarlar'ı ve ardından Web Kaydı ön uç sunucusunun bilgisayar hesabını seçin.

    Not

    Bu hesap "makine hesabı" olarak da bilinir.

  4. Bilgisayar hesabında S4U2self (Protokol Geçişi) kısıtlanmış temsilini yapılandırın. Bunu yapmak için bilgisayar hesabına sağ tıklayın ve ardından Özellikler>Temsilci Temsilcisi>Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin. Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

    Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven seçeneğinin altında Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

3. Web kaydı için SSL sertifikası oluşturma ve bağlama

Web kayıt sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu Varsayılan Web Sitesine bağlayın. Bunun için aşağıdaki adımları izleyin:

  1. İnternet Bilgi Hizmetleri (IIS) Yöneticisini açın.

  2. Konsol ağacında <KonakAdı'nı> ve ardından Sunucu Sertifikaları'nı seçin.

    Not

    <HostName> , ön uç web sunucusunun adıdır.
    Web sitesi için bir etki alanı sertifikası ekleyin.

  3. Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.

  4. Sertifika oluşturulduktan sonra konsol ağacında Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.

  5. Bağlantı noktasının 443 olarak ayarlandığından emin olun. Ardından SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin.

    1. senaryo için sertifika ekleyin ve 443 numaralı bağlantı noktasına bağlayın.

  6. Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.

4. Web Kaydı ön uç sunucusunu hizmet hesabını kullanacak şekilde yapılandırın

Önemli

Hizmet hesabının web sunucusundaki yerel yöneticiler veya IIS_Users grubunun parçası olduğundan emin olun.
Web sunucusundaki hizmet hesabının grupları.

  1. DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.

    Uygulama havuzlarını Gelişmiş Ayarlar'ı yapılandırın.

  2. model>kimliğini işle'yi seçin, Özel hesap'ı ve ardından Ayarla'yı seçin. Hizmet hesabının adını ve parolasını belirtin.

    Uygulama Havuzu Kimliği'ni özel hizmet hesabı olarak yapılandırın.

  3. Kimlik Bilgilerini ve Uygulama Havuzu Kimliğini Ayarla iletişim kutularında Tamam'ı seçin.

  4. Gelişmiş Ayarlar'da Kullanıcı Profilini Yükle'yi bulun ve Doğru olarak ayarlandığından emin olun.

    Kullanıcı Profilini Yükle ayarını True olarak ayarlayın.

  5. Bilgisayarı yeniden başlatın.

Senaryo 2: NetworkService hesabında kısıtlanmış temsili yapılandırma

Bu bölümde, Web Kaydı proxy sayfaları için NetworkService hesabını kullandığınızda S4U2Proxy veya Kerberos-only kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.

İsteğe bağlı adım: Bağlantılar için kullanılacak bir ad yapılandırma

İstemcilerin bağlanmak için kullanabileceği Web Kaydı rolüne bir ad atayabilirsiniz. Bu yapılandırma, gelen isteklerin Web Kaydı ön uç sunucusunun bilgisayar adını veya DNS kurallı adı (CNAME) gibi diğer yönlendirme bilgilerini bilmesi gerekmediği anlamına gelir.

Örneğin, Web Kayıt sunucunuzun bilgisayar adının WEBENROLLMAC (Contoso etki alanında) olduğunu varsayalım. Bunun yerine gelen bağlantıların ContosoWebEnroll adını kullanmasını istiyorsunuz. Bu durumda bağlantı URL'si aşağıdaki gibi olacaktır:

https://contosowebenroll.contoso.com/certsrv

Bu, aşağıdaki gibi olmaz:

https://WEBENROLLMAC.contoso.com/certsrv

Böyle bir yapılandırmayı kullanmak için şu adımları izleyin:

  1. Etki alanının DNS bölgesi dosyasında, yeni bağlantı adını Web Kaydı rolü IP adresiyle eşleyen bir diğer ad kaydı veya ana bilgisayar adı kaydı oluşturun. Yönlendirme yapılandırmasını test etmek için Ping aracını kullanın.

    Daha önce açıklanan örnekte, bölge dosyasının Contoso.com ContosoWebEnroll'ı Web Kaydı rolünün IP adresine eşleyen bir diğer ad kaydı vardır.

  2. Yeni adı Web Kaydı ön uç sunucusu için SPN olarak yapılandırın. Bunun için aşağıdaki adımları izleyin:

    1. Active Directory Kullanıcıları ve Bilgisayarları etki alanına bağlanın ve ardından Bilgisayarlar'ı seçin.
    2. Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.

      Not

      Bu hesap "makine hesabı" olarak da bilinir.

    3. Öznitelik Düzenleyicisi>hizmetiPrincipalName'i seçin.
    4. HTTP/ConnectionName> yazın.<<DomainName.com> Ekle'yi ve ardından Tamam'ı seçin.

      Not

      Bu dizede, <ConnectionName> tanımladığınız yeni addır ve< DomainName> de etki alanının adıdır. Örnekte dize HTTP/ContosoWebEnroll.contoso.com'dir. Ön uç sunucu bilgisayar hesabına bir S P N ekleyin.

1. Temsilci seçmeyi yapılandırma

  1. Etki alanına henüz bağlanmadıysanız, bunu şimdi Active Directory Kullanıcıları ve Bilgisayarları'de yapın ve ardından Bilgisayarlar'ı seçin.

  2. Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.

    Not

    Bu hesap "makine hesabı" olarak da bilinir.

  3. Temsilci Seç'i ve ardından Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin.

    Not

    İstemcilerin bu sunucuya bağlanırken her zaman Kerberos kimlik doğrulamasını kullanacağını garanti edebilirseniz Yalnızca Kerberos kullan'ı seçin. Bazı istemciler NTLM veya form tabanlı kimlik doğrulaması gibi başka kimlik doğrulama yöntemleri kullanacaksa, Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

    Web sunucusu bilgisayar hesabında temsilci seçmeyi yapılandırın.

2. Web kaydı için SSL sertifikası oluşturma ve bağlama

Web kayıt sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu varsayılan ilk siteye bağlayın. Bunun için aşağıdaki adımları izleyin:

  1. IIS Yöneticisi'ni açın.

  2. Konsol ağacında KonakAdı'nı> ve< ardından eylemler bölmesinde Sunucu Sertifikaları'nı seçin.

    Not

    <HostName> , ön uç web sunucusunun adıdır. Web sitesi için bir etki alanı sertifikası ekleyin.

  3. Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.

  4. Sertifika oluşturulduktan sonra Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.

  5. Bağlantı noktasının 443 olarak ayarlandığından emin olun. Ardından, SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin. Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.

    Sertifika ekleyin ve 443 numaralı bağlantı noktasına bağlayın.

3. Web Kaydı ön uç sunucusunu NetworkService hesabını kullanacak şekilde yapılandırın

  1. DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.

    Varsayılan uygulama havuzunun Gelişmiş Ayarlar'ı seçin.

  2. İşlem Modeli>Kimliği'ne tıklayın. Yerleşik hesabın seçili olduğundan emin olun ve ardından NetworkService'i seçin. Ardından Tamam'ı seçin.

    Uygulama Havuzu Kimliği'ni yerleşik NetworkService hesabı olarak yapılandırın.

  3. Gelişmiş Özellikler'de Kullanıcı Profilini Yükle'yi bulun ve True olarak ayarlandığından emin olun.

    İlerleme Ayarları'nda Kullanıcı Profilini Yükle'yi True olarak ayarlayın.

  4. IIS hizmetini yeniden başlatın.

Bu işlemler hakkında daha fazla bilgi için bkz . Web Uygulaması Kullanıcılarının Kimliğini Doğrulama.

S4U2self ve S4U2proxy protokol uzantıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın: