Web Kaydı proxy sayfaları için Kerberos Kısıtlanmış Temsilini yapılandırma
Makale, Web Kaydı proxy sayfaları için özel bir hizmet hesabında Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Kerberos Yalnızca Kısıtlanmış Temsili uygulamak için adım adım yönergeler sağlar.
Özgün KB numarası: 4494313
Özet
Bu makalede, Web Kaydı proxy sayfaları için Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsili uygulamak için adım adım yönergeler sağlanır. Bu makalede aşağıdaki yapılandırma senaryoları açıklanmaktadır:
- Özel hizmet hesabı için temsilci seçmeyi yapılandırma
- NetworkService hesabına temsilci seçmeyi yapılandırma
Not
Bu makalede açıklanan iş akışları belirli bir ortama özeldir. Aynı iş akışları farklı bir durum için çalışmayabilir. Ancak, ilkeler aynı kalır. Aşağıdaki şekilde bu ortam özetlemektedir.
Senaryo 1: Özel hizmet hesabı için kısıtlanmış temsili yapılandırma
Bu bölümde, Web Kaydı proxy sayfaları için özel bir hizmet hesabı kullandığınızda Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.
1. Hizmet hesabına SPN ekleme
Hizmet hesabını bir Hizmet Asıl Adı (SPN) ile ilişkilendirin. Bunu yapmak için şu adımları uygulayın:
Active Directory Kullanıcıları ve Bilgisayarları'nda etki alanına bağlanın ve PKI PKIKullanıcıları'nı> seçin.
Hizmet hesabına sağ tıklayın (örneğin, web_svc) ve ardından Özellikler'i seçin.
Öznitelik Düzenleyicisi>servicePrincipalName'i seçin.
Yeni SPN dizesini yazın, Ekle'yi seçin (aşağıdaki şekilde gösterildiği gibi) ve ardından Tamam'ı seçin.
SPN'yi yapılandırmak için Windows PowerShell'i de kullanabilirsiniz. Bunu yapmak için yükseltilmiş bir PowerShell penceresi açın ve komutunu çalıştırın
setspn -s SPN Accountname
. Örneğin, aşağıdaki komutu çalıştırın:setspn -s HTTP/webenroll2016.contoso.com web_svc
2. Temsilci seçmeyi yapılandırma
Hizmet hesabında S4U2proxy (yalnızca Kerberos) kısıtlanmış temsilini yapılandırın. Bunu yapmak için, hizmet hesabının Özellikler iletişim kutusunda (önceki yordamda açıklandığı gibi),Yalnızca belirtilen hizmetlere temsilci seçmek için Bu kullanıcıya Temsilci> Güven'i seçin. Yalnızca Kerberos kullan'ın seçili olduğundan emin olun.
İletişim kutusunu kapatın.
Konsol ağacında Bilgisayarlar'ı ve ardından Web Kaydı ön uç sunucusunun bilgisayar hesabını seçin.
Not
Bu hesap "makine hesabı" olarak da bilinir.
Bilgisayar hesabında S4U2self (Protokol Geçişi) kısıtlanmış temsilini yapılandırın. Bunu yapmak için bilgisayar hesabına sağ tıklayın ve ardından Özellikler>Temsilci Seçme>Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin. Herhangi bir kimlik doğrulama protokollerini kullan'ı seçin.
3. Web kaydı için SSL sertifikası oluşturma ve bağlama
Web kaydı sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu Varsayılan Web Sitesine bağlayın. Bunu yapmak için şu adımları uygulayın:
Internet Information Services (IIS) Yöneticisi'ne gidin.
Konsol ağacında HostName'i>< ve ardından Sunucu Sertifikaları'nı seçin.
Not
<Hostname> ön uç web sunucusunun adıdır.
Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.
Sertifika oluşturulduktan sonra konsol ağacında Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.
Bağlantı noktasının443 olarak ayarlandığından emin olun. Ardından SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin.
Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.
4. Web Kaydı ön uç sunucusunu hizmet hesabını kullanacak şekilde yapılandırın
Önemli
Hizmet hesabının web sunucusundaki yerel yöneticilerin veya IIS_Users grubunun parçası olduğundan emin olun.
DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.
İşlem Modeli>Kimliği'ne tıklayın, Özel hesap'ı ve ardından Ayarla'yı seçin. Hizmet hesabının adını ve parolasını belirtin.
Kimlik Bilgilerini ve Uygulama Havuzu Kimliğini Ayarla iletişim kutularında Tamam'ı seçin.
Gelişmiş Ayarlar'daKullanıcı Profilini Yükle'yi bulun ve Doğru olarak ayarlandığından emin olun.
Bilgisayarınızı yeniden başlatın.
Senaryo 2: NetworkService hesabında kısıtlanmış temsili yapılandırma
Bu bölümde, Web Kaydı proxy sayfaları için NetworkService hesabını kullandığınızda S4U2Proxy veya Kerberos-only kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.
İsteğe bağlı adım: Bağlantılar için kullanılacak bir ad yapılandırma
İstemcilerin bağlanmak için kullanabileceği Web Kaydı rolüne bir ad atayabilirsiniz. Bu yapılandırma, gelen isteklerin Web Kaydı ön uç sunucusunun bilgisayar adını veya DNS kurallı adı (CNAME) gibi diğer yönlendirme bilgilerini bilmesi gerekmediği anlamına gelir.
Örneğin, Web Kayıt sunucunuzun bilgisayar adının WEBENROLLMAC (Contoso etki alanında) olduğunu varsayalım. Gelen bağlantıların bunun yerine ContosoWebEnroll adını kullanmasını istiyorsunuz. Bu durumda bağlantı URL'si şu şekilde olacaktır:
https://contosowebenroll.contoso.com/certsrv
Bu, aşağıdaki gibi olmayacaktır:
https://WEBENROLLMAC.contoso.com/certsrv
Böyle bir yapılandırmayı kullanmak için şu adımları izleyin:
Etki alanının DNS bölgesi dosyasında, yeni bağlantı adını Web Kaydı rolü IP adresiyle eşleyen bir diğer ad kaydı veya ana bilgisayar adı kaydı oluşturun. Yönlendirme yapılandırmasını test etmek için Ping aracını kullanın.
Daha önce ele alınan örnekte, bölge dosyasının
Contoso.com
ContosoWebEnroll'u Web Kaydı rolünün IP adresiyle eşleyen bir diğer ad kaydı vardır.Web Kaydı ön uç sunucusu için yeni adı SPN olarak yapılandırın. Bunu yapmak için şu adımları uygulayın:
- Active Directory Kullanıcıları ve Bilgisayarları'nda etki alanına bağlanın ve ardından Bilgisayarlar'ı seçin.
- Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.
Not
Bu hesap "makine hesabı" olarak da bilinir.
- Öznitelik Düzenleyicisi>servicePrincipalName'i seçin.
- HTTP/<ConnectionName> yazın.<DomainName.com>Ekle'yi ve ardından Tamam'ı seçin.
Not
Bu dizede, <ConnectionName> tanımladığınız yeni addır ve <DomainName> de etki alanının adıdır. Örnekte, dize HTTP/ContosoWebEnroll.contoso.com'dir.
1. Temsilci seçmeyi yapılandırma
Etki alanına henüz bağlanmadıysanız, bunu şimdi Active Directory Kullanıcıları ve Bilgisayarları'nda yapın ve ardından Bilgisayarlar'ı seçin.
Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.
Not
Bu hesap "makine hesabı" olarak da bilinir.
Temsilci seçme'yi ve ardından Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin.
Not
İstemcilerin bu sunucuya bağlandığında her zaman Kerberos kimlik doğrulamasını kullanacağını garanti edebilirseniz Yalnızca Kerberos kullan'ı seçin. Bazı istemciler NTLM veya form tabanlı kimlik doğrulaması gibi diğer kimlik doğrulama yöntemlerini kullanacaksa Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.
2. Web kaydı için SSL sertifikası oluşturma ve bağlama
Web kaydı sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu varsayılan ilk siteye bağlayın. Bunu yapmak için şu adımları uygulayın:
IIS Yöneticisi'ne tıklayın.
Konsol ağacında HostName'i> ve < ardından eylemler bölmesinde Sunucu Sertifikaları'nı seçin.
Not
<Hostname> ön uç web sunucusunun adıdır.
Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.
Sertifika oluşturulduktan sonra Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.
Bağlantı noktasının443 olarak ayarlandığından emin olun. Ardından , SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin. Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.
3. Web Kaydı ön uç sunucusunu NetworkService hesabını kullanacak şekilde yapılandırın
DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.
İşlem Modeli>Kimliği'ne tıklayın. Yerleşik hesabın seçili olduğundan emin olun ve ardından NetworkService'i seçin. Ardından Tamam'ı seçin.
Gelişmiş Özellikler'deKullanıcı Profilini Yükle'yi bulun ve Doğru olarak ayarlandığından emin olun.
IIS hizmetini yeniden başlatın.
İlgili konular
Bu işlemler hakkında daha fazla bilgi için bkz. Web Uygulaması Kullanıcılarının Kimliğini Doğrulama.
S4U2self ve S4U2proxy protokol uzantıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin