Aracılığıyla paylaş

Web Kaydı proxy sayfaları için Kerberos Kısıtlanmış Temsilini yapılandırma

  • Makale

Makale, Web Kaydı proxy sayfaları için özel bir hizmet hesabında Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Kerberos Yalnızca Kısıtlanmış Temsili uygulamak için adım adım yönergeler sağlar.

Özgün KB numarası: 4494313

Özet

Bu makalede, Web Kaydı proxy sayfaları için Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsili uygulamak için adım adım yönergeler sağlanır. Bu makalede aşağıdaki yapılandırma senaryoları açıklanmaktadır:

  • Özel hizmet hesabı için temsilci seçmeyi yapılandırma
  • NetworkService hesabına temsilci seçmeyi yapılandırma

Not

Bu makalede açıklanan iş akışları belirli bir ortama özeldir. Aynı iş akışları farklı bir durum için çalışmayabilir. Ancak, ilkeler aynı kalır. Aşağıdaki şekilde bu ortam özetlemektedir.
Örnek ortamdaki sunucu türleri.

Senaryo 1: Özel hizmet hesabı için kısıtlanmış temsili yapılandırma

Bu bölümde, Web Kaydı proxy sayfaları için özel bir hizmet hesabı kullandığınızda Kullanıcıdan Ara Sunucuya Hizmet (S4U2Proxy) veya Yalnızca Kerberos kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.

1. Hizmet hesabına SPN ekleme

Hizmet hesabını bir Hizmet Asıl Adı (SPN) ile ilişkilendirin. Bunu yapmak için şu adımları uygulayın:

  1. Active Directory Kullanıcıları ve Bilgisayarları'nda etki alanına bağlanın ve PKI PKIKullanıcıları'nı> seçin.

  2. Hizmet hesabına sağ tıklayın (örneğin, web_svc) ve ardından Özellikler'i seçin.

  3. Öznitelik Düzenleyicisi>servicePrincipalName'i seçin.

  4. Yeni SPN dizesini yazın, Ekle'yi seçin (aşağıdaki şekilde gösterildiği gibi) ve ardından Tamam'ı seçin.

    H T P SPN'lerini ekleme ve yapılandırma kılavuzu.

    SPN'yi yapılandırmak için Windows PowerShell'i de kullanabilirsiniz. Bunu yapmak için yükseltilmiş bir PowerShell penceresi açın ve komutunu çalıştırın setspn -s SPN Accountname. Örneğin, aşağıdaki komutu çalıştırın:

    setspn -s HTTP/webenroll2016.contoso.com web_svc

2. Temsilci seçmeyi yapılandırma

  1. Hizmet hesabında S4U2proxy (yalnızca Kerberos) kısıtlanmış temsilini yapılandırın. Bunu yapmak için, hizmet hesabının Özellikler iletişim kutusunda (önceki yordamda açıklandığı gibi),Yalnızca belirtilen hizmetlere temsilci seçmek için Bu kullanıcıya Temsilci> Güven'i seçin. Yalnızca Kerberos kullan'ın seçili olduğundan emin olun.

    Özellikler iletişim kutusundaki Temsilci sekmesinin altında web_svc özelliklerini yapılandırın.

  2. İletişim kutusunu kapatın.

  3. Konsol ağacında Bilgisayarlar'ı ve ardından Web Kaydı ön uç sunucusunun bilgisayar hesabını seçin.

    Not

    Bu hesap "makine hesabı" olarak da bilinir.

  4. Bilgisayar hesabında S4U2self (Protokol Geçişi) kısıtlanmış temsilini yapılandırın. Bunu yapmak için bilgisayar hesabına sağ tıklayın ve ardından Özellikler>Temsilci Seçme>Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin. Herhangi bir kimlik doğrulama protokollerini kullan'ı seçin.

    Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven seçeneğinin altında Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

3. Web kaydı için SSL sertifikası oluşturma ve bağlama

Web kaydı sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu Varsayılan Web Sitesine bağlayın. Bunu yapmak için şu adımları uygulayın:

  1. Internet Information Services (IIS) Yöneticisi'ne gidin.

  2. Konsol ağacında HostName'i>< ve ardından Sunucu Sertifikaları'nı seçin.

    Not

    <Hostname> ön uç web sunucusunun adıdır.
    Web sitesi için bir etki alanı sertifikası ekleyin.

  3. Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.

  4. Sertifika oluşturulduktan sonra konsol ağacında Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.

  5. Bağlantı noktasının443 olarak ayarlandığından emin olun. Ardından SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin.

    Senaryo 1 için sertifika ekleyin ve 443 numaralı bağlantı noktasına bağlayın.

  6. Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.

4. Web Kaydı ön uç sunucusunu hizmet hesabını kullanacak şekilde yapılandırın

Önemli

Hizmet hesabının web sunucusundaki yerel yöneticilerin veya IIS_Users grubunun parçası olduğundan emin olun.
Web sunucusundaki hizmet hesabı için gruplar.

  1. DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.

    Uygulama havuzlarını Gelişmiş Ayarlar'ı yapılandırın.

  2. İşlem Modeli>Kimliği'ne tıklayın, Özel hesap'ı ve ardından Ayarla'yı seçin. Hizmet hesabının adını ve parolasını belirtin.

    Uygulama Havuzu Kimliği'ni özel hizmet hesabı olarak yapılandırın.

  3. Kimlik Bilgilerini ve Uygulama Havuzu Kimliğini Ayarla iletişim kutularında Tamam'ı seçin.

  4. Gelişmiş Ayarlar'daKullanıcı Profilini Yükle'yi bulun ve Doğru olarak ayarlandığından emin olun.

    Kullanıcı Profilini Yükle ayarını True olarak ayarlayın.

  5. Bilgisayarınızı yeniden başlatın.

Senaryo 2: NetworkService hesabında kısıtlanmış temsili yapılandırma

Bu bölümde, Web Kaydı proxy sayfaları için NetworkService hesabını kullandığınızda S4U2Proxy veya Kerberos-only kısıtlanmış temsilinin nasıl uygulandığı açıklanmaktadır.

İsteğe bağlı adım: Bağlantılar için kullanılacak bir ad yapılandırma

İstemcilerin bağlanmak için kullanabileceği Web Kaydı rolüne bir ad atayabilirsiniz. Bu yapılandırma, gelen isteklerin Web Kaydı ön uç sunucusunun bilgisayar adını veya DNS kurallı adı (CNAME) gibi diğer yönlendirme bilgilerini bilmesi gerekmediği anlamına gelir.

Örneğin, Web Kayıt sunucunuzun bilgisayar adının WEBENROLLMAC (Contoso etki alanında) olduğunu varsayalım. Gelen bağlantıların bunun yerine ContosoWebEnroll adını kullanmasını istiyorsunuz. Bu durumda bağlantı URL'si şu şekilde olacaktır:

https://contosowebenroll.contoso.com/certsrv

Bu, aşağıdaki gibi olmayacaktır:

https://WEBENROLLMAC.contoso.com/certsrv

Böyle bir yapılandırmayı kullanmak için şu adımları izleyin:

  1. Etki alanının DNS bölgesi dosyasında, yeni bağlantı adını Web Kaydı rolü IP adresiyle eşleyen bir diğer ad kaydı veya ana bilgisayar adı kaydı oluşturun. Yönlendirme yapılandırmasını test etmek için Ping aracını kullanın.

    Daha önce ele alınan örnekte, bölge dosyasının Contoso.com ContosoWebEnroll'u Web Kaydı rolünün IP adresiyle eşleyen bir diğer ad kaydı vardır.

  2. Web Kaydı ön uç sunucusu için yeni adı SPN olarak yapılandırın. Bunu yapmak için şu adımları uygulayın:

    1. Active Directory Kullanıcıları ve Bilgisayarları'nda etki alanına bağlanın ve ardından Bilgisayarlar'ı seçin.
    2. Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.

      Not

      Bu hesap "makine hesabı" olarak da bilinir.

    3. Öznitelik Düzenleyicisi>servicePrincipalName'i seçin.
    4. HTTP/<ConnectionName> yazın.<DomainName.com>Ekle'yi ve ardından Tamam'ı seçin.

      Not

      Bu dizede, <ConnectionName> tanımladığınız yeni addır ve <DomainName> de etki alanının adıdır. Örnekte, dize HTTP/ContosoWebEnroll.contoso.com'dir. Ön uç sunucu bilgisayar hesabına bir S P N ekleyin.

1. Temsilci seçmeyi yapılandırma

  1. Etki alanına henüz bağlanmadıysanız, bunu şimdi Active Directory Kullanıcıları ve Bilgisayarları'nda yapın ve ardından Bilgisayarlar'ı seçin.

  2. Web Kaydı ön uç sunucusunun bilgisayar hesabına sağ tıklayın ve özellikler'i seçin.

    Not

    Bu hesap "makine hesabı" olarak da bilinir.

  3. Temsilci seçme'yi ve ardından Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin.

    Not

    İstemcilerin bu sunucuya bağlandığında her zaman Kerberos kimlik doğrulamasını kullanacağını garanti edebilirseniz Yalnızca Kerberos kullan'ı seçin. Bazı istemciler NTLM veya form tabanlı kimlik doğrulaması gibi diğer kimlik doğrulama yöntemlerini kullanacaksa Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

    Web sunucusu bilgisayar hesabında temsilci seçmeyi yapılandırın.

2. Web kaydı için SSL sertifikası oluşturma ve bağlama

Web kaydı sayfalarını etkinleştirmek için web sitesi için bir etki alanı sertifikası oluşturun ve bunu varsayılan ilk siteye bağlayın. Bunu yapmak için şu adımları uygulayın:

  1. IIS Yöneticisi'ne tıklayın.

  2. Konsol ağacında HostName'i> ve < ardından eylemler bölmesinde Sunucu Sertifikaları'nı seçin.

    Not

    <Hostname> ön uç web sunucusunun adıdır. Web sitesi için bir etki alanı sertifikası ekleyin.

  3. Eylemler menüsünde Etki Alanı Sertifikası Oluştur'u seçin.

  4. Sertifika oluşturulduktan sonra Varsayılan Web Sitesi'ni ve ardından Bağlamalar'ı seçin.

  5. Bağlantı noktasının443 olarak ayarlandığından emin olun. Ardından , SSL sertifikası'nın altında 3. adımda oluşturduğunuz sertifikayı seçin. Sertifikayı 443 numaralı bağlantı noktasına bağlamak için Tamam'ı seçin.

    Sertifika ekleyin ve 443 numaralı bağlantı noktasına bağlayın.

3. Web Kaydı ön uç sunucusunu NetworkService hesabını kullanacak şekilde yapılandırın

  1. DefaultAppPool'a sağ tıklayın ve Gelişmiş Ayarlar'ı seçin.

    Varsayılan uygulama havuzunun Gelişmiş Ayarlar'ı seçin.

  2. İşlem Modeli>Kimliği'ne tıklayın. Yerleşik hesabın seçili olduğundan emin olun ve ardından NetworkService'i seçin. Ardından Tamam'ı seçin.

    Uygulama Havuzu Kimliği'ni yerleşik NetworkService hesabı olarak yapılandırın.

  3. Gelişmiş Özellikler'deKullanıcı Profilini Yükle'yi bulun ve Doğru olarak ayarlandığından emin olun.

    İlerletme Ayarları'nda Kullanıcı Profilini Yükle'yi True olarak ayarlayın.

  4. IIS hizmetini yeniden başlatın.

Bu işlemler hakkında daha fazla bilgi için bkz. Web Uygulaması Kullanıcılarının Kimliğini Doğrulama.

S4U2self ve S4U2proxy protokol uzantıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın: