Aracılığıyla paylaş

Kerberos kimlik doğrulaması sorunlarını giderme kılavuzu

Bu kılavuz, Kerberos kimlik doğrulaması sorunlarını giderirken izlemeniz gereken temel kavramlar sağlar.

Önemli

Bu makalede genel yönergeler sağlanmaktadır. Burada sunulan yordamları ve örnekleri kendi yapılandırmanıza göre uyarlamanız gerekebilir.

Sorun giderme denetim listesi

Kerberos protokolü çeşitli altyapı bileşenlerine ve hizmetlerine dayanır. Bu bileşenlerden veya hizmetlerden herhangi biri kullanılamıyorsa veya çalışmıyorsa, kimlik doğrulaması sorunlarıyla karşılaşabilirsiniz.

1. Olayları ve günlükleri denetleyin

Bir sorunun göstergesi için olay günlüklerini denetleyin. Kimlik doğrulama işlemine katılan sistemlerdeki Güvenlik ve Sistem günlüklerini gözden geçirmek için Olay Görüntüleyicisi'ni kullanın:

  • Kimlik doğrulama istemcisi
  • Hedef sunucu veya hizmet
  • Etki alanı denetleyicisi

Özellikle, aşağıdaki kaynaklar gibi Kerberos kimlik doğrulaması veya bağlı olduğu hizmetlerle ilgili olabilecek kaynaklardan gelen olayları arayın:

  • Kerberos Gölü
  • Anahtar Dağıtım Merkezi (KDC)
  • LSA (LsaSrv)
  • Netlogon

Hedef sunucuda Güvenlik günlüğünde hata denetimleri olup olmadığını denetleyin. Bu tür hatalar, kimlik doğrulaması hatası oluştuğunda Kerberos protokollerinin kullanıldığını gösterebilir.

Bazı olaylar veya hatalar belirli sorunları gösterir. Etkilenen bilgisayarlardan herhangi biri aşağıdaki olaylardan veya hatalardan herhangi birini kaydettiyse, daha ayrıntılı sorun giderme bilgileri için bağlantıyı seçin.

Olay veya hata Sorun giderme bilgileri
Olay Kimliği 4, Hata KERB_AP_ERR_MODIFIED İstemci hizmet biletinin şifresini çözemedi. Bu hataya birden fazla sorun neden olabileceğinden ilgili olayları denetleyin. Örneğin, bu dize istemci ve hedef sunucu saatlerinin eşitlenmemiş olduğu veya SPN'nin benzersiz olmadığı anlamına gelebilir. Çok etki alanılı bir ortamda, hizmet hesabı adı ormanda (veya diğer güvenilen ormanlarda) benzersiz olmayabilir.
Daha fazla bilgi için bkz . Kerberos istemcisi sunucudan KRB_AP_ERR_MODIFIED hatası aldı ve Kerberos KDC_ERR_S_PRINCIPAL_UNKNOWN veya KDC_ERR_PRINCIPAL_NOT_UNIQUE hatası oluşturuyor.
Olay Kimliği 4, Hata KERB_AP_ERR_SKEW Bilgisayar saatlerinin eşitlenmiş olduğundan emin olun
Olay Kimliği 14 Güvenilen bir etki alanındaki kaynağa erişim sırasında "Etype desteklenmiyor" hatası
Olay Kimliği 16 veya Olay Kimliği 27 Kerberos için DES devre dışı bırakılırsa KDC olay kimliği 16 veya 27 günlüğe kaydedilir
Windows Server 2003 Etki Alanı Denetleyicilerinde Olay Kimliği 27 KDC Hatası
Hata 1069 Yanlış Ayarlanmış SPN'ler Nedeniyle Hizmet Oturum Açmaları Başarısız Oldu
Olay Kimliği 5719, Hata 1311 veya Hata 1355 Olay Kimliği 5719, Hata 1311 veya Hata 1355 - Etki alanı denetleyicisi veya etki alanı bulunamadı

Nasıl düzeltileceğini bildiğiniz bir sorunu doğrularsanız, önce bu sorunu düzeltin ve devam etmeden önce kimlik doğrulamayı yeniden deneyin.

2. Altyapıyı denetleyin

a. İstemci uygulamasının ve hedef hizmetin aynı bilgisayarda olmadığından emin olun

Varsayılan olarak, istemci uygulaması ve hedef hizmet tek bir bilgisayarda yüklüyse Kerberos devre dışı bırakılır. İstemci uygulamasını ve hedef hizmeti ayrı bilgisayarlara yükleyemiyorsanız, Windows'ta güvenlikle ilgili belirli ayarları değiştirmeniz gerekir. Ayrıca, bir kayıt defteri anahtarını değiştirmeniz gerekebilir. Bu senaryoyla ilgili sorunlar ve bunu etkileyen belirli ayarlar hakkında daha fazla bilgi için bkz. Bir sunucuya yerel olarak erişmeye çalıştığınızda hata iletisi.

Herhangi bir değişiklik yaptıysanız devam etmeden önce kimlik doğrulaması yapmayı yeniden deneyin.

b. İstemci bilgisayarın, hedef sunucunun ve kaynak sunucularının uygun etki alanlarına katılıp katılmadığını denetleyin

Gerekirse, istemci bilgisayarı veya hedef sunucuyu uygun bir etki alanına ekleyin. Ardından kimlik doğrulaması yapmak için yeniden deneyin.

Not

Bu bağlamda , "uygun etki alanları", tek bir ormandaki veya güven ilişkileri olan bir orman kümesindeki etki alanlarıdır.

ç. Hedef sunucunun ve destek hizmetlerinin durumunu denetleyin

Uygulama veya ön uç hizmetlerinin (web hizmetleri gibi) ve arka uç hizmetlerinin (SQL Server hizmeti gibi) çalıştığından emin olun.

Not

"Bir hizmet Hata 1069 oluşturdu: Hizmet bir oturum açma hatası nedeniyle başlatılmadı" gibi bir ileti alabilirsiniz. Bu iletiyi alırsanız, bkz. Hizmet Oturum Açmaları Yanlış Ayarlanmış SPN'ler Nedeniyle Başarısız Oldu.

ö. Doğru bağlantı noktalarının kullanılabilir olduğundan emin olun

İstemci bilgisayar, etki alanı denetleyicisi ve hedef sunucu arasındaki tüm güvenlik duvarlarını (her bilgisayarda Windows Güvenlik Duvarı dahil) denetleyin. Aşağıdaki bağlantı noktalarında trafiğe izin verildiğinden emin olun.

Not

Bu liste sunucu:istemci bağlantı noktası,sunucu bağlantı noktası biçimini kullanır.

  • DHCP: 67 (UDP), 67 (UDP)
  • DNS: 49152 -65535 (TCP, UDP), 53 (TCP, UDP)
  • Sertifika tabanlı kimlik doğrulaması dahil HTTPS: 443 (TCP), 443 (TCP)
  • Kerberos: 49152 -65535 (TCP, UDP), 88 (TCP, UDP)
  • Kerberos parola değişikliği: 49152 -65535 (TCP), 464 (TCP, UDP)
  • DC Yer Bulucu dahil LDAP: 49152 -65535 (TCP, UDP), 389 (TCP, UDP)
  • LDAP SSL: 49152 -65535 (TCP), 636 (TCP)
  • SMB: 49152 -65535 (TCP, UDP), 445 (TCP)
  • RPC uç nokta eşleyicisi: 49152 -65535 (TCP), 135 (TCP)
  • LSA, SAM, NetLogon için RPC: 49152 -65535 (TCP), 49152-65535 (TCP)
  • W32Time: 49152 -65535 (UDP), 123 (UDP)

Herhangi bir güvenlik duvarı ayarında değişiklik yaparsanız, kimlik doğrulaması için yeniden deneyin.

e. Etki alanı denetleyicilerinin kullanılabilir olup olmadığını denetleyin

İstemci bir hizmet veya uygulamayla ("hedef sunucu" olarak adlandırılır) iletişim kurmaya çalıştığında, hem istemci hem de hedef sunucu kimlik doğrulama, yetkilendirme ve temsilci seçme işlemlerini kolaylaştırmak için bir etki alanı denetleyicisi gerektirir.

İstemci bilgisayarda yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

nltest /dsgetdc:<DomainName> /force /kdc

Not

Bu komutta DomainName>, <sorguladığınız bilgisayarın etki alanının adını temsil eder.

komutu nltest kullanılabilir etki alanı denetleyicilerinin listesini alır (ancak liste tüm kullanılabilir etki alanı denetleyicilerini içermeyebilir). Sonraki işlemlerde kullanmak üzere bu etki alanı denetleyicilerinin tam etki alanı adlarını ve IP adreslerini kaydedin.

İstemci veya hedef sunucu bir etki alanı denetleyicisiyle iletişim kuramıyorsa, aşağıdakine benzer bir ileti alırsınız (bazen "hata 1355" etiketli):

Belirtilen etki alanı mevcut değil ya da etki alanına bağlanılamıyor.

Bu iletiyi alırsanız daha fazla sorun giderme bilgisi için bkz. Olay Kimliği 5719, Hata 1311 veya Hata 1355 - Etki alanı denetleyicisi veya etki alanı bulunamadı . Aksi takdirde, bu kontrol listesine devam edin.

f. İstemci ile hedef sunucu arasında DNS'nin çalışıp çalışmadığını denetleyin

İstemci bilgisayarda, bir yönetim Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

nslookup <TargetName>

Not

Bu komutta TargetName>, <hedef sunucunun NetBIOS adını temsil eder.

nslookup Komut hedef sunucu adını doğru çözümlerse DNS yapılandırması doğrudur. Komut hedef sunucu adını çözmezse, istemci bilgisayarın ağ bağdaştırıcısı yapılandırmasını denetlemek için şu adımları izleyin:

  1. İstemci bilgisayarda aşağıdaki komutu çalıştırın:

    ipconfig /all

  2. Komut çıkışında, hangi ağ bağdaştırıcısının kullanımda olduğunu belirleyin. Aşağıdaki bağdaştırıcı ayarlarını denetleyin:

    • İstemci IP adresi

    • Alt ağ maskesi

    • Varsayılan ağ geçidi

    • Bağlantıya özgü DNS son eki

    • DNS sunucusu IP adresleri

      IP adreslerini kaydedin ve hangi DNS sunucusunun tercih edilir ve hangilerinin ikincil olduğunu not edin. Bu bilgiler daha sonra sorun giderme için kullanışlıdır.

    Bu ayarlardan herhangi biri yanlışsa, bunları düzeltin veya yardım için DNS yöneticinize başvurun. Herhangi bir değişiklik yaptıysanız yeniden çalıştırın nslookup <TargetName> .

DNS hala düzgün çalışmıyorsa şu adımları izleyin:

  1. İstemci bilgisayarda aşağıdaki komutu çalıştırın:

    nslookup <ClientName> <DNSIPAddress>

    Not

    Bu komutta ClientName>, <istemci bilgisayarın NetBIOS adını, <DNSIPAddress> ise istemcinin kullanmak üzere yapılandırıldığı DNS sunucularından birinin IP adresini temsil eder. İlk olarak, önceki yordamda kaydettiğiniz tercih edilen DNS sunucusunun IP adresini kullanın. Komut işe yaramazsa, istemcinin ikincil DNS sunucusunun IP adresini kullanarak yeniden deneyin.

    Örneğin, istemci bilgisayarın adı "client1" ise ve istemcinin tercih edilen DNS sunucusunun IP adresi 10.0.0.1 ise, aşağıdaki komutu çalıştırın:

    nslookup client1 10.0.0.1

  2. Hedef sunucudan aynı komutu çalıştırın. Şimdi aşağıdaki komuta benzer:

    nslookup <TargetName> <DNSIPAddress>

    Not

    Bu komutta TargetName> hedef <sunucunun NetBIOS adını, <DNSIPAddress> ise hedef sunucunun kullanmak üzere yapılandırıldığı DNS sunucularından birinin IP adresini temsil eder. İlk olarak, önceki yordamda kaydettiğiniz tercih edilen DNS sunucusunun IP adresini kullanın. komutu ilk kez çalıştırdığınızda çalışmazsa, hedef sunucunun ikincil DNS sunucusunun IP adresini kullanarak yeniden deneyin.

    Örneğin, hedef sunucunun adı "WebServer1" ise ve hedef sunucunun tercih edilen DNS sunucusunun IP adresi 10.0.0.1 ise, aşağıdaki komutu çalıştırın:

    nslookup WebServer1 10.0.0.1

    Aşağıdaki tabloda nslookup sorguların olası sonuçları ve bunların etkileri özetlenmiştir.

    Hedef sorgu
    Başarır    		 Hedef sorgu
    Başarısız
    İstemci sorgusu
    Başarılı    		 DNS sorunu yok Hedefi veya en az bir DNS sunucusunu etkileyen sorun
    İstemci sorgusu
    Başarısız    		 İstemciyi veya en az bir DNS sunucusunu etkileyen sorun Bir veya daha fazla DNS sunucusunu etkileyen sorun

Sorgu sonuçları bir DNS sorununuz olduğunu gösteriyorsa daha fazla yardım için aşağıdaki makalelere bakın:

DNS sorununu çözerseniz ancak Kerberos sorunu devam ederse aşağıdaki sorun giderme yöntemlerini deneyin.

g. Bilgisayar saatlerinin eşitlenmiş olduğundan emin olun

İstemci bilgisayar veya hedef sunucu gelecekte kullanmak üzere biletleri önbelleğe alabilir. Ancak, her biletin yaşam süresini (TTL) belirleyen zaman damgaları vardır. Etki alanı denetleyicilerinde çalışan Kerberos Anahtar Dağıtım Merkezi hizmeti zaman damgalarını ayarlar.

Etki alanı denetleyicisi ile istemci bilgisayar veya hedef sunucu arasındaki zaman farkı beş dakikadan kısa olmalıdır. Genellikle, saatler eşitlenmemişse, Windows bunları otomatik olarak yeniden eşitleyebilir. İşlem yapmanız gerekebilecek iki durum vardır:

  • Saatler, 48 saatten uzun süredir senkronize değil.
  • Senkronize olmayan saat, etki alanındaki bir etki alanı denetleyicisini zaman sunucusu olarak kullanmaz veya etki alanı denetleyicilerinin kullandığı aynı zaman sunucusunu kullanmaz.

Bu sorunu çözmek için, etkilenen bilgisayarın ağı zaman sunucuları için yeniden denetlemesi ve ardından kendi saatini yeniden eşitlemesi gerekir. Bu eylemleri etkinleştirmek için bir yönetim Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

w32tm /resync /computer:<Target> /rediscover

Not

Bu komutta Hedef>, <yapılandırdığınız bilgisayarı temsil eder. /rediscover seçeneği, bilgisayara ağda yeni veya güncellenmiş zaman kaynaklarını kontrol etmesini söyler.

Komut için kullanılabilen seçenekler hakkında daha fazla bilgi için w32tm bkz. Windows Saati hizmet araçları ve ayarları: W32Time için komut satırı parametreleri.

Saatleri yeniden eşitlerseniz, kimlik doğrulaması yapmak için yeniden deneyin.

h. Windows Update durumunu denetleme

Tüm etki alanı denetleyicilerinin, istemci bilgisayarın ve hedef sunucunun tüm ilgili Windows güncelleştirmelerine sahip olduğundan emin olun.

Herhangi bir güncelleştirme yüklediyseniz, etkilenen bilgisayarları yeniden başlatın ve kimlik doğrulamayı yeniden deneyin.

ben. Uygulama güncelleştirme durumunu denetleme

İstemci ve sunucu uygulamalarının istemci bilgisayarda ve hedef sunucuda güncel olduğundan emin olun. Herhangi bir güncelleştirme yüklerseniz, etkilenen bilgisayarları yeniden başlatın ve kimlik doğrulamayı yeniden deneyin.

j. Bilgisayarları yeniden başlatın

İstemci bilgisayarı, hedef sunucuyu veya etki alanı denetleyicisini henüz yeniden başlatmadıysanız, şimdi yeniden başlatın. Bilgisayarlar yeniden başlatıldıktan sonra kimlik doğrulamayı yeniden deneyin.

Altyapınız iyiyse ve sorun yaşamaya devam ediyorsanız, daha gelişmiş sorun giderme yordamlarına geçin.

3. İzleme ve bilet verilerini toplama

Aşağıdaki yordamlarda ücretsiz Ağ İzleyicisi aracı kullanılır. Aracı hem istemci bilgisayara hem de hedef sunucuya indirin ve yükleyin. İzleme verilerini toplamak ve Kerberos iletilerini tanımlamak için Ağ İzleyicisi'ni kullanma örneği için bkz. Ağ yakalamalarında Kerberos hataları.

a. Eşzamanlı ağ izlemelerini toplama

İstemci bilgisayarda şu adımları izleyin:

  1. Aşağıdaki eylemlerden birini yapın:

    • İstemci bilgisayarı yeniden başlatın.
    • Sorun gidermek için kullandığınız hesabın oturumunu kapatın ve yeniden oturum açın.
    • İstemci uygulamasını kapatın ve yeniden açın.

  2. İzlemeye başlayın. Bunu yapmak için şu adımları izleyin:

    1. Başlat'ı seçin ve netmon yazın.
    2. Arama sonuçlarında Microsoft Ağ İzleyicisi 3.4'e sağ tıklayın ve ardından Yönetici olarak çalıştır'ı seçin (Kullanıcı Hesabı Denetimi penceresinde Evet'i seçin).
    3. Ağ İzleyicisi'nde Başlat'ı seçin.

  3. Bir yönetim Komut İstemi penceresi açın ve aşağıdaki komutları sırayla çalıştırın:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Hedef sunucuda şu adımları izleyin:

  1. Ağ İzleyicisi'ni Yönetici olarak açın ve ardından Başlat'ı seçin.

  2. Bir yönetim Komut İstemi penceresi açın ve aşağıdaki komutları sırayla çalıştırın:

    ipconfig /flushdns
nbtstat -RR
klist purge
klist -li 0x3e7 purge

Sorununuzu yeniden oluşturmayı deneyin ve ardından hem istemci bilgisayarda hem de hedef sunucuda izlemeleri durdurup kaydedin. Bunu yapmak için Ağ İzleyicisi'nde Durdur'u ve ardından Farklı Kaydet'i seçin.

b. Bilet bilgilerini kaydetme

Sorununuzu yeniden oluşturduktan ve izlemeyi durdurduktan sonra, izleme verilerini kaydederken oluşturulan Kerberos biletlerini denetleyin. İstemci bilgisayarda ve hedef sunucuda komut isteminde aşağıdaki komutu çalıştırın:

klist tickets

Bu komut bir bilet listesi oluşturur. Daha sonraki sorun giderme yordamlarında kullanabilmek için bu bilgileri başka bir uygulamaya (Not Defteri gibi) kopyalayabilirsiniz.

4. Kerberos iletileri için izleme verilerini denetleyin

Yakalama dosyalarındaki verileri gözden geçirmek, filtrelemek ve aramak için Ağ İzleyicisi'ni kullanabilirsiniz. Özellikle, "KerberosV5" kullanılarak etiketlenen olayları arayın. Bu olaylar durum bilgilerini sağlar. Ayrıca, bağlantı kurulan etki alanı denetleyicilerinin adlarını veya IP adreslerini ve istemcinin ulaşmaya çalıştığı hizmetin hizmet asıl adını (SPN) listeleyebilirler.

Aşağıdakine benzer dizeler içeren olay açıklamaları, tipik Kerberos işlevlerinin bir parçasıdır:

  • KerberosV5:KRB_Error -KDC_ERR_PREAUTH_REQUIRED
  • KerberosV5:AS İsteği
  • KerberosV5:AS Yanıtı
  • KerberosV5:TGS İsteği
  • KerberosV5:TGS Yanıtı
  • KerberosV5:AP İsteği
  • KerberosV5:AP Yanıtı

Not

Http GET isteklerindeki bilet bilgileri için izleme verilerini denetlemek için Ağ İzleyicisi'ni de kullanabilirsiniz. GET isteğinde bilet bilgileri eksikse Kerberos kimlik doğrulaması kullanılırken bir sorun oluştu.

Aşağıdakine benzer dizeler içeren olay açıklamaları bir sorun olduğu anlamına gelir. Aşağıdaki listede en yaygın hatalardan bazıları yer almaktadır. Bu dizelerden birini görürseniz, daha sonra kullanmak üzere sunucu adlarını, IP adreslerini ve SPN'leri not edin.

  • KDC_ERR_PRINCIPAL_NOT_UNIQUE veya KDC_ERR_S_PRINCIPAL_UNKNOWN. İstenen SPN birden fazla hesapla ilişkilendirildi veya herhangi bir hesapla ilişkilendirilmemiş. Bu sorunlardan birini çözme konusunda yardım için bkz. Kerberos KDC_ERR_S_PRINCIPAL_UNKNOWN veya KDC_ERR_PRINCIPAL_NOT_UNIQUE hatası oluşturuyor.

  • KRB_AP_ERR_MODIFIED. İstemci hizmet biletinin şifresini çözemedi. Bu hataya birden fazla sorun neden olabilir. KRB_AP_ERR_MODIFIED eşlik eden diğer hatalar için izleme verilerini gözden geçirin. 1'de açıklandığı gibi Olay Kimliği 4 ve diğer ilgili olaylar için olay günlüklerini denetleyin . Olayları ve günlükleri denetleyin.

  • ERB_AP_ERR_SKEW. İstemci ve hedef sunucu saatleri eşitlenmemiş. Daha fazla bilgi için bkz. Bilgisayar saatlerinin eşitlenmiş olduğundan emin olun.

  • KDC_ERR_ETYPE_NOTSUPP. Kimlik doğrulamasında yer alan bileşenlerden biri veya daha fazlası, diğer bileşenler için devre dışı bırakılmış bir şifreleme türü kullanır. 1'de açıklandığı gibi, hangi bileşenlerin ve hangi şifreleme türlerinin söz konusu olduğu hakkında daha fazla bilgi için olay günlüklerine bakın . Olayları ve günlükleri denetleyin.

Yaygın sorunlar ve çözümleri

HTTP 400 - Hatalı İstek (İstek Üst Bilgisi çok uzun) sorunu

Bir kullanıcı çok sayıda gruba (örneğin, 1.000'den fazla gruba) aitse Kerberos, isteği doğru şekilde işlemediğinden kullanıcı erişimini reddedebilir. Bu sorun hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Hizmet sorunları

Hizmet sorunları genellikle SPN ve hizmet hesabını içerir. Örneğin, SPN yanlış, eksik, yanlış hesapta yapılandırılmış veya birden fazla hesapta yapılandırılmış olabilir. Bu makaledeki sorun giderme denetim listesi a. Bu makalenin önceki bölümlerinde eşzamanlı ağ izlemelerini toplayın . Yaygın bir SPN sorunu belirlediyseniz aşağıdaki makalelere bakın:

Çoklu oturum açma (SSO) sorunları

Çoklu oturum açma, kullanıcıların tek bir intranet içindeki birden çok sistem veya uygulamada bir kimlik bilgileri kümesi kullanarak oturum açmasına olanak tanıyan bir kimlik doğrulama yöntemidir. Doğru çalışması için hem hedef hizmetin (ya da hedef hizmetin ön uç bileşeni) hem de istemcinin doğru ayarlara sahip olması gerekir. Bu ayarların nasıl giderılacağı hakkında bilgi için bkz. Kerberos çoklu oturum açma sorunlarını giderme.

Temsilci seçme sorunları

Hedef hizmetinizde ayrı ön uç ve arka uç bileşenleri olduğunda Kerberos, istemci kimlik bilgilerini (erişim izinleri dahil) bir hizmet hesabına atayabilir. Basit bir ifadeyle, istemci ön uç hizmetine erişir ve ardından ön uç hizmeti, istemci adına arka uç hizmetine erişir.

Kerberos üç tür temsili destekler:

  • Kısıtlanmamış temsil. İstemci ön uç hizmetine eriştiğinde, ön uç hizmeti istemci adına başka herhangi bir hizmete erişebilir. Bu yapılandırmanın uygulanması en kolay, ancak aynı zamanda en az güvenli olan yapılandırmadır. Kimliği doğrulanmış hesabın etkileşim kurabileceği hizmetleri kısıtlamadığından kısıtlanmamış temsil önerilmez.
  • Kısıtlanmış temsil. Ön uç hizmeti, istemci adına erişebileceği hizmetlerin listesini tutar.
  • Kaynak tabanlı kısıtlı yetkilendirme (RBCD). Arka uç hizmeti, istemci adına arka uç hizmetine erişim isteyebilen ön uç hizmetlerinin izin veren bir listesini tutar.

Not

CIFS ile birlikte kısıtlanmış temsili kullanırken bir sorunla karşılaşırsanız bkz. CIFS için kısıtlanmış temsilci ACCESS_DENIED hatasıyla başarısız oluyor.

Önemli

  • Kısıtlanmış temsil yetkilendirmesi ve RBCD'yi aynı ön uç ve arka uç sunucu setinde yapılandırmayın.

    Kısıtlanmış temsil ve RBCD farklı yapılandırmalardır ve birbirini dışlar. Bir ön uç hizmeti arka uç hizmetine bilet istediğinde, KDC önce ön uç hizmetini kısıtlanmış temsil için denetler. Kısıtlanmış temsil ön uç hizmeti için yapılandırılmamışsa, KDC kaynak tabanlı kısıtlanmış temsilci için arka uç hizmetini denetler. Bu dizi nedeniyle kısıtlanmış temsil, kaynak tabanlı temsilden önceliklidir.

  • Varsayılan olarak, Microsoft Edge kısıtlanmamış temsili desteklemez. Kısıtlanmamış yetkilendirme kullanıyorsanız, ihtiyacınız olan yapılandırma hakkında daha fazla bilgi için Microsoft Edge (Chromium) ile Kerberos kısıtlanmamış çift atlama kimlik doğrulaması bölümüne bakın.

  • Kimliği doğrulanmış hesabın etkileşim kurabileceği hizmetleri kısıtlamadığından kısıtlanmamış temsil önerilmez.

Desteklenen topoloji türleri

Farklı temsilci türleri topolojinize farklı gereksinimler yerleştirir. Aşağıdaki tabloda üç yaygın topoloji türü ve her tür için hangi temsilci türlerinin (varsa) desteklendiği listelenmiştir.

Topoloji türü Kısıtlanmamış temsilci seçme Kısıtlanmış temsilci RBCD
Tüm hizmetler tek bir etki alanında bulunur Desteklenir (önerilmez) Destekleniyor Destekleniyor
Ön uç ve arka uç hizmetleri farklı etki alanlarında bulunur Desteklenir (önerilmez) Desteklenmiyor Destekleniyor
Ön uç ve arka uç hizmetleri farklı (güvenilen) ormanlarda bulunur Desteklenir* (önerilmez) Desteklenmiyor Destekli*

* Ön uç hizmetinin hizmet hesabının güvenilen etki alanı denetleyicisiyle güven ilişkisi genelinde kimlik doğrulaması yapabilmesini sağlayın.

Belirli temsilci türleriyle ilgili sorunları giderme

Temsilci seçme için yapılandırma ayrıntıları, kullandığınız temsilci türüne ve ön uç hizmetinin kullandığı hesap türüne bağlı olarak farklılık gösterir. Yetkilendirme sorunlarını daha ayrıntılı çözmek için uygun olan aşağıdaki makalelere göz atın.

Kerberos kimlik doğrulaması sorunlarını gidermek için bir günlük analizi test senaryosu kullanma

Gelişmiş Kerberos testi ve sorun giderme için bkz. Kerberos kimlik doğrulaması sorunlarını gidermek için günlük analizi test senaryosu kullanma.