Kerberos kimlik doğrulaması sorunlarını giderme kılavuzu
Bu kılavuz, Kerberos kimlik doğrulaması sorunlarını giderirken kullanılan temel kavramları sağlar.
Sorun giderme denetim listesi
Kerberos ile ilgili bir hata, başka bir hizmetin başarısız olduğunu gösteren bir belirtidir. Kerberos protokolü, herhangi bir kimlik doğrulamasının gerçekleşmesi için kullanılabilir ve düzgün çalışması gereken birçok hizmete dayanır.
Kerberos kimlik doğrulamasıyla ilgili bir sorun olup olmadığını belirlemek için Sistem olay günlüğünde kimlik doğrulaması sağlayan istemci, hedef sunucu veya etki alanı denetleyicisindeki herhangi bir hizmetten (Kerberos, kdc, LsaSrv veya Netlogon gibi) gelen hataları denetleyin. Bu tür hatalar varsa, Kerberos protokolüyle ilişkili hatalar da olabilir.
Hedef sunucunun Güvenlik olay günlüğündeki hata denetimleri, oturum açma hatası oluştuğunda Kerberos protokollerinin kullanıldığını gösterebilir.
Kerberos protokolunu incelemeden önce aşağıdaki hizmetlerin veya koşulların düzgün çalıştığından emin olun:
- Ağ altyapısı düzgün çalışıyor ve tüm bilgisayarlar ve hizmetler iletişim kurabilir.
- Etki alanı denetleyicisine erişilebilir. komutunu
nltest /dsgetdc:<Domain Name> /force /kdc
(örneğin,nltest /dsgetdc:contoso.com /force /kdc
) istemci veya hedef sunucuda çalıştırabilirsiniz. - Etki Alanı Adı Sistemi (DNS) düzgün yapılandırılır ve konak adlarını ve hizmetlerini uygun şekilde çözümler.
- Saatler etki alanı genelinde eşitlenir.
- Windows Server için tüm kritik güncelleştirmeler ve güvenlik güncelleştirmeleri yüklenir.
- Microsoft dışı yazılımlar da dahil olmak üzere tüm yazılımlar güncelleştirilir.
- Sunucu işletim sistemi çalıştırıyorsanız bilgisayar yeniden başlatılır.
- Gerekli hizmetler ve sunucu kullanılabilir. Kerberos kimlik doğrulama protokolü düzgün çalışması için çalışan bir etki alanı denetleyicisi, DNS altyapısı ve ağ gerektirir. Kerberos protokolü sorunlarını gidermeye başlamadan önce bu kaynaklara erişebildiğinizden emin olun.
Tüm bu koşulları incelediyseniz ve hala kimlik doğrulama sorunları veya Kerberos hataları yaşıyorsanız, bir çözüm için daha fazla aramanız gerekir. Sorunlara Kerberos protokollerinin nasıl yapılandırıldığı veya Kerberos protokolüyle çalışan diğer teknolojilerin nasıl yapılandırıldığı neden olabilir.
Yaygın sorunlar ve çözümler
Kerberos temsilci sorunları
Tipik bir senaryoda, kimliğe bürünme hesabı bir web uygulamasına veya bir web sunucusunun bilgisayar hesabına atanmış bir hizmet hesabı olabilir. Kimliğine bürünülen hesap, bir web uygulaması aracılığıyla kaynaklara erişim gerektiren bir kullanıcı hesabı olabilir.
Kerberos kullanan üç tür temsilci vardır:
Tam temsilci (kısıtlanmamış temsilci)
Tam temsilci seçmeden mümkün olduğunca kaçınılmalıdır. Kullanıcı (ön uç kullanıcı ve arka uç kullanıcı) farklı etki alanlarında ve ayrıca farklı ormanlarda bulunabilir.
Kısıtlanmış temsilci (yalnızca Kerberos ve protokol geçişi)
Kullanıcı herhangi bir etki alanından veya ormandan olabilir, ancak ön uç ve arka uç hizmetleri aynı etki alanında çalışıyor olmalıdır.
Kaynak tabanlı kısıtlanmış temsilci (RBCD)
Kullanıcı herhangi bir etki alanından, ön uç ve arka uç kaynakları ise herhangi bir etki alanından veya ormandan olabilir.
En yaygın Kerberos temsilcisi sorunlarını giderme
- Hizmet asıl adı eksik veya yinelenen
- Ad çözümleme hataları veya yanlış yanıtlar (sunucu için yanlış IP adresleri verilmiştir)
- Büyük Kerberos anahtarları (MaxTokenSize) ve ortam düzgün ayarlanmadı
- Güvenlik duvarları veya yönlendiriciler tarafından engellenen bağlantı noktaları
- Hizmet hesabına uygun ayrıcalıklar verilmedi (Kullanıcı Hakları Ataması)
- Aynı etki alanında olmayan ön uç veya arka uç hizmetleri ve kısıtlanmış temsilci kurulumu
Daha fazla bilgi için bkz.:
- CIFS için kısıtlanmış temsilci ACCESS_DENIED hatasıyla başarısız oluyor
- Özel hizmet hesabı için kısıtlanmış temsilci yapılandırma
- NetworkService hesabında kısıtlanmış temsili yapılandırma
Çoklu oturum açma (SSO) bozuk ve bir kez kimlik doğrulaması isteniyor
Aşağıdaki senaryoları göz önünde bulundurun:
- Microsoft Edge ve Internet Information Services (IIS) sunucusu gibi bir istemci ve sunucu uygulaması. IIS sunucusu Windows Kimlik Doğrulaması (Anlaşma) ile yapılandırılır.
- SMB istemcisi ve SMB sunucusu gibi bir istemci ve sunucu uygulaması. Varsayılan olarak, SMB sunucusu Negotiate Security Support Provider Interface (SSPI) ile yapılandırılır.
Kullanıcı Microsoft Edge'i açar ve bir iç web sitesine http://webserver.contoso.com
göz atar. Web sitesi Negotiate ile yapılandırılır ve bu web sitesi kimlik doğrulaması ister. Kullanıcı kullanıcı adını ve parolayı el ile girdikten sonra, kullanıcı kimlik doğrulamasını alır ve web sitesi beklendiği gibi çalışır.
Not
Bu senaryo bir istemci ve sunucu örneğidir. Sorun giderme tekniği, Tümleşik Windows kimlik doğrulaması ile yapılandırılmış tüm istemci ve sunucularda aynıdır.
Tümleşik Windows kimlik doğrulaması kullanıcı düzeyinde veya makine düzeyinde bozuktur.
Sorun giderme yöntemleri
Uygulama veya makine düzeyinde etkinleştirilebilen tümleşik kimlik doğrulama ayarı için istemci yapılandırmasını gözden geçirin. Örneğin, tüm HTTP tabanlı uygulamalar tümleşik kimlik doğrulaması gerçekleştirmeye çalışırken sitenin Güvenilen bölgede olmasını arar.
Tüm HTTP tabanlı uygulamaların Internet Explorer yapılandırmaları için kullandığı inetcpl.cpl (Internet Seçenekleri) açın ve web sitesinin Yerel intranet olarak yapılandırılıp yapılandırılmadığı gözden geçirin.
Uygulamaların Tümleşik Windows kimlik doğrulamasını gerçekleştirmek için de bir yapılandırması vardır.
Microsoft Edge veya Internet Explorer'da Tümleşik Windows Kimlik Doğrulamasını Etkinleştir ayarının etkinleştirilmesi gerekir.
Uygulama yapılandırmasını gözden geçirin ve istemci bilgisayar belirli bir hizmet asıl adı (SPN) için kerberos bileti alabilir. Bu örnekte SPN şeklindedir
http/webserver.contoso.com
.SPN'yi bulabildiğinizde başarılı iletisi:
C:>klist get http/webserver.contoso.com Current LogonId is 0:0x9bd1f A ticket to http/webserver.contoso.com has been retrieved successfully.
SPN'yi bulamadığınızda hata iletisi:
C:>klist get http/webserver.contoso.com klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
İlgili SPN'leri tanımlayın ve uygun kullanıcı, hizmet veya makine hesaplarına ekleyin.
SPN'lerin alınabileceğini belirlediyseniz, aşağıdaki komutu kullanarak doğru hesaba kaydedilip kaydedilmediklerini doğrulayabilirsiniz:
setspn -F -Q */webserver.contoso.com
Kimlik doğrulama DC'sinde bulma sorunları
Tümleşik Windows kimlik doğrulaması ile yapılandırılan uygulama sunucularının, kullanıcı/bilgisayar ve hizmetin kimliğini doğrulamak için etki alanı denetleyicilerine (DC) ihtiyacı vardır.
Kimlik doğrulama işlemi sırasında bir etki alanı denetleyicisine ulaşamama 1355 hatasına yol açar:
Belirtilen etki alanı yok veya bağlantı kurulamadı
Tümleşik Windows kimlik doğrulaması ile yapılandırılmış bir kaynağa 1355 hatasıyla erişilemiyor
Not
Hata iletileri uygulama açısından farklı olabilir, ancak hatanın anlamı istemcinin veya sunucunun bir etki alanı denetleyicisini bulamamasıdır.
Bu tür hata iletilerine örnekler aşağıda verilmiştir:
-
"Contoso" etki alanına katılma girişiminde aşağıdaki hata oluştu:
Belirtilen etki alanı yok veya bağlantı kurulamadı. -
Etki alanı contoso.com için Etki Alanı Denetleyicisi bulunamadı
-
Etki alanı Denetleyicisi 1355 ile bağlantı kurulamadı
Sorunun en önemli nedenleri
İstemcide DNS yanlış yapılandırması
komutunu çalıştırabilir
ipconfig /all
ve DNS sunucuları listesini gözden geçirebilirsiniz.Güvenilen bir etki alanı veya ormandaki etki alanı denetleyicilerinde DNS yanlış yapılandırması
İstemci ve etki alanı denetleyicileri arasında engellenen ağ bağlantı noktaları
DC Bulma bağlantı noktaları: UDP 389 (UDP LDAP) ve UDP 53 (DNS)
Sorun giderme adımları
nslookup
DNS yanlış yapılandırmalarını belirlemek için komutunu çalıştırın.- İstemci ile etki alanı denetleyicisi arasındaki gerekli bağlantı noktalarını açın. Daha fazla bilgi için bkz. Active Directory etki alanları ve güvenleri için güvenlik duvarı yapılandırma.
Günlük analizi test senaryosu
Ortam ve yapılandırma
İstemci makinesi
Client1.contoso.com
(Windows 11 makinesi) etki alanınaContoso.com
katılır.Kullanıcı
John
Kullanıcı, istemci makinesine
Contoso.com
aittir ve istemci makinesinde oturum açar.İstemci makinesinde İnternet seçenekleri
Tüm web siteleri yerel intranet bölgesinin bir parçasıdır.
Server
IISServer.contoso.com
(Windows Server 2019) etki alanınaContoso.com
katılır.Kimlik doğrulama yapılandırması
Windows Kimlik DoğrulamasıEtkindir.
Kimlik Doğrulama Sağlayıcıları: Anlaşma
Etkin sağlayıcılar aşağıdaki gibi ayarlanır:
Kimlik doğrulama akışı
- Kullanıcı
John
uygulamasındaClient1.contoso.com
oturum açar, bir Microsoft Edge tarayıcısı açar ve öğesineIISServer.contoso.com
bağlanır. - İstemci makinesi aşağıdaki adımları gerçekleştirir (Yukarıdaki diyagramda 1. adım):
- DNS çözümleyicisi, bu bilgilerin zaten önbelleğe
IISServer.contoso.com
alındığını doğrulamak için önbelleğe alır. - DNS çözümleyicisi, C:\Windows\System32\drivers\etc\Hosts konumunda bulunan herhangi bir eşleme
IISServer.contoso.com
için HOSTS dosyasını denetler. - Tercih edilen DNS sunucusuna bir DNS sorgusu gönderin (IP yapılandırma ayarlarında yapılandırılır), bu da ortamda bir etki alanı denetleyicisidir.
- DNS çözümleyicisi, bu bilgilerin zaten önbelleğe
- Etki alanı denetleyicisinde çalışan DNS hizmeti yapılandırılmış bölgelerini arar, A Ana Bilgisayarı kaydını çözümler ve ip adresiyle
IISServer.contoso.com
yanıt verir (Yukarıdaki diyagramda 2. adım). - İstemci makine, 80
IISServer.contoso.com
numaralı TCP bağlantı noktasında ile TCP üç yönlü el sıkışması gerçekleştirir. - İstemci makine, adresine
IISServer.contoso.com
anonim bir HTTP isteği gönderir. - Bağlantı noktası 80'de dinleyen IIS sunucusu, isteği adresinden
Client1.contoso.com
alır, IIS sunucuları kimlik doğrulama yapılandırmasına bakar ve kimlik doğrulama yapılandırması olarak Anlaşma ile istemci makinesine bir HTTP 401 sınama yanıtı gönderir (yukarıdaki diyagramda 3. adım). - Üzerinde
Client1.contoso.com
çalışan Microsoft Edge işlemi, IIS sunucusunun Negotiate ile yapılandırıldığını bilir ve web sitesinin yerel intranet bölgesinin bir parçası olup olmadığını doğrular. Web sitesi yerel intranet bölgesindeyse, Microsoft Edge işlemi SPN'yeHTTP\IISServer.contoso.com
sahip bir Kerberos bileti almak için LSASS.exe çağrısı yapacaktır (Yukarıdaki diyagramda 5. adım). - Etki alanı denetleyicisi (KDC hizmeti) isteği konumundan
Client1.contoso.com
alır ve veritabanında SPN'yiHTTP\IISServer.contoso.com
arar ve bulmaIISServer.contoso.com
bu SPN ile yapılandırılır. - Etki alanı denetleyicisi, IIS sunucusunun biletiyle birlikte bir TGS yanıtıyla yanıt verir (Yukarıdaki diyagramda 6. adım).
- İstemci makinedeki Microsoft Edge işlemi, etki alanı denetleyicisi tarafından verilen Kerberos TGS biletiyle IIS web sunucusuna bir Kerberos Uygulama Protokolü (AP) isteği gönderir.
- IIS işlemi, biletin şifresini çözmek ve yetkilendirme için SessionID ve Kullanıcılar grup üyeliğiyle bir belirteç oluşturmak için web sunucusundaki LSASS.exe çağırır.
- IIS işlemi, yetkilendirme kararları almak ve Kullanıcının bir AP yanıtıyla bağlanmasına izin vermek için LSASS.exe belirteci tanıtıcı alır.
İş akışının Ağ İzleyicisi analizi
Not
Aşağıdaki etkinlikleri gerçekleştirmek için yerel Yöneticiler grubunun kullanıcısı olmanız gerekir.
İstemci makinesine (
Client1.contoso.com
) Microsoft Ağ İzleyicisi'ni yükleyin.Aşağıdaki komutu yükseltilmiş komut istemi penceresinde çalıştırın (cmd.exe):
ipconfig /flushdns
Ağ İzleyicisi'ni başlatın.
Microsoft Edge tarayıcıyı açın ve yazın
http://iisserver.contoso.com
.Ağ izleme analizi:
Bir Konak A kaydı için etki alanı denetleyicisine DNS sorgusu:
IISServer.contoso.com
.3005 00:59:30.0738430 Client1.contoso.com DCA.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Query for iisserver.contoso.com of type Host Addr on class Internet
Etki alanı denetleyicisindeki DNS hizmetinden DNS yanıtı.
3006 00:59:30.0743438 DCA.contoso.com Client1.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104
Üzerindeki
Client1.contoso.com
Microsoft Edge işlemi IIS web sunucusunaIISServer.contoso.com
(anonim bağlantı) bağlanır.3027 00:59:30.1609409 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET / Host: iisserver.contoso.com
IIS sunucusu HTTP yanıtı 401: Negotiate ve NTLM (IIS sunucusunda gerçekleştirilen yapılandırma) ile yanıt verir.
3028 00:59:30.1633647 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details WWWAuthenticate: Negotiate WWWAuthenticate: NTLM
kerberos
Client1.contoso.com
isteği, bir SPN ile etki alanı denetleyicisineDCA.contoso.com
gider:HTTP/iisserver.contoso.com
.3034 00:59:30.1834048 Client1.contoso.com DCA.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com
Etki alanı denetleyicisi
DCA.contoso.com
, Kerberos anahtarıyla TGS yanıtı olan Kerberos isteğiyle yanıt verir.3036 00:59:30.1848687 DCA.contoso.com Client1.contoso.com KerberosV5 KerberosV5:TGS Response Cname: John Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com Sname: HTTP/iisserver.contoso.com
Üzerindeki
Client1.contoso.com
Microsoft Edge işlemi artık Kerberos AP isteğiyle IIS sunucusuna gider.3040 00:59:30.1853262 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET /favicon.ico , Using GSS-API Authorization Authorization: Negotiate Authorization: Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF SpnegoToken: 0x1 NegTokenInit: ApReq: KRB_AP_REQ (14) Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
IIS sunucusu, kimlik doğrulamasının tamamlandığını belirten bir yanıtla yanıt verir.
3044 00:59:30.1875763 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy NegotiateAuthorization: GssAPI: 0x1 NegTokenResp: ApRep: KRB_AP_REP (15)
komutundaki
klist tickets
komut çıktısındakiClient1.contoso.com
Kerberos anahtarını gözden geçirmek için komutunu çalıştırın.Client: John @ CONTOSO.COM Server: HTTP/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 0:59:30 (local) End Time: 11/28/2022 10:58:56 (local) Renew Time: 12/5/2022 0:58:56 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
IIS sunucusunda denetimi gösteren Olay Kimliği 4624'i
Success
gözden geçirin:
Varsayılan olarak,
Success
veyaFailure
denetimleri Windows'un tüm sunucu işletim sistemlerinde etkinleştirilir. Denetimin etkinleştirilip etkinleştirilmediğini aşağıdaki komutla doğrulayabilirsiniz.Denetimin etkin olmadığını fark ederseniz denetimi etkinleştirin. Aşağıdaki listede oturum açma kategorisini gözden geçirin. Gözlemleyebileceğiniz gibi, oturum açma alt kategorisi ile
Success and Failure
etkinleştirilir.C:\>auditpol /get /Subcategory:"logon" System audit policy Category/Subcategory Setting Logon/Logoff Logon Success and Failure
ile
Success and Failure
oturum açmayı gözlemlemezseniz, etkinleştirmek için komutunu çalıştırın:C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable The command was successfully executed.
IISServer.contoso.com'da başarı güvenliği Olay Kimliği 4624'i gözden geçirin
Aşağıdaki alanları gözlemleyin:
Logon type
: 3 (ağ oturumu açma)Security ID
alanındaNew Logon
:Contoso\John
Source Network Address
: İstemci makinesinin IP adresiLogon Process
veAuthentication Package
:Kerberos
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/28/2022 12:59:30 AM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: IISServer.contoso.com
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
Impersonation Level: Impersonation
New Logon:
Security ID: CONTOSO\John
Account Name: John
Account Domain: CONTOSO.COM
Logon ID: 0x1B64449
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {<GUID>}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: -
Source Network Address: 192.168.2.101
Source Port: 52655
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Kimlik doğrulama iş akışı sorunlarını giderme
Sorunu gidermek için aşağıdaki yöntemlerden birini kullanın.
IIS web sunucusunun (
IISServer.contoso.com
) adını kaynağındanClient1.contoso.com
çözümleyebildiğinizi doğrulayın.AŞAĞıDAKI cmdlet'i kullanarak DNS sunucusunun doğru IIS sunucusu IP adresine yanıt verdiğini doğrulayın:
PS C:\> Resolve-DnsName -Name IISServer.contoso.com Name Type TTL Section IPAddress ---- ---- --- ------- --------- IISServer.contoso.com A 1200 Answer 192.168.2.104
Aşağıdaki cmdlet'i kullanarak istemci makine ile IIS web sunucusu (
IISServer.contoso.com
) arasında ağ bağlantı noktalarının açılıp açılmadığını doğrulayın:PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com ComputerName : IISServer.contoso.com RemoteAddress : 192.168.2.104 RemotePort : 80 InterfaceAlias : Ethernet 2 SourceAddress : 192.168.2.101 TcpTestSucceeded : True
Etki alanı denetleyicisinden Kerberos bileti alıp almadığınızdan emin olun.
Web sitesine erişmeye çalışan kullanıcının bağlamında normal bir Komut İstemi (yönetici Komut İstemi değil) açın.
klist purge
komutunu çalıştırın.klist get http/iisserver.contoso.com
Komutu aşağıdaki gibi çalıştırın:PS C:\> klist get http/iisserver.contoso.com Current LogonId is 0:0xa8a98b A ticket to http/iisserver.contoso.com has been retrieved successfully. Cached Tickets: (2) #0> Client: John @ CONTOSO.COM Server: krbtgt/CONTOSO.COM @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x1 -> PRIMARY Kdc Called: DCA.contoso.com #1> Client: John @ CONTOSO.COM Server: http/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
Sütunda SPN
http/IISServer.contoso.com
için bir Kerberos bileti elde ettiğiniziCached Ticket (2)
göreceksiniz.
Varsayılan kimlik bilgilerini kullanarak IIS web hizmetinin IIS sunucusunda çalıştırılıp çalıştırılamadığını doğrulayın.
Web sitesine erişmeye çalışan kullanıcı bağlamında normal bir PowerShell İstemi (yönetici PowerShell İstemi değil) açın.
PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials StatusCode : 200 StatusDescription : OK Content : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" cont... RawContent : HTTP/1.1 200 OK Persistent-Auth: true Accept-Ranges: bytes Content-Length: 703 Content-Type: text/html Date: Mon, 28 Nov 2022 09:31:40 GMT ETag: "3275ea8a1d91:0" Last-Modified: Fri, 25 Nov 2022...
IIS sunucusunda Güvenlik olay günlüğünü gözden geçirin:
- Başarı olay günlüğü 4624
- Hata olay günlüğü 4625
Yalıtım işlemi: IIS sunucusundaki diğer hizmetlerin Kerberos kimlik doğrulamasını işleyebildiğini doğrulamak için aşağıdaki sorun giderme adımlarını kullanabilirsiniz.
Önkoşullar:
IIS sunucusu, Windows'un bir sunucu sürümünü çalıştırıyor olmalıdır.
IIS sunucusunda SMB (bağlantı noktası 445) gibi hizmetler için açık bir bağlantı noktası olmalıdır.
Yeni bir paylaşım oluşturun veya kullanıcıya
John
makinede zaten paylaşılan Klasörler'den (örneğin, Software$) birinde Okuma izni verin.Client1.contoso.com
'te oturum açın.Windows Gezgini'ne gidin.
\IISServer.contoso.com \Software$ yazın.
Güvenlik olaylarını açın
IISServer.contoso.com
ve Olay Kimliği 4624'e uyup gözlemlemediğini doğrulayın.kullanıcı
John
olarak normal bir Komut İstemi açınClient1.contoso.com
.klist tickets
komutunu çalıştırın ve anahtarınıCIFS/IISServer.contoso.com
gözden geçirin.#1> Client: John @ CONTOSO.COM Server: cifs/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:40:22 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.com
üzerinde
Client1.contoso.com
ağ izlemelerini toplayın. Adımları daha da daraltmak ve sorunu gidermek için hangi adımın başarısız olduğunu gözlemlemek için ağ izlemelerini gözden geçirin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin