Kerberos kimlik doğrulaması sorunlarını giderme kılavuzu

Bu kılavuz, Kerberos kimlik doğrulaması sorunlarını giderirken kullanılan temel kavramları sağlar.

Sorun giderme denetim listesi

• Kerberos ile ilgili bir hata, başka bir hizmetin başarısız olduğunu gösteren bir belirtidir. Kerberos protokolü, herhangi bir kimlik doğrulamasının gerçekleşmesi için kullanılabilir ve düzgün çalışması gereken birçok hizmete dayanır.

• Kerberos kimlik doğrulamasıyla ilgili bir sorun olup olmadığını belirlemek için Sistem olay günlüğünde kimlik doğrulaması sağlayan istemci, hedef sunucu veya etki alanı denetleyicisindeki herhangi bir hizmetten (Kerberos, kdc, LsaSrv veya Netlogon gibi) gelen hataları denetleyin. Bu tür hatalar varsa, Kerberos protokolüyle ilişkili hatalar da olabilir.

• Hedef sunucunun Güvenlik olay günlüğündeki hata denetimleri, oturum açma hatası oluştuğunda Kerberos protokollerinin kullanıldığını gösterebilir.

• Kerberos protokolunu incelemeden önce aşağıdaki hizmetlerin veya koşulların düzgün çalıştığından emin olun:

  • Ağ altyapısı düzgün çalışıyor ve tüm bilgisayarlar ve hizmetler iletişim kurabilir.
  • Etki alanı denetleyicisine erişilebilir. komutunu nltest /dsgetdc:<Domain Name> /force /kdc (örneğin, nltest /dsgetdc:contoso.com /force /kdc) istemci veya hedef sunucuda çalıştırabilirsiniz.
  • Etki Alanı Adı Sistemi (DNS) düzgün yapılandırılır ve konak adlarını ve hizmetlerini uygun şekilde çözümler.
  • Saatler etki alanı genelinde eşitlenir.
  • Windows Server için tüm kritik güncelleştirmeler ve güvenlik güncelleştirmeleri yüklenir.
  • Microsoft dışı yazılımlar da dahil olmak üzere tüm yazılımlar güncelleştirilir.
  • Sunucu işletim sistemi çalıştırıyorsanız bilgisayar yeniden başlatılır.
  • Gerekli hizmetler ve sunucu kullanılabilir. Kerberos kimlik doğrulama protokolü düzgün çalışması için çalışan bir etki alanı denetleyicisi, DNS altyapısı ve ağ gerektirir. Kerberos protokolü sorunlarını gidermeye başlamadan önce bu kaynaklara erişebildiğinizden emin olun.

Tüm bu koşulları incelediyseniz ve hala kimlik doğrulama sorunları veya Kerberos hataları yaşıyorsanız, bir çözüm için daha fazla aramanız gerekir. Sorunlara Kerberos protokollerinin nasıl yapılandırıldığı veya Kerberos protokolüyle çalışan diğer teknolojilerin nasıl yapılandırıldığı neden olabilir.

Yaygın sorunlar ve çözümler

Kerberos temsilci sorunları

Tipik bir senaryoda, kimliğe bürünme hesabı bir web uygulamasına veya bir web sunucusunun bilgisayar hesabına atanmış bir hizmet hesabı olabilir. Kimliğine bürünülen hesap, bir web uygulaması aracılığıyla kaynaklara erişim gerektiren bir kullanıcı hesabı olabilir.

Kerberos kullanan üç tür temsilci vardır:

• Tam temsilci (kısıtlanmamış temsilci)

  Tam temsilci seçmeden mümkün olduğunca kaçınılmalıdır. Kullanıcı (ön uç kullanıcı ve arka uç kullanıcı) farklı etki alanlarında ve ayrıca farklı ormanlarda bulunabilir.

• Kısıtlanmış temsilci (yalnızca Kerberos ve protokol geçişi)

  Kullanıcı herhangi bir etki alanından veya ormandan olabilir, ancak ön uç ve arka uç hizmetleri aynı etki alanında çalışıyor olmalıdır.

• Kaynak tabanlı kısıtlanmış temsilci (RBCD)

  Kullanıcı herhangi bir etki alanından, ön uç ve arka uç kaynakları ise herhangi bir etki alanından veya ormandan olabilir.

En yaygın Kerberos temsilcisi sorunlarını giderme

• Hizmet asıl adı eksik veya yinelenen
• Ad çözümleme hataları veya yanlış yanıtlar (sunucu için yanlış IP adresleri verilmiştir)
• Büyük Kerberos anahtarları (MaxTokenSize) ve ortam düzgün ayarlanmadı
• Güvenlik duvarları veya yönlendiriciler tarafından engellenen bağlantı noktaları
• Hizmet hesabına uygun ayrıcalıklar verilmedi (Kullanıcı Hakları Ataması)
• Aynı etki alanında olmayan ön uç veya arka uç hizmetleri ve kısıtlanmış temsilci kurulumu

Daha fazla bilgi için bkz.:

• CIFS için kısıtlanmış temsilci ACCESS_DENIED hatasıyla başarısız oluyor
• Özel hizmet hesabı için kısıtlanmış temsilci yapılandırma
• NetworkService hesabında kısıtlanmış temsili yapılandırma

Çoklu oturum açma (SSO) bozuk ve bir kez kimlik doğrulaması isteniyor

Aşağıdaki senaryoları göz önünde bulundurun:

• Microsoft Edge ve Internet Information Services (IIS) sunucusu gibi bir istemci ve sunucu uygulaması. IIS sunucusu Windows Kimlik Doğrulaması (Anlaşma) ile yapılandırılır.
• SMB istemcisi ve SMB sunucusu gibi bir istemci ve sunucu uygulaması. Varsayılan olarak, SMB sunucusu Negotiate Security Support Provider Interface (SSPI) ile yapılandırılır.

Kullanıcı Microsoft Edge'i açar ve bir iç web sitesine http://webserver.contoso.comgöz atar. Web sitesi Negotiate ile yapılandırılır ve bu web sitesi kimlik doğrulaması ister. Kullanıcı kullanıcı adını ve parolayı el ile girdikten sonra, kullanıcı kimlik doğrulamasını alır ve web sitesi beklendiği gibi çalışır.

Not

Bu senaryo bir istemci ve sunucu örneğidir. Sorun giderme tekniği, Tümleşik Windows kimlik doğrulaması ile yapılandırılmış tüm istemci ve sunucularda aynıdır.

Tümleşik Windows kimlik doğrulaması kullanıcı düzeyinde veya makine düzeyinde bozuktur.

Sorun giderme yöntemleri

• Uygulama veya makine düzeyinde etkinleştirilebilen tümleşik kimlik doğrulama ayarı için istemci yapılandırmasını gözden geçirin. Örneğin, tüm HTTP tabanlı uygulamalar tümleşik kimlik doğrulaması gerçekleştirmeye çalışırken sitenin Güvenilen bölgede olmasını arar.

  Tüm HTTP tabanlı uygulamaların Internet Explorer yapılandırmaları için kullandığı inetcpl.cpl (Internet Seçenekleri) açın ve web sitesinin Yerel intranet olarak yapılandırılıp yapılandırılmadığı gözden geçirin.

• Uygulamaların Tümleşik Windows kimlik doğrulamasını gerçekleştirmek için de bir yapılandırması vardır.

  Microsoft Edge veya Internet Explorer'da Tümleşik Windows Kimlik Doğrulamasını Etkinleştir ayarının etkinleştirilmesi gerekir.

• Uygulama yapılandırmasını gözden geçirin ve istemci bilgisayar belirli bir hizmet asıl adı (SPN) için kerberos bileti alabilir. Bu örnekte SPN şeklindedir http/webserver.contoso.com.

  • SPN'yi bulabildiğinizde başarılı iletisi:

    C:>klist get http/webserver.contoso.com
    Current LogonId is 0:0x9bd1f
    A ticket to http/webserver.contoso.com has been retrieved successfully.
    

  • SPN'yi bulamadığınızda hata iletisi:

    C:>klist get http/webserver.contoso.com
    klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
    

  İlgili SPN'leri tanımlayın ve uygun kullanıcı, hizmet veya makine hesaplarına ekleyin.

• SPN'lerin alınabileceğini belirlediyseniz, aşağıdaki komutu kullanarak doğru hesaba kaydedilip kaydedilmediklerini doğrulayabilirsiniz:

  setspn -F -Q */webserver.contoso.com
  

Kimlik doğrulama DC'sinde bulma sorunları

Tümleşik Windows kimlik doğrulaması ile yapılandırılan uygulama sunucularının, kullanıcı/bilgisayar ve hizmetin kimliğini doğrulamak için etki alanı denetleyicilerine (DC) ihtiyacı vardır.

Kimlik doğrulama işlemi sırasında bir etki alanı denetleyicisine ulaşamama 1355 hatasına yol açar:

Belirtilen etki alanı yok veya bağlantı kurulamadı

Tümleşik Windows kimlik doğrulaması ile yapılandırılmış bir kaynağa 1355 hatasıyla erişilemiyor

Not

Hata iletileri uygulama açısından farklı olabilir, ancak hatanın anlamı istemcinin veya sunucunun bir etki alanı denetleyicisini bulamamasıdır.

Bu tür hata iletilerine örnekler aşağıda verilmiştir:

• "Contoso" etki alanına katılma girişiminde aşağıdaki hata oluştu:
  Belirtilen etki alanı yok veya bağlantı kurulamadı.

• Etki alanı contoso.com için Etki Alanı Denetleyicisi bulunamadı

• Etki alanı Denetleyicisi 1355 ile bağlantı kurulamadı

Sorunun en önemli nedenleri

• İstemcide DNS yanlış yapılandırması

  komutunu çalıştırabilir ipconfig /all ve DNS sunucuları listesini gözden geçirebilirsiniz.

• Güvenilen bir etki alanı veya ormandaki etki alanı denetleyicilerinde DNS yanlış yapılandırması

• İstemci ve etki alanı denetleyicileri arasında engellenen ağ bağlantı noktaları

  DC Bulma bağlantı noktaları: UDP 389 (UDP LDAP) ve UDP 53 (DNS)

Sorun giderme adımları

1. nslookup DNS yanlış yapılandırmalarını belirlemek için komutunu çalıştırın.
2. İstemci ile etki alanı denetleyicisi arasındaki gerekli bağlantı noktalarını açın. Daha fazla bilgi için bkz. Active Directory etki alanları ve güvenleri için güvenlik duvarı yapılandırma.

Günlük analizi test senaryosu

Ortam ve yapılandırma

• İstemci makinesi

  Client1.contoso.com(Windows 11 makinesi) etki alanına Contoso.comkatılır.

• Kullanıcı John

  Kullanıcı, istemci makinesine Contoso.com aittir ve istemci makinesinde oturum açar.

• İstemci makinesinde İnternet seçenekleri

  Tüm web siteleri yerel intranet bölgesinin bir parçasıdır.

  

• Server

  IISServer.contoso.com (Windows Server 2019) etki alanına Contoso.comkatılır.

• Kimlik doğrulama yapılandırması

  Windows Kimlik DoğrulamasıEtkindir.

  

• Kimlik Doğrulama Sağlayıcıları: Anlaşma

  Etkin sağlayıcılar aşağıdaki gibi ayarlanır:

  

Kimlik doğrulama akışı

1. Kullanıcı John uygulamasında Client1.contoso.comoturum açar, bir Microsoft Edge tarayıcısı açar ve öğesine IISServer.contoso.combağlanır.
2. İstemci makinesi aşağıdaki adımları gerçekleştirir (Yukarıdaki diyagramda 1. adım):
   1. DNS çözümleyicisi, bu bilgilerin zaten önbelleğe IISServer.contoso.com alındığını doğrulamak için önbelleğe alır.
   2. DNS çözümleyicisi, C:\Windows\System32\drivers\etc\Hosts konumunda bulunan herhangi bir eşleme IISServer.contoso.com için HOSTS dosyasını denetler.
   3. Tercih edilen DNS sunucusuna bir DNS sorgusu gönderin (IP yapılandırma ayarlarında yapılandırılır), bu da ortamda bir etki alanı denetleyicisidir.
3. Etki alanı denetleyicisinde çalışan DNS hizmeti yapılandırılmış bölgelerini arar, A Ana Bilgisayarı kaydını çözümler ve ip adresiyle IISServer.contoso.com yanıt verir (Yukarıdaki diyagramda 2. adım).
4. İstemci makine, 80 IISServer.contoso.comnumaralı TCP bağlantı noktasında ile TCP üç yönlü el sıkışması gerçekleştirir.
5. İstemci makine, adresine IISServer.contoso.comanonim bir HTTP isteği gönderir.
6. Bağlantı noktası 80'de dinleyen IIS sunucusu, isteği adresinden Client1.contoso.comalır, IIS sunucuları kimlik doğrulama yapılandırmasına bakar ve kimlik doğrulama yapılandırması olarak Anlaşma ile istemci makinesine bir HTTP 401 sınama yanıtı gönderir (yukarıdaki diyagramda 3. adım).
7. Üzerinde Client1.contoso.com çalışan Microsoft Edge işlemi, IIS sunucusunun Negotiate ile yapılandırıldığını bilir ve web sitesinin yerel intranet bölgesinin bir parçası olup olmadığını doğrular. Web sitesi yerel intranet bölgesindeyse, Microsoft Edge işlemi SPN'ye HTTP\IISServer.contoso.com sahip bir Kerberos bileti almak için LSASS.exe çağrısı yapacaktır (Yukarıdaki diyagramda 5. adım).
8. Etki alanı denetleyicisi (KDC hizmeti) isteği konumundan Client1.contoso.comalır ve veritabanında SPN'yi HTTP\IISServer.contoso.com arar ve bulma IISServer.contoso.com bu SPN ile yapılandırılır.
9. Etki alanı denetleyicisi, IIS sunucusunun biletiyle birlikte bir TGS yanıtıyla yanıt verir (Yukarıdaki diyagramda 6. adım).
10. İstemci makinedeki Microsoft Edge işlemi, etki alanı denetleyicisi tarafından verilen Kerberos TGS biletiyle IIS web sunucusuna bir Kerberos Uygulama Protokolü (AP) isteği gönderir.
11. IIS işlemi, biletin şifresini çözmek ve yetkilendirme için SessionID ve Kullanıcılar grup üyeliğiyle bir belirteç oluşturmak için web sunucusundaki LSASS.exe çağırır.
12. IIS işlemi, yetkilendirme kararları almak ve Kullanıcının bir AP yanıtıyla bağlanmasına izin vermek için LSASS.exe belirteci tanıtıcı alır.

İş akışının Ağ İzleyicisi analizi

Not

Aşağıdaki etkinlikleri gerçekleştirmek için yerel Yöneticiler grubunun kullanıcısı olmanız gerekir.

1. İstemci makinesine (Client1.contoso.com) Microsoft Ağ İzleyicisi'ni yükleyin.

2. Aşağıdaki komutu yükseltilmiş komut istemi penceresinde çalıştırın (cmd.exe):

   ipconfig /flushdns
   

3. Ağ İzleyicisi'ni başlatın.

4. Microsoft Edge tarayıcıyı açın ve yazın http://iisserver.contoso.com.

5. Ağ izleme analizi:

   1. Bir Konak A kaydı için etki alanı denetleyicisine DNS sorgusu: IISServer.contoso.com.

      3005    00:59:30.0738430    Client1.contoso.com    DCA.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Query  for iisserver.contoso.com of type Host Addr on class Internet
      

   2. Etki alanı denetleyicisindeki DNS hizmetinden DNS yanıtı.

      3006    00:59:30.0743438    DCA.contoso.com    Client1.contoso.com    DNS    DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104
      

   3. Üzerindeki Client1.contoso.com Microsoft Edge işlemi IIS web sunucusuna IISServer.contoso.com (anonim bağlantı) bağlanır.

      3027    00:59:30.1609409    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /
      Host:  iisserver.contoso.com
      

   4. IIS sunucusu HTTP yanıtı 401: Negotiate ve NTLM (IIS sunucusunda gerçekleştirilen yapılandırma) ile yanıt verir.

      3028    00:59:30.1633647    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details
      
      WWWAuthenticate: Negotiate
      WWWAuthenticate: NTLM
      

   5. kerberos Client1.contoso.com isteği, bir SPN ile etki alanı denetleyicisine DCA.contoso.com gider: HTTP/iisserver.contoso.com.

      3034    00:59:30.1834048    Client1.contoso.com    DCA.contoso.com    KerberosV5    KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.com
      

   6. Etki alanı denetleyicisi DCA.contoso.com , Kerberos anahtarıyla TGS yanıtı olan Kerberos isteğiyle yanıt verir.

      3036    00:59:30.1848687    DCA.contoso.com    Client1.contoso.com    KerberosV5    KerberosV5:TGS Response Cname: John 
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      Sname: HTTP/iisserver.contoso.com
      

   7. Üzerindeki Client1.contoso.com Microsoft Edge işlemi artık Kerberos AP isteğiyle IIS sunucusuna gider.

      3040    00:59:30.1853262    Client1.contoso.com    iisserver.contoso.com    HTTP    HTTP:Request, GET /favicon.ico , Using GSS-API Authorization
      Authorization: Negotiate
      Authorization:  Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF
      SpnegoToken: 0x1
      NegTokenInit: 
      ApReq: KRB_AP_REQ (14)
      Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com
      

   8. IIS sunucusu, kimlik doğrulamasının tamamlandığını belirten bir yanıtla yanıt verir.

      3044    00:59:30.1875763    iisserver.contoso.com    Client1.contoso.com    HTTP    HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication
      WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy
      NegotiateAuthorization: 
      GssAPI: 0x1
      NegTokenResp: 
      ApRep: KRB_AP_REP (15)
      

6. komutundaki klist tickets komut çıktısındaki Client1.contoso.comKerberos anahtarını gözden geçirmek için komutunu çalıştırın.

   Client: John @ CONTOSO.COM
   Server: HTTP/iisserver.contoso.com @ CONTOSO.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/28/2022 0:59:30 (local)
   End Time:   11/28/2022 10:58:56 (local)
   Renew Time: 12/5/2022 0:58:56 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0
   Kdc Called: DCA.contoso.com
   

7. IIS sunucusunda denetimi gösteren Olay Kimliği 4624'i Success gözden geçirin:

• Varsayılan olarak, Success veya Failure denetimleri Windows'un tüm sunucu işletim sistemlerinde etkinleştirilir. Denetimin etkinleştirilip etkinleştirilmediğini aşağıdaki komutla doğrulayabilirsiniz.

• Denetimin etkin olmadığını fark ederseniz denetimi etkinleştirin. Aşağıdaki listede oturum açma kategorisini gözden geçirin. Gözlemleyebileceğiniz gibi, oturum açma alt kategorisi ile Success and Failureetkinleştirilir.

  C:\>auditpol /get /Subcategory:"logon"
  System audit policy
  Category/Subcategory                      Setting
  Logon/Logoff
    Logon                                   Success and Failure
  

  ile Success and Failureoturum açmayı gözlemlemezseniz, etkinleştirmek için komutunu çalıştırın:

  C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable
  The command was successfully executed.
  

IISServer.contoso.com'da başarı güvenliği Olay Kimliği 4624'i gözden geçirin

Aşağıdaki alanları gözlemleyin:

• Logon type: 3 (ağ oturumu açma)
• Security ID alanında New Logon : Contoso\John
• Source Network Address: İstemci makinesinin IP adresi
• Logon Process ve Authentication Package: Kerberos

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/28/2022 12:59:30 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      IISServer.contoso.com
Description:
An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Information:
    Logon Type:        3
    Restricted Admin Mode:    -
    Virtual Account:        No
    Elevated Token:        No

Impersonation Level:        Impersonation

New Logon:
    Security ID:        CONTOSO\John
    Account Name:        John
    Account Domain:        CONTOSO.COM
    Logon ID:        0x1B64449
    Linked Logon ID:        0x0
    Network Account Name:    -
    Network Account Domain:    -
    Logon GUID:        {<GUID>}

Process Information:
    Process ID:        0x0
    Process Name:        -

Network Information:
    Workstation Name:    -
    Source Network Address:    192.168.2.101
    Source Port:        52655

Detailed Authentication Information:
    Logon Process:        Kerberos
    Authentication Package:    Kerberos

Kimlik doğrulama iş akışı sorunlarını giderme

Sorunu gidermek için aşağıdaki yöntemlerden birini kullanın.

• IIS web sunucusunun (IISServer.contoso.com) adını kaynağından Client1.contoso.comçözümleyebildiğinizi doğrulayın.

• AŞAĞıDAKI cmdlet'i kullanarak DNS sunucusunun doğru IIS sunucusu IP adresine yanıt verdiğini doğrulayın:

  PS C:\> Resolve-DnsName -Name IISServer.contoso.com
  
  Name                                           Type   TTL   Section    IPAddress
  ----                                           ----   ---   -------    ---------
  IISServer.contoso.com                          A      1200  Answer     192.168.2.104
  

• Aşağıdaki cmdlet'i kullanarak istemci makine ile IIS web sunucusu (IISServer.contoso.com) arasında ağ bağlantı noktalarının açılıp açılmadığını doğrulayın:

  PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com                                                               
  
  ComputerName     : IISServer.contoso.com
  RemoteAddress    : 192.168.2.104
  RemotePort       : 80
  InterfaceAlias   : Ethernet 2
  SourceAddress    : 192.168.2.101
  TcpTestSucceeded : True
  

• Etki alanı denetleyicisinden Kerberos bileti alıp almadığınızdan emin olun.

  1. Web sitesine erişmeye çalışan kullanıcının bağlamında normal bir Komut İstemi (yönetici Komut İstemi değil) açın.

  2. klist purge komutunu çalıştırın.

  3. klist get http/iisserver.contoso.com Komutu aşağıdaki gibi çalıştırın:

     PS C:\> klist get http/iisserver.contoso.com
     
     Current LogonId is 0:0xa8a98b
     A ticket to http/iisserver.contoso.com has been retrieved successfully.
     
     Cached Tickets: (2)
     
     #0>     Client: John @ CONTOSO.COM
             Server: krbtgt/CONTOSO.COM @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0x1 -> PRIMARY
             Kdc Called: DCA.contoso.com
     
     #1>     Client: John @ CONTOSO.COM
             Server: http/iisserver.contoso.com @ CONTOSO.COM
             KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
             Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
             Start Time: 11/28/2022 1:28:11 (local)
             End Time:   11/28/2022 11:28:11 (local)
             Renew Time: 12/5/2022 1:28:11 (local)
             Session Key Type: AES-256-CTS-HMAC-SHA1-96
             Cache Flags: 0
             Kdc Called: DCA.contoso.com
     

     Sütunda SPN http/IISServer.contoso.com için bir Kerberos bileti elde ettiğinizi Cached Ticket (2) göreceksiniz.

• Varsayılan kimlik bilgilerini kullanarak IIS web hizmetinin IIS sunucusunda çalıştırılıp çalıştırılamadığını doğrulayın.

  Web sitesine erişmeye çalışan kullanıcı bağlamında normal bir PowerShell İstemi (yönetici PowerShell İstemi değil) açın.

  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials
  
  
  StatusCode        : 200
  StatusDescription : OK
  Content           : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
                      "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
                      <html xmlns="http://www.w3.org/1999/xhtml">
                      <head>
                      <meta http-equiv="Content-Type" cont...
  RawContent        : HTTP/1.1 200 OK
                      Persistent-Auth: true
                      Accept-Ranges: bytes
                      Content-Length: 703
                      Content-Type: text/html
                      Date: Mon, 28 Nov 2022 09:31:40 GMT
                      ETag: "3275ea8a1d91:0"
                      Last-Modified: Fri, 25 Nov 2022...
  

• IIS sunucusunda Güvenlik olay günlüğünü gözden geçirin:

  • Başarı olay günlüğü 4624
  • Hata olay günlüğü 4625

• Yalıtım işlemi: IIS sunucusundaki diğer hizmetlerin Kerberos kimlik doğrulamasını işleyebildiğini doğrulamak için aşağıdaki sorun giderme adımlarını kullanabilirsiniz.

  Önkoşullar:

  • IIS sunucusu, Windows'un bir sunucu sürümünü çalıştırıyor olmalıdır.

  • IIS sunucusunda SMB (bağlantı noktası 445) gibi hizmetler için açık bir bağlantı noktası olmalıdır.

  • Yeni bir paylaşım oluşturun veya kullanıcıya John makinede zaten paylaşılan Klasörler'den (örneğin, Software$) birinde Okuma izni verin.

    1. Client1.contoso.com'te oturum açın.

    2. Windows Gezgini'ne gidin.

    3. \IISServer.contoso.com \Software$ yazın.

    4. Güvenlik olaylarını açın IISServer.contoso.com ve Olay Kimliği 4624'e uyup gözlemlemediğini doğrulayın.

    5. kullanıcı Johnolarak normal bir Komut İstemi açınClient1.contoso.com. klist tickets komutunu çalıştırın ve anahtarını CIFS/IISServer.contoso.comgözden geçirin.

       #1>     Client: John @ CONTOSO.COM
               Server: cifs/iisserver.contoso.com @ CONTOSO.COM
               KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
               Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
               Start Time: 11/28/2022 1:40:22 (local)
               End Time:   11/28/2022 11:28:11 (local)
               Renew Time: 12/5/2022 1:28:11 (local)
               Session Key Type: AES-256-CTS-HMAC-SHA1-96
               Cache Flags: 0
               Kdc Called: DCA.contoso.com
       

    6. üzerinde Client1.contoso.comağ izlemelerini toplayın. Adımları daha da daraltmak ve sorunu gidermek için hangi adımın başarısız olduğunu gözlemlemek için ağ izlemelerini gözden geçirin.