Alexander A Manaeff -

 
 

IIS ошибка при разных именах "Заголовок сайта" и NetBIOS.

Microsoft Internet Security and Acceleration (ISA) Server
Microsoft Internet Information Services
Kerio Connect
Kerio Mail Server
Kerio Firewall
UserGate
DHCP, DNS, SMTP, POP, WWW, FTP

Модератор: UncleFather

IIS ошибка при разных именах "Заголовок сайта" и NetBIOS.

Сообщение UncleFather » 24 май 2010 18:57, Пн

Проблема:
Имеется Windows 2003 Server R2 Rus SP2. На нем установлены службы IIS 6. Методы проверки подлинности установлены: "Встроенная проверка подлинности Windows" и "Краткая проверка для серверов доменов Windows". Анонимный доступ отключен. Компьютер имеет имя server.domain.local. Веб узел настроен на заголовок "kontora.ru" При попытке открыть сайт c этого же сервера получаем запрос о вводе пароля. Никакие пароли при этом не проходят, то есть веб узел не дает авторизоваться. При этом, если открывать этот веб узел с любого другого компьютера, - авторизация проходит нормально.
Причина:
Во время аутентификации, контроллер домена под управлением Windows 2000 или Windows Server 2003 выдает билеты на основании Server Principle Name (SPN) Internet Information Services (IIS) веб сервера. Если запрашиваемый заголовок узла (Web site name) отличается от имени NetBIOS компьютера, на котором установлен IIS, то аутентификация Kerberos не проходит, и клиенту выдается ошибка 401.3.
Клиенты, использующие Windows NT 4 или Windows 95 или Windows 98 проходят аутентификацию успешно, из-за того, что у них отсутствует поддержка Kerberos и поэтому они используют Windows NT Challenge/Response (NTLM) аутентификацию.
Решение:
  1. При использовании Kerberos:
    Используем утилиту
    SuppToolsIIS.rar
    Утилиты для IIS
    (3.67 МБ) Скачиваний: 209
    для регистрации любых имен веб узлов, которые сконфигурированы для "Встроенная проверка подлинности Windows" и к которым осуществляется доступ с Windows 2000 (и старших) клиентов. Утилита SetSPN так же доступна на сайте microsoft.
    В нашем случае, для регистрации используем код:
    Код: Выделить всё
    SetSPN -A HTTP/kontora.ru server

    здесь kontora.ru - имя, которое мы хотим привязать к хосту server (полное имя которого server.domain.local)
    Примечание: HOST - тип сервиса по-умолчанию, который используется в случае, когда HTTP не работает на зарегистрированном SPN.
    В качестве примера, приведу код привязки сервиса по-умолчанию для нашей ситуации:
    Код: Выделить всё
    SetSPN -A HOST/kontora.ru server
  2. Без использования Kerberos:
    Удаляем Kerberos из списка провайдеров аутентификации в Internet Information Services следующей командой:
    Код: Выделить всё
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

    Примечание: Adsutil.vbs должен запускаться с правами локального Администратора на компьютере с установленным Internet Information Services.
Оригинал статьи
Аватара пользователя
UncleFather
Site Admin
 
Сообщения: 1252
Зарегистрирован: 17 авг 2004 17:20, Вт

Вернуться в Сетевые службы (сервисы)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Alexander A Manaeff -
@Mail.ru .