IIS ошибка при разных именах "Заголовок сайта" и NetBIOS.

Microsoft Internet Security and Acceleration (ISA) Server
Microsoft Internet Information Services
Kerio Connect
Kerio Mail Server
Kerio Firewall
UserGate
DHCP, DNS, SMTP, POP, WWW, FTP


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

IIS ошибка при разных именах "Заголовок сайта" и NetBIOS.

Сообщение UncleFather »

Проблема:
Имеется Windows 2003 Server R2 Rus SP2. На нем установлены службы IIS 6. Методы проверки подлинности установлены: "Встроенная проверка подлинности Windows" и "Краткая проверка для серверов доменов Windows". Анонимный доступ отключен. Компьютер имеет имя server.domain.local. Веб узел настроен на заголовок "kontora.ru" При попытке открыть сайт c этого же сервера получаем запрос о вводе пароля. Никакие пароли при этом не проходят, то есть веб узел не дает авторизоваться. При этом, если открывать этот веб узел с любого другого компьютера, - авторизация проходит нормально.
Причина:
Во время аутентификации, контроллер домена под управлением Windows 2000 или Windows Server 2003 выдает билеты на основании Server Principle Name (SPN) Internet Information Services (IIS) веб сервера. Если запрашиваемый заголовок узла (Web site name) отличается от имени NetBIOS компьютера, на котором установлен IIS, то аутентификация Kerberos не проходит, и клиенту выдается ошибка 401.3.
Клиенты, использующие Windows NT 4 или Windows 95 или Windows 98 проходят аутентификацию успешно, из-за того, что у них отсутствует поддержка Kerberos и поэтому они используют Windows NT Challenge/Response (NTLM) аутентификацию.
Решение:

  1. При использовании Kerberos:
    Используем утилиту

    SuppToolsIIS.rar
    Утилиты для IIS
    (3.67 МБ) 480 скачиваний

    для регистрации любых имен веб узлов, которые сконфигурированы для "Встроенная проверка подлинности Windows" и к которым осуществляется доступ с Windows 2000 (и старших) клиентов. Утилита SetSPN так же доступна на сайте microsoft.
    В нашем случае, для регистрации используем код:

    Код: Выделить всё

    SetSPN -A HTTP/kontora.ru server

    здесь kontora.ru - имя, которое мы хотим привязать к хосту server (полное имя которого server.domain.local)
    Примечание: HOST - тип сервиса по-умолчанию, который используется в случае, когда HTTP не работает на зарегистрированном SPN.
    В качестве примера, приведу код привязки сервиса по-умолчанию для нашей ситуации:

    Код: Выделить всё

    SetSPN -A HOST/kontora.ru server
  2. Без использования Kerberos:
    Удаляем Kerberos из списка провайдеров аутентификации в Internet Information Services следующей командой:

    Код: Выделить всё

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

    Примечание: Adsutil.vbs должен запускаться с правами локального Администратора на компьютере с установленным Internet Information Services.

Оригинал статьи


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение