رد مع اقتباس
السلام عليكم أتمني أن يفيدك يا أخي هدا الموضوع
توضح هذه المقالة كيفية استكشاف أخطاء Kerberos المصادقة على ملقمات خدمات معلومات إنترنت (IIS). هذا ليس دليل كاملة ولكن لدى العديد من المراجع التي يمكن أن تساعدك في استكشاف الأخطاء وإصلاحها Kerberos معظم التي قد تواجهها.
بشكل افتراضي عند تثبيت IIS على ملقم Microsoft Windows 2000 ، يتم تعيين مفتاح NTAuthenticationProviders في قاعدة التعريف مفاوضة, NTLM. وهذا يعني أنه عند اتصال Microsoft Internet Explorer 5.0 أو أحدث العميل إلى موقع ويب ، IIS إرجاع هذه القيمتين في رأس المصادقة WWW. عند حدوث ذلك، العميل يحدد أسلوب المصادقة الذي يمكن الاتصال به. إذا قرر العميل للاتصال باستخدام أسلوب مفاوضة ، يفاوض العميل مع الملقم لتحديد ما إذا كان سيتم استخدام Kerberos أو NTLM للمصادقة. إذا لم يعتمد العميل أسلوب مفاوضة يستخدم العميل NTLM للمصادقة.
لاحظ أن هذا وصف عام جداً كيفية عمل هذه العملية. تحدث العديد من الأشياء التي فربما لا تلاحظ كذلك عند تضمين Kerberos.
إذا لم يمكن الاتصال العميل Internet Explorer باستخدام بروتوكول Kerberos, يتم تنفيذ بعض عمليات تدقيق الأمان إضافية. على سبيل المثال، قد العميل للحصول على بطاقة من خدمة منح من البطاقة (TGS) ثم قم باستخدام هذا التذكرة المصادقة.
لمزيد من المعلومات حول كيفية عمل هذه العملية انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft: 217098 (https://support.microsoft.com/kb/217098/ ) نظرة عامة حول الأساسية Kerberos المصادقة في نظام التشغيل Windows 2000
لمزيد من المعلومات، قم بزيارة موقع Microsoft التالي على الويب:مصادقة https://www.microsoft.com/technet/pr....mspx?mfr=true (https://www.microsoft.com/technet/pr....mspx?mfr=true)
يجب أن تكون معتاداً على هذه المراجع لاستكشاف Kerberos.
ملاحظة إذا قمت بالترقية مؤخراً إلى Internet Explorer 6.0 قد تواجه مشكلات Kerberos لأنه لم يتم تحديد خانة الاختيار تمكين مصادقة تكامل Windows بشكل افتراضي. لمزيد من المعلومات حول كيفية التأكد من تعيين هذا الخيار بشكل صحيح انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft: 299838 (https://support.microsoft.com/kb/299838/ ) غير قادر على التفاوض مع مصادقة Kerberos، بعد الترقية إلى Internet Explorer 6
عودة إلى الأعلى
التحقق من أساليب المصادقة
تأكد من أن أساليب المصادقة الصحيحة مذكورة في قاعدة التعريف ملقم IIS أو موقع ويب معين. إذا تم ترقية الملقم الخاص بك من نظام التشغيل Microsoft Windows NT 4.0 إلى Windows 2000 ، أسلوب المصادقة مفاوضة غير متوفر ولا يجب إضافته يدوياً. إذا لم الترقية من Windows NT 4.0 إلى Windows 2000 تأكد من أن تتوفر أساليب المصادقة المناسبة. للحصول على مزيد من المعلومات حول كيفية التحقق من التي مفاوضة أسلوب المصادقة يتوفر ثم أضف الأسلوب إذا كان مفقوداً ، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft: 248350 (https://support.microsoft.com/kb/248350/ ) فشل مصادقة Kerberos بعد الترقية من IIS 4.0 إلى IIS 5.0
لاحظ أنه يمكن تعيين أسلوب المصادقة هذا في مستوى موقع ويب وفي وليس من أجل ملقم IIS بالكامل. للقيام بذلك، استخدم البرنامج النصي Adsutil.vbs لإضافة عدد موقع ويب. على سبيل المثال، لتعيين أسلوب المصادقة فقط في موقع ويب الافتراضي استخدم الأمر التالي:
تعيين cscript adsutil.vbs w3svc/1/NTAuthenticationProviders "مفاوضة NTLM"
1 بعد "w3svc" هو الرقم موقع ويب كما تم سرده في إدارة خدمات إنترنت (ISM).
تحديد اسم الملقم
بعد ذلك تحديد ما إذا كنت تقوم بالاتصال بموقع ويب باستخدام اسم NetBIOS الفعلي الملقم أو اسم مستعار مثل DNS اسم (مثلاً، www.microsoft.com). إذا تم الوصول إلى ملقم ويب باستخدام اسم آخر غير الاسم الفعلي الملقم يجب أن يتم تسجيل جديد اسم خدمة أساسي (SPN) باستخدام الأداة Setspn من Windows 2000 Server Resource Kit. لأنه لم Active تعرف اسم الخدمة هذا TGS لا يعطيك تذكرة مصادقة المستخدم. يفرض هذا العميل لاستخدام أسلوب المصادقة المتوفرة التالي وهو NTLM ، تفاوض. إذا كان ملقم ويب يستجيب إلى اسم نظام اسم مجال (DNS) من www.microsoft.com ولكن يتم تسمية ملقم أو ملقمات webserver1.development.microsoft.com يجب تسجيل www.microsoft.com في "Active Directory" على كل ملقم IIS. للقيام بذلك، يجب تحميل Setspn في الأداة المساعدة بتثبيته على ملقم IIS.
للحصول على مزيد من المعلومات حول كيفية تحميل الأداة المساعدة Setspn قم بزيارة موقع Microsoft التالي على الويب:
Setspn.exehttps://www.microsoft.com/downloads/...DisplayLang=en (https://www.microsoft.com/downloads/...DisplayLang=en) لتحديد ما إذا كنت تقوم بالاتصال باستخدام الاسم الفعلي محاولة الاتصال بالملقم باستخدام اسمه الفعلي بدلاً من اسم DNS. إذا لم تتمكن من الاتصال الملقم انتقل إلى قسم "Verify the Computer Is Trusted for Delegation. إذا كان الاتصال بالملقم اتبع الخطوات التالية لتعيين SPN لاسم DNS الذي تستخدمه للاتصال بالملقم: تثبيت الأداة المساعدة Setspn.
على ملقم IIS افتح موجه الأوامر ثم قم بتغيير إلى دليل أدوات Files\Resource C:\Program.
قم بتشغيل الأمر التالي لإضافة هذه SPN جديد (www.microsoft.com) إلى "Active Directory" للملقم حيث webserver1 هو اسم NetBIOS الملقم:
Setspn - HTTP/www.microsoft.com webserver1
تظهر إخراج مشابه لما يلي:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.comUpdated object
لعرض قائمة SPNs على الخادم لمعرفة هذه القيمة الجديدة, اكتب ما يلي في ملقم IIS: Setspn -L webservername
ملاحظة لا يلزم تسجيل كافة الخدمات. سيتم تعيين العديد من أنواع خدمة مثل HTTP و W3SVC ، WWW ، RPC ، CIFS (الوصول إلى الملفات) ، WINS و تزويد إمداد طاقة غير متقطع (UPS) إلى نوع خدمة افتراضي المسمى HOST. على سبيل المثال، إذا كان برنامج العميل يستخدم SPN HTTP/webserver1.microsoft.com لإجراء اتصال HTTP إلى ملقم ويب على ملقم webserver1.microsoft.com ولكن لم يتم تسجيل هذا SPN على الملقم وحدة تحكم مجال Windows 2000 سيتم تلقائياً تعيين فإنه HOST/webserver1.microsoft.com. يتم تطبيق هذا التعيين فقط إذا كانت خدمة ويب تعمل تحت حساب النظام المحلي.
هام إذا كانت SPN التي تريد تسجيلها من أجل حساب الكمبيوتر (يتم تشغيل موقع ويب ضمن حساب LocalSystem "أو" NetworkService) ، لا يجب تغيير SPNs الموجودة من جهاز الكمبيوتر. بدلاً من ذلك، أضف SPN HTTP جديدة فقط. إذا كان اسم موقع ويب مع اسم المضيف, أي تغيير SPNs مطلوب. إذا كان القياسي أسماء HOST / Server و HOST / ServerFQDN مفقودة ، يجب أن الاستقصاء عن المشكلات التي قد الخدمة على الملقم عند ذلك يسجل SPNs المطلوبة. يجب أن تتلقى رسائل خطأ في ملف السجل عند تمكين تسجيل الخدمة. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft: 109626 (https://support.microsoft.com/kb/109626/ ) تمكين تسجيل التصحيح للخدمة Net
يجب أن تتلقى أيضاً أحداث Netlogon في سجل أحداث النظام حول أخطاء التسجيل.
تأكد من أن الكمبيوتر موثوق به للتفويض
إذا هذا الملقم IIS هو عضو في المجال ولكن ليس وحدة تحكم مجال, يجب أن يكون الكمبيوتر موثوق به للتفويض لـ Kerberos للعمل بشكل صحيح. لتمكين هذا اتبع الخطوات التالية: على وحدة تحكم المجال انقر فوق ابدأ ، وأشر إلى إعدادات ثم انقر فوق لوحة التحكم.
انقر نقراً مزدوجاً فوق المجلد أدوات إدارية ومن ثم انقر نقراً مزدوجاً فوق Active Directory Users and Computers.
ضمن المجال, انقر فوق مجلد أجهزة الكمبيوتر.
في القائمة تحديد موقع ملقم IIS. انقر بزر الماوس الأيمن فوق اسم الملقم ومن ثم انقر فوق خصائص.
انقر فوق علامة التبويب عام ، انقر لتحديد خانة الاختيار الموثوقة للتفويض ثم انقر فوق موافق.
استخدام Kerbtray
هي أداة مساعدة أخرى مفيدًا لاستكشاف مشكلات Kerberos Kerbtray.exe جزء من Windows 2000 Resource Kit. باستخدام Kerbtray يمكنك مشاهدة تذاكر Kerberos التي تم منحها من ذاكرة التخزين المؤقت المحلية. لتحميل هذه الأداة المساعدة قم بزيارة موقع Microsoft التالي على الويب: Kerbtray.exe: Kerberos Trayhttps://www.microsoft.com/downloads/...displaylang=en (https://www.microsoft.com/downloads/...displaylang=en)
للحصول على مزيد من المعلومات حول هذه الأداة وتلميحات حول استكشاف أخطاء Kerberos قم بزيارة موقع Microsoft التالي على الويب: https://www.microsoft.com/technet/pr.../tkerberr.mspx (https://www.microsoft.com/technet/pr.../tkerberr.mspx)
تمكين تسجيل أحداث الأمان
يمكن تسجيل أحداث الأمان invaluable عند استكشاف أخطاء فشل مصادقة Kerberos. مع ذلك تمكين, يمكنك مشاهدة فشل تسجيل الدخول عندما يحاول مستخدم لمصادقة خلال IIS. يوفر هذا شرح ما قد تحدث أثناء عملية المصادقة و لماذا غير عملية المصادقة.
يتم باقي المعلومات في هذا القسم بين علامات اقتباس مباشرة من Desiging الآمنة ويب تستند إلى التطبيقات لـ Windows 2000 خلفية قبل منير Howard. لأن تتم مصادقة اتصالات في Windows 2000 يجب فهم كيفية قراءة أحداث تسجيل الدخول. الغرض من هذا المقطع هو شرح المتغيرات المختلفة التي تشكل أحداث تسجيل دخول.
إعدادات تدوين تسجيل الدخول/تسجيل الخروج
يتضمن Microsoft Windows NT واحد فقط من فئة تدوين تسجيل الدخول وتسجيل الخروج. يقدم Windows 2000 ثانية. يتم توضيح فئتين--تسجيل الدخول/تسجيل الخروج ثم تسجيل الدخول بحساب--في المقاطع التالية. تدقيق أحداث تسجيل دخول الحساب (الفئة "تسجيل الدخول/تسجيل الخروج")
تشير هذه الأحداث الفئة متوفرة في كافة إصدارات Windows NT و Windows 2000 إلى حساب تسجيل أو إيقاف تشغيله أو إجراء اتصال شبكة إلى الكمبيوتر. بمعنى آخر، يتم تشغيل الحدث التدقيق على الكمبيوتر حيث يحدث تسجيل الدخول. من المهم الفئة تسجيل الدخول/الخروج لأنه يوفر معلومات معظم عند استخدام IIS و SQL Server و COM +.
يتم الأحداث الأكثر أهمية في الفئة تسجيل الدخول/تسجيل الخروج أحداث تسجيل الدخول/الخروج 529 (فشل تسجيل الدخول)
أحداث تسجيل الدخول/الخروج 528 (نجاح تسجيل الدخول)
أحداث تسجيل الدخول/الخروج 540 (نجاح تسجيل دخول شبكة الاتصال)
إظهار المقاطع التالية هذه الأحداث, ويشرح Table 1 كل من الحقول في الأحداث. أحداث تسجيل الدخول/الخروج 529 (فشل تسجيل الدخول)
Event Type: Failure AuditEvent Source: SecurityEvent Category: Logon/Logoff Event ID: 529Date: 9/3/1999Time: 8:57:21 PMUser: NT AUTHORITY\SYSTEMComputer: CHERYL-LAPTOPDescription:Logon Failure: Reason: Unknown user name or bad password User Name: Administrator Domain: CHERYL-LAPTOP Logon Type: 2 Logon Process: seclogon Authentication Package: Negotiate Workstation Name: CHERYL-LAPTOP
أحداث تسجيل الدخول/الخروج 528 (تسجيل الدخول النجاح) "و" أحداث تسجيل الدخول/الخروج 540 (نجاح تسجيل دخول شبكة الاتصال)
Event Type: Success AuditEvent Source: SecurityEvent Category: Logon/Logoff Event ID: 540Date: 1/23/2000Time: 5:41:39 PMUser: EXAIR\CherylComputer: CHERYL-LAPTOPDescription:Successful Network Logon: User Name: cheryl Domain: EXAIR Logon ID: (0x0,0x17872ALogon Type: 3 Logon Process: Kerberos Authentication Package: Kerberos Workstation Name:
طي هذا الجدولتوسيع هذا الجدول
حقل التعليقات نوع الحدث ، مصدر ، الفئة ، معرف التاريخ و الوقت self-explanatory المستخدم حساب المستخدم إجراء تسجيل الدخول. على سبيل المثال، قد يكون هذا NT AUTHORITY\SYSTEM وهو حساب LocalSystem المستخدمة لبدء تشغيل العديد من خدمات Windows 2000. الكمبيوتر الكمبيوتر الذي وقع الحدث السبب ينطبق على فشل تسجيل الدخول فقط; الخاص به فشل سبب الحساب لتسجيل الدخول. اسم المستخدم اسم حساب المستخدم يحاولون تسجيل الدخول المجال مجال حساب المستخدم يحاولون تسجيل الدخول. نوع تسجيل الدخول قيمة رقمية تشير إلى نوع تسجيل دخول حاول. القيم المحتملة:
2 التبادلية (بشكل تفاعلي بتسجيل الدخول)
3 شبكة (النظام الوصول إليها عبر شبكة الاتصال)
4 الدفعي (تشغيله كمهمة دفعية)
5 Service (خدمة Windows تشغيله بواسطة وحدة تحكم الخدمة)
6 وكيل (تسجيل الدخول الوكيل; غير مستخدم في Windows NT أو Windows 2000)
7 إلغاء تأمين (تأمين محطة العمل)
8 NetworkCleartext (تسجيل دخول شبكة الاتصال "باستخدام بيانات اعتماد cleartext)
9 NewCredentials (تستخدم من قبل RunAs عند استخدام الخيار /netonly)عملية تسجيل الدخول عملية إجراء تسجيل الدخول. فيما يلي بعض عمليات تسجيل الدخول المثال:
-Advapi (تشغيلها بواسطة استدعاء LogonUser; يستدعي LogonUser LsaLogonUser ثم إحدى الوسيطات إلى LsaLogonUser OriginName ، يعرّف أصل محاولة تسجيل الدخول)
-واجهة (العادي تسجيل Windows 2000 الدخول باستخدام WinLogon)
-SCMgr (إدارة التحكم بالخدمة تشغيل خدمة)
-KsecDD (اتصالات SMB شبكة الاتصال الملقم - على سبيل المثال، عند استخدام أمر NET USE)
-Kerberos (Kerberos موفر دعم الأمان [SSP])
-NtlmSsp (SSP NTLM)
-Seclogon (تسجيل الدخول الثانوية-وهو الأمر RunAs)
-IIS (IIS إجراء تسجيل الدخول; عند تسجيل الدخول حساب IUSR_machinename أو عند استخدام المصادقة الأساسية "أو" الكلية)حزمة المصادقة تسمى حزمة الأمان لمحاولة تسجيل الدخول الحساب. حزمة مصادقة هي مكتبة الارتباط الحيوي (DLL) التي بتحليل بيانات تسجيل الدخول ثم تحديد ما إذا كان لمصادقة حساب. أمثلة الأكثر شيوعاً هي Kerberos "و" مفاوضة "،" NTLM "و" MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 (أيضاً يسمى MSV1_0; بمصادقة المستخدمين في قاعدة بيانات SAM يعتمد مصادقة المرور لحسابات في المجالات الموثوق بها و يدعم حزم subauthentication) اسم "محطة اسم محطة العمل" إذا المعروفة المستخدمة من قبل رأس المال أثناء تسجيل الدخول.
تدقيق أحداث تسجيل دخول الحساب (تسجيل دخول الحساب الفئة)
الإشارة إلى هذه الفئة الحدث أنه حساب تسجيل أو إيقاف تشغيله أنه تم استخدام الكمبيوتر للتحقق من صحة الحساب. في هذه الحالة، يتم تشغيل الحدث التدقيق على الكمبيوتر حيث يتواجد الحساب. يتم تسجيل العديد من المتعلقة بـ Kerberos الأحداث، مثل إصدار البطاقة عند تمكين هذه الفئة التدقيق.
إظهار المقاطع التالية أحداث فشل تسجيل دخول الحساب مشاهدة غالباً اثنين.
أحداث "تسجيل دخول الحساب" (فشل تسجيل الدخول) 676: "مصادقة طلب فشل بطاقة"
Event Type: Failure AuditEvent Source: SecurityEvent Category: Account Logon Event ID: 676Date: 5/11/2000Time: 8:47:01 PMUser: NT AUTHORITY\SYSTEMComputer: DBSERVERDescription:Authentication Ticket Request Failed: User Name: Major Supplied Realm Name: EXPLORATIONAIR.COM Service Name: krbtgt/EXPLORATIONAIR.COM Ticket Options: 0x40810010 Failure Code: 6 Client Address: 172.100.100.12
ملاحظة ما هو حساب NT AUTHORITY\SYSTEM ؟ هذا الحساب عادةً يشار إليه على أنه LocalSystem; وهو الحساب ضمن الخدمات معظم التي تم تشغيلها. سوف تشاهد العديد من المراجع إلى هذا الحساب في "سجل أحداث الأمان".
يدل الحدث 676 تعذر الحصول رئيسي على الأولي تذكرة منح البطاقة (TGT) من مركز التوزيع الأساسي (KDC). الجزء الأكثر أهمية من الحدث هو رمز الفشل. هذه الرموز هي نفس رموز MIT Kerberos. يصف Table 2 بعض رموز فشل الأكثر شيوعاً; يمكن العثور على قائمة كاملة في الرئيسي https://www.ietf.org/rfc/rfc1510.txt (https://www.ietf.org/rfc/rfc1510.txt) .
جدول 2 - بعض رموز فشل Kerberos الشائعةطي هذا الجدولتوسيع هذا الجدول
رمز الفشل التعليقات 6 عميل يتم العثور على قاعدة بيانات Kerberos. 7 ملقم يتم العثور على قاعدة بيانات Kerberos. يشير عادة إلى اسم خدمة أساسي (SPN) لم يتم تسجيل الخدمة. 23 انتهت مدة صلاحية كلمة المرور. 32 انتهت مدة صلاحية التذكرة. 33 البطاقة غير صالحة بعد. 34 يتم طلب إعادة. شخص يحاول تشغيل استجابة عميل Kerberos; ربما يتم تعرضك. 37 ساعة skew جداً great. يكون Kerberos الوقت الحرج; تأكد من مزامنة الساعات كافة
أحداث "تسجيل دخول الحساب" 681 (فشل تسجيل الدخول) بعدد كبير عن رمز خطأ
قد تشاهد بعض الأحيان خطأ كما يلي. تكون المشكلة دون فائدة الواقع رمز الخطأ.
Event Type: Failure AuditEvent Source: SecurityEvent Category: Account Logon Event ID: 681Date: 5/11/2000Time: 8:47:01 PMUser: NT AUTHORITY\SYSTEMComputer: DBSERVERDescription:The logon to account: Major by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 from workstation: WEBSERVER failed. The error code was: 3221225572
جدول 3 - مثال حساب تسجيل الدخول خطأ رموز.
طي هذا الجدولتوسيع هذا الجدول
خطأ Code(Decimal) خطأ Code(Hex) التعليقات 3221225572 0xC0000064 المستخدم المحدد غير موجود. 3221225570 0xC0000062 اسم الذي تم توفيره ليس اسم حساب تم تكوينه بشكل صحيح. 3221225569 0xC0000061 امتياز مطلوب غير موجود من قبل العميل. 3221225578 0xC000006A عند محاولة تحديث كلمة مرور، تشير حالة العودة هذه إلى أن القيمة المُعطَاة ككلمة المرور الحالية غير صحيح. 3221225580 0xC000006C كلمة مرور غير صحيحة. عند محاولة تحديث كلمة مرور، تشير حالة هذا إلى أن بعض قاعدة تحديث كلمة المرور قد تم المثال violated.For ، قد لا تطابق كلمة المرور معايير الطول. 3221225585 0xC0000071 حساب المستخدم الخاص انتهت مدة صلاحية كلمة المرور. 3221225586 0xC0000072 تم تعطيل الحساب المشار إليه حالياً.
في حالة ربط أحداث فشل الأمان جهازي السابقة--الخاص رئيسي طلب الفاشل هي أولي TGT مع خطأ 6 (عميل يتم العثور على قاعدة بيانات Kerberos) عندما قام حاول تسجيل الدخول "و" فشل في تسجيل دخول عامة التي تحدث مع خطأ 3221225572 (المستخدم المحدد غير موجود)--يتم عادي لمشاهدة ما الخطأ: غير رئيسي حساب صالح!
المفضلات