Soru Tamamen nitelikli URL'ye sahip yerel sunucuda IIS'ye Windows kimlik doğrulaması


Windows 7 ile yapılandırılmış IIS 7'de kurulmuş bir web uygulaması var. Makineye, herhangi bir makineden tam nitelikli url yoluyla kimlik doğrulaması yapabilir ve uygun Alan adını kullanır. Ancak, makineye kendiliğinden tam etki alanı (ya da başka bir hizmette, ya da IE'de url aracılığıyla) aracılığıyla bağlanmaya çalıştığımda, Windows Oturum Açma istemi, bilgisayarın kullanımını etki alanı olarak değil, giriş yapmak için uygun alan adı. domain\username veya username@domain.com başarısız olur.

Web uygulamasının localhost makine üzerinde çalışır, ancak tam kullanarak site.company.com/webservice stil etki alanı yerel makinede çalışmaz, çünkü giriş etki alanı yanlış. Doğru oturum açma alanını kullanmak için ne yapabilirim?


7
2017-10-18 15:10


Menşei




Cevaplar:


Ben de aynı şeyi yapmaya çalışıyordum. Yerel bir IIS'de bir FQDN kullanarak bir web sitesine erişin ve IIS tarafından nereye gidileceğini söylemeye devam edin.

Her neyse, benim kazımdan, yerel IIS web siteleri için geridönüş kontrolünü devre dışı bırakmanız gerekiyor.

Aşağıdaki blog gönderisine bakın:

[Kaldırılan bağlantı - ciddi gölgeli bir alana yönlendirir veya yönlendirir].

Sayfanın kaybolması durumunda, aşağıdakileri yaptım (yukarıdaki blog yazısında önerdiği şey)

  1. Çalıştır altında regedit yazarak kayıt defteri düzenleyicisini açın.
  2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0'a gidin.
  3. MSV1_0 'ı sağ tıklatın ve Yeni' yi tıklatın ve bunu bir Çoklu Dizgi Değeri yapmak için seçin.
  4. Giriş için BackConnectionHostNames değerini girin ve değiştirmek için çift tıklayın.
  5. Kullanmanız gereken hostnameleri yazın (örneğin, code-journey.com).
  6. IISAdmin Hizmetini Yeniden Başlat (“Başlat” -> “Yönetimsel Araçlar” -> “Hizmetler”)

Bu yardımcı olur umarım.

cmb ..


9
2017-11-05 18:07





Bunun nedeni LoopbackCheck olarak bilinen bir güvenlik özelliğidir.

Windows Server 2003 Service Pack 1'i yükledikten sonra FQDN veya CNAME diğer adını kullanarak bir sunucuya yerel olarak erişmeye çalıştığınızda hata iletisi: "Erişim engellendi" veya "Belirtilen ağ yolunu ağ sağlayıcısı kabul etmiyor"
http://support.microsoft.com/kb/926642 

İki karar var:

Yöntem 1 (önerilen): NTLM kimlik doğrulama isteğinde başvurulan Yerel Güvenlik Yetkilisi ana bilgisayar adlarını oluşturun. Bunu yapmak için, istemci bilgisayardaki tüm düğümler için şu adımları izleyin:

  1. Başlat 'ı tıklatın, Çalıştır' ı tıklatın, regedit yazın ve Tamam 'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ MSV1_0
  3. MSV1_0'ı sağ tıklatın, Yeni'nin üzerine gelin ve sonra Çok Dize Değeri'ni tıklatın.
  4. Ad sütununda BackConnectionHostNames yazın ve ENTER tuşuna basın.
  5. BackConnectionHostNames 'ı sağ tıklatın ve sonra Değiştir' i tıklatın.
  6. Değer verisi kutusuna, bilgisayardaki yerel paylaşımlar için kullanılan CNAME veya DNS takma adını yazın ve ardından Tamam'ı tıklatın.

    Not: Her bir ana bilgisayar adını ayrı bir satıra yazın.

    Not: BackConnectionHostNames kayıt defteri girdisi REG_DWORD türü olarak varsa, BackConnectionHostNames kayıt defteri girdisini silmeniz gerekir.

  7. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.

Yöntem 2: DisableLoopbackCheck kayıt defteri girdisi, HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa kayıt defteri alt anahtarında 1 ayarlayarak kimlik doğrulama döngü denetimi devre dışı bırakın. DisableLoopbackCheck kayıt defteri girdisini 1 olarak ayarlamak için <a0> </ a0>, istemci bilgisayarında aşağıdaki adımları izleyin:

  1. Başlat 'ı tıklatın, Çalıştır' ı tıklatın, regedit yazın ve Tamam 'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın: Hkey_local_machıne \ system \ currentcontrolset \ control \ lsa
  3. Lsa'yı sağ tıklatın, Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
  4. DisableLoopbackCheck yazın ve ENTER tuşuna basın.
  5. DisableLoopbackCheck 'ı sağ tıklatın ve sonra Değiştir' i tıklatın.
  6. Değer verisi kutusuna 1 yazın ve Tamam'ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlat.

2
2017-11-05 18:51





SSO'yu ayarlayan bazı deneyimlere dayanarak, IE'nin otomatik olarak oturum açma için bir kerberos biletini, site ve istemci birlikte intranet üzerindeyse veya site güvenilir bölgedeyse otomatik olarak ileteceğini söyleyebilirim. Eğer IE görürse http://site.company.com/webservice Sitenin internette olduğunu ve oturum açma için kimlik bilgilerini geçmeyeceğini varsayacaktır.

Bu bağlantıda IIS, IE ve Kerberos ile ilgili bazı yararlı bilgiler var. http://blogs.msdn.com/b/friis/archive/2009/12/31/things-to-check-when-kerberos-authentication-fails-using-iis-ie.aspx

FQDN'nin intranet üzerinde çalışmasına izin veren iki şey, web sunucusuna bir sertifika sağlamak ve SSL kullanmak veya onu Güvenilen Bölgeye eklemek.

Umarım bu, kurulumunuza göre yardımcı olur.


1
2017-10-18 17:40



Bu problemi çözmez. FQDN'yi güvenilir bölgeye eklemeyi zaten denedim. Yine de, bunun farklı bir problemi çözdüğünü düşünüyorum. Güvenilir bölgeye ekleyerek izin verir otomatik kimlik doğrulaması, ihtiyacım yok - Kimlik bilgilerini belirtmekle sorun yaşıyorum, ancak sorun, giriş kimlik bilgileri için belirtilen alanımı kabul etmemesidir - bilgisayar adına yapıştırılmış. - roviuser