(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Aktivieren der Unterstützung für die Kerberos-Authentifizierung

Betrifft: Windows Server 2008 R2

Wenn Sie die Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) mit der Kerberos-Authentifizierung verwenden möchten, sind nach dem Installieren der AD RMS-Serverrolle und dem Bereitstellen des Servers zusätzliche Schritte erforderlich, um den Server zu konfigurieren, auf dem AD RMS ausgeführt wird. Insbesondere müssen Sie die folgenden Verfahren ausführen:

  • Festlegen der IIS-Variable "useAppPoolCredentials" auf TRUE

  • Festlegen des SPN-Werts (Service Principal Name, Dienstprinzipalname) für das AD RMS-Dienstkonto

Sie müssen mindestens Mitglied der Gruppe AD RMS-Organisationsadministratoren und der Gruppe Organisations-Admins in AD DS oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

Festlegen der IIS-Variable "useAppPoolCredentials" auf TRUE
  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Wenn Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen möchten, klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Navigieren Sie zum Verzeichnis %windir%\system32\inetsrv.

  3. Geben Sie appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true ein.

ImportantWichtig
Damit das folgende Verfahren erfolgreich ausgeführt werden kann, muss sich das AD RMS-Dienstkonto in derselben Gesamtstruktur wie der AD RMS-Cluster befinden. Wenn Sie das AD RMS-Dienstkonto ändern, müssen Sie zudem die SPN-Registrierungen für das vorherige Dienstkonto löschen und dieses Verfahren dann für das neue Dienstkonto ausführen.

Festlegen des SPN-Werts (Service Principal Name, Dienstprinzipalname) für das AD RMS-Dienstkonto
  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Wenn Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten öffnen möchten, klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie setspn -a HTTP/<Servername> <Dienstkontodomäne>\<Dienstkonto> ein, wobei <Servername> der Name des Servers, <Dienstkontodomäne> der Name der Domäne mit dem AD RMS-Dienstkonto und <Dienstkonto> der Name des AD RMS-Dienstkontos ist.

  3. Geben Sie setspn -a HTTP/<ServerFQDN> <Dienstkontodomäne>\<Dienstkonto> ein, wobei <ServerFQDN> der vollqualifizierte Domänenname (FQDN) des Servers ist.

  4. Geben Sie setspn -a HTTP/<Clustername> <Dienstkontodomäne>\<Dienstkonto> ein, wobei <Clustername> der Name des AD RMS-Clusters ist.

  5. Geben Sie setspn -a HTTP/<ClusterFQDN> <Dienstkontodomäne>\<Dienstkonto> ein, wobei <ClusterFQDN> der vollqualifizierte Domänenname (FQDN) des Clusters ist.

noteHinweis
Wenn Secure Sockets Layer (SSL) für den Cluster verwendet wird, wiederholen Sie die Schritte 2 bis 5, und ersetzen Sie HTTP durch HTTPS.

Weiterer Verweis

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.