Eksportuj (0) Drukuj
Rozwiń wszystko

Włączanie obsługi uwierzytelniania Kerberos

Dotyczy: Windows Server 2008 R2

Jeśli planowane jest używanie usług zarządzania prawami dostępu w usłudze Active Directory (AD RMS, Active Directory Rights Management Services) z uwierzytelnianiem Kerberos, po zainstalowaniu roli serwera usług AD RMS i zastrzeżeniu serwera należy wykonać dodatkowe czynności w celu skonfigurowania serwera z uruchomionymi usługami AD RMS. W szczególności należy wykonać następujące procedury:

  • Ustawianie zmiennej useAppPoolCredentials usług IIS (Internet Information Services) na wartość True

  • Ustawianie wartości głównej nazwy usługi (SPN) dla konta usługi AD RMS

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupach Administratorzy przedsiębiorstwa usług AD RMS i Administratorzy przedsiębiorstwa w usługach domenowych w usłudze Active Directory, lub równoważnych.

Ustawianie zmiennej useAppPoolCredentials usług IIS na wartość True
  1. Otwórz okno wiersza polecenia z pełnymi uprawnieniami. Aby otworzyć okno wiersza polecenia z pełnymi uprawnieniami, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następne kliknij polecenie Uruchom jako administrator.

  2. Przejdź do katalogu %windir%\system32\inetsrv.

  3. Wpisz polecenie appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.

ImportantWażne
Aby pomyślnie wykonać tę procedurę, konto usługi AD RMS musi znajdować się w tym samym lesie, co klaster AD RMS. Dodatkowo, jeśli zmienione zostanie konto usługi AD RMS, należy usunąć rejestracje SPN dla poprzedniego konta usługi, a następnie wykonać tę procedurę dla nowego konta usługi.

Ustawianie wartości głównej nazwy usługi (SPN) dla konta usługi AD RMS
  1. Otwórz okno wiersza polecenia z pełnymi uprawnieniami. Aby otworzyć okno wiersza polecenia z pełnymi uprawnieniami, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następne kliknij polecenie Uruchom jako administrator.

  2. Wpisz polecenie setspn -a HTTP/<nazwa_serwera> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_serwera> jest nazwą serwera, <domena_konta_usługi> to nazwa domeny zawierającej konto usługi AD RMS, a <konto_usługi> to nazwa konta usługi AD RMS.

  3. Wpisz polecenie setspn -a HTTP/<nazwa_FQDN_serwera> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_FQDN_serwera> to w pełni kwalifikowana nazwa domeny (FQDN) serwera.

  4. Wpisz polecenie setspn -a HTTP/<nazwa_klastra> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_klastra> to nazwa klastra AD RMS.

  5. Wpisz polecenie setspn -a HTTP/<nazwa_FQDN_klastra> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_FQDN_klastra> to w pełni kwalifikowana nazwa domeny (FQDN) klastra.

noteUwaga
Jeśli klaster używa protokołu SSL (Secure Sockets Layer), powtórz czynności od 2 do 5, wstawiając ciąg „HTTPS” zamiast „HTTP”.

Dodatkowe informacje

Czy oceniasz te materiały jako pomocne?
(Pozostało znaków: 1500)
Dziękujemy za opinię.

Zawartość społeczności

Dodaj
Pokaż:
© 2014 Microsoft