NLB 陣列上的 Kerberos 驗證

Forefront TMG Service Pack 2 可讓您允許使用者透過 Kerberos 版本 5 通訊協定來驗證已啟用網路負載平衡 (NLB) 的 Forefront TMG 陣列。若要設定 Forefront TMG 以允許使用者透過這種方式進行驗證,您必須設定 Forefront TMG 防火牆服務的網域帳戶,並將服務主要名稱 (SPN) 設定成對應到設定的帳戶。SPN 是用戶端用來識別陣列的 DNS 名稱。

Caution注意:
為了協助保護您的網域,建議您遵守下列事項:

  • 您用於防火牆服務的網域帳戶不是任何本機或網域群組的成員。不過,帳戶必須隸屬於至少一個主要群組的成員,因此請定義新的預留位置群組,並將它當做主要群組。請確定此預留位置群組沒有任何網域資源的任何權限。

  • 網域帳戶沒有任何網域電腦的使用者權限。

  • 網域帳戶僅用於防火牆服務,不會用於網域內其他任何用途。

當您為防火牆服務設定網域帳戶時,Forefront TMG 將會授與該帳戶必要的最低權限,並在您設定不同的帳戶時移除這些權限。

note附註:
Forefront TMG 防火牆服務的預設帳戶是網路服務帳戶;不過,當用戶端是依據單一 DNS 名稱來識別陣列時,您就不能使用網路服務帳戶進行 Kerberos 驗證。

note附註:
如果您使用 Kerberos 限制委派做為驗證委派方法,您必須將此方法設定給在 Active Directory 網域服務 (AD DS) 中針對防火牆服務設定的網域帳戶。如果防火牆服務使用網路服務帳戶,則您必須針對 AD DS 中的 Forefront TMG 電腦物件設定 Kerberos 限制委派。如需詳細資訊,請參閱 Kerberos Constrained Delegation in ISA Server 2006 (ISA Server 2006 中的 Kerberos 限制委派) (http://go.microsoft.com/fwlink/?LinkId=215159)。

  1. 在 Forefront TMG Management 主控台的左窗格中,以滑鼠右鍵按一下陣列節點,然後按一下 [內容]。

  2. 在 [<array_name> 內容] 對話方塊中,按一下 [認證] 索引標籤。

  3. 在 [防火牆服務帳戶] 區域中,按一下 [使用 "NT AUTHORITY\NETWORK SERVICE" 帳戶] 以使用預設帳戶,或按一下 [使用這個帳戶] 以使用不同的帳戶,然後執行下列動作:

    1. 按一下 [設定帳戶]。

    2. 在 [設定帳戶] 對話方塊中,輸入使用者名稱和帳戶密碼,然後按一下 [確定]。

  4. 在 [<array_name> 內容] 對話方塊中,按一下 [確定]。

  • 使用 Setspn.exe 公用程式在 Kerberos 資料庫中登錄 SPN:

    setSPN -U -A http/<array_name> <account_name>
    

    其中:

    • array_name 是 Forefront TMG 伺服器之 NLB 陣列的 DNS 名稱,例如:FW-A.contoso.com。

    • account_name 是執行 Forefront TMG 防火牆服務之帳戶的使用者名稱,例如:fwsrv_user。

 
顯示: