如何設定 Web 註冊 Proxy 頁面的 Kerberos 限制委派
本文提供逐步指示,在 Web 註冊 Proxy 頁面的自定義服務帳戶上實作使用者對 Proxy 的服務(S4U2Proxy) 或 Kerberos 僅限限制委派。
原始 KB 編號: 4494313
摘要
本文提供實作使用者對 Proxy 服務 (S4U2Proxy) 或僅限 Kerberos 限制委派的 Web 註冊 Proxy 頁面的逐步指示。 本文說明下列組態案例:
- 設定自訂服務帳戶的委派
- 設定 NetworkService 帳戶的委派
注意
本文所述的工作流程專屬於特定環境。 相同的工作流程可能不適用於不同的情況。 然而,基本原則並無不同。 下圖摘要說明此環境。
案例 1:設定自定義服務帳戶的限制委派
本節說明當您針對 Web 註冊 Proxy 頁面使用自定義服務帳戶時,如何實作使用者對 Proxy 的服務(S4U2Proxy) 或僅限 Kerberos 限制委派。
1.將SPN新增至服務帳戶
將服務帳戶與服務主體名稱 (SPN) 產生關聯。 若要這樣做,請遵循下列步驟:
在 Active Directory 使用者和電腦 中,連線到網域,然後選取 [PKI PKI>使用者]。
以滑鼠右鍵按兩下服務帳戶(例如,web_svc),然後選取 [ 屬性]。
選取 [屬性編輯器>] servicePrincipalName。
輸入新的SPN字串,選取 [新增 ](如下圖所示),然後選取 [ 確定]。
您也可以使用 Windows PowerShell 來設定 SPN。 若要這樣做,請開啟提升許可權的 PowerShell 視窗,然後執行
setspn -s SPN Accountname。 例如,執行下列命令:setspn -s HTTP/webenroll2016.contoso.com web_svc
2.設定委派
在服務帳戶上設定 S4U2proxy (僅限 Kerberos) 限制委派。 若要這樣做,請在服務帳戶的 [屬性] 對話框中,選取 [委派>信任此使用者僅委派至指定的服務]。 請確定 只 選取 [使用 Kerberos]。
![在 [屬性] 對話框中的 [委派] 索引標籤底下,設定web_svc屬性。](media/configure-kerberos-constrained-delegation/web-svc-settings.png)
關閉對話方塊。
在主控台樹中,選取 [計算機],然後選取 Web 註冊前端伺服器的電腦帳戶。
注意
此帳戶也稱為「計算機帳戶」。
在電腦帳戶上設定 S4U2self (通訊協定轉換) 限制委派。 若要這樣做,請以滑鼠右鍵按下電腦帳戶,然後選取 [屬性>委派>信任此計算機],以便只委派指定的服務。 選取 [使用任何驗證通訊協定]。
![選取 [信任這部計算機以委派至指定的服務] 選項底下的任何驗證通訊協定。](media/configure-kerberos-constrained-delegation/set-s4u2self-contained-delegation.png)
3.建立並系結 Web 註冊的 SSL 憑證
若要啟用 Web 註冊頁面,請建立網站的網域憑證,然後將它系結至默認網站。 若要這樣做,請遵循下列步驟:
開啟 [網際網路資訊服務 (IIS) 管理員] 。
在主控台樹中,選取 <[HostName>],然後選取 [伺服器憑證]。
注意
<HostName> 是前端網頁伺服器的名稱。
在 [ 動作] 功能表中,選取 [建立網域憑證]。
建立憑證之後,請選取 控制台樹中的 [默認網站 ],然後選取 [ 系結]。
請確定 [埠 ] 設定為 443。 然後在 [SSL 憑證] 底下,選取您在步驟 3 中建立的憑證。
選取 [ 確定 ] 將憑證系結至埠 443。
4.將 Web 註冊前端伺服器設定為使用服務帳戶
重要
請確定服務帳戶是網頁伺服器上本機系統管理員或IIS_Users群組的一部分。
以滑鼠右鍵按兩下 [DefaultAppPool],然後選取 [ 進階設定]。
選取 [行程模型>識別],選取 [自定義帳戶],然後選取 [設定]。 指定服務帳戶的名稱和密碼。
在 [設定認證和應用程式集區身分識別] 對話框中選取 [確定]。
在 [進階設定] 中,找出 [載入使用者配置檔],並確定其設定為 True。
![將 [載入使用者設定檔] 設定設為 True。](media/configure-kerberos-constrained-delegation/load-user-profile.png)
重新啟動電腦。
案例 2:在 NetworkService 帳戶上設定限制委派
本節說明當您針對 Web 註冊 Proxy 頁面使用 NetworkService 帳戶時,如何實作 S4U2Proxy 或 Kerberos 僅限 Kerberos 限制委派。
選擇性步驟:設定要用於連線的名稱
您可以將名稱指派給用戶端可用來連線的 Web 註冊角色。 此組態表示連入要求不需要知道 Web 註冊前端伺服器的電腦名稱,或 DNS 標準名稱 (CNAME) 等其他路由資訊。
例如,假設 Web 註冊伺服器的計算機名稱是 WEBENROLLMAC (在 Contoso 網域中)。 您想要讓連入連線改用 ContosoWebEnroll 名稱。 在此情況下,連線 URL 會是下列各項:
https://contosowebenroll.contoso.com/certsrv
這不會是下列各項:
https://WEBENROLLMAC.contoso.com/certsrv
若要使用這類設定,請遵循下列步驟:
在網域的 DNS 區域檔案中,建立別名記錄或主機名記錄,將新的連線名稱對應至 Web 註冊角色 IP 位址。 使用 Ping 工具來測試路由設定。
在先前討論的範例中,區域檔案有一個別名記錄,
Contoso.com會將 ContosoWebEnroll 對應至 Web 註冊角色的 IP 位址。將新名稱設定為 Web 註冊前端伺服器的 SPN。 若要這樣做,請遵循下列步驟:
- 在 Active Directory 使用者和電腦 中,連線到網域,然後選取 [計算機]。
- 以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶,然後選取 [ 屬性]。
注意
此帳戶也稱為「計算機帳戶」。
- 選取 [屬性編輯器>] servicePrincipalName。
- 輸入 HTTP/<ConnectionName。<>DomainName.com>,選取 [新增],然後選取 [確定]。
注意
在此字串中,<ConnectionName> 是您定義的新名稱,而< DomainName> 是網域的名稱。 在此範例中,字串為 HTTP/ContosoWebEnroll.contoso.com。
1.設定委派
如果您尚未連線到網域,請立即在 Active Directory 使用者和電腦 中執行此動作,然後選取 [計算機]。
以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶,然後選取 [ 屬性]。
注意
此帳戶也稱為「計算機帳戶」。
選取 [委派],然後選取 [ 信任這部計算機僅委派至指定的服務]。
注意
如果您保證客戶端在連線到此伺服器時一律會使用 Kerberos 驗證,請選取 [僅使用 Kerberos]。 如果某些用戶端會使用其他驗證方法,例如 NTLM 或窗體型驗證,請選取 [ 使用任何驗證通訊協定]。
2.建立並系結 Web 註冊的 SSL 憑證
若要啟用 Web 註冊頁面,請建立網站的網域憑證,然後將它系結至預設的第一個網站。 若要這樣做,請遵循下列步驟:
開啟 IIS 管理員。
在主控台樹中,選取 <[HostName>],然後在 [動作] 窗格中選取 [伺服器憑證]。
注意
<HostName> 是前端網頁伺服器的名稱。
在 [ 動作] 功能表中,選取 [建立網域憑證]。
建立憑證之後,請選取 [默認網站],然後選取 [ 系結]。
請確定 [埠 ] 設定為 443。 然後,在 [SSL 憑證] 底下,選取您在步驟 3 中建立的憑證。 選取 [ 確定 ] 將憑證系結至埠 443。
3.將 Web 註冊前端伺服器設定為使用 NetworkService 帳戶
以滑鼠右鍵按兩下 [DefaultAppPool],然後選取 [ 進階設定]。
選取 [進程模型>識別]。 確定已 選取 [內建帳戶 ],然後選取 [NetworkService]。 然後選取 [確定]。
在 [ 進階屬性] 中,找出 [ 載入使用者配置檔],然後確定其設定為 True。
![在 [進階設定] 中,將 [載入使用者配置檔] 設定為 True。](media/configure-kerberos-constrained-delegation/netserv-loaduserprf.png)
重新啟動 IIS 服務。
相關主題
如需這些程式的詳細資訊,請參閱 驗證 Web 應用程式使用者。
如需 S4U2self 和 S4U2proxy 通訊協定延伸的詳細資訊,請參閱下列文章: