Risolvere i problemi di configurazione della delega vincolata Kerberos per il proxy dell'applicazioneTroubleshoot Kerberos constrained delegation configurations for Application Proxy

I metodi disponibili per ottenere funzionalità di punto di accesso singolo (Single Sign-On, SSO) per le applicazioni pubblicate possono variare da un'applicazione a un'altra.The methods available for achieving SSO to published applications can vary from one application to another. Un'opzione offerta per impostazione predefinita dal proxy dell'applicazione di Azure Active Directory (AD) è la delega vincolata Kerberos (KCD, Kerberos Constrained Delegation).One option that Azure Active Directory (Azure AD) Application Proxy offers by default is Kerberos constrained delegation (KCD). È possibile configurare un connettore che per conto degli utenti esegue l'autenticazione Kerberos vincolata nelle applicazioni back-end.You can configure a connector, for your users, to run constrained Kerberos authentication to back-end applications.

La procedura per abilitare la delega vincolata Kerberos è semplice,The procedure for enabling KCD is straightforward. e richiede in genere una conoscenza generale dei vari componenti e del flusso di autenticazione che supportano l'accesso SSO.It requires no more than a general understanding of the various components and authentication flow that support SSO. Non sempre l'accesso SSO della delega vincolata Kerberos funziona come previsto.But sometimes, KCD SSO doesn’t function as expected. Per risolvere questo tipo di situazione sono necessarie fonti di informazione valide.You need good sources of information to troubleshoot these scenarios.

Questo articolo mira a fornire un singolo punto di riferimento per risolvere e correggere in modo autonomo alcuni tra i problemi più comuni riscontrati.This article provides a single point of reference that helps troubleshoot and self-remediate some of the most common issues. Spiega anche come diagnosticare problemi relativi a implementazioni più complesse.It also covers diagnosis of more complex implementation problems.

L'articolo presuppone quanto segue:This article makes the following assumptions:

  • Il proxy dell'applicazione di Azure AD è stato distribuito come indicato nell'introduzione al proxy dell'applicazione e l'accesso generale alle applicazioni non KCD funziona come previsto.Deployment of Azure AD Application Proxy per Get started with Application Proxy and general access to non-KCD applications work as expected.

  • L'applicazione di destinazione pubblicata è basata su Internet Information Services (IIS) e sull'implementazione Microsoft di Kerberos.The published target application is based on Internet Information Services (IIS) and the Microsoft implementation of Kerberos.

  • Gli host del server e dell'applicazione si trovano in un unico dominio di Azure AD.The server and application hosts reside in a single Azure Active Directory domain. Informazioni dettagliate sugli scenari tra diversi domini e foreste sono disponibili nel white paper sulla delega vincolata Kerberos.For detailed information on cross-domain and forest scenarios, see the KCD white paper.

  • L'applicazione oggetto è pubblicata in un tenant di Azure con preautenticazione abilitata.The subject application is published in an Azure tenant with pre-authentication enabled. Gli utenti eseguono l'autenticazione in Azure tramite l'autenticazione basata su form.Users are expected to authenticate to Azure via forms-based authentication. Gli scenari di autenticazione dei rich client non sono trattati in questo articolo,Rich client authentication scenarios aren't covered by this article. ma verranno aggiunti in futuro.They might be added at some point in the future.

prerequisitiPrerequisites

Il proxy dell'applicazione Azure può essere distribuito in numerosi tipi di infrastrutture o ambientiAzure AD Application Proxy can be deployed into many types of infrastructures or environments. e le architetture variano da organizzazione a organizzazione.The architectures vary from organization to organization. Nella maggior parte dei casi, i problemi relativi alla delega vincolata Kerberos non sono dovuti agli ambienti,The most common causes of KCD-related issues aren't the environments. ma a semplici errori di configurazione o a errori generici.Simple misconfigurations or general mistakes cause most issues.

Per questo motivo è consigliabile verificare che siano soddisfatti tutti i prerequisiti descritti in Delega vincolata Kerberos per l'accesso Single Sign-On alle app con il proxy dell'applicazione prima di procedere con la risoluzione dei problemi.For this reason, it's best to make sure you've met all the prerequisites in Using KCD SSO with the Application Proxy before you start troubleshooting. Si noti in particolare la sezione sulla configurazione della delega vincolata Kerberos in 2012 R2,Note the section on configuring Kerberos constrained delegation on 2012R2. in quanto adotta un approccio radicalmente diverso alla configurazione della delega vincolata Kerberos nelle versioni precedenti di Windows.This process employs a different approach to configuring KCD on previous versions of Windows. È opportuno tenere presente anche altre considerazioni:Also, be mindful of these considerations:

  • Spesso può accadere che un server membro del dominio apra una finestra di dialogo con canale sicuro con un controller di dominio specifico.It's not uncommon for a domain member server to open a secure channel dialog with a specific domain controller (DC). Quindi il server potrebbe passare a un'altra finestra di dialogo in qualsiasi momento.Then the server might move to another dialog at any given time. Gli host del connettore non sono quindi limitati alla comunicazione con specifici controller di dominio di siti locali.So connector hosts aren't restricted to communication with only specific local site DCs.

  • Gli scenari tra domini si affidano ai riferimenti che indirizzano un host del connettore ai controller di dominio che possono trovarsi all'esterno del perimetro della rete locale.Cross-domain scenarios rely on referrals that direct a connector host to DCs that might be outside of the local network perimeter. In questi casi, è altrettanto importante consentire il traffico verso i controller di dominio che rappresentano altri rispettivi domini.In these cases, it's equally important to also send traffic onward to DCs that represent other respective domains. In caso contrario, la delega avrà esito negativo.If not, delegation fails.

  • Dove possibile, evitare di inserire eventuali dispositivi attivi IPS o IDS tra gli host del connettore e i controller di dominio,Where possible, avoid placing any active IPS or IDS devices between connector hosts and DCs. in quanto sono spesso altamente intrusivi e interferiscono con il traffico RPC di base.These devices are sometimes overintrusive and interfere with core RPC traffic.

È consigliabile testare la delega negli scenari più semplici.Test delegation in simple scenarios. Il numero di variabili introdotte è infatti direttamente proporzionale ai problemi da risolvere.The more variables you introduce, the more you might have to contend with. Ad esempio, limitare i test a un singolo connettore permette di risparmiare tempo preziosoTo save time, limit your testing to a single connector. e, dopo aver risolto i problemi, sarà possibile aggiungere altri connettori.Add additional connectors after the issue has been resolved.

I problemi possono essere legati anche ad alcuni fattori ambientali.Some environmental factors might also contribute to an issue. Per evitare questi fattori, ridurre al minimo l'architettura durante i test.To avoid these factors, minimize architecture as much as possible during testing. Spesso, ad esempio, si verificano errori di configurazione negli elenchi di controllo di accesso (ACL) del firewall interno.For example, misconfigured internal firewall ACLs are common. Se possibile, quindi, consentire tutto il traffico di un connettore direttamente verso i controller di dominio e l'applicazione back-end.If possible, send all traffic from a connector straight through to the DCs and back-end application.

È consigliabile posizionare i connettori il più vicino possibile alle destinazioni.The best place to position connectors is as close as possible to their targets. La presenza di un firewall inline durante il test aggiunge complessità superflua e può prolungare l'analisi.A firewall that sits inline when testing adds unnecessary complexity and can prolong your investigations.

Che cosa costituisce un problema di delega vincolata Kerberos?What shows a KCD problem? Ci sono diverse indicazioni tipiche di problemi con l'accesso SSO della delega vincolata Kerberos.There are several common indications that KCD SSO is failing. I primi segnali si manifestano in genere nel browser.The first signs of an issue appear in the browser.

Errore di configurazione della delega vincolata Kerberos

Autorizzazione non riuscita a causa di autorizzazioni mancanti

Entrambe queste immagini mostrano lo stesso sintomo: un errore di accesso SSO.Both of these images show the same symptom: SSO failure. L'accesso dell'utente all'applicazione viene negato.User access to the application is denied.

risoluzione dei problemiTroubleshooting

La modalità di risoluzione dipende dal problema e dai sintomi osservati.How you troubleshoot depends on the issue and the symptoms you observe. Prima di proseguire, leggere gli articoli seguenti,Before you go any farther, explore the following articles. che contengono informazioni utili sulla risoluzione dei problemi:They provide useful troubleshooting information:

Se si è giunti a questo punto, è presente un problema importante.If you got to this point, then your main issue exists. Per iniziare, separare il flusso nelle tre seguenti fasi distinte per le quali è possibile risolvere i problemi.To start, separate the flow into the following three stages that you can troubleshoot.

Preautenticazione del clientClient pre-authentication

L'utente esterno che esegue l'autenticazione in Azure tramite un browser.The external user authenticating to Azure via a browser. Per garantire il funzionamento dell'accesso SSO della delega vincolata Kerberos, è essenziale poter eseguire la preautenticazione in Azure.The ability to pre-authenticate to Azure is necessary for KCD SSO to function. È consigliabile eseguire test e risolvere gli eventuali problemi.Test and address this ability if there are any issues. La fase di preautenticazione non è in alcun modo correlata alla delega vincolata Kerberos o all'applicazione pubblicata.The pre-authentication stage isn't related to KCD or the published application. È semplice risolvere eventuali discrepanze eseguendo un test di integrità per verificare che l'account sia presente in AzureIt's easy to correct any discrepancies by sanity checking that the subject account exists in Azure. e non sia disabilitato o bloccato.Also check that it's not disabled or blocked. La risposta di errore nel browser è in genere sufficientemente descrittiva per comprendere la causa.The error response in the browser is descriptive enough to explain the cause. In caso di dubbi, è anche possibile controllare i nostri documenti aggiuntivi sulla risoluzione dei problemi.If you're uncertain, check other Microsoft troubleshooting articles to verify.

Servizio di delegaDelegation service

Il connettore del proxy di Azure che ottiene un ticket di servizio Kerberos da un centro di distribuzione Kerberos (KDC, Kerberos Distribution Center) per conto degli utenti.The Azure Proxy connector that gets a Kerberos service ticket for users from a Kerberos Key Distribution Center (KCD).

Le comunicazioni esterne tra il client e il front-end di Azure non dovrebbero avere comunque alcuna rilevanza sulla delega vincolata Kerberos,The external communications between the client and the Azure front end have no bearing on KCD. se non per garantirne il funzionamento.These communications only make sure that KCD works. In questo modo il servizio proxy di Azure può ricevere un ID utente valido usato per ottenere un ticket Kerberos.The Azure Proxy service is provided a valid user ID that is used to get a Kerberos ticket. Senza di questo, la delega vincolata Kerberos non sarebbe possibile e l'operazione avrebbe esito negativo.Without this ID, KCD isn't possible and fails.

Come accennato in precedenza, i messaggi di errore del browser offrono in genere alcune indicazioni valide sul motivo per cui si verificano errori.As mentioned previously, the browser error messages provides some good clues about why things fail. Assicurarsi di annotare l'ID attività e il timestamp nella risposta.Make sure to note down the activity ID and timestamp in the response. Queste informazioni consentono di associare il comportamento a eventi correnti nel registro eventi del servizio proxy di Azure.This information helps you correlate the behavior to actual events in the Azure Proxy event log.

Errore di configurazione della delega vincolata Kerberos

Le voci corrispondenti visualizzate nel log eventi vengono mostrate come eventi 13019 o 12027.The corresponding entries seen in the event log show as events 13019 or 12027. I log eventi dei connettori sono disponibili in Registri applicazioni e servizi > Microsoft > AadApplicationProxy > Connettore>Amministratore.Find the connector event logs in Applications and Services Logs > Microsoft > AadApplicationProxy > Connector > Admin.

Evento 13019 del log eventi del proxy dell'applicazione

Evento 12027 del log eventi del proxy dell'applicazione

  1. Usare un record A nel DNS interno per l'indirizzo dell'applicazione e non un record CName.Use an A record in your internal DNS for the application’s address, not a CName.

  2. Verificare nuovamente che all'host del connettore siano stati concessi i diritti di delega al nome dell'entità servizio (SPN) dell'account di destinazione designatoReconfirm that the connector host has been granted the right to delegate to the designated target account’s SPN. e che l'opzione Usa un qualsiasi protocollo di autenticazione sia selezionata.Reconfirm that Use any authentication protocol is selected. Per altre informazioni, vedere l'articolo sulla configurazione dell'accesso SSO.For more information, see the SSO configuration article.

  3. Verificare che in Azure AD sia presente solo un'istanza del nome dell'entità servizio,Verify that there's only one instance of the SPN in existence in Azure AD. eseguendo il comando setspn -x da un prompt dei comandi di qualsiasi host membro di dominio.Issue setspn -x from a command prompt on any domain member host.

  4. Verificare che sia applicato un criterio di dominio che limita la dimensione massima dei token Kerberos pubblicati.Check that a domain policy is enforced that limits the maximum size of issued Kerberos tokens. Questo criterio impedisce che il connettore riceva un token se il valore della dimensione è eccessivo.This policy stops the connector from getting a token if it's found to be excessive.

Una traccia di rete che acquisisca gli scambi tra l'host del connettore e una delega vincolata Kerberos del dominio rappresenta quindi il successivo passaggio ideale per ottenere un livello maggiore di dettaglio sui problemi.A network trace that captures the exchanges between the connector host and a domain KDC is the next best step to get more low-level detail on the issues. Per altre informazioni, vedere il white paper di approfondimento sulla risoluzione dei problemi.For more information, see the deep dive Troubleshoot paper.

Se la creazione di ticket non presenta problemi, verrà visualizzato un evento nei log a indicare che l'autenticazione ha avuto esito negativo a causa di un codice 401 restituito dall'applicazione.If ticketing looks good, you see an event in the logs stating that authentication failed because the application returned a 401. Questo evento indica che l'applicazione di destinazione ha rifiutato il ticket.This event indicates that the target application rejected your ticket. Passare alla fase successiva.Go to the next stage.

Applicazione di destinazioneTarget application

Il consumer del ticket Kerberos fornito dal connettore.The consumer of the Kerberos ticket provided by the connector. In questa fase si prevede che il connettore abbia inviato un ticket di servizio Kerberos al back-end,At this stage, expect the connector to have sent a Kerberos service ticket to the back end. sotto forma di intestazione nella prima richiesta dell'applicazione.This ticket is a header in the first application request.

  1. Tramite l'URL interno dell'applicazione definito nel portale, confermare che l'applicazione sia accessibile direttamente dal browser nell'host del connettore.By using the application’s internal URL defined in the portal, validate that the application is accessible directly from the browser on the connector host. A questo punto sarà possibile eseguire l'accesso.Then you can sign in successfully. I dettagli a questo proposito sono disponibili nella pagina di risoluzione dei problemi del connettore.Details can be found on the connector Troubleshoot page.

  2. Sempre nell'host del connettore verificare che l'autenticazione tra il browser e l'applicazione usi Kerberos,Still on the connector host, confirm that the authentication between the browser and the application uses Kerberos. eseguendo una delle operazioni seguenti:Take one of the following actions:

  3. Eseguire Strumenti di sviluppo (F12) in Internet Explorer oppure usare Fiddler dall'host del connettore.Run DevTools (F12) in Internet Explorer, or use Fiddler from the connector host. Passare all'applicazione usando l'URL interno.Go to the application by using the internal URL. Esaminare le intestazioni dell'autorizzazione WWW restituite nella risposta dell'applicazione, per assicurarsi che sia presente Negotiate o Kerberos.Inspect the offered WWW authorization headers returned in the response from the application to make sure that either negotiate or Kerberos is present.

    a.a. Il successivo BLOB Kerberos restituito nella risposta dal browser all'applicazione inizia con YII,The next Kerberos blob that is returned in the response from the browser to the application starts with YII. e questa è una buona indicazione del fatto che Kerberos è in esecuzione.These letters tell you that Kerberos is running. Microsoft NT LAN Manager (NTLM), d'altro canto, inizia sempre con TlRMTVNTUAAB, ovvero NTLM Security Support Provider (NTLMSSP) in caso di decodifica da Base64.Microsoft NT LAN Manager (NTLM), on the other hand, always starts with TlRMTVNTUAAB, which reads NTLM Security Support Provider (NTLMSSP) when decoded from Base64. Se TlRMTVNTUAAB è presente all'inizio del BLOB, Kerberos non è disponibile.If you see TlRMTVNTUAAB at the start of the blob, Kerberos is not available. Se TlRMTVNTUAABnon è visibile, Kerberos dovrebbe essere disponibile.If you don’t see TlRMTVNTUAAB, Kerberos is likely available.

    Nota

    Se si usa Fiddler, questo metodo richiede la disabilitazione temporanea della protezione estesa sulla configurazione dell'applicazione in IIS.If you use Fiddler, this method requires that you temporarily disable extended protection on the application’s configuration in IIS.

    Finestra di controllo di rete del browser

    b.b. Il BLOB nell'immagine non inizia con TIRMTVNTUAAB.The blob in this figure doesn't start with TIRMTVNTUAAB. In questo esempio pertanto Kerberos è disponibile, e il BLOB Kerberos non inizia con YII.So in this example, Kerberos is available, and the Kerberos blob doesn’t start with YII.

  4. Rimuovere temporaneamente NTLM dall'elenco di provider nel sito di IIS.Temporarily remove NTLM from the providers list on the IIS site. Accedere all'app direttamente da Internet Explorer nell'host del connettore.Access the app directly from Internet Explorer on the connector host. NTLM non è più presente nell'elenco dei provider,NTLM is no longer in the providers list. ed è possibile accedere all'applicazione solo tramite Kerberos.You can access the application by using Kerberos only. Se l'accesso non riesce, potrebbe esserci un problema con la configurazione dell'applicazione.If access fails, there might be a problem with the application’s configuration. L'autenticazione Kerberos non funziona.Kerberos authentication isn't functioning.

    a.a. Se Kerberos non è disponibile, controllare le impostazioni di autenticazione dell'applicazione in IIS.If Kerberos isn't available, check the application’s authentication settings in IIS. Verificare che l'opzione Negotiate sia elencata nella parte superiore, con NTLM immediatamente sotto.Make sure Negotiate is listed at the top, with NTLM just beneath it. Se viene visualizzata l'opzione Not Negotiate, Kerberos o Negotiate, o PKU2U, procedere solo se Kerberos funziona.If you see Not Negotiate, Kerberos or Negotiate, or PKU2U, continue only if Kerberos is functional.

    Provider di autenticazione di Windows

    b.b. Con Kerberos e NTLM disponibili, disabilitare temporaneamente la preautenticazione per l'applicazione nel portale.With Kerberos and NTLM in place, temporarily disable pre-authentication for the application in the portal. Verificare che sia possibile accedervi da Internet tramite l'URL esterno.Try to access it from the internet by using the external URL. Viene richiesto di eseguire l'autenticazione.You're prompted to authenticate. A tal fine, usare lo stesso account usato nel passaggio precedente.You're able to do so with the same account used in the previous step. In caso contrario, si è verificato un problema con l'applicazione back-end e non con la delega vincolata Kerberos.If not, there's a problem with the back-end application, not KCD.

    c.c. Riabilitare la preautenticazione nel portale,Re-enable pre-authentication in the portal. ed eseguire l'autenticazione tramite Azure cercando di connettersi all'applicazione tramite l'URL esterno.Authenticate through Azure by attempting to connect to the application via its external URL. Se l'accesso SSO ha esito negativo, viene visualizzato un messaggio di errore non consentito nel browser e l'evento 13022 nel log:If SSO fails, you see a forbidden error message in the browser and event 13022 in the log:

    Microsoft AAD Application Proxy Connector non riesce ad autenticare l'utente perché il server back-end risponde ai tentativi di autenticazione Kerberos con un errore HTTP 401.Microsoft AAD Application Proxy Connector cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error.

    Errore HTTP 401 non consentito

    d.d. Controllare l'applicazione IIS.Check the IIS application. Verificare che il pool di applicazioni sia configurato per l'uso dello stesso account con cui è stato configurato il nome dell'entità servizio in AD.Make sure that the configured application pool and the SPN are configured to use the same account in Azure AD. Passare a IIS come mostrato nella figura seguente.Navigate in IIS as shown in the following illustration:

    Finestra di configurazione dell'applicazione IIS

    Dopo aver stabilito l'identità, verificare che questo account venga configurato con il nome dell'entità servizio in questione.After you know the identity, make sure this account is configured with the SPN in question. Un esempio è setspn –q http/spn.wacketywack.com.An example is setspn –q http/spn.wacketywack.com. Nel prompt dei comandi immettere il testo seguente.Enter the following text in a command prompt:

    Finestra di comando SetSPN

    e.e. Controllare il nome dell'entità servizio definito in base alle impostazioni dell'applicazione nel portale.Check the SPN defined against the application’s settings in the portal. Verificare che lo stesso nome dell'entità servizio configurato nell'account Azure AD di destinazione sia usato dal pool di applicazioni dell'applicazione.Make sure that the same SPN configured against the target Azure AD account is used by the application’s app pool.

    Configurazione del nome dell'entità servizio nel portale di Azure

    f.f. Passare a IIS e selezionare l'opzione Editor di configurazione per l'applicazione.Go into IIS and select the Configuration Editor option for the application. Passare a system.webServer/security/authentication/windowsAuthentication.Navigate to system.webServer/security/authentication/windowsAuthentication. Verificare che il valore UseAppPoolCredentials sia True.Make sure the value UseAppPoolCredentials is True.

    Opzione delle credenziali dei pool di applicazioni della configurazione IIS

    Modificare questo valore in True.Change this value to True. Rimuovere tutti i ticket Kerberos memorizzati nella cache dal server back-end usando il comando seguente:Remove all cached Kerberos tickets from the back-end server by running the following command:

    Get-WmiObject Win32_LogonSession | Where-Object {$_.AuthenticationPackage -ne 'NTLM'} | ForEach-Object {klist.exe purge -li ([Convert]::ToString($_.LogonId, 16))}
    

Per altre informazioni, vedere Purge the Kerberos client ticket cache for all sessions (Ripulire la cache dei ticket client Kerberos per tutte le sessioni).For more information, see Purge the Kerberos client ticket cache for all sessions.

Oltre a risultare utile per migliorare le prestazioni delle operazioni Kerberos,If you leave Kernel mode enabled, it improves the performance of Kerberos operations. l'abilitazione della modalità Kernel determina la decrittografia del ticket per il servizio richiesto con l'account del computer.But it also causes the ticket for the requested service to be decrypted by using the machine account. Questo è anche noto come sistema locale,This account is also called the Local system. pertanto la sua impostazione su True interrompe la delega vincolata Kerberos quando l'applicazione è ospitata in più server in una farm.Set this value to True to break KCD when the application is hosted across more than one server in a farm.

  • Come verifica aggiuntiva, disabilitare anche la protezione estesa.As an additional check, disable Extended protection too. In alcune situazioni, la protezione estesa interrompe la delega vincolata Kerberos se abilitata in configurazioni specifiche,In some scenarios, Extended protection broke KCD when it was enabled in specific configurations. in cui un'applicazione viene pubblicata come sottocartella del sito Web predefinito.In those cases, an application was published as a subfolder of the default website. Tale applicazione è configurata soltanto per l'autenticazione anonima,This application is configured for anonymous authentication only. lasciando le finestre di dialogo disattivate a indicare che gli oggetti figlio non erediteranno impostazioni attive.All the dialogs are grayed out, which suggests child objects wouldn't inherit any active settings. È consigliabile eseguire il test e quindi ripristinare questo valore su abilitata, laddove possibile.We recommend that you test, but don’t forget to restore this value to enabled, where possible.

    Questi controlli aggiuntivi dovrebbero consentire di iniziare a usare correttamente l'applicazione pubblicata.This additional check puts you on track to use your published application. È possibile avviare i connettori aggiuntivi che sono anch'essi configurati per la delega.You can spin up additional connectors that are also configured to delegate. Per altre informazioni, leggere la procedura tecnica dettagliata relativa nella Guida completa alla risoluzione dei problemi del proxy dell'applicazione di Azure AD.For more information, read the more in-depth technical walk-through, Troubleshooting the Azure AD Application Proxy.

Se il problema persiste, contattare il supporto tecnico MicrosoftIf you still can't make progress, Microsoft support can assist you. creando un ticket direttamente nel portaleCreate a support ticket directly within the portal. per essere contattati da un tecnico.An engineer will contact you.

Altri scenariOther scenarios

  • Il proxy dell'applicazione Azure richiede un ticket Kerberos prima dell'invio della richiesta a un'applicazione.Azure Application Proxy requests a Kerberos ticket before sending its request to an application. Alcune applicazioni di terze parti, ad esempio Tableau Server, non supportano questo metodo di autenticazione,Some third-party applications like Tableau Server don't like this method of authenticating. preferendo l'approccio più tradizionale delle negoziazioni.These applications expect the more conventional negotiations to take place. La prima richiesta è anonima, consentendo all'applicazione di rispondere con i tipi di autenticazione supportati tramite un codice 401.The first request is anonymous, which allows the application to respond with the authentication types that it supports through a 401.

  • L'autenticazione multihop viene generalmente usata negli scenari con applicazioni a livelli, con un back-end e un front-end che richiedono l'autenticazione, ad esempio SQL Server Reporting Services.Multi-hop authentication is commonly used in scenarios where an application is tiered, with a back end and front end, where both require authentication, such as SQL Server Reporting Services. Per configurare lo scenario multihop, vedere l'articolo del supporto tecnico Kerberos Constrained Delegation May Require Protocol Transition in Multi-hop Scenarios (La delega vincolata Kerberos può richiedere protocolli di transizione negli scenari multihop).To configure the multihop scenario, see the support article Kerberos Constrained Delegation May Require Protocol Transition in Multi-hop Scenarios.

Passaggi successiviNext steps

Configurare la delega vincolata Kerberos in un dominio gestito.Configure KCD on a managed domain.