Beperkte Kerberos-delegering configureren voor proxypagina's voor webinschrijving

Het artikel bevat stapsgewijze instructies voor het implementeren van service voor gebruiker naar proxy (S4U2Proxy) of alleen beperkte kerberos-delegering op een aangepast serviceaccount voor proxypagina's voor webregistratie.

Van toepassing op: Windows Server 2016, Window Server 2019, Windows Server 2012 R2
Origineel KB-nummer: 4494313

Samenvatting

Dit artikel bevat stapsgewijze instructies voor het implementeren van service voor gebruiker naar proxy (S4U2Proxy) of beperkte Kerberos-alleen-beperkte delegering voor webinschrijvingsproxypagina's. In dit artikel worden de volgende configuratiescenario's beschreven:

• Delegering configureren voor een aangepast serviceaccount
• Delegering naar het NetworkService-account configureren

Opmerking

De werkstromen die in dit artikel worden beschreven, zijn specifiek voor een bepaalde omgeving. Dezelfde werkstromen werken mogelijk niet voor een andere situatie. De principes blijven echter hetzelfde. In de volgende afbeelding ziet u een overzicht van deze omgeving.

Scenario 1: beperkte delegering configureren voor een aangepast serviceaccount

In deze sectie wordt beschreven hoe u service voor gebruiker naar proxy (S4U2Proxy) of beperkte kerberos-delegering implementeert wanneer u een aangepast serviceaccount gebruikt voor de proxypagina's voor webinschrijving.

1. Een SPN toevoegen aan het serviceaccount

Koppel het serviceaccount aan een Service Principal Name (SPN). Ga hiervoor als volgt te werk:

1. Maak in Active Directory: gebruikers en computers verbinding met het domein en selecteer PKI>PKI-gebruikers.

2. Klik met de rechtermuisknop op het serviceaccount (bijvoorbeeld web_svc) en selecteer vervolgens Eigenschappen.

3. Selecteer Kenmerk Editor>servicePrincipalName.

4. Typ de nieuwe SPN-tekenreeks, selecteer Toevoegen (zoals weergegeven in de volgende afbeelding) en selecteer vervolgens OK.

   

   U kunt ook Windows PowerShell gebruiken om de SPN te configureren. Open hiervoor een PowerShell-venster met verhoogde bevoegdheid en voer vervolgens uit setspn -s SPN Accountname. Voer bijvoorbeeld de volgende opdracht uit:

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2. De delegering configureren

1. Beperkte S4U2proxy-delegering (alleen Kerberos) configureren voor het serviceaccount. Hiervoor selecteert u in het dialoogvenster Eigenschappen van het serviceaccount (zoals beschreven in de vorige procedure) Delegatie>Vertrouw deze gebruiker alleen voor delegering naar opgegeven services. Zorg ervoor dat Alleen Kerberos gebruiken is geselecteerd.

   

2. Sluit het dialoogvenster.

3. Selecteer computers in de consolestructuur en selecteer vervolgens het computeraccount van de front-endserver voor webinschrijving.

   Opmerking

   Dit account wordt ook wel het 'computeraccount' genoemd.

4. Configureer S4U2self (protocolovergang) beperkte delegering voor het computeraccount. Klik hiervoor met de rechtermuisknop op het computeraccount en selecteer vervolgens Eigenschappen>Delegatie>Deze computer vertrouwen voor overdracht naar opgegeven services. Selecteer Elk verificatieprotocol gebruiken.

   

3. Maak en bind het SSL-certificaat voor webinschrijving

Als u de pagina's voor webinschrijving wilt inschakelen, maakt u een domeincertificaat voor de website en verbindt u dit vervolgens met de standaardwebsite. Ga hiervoor als volgt te werk:

1. Open IIS-beheer (Internet Information Services).

2. Selecteer <hostnaam> in de consolestructuur en selecteer vervolgens Servercertificaten.

   Opmerking

   <Hostname> is de naam van de front-endwebserver.
   

3. Selecteer in het menu Actiesde optie Een domeincertificaat maken.

4. Nadat het certificaat is gemaakt, selecteert u Standaardwebsite in de consolestructuur en selecteert u vervolgens Bindingen.

5. Zorg ervoor dat Poort is ingesteld op 443. Selecteer vervolgens onder SSL-certificaat het certificaat dat u in stap 3 hebt gemaakt.

   

6. Selecteer OK om het certificaat te verbinden met poort 443.

4. De front-endserver voor webinschrijving configureren voor het gebruik van het serviceaccount

Belangrijk

Zorg ervoor dat het serviceaccount deel uitmaakt van de lokale beheerders of IIS_Users groep op de webserver.

1. Klik met de rechtermuisknop op DefaultAppPool en selecteer geavanceerde instellingen.

   

2. Selecteer Procesmodelidentiteit>, selecteer Aangepast account en selecteer vervolgens Instellen. Geef de naam en het wachtwoord van het serviceaccount op.

   

3. Selecteer OK in de dialoogvensters Referenties en identiteit van toepassingsgroepinstellen.

4. Zoek in Geavanceerde instellingengebruikersprofiel laden en zorg ervoor dat dit is ingesteld op Waar.

   

5. Start de computer opnieuw op.

Scenario 2: Beperkte delegering configureren voor het NetworkService-account

In deze sectie wordt beschreven hoe u beperkte S4U2Proxy- of Kerberos-only delegering implementeert wanneer u het NetworkService-account gebruikt voor de webinschrijvingsproxypagina's.

Optionele stap: een naam configureren die moet worden gebruikt voor verbindingen

U kunt een naam toewijzen aan de rol Webinschrijving die clients kunnen gebruiken om verbinding te maken. Deze configuratie betekent dat binnenkomende aanvragen de computernaam van de front-endserver voor webinschrijving of andere routeringsgegevens zoals de canonieke DNS-naam (CNAME) niet hoeven te kennen.

Stel dat de computernaam van uw webinschrijvingsserver WEBENROLLMAC is (in het Contoso-domein). U wilt dat binnenkomende verbindingen in plaats hiervan de naam ContosoWebEnroll gebruiken. In dit geval is de verbindings-URL als volgt:

https://contosowebenroll.contoso.com/certsrv

Dit is niet het volgende:

https://WEBENROLLMAC.contoso.com/certsrv

Als u een dergelijke configuratie wilt gebruiken, voert u de volgende stappen uit:

1. Maak in het DNS-zonebestand voor het domein een aliasrecord of een hostnaamrecord die de nieuwe verbindingsnaam toe wijst aan het IP-adres van de webinschrijvingsrol. Gebruik het hulpprogramma Ping om de routeringsconfiguratie te testen.

   In het voorbeeld dat eerder is besproken, heeft het Contoso.com zonebestand een aliasrecord die ContosoWebEnroll toewijst aan het IP-adres van de rol Webinschrijving.

2. Configureer de nieuwe naam als een SPN voor de front-endserver voor webinschrijving. Ga hiervoor als volgt te werk:

   1. Maak in Active Directory: gebruikers en computers verbinding met het domein en selecteer computers.
   2. Klik met de rechtermuisknop op het computeraccount van de front-endserver voor webinschrijving en selecteer vervolgens Eigenschappen.

      Opmerking

      Dit account wordt ook wel het 'computeraccount' genoemd.

   3. Selecteer Kenmerk Editor>servicePrincipalName.
   4. Typ HTTP/<ConnectionName>.<DomainName.com>, selecteer Toevoegen en selecteer vervolgens OK.

      Opmerking

      In deze tekenreeks < is ConnectionName> de nieuwe naam die u hebt gedefinieerd en <DomainName> de naam van het domein. In het voorbeeld is de tekenreeks HTTP/ContosoWebEnroll.contoso.com.

1. De delegering configureren

1. Als u nog geen verbinding hebt gemaakt met het domein, doet u dit nu in Active Directory: gebruikers en computers en selecteert u vervolgens Computers.

2. Klik met de rechtermuisknop op het computeraccount van de front-endserver voor webinschrijving en selecteer vervolgens Eigenschappen.

   Opmerking

   Dit account wordt ook wel het 'computeraccount' genoemd.

3. Selecteer Delegatie en selecteer vervolgens Deze computer vertrouwen voor overdracht naar opgegeven services.

   Opmerking

   Als u kunt garanderen dat clients altijd Kerberos-verificatie gebruiken wanneer ze verbinding maken met deze server, selecteert u Alleen Kerberos gebruiken. Als sommige clients andere verificatiemethoden gebruiken, zoals NTLM of verificatie op basis van formulieren, selecteert u Elk verificatieprotocol gebruiken.

   

2. Maak en bind het SSL-certificaat voor webinschrijving

Als u de pagina's voor webinschrijving wilt inschakelen, maakt u een domeincertificaat voor de website en bindt u deze vervolgens aan de standaard eerste site. Ga hiervoor als volgt te werk:

1. Open IIS-beheer.

2. Selecteer <hostnaam> in de consolestructuur en selecteer vervolgens Servercertificaten in het deelvenster Acties.

   Opmerking

   <Hostname> is de naam van de front-endwebserver.

3. Selecteer in het menu Actiesde optie Een domeincertificaat maken.

4. Nadat het certificaat is gemaakt, selecteert u Standaardwebsite en selecteert u vervolgens Bindingen.

5. Zorg ervoor dat Poort is ingesteld op 443. Selecteer vervolgens onder SSL-certificaat het certificaat dat u in stap 3 hebt gemaakt. Selecteer OK om het certificaat te verbinden met poort 443.

   

3. Configureer de front-endserver voor webinschrijving om het NetworkService-account te gebruiken

1. Klik met de rechtermuisknop op DefaultAppPool en selecteer geavanceerde instellingen.

   

2. Selecteer Identiteit van procesmodel>. Zorg ervoor dat Ingebouwd account is geselecteerd en selecteer vervolgens NetworkService. Selecteer vervolgens OK.

   

3. Ga in Geavanceerde eigenschappen naar Gebruikersprofiel laden en controleer of dit is ingesteld op Waar.

   

4. Start de IIS-service opnieuw.

Verwante onderwerpen

Zie Gebruikers van webtoepassingen verifiëren voor meer informatie over deze processen.

Zie de volgende artikelen voor meer informatie over de S4U2self- en S4U2proxy-protocolextensies:

• [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol
• 4.1 S4U2self Single Realm Example
• 4.3 S4U2proxy-voorbeeld