我有IIS网站与Windows身份validation(只)启用(让我们说,site.domain.com)。 我的网站在它的子网站上调用HTTP rest API(可以说site.domain.com/api)。 这是不同的应用程序。 它工作正常,当我把这个API作为应用程序池标识。 当我使用模拟,我得到错误401未经授权。 IIS服务器安装细节: IIS服务器由第三方负载均衡器负载平衡。 IISpipe理器中的两个站点看起来像图像 这两个网站只有Windowsvalidation启用和协商作为第一个提供者。 两个网站都有不同的应用程序池 这些应用程序池具有相同的应用程序池标识(可以说DOMAIN \ apppool)。 Spn的设置是(你可以看到我尝试了一切): PS C:\WINDOWS> setspn.exe -l DOMAIN\apppool Registered ServicePrincipalNames for SOMECN: HTTP/site/api HTTP/site.domain.com/api HTTP/site HTTP/site.domain.com 我可以使用Kerberos与这两个站点进行通信。 useAppPoolCredentials = True并且useKernelMode = false为两个站点设置。 在AD应用程序池帐户已标记选项“信任此用户委派任何服务(仅Kerberos)” 错误: IIS使用模拟logging失败的请求: 2017-10-04 14:40:57 192.168.81.101 GET /api/Test/Impersonate – 443 – 192.168.81.21 – – 401 2 5 1433 2017-10-04 14:40:57 […]
我的networking中有Kerberos问题。 我的Active Directory域名被configuration为"acme.com" 。 但是, DNS suffix是"wifi.acme.com" 。 在计算机(endpoint1)中,我尝试对端点2执行SMB查询 dir \\\\endpoint2.wifi.acme.com\admin$ 失败,出现以下错误: “请求不被支持”。 我有一个安全策略限制NTLM传出连接(networking安全:限制NTLM :传出远程服务器的NTLMstream量)。 在Wireshark我可以看到Kerberos TGS请求返回一个错误: “err-s-principal-unknown kerberos”。 我尝试了以下解决scheme,但没有成功: 使用适当的DNS suffix更新msDS-AllowedDNSSuffixes属性。 将主机名定义为Kerberos realm mappings (如在Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS中 ) 有没有这个问题的解决scheme,而不修改DNS suffix或Active Directory domain具有相同的名称? 谢谢。
我有一个服务,需要使用Kerberos对另一个服务进行身份validation。 正常的凭据过期相当快 – 我可以创build一个密钥表或服务的东西获得无密码票? 我没有pipe理员Kerberos服务器,但我有AD成员的本地pipe理员。
最近从Windows 2008 R2迁移到Windows 2016的文件共享。Robocopy用于保留所有属性和权限。 问题在于AutoCAD LT 2012用户在图纸中有一个Creatdate字段,它应该保留文档的原始创builddate。 这工作很好,直到迁移。 问题是所有文档保存都导致该字段被更新到最新的date。 作为一项testing,我在除原始文件服务器以外的Windows 2008 R2服务器上创build了一个新的共享。 当用户testing到该位置时,“创build”字段正常工作。 作为另一项testing,我在Windows 2012 R2服务器上创build了一个新的共享。 在该服务器上,创build字段不能正常工作。 我也尝试在Windows 2016服务器上禁用SMBv1,然后禁用SMBv2 / 3,结果没有任何变化。 另一个已经尝试过的是柴油机的function,但也没有解决这个问题: $(edtime, $(getvar,tdcreate),DD MON YYYY) $(upper,$(edtime, $(getvar, tdcreate),d/M/YYYY)) 综上所述: Windows Server 2008 R2 – 按预期工作 Windows Server 2012 R2 – 不按预期工作 Windows Server 2016 – 不按预期工作 附加信息: 发布之前的信息后,我发现一些额外的信息: Windows时间服务在用户工作站上被禁用 NetLogon服务也没有运行 工作站和Windows Server 2008 R2服务器碰巧有一个非常相似的系统时间 […]
鉴于以下networking设置: ┌192.168.1.10 Windows Server (WAN) │ └192.168.1.100 Router (WAN) 192.168.0.1 Router (LAN) │ └192.168.0.x Windows Client (LAN) 广域网区域:192.168.1.x. 局域网区域:192.168.0.x. 这些区域由路由器分开。 您可以看到客户端位于LAN区域,并通过路由器连接到WAN区域。 服务器位于广域网区域。 我想要做的是启用客户端(运行Windows 7)通过Kerberos与服务器(Windows Server 2003)进行身份validation。 许多网站告诉我,我需要在路由器防火墙中启用TCP和UDP端口88来使用Kerberos。 当然,这只有在服务器位于防火墙之后才有意义。 但是在这种情况下,客户端就在防火墙之后。 我试图使用客户端上的lmhosts文件来指定我的Windows服务器的IP地址,但不起作用。 我能够使用域用户和密码在我的客户端上进行Windowslogin。 但是,当我想要访问networking共享时,例如,我收到一条错误消息,并提示我再次进行身份validation。 我的问题:我需要什么configuration才能正确validationWindows域并使用networking共享,而不必重新进行身份validation?
我一直在尝试使用以下格式导出NFS $ cat /etc/exports /share server*.example.com(sec=krb5p,rw) 这种格式工作正常,我可以在各自的服务器上挂载相应的目录。 但是,下面的格式不起作用,我不明白为什么它不工作。 $ cat /etc/exports /share *.example.com(sec=krb5p,rw) 任何人都知道原因?
运行Windows Server 2012上的SQL Server Kerberosconfigurationpipe理器(KerberosConfigMgr)的v3.1对同一台服务器上的SQL Server Developer 2016实例。 以pipe理员身份运行工具(以域pipe理员帐户login到服务器)。 Kerberos工具中指定的默认空白详细信息。 我也尝试input运行相同版本的SQL另一台服务器的详细信息以及我的域pipe理员用户帐户的详细信息,具有相同的结果。 应用程序认为约10秒钟,然后回应错误消息“无法访问系统中的用户主要信息” 日志有以下内容: 10/31/2017 2:41:09 AM Error: Access of User Principal information failed System.DirectoryServices.AccountManagement.PrincipalServerDownException: The server could not be contacted. —> System.DirectoryServices.Protocols.LdapException: The LDAP server is unavailable. at System.DirectoryServices.Protocols.LdapConnection.Connect() at System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper(DirectoryRequest request, Int32& messageID) at System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout) at System.DirectoryServices.AccountManagement.PrincipalContext.ReadServerConfig(String serverName, ServerProperties& properties) — […]
这可能听起来像一个奇怪的问题,但我真的很想知道事情的来龙去脉。 根据我对Microsoft的理解,内置的本地帐户(nt authority \ system)没有密码。 但是,该帐户可以通过networking访问资源。 那么……这里到底发生了什么? 根据这个MSDN文章 "The service presents the computer's credentials to remote servers." https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396 这很好,所有 – 但呃…根据同一篇文章: "This account does not have a password" 那么账户怎么没有密码,但是有凭据呢? 如果我将计算机权限授予远程系统上的文件,当计算机上的服务正在访问该文件时,如何进行身份validation?
我有一个单一的Windows Server 2012 R2,我正在考虑设置一个域控制器和它的Active Directory。 安装完这个angular色之后,当我尝试将服务器升级到DC时,失败了端口88的先决条件:kerberos已经在监听。 对于我的生活,我无法find任何支持,所以我只是从服务器中删除angular色,重新启动,看到Kerberos仍在运行。 Kerberos仍在运行我在服务器方面有一点点小菜,但是我在这里做错了什么? 我正在考虑删除Kerberos服务或停止使用端口88,所以我可以安装此angular色。 任何意见是极大的赞赏
问题在最后 关于我的环境 我已经尝试了两种不同的环境:(i)在Active Directory(微软)域中注册的Linux Ubuntu 16.04LTS服务器和(ii)在Ubuntu FreeBSD Realm注册的Linux Ubuntu 16.04LTS服务器。 Krb5二进制版本: $ strings libkrb5.so | grep BRAND KRB5_BRAND: krb5-1.13.2-final 1.13.2 2015050 我喜欢做什么 我试图使用ksu命令作为另一个用户login当前主机( authdemo4.addemo.it ): kservice 。 详细地说,我试图(i)为主机authdemo4.addemo.it获取用户kservice的服务票证,(ii)将票证保存在MITcaching文件/ media / public / krb_kservice中 ,(iii)提供这张票以ksu命令为了login为kservice 。 它应该是可能的 ksu麻省理工学院的文件指出,从caching文件使用服务票据是可能的,让我们引用: 否则,ksu将在源caching中查找适当的Kerberos票证。 该票可以是最终服务器,也可以是目标主体领域的票证授予票(TGT)。 如果terminal服务器的票证已经在caching中,则解密并validation。 如果它不在caching中,但是TGT是,则TGT用于获取terminal服务器的票证。 terminal服务器票证然后被validation。 我的实验和结果 当使用TGT Kerberos票证时,它就像一个魅力: $ kinit -c /media/public/krb_kservice kservice Password for [email protected]: $ ksu […]