web-dev-qa-db-ja.com

ISA 2006 kerberosに切り替えると、一部のユーザーに認証の問題が発生します

大規模な企業環境では、4台のISA 2006サーバーがセットアップされています。ユーザー(WinXP IE8)は自動プロキシ構成スクリプトで構成されています。最近、PACはIPではなくFQDNを返すように変更されました。 ISAサーバーのアドレス。これは、NTLMではなくKerberos認証を強制するために行われました。

この変更により、一部のユーザーに断続的な問題が発生しています。 SSLを介してサイトにアクセスすると、プロキシサーバーから認証を求める複数のプロンプトが表示されます。すべてのユーザーが影響を受けるわけではありません。さまざまなサイトが影響を受けます。ある時点で、プロキシサーバーの1つが「502プロキシエラー。バッファスペースがサポートされていません。」を吐き出し始めました。再起動され、営業を再開しました。

私たちが理解できる最善のことは、それが大きなKerberosトークンサイズに関係しているということです(私たちは数百/数千のADセキュリティグループを持つ大規模なオペレーションです)。

一部のユーザーは、Kerberos用にMaxPacketSizeとMaxTokenSizeを構成しています。しない人もいます。私が見た2人の問題のあるユーザーは両方ともこれらの設定を持っていました。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

PACをロールバックしてIPアドレス(およびNTLM)を使用すると、ユーザーの問題が解決します。ただし、プロキシ管理者は次の理由でKerberosを必要としています。 IISでNTLMの代わりにKerberosを使用する理由

これらのレジストリ設定をすべてのユーザーにプッシュすると問題が解決しますか、それともこれらの設定が問題の原因ですか?

デスクトップのトークンサイズ設定に一致するように調整する必要があるISAサーバーの設定はありますか?

ありがとう。

1
Ed Manet

トークンサイズの問題である可能性があります。とにかく、すべてのコンピューターはそれらの値でそれらの設定を持っている必要があります。

もう1つの可能性は、httpヘッダーの最大長を指定するポリシーフィルターがある場合です。
Kerberosは、エンコードされてすべてのhttpリクエストヘッダーに挿入される統合認証を使用する場合、グループメンバーシップをpacに格納するため。 Kerberosとの統合認証を含むhttpは、リクエストヘッダーの最大サイズで非常に寛大である必要があります。

その説明のある症状の修正プログラムもあります。

ISA Server 2006 Webプロキシクライアントは、ユーザーが特定のWebサイトにアクセスしようとするとエラーコード502を受け取ります
http://support.Microsoft.com/kb/93569

http://www.isaserver.org/tutorials/configuring-isa-server-2006-http-filter.html

http://technet.Microsoft.com/en-us/library/bb838827.aspx

1
Greg Askew