Salta al contenuto
TSplus Documentazione ®
Registro delle modifiche

Abilita l'autenticazione integrata di Windows su un dominio Active Directory

Questa guida è fornita per configurare l'autenticazione integrata di Windows (Kerberos/NTLM) con un account di servizio gestito da gruppo (gMSA) sul Portale Web.

A causa della natura unica della rete e dell'architettura di ciascuna azienda, non possiamo fornire supporto per problemi derivanti dal seguire questa documentazione. Soddisfa i requisiti tecnici per il Portale Web con Autenticazione Integrata di Windows, ma l'implementazione è a vostra responsabilità.

Configurazione del dominio

L'ambiente Active Directory deve supportare l'autenticazione Kerberos o NTLM.

Imposta un'Account di Servizio Gestito (gMSA)

Installa il servizio Web Portal e eseguilo con un account di servizio gestito del dominio invece di un account di amministratore di dominio.

Prerequisiti

  • Livello dello schema di Active Directory: Windows Server 2012 o successivamente (richiesto per gMSA)
  • Almeno un controller di dominio in esecuzione Windows Server 2012 o dopo
  • Chiave radice KDS creata (configurazione una tantum)
  • Membri di Amministratori di dominio o Operatori dell'account per creare l'account

Crea la chiave radice KDS (se non è già stata creata)

Esegui su un controller di dominio in una sessione PowerShell elevata:

Finestra del terminale 
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Questo rende immediatamente disponibile la chiave principale.

Crea il gMSA

Usa New-ADServiceAccount :

Finestra del terminale 
New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true
  • Nome nome account gMSA
  • NomeHostDNS FQDN per l'account
  • Principali autorizzati a recuperare la password gestita computer/gruppo autorizzato a utilizzare questo gMSA

Concedi diritti amministrativi (opzionale / secondo necessità)

Per impostazione predefinita, un gMSA non ha privilegi speciali.

Per concedere l'accesso a livello di dominio (opzionale):

Finestra del terminale 
Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

Per concedere la capacità di amministratore locale/accesso (se necessario):

Finestra del terminale 
Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

Importante: il finale $ è necessario per i riferimenti all'account gMSA in AD.

Requisito di riavvio

È necessario riavviare prima di continuare e installare/utilizzare l'account di servizio. Inoltre, aggiornare le politiche.

Installa il gMSA sui server di destinazione

Esegui su ogni server che utilizzerà il gMSA:

Finestra del terminale 
Install-ADServiceAccount -Identity "WebPortalSvc"

Installazione di prova:

Finestra del terminale 
Test-ADServiceAccount -Identity "WebPortalSvc"

Configura i servizi per utilizzare il gMSA

  1. Concedere Accedi come servizio al conto:

    • Apri Editor Criteri di Gruppo
    • Vai a: Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Assegnazione dei diritti utente
    • Apri Accedi come servizio
    • Aggiungi DOMAIN\WebPortalSvc$

  2. Assicurati delle autorizzazioni NTFS sui file/cartelle del Portale Web:

    • Fai clic con il tasto destro sulla cartella dell'applicazione/eseguibile > Proprietà > Sicurezza
    • Aggiungi DOMAIN\WebPortalSvc$
    • Concedi almeno Leggi e Esegui o Controllo completo se necessario per la tua distribuzione

  3. Configura l'identità del servizio:

    • Account: DOMAIN\WebPortalSvc$
    • Password: lascia vuoto

Configura il nome principale del servizio (SPN)

Il servizio web deve essere registrato in Kerberos.

Esegui su un controller di dominio:

Finestra del terminale 
setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

Sostituisci con il tuo FQDN del server e l'account.

Se il server di hosting del Portale Web utilizza HTTP.sys, registrare SPN contro l'account macchina:

Finestra del terminale 
setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

Configura la rete sulla macchina client

Per mettere un client unito al dominio nella subnet corretta:

  1. Identificare l'interfaccia di rete corretta
  2. Rimuovi l'IP statico esistente (se errato)
  3. Assegna IP statico, maschera di sottorete e gateway predefinito corrispondenti alla sottorete DNS/DC
  4. Imposta gli indirizzi del server DNS

Importante: assegnare indirizzi IP statici al controller di dominio e ai client. La sincronizzazione della politica di sicurezza richiede che le macchine siano nella stessa subnet in questo contesto.

Consenti la connettività client necessaria

UDP/TCP 53 potrebbe essere bloccato, il che impedisce le query DNS.

Passaggi per la risoluzione dei problemi

Controlla lo stato del server DNS

Sul controller di dominio:

Finestra del terminale 
net start DNS

Verifica che il servizio DNS sia in esecuzione.

Verifica l'IP del server DNS

Sul client:

Finestra del terminale 
ipconfig /all

Conferma che l'IP del server DNS corrisponda all'IP del controller di dominio.

Testare la connettività di base

Sul client:

Finestra del terminale 
ping <DC_IP_Address>

Se il ping fallisce, risolvere i problemi di routing della rete/firewall.

Controlla le regole del firewall

Assicurati che UDP/TCP 53 in entrata/uscita sia consentito su client e server.

Test con nslookup

Finestra del terminale 
nslookup domain.com <DC_IP_Address>

Se questo funziona, il server DNS predefinito potrebbe essere configurato in modo errato o irraggiungibile.

Esamina Visualizzatore eventi

Sul controller di dominio, controlla gli errori relativi al DNS.

Configura Mozilla Firefox per l'autenticazione integrata di Windows

Firefox non utilizza WIA per impostazione predefinita.

Passo 1: negoziare URI fidati

  1. Apri Firefox
  2. Vai a about:config
  3. Accetta avviso
  4. Imposta network.negotiate-auth.trusted-uris ai tuoi domini, ad esempio:
    • intranet.domain.com, domain.com

Passo 2: URI NTLM fidati

Imposta network.automatic-ntlm-auth.trusted-uris alla stessa lista di domini.

Passaggio 3: URI di delega Kerberos (se necessario)

Imposta network.negotiate-auth.delegation-uris Per esempio:

  • domain.com

Passaggio 4: riavviare il browser

Riavvia Firefox per applicare le modifiche.

Configura Google Chrome per l'autenticazione integrata di Windows

Chrome utilizza le impostazioni di autenticazione di Windows/system.

  1. Scarica i modelli ADMX di Chrome:
  2. Copia chrome.admx e chrome.adml a:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\it-IT
  3. Apri gpedit.msc
  4. Vai a:
    • Configurazione computer > Modelli amministrativi > Google > Google Chrome
  5. Abilita l'autenticazione integrata per i siti intranet e configura i siti attendibili:
    • intranet.domain.com, domain.com
  6. Applica la politica:
Finestra del terminale 
gpupdate /force

Altri metodi

Altri metodi (opzioni e flag della riga di comando di Chrome) non sono stati efficaci in questo contesto.

Configura Microsoft Edge per l'autenticazione integrata di Windows

Edge utilizza le politiche di Microsoft Edge e le impostazioni della zona di sicurezza di Windows.

Abilita il login automatico nella zona intranet

  1. Apri Opzioni Internet
  2. Sicurezza tab > Intranet locale > Livello personalizzato
  3. Sotto Autenticazione dell'utente , impostare:
    • Accesso automatico solo nella zona Intranet

Configura le politiche di Edge tramite GPO

Passo 1: installa i modelli ADMX di Edge
  1. Scarica:
  2. Copia msedge.admx e msedge.adml a:
    • C:\Windows\PolicyDefinitions
    • C:\Windows\PolicyDefinitions\it-IT
Passo 2: modifica le impostazioni della politica
  1. Apri gpedit.msc
  2. Vai a:
    • Configurazione computer > Modelli amministrativi > Microsoft Edge
  3. Abilita:
    • Configura l'elenco dei server a cui Microsoft Edge può delegare le credenziali
  4. Configura server fidati:
    • intranet.domain.com, domain.com
Passo 3: applicare le politiche
Finestra del terminale 
gpupdate /force

Altri metodi

Altri metodi (opzioni e flag della riga di comando di Edge) non sono stati efficaci in questo contesto.

Risoluzione dei problemi di autenticazione integrata

Controlla i biglietti Kerberos

Su client Windows:

Finestra del terminale 
klist

Dovresti vedere un ticket per HTTP/webserver.domain.com .

Cancella le credenziali/ticket memorizzati nella cache

Finestra del terminale 
klist purge

Verifica la registrazione SPN

Sul controller di dominio:

Finestra del terminale 
setspn -L serviceaccount

Assicurati HTTP/webserver.domain.com è elencato.

Debug Kerberos in Firefox

Avvia Firefox con registrazione:

Finestra del terminale 
set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

Recensione firefox.log per errori di autenticazione.

Controlla le politiche di Chrome

In Chrome, apri: 

chrome://policy

Assicurati AuthServerWhitelist e AuthNegotiateDelegateWhitelist sono applicati.

Controlla le politiche di Edge

In Edge, apri: 

edge://policy

Assicurati AuthServerWhitelist e AuthNegotiateDelegateWhitelist sono applicati.

Vuoi vedere il sito in un'altra lingua?

Italiano
English Español Deutsch Italiano Português Français 简体中文 العربية 日本語 한국어
Cambia lingua