完全修飾 URL を使用したローカルサーバー上の IIS への Windows 認証

Question 1

私も同じことをやろうとしていました。FQDN を使用してローカル IIS 上の Web サイトにアクセスすると、IIS によってアクセス先が指示され続けました。

とにかく、私が調べたところ、ローカル IIS Web サイトのループバックチェックを無効にする必要があるようです。

以下を参照Microsoft サポートページ。

ページが消えてしまった場合、私は次のことを実行しました（これは上記のブログ投稿で推奨されていることです）。

「実行」の下に「regedit」と入力してレジストリエディターを開きます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0に移動します。
MSV1_0 を右クリックし、[新規] をクリックして、複数文字列値にすることを選択します。
エントリの名前として BackConnectionHostNames を入力し、ダブルクリックして変更します。
使用する必要があるホスト名を入力します (たとえば、code-journey.com)。
IISAdmin サービスを再起動します（「スタート」->「管理ツール」->「サービス」）。

お役に立てれば。

cmb..

Answer

私も同じことをやろうとしていました。FQDN を使用してローカル IIS 上の Web サイトにアクセスすると、IIS によってアクセス先が指示され続けました。

とにかく、私が調べたところ、ローカル IIS Web サイトのループバックチェックを無効にする必要があるようです。

以下を参照Microsoft サポートページ。

ページが消えてしまった場合、私は次のことを実行しました（これは上記のブログ投稿で推奨されていることです）。

「実行」の下に「regedit」と入力してレジストリエディターを開きます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0に移動します。
MSV1_0 を右クリックし、[新規] をクリックして、複数文字列値にすることを選択します。
エントリの名前として BackConnectionHostNames を入力し、ダブルクリックして変更します。
使用する必要があるホスト名を入力します (たとえば、code-journey.com)。
IISAdmin サービスを再起動します（「スタート」->「管理ツール」->「サービス」）。

お役に立てれば。

cmb..

Question 2

これは、LoopbackCheck と呼ばれるセキュリティ機能によるものです。

Windows Server 2003 Service Pack 1 をインストールした後、FQDN または CNAME エイリアスを使用してローカルでサーバーにアクセスしようとすると、エラーメッセージ "アクセスが拒否されました" または "指定されたネットワークパスはネットワークプロバイダーによって受け入れられませんでした" が表示される
http://support.microsoft.com/kb/926642

解決策は 2 つあります。

方法 1 (推奨): NTLM 認証要求で参照できるローカルセキュリティ機関のホスト名を作成します。これを行うには、クライアントコンピューター上のすべてのノードに対して次の手順を実行します。

[スタート] をクリックし、[実行] をクリックして、「regedit」と入力し、[OK] をクリックします。
次のレジストリサブキーを見つけてクリックします: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
MSV1_0 を右クリックし、[新規] をポイントして、[複数文字列値] をクリックします。
[名前] 列に「BackConnectionHostNames」と入力し、Enter キーを押します。
BackConnectionHostNames を右クリックし、[変更] をクリックします。
[値データ] ボックスに、コンピューター上のローカル共有に使用される CNAME または DNS エイリアスを入力し、[OK] をクリックします。

注意: 各ホスト名を別々の行に入力してください。

注: BackConnectionHostNames レジストリエントリが REG_DWORD タイプとして存在する場合は、BackConnectionHostNames レジストリエントリを削除する必要があります。
レジストリエディターを終了し、コンピューターを再起動します。

方法 2: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa レジストリサブキーの DisableLoopbackCheck レジストリエントリを 1 に設定して、認証ループバックチェックを無効にします。DisableLoopbackCheck レジストリエントリを 1 に設定するには、クライアントコンピューターで次の手順を実行します。

[スタート] をクリックし、[実行] をクリックして、「regedit」と入力し、[OK] をクリックします。
次のレジストリサブキーを見つけてクリックします: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
[Lsa] を右クリックし、[新規] をポイントして、[DWORD 値] をクリックします。
「DisableLoopbackCheck」と入力し、Enter キーを押します。
[DisableLoopbackCheck] を右クリックし、[変更] をクリックします。
[値データ] ボックスに「1」と入力し、[OK] をクリックします。
レジストリエディターを終了します。
コンピュータを再起動します。

Answer

これは、LoopbackCheck と呼ばれるセキュリティ機能によるものです。

Windows Server 2003 Service Pack 1 をインストールした後、FQDN または CNAME エイリアスを使用してローカルでサーバーにアクセスしようとすると、エラーメッセージ "アクセスが拒否されました" または "指定されたネットワークパスはネットワークプロバイダーによって受け入れられませんでした" が表示される
http://support.microsoft.com/kb/926642

解決策は 2 つあります。

方法 1 (推奨): NTLM 認証要求で参照できるローカルセキュリティ機関のホスト名を作成します。これを行うには、クライアントコンピューター上のすべてのノードに対して次の手順を実行します。

[スタート] をクリックし、[実行] をクリックして、「regedit」と入力し、[OK] をクリックします。
次のレジストリサブキーを見つけてクリックします: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
MSV1_0 を右クリックし、[新規] をポイントして、[複数文字列値] をクリックします。
[名前] 列に「BackConnectionHostNames」と入力し、Enter キーを押します。
BackConnectionHostNames を右クリックし、[変更] をクリックします。
[値データ] ボックスに、コンピューター上のローカル共有に使用される CNAME または DNS エイリアスを入力し、[OK] をクリックします。

注意: 各ホスト名を別々の行に入力してください。

注: BackConnectionHostNames レジストリエントリが REG_DWORD タイプとして存在する場合は、BackConnectionHostNames レジストリエントリを削除する必要があります。
レジストリエディターを終了し、コンピューターを再起動します。

方法 2: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa レジストリサブキーの DisableLoopbackCheck レジストリエントリを 1 に設定して、認証ループバックチェックを無効にします。DisableLoopbackCheck レジストリエントリを 1 に設定するには、クライアントコンピューターで次の手順を実行します。

[スタート] をクリックし、[実行] をクリックして、「regedit」と入力し、[OK] をクリックします。
次のレジストリサブキーを見つけてクリックします: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
[Lsa] を右クリックし、[新規] をポイントして、[DWORD 値] をクリックします。
「DisableLoopbackCheck」と入力し、Enter キーを押します。
[DisableLoopbackCheck] を右クリックし、[変更] をクリックします。
[値データ] ボックスに「1」と入力し、[OK] をクリックします。
レジストリエディターを終了します。
コンピュータを再起動します。

Question 3

SSOの設定経験から言うと、IEはサイトとクライアントがイントラネット上にいる場合、またはサイトが信頼済みゾーンにある場合にのみ、ログオン用のKerberosチケットを自動的に渡します。IEがhttp://site.company.com/webserviceサイトがインターネット上にあると想定し、ログオンの資格情報を渡しません。

このリンクには、IIS、IE、Kerberos に関する役立つ情報がいくつかあります。 http://blogs.msdn.com/b/friis/archive/2009/12/31/things-to-check-when-kerberos-authentication-fails-using-iis-ie.aspx

イントラネット上で FQDN を許可するには、Web サーバーに証明書を提供して SSL を使用するか、それを信頼済みゾーンに追加するという 2 つの方法が有効であることが分かりました。

これがあなたのセットアップに役立つことを願っています。

Answer

SSOの設定経験から言うと、IEはサイトとクライアントがイントラネット上にいる場合、またはサイトが信頼済みゾーンにある場合にのみ、ログオン用のKerberosチケットを自動的に渡します。IEがhttp://site.company.com/webserviceサイトがインターネット上にあると想定し、ログオンの資格情報を渡しません。

このリンクには、IIS、IE、Kerberos に関する役立つ情報がいくつかあります。 http://blogs.msdn.com/b/friis/archive/2009/12/31/things-to-check-when-kerberos-authentication-fails-using-iis-ie.aspx

イントラネット上で FQDN を許可するには、Web サーバーに証明書を提供して SSL を使用するか、それを信頼済みゾーンに追加するという 2 つの方法が有効であることが分かりました。

これがあなたのセットアップに役立つことを願っています。

完全修飾 URL を使用したローカルサーバー上の IIS への Windows 認証

答え1

答え2

答え3

関連情報