QA@IT

DNSエイリアス利用時のWindows統合認証について

5145 PV

現在、社内イントラ用のサイトをASP.NETを利用して作成しております。
サーバはWindows Server 2008 + IIS 7。クライアントはWindows XP、7混在で、
サーバ・クライアントともにActiveDirectoryによる同一ドメインに参加しています。

また、サーバはホスト名 host1 に対し、Windows DNSのエイリアスで alias1を設定しています。

この環境でWindows 統合認証により、パスワード等入力ダイアログの表示なしで
認証を行いたいと考えております。
IISの設定は、匿名アクセスはOFF、統合Windows認証にのみチェックを入れた状態になっています。

この状態で、「http://host1.domain.local」 にアクセスすると、正常に認証が行われダイアログの表示もなくアクセスできますが、
http://alias1.domain.local」 でアクセスすると、パスワード等を入力されるダイアログが表示されてしまいます。
※ここに現在Windowsにログインしているユーザ名、パスワードを入力すると認証されページが表示されます。

以上のような状況で、DNSエイリアス利用時にも統合Windows認証を有効にすることは可能でしょうか?
ご教示をお願い致します。

回答

すいません。
fwin2kSHIMAD さんの KB 見てみたのですが、

Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name
http://support.microsoft.com/kb/281308/en

このレジは Lanmanserver 配下なので、サーバーサービス起動時にロードするものなので HTTP アクセスとは関連性はなさげですね。

で、SETSPN の構文は以下だったので
setspn -a host/aliasname.contoso.com targetserver

以下となりますね
setspn -a http/alias1.domain.com host1

編集 履歴 (0)

たぶんなんですが、
ホスト名での統合認証だとl、 Kerberos が使われることに起因していそうですね。
host1 のコンピューターアカウントに SPN を結びつければいいのでは?

ちゃんとした書式はわかりませんが、
DC 上で、 setspn -A host1 http/alias1.domain.com
こんな感じだったと思いますが・・・

編集 履歴 (0)

早々のご回答ありがとうございます。
返信が遅くなり申し訳ありません。

早速、ご提示頂いたサイトを拝見しましたが、
Windows Server 2000または2003 となっており、
残念ながら当方の環境には合わないようでした。

一応、レジストリの設定を行ってサーバ再起動を行ってみましたが、
症状は改善しないままでした…。

引き続きのご教示、よろしくお願い致します。

編集 履歴 (0)

Windows統合認証ということは、ファイル共有へのアクセス時などと同様の方式で認証がなされているはずですから、次のMSKBにある解決方法が通用するのではないかと:

・Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name
http://support.microsoft.com/kb/281308/en

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。