База знаний: Indeed Access Manager 9 > Примеры настройки Indeed AM с различными системами > WARP
Инструкция по настройке Kerberos-аутентификации для сервиса WARP в кластере NLB
Автор Andrey Prokopenko, Last modified by Denis Dmitriev на 19 марта 2026 11:17 AM

Инструкция по настройке Kerberos-аутентификации для сервиса WARP в кластере NLB

Описание

Данная инструкция описывает процесс настройки Kerberos-аутентификации для службы WARP, работающей в кластере Network Load Balancing (NLB).

Предварительные требования

  • Служба WARP установлена на узлах NLB
  • Создана доменная учетная запись для службы
  • Настроены DNS-записи для виртуального IP кластера NLB
  • Доступ к контроллеру домена с правами администратора

Шаг 1. Настройка учетной записи службы в Active Director

1.1. Настройка параметров учетной записи

На контроллере домена:

  1. Откройте Active Directory Users and Computers (dsa.msc)
  2. Найдите учетную запись службы
  3. Правой кнопкой → Properties (Свойства)
  4. Перейдите на вкладку Account (Учетная запись)
  5. В разделе Account options настройте следующие параметры:
    • ❌ Снимите галочку "Account is sensitive and cannot be delegated"
    • ❌ Снимите галочку "Use Kerberos DES encryption types for this account"
    • ✅ Установите галочку "This account supports Kerberos AES 128 bit encryption"
    • ✅ Установите галочку "This account supports Kerberos AES 256 bit encryption"

1.2. Настройка делегирования Kerberos

  1. Перейдите на вкладку Delegation (Делегирование)
  2. Выберите "Trust this user for delegation to any service (Kerberos only)"
  3. Нажмите OK

Шаг 2. Регистрация Service Principal Names (SPN)

На контроллере домена выполните следующие команды от имени администратора:

# Регистрация SPN для HTTP
setspn -S HTTP/<DNS-имя_кластера> <домен>\<учетная_запись_службы>
setspn -S HTTP/<NetBIOS-имя_кластера> <домен>\<учетная_запись_службы>

# Регистрация SPN для HTTPS
setspn -S HTTPS/<DNS-имя_кластера> <домен>\<учетная_запись_службы>
setspn -S HTTPS/<NetBIOS-имя_кластера> <домен>\<учетная_запись_службы>

Пример:

setspn -S HTTP/nlb.domain.local domain\serviceaccount
setspn -S HTTP/nlb domain\serviceaccount
setspn -S HTTPS/nlb.domain.local domain\serviceaccount
setspn -S HTTPS/nlb domain\serviceaccount

2.1. Проверка зарегистрированных SPN

setspn -L <домен>\<учетная_запись_службы>

Вывод должен содержать:

HTTP/<DNS-имя_кластера>
HTTP/<NetBIOS-имя_кластера>
HTTPS/<DNS-имя_кластера>
HTTPS/<NetBIOS-имя_кластера>

2.2. Проверка на дубликаты SPN

setspn -Q HTTP/<DNS-имя_кластера>

Убедитесь, что SPN зарегистрирован только для одной учетной записи. Если найдены дубликаты на других учетных записях или компьютерах, удалите их:

setspn -D HTTP/<DNS-имя_кластера> <имя_конфликтующей_учетной_записи>

Шаг 3. Настройка службы WARP на узлах кластера

Выполните на КАЖДОМ узле NLB:

3.1. Изменение учетной записи службы

  1. Откройте Services (services.msc)
  2. Найдите службу WARP
  3. Правой кнопкой → Properties (Свойства)
  4. Перейдите на вкладку Log On (Вход в систему)
  5. Выберите This account (Эта учетная запись)
  6. Укажите учетную запись: <домен>\<учетная_запись_службы>
  7. Введите пароль учетной записи
  8. Нажмите Apply и OK

3.2. Перезапуск служб

net stop WARP
net start WARP

Или через графический интерфейс Services.msc.

3.3. Проверка учетной записи службы

Get-WmiObject Win32_Service | Where-Object {$_.Name -eq "WARP"} | Select-Object Name, StartName, State

Вывод должен показывать:

Name StartName State
---- --------- -----
WARP <домен>\<учетная_запись_службы> Running
(0 голос(а))
Эта статья полезна
Эта статья бесполезна