我们正在使用虚拟PC进行一些testing模型。 一个VPC作为域控制器运行,并在其上configuration了AD。 域名是testing.local。 我们使用集成Windows身份validation和基本身份validation(发送loginID /密码),在运行Web应用程序的域中有另一个VPC(configuration为在端口198监听的网站)。 现在问题是,在AD中创build的一些用户可以访问这个应用程序( http:// testsystem:198 / ),有些则不能。 即使input正确的loginID /密码组合,IIS也会给出401.2错误。
我试图search网页,并被定向到AuthDiag工具。 我安装它并运行Active Directory(Kerberos密钥分发中心)信息 。 它多次显示以下错误(在此VPC中有许多网站正在运行):
在Active Directory中找不到机器“testing系统”的服务主体名称(SPN)
请帮助我们卡住,不能testing应用程序。
这是Kerberos身份validation的一些问题,可能连接到您正在运行网站的帐户 – 看看这个:
如果这不是确切的问题,那么列出的debugging步骤应该允许您向您的问题添加更多的细节,以帮助人们得出正确的答案。
如果您不使用任何委派, 请将IIS设置为仅使用NTLM来消除Kerberos。
对于默认网站,请使用
cscript adsutil.vbs set w3svc/1/root/NTAuthenticationProviders "NTLM"