我们一直在旋转我们的车轮试图通过ARR的 Windows身份validation工作。
我们已经创build了一个新的域帐户( appservices )
ARR服务器 ( srvarr )使用默认的应用程序池,用户设置为appservices
IIS服务器 ( srvweb )使用默认的应用程序池与用户设置为appservices
我们跑了
setspn -s domain\appservices http://srvarr
并使用-l检查显示它注册为http://srvarr
srvarr被设置为使用anonymous authentication
srvweb被设置为使用windows authentication
直接去http://srvweb/healthCheck.txt给出一个'Working!' 消息试图去http://srvarr/healthCheck.txt给出一个
502 - Web server received an invalid response while acting as a gateway or proxy server
要么
401 - with prompt for credentials
如果我们打开anonymous authentication我们得到'Working!' 来自http://srvweb/healthCheck.txt或http://srvarr/healthCheck.txt
我们已经尝试了NTLM和谈判 ,似乎都没有工作。
我们有错误的HTTP/srvarr和HTTP/srvweb作为http://srvarr和http://srvweb 。 确保你做的协议,而不是url!
也可以帮助其他人的设置:
删除 NTLM和Negotiate然后添加 Negotiate:Kerberos并打开UseAppPoolCredentials并closures useKernelMode
确保所有服务器都使用您的域Web服务帐户作为应用程序池标识