在我的环境中,我有两个独立的森林FA.COM和FB.COM以及两个子域DA.FA.COM和DB.FB.com。 DA.FA.COM和DB.FB.com之间没有森林信任,而是双向的外部信任。
我在DB.FB.com上有一个IIS服务器(Windows 2012r2上的IIS8.5),我按照这里的说明https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos -authentication-for-a-in-in-iis /为IIS服务器中的静态网站configurationKerberos SSO,并为从DB.FB.COM访问的客户端工作。
但是我需要扩展访问权限,以允许来自DA.FA.COM的用户通过Kerberos访问他们的客户端机器(也在DA.FA.COM中)访问静态网站(在DB.FB.COM中)。 目前来自DA.FA.COM的用户和客户能够通过NTLM而不是Kerberos进行SSO。 (注意:我通过使用Fiddler和Klist来检查SSO是通过Kerberos还是NTLM来检查)
我的问题是,如果我在域DB.FB.COM中使用kerberos sso,是否需要在IIS服务器上进一步configuration以支持跨林kerberos,或者是DA中的域控制器之间的configuration问题。 FA.COM和DB.FB.com支持跨林kerberos?