我有一个类似的问题,如下所述: ARR 3 IIS 7.5 Windows身份validation不起作用
不幸的是,解决scheme不能在我们的服务器上工
在我们的testing环境中,我们有一个ARR服务器(Win 2012,IIS 8.0)和一个Web服务器(Win 2008R2)。 Web服务器上的Web应用程序需要Windows身份validation,并且在客户端使用NTLM作为对协商请求的响应时它已经可用。 但是,当客户端发送Kerberos票据时,请求不会被转发到Web服务器,而是由ARR服务器通过HTTP 401消息来应答。
我已经尝试了很多build议没有成功。 在ARR或networking服务器上validation失败。
我们运行了ARR 2.5,但是我也已经使用ARR 3.0进行了testing,但没有成功。
我还为ARR和Web服务器configuration了SPN条目( http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx ) 。 并尝试使用ARR和Web服务器上的应用程序池相同的用户帐户。
——-编辑——-
即使ARRconfiguration为匿名,问题始终在于ARR服务器对协商标题作出反应。
顺便说一下:KB 2732764很久以前安装了
我终于为我们find了一个解决scheme:
由于我们没有“多跳”authentication(= kerberos)的要求,所以我能够强制NTLM。 在auhtentication(网站)下的Web服务器上,我更改了Windows身份validation的提供程序,并删除了除NTLM以外的所有内容。 所以NTLM是唯一可用的authentication方式。
在ARR上,我将所有设置都改回原来的设置,并且只启用了匿名访问。 然后,ARR能够将身份validation传递给Web服务器。
在我看来,微软在Kerberos处理方面存在一个漏洞,它不依赖于是在内核还是ARR中进行身份validation。