在IIS7上托pipe的SharePoint 2010,启用了Kerberos。 客户端通过Citrix在多台terminal服务器上login。 Kerberos正在处理几个客户端,所以SPN的定义是正确的,但在某些客户端上却不起作用。
问题
- Windows身份validation在Internet Explorer中启用,提供程序协商(第一个)和NTLM(第二个)
- 适用于某些客户。 如果IE中启用了“集成Windows身份validation”,则发送Kerberos票证。 如果设置被禁用,则使用NTLM。 因此,如预期的那样。
- 在某些“不好的客户端”上,我会在+ – 20秒后得到“这个页面无法显示”(DNS /连接错误)。 如果我看着Fiddler,我只能看到来自Web服务器的401响应。 如果我在IIS中翻转提供程序,NTLM(第一个),Negotiate(第二个),它的工作原理! NTLM响应被发送。 如果我再将其更改为Negotiate(第一个),则NTLM(第二个)在IIS重置后仍然可用,直到从Citrix注销并开始; 然后再次“这个页面不能显示”。
- 该站点被添加到本地Intranet。 如果它在“坏客户”的NTLM上运行,我可以在右下angular看到“本地Intranet”。 在“好客户”Kerberos也在本地Intranet区域工作。 也尝试将“不良客户端”中的网站添加到可信站点,但这没有什么区别。
我不知道为什么它仍然不工作。 这个问题看起来像IE不希望以协商,NTLM作为身份validation响应HTTP / 401请求。 在一些客户头,但我真的不知道为什么不。
解决它。 好的,Kerberos和LDAP到DC在某些DC上是不可用的。 所以,改变防火墙设置解决了这个问题。