首先,不知道哪个网站最适合这个问题,不论是SO,SF还是SU,请随时提出迁移build议!
我有一个要求限制几台机器之间的委派,以启用不同服务之间的身份模仿。
这里是不同的机器:
Machine1 – 具有在本地服务帐户Local System下运行的AppPool的IIS 8.0 Machine2 – 具有SSRS的SQL Server 2008 R2都在本地服务帐户Network Service下运行 Machine3 – 拥有SQL Server 2008 R2并镜像Machine2多个数据库 我正在开发的应用程序需要能够模拟客户端身份以启用对SQL Server后端和Reporting Services的访问。 还需要模拟用户以使应用程序能够将file upload到共享的networking位置。
所有机器都在同一个域下运行。
我已经坐在一个域pipe理员,并已启用Enable this computer for delegation to any service (kerberos only)到所有三台机器。 原因是因为我试图限制代表团到某些服务无济于事。
我没有修改任何SPN,因为我的理解是SQL Sever会自动创build所需的SPN来完成这项工作。
在我的应用程序中,我已经在web.config文件中指定了如下以启用模拟:
<authentication mode="Windows" /> <identity impersonate="true"/>
IIS只启用Windows身份validation。
问题
委派似乎根本不工作,因为当应用程序部署到IIS时,当尝试访问SSRS服务时以及尝试将file upload到networking共享时,会出现身份validation问题(即401错误)。
问题
还有什么我缺less/需要检查,以获得委托在整个机器上工作,以及我需要启用哪些服务以满足上述要求。
请注意,我已经阅读了很多关于代表团的问题,但是没有解决我的问题。