我正在使用一个系统,它实现了从Firefox 38.2.1(或IE 11)访问在Windows Server 2012(IIS 8.5)上运行的Intranet .NET 4.5.1 Web应用程序到SQL Server 2008 R2的双跳约束委派一个不同的服务器 委托scheme正在运行:将用户的AD凭据传递到独立于Web服务器的服务器上的数据库。 DC是Windows Server 2008 R2,我们使用SPN。
但是,有些情况下,如Kerberos将会失败的Firefoxconfiguration设置丢失; 并且authentication协议降级到NTLM。 授权不再工作一段时间,直到Kerberos身份validation协议自动恢复(有些来源说5分钟,更像是10-12分钟的testing)。 此外,失败的委托会影响所有在协议降级生效之后访问应用程序的用户,直到Kerberos自动重新build立。 换句话说,他们的会话使用NTLM并被阻止访问数据库10-12分钟。
是否有通过DC或代码(c#)或IIS / Firefox / IE的方式手动将身份validation协议还原到Kerberos,从而缩短正在使用NTLM协议的窗口?