我正在支持一个扩展到Web和应用程序服务器的基于IIS的应用程序。 Web和应用程序都在IIS后面运行。 当IISconfiguration为通过Kerberos进行身份validation时,该应用程序具有NTLMfunction。 迄今为止,它一直在工作,没有一个小故障。
现在,我正在尝试引入两个F5交换机,一个在Web前面,另一个在应用服务器前面。 2个F5实例(比如ips185&186)位于LINUX主机上。 F5到F5寻找一个NAT IP(比如ips 194,195和196)。 为包括NAT在内的所有IP创build了一个DNS条目,并运行SETSPN命令将IIS服务帐户注册为在HTTP,HOST和域级别受信任。 随着Web F5打开,每个Web服务器连接到一个基本应用程序服务器,当用户连接到Web F5域名时,信任工作和用户authentication没有问题。 但是,启用应用程序负载平衡器并且Web服务器指向新的F5应用程序域名时,用户将获得401. IIS日志显示没有经过身份validation的用户名并显示401状态。 Wireshark确实显示传入系统的协商票据头。
任何想法或build议,非常感谢。 请指教。
微软说这是不可能的 。 我最近问了一个类似的,但更一般的问题 。