设想一个网站,显示远程registry项的价值,例如远程PC上反病毒定义的版本。 要清楚的是,有3台计算机参与,networking服务器充当中介。
该网站使用Windows身份validation,所以从Windows上的浏览器,您的AD凭据通过和IIS身份validation用户(在ASP.NET中,用户令牌已连接,并可以以编程方式检查)。
我们使用内核模式身份validation在IIS 7.5上运行,是否需要在AD中设置SPN以允许Windows身份validation的Kerberos部分发生?
该网站在AD帐户DOMAIN \ AV1下的应用程序池下运行,该帐户是有权访问局域网上计算机的组的成员。
该站点中的代码不执行模拟,因为它不想假定站点用户的ID(谁没有远程reg权限),所以它只是简单地进行远程registry调用。
Web服务器计算机帐户或 DOMAIN \ AV1帐户是否需要SPN来协商和执行Kerberos身份validation到远程计算机?
是的,您不能在没有SPN的Kerberos中进行身份validation。 为机器帐户设置SPN的清单如下:
如果它只是一个Web服务器,那么标准的两个SPN就是机器账号。 如果是networking农场,则可能希望select一个域帐户,并确保该帐户具有所需的SPN。
当您声明“站点中的代码不执行模拟”时,您需要记住,如果IIS计算机帐户没有执行对远程系统的访问,则需要委派代表其他代理进行身份validation的function帐户,如DOMAIN \ AV1帐户。 如果您使用不受限制的委派,则configuration非常简单。
您可能需要使用DelegConfig工具进行testing,您可以将其放到网站上并configuration应用程序文件夹。 它提供了一个简单的GUI,为您执行必要的检查。