我在使用SharePoint的Kerberos时遇到问题。 另外请注意,我是一个开发人员,而不是一个networking人,所以如果我使用错误的条款,我很抱歉,但我希望我的意图是明确的。
我们有两个Web前端别名为“SPPortal”,Web前端本身是“WFE1”和“WFE2”。 在我的开发中,我需要能够跨服务器执行双跳。
以下是我如何处理服务器的结果:
http:// / spportal – 失败(NTLM)
http:/ / wfe1 – 成功
http:/ / wfe2 – 成功
http:/ /sportal.fully.qualified.com – 失败(NTLM)
http:/ /wfe1.fully.qualified.com – 成功
http:/ /wfe2.fully.qualified.com – 成功
(http://在上面所有的,因为我是一个新用户,我只能在一个post中发布协议)
任何人有任何想法,为什么别名将无法正常工作? 这是SP 2007在Win2k3上运行。 不是域服务器,AD位于单独的计算机上,且afaik所有补丁都是最新的累积更新。
编辑:这是我们在小提琴的身份validation
在Web前端(http:/ WFE1,http:/ WFE2)本身,这是我们期待所有请求的行为:
401 No Proxy-Authenticate Header is present. WWW-Authenticate Header is present: Negotiate WWW-Authenticate Header is present: NTLM 然后
302 No Proxy-Authenticate Header is present. WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply: A1 81 A0 30 81 etc...
连接到别名(http:/ spportal)时,这不是我们所期望或想要的行为:
401 No Proxy-Authenticate Header is present. WWW-Authenticate Header is present: Negotiate WWW-Authenticate Header is present: NTLM
然后
401 No Proxy-Authenticate Header is present. WWW-Authenticate Header is present: Negotiate 4E 54 4C 4D 53 53 50 00 02 00 00 00 0C 00 0C 00 NTLMSSP......... 38 00 0 etc.. -[NTLM Type2: Challenge]------------------------------ Provider: NTLMSSP Type: 2 OS Version: 5.2:3790 Flags: 0xa2898205 Unicode supported in security buffer. Request server's authentication realm included in Type2 reply. NTLM authentication. Negotiate Always Sign. Negotiate NTLM2 Key. Target Information block provided for use in calculation of the NTLMv2 response. Supports 56-bit encryption. Supports 128-bit encryption. Challenge: DE 02 etc...
然后
302 No Proxy-Authenticate Header is present. No WWW-Authenticate Header is present.