我已成功在ASP.Net网站和SQL Server之间设置Kerberos委派。可以将IIS应用程序池帐户和SQL Server服务帐户的同一域中的所有用户从Web站点委派给SQL Server。现在,我们让来自双向受信任域的用户尝试使用该网站,并在SQL Server端发生以下错误:“用户登录失败'NT AUTHORITY \ ANONYMOUS LOGON'。这意味着委派失败。< / p>
该网站是Windows 2003上的IIS 6。
我从受信任的域中检查了用户,“userAccountControl”为512,因此不会阻止委派。在用户IE浏览器设置中,我可以正确配置“本地Intranet”。
有人可以告诉我如何解决这个问题吗?
谢谢!
理查德
答案 0 :(得分:0)
这是引用(由SenthilSK编写)
Kerberos协议支持两种委派,基本(无约束)和约束。 基本Kerberos委派可以跨单个林中的域边界,但无论信任关系如何都不能跨越林边界。 在任何情况下,Kerberos约束委派都不能跨域或林边界。 有关您的方案的KCD配置的更多详细信息,我可以建议参考Kerberos上的白皮书 http://www.microsoft.com/download/en/details.aspx?id=23176