任何想法从哪里开始?
答案 0 :(得分:2)
您可以切换到Kerberos而不是NTLM吗?
您遇到“双跳问题”,因此NTLM身份验证无法遍历代理服务器或服务器。
此位置概述: http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx
在这里: http://support.microsoft.com/default.aspx?scid=kb;en-us;329986
双跳问题 双跳问题是ASPX页面尝试使用位于与IIS服务器不同的服务器上的资源。在我们的例子中,第一个“跃点”是从Web浏览器客户端到IIS ASPX页面;第二跳是AD。 AD需要主令牌。因此,IIS服务器必须知道客户端将主令牌传递给AD的密码。如果IIS服务器具有辅助令牌,则使用NTAUTHORITY \ ANONYMOUS帐户凭据。此帐户不是域帐户,并且对AD的访问权限非常有限。
例如,当浏览器客户端使用NTLM身份验证对IIS ASPX页面进行身份验证时,会发生使用辅助令牌的双跃点。在此示例中,由于使用NTLM,IIS服务器具有密码的哈希版本。如果IIS转向并将凭据传递给AD,IIS将传递哈希密码。 AD无法验证密码,而是使用NTAUTHORITY \ ANONYMOUS LOGON进行身份验证。
另一方面,如果您的浏览器客户端使用基本身份验证对IIS ASPX页面进行身份验证,则IIS服务器具有客户端密码,并且可以将主令牌传递给AD。 AD可以验证密码并作为域用户进行身份验证。 有关更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章: 264921(http://support.microsoft.com/kb/264921/)IIS如何验证浏览器客户端
如果不能选择切换到Kerberos,你有没有调查过Squid NTLM项目? http://devel.squid-cache.org/ntlm/
答案 1 :(得分:-1)
您可以使用HAProxy进行负载平衡