使用IIS 6
我有默认的网站,可以在用户连接时验证用户的身份。
我创建了第二个网站siteb,将主机(a)记录放入DNS,只要我使用匿名访问,我就可以浏览它,当我选择Windows身份验证时,它会失败......
不确定我在这里缺少什么...
感谢。
答案 0 :(得分:0)
如果您使用的是集成Windows身份验证,则不仅仅是IIS。您在DNS中创建了“siteb”,允许您的用户连接到它,这样做很好。但是,当他们的浏览器从Active Directory请求“siteb”的Kerberos票证时,AD可能会响应它无法找到“siteb”。您可以使用Wireshark验证这一点。
修复方法是添加“siteb”(以及您希望用户访问该网站的任何其他排列)作为AD中服务器计算机帐户的附加servicePrincipalName。您可以使用“setspn.exe”实用程序完成此操作。它应该在您的域控制器上可用。如果没有,您可以从Windows 2003 Support Tools安装。
在DC上添加带有setspn的UPN别名的一些示例是:
setspn.exe –A HTTP/siteb <server hostname>
setspn.exe –A HTTP/siteb.acme.com <server hostname>
这应立即生效。最后一步是确保浏览器“信任”新网站名称。在Internet Explorer中,要自动进行IWA,服务器名称应列在“可信站点”或“Intranet”区域中。
当然,你可以通过让第二个网站在相同名称的不同端口上运行来避免所有这些喧嚣,例如:http://sitea:81