我在测试环境中拥有一个自我托管的owin web api服务,为了给它一个更好的名称,我使用域名别名和ARR。
我的网络API在端口8888上运行,并使用Windows身份验证。我已将我的arr配置为使用匿名身份验证在testserver:80下运行。我想在框中部署一个服务,该服务将为数据汇集webapi。当我尝试从桌面上的网络浏览器访问testserver时,它可以正常工作。但是,当我远程进入该框并尝试点击testserver时,它会提示我输入凭据。即使我正确输入它,它仍然会发给我一个401.如果我去localhost:8888该网站将会工作。
因为,我更喜欢在我的服务中使用服务器的漂亮名称,如何更正此问题。如何让它通过ARR在同一个盒子上传递凭证?
答案 0 :(得分:2)
您可能遇到LSA环回检查问题。
您获得401,因为ARR会将您的Windows身份验证转发给localhost,这是不允许的(默认设置)。
尝试禁用LSA环回检查(可能需要重启)。如果可行,您可以限制禁用环回检查到特定网站(以防止安全漏洞)。
有关LSA环回检查以及如何完全禁用它或仅针对特定主机名的更多信息,请参阅You receive error 401.1 when you browse a Web site that uses Integrated Authentication and is hosted on IIS 5.1 or a later version。