基于非声明的应用程序的Web应用程序代理上的错误500

时间:2015-04-23 13:21:16

标签: authentication iis active-directory reverse-proxy adfs3.0

我正在配置Windows Active Directory SSO我根据这里的教程构建了一个实验室:https://technet.microsoft.com/en-us/library/dn280943.aspx

设置实验室后,我使用Internet Explorer从外部客户端连接:

  • 基于声明的网络应用程序正常运行
  • 我的基于非声明的网页(使用Windows身份验证的IIS初始页面)存在问题

出现身份验证页面

Authentication page

登录后,我被重定向到HTTP 500错误页面。

500 Error page

在不使用Web App Proxy的情况下,URL可以在内部网络中正常运行。

有人可以帮助我解决这个问题吗?

祝你度过愉快的一天

P.S:您可以在下面找到实验室图表和配置详情以及屏幕截图

Windows 2012 R2域控制器+ DNS服务器

  • IP:192.168.22.1
  • 域名:contoso.com
  • 信任计算机WAP以获取指定SPN的身份验证委派(192.168.22.15):HTTP / WAP和HTTP / WAP.contoso.com

Windows 2012 R2 Active Directory联合身份验证服务

  • IP:192.168.22.2
  • 域名:contoso.com
  • 联盟网址:adfs1.contoso.com
  • 依赖方信任:非声明感知,iddentifier:webapp2.contoso.com,颁发授权"允许访问所有用户"

Windows 2012 R2 IIS服务器

  • IP:192.168.22.20
  • 非声明感知应用
  • 网址:webapp2.contoso.com
  • 域名:contoso.com
  • SPN:HTTP / WEBAPP2和HTTP / WEBAPP2.contoso.com

Windows 2012 R2 Web应用程序代理

  • IP:192.168.22.15
  • IP External:10.0.0.1
  • SPN:HTTP / WAP和HTTP / WAP.contoso.com
  • 使用非声明感知信赖方信任
  • 前端和后端网址:webapp2.contoso.com
  • 后端SPN:HTTP / WEBAPP2.contoso.com

外部客户

  • IP:10.0.0.2

主机文件

10.0.0.1 webapp2.contoso.com
10.0.0.1 adfs1.contoso.com
10.0.0.1 enterpriseregistration.contoso.com

Diagram

Web App Proxy配置

Web App Proxy config

ADFS配置

AFDS Config

IIS配置

IIS Config

客户端配置

Client config

DC Config

DC Config

DNS配置

DNS Config

2 个答案:

答案 0 :(得分:0)

Technet文章对正确的SPN条目有点模糊。

尝试使用以下方法检查重复项:

setspn -X

您还可以查看事件日志:

  • “远程访问”部分中的WAP服务器。它会让你知道通信的哪一步失败。
  • AD服务器,首先启用Kerberos日志记录。

作为最后的手段,您可以使用WireShare或Message Analyzer来嗅探网络流量,看看通信有什么问题。

答案 1 :(得分:0)

这显然是WAP / kerberso问题。你需要在KCD模式下重启WAP服务器。

相关问题
最新问题