Double Hop Delegation:检索用户IIS APPPOOL时出错。底层提供程序在Open上失败。用户'Domain \ WebVM $'登录失败。
我正在设置IIS VM服务器以访问单独的SQL Server VM,这两台计算机都运行Windows Server 2016并在Intranet上运行。我们正在使用Windows身份验证,并尝试通过IIS VM服务器计算机上的计算机帐户模拟用户。我们正在使用ASP.NET Core构建/部署MVC IIS位。
在配置了我能想到的所有内容并引用了几个帖子后,我遇到了上述(机器帐户登录)错误。我已经配置了以下主要项目:
- 使用Windows身份验证进行网站设置,并启用ASP.NET模拟,禁用所有其他身份验证类型。
- 网站配置编辑器设置“system.webServer / security / authentication / windowsAuthentication”:useKernelMode为True
- 运行.NET CLR版本“无托管代码”的应用程序池
- 使用经典管理管道模式的应用程序池
- 以ApplicationPoolIdentity运行的应用程序池
- 已确认已在AD中注册IIS VM计算机帐户的HOST SPN(使用setspn -L IISVMServer)
- 已确认已在AD
中为SQL Server VM计算机帐户注册的HOST SPN
- 已确认的ServiceClass / Host:在AD中为SQL Server VM注册的端口
- IIS服务器计算机帐户的已注册SPN“信任此计算机以便委派任何服务(仅限Kerberos)
- 尝试使用/不使用web.config运行:“system.web identity impersonate =”true“/system.web”
我之前发布的Kerberos Double Hop Delegation with ASP.NET Core (4.5.2)与此帖子间接相关。
谢谢,戴夫