我有一个在IIS中为Windows身份验证配置的应用程序,以前在作为本地应用程序池标识运行时分发Kerberos票证。
因为我可能想在Amazon ELB后面的多个服务器上运行该应用程序,所以我做了以下事情:
aspnet_regiis -GA
http/mysite.mydomain.test
和https/mysite.mydomain.test
,并验证了它们是否存在但是,当我尝试立即进行身份验证时,我只会在响应中获得Authorization: NTLM
而不是Authorization: Negotiate
...
我的问题是:如何调试为什么会发生这种情况,即为什么IIS不再发回Kerberos票证?
答案 0 :(得分:1)
您是否已将SPN添加到群组托管服务帐户?
检查重复的SPN? (setspn -x)
转到您网站上的Windows身份验证提供程序,然后将Negotiate移到NTLM之上,或者只删除NTLM。要么它会起作用,要么你会得到一个错误,可以帮助你追踪它。