将应用程序池作为具有SPN注册域的gMSA运行后,Kerberos不再工作
我有一个在IIS中为Windows身份验证配置的应用程序,以前在作为本地应用程序池标识运行时分发Kerberos票证。
因为我可能想在Amazon ELB后面的多个服务器上运行该应用程序,所以我做了以下事情:
- 注册了一个群组管理服务帐户
-
aspnet_regiis -GA - 修改了应用程序池以作为该组托管服务帐户运行
- 为FQDN添加了SPN,即
http/mysite.mydomain.test和https/mysite.mydomain.test,并验证了它们是否存在
但是,当我尝试立即进行身份验证时,我只会在响应中获得Authorization: NTLM而不是Authorization: Negotiate ...
我的问题是:如何调试为什么会发生这种情况,即为什么IIS不再发回Kerberos票证?
1 个答案:
答案 0 :(得分:1)
您是否已将SPN添加到群组托管服务帐户?
检查重复的SPN? (setspn -x)
转到您网站上的Windows身份验证提供程序,然后将Negotiate移到NTLM之上,或者只删除NTLM。要么它会起作用,要么你会得到一个错误,可以帮助你追踪它。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?