Windows身份验证401错误,SPN到服务帐户

时间:2018-01-09 15:37:42

标签: kerberos windows-authentication http-status-code-401 iis-8.5 spn

我在苦苦挣扎,希望你能帮助我。

方案: 我在测试服务器上写了一个Web应用程序,一切正常。我将完成的应用程序移动到实时系统,如果在IIS上启用了Windows身份验证,则会收到HTTP 401错误。我通过在服务器名称上设置SPN来解决此问题,例如

SELECT

但它需要与我的服务帐户一起使用。 我为服务帐户设置了spn,如:

setspn -a http/contoso contoso

应用程序池作为mydomain \ serviceaccount运行。在Active Directory中为此帐户设置Kerberos委派。但仍然会收到401错误。出于测试目的,服务帐户在此服务器上具有管理员角色。

1 个答案:

答案 0 :(得分:0)

这看起来像是一个重复的SPN问题。我相信您已经通过为服务帐户添加SPN来完成所有正确的事情,但是您需要采取一个步骤来确保实际使用应用程序池凭据。

单击网站,然后在中心面板中单击配置编辑器。导航到“system.webServer / security / authentication / windowsAuthentication”,此处将“useAppPoolCredentials”设置为true,将“UsekernelMode”设置为false。

请按照此文了解更多信息 - https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis/