有人可以建议为什么要取消选中“启用内核模式身份验证”选项以便对IIS中的顶级网站使用Kerberos身份验证(启用Windows身份验证)吗?
感谢您是否可以提供视频参考或可视化图表作为说明。
答案 0 :(得分:0)
它与顶级无关。建议仅在设置自定义应用程序池帐户且Windows身份验证失败的情况下才取消选中内核模式身份验证。因为您的自定义应用程序池帐户将无法解密Kerberos票证。正如lex所说,这是设计使然。
当您需要使用自定义域帐户作为应用程序池并且Windows身份验证失败时。您可以禁用内核模式身份验证或强制Windows身份验证使用应用程序池标识解密用户凭据。
以下链接说明了在哪种情况下我们需要禁用内核模式身份验证: https://blogs.msdn.microsoft.com/autz_auth_stuff/2011/05/06/kernel-mode-authentication/ https://blogs.msdn.microsoft.com/sudeepg/2009/02/08/iis-7-and-kernel-mode-authentication/